Fase 3 da migração – configuração do lado do clienteMigration phase 3 - client-side configuration

Aplica-se a: Active Directory Rights Management Services, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilize as seguintes informações para a Fase 3 da migração do AD RMS para o Azure Information Protection.Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. Estes procedimentos incluem o passo 7 de Migrar do AD RMS para o Azure Information Protection.These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

Passo 7:Step 7. Reconfigure os computadores Windows para utilizar o Azure Information ProtectionReconfigure Windows computers to use Azure Information Protection

Para computadores Windows que utilizam aplicações de ambiente de trabalho de clique-e-Use do Office 2016:For Windows computers that use Office 2016 click-to-run desktop apps:

  • Pode reconfigurar a estes clientes para utilizarem o Azure Information Protection com o redirecionamento de DNS.You can reconfigure these clients to use Azure Information Protection by using DNS redirection. Este é o método preferencial de migração de clientes, porque é a forma mais simples.This is the preferred method for client migration because it is the simplest. No entanto, esse método é restrito a aplicações de ambiente de trabalho clique-e-Use do Office 2016 (ou posterior) para computadores Windows.However, this method is restricted to Office 2016 (or later) click-to-run desktop apps for Windows computers.

    Este método requer que crie um novo SRV registe e conjunto um NTFS neguem a permissão para os utilizadores no ponto de final de publicação de AD RMS.This method requires you to create a new SRV record, and set an NTFS deny permission for users on the AD RMS publishing endpoint.

  • Para computadores Windows que não usam o Office 2016 click-to-run:For Windows computers that don't use Office 2016 click-to-run:

    Não é possível utilizar o redirecionamento de DNS e em vez disso, tem de utilizar edições de registo.You cannot use DNS redirection and instead, must use registry edits. Se tiver uma mistura de Office 2016 e outras versões do Office, pode utilizar este método único para todos os computadores Windows ou uma combinação de redirecionamento de DNS e editar o registo.If you have a mix of Office 2016 and other versions of Office, you can use this single method for all Windows computers, or a combination of DNS redirection and editing the registry.

    As alterações de registo são mais fácil para editando e implantação de scripts que pode baixar.The registry changes are made easier for you by editing and deploying scripts that you can download.

Veja as secções seguintes para obter mais informações sobre como reconfigurar os clientes do Windows.See the following sections for more information about how to reconfigure Windows clients.

Reconfiguração de clientes com o redirecionamento de DNSClient reconfiguration by using DNS redirection

Este método só é adequado para clientes de Windows que executam aplicações de ambiente de trabalho de clique-e-Use do Office 2016 (ou posterior).This method is suitable only for Windows clients that run Office 2016 (or later) click-to-run desktop apps.

  1. Crie um registo SRV de DNS com o seguinte formato:Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Para <cluster AD RMS >, especifique o FQDN do cluster do AD RMS.For <AD RMS cluster>, specify the FQDN of your AD RMS cluster. Por exemplo, rmscluster.contoso.com.For example, rmscluster.contoso.com.

    Em alternativa, se tiver apenas um cluster de AD RMS nesse domínio, pode especificar apenas o nome de domínio do cluster do AD RMS.Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. No nosso exemplo, isso seria contoso.com.In our example, that would be contoso.com. Quando especificar o nome de domínio neste registo, o redirecionamento aplica-se a todos os clusters do AD RMS nesse domínio.When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    O <porta > número é ignorado.The <port> number is ignored.

    Para <o URL de inquilino>, especificar a sua própria URL do serviço Azure Rights Management para o seu inquilino.For <your tenant URL>, specify your own Azure Rights Management service URL for your tenant.

    Se utilizar a função de servidor DNS no Windows Server, pode utilizar a tabela seguinte como exemplo como especificar as propriedades de registo SRV na consola do Gestor de DNS.If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    CampoField ValorValue
    DomínioDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    ServiçoService _rmsredir_rmsredir
    ProtocoloProtocol _http_http
    prioridadePriority 00
    pesoWeight 00
    Número da portaPort number 8080
    Anfitrião que oferece este serviçoHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Defina uma permissão de negação para os utilizadores do Office 2016 no ponto de final de publicação de AD RMS:Set a deny permission for the Office 2016 users on the AD RMS publishing endpoint:

    a.a. Dos servidores do AD RMS no cluster, inicie a consola do Gestor de serviços de informação Internet (IIS).On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. Navegue para Web Site predefinido > wmcs > licenciamento > licensing.asmxNavigate to Default Web Site > _wmcs > licensing > licensing.asmx

    c.c. Com o botão direito licensing.asmx > propriedades > editarRight-click licensing.asmx > Properties > Edit

    d.d. Na permissões para licensing.asmx caixa de diálogo, selecione utilizadores se pretender definir o redirecionamento para todos os utilizadores ou clique em Add e, em seguida, especifique um grupo que contém os utilizadores que pretende redirecionar.In the Permissions for licensing.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    Mesmo que todos os seus utilizadores estão a utilizar o Office 2016, poderá preferir inicialmente especificar um subconjunto de utilizadores para uma migração faseada.Even if all your users are using Office 2016, you might prefer to initially specify a subset of users for a phased migration.

    e.e. Para o seu grupo selecionado, selecione negar para o leitura & Execute e o leitura permissão e clique em OK duas vezes.For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    f.f. Para confirmar que esta configuração está a funcionar conforme esperado, tente ligar-se para o ficheiro de licensing.asmx diretamente a partir de um browser.To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. Deverá ver a seguinte mensagem de erro, que dispara o cliente a executar o Office 2016 para procurar o registo SRV:You should see the following error message, which triggers the client running Office 2016 to look for the SRV record:

    Chybová zpráva 401.3: Não tem permissões para visualizar este diretório ou página com as credenciais que forneceu (acesso negado devido a listas de controlo de acesso).Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

Reconfiguração de clientes com edições de registoClient reconfiguration by using registry edits

Esse método é adequado para todos os clientes do Windows e deve ser utilizado se não executam o Office 2016, mas uma versão anterior.This method is suitable for all Windows clients and should be used if they do not run Office 2016 but an earlier version. Este método utiliza dois scripts de migração para reconfigurar clientes de AD RMS:This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrate-Client.cmdMigrate-Client.cmd

  • Migrate-User.cmdMigrate-User.cmd

O script de configuração de cliente (Migrate-Client.cmd) configura definições ao nível do computador no Registro, o que significa que deve ser executado num contexto de segurança que pode efetuar essas alterações.The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. Isso normalmente significa que um dos seguintes métodos:This typically means one of the following methods:

  • Utilize a política de grupo para executar o script como um script de inicialização do computador.Use group policy to run the script as a computer startup script.

  • Utilize a instalação de software da diretiva de grupo para atribuir o script no computador.Use group policy software installation to assign the script to the computer.

  • Utilize uma solução de implantação de software para implementar o script nos computadores.Use a software deployment solution to deploy the script to the computers. Por exemplo, utilizar o System Center Configuration Manager pacotes e programas.For example, use System Center Configuration Manager packages and programs. Nas propriedades do pacote e programa, sob modo de execução, especifique que o script é executado com permissões administrativas no dispositivo.In the properties of the package and program, under Run mode, specify that the script runs with administrative permissions on the device.

  • Utilize um script de início de sessão se o utilizador tiver privilégios de administrador local.Use a logon script if the user has local administrator privileges.

O script de configuração de utilizador (Migrate-User.cmd) configura as definições de nível de usuário e limpa o arquivo de licença de cliente.The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. Isso significa que este script deve ser executado no contexto de utilizador reais.This means that this script must run in the context of the actual user. Por exemplo:For example:

  • Utilize um script de início de sessão.Use a logon script.

  • Utilize a instalação de software da diretiva de grupo para publicar o script para o utilizador executar.Use group policy software installation to publish the script for the user to run.

  • Utilize uma solução de implantação de software para implementar o script para os utilizadores.Use a software deployment solution to deploy the script to the users. Por exemplo, utilizar o System Center Configuration Manager pacotes e programas.For example, use System Center Configuration Manager packages and programs. Nas propriedades do pacote e programa, sob modo de execução, especifique que o script é executado com as permissões do utilizador.In the properties of the package and program, under Run mode, specify that the script runs with the permissions of the user.

  • Pedir ao utilizador para executar o script quando iniciar a sessão aos respetivos computadores.Ask the user to run the script when they are signed in to their computer.

Os dois scripts incluem um número de versão e não volte a executar até que este número de versão é alterado.The two scripts include a version number and do not rerun until this version number is changed. Isso significa que pode deixar os scripts em vigor até que a migração estiver concluída.This means that you can leave the scripts in place until the migration is complete. No entanto, se fizer alterações aos scripts de que pretende que computadores e utilizadores para voltar a executar em seus computadores Windows, atualize a seguinte linha em ambos os scripts para um valor mais alto:However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

O script de configuração do utilizador foi concebido para ser executado após o script de configuração do cliente e utiliza o número de versão nesta verificação.The user configuration script is designed to run after the client configuration script, and uses the version number in this check. Ele será interrompido se não tiver executado o script de configuração de cliente com a mesma versão.It stops if the client configuration script with the same version has not run. Esta verificação assegura que os dois scripts executado na sequência correta.This check ensures that the two scripts run in the right sequence.

Quando não é possível migrar todos os seus clientes de Windows de uma só vez, execute os seguintes procedimentos em lotes de clientes.When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. Para cada utilizador com um computador Windows que pretende migrar no seu lote, adicione o utilizador ao grupo AIPMigrated que criou anteriormente.For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

Modificar os scripts para edições de registoModifying the scripts for registry edits

  1. Voltar para os scripts de migração Client.cmd para migrar e User.cmd para migrar, que extraiu anteriormente quando transferiu esses scripts no fase de preparação.Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd, which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Siga as instruções em migrar Client.cmd para modificar o script para que ele contém o URL de serviço do Azure Rights Management do seu inquilino, e também os nomes de servidores para o AD RMS cluster URL de licenciamento na extranet e da intranet URL de licenciamento.Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. Em seguida, incremente a versão do script, o que foi explicada anteriormente.Then, increment the script version, which was previously explained. Uma boa prática para controlo de versões de script é usar a data de hoje no seguinte formato: AAAAMMDDA good practice for tracking script versions is to use today’s date in the following format: YYYYMMDD

    Importante

    Tal como anteriormente, tenha cuidado para não introduzir espaços adicionais antes ou depois dos seus endereços.As before, be careful not to introduce additional spaces before or after your addresses.

    Além disso, se os seus servidores do AD RMS utilizarem certificados de servidor SSL/TLS, verifique se os valores de URL de licenciamento incluem o número de porta 443 na cadeia.In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. Por exemplo: https://rms.treyresearch.net:443/_wmcs/licensing.For example: https://rms.treyresearch.net:443/_wmcs/licensing. Pode encontrar estas informações na consola de serviços de gestão de direitos do Active Directory quando clica no nome do cluster e veja a detalhes do Cluster informações.You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. Se vir o número de porta 443 incluído no URL, inclua este valor quando modificar o script.If you see the port number 443 included in the URL, include this value when you modify the script. Por exemplo, https://rms.treyresearch.net:443.For example, https://rms.treyresearch.net:443.

    Se precisar de obter o URL do serviço Azure Rights Management para <YourTenantURL>, veja novamente Para identificar o URL do serviço Azure Rights Management.If you need to retrieve your Azure Rights Management service URL for <YourTenantURL>, refer back to To identify your Azure Rights Management service URL.

  3. Usando as instruções no início deste passo, a configurar seus métodos de implementação de script para executar Client.cmd para migrar e migrar User.cmd nos computadores cliente Windows que são utilizados pela membros do grupo AIPMigrated.Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

Passos SeguintesNext steps

Para continuar a migração, veja a fase 4 – configuração de serviços de suporte.To continue the migration, go to phase 4 -supporting services configuration.