Fase 3 da migração – configuração do lado do clienteMigration phase 3 - client-side configuration

Aplica-se a: serviços de gestão de direitos do Active Directory Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilize as seguintes informações para a Fase 3 da migração do AD RMS para o Azure Information Protection.Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. Estes procedimentos incluem o passo 7 de Migrar do AD RMS para o Azure Information Protection.These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

Passo 7:Step 7. Reconfigure os computadores com o Windows para utilizar o Azure Information ProtectionReconfigure Windows computers to use Azure Information Protection

Para computadores com Windows que utilizam aplicações de ambiente de trabalho do Office 2016 clique para execução:For Windows computers that use Office 2016 click-to-run desktop apps:

  • Pode reconfigurar a estes clientes para utilizarem o Azure Information Protection utilizando o redirecionamento de DNS.You can reconfigure these clients to use Azure Information Protection by using DNS redirection. Este é o método preferencial de migração de cliente, porque é o mais simples.This is the preferred method for client migration because it is the simplest. No entanto, este método está restrito a aplicações de ambiente de trabalho clique para execução do Office 2016 (ou posterior) para computadores Windows.However, this method is restricted to Office 2016 (or later) click-to-run desktop apps for Windows computers.

    Este método requer a criação de um novo SRV registar e conjunto um NTFS neguem a permissão para os utilizadores no ponto final publicação AD RMS.This method requires you to create a new SRV record, and set an NTFS deny permission for users on the AD RMS publishing endpoint.

  • Para computadores com Windows que não utilizam o Office 2016 clique para execução:For Windows computers that don't use Office 2016 click-to-run:

    Não é possível utilizar o redirecionamento de DNS e, em vez disso, tem de utilizar as edições de registo.You cannot use DNS redirection and instead, must use registry edits. Se tiver uma mistura de Office 2016 e outras versões do Office, pode utilizar este método único para todos os computadores Windows ou uma combinação de redirecionamento de DNS e editar o registo.If you have a mix of Office 2016 and other versions of Office, you can use this single method for all Windows computers, or a combination of DNS redirection and editing the registry.

    As alterações de registo que são efetuadas mais fácil para si, editar e implementação de scripts que pode transferir.The registry changes are made easier for you by editing and deploying scripts that you can download.

Consulte as secções seguintes para obter mais informações sobre como reconfigurar clientes do Windows.See the following sections for more information about how to reconfigure Windows clients.

Reconfiguração de cliente através da utilização de redirecionamento de DNSClient reconfiguration by using DNS redirection

Este método é adequado apenas para clientes do Windows que executem aplicações de ambiente de trabalho do Office 2016 (ou posterior) clique para execução.This method is suitable only for Windows clients that run Office 2016 (or later) click-to-run desktop apps.

  1. Crie um registo SRV de DNS com o seguinte formato:Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Para <cluster AD RMS >, especifique o FQDN do cluster do AD RMS.For <AD RMS cluster>, specify the FQDN of your AD RMS cluster. Por exemplo, rmscluster.contoso.com.For example, rmscluster.contoso.com.

    Em alternativa, se tiver apenas um cluster de AD RMS no domínio, pode especificar apenas o nome de domínio do cluster do AD RMS.Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. No nosso exemplo, que seria contoso.com. Quando especificar o nome de domínio neste registo, o redirecionamento é aplicada a todos os clusters de AD RMS nesse domínio.In our example, that would be contoso.com. When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    O <porta > número será ignorado.The <port> number is ignored.

    Para <o seu URL de inquilino>, especificar a sua própria URL do serviço Azure Rights Management para o seu inquilino.For <your tenant URL>, specify your own Azure Rights Management service URL for your tenant.

    Se utilizar a função de servidor DNS no Windows Server, pode utilizar a tabela seguinte como exemplo como especificar as propriedades de registo SRV na consola do Gestor de DNS.If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    CampoField ValorValue
    DomínioDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    ServiçoService _rmsredir_rmsredir
    ProtocoloProtocol _http_http
    prioridadePriority 00
    PesoWeight 00
    Número de portaPort number 8080
    Anfitrião que oferece este serviçoHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Defina uma permissão recusar para os utilizadores do Office 2016 no ponto final publicação AD RMS:Set a deny permission for the Office 2016 users on the AD RMS publishing endpoint:

    a.a. Dos seus servidores do AD RMS no cluster, inicie a consola do Gestor de serviços de informação Internet (IIS).On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. Navegue para Web Site predefinido > wmcs > licenciamento > licensing.asmxNavigate to Default Web Site > _wmcs > licensing > licensing.asmx

    c.c. Clique com botão direito licensing.asmx > propriedades > editarRight-click licensing.asmx > Properties > Edit

    d.d. No permissões para licensing.asmx caixa de diálogo, selecione utilizadores se pretende definir o redirecionamento para todos os utilizadores ou clique em adicionar e, em seguida, especifique um grupo que contém os utilizadores que pretende redirecionar.In the Permissions for licensing.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    Mesmo se todos os seus utilizadores estão a utilizar o Office 2016, poderá preferir inicialmente especificar um subconjunto de utilizadores para uma migração faseada.Even if all your users are using Office 2016, you might prefer to initially specify a subset of users for a phased migration.

    e.e. Para o grupo selecionado, selecione negar para o leitura & executar e leitura permissão e, em seguida, clique em OK duas vezes.For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    f.f. Para confirmar que esta configuração está a funcionar conforme esperado, tente estabelecer ligação com o ficheiro licensing.asmx diretamente a partir de um browser.To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. Deverá ver a seguinte mensagem de erro, o que aciona o cliente com o Office 2016 para procurar o registo SRV:You should see the following error message, which triggers the client running Office 2016 to look for the SRV record:

    Mensagem de erro 401.3: não tem permissões para visualizar este diretório ou página com as credenciais fornecidas (acesso negado devido a listas de controlo de acesso).Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

Reconfiguração de clientes com edições de registoClient reconfiguration by using registry edits

Este método é adequado para todos os clientes Windows e deve ser utilizado se não executar o Office 2016, mas uma versão anterior.This method is suitable for all Windows clients and should be used if they do not run Office 2016 but an earlier version. Este método utiliza dois scripts de migração para reconfigurar clientes de AD RMS:This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrate-Client.cmdMigrate-Client.cmd

  • User.cmd migrarMigrate-User.cmd

O script de configuração de cliente (migrar Client.cmd) configura as definições de nível de computador no registo, o que significa que tem de ser executada no contexto de segurança que pode efetuar essas alterações.The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. Isto significa habitualmente um dos seguintes métodos:This typically means one of the following methods:

  • Utilize a política de grupo para executar o script como um script de arranque do computador.Use group policy to run the script as a computer startup script.

  • Utilize a instalação de software de política de grupo para atribuir o script para o computador.Use group policy software installation to assign the script to the computer.

  • Utilize uma solução de implementação de software para implementar o script para os computadores.Use a software deployment solution to deploy the script to the computers. Por exemplo, utilizar o System Center Configuration Manager pacotes e programas.For example, use System Center Configuration Manager packages and programs. Nas propriedades do pacote e programa, em modo de execução, especifique que o script é executado com permissões administrativas no dispositivo.In the properties of the package and program, under Run mode, specify that the script runs with administrative permissions on the device.

  • Utilize um script de início de sessão se o utilizador possui privilégios de administrador local.Use a logon script if the user has local administrator privileges.

O script de configuração de utilizador (migrar User.cmd) configura as definições de nível de utilizador e limpa o arquivo de licença de cliente.The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. Isto significa que este script tem de executar no contexto do utilizador real.This means that this script must run in the context of the actual user. Por exemplo:For example:

  • Utilize um script de início de sessão.Use a logon script.

  • Utilize a instalação de software de política de grupo para publicar o script para o utilizador executar.Use group policy software installation to publish the script for the user to run.

  • Utilize uma solução de implementação de software para implementar o script para os utilizadores.Use a software deployment solution to deploy the script to the users. Por exemplo, utilizar o System Center Configuration Manager pacotes e programas.For example, use System Center Configuration Manager packages and programs. Nas propriedades do pacote e programa, em modo de execução, especifique que o script é executado com as permissões do utilizador.In the properties of the package and program, under Run mode, specify that the script runs with the permissions of the user.

  • Pedir ao utilizador para executar o script quando iniciar a sessão aos respetivos computadores.Ask the user to run the script when they are signed in to their computer.

Os dois scripts incluem um número de versão e não volte a executar até que este número de versão é alterado.The two scripts include a version number and do not rerun until this version number is changed. Isto significa que pode deixar os scripts em vigor até que a migração estar concluída.This means that you can leave the scripts in place until the migration is complete. No entanto, se efetuar alterações para os scripts de que pretende que sejam computadores e utilizadores a voltar a executar nos respetivos computadores Windows, atualize a seguinte linha em ambos os scripts para um valor superior:However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

O script de configuração do utilizador foi concebido para ser executada após o script de configuração de cliente e utiliza o número de versão nesta verificação.The user configuration script is designed to run after the client configuration script, and uses the version number in this check. Interrompe se não tiver executado o script de configuração de cliente com a mesma versão.It stops if the client configuration script with the same version has not run. Esta verificação garante que os dois scripts executadas na sequência correta.This check ensures that the two scripts run in the right sequence.

Quando não é possível migrar todos os seus clientes do Windows de uma só vez, execute os seguintes procedimentos para lotes de clientes.When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. Para cada utilizador com um computador Windows que pretende migrar no seu lote, adicione o utilizador ao grupo AIPMigrated que criou anteriormente.For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

Modificar os scripts para edições de registoModifying the scripts for registry edits

  1. Regressar para os scripts de migração, migrar Client.cmd e migrar User.cmd, que anteriormente extraiu quando tiver transferido estes scripts no fase de preparação.Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd, which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Siga as instruções em migrar Client.cmd para modificar o script para que este contém o URL do serviço do seu inquilino do Azure Rights Management e também os nomes de servidor para o AD RMS cluster URL de licenciamento de extranet e da intranet URL de licenciamento.Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. Em seguida, aumentar a versão do script, que foi explicada anteriormente.Then, increment the script version, which was previously explained. É uma boa prática para controlar as versões de script para utilizar a data de hoje no seguinte formato: AAAAMMDDA good practice for tracking script versions is to use today’s date in the following format: YYYYMMDD

    Importante

    Tal como anteriormente, tenha cuidado para não introduzir espaços adicionais antes ou depois dos seus endereços.As before, be careful not to introduce additional spaces before or after your addresses.

    Além disso, se os seus servidores do AD RMS utilizarem certificados de servidor SSL/TLS, verifique se os valores de URL de licenciamento incluem o número de porta 443 na cadeia.In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. Por exemplo: https://rms.treyresearch.net:443/_wmcs/licensing.For example: https://rms.treyresearch.net:443/_wmcs/licensing. Pode encontrar estas informações na consola de serviços de gestão de direitos do Active Directory quando clicar no nome do cluster e ver o os detalhes do Cluster informações.You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. Se vir o número de porta 443 incluído no URL, inclua este valor quando modificar o script.If you see the port number 443 included in the URL, include this value when you modify the script. Por exemplo, https://rms.treyresearch.net:443.For example, https://rms.treyresearch.net:443.

    Se precisar de obter o URL do serviço Azure Rights Management para <YourTenantURL>, veja novamente Para identificar o URL do serviço Azure Rights Management.If you need to retrieve your Azure Rights Management service URL for <YourTenantURL>, refer back to To identify your Azure Rights Management service URL.

  3. Utilizar as instruções no início deste passo, a configurar os métodos de implementação de script para executar migrar Client.cmd e migrar User.cmd nos computadores de cliente do Windows que são utilizados pelo membros do grupo AIPMigrated.Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

Próximos passosNext steps

Para continuar a migração, veja a fase 4 – configuração de serviços de suporte.To continue the migration, go to phase 4 -supporting services configuration.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.