Этап миграции 3— конфигурация на стороне клиента

  • Статья

Используйте следующие сведения для этапа 3 миграции с AD RMS в Azure Information Protection. Эти процедуры охватывают шаг 7 от миграции с AD RMS в Azure Information Protection.

Шаг 7. Перенастройка компьютеров Windows для использования Azure Information Protection

Перенастройка компьютеров Windows для использования Azure Information Protection с помощью одного из следующих методов:

  • Перенаправление DNS. Самый простой и предпочтительный метод при поддержке.

    Поддерживается для компьютеров Windows, использующих классические приложения Office 2016 или более поздней версии, включая:

    • Приложения Microsoft 365
    • Office 2019
    • Office 2016 щелкните, чтобы запустить классические приложения

    Требуется создать новую запись SRV и задать разрешение NTFS запретить пользователям в конечной точке публикации AD RMS.

    Дополнительные сведения см. в статье о перенастройки клиента с помощью перенаправления DNS.

  • Изменения реестра. Относится ко всем поддерживаемым средам, включая оба:

    • Компьютеры Windows, использующие классические приложения Office 2016 или более поздней версии, как описано выше.
    • Компьютеры Windows, использующие другие приложения

    Внесите необходимые изменения реестра вручную или измените и разверните загружаемые скрипты, чтобы внести изменения в реестр.

    Дополнительные сведения см. в разделе "Перенастройка клиента" с помощью изменений реестра.

Совет

Если у вас есть сочетание версий Office, которые могут и не могут использовать перенаправление DNS, можно использовать сочетание перенаправления DNS и редактирования реестра или изменить реестр в качестве одного метода для всех компьютеров Windows.

Перенастройка клиента с помощью перенаправления DNS

Этот метод подходит только для клиентов Windows, использующих приложения Microsoft 365 и приложения Office 2016 (или более поздней версии) для запуска классических приложений.

  1. Создайте запись SRV DNS с помощью следующего формата:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Для <кластера> AD RMS укажите полное доменное имя кластера AD RMS. Например, rmscluster.contoso.com.

    <Номер порта> игнорируется.

    Для <URL-адреса клиента укажите собственный URL-адрес> службы Azure Rights Management для вашего клиента.

    Если вы используете роль DNS-сервера в Windows Server, можно использовать следующую таблицу в качестве примера, как указать свойства записи SRV в консоли диспетчера DNS.

    Поле значение
    Domain _tcp.rmscluster.contoso.com
    Служба _rmsredir
    Протокол _http
    Приоритет 0
    Weight 0
    Номер порта 80
    Узел, предлагающий эту службу 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Задайте разрешение на запрет для конечной точки публикации AD RMS для пользователей, работающих под управлением приложений Microsoft 365 или Office 2016 (или более поздней версии):

    a. На одном из серверов AD RMS в кластере запустите консоль диспетчера службы IIS (IIS).

    b. Перейдите на веб-сайт по умолчанию и разверните _wmcs.

    c. Щелкните правой кнопкой мыши лицензирование и выберите пункт "Перейти к представлению содержимого".

    d. В области сведений щелкните правой кнопкой мыши лицензию.asmx>Properties Edit>

    д) В диалоговом окне "Разрешения для license.asmx" выберите "Пользователи", если вы хотите задать перенаправление для всех пользователей, или нажмите кнопку "Добавить", а затем укажите группу, содержащую пользователей, которые вы хотите перенаправить.

    Даже если все пользователи используют версию Office, поддерживающую перенаправление DNS, вы можете сначала указать подмножество пользователей для поэтапной миграции.

    f. Для выбранной группы выберите "Запретить для чтения и выполнения" и разрешение на чтение, а затем дважды нажмите кнопку "ОК".

    ж. Чтобы убедиться, что эта конфигурация работает должным образом, попробуйте подключиться к файлу licensing.asmx непосредственно из браузера. Вы увидите следующее сообщение об ошибке, которое активирует клиент с приложениями Microsoft 365 или Office 2019 или Office 2016, чтобы найти запись SRV:

    Сообщение об ошибке 401.3. У вас нет разрешений на просмотр этого каталога или страницы с использованием предоставленных учетных данных (доступ запрещен из-за контроль доступа списков).

Перенастройка клиента с помощью правок реестра

Этот метод подходит для всех клиентов Windows и должен использоваться, если они не запускают приложения Microsoft 365 или Office 2016 (или более поздней версии). Этот метод использует два сценария миграции для перенастройки клиентов AD RMS:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Скрипт конфигурации клиента (Migrate-Client.cmd) настраивает параметры уровня компьютера в реестре, что означает, что он должен выполняться в контексте безопасности, который может внести эти изменения. Обычно это один из следующих методов:

  • Используйте групповую политику для запуска скрипта в качестве скрипта запуска компьютера.

  • Используйте установку программного обеспечения групповой политики для назначения скрипта компьютеру.

  • Используйте решение развертывания программного обеспечения для развертывания скрипта на компьютерах. Например, используйте пакеты и программы System Center Configuration Manager. В свойствах пакета и программы в режиме выполнения укажите, что скрипт выполняется с административными разрешениями на устройстве.

  • Используйте скрипт входа, если у пользователя есть права локального администратора.

Скрипт конфигурации пользователя (Migrate-User.cmd) настраивает параметры уровня пользователя и очищает хранилище лицензий клиента. Это означает, что этот скрипт должен выполняться в контексте фактического пользователя. Например:

  • Используйте скрипт входа.

  • Используйте установку программного обеспечения групповой политики для публикации скрипта для запуска пользователя.

  • Используйте решение развертывания программного обеспечения для развертывания скрипта для пользователей. Например, используйте пакеты и программы System Center Configuration Manager. В свойствах пакета и программы в режиме выполнения укажите, что скрипт выполняется с разрешениями пользователя.

  • Попросите пользователя запустить скрипт при входе на свой компьютер.

Два скрипта включают номер версии и не запускают повторно, пока этот номер версии не будет изменен. Это означает, что скрипты можно оставить на месте до завершения миграции. Однако если вы вносите изменения в скрипты, которые требуется повторно запустить компьютеры и пользователи на своих компьютерах Windows, обновите следующую строку в обоих сценариях до более высокого значения:

SET Version=20170427

Скрипт конфигурации пользователя предназначен для запуска после скрипта конфигурации клиента и использует номер версии в этом проверка. Он останавливается, если скрипт конфигурации клиента с той же версией не запущен. Это проверка гарантирует, что два сценария выполняются в правильной последовательности.

Если вы не сможете одновременно перенести все клиенты Windows, выполните следующие процедуры для пакетов клиентов. Для каждого пользователя, у которого есть компьютер Windows, который требуется перенести в пакет, добавьте пользователя в созданную ранее группу AIPMigrated .

Изменение скриптов для редактирования реестра

  1. Вернитесь к сценариям миграции, Migration-Client.cmd и Migration-User.cmd, которые вы извлекли ранее при скачивании этих скриптов на этапе подготовки.

  2. Следуйте инструкциям в разделе Migrate-Client.cmd , чтобы изменить сценарий, чтобы он содержал URL-адрес службы Azure Rights Management клиента, а также имена серверов для URL-адреса лицензирования экстрасети кластера AD RMS и URL-адрес лицензирования интрасети. Затем увеличьте версию скрипта, которая ранее объяснила. Рекомендуется использовать текущую дату в следующем формате: YYYYMMDDD

    Важно!

    Как и раньше, не следует вводить дополнительные пробелы до или после адресов.

    Кроме того, если серверы AD RMS используют сертификаты SSL/TLS, проверка, включают ли значения URL-адреса лицензирования номер порта 443 в строку. Например: https://rms.treyresearch.net:443/_wmcs/licensing. эти сведения можно найти в консоли службы Active Directory Rights Management при щелчке имени кластера и просмотре сведений о кластере. Если вы видите номер порта 443, включенный в URL-адрес, включите это значение при изменении скрипта. Например, https://rms.treyresearch.net:443.

    Если вам нужно получить URL-адрес службы Azure Rights Management для <YourTenantURL>, вернитесь к url-адресу службы Azure Rights Management.

  3. Используя инструкции в начале этого шага, настройте методы развертывания скрипта для запуска Migrate-Client.cmd и Migrate-User.cmd на клиентских компьютерах Windows, которые используются членами группы AIPMigrated.

Следующие шаги

Чтобы продолжить миграцию, перейдите к этапу 4-поддержки конфигурации служб.