Migrering fas 3 – klientkonfiguration

Gäller för:Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

Använd följande information för fas 3 av migreringen från AD RMS till Azure Information Protection. De här procedurerna omfattar steg 7 från migrering från AD RMS till Azure Information Protection.

Steg 7. Konfigurera om Windows att använda Azure Information Protection

Konfigurera om datorn Windows att använda Azure Information Protection med någon av följande metoder:

  • DNS-omdirigering. Enklaste och rekommenderade metoden, när den stöds.

    Stöds för Windows-datorer som använder Office 2016 eller senare klicka-och-kör-skrivbordsprogram, inklusive:

    • Microsoft 365 appar
    • Office 2019
    • Office 2016 för att köra skrivbordsappar

    Kräver att du skapar en ny SRV-post och anger en NTFS-nekad behörighet för användare med AD RMS-publiceringsslutpunkten.

    Mer information finns i Konfigurera om klienten med hjälp av DNS-omdirigering.

  • Ändringar av registret. Relevant för alla miljöer som stöds, inklusive båda:

    • Windows-datorer som Office 2016 eller senare Klicka-och-kör-skrivbordsprogram, enligt ovanstående lista
    • Windows datorer som använder andra appar

    Gör de nödvändiga registerändringarna manuellt eller redigera och distribuera hämtningsbara skript för att göra registerändringarna åt dig.

    Mer information finns i Klientkonfiguration genom att använda registerredigeringar.

Tips!

Om du har en blandning av Office-versioner som kan och inte kan använda DNS-omdirigering kan du antingen använda en kombination av DNS-omdirigering och redigering av registret eller redigera registret som en enda metod för alla Windows datorer.

Konfigurera om klienten med hjälp av DNS-omdirigering

Den här metoden är endast lämplig Windows klienter som kör Microsoft 365-program och Office 2016 (eller senare) klicka-och-kör-program.

  1. Skapa en DNS SRV-post i följande format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    För AD RMS-kluster >anger du FQDN för AD RMS-klustret. Till exempel rmscluster.contoso.com.

    Portnumret > ignoreras.

    För klientorganisationens URL >anger du din egen URL för Azure Rights >

    Om du använder rollen DNS Server på Windows Server kan du använda följande tabell som ett exempel på hur du anger egenskaper för SRV-posten i DNS-hanterarens konsol.

    Fält Värde
    Domän _tcp.rmscluster.contoso.com
    Service _rmsredir
    Protocol _http
    Prioritet 0
    Vikt 0
    Portnummer 80
    Värd som erbjuder den här tjänsten 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Ange nekad behörighet för AD RMS-publiceringsslutpunkten för användare som kör Microsoft 365 appar eller Office 2016 (eller senare):

    a. Starta hanterarens konsol Internet Information Services på en av AD RMS-servrarna i klustret.

    b. Gå till Standardwebbplats och expandera _wmcs.

    c. Högerklicka på licensiering och välj Växla till innehållsvy.

    d. Högerklicka på license.asmxProperties Edit i informationsfönstret

    e. I dialogrutan Behörigheter för licens.asmx väljer du antingen Användare om du vill ange omdirigering för alla användare, eller så klickar du på Lägg till och anger sedan en grupp som innehåller de användare som du vill omdirigera.

    Även om alla användare använder en version av Office som stöder DNS-omdirigering kanske du föredrar att först ange en delmängd av användarna för en fasad migrering.

    f. För den valda gruppen väljer du Neka förbehörigheten Läsa ochLäsa och klickar sedan på OK två gånger.

    g. Bekräfta att konfigurationen fungerar som förväntat genom att försöka ansluta till licensing.asmx-filen direkt från en webbläsare. Du bör se följande felmeddelande, som gör att klienten som kör Microsoft 365-appar eller Office 2019 eller Office 2016 letar efter SRV-posten:

    Felmeddelande 401.3: Du har inte behörighet att visa katalogen eller sidan med de autentiseringsuppgifter du angav (åtkomst nekades på grund av åtkomstkontrolllistor).

Konfigurera om klienten med hjälp av registerredigeringar

Den här metoden är lämplig för Windows klienter och bör användas om de inte kör Microsoft 365- eller Office 2016 (eller senare). Den här metoden använder två migreringsskript för att konfigurera om AD RMS-klienter:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Klientkonfigurationsskriptet (Migrate-Client.cmd) konfigurerar inställningar på datornivå i registret, vilket innebär att det måste köras i ett säkerhetssammanhang som kan göra de ändringarna. Det här innebär vanligtvis någon av följande metoder:

  • Använd grupprincipen när du vill köra skriptet som ett startskript för datorn.

  • Använd grupprincipinstallation av programvara för att tilldela skriptet till datorn.

  • Använd en lösning för programvarudistribution för att distribuera skriptet till datorerna. Använd till exempel System Center Configuration Manager paket och program. I egenskaperna för paketet och programmet, under Kör läge,anger du att skriptet körs med administrativ behörighet på enheten.

  • Använd ett inloggningsskript om användaren har lokal administratörsbehörighet.

Användarkonfigurationsskriptet (Migrate-User.cmd) konfigurerar inställningar på användarnivå och rensar klientlicensarkivet. Det innebär att det här skriptet måste köras i kontexten för den faktiska användaren. Till exempel:

  • Använd ett inloggningsskript.

  • Använd grupprincipinstallation av programvara för att publicera skriptet som användaren ska köra.

  • Använd en lösning för programvarudistribution för att distribuera skriptet till användarna. Använd till exempel System Center Configuration Manager paket och program. I egenskaperna för paketet och programmet, under Kör läge,anger du att skriptet körs med användarens behörigheter.

  • Be användaren att köra skriptet när han eller hon är inloggad på datorn.

De två skripten innehåller ett versionsnummer och körs inte igen förrän versionsnumret ändras. Det innebär att du kan låta skripten vara kvar tills migreringen är klar. Om du däremot ändrar skripten som du vill att datorer och användare ska köra på sina Windows-datorer igen uppdaterar du följande rad i båda skripten till ett högre värde:

SET Version=20170427

Användarkonfigurationsskriptet är utformat att köras efter klientkonfigurationsskriptet och använder versionsnumret i den här kontrollen. Det tar slut om klientkonfigurationsskriptet med samma version inte har körts. Den här kontrollen säkerställer att de två skripten körs i rätt följd.

Om du inte kan migrera Windows alla klientklienter på en gång kör du följande procedurer för grupper av klienter. För varje användare som har en Windows-dator som du vill migrera i batchen lägger du till användaren i den AIPMigrated-grupp som du skapade tidigare.

Ändra skripten för registerredigeringar

  1. Återgå till migreringsskripten, Migrate-Client.cmd och Migrate-User.cmd,som du extraherade tidigare när du hämtade dessa skript i förberedelsefasen.

  2. Följ anvisningarna i Migrate-Client.cmd om du vill ändra skriptet så att det innehåller klientens Azure Rights Management-tjänst-URL samt servernamnen för AD RMS-klusterextranätslicensierings-URL:en och licens-URL för intranät. Öka sedan skriptversionen, som förklaras tidigare. En bra metod för att spåra skriptversioner är att använda dagens datum i följande format:YYYMMDD

    Viktigt

    Som tidigare bör du vara noga med att inte lägga till fler blanksteg före eller efter adresserna.

    Om AD RMS-servrarna använder SSL-/TLS-servercertifikat ska du dessutom kontrollera om licens-URL-värdena innehåller portnumret 443 i strängen. Till exempel: https://rms.treyresearch.net:443/_wmcs/licensing . Du hittar den här informationen i Active Directory Rights Management Services konsolen när du klickar på klusternamnet och visar informationen om Klusterinformation. Om du ser portnumret 443 i URL:en, anger du det här värdet när du ändrar skriptet. Till exempel https://rms.treyresearch.net :https://rms.treyresearch.net.

    Om du behöver hämta URL:en för Tjänsten för Azure Rights Management för > YourTenantURLgår du tillbaka till Identifiera URL för >

  3. Med hjälp av anvisningarna i början av det här steget konfigurerar du skriptdistributionsmetoderna för att köra Migrate-Client.cmd och Migrate-User.cmd på de Windows-klientdatorer som används av medlemmarna i gruppen AIPMigrated.

Nästa steg

Om du vill fortsätta migreringen går du till konfiguration av fas 4-stödtjänster.