Migreringsfas 3 – konfiguration på klientsidan

  • Artikel

Använd följande information för fas 3 av migrering från AD RMS till Azure Information Protection. De här procedurerna omfattar steg 7 från Migrera från AD RMS till Azure Information Protection.

Steg 7: Konfigurera om Windows-datorer så att de använder Azure Information Protection

Konfigurera om dina Windows-datorer så att de använder Azure Information Protection med någon av följande metoder:

  • DNS-omdirigering. Den enklaste och bästa metoden när den stöds.

    Stöds för Windows-datorer som använder Office 2016 eller senare klicka-och-kör skrivbordsappar, inklusive:

    • Microsoft 365-appar
    • Office 2019
    • Klicka på Office 2016 för att köra skrivbordsappar

    Kräver att du skapar en ny SRV-post och anger en NTFS-neka-behörighet för användare på AD RMS-publiceringsslutpunkten.

    Mer information finns i Klientkonfigurering med hjälp av DNS-omdirigering.

  • Registerredigeringar. Relevant för alla miljöer som stöds, inklusive båda:

    • Windows-datorer som använder Office 2016 eller senare klickar du på att köra skrivbordsappar, enligt beskrivningen ovan
    • Windows-datorer som använder andra appar

    Gör de nödvändiga registerändringarna manuellt eller redigera och distribuera nedladdningsbara skript för att göra registerändringar åt dig.

    Mer information finns i Klientkonfigurering med hjälp av registerredigeringar.

Dricks

Om du har en blandning av Office-versioner som kan och inte kan använda DNS-omdirigering kan du antingen använda en kombination av DNS-omdirigering och redigering av registret eller redigera registret som en enda metod för alla Windows-datorer.

Omkonfiguration av klient med hjälp av DNS-omdirigering

Den här metoden är endast lämplig för Windows-klienter som kör Microsoft 365-appar och Office 2016 (eller senare) klicka-och-kör skrivbordsappar.

  1. Skapa en DNS SRV-post med följande format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    För <AD RMS-kluster> anger du FQDN för ditt AD RMS-kluster. Till exempel rmscluster.contoso.com.

    Portnumret <> ignoreras.

    För <din klient-URL> anger du din egen Azure Rights Management-tjänst-URL för din klientorganisation.

    Om du använder DNS-serverrollen på Windows Server kan du använda följande tabell som ett exempel på hur du anger SRV-postegenskaperna i DNS Manager-konsolen.

    Fält Värde
    Domän _tcp.rmscluster.contoso.com
    Tjänst _rmsredir
    Protokoll _http
    Prioritet 0
    Vikt 0
    Portnummer 80
    Värd som erbjuder den här tjänsten 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Ange neka-behörighet på AD RMS-publiceringsslutpunkten för användare som kör Microsoft 365-appar eller Office 2016 (eller senare):

    a. Starta IIS-hanteringskonsolen (Internet Information Services) på en av dina AD RMS-servrar i klustret.

    b. Gå till Standardwebbplats och expandera _wmcs.

    c. Högerklicka på licensiering och välj Växla till innehållsvy.

    d. Högerklicka på license.asmx>Properties>Edit i informationsfönstret

    e. I dialogrutan Behörigheter för license.asmx väljer du Antingen Användare om du vill ange omdirigering för alla användare eller klickar på Lägg till och anger sedan en grupp som innehåller de användare som du vill omdirigera.

    Även om alla dina användare använder en version av Office som stöder DNS-omdirigering kanske du föredrar att först ange en delmängd användare för en stegvis migrering.

    f. För den valda gruppen väljer du Neka för läs- och körningsbehörigheten och läsbehörigheten och klickar sedan på OK två gånger.

    g. Om du vill bekräfta att den här konfigurationen fungerar som förväntat kan du försöka ansluta till filen licensing.asmx direkt från en webbläsare. Du bör se följande felmeddelande som utlöser klienten som kör Microsoft 365-appar eller Office 2019 eller Office 2016 för att leta efter SRV-posten:

    Felmeddelande 401.3: Du har inte behörighet att visa den här katalogen eller sidan med de autentiseringsuppgifter som du angav (åtkomst nekad på grund av åtkomstkontrollistor).

Klientkonfigurering med hjälp av registerredigeringar

Den här metoden är lämplig för alla Windows-klienter och bör användas om de inte kör Microsoft 365-appar eller Office 2016 (eller senare). Den här metoden använder två migreringsskript för att konfigurera om AD RMS-klienter:

  • Migrera-Client.cmd

  • Migrera-User.cmd

Klientkonfigurationsskriptet (Migrate-Client.cmd) konfigurerar inställningar på datornivå i registret, vilket innebär att det måste köras i en säkerhetskontext som kan göra dessa ändringar. Detta innebär vanligtvis någon av följande metoder:

  • Använd grupprincip för att köra skriptet som ett datorstartskript.

  • Använd installation av grupprincipprogramvara för att tilldela skriptet till datorn.

  • Använd en programvarudistributionslösning för att distribuera skriptet till datorerna. Använd till exempel System Center Configuration Manager-paket och -program. I egenskaperna för paketet och programmet under Kör läge anger du att skriptet körs med administrativ behörighet på enheten.

  • Använd ett inloggningsskript om användaren har lokal administratörsbehörighet.

Användarkonfigurationsskriptet (Migrate-User.cmd) konfigurerar inställningar på användarnivå och rensar klientlicensarkivet. Det innebär att skriptet måste köras i kontexten för den faktiska användaren. Till exempel:

  • Använd ett inloggningsskript.

  • Använd installation av grupprincipprogramvara för att publicera skriptet som användaren ska köra.

  • Använd en programvarudistributionslösning för att distribuera skriptet till användarna. Använd till exempel System Center Configuration Manager-paket och -program. I egenskaperna för paketet och programmet under Kör-läge anger du att skriptet körs med användarens behörigheter.

  • Be användaren att köra skriptet när de är inloggade på sin dator.

De två skripten innehåller ett versionsnummer och körs inte igen förrän versionsnumret har ändrats. Det innebär att du kan lämna skripten på plats tills migreringen är klar. Men om du gör ändringar i skripten som du vill att datorer och användare ska köra igen på sina Windows-datorer uppdaterar du följande rad i båda skripten till ett högre värde:

SET Version=20170427

Skriptet för användarkonfiguration är utformat för att köras efter klientkonfigurationsskriptet och använder versionsnumret i den här kontrollen. Det stoppas om klientkonfigurationsskriptet med samma version inte har körts. Den här kontrollen säkerställer att de två skripten körs i rätt sekvens.

När du inte kan migrera alla dina Windows-klienter samtidigt kör du följande procedurer för batchar med klienter. För varje användare som har en Windows-dator som du vill migrera i batchen lägger du till användaren i gruppen AIPMigrated som du skapade tidigare.

Ändra skripten för registerredigeringar

  1. Gå tillbaka till migreringsskripten Migrate-Client.cmd och Migrate-User.cmd, som du extraherade tidigare när du laddade ned skripten i förberedelsefasen.

  2. Följ anvisningarna i Migrate-Client.cmd för att ändra skriptet så att det innehåller klientorganisationens Url för Azure Rights Management-tjänsten och även servernamnen för ad RMS-klustrets extranätlicensierings-URL och url för intranätlicensiering. Öka sedan skriptversionen, som tidigare förklarades. En bra metod för att spåra skriptversioner är att använda dagens datum i följande format: ÅÅÅÅMMDD

    Viktigt!

    Som tidigare bör du vara noga med att inte införa ytterligare blanksteg före eller efter dina adresser.

    Om dina AD RMS-servrar dessutom använder SSL/TLS-servercertifikat kontrollerar du om licensierings-URL-värdena innehåller portnumret 443 i strängen. Till exempel: https://rms.treyresearch.net:443/_wmcs/licensing. Du hittar den här informationen i Active Directory Rights Management Services-konsolen när du klickar på klusternamnet och visar information om klusterinformation . Om du ser portnumret 443 som ingår i URL:en tar du med det här värdet när du ändrar skriptet. Till exempel https://rms.treyresearch.net:443.

    Om du behöver hämta din Azure Rights Management-tjänst-URL för YourTenantURL> kan du gå tillbaka till Så här identifierar du url:en för Azure Rights Management-tjänsten.<

  3. Med hjälp av anvisningarna i början av det här steget konfigurerar du skriptdistributionsmetoderna för att köra Migrate-Client.cmd och Migrate-User.cmd på Windows-klientdatorerna som används av medlemmarna i gruppen AIPMigrated.

Nästa steg

Om du vill fortsätta migreringen går du till fas 4 – stöd för tjänstkonfiguration.