Migreringsfas 3 – konfiguration på klientsidanMigration phase 3 - client-side configuration

Gäller för: Active Directory Rights Management Services, Azure information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Använd följande information för Fas 3 när du migrerar från AD RMS till Azure Information Protection.Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. De här procedurerna omfattar steg 7 i Migrera från AD RMS till Azure Information Protection.These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

Steg 7.Step 7. Konfigurera om Windows-datorer så att de använder Azure Information ProtectionReconfigure Windows computers to use Azure Information Protection

Konfigurera om Windows-datorerna så att de använder Azure Information Protection med någon av följande metoder:Reconfigure your Windows computers to use Azure Information Protection using one of the following methods:

  • DNS-omdirigering .DNS redirection . Den enklaste och bästa metoden, när detta stöds.Simplest and preferred method, when supported.

    Stöds för Windows-datorer som använder Office 2016 eller senare Klicka-och-kör skrivbordsappar, inklusive:Supported for Windows computers that use Office 2016 or later click-to-run desktop apps, including:

    • Microsoft 365-apparMicrosoft 365 apps
    • Office 2019Office 2019
    • Office 2016 Klicka för att köra Desktop-apparOffice 2016 click to run desktop apps

    Kräver att du skapar en ny SRV-post och ställer in en NTFS Neka-behörighet för användare på den AD RMS publicerings slut punkten.Requires you to create a new SRV record and set an NTFS deny permission for users on the AD RMS publishing endpoint.

    Mer information finns i omkonfiguration av klienter med hjälp av omdirigering av DNS.For more information, see Client reconfiguration by using DNS redirection.

  • Register redigeringar .Registry edits . Relevant för alla miljöer som stöds, inklusive båda:Relevant for all supported environments, including both:

    • Windows-datorer som använder Office 2016 eller senare Klicka-och-kör skrivbordsappar som anges ovanWindows computers that use Office 2016 or later click-to-run desktop apps, as listed above
    • Windows-datorer som använder andra apparWindows computers that use other apps

    Gör de nödvändiga register ändringarna manuellt, eller redigera och distribuera nedladdnings bara skript för att göra registret ändringar.Make the required registry changes manually, or edit and deploy downloadable scripts to make the registry changes for you.

    Mer information finns i omkonfiguration av klienter med hjälp av register redigeringar.For more information, see Client reconfiguration by using registry edits.

Tips

Om du har en blandning av Office-versioner som kan och inte kan använda DNS-omdirigering kan du antingen använda en kombination av DNS-omdirigering och redigera registret, eller redigera registret som en enda metod för alla Windows-datorer.If you have a mixture of Office versions that can and cannot use DNS redirection, you can either use a combination of DNS redirection and editing the registry, or edit the registry as a single method for all Windows computers.

Omkonfiguration av klienter med hjälp av omdirigering av DNSClient reconfiguration by using DNS redirection

Den här metoden lämpar sig bara för Windows-klienter som kör Microsoft 365 appar och Office 2016 (eller senare) Klicka-och-kör skrivbordsappar.This method is suitable only for Windows clients that run Microsoft 365 apps and Office 2016 (or later) click-to-run desktop apps.

  1. Skapa en DNS SRV-post i följande format:Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    För <AD RMS cluster> anger du det fullständiga domän namnet för ditt AD RMS-kluster.For <AD RMS cluster> , specify the FQDN of your AD RMS cluster. Till exempel rmscluster.contoso.com .For example, rmscluster.contoso.com .

    Alternativt, om du bara har ett AD RMS kluster i domänen, kan du ange bara domän namnet för det AD RMS klustret.Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. I vårt exempel är det contoso.com .In our example, that would be contoso.com . När du anger domän namnet i den här posten gäller omdirigeringen för alla AD RMS kluster i domänen.When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    <port> Talet ignoreras.The <port> number is ignored.

    För <your tenant URL> anger du din egen Azure Rights Management-tjänst-URL för din klient.For <your tenant URL> , specify your own Azure Rights Management service URL for your tenant.

    Om du använder DNS-serverrollen på Windows Server kan du använda följande tabell som exempel hur du anger egenskaper för SRV-poster i DNS-hanterarens konsol.If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    FältField VärdeValue
    DomänDomain _tcp. rmscluster. contoso. com_tcp.rmscluster.contoso.com
    TjänstService _rmsredir_rmsredir
    ProtokollProtocol _http_http
    PriorityPriority 00
    VägtWeight 00
    Port nummerPort number 8080
    Värddator som erbjuder den här tjänstenHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Ange en Neka-behörighet för AD RMS publicerings slut punkten för användare som kör Microsoft 365 appar eller Office 2016 (eller senare):Set a deny permission on the AD RMS publishing endpoint for users running Microsoft 365 apps or Office 2016 (or later):

    a.a. Starta Internet Information Services (IIS) Manager-konsolen på en av dina AD RMS-servrar i klustret.On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. Gå till standard webbplatsen och expandera _wmcs .Navigate to Default Web Site and expand _wmcs .

    c.c. Högerklicka på licensiering och välj Växla till vyn innehåll .Right-click licensing and select Switch to Content View .

    d.d. I informations fönstret högerklickar du på licens. asmx > Egenskaper > RedigeraIn the details pane, right-click license.asmx > Properties > Edit

    e.e. I dialog rutan behörigheter för License. asmx väljer du antingen användare om du vill ange omdirigering för alla användare eller klickar på Lägg till och anger sedan en grupp som innehåller de användare som du vill omdirigera.In the Permissions for license.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    Även om alla användare använder en version av Office som stöder omdirigering av DNS, kanske du vill ange en delmängd av användarna för en stegvis migrering.Even if all your users are using a version of Office that supports DNS redirection, you might prefer to initially specify a subset of users for a phased migration.

    f.f. För den valda gruppen väljer du neka för Läs & kör och Läs behörighet och klickar sedan på OK två gånger.For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    ex.g. Om du vill bekräfta att konfigurationen fungerar som förväntat försöker du ansluta till filen License. asmx direkt från en webbläsare.To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. Du bör se följande fel meddelande, som utlöser klienten som kör Microsoft 365 appar eller Office 2019 eller Office 2016 för att leta efter SRV-posten:You should see the following error message, which triggers the client running Microsoft 365 apps or Office 2019 or Office 2016 to look for the SRV record:

    Fel meddelande 401,3: du har inte behörighet att visa den här katalogen eller sidan med de autentiseringsuppgifter du angav (åtkomst nekad på grund av Access Control listor).Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

Omkonfiguration av klienten med hjälp av registerändringarClient reconfiguration by using registry edits

Den här metoden är lämplig för alla Windows-klienter och bör användas om de inte kör Microsoft 365 appar eller Office 2016 (eller senare).This method is suitable for all Windows clients and should be used if they do not run Microsoft 365 apps, or Office 2016 (or later). Den här metoden använder två migreringsåtgärder för att konfigurera om AD RMS klienter:This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrate-Client. cmdMigrate-Client.cmd

  • Migrate-User. cmdMigrate-User.cmd

Klient konfigurations skriptet (Migrate-Client. cmd) konfigurerar inställningar på dator nivå i registret, vilket innebär att den måste köras i en säkerhets kontext som kan göra dessa ändringar.The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. Detta innebär vanligt vis en av följande metoder:This typically means one of the following methods:

  • Använd grup princip för att köra skriptet som ett start skript för datorn.Use group policy to run the script as a computer startup script.

  • Använd program varu installation för grup princip för att tilldela skriptet till datorn.Use group policy software installation to assign the script to the computer.

  • Använd en lösning för program varu distribution för att distribuera skriptet till datorerna.Use a software deployment solution to deploy the script to the computers. Använd till exempel System Center Configuration Manager paket och program.For example, use System Center Configuration Manager packages and programs. I egenskaperna för paketet och programmet, under körnings läge , anger du att skriptet körs med administratörs behörighet på enheten.In the properties of the package and program, under Run mode , specify that the script runs with administrative permissions on the device.

  • Använd ett inloggnings skript om användaren har lokal administratörs behörighet.Use a logon script if the user has local administrator privileges.

Skript för användar konfiguration (Migrate-User. cmd) konfigurerar inställningar på användar nivå och rensar klient licens arkivet.The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. Det innebär att det här skriptet måste köras i den faktiska användarens kontext.This means that this script must run in the context of the actual user. Exempel:For example:

  • Använd ett inloggnings skript.Use a logon script.

  • Använd program varu installation i grup princip för att publicera skriptet för användaren som ska köras.Use group policy software installation to publish the script for the user to run.

  • Använd en lösning för program varu distribution för att distribuera skriptet till användarna.Use a software deployment solution to deploy the script to the users. Använd till exempel System Center Configuration Manager paket och program.For example, use System Center Configuration Manager packages and programs. I egenskaperna för paketet och programmet, under körnings läge , anger du att skriptet körs med användarens behörigheter.In the properties of the package and program, under Run mode , specify that the script runs with the permissions of the user.

  • Be användaren att köra skriptet när de är inloggade på datorn.Ask the user to run the script when they are signed in to their computer.

De två skripten innehåller ett versions nummer och körs inte igen förrän det här versions numret har ändrats.The two scripts include a version number and do not rerun until this version number is changed. Det innebär att du kan lämna skripten på plats tills migreringen är klar.This means that you can leave the scripts in place until the migration is complete. Men om du gör ändringar i de skript som du vill att datorer och användare ska köra på sina Windows-datorer, uppdaterar du följande rad i båda skripten till ett högre värde:However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

Skript för användar konfiguration är utformad för att köras efter klient konfigurations skriptet och använder versions numret i den här kontrollen.The user configuration script is designed to run after the client configuration script, and uses the version number in this check. Den stoppas om klient konfigurations skriptet med samma version inte har körts.It stops if the client configuration script with the same version has not run. Den här kontrollen säkerställer att de två skripten körs i rätt ordning.This check ensures that the two scripts run in the right sequence.

Om du inte kan migrera alla dina Windows-klienter samtidigt kör du följande procedurer för batchar av klienter.When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. För varje användare som har en Windows-dator som du vill migrera i batchen lägger du till användaren i gruppen AIPMigrated som du skapade tidigare.For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

Ändra skript för register redigeringarModifying the scripts for registry edits

  1. Gå tillbaka till de migrerade skripten, Migrate-client. cmd och Migrate-User. cmd , som du extraherade tidigare när du laddade ned skripten under förberedelse fasen.Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd , which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Följ anvisningarna i Migrate-client. cmd för att ändra skriptet så att det innehåller klient organisationens Azure Rights Management-tjänst-URL, och även dina Server namn för AD RMS licensierings-URL: en för intranätet och URL: en för intranäts licensiering.Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. Öka sedan skript versionen, som tidigare förklarades.Then, increment the script version, which was previously explained. En bra rutin för att spåra skript versioner är att använda dagens datum i följande format: ÅÅÅÅMMDDA good practice for tracking script versions is to use today's date in the following format: YYYYMMDD

    Viktigt

    Som tidigare ska du vara noga med att inte skriva in extra blanksteg före eller efter adresser.As before, be careful not to introduce additional spaces before or after your addresses.

    Kontrollera om licensierings-URL-värden inkluderar portnumret 443 i strängen om dina AD RMS-servrar dessutom använder SSL/TLS-servercertifikat.In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. Till exempel https://rms.treyresearch.net:443/_wmcs/licensing.For example: https://rms.treyresearch.net:443/_wmcs/licensing. Du hittar den här informationen i Active Directory Rights Management Services-konsolen när du klickar på kluster namnet och visar information om kluster information .You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. Inkludera det här värdet när du ändrar skriptet om du ser att portnumret 443 ingår i URL:en.If you see the port number 443 included in the URL, include this value when you modify the script. Till exempel https://rms.treyresearch.net: 443.For example, https://rms.treyresearch.net:443.

    Om du behöver hämta din Azure Rights Management-tjänst-URL för < dinklient > går du tillbaka till för att identifiera din Azure Rights Management-tjänst-URL.If you need to retrieve your Azure Rights Management service URL for <YourTenantURL> , refer back to To identify your Azure Rights Management service URL.

  3. Med hjälp av anvisningarna i början av det här steget konfigurerar du skript distributions metoder för att köra Migrate-client. cmd och Migrate-User. cmd på de Windows-klientdatorer som används av medlemmarna i gruppen AIPMigrated.Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

Nästa stegNext steps

Fortsätt migreringen genom att gå till fas 4 – Stöd för tjänstkonfiguration.To continue the migration, go to phase 4 -supporting services configuration.