Geçişin 3. aşaması - istemci tarafı yapılandırmasıMigration phase 3 - client-side configuration

Uygulama hedefi: Active Directory Rights Management Services Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

AD RMS’den Azure Information Protection’a geçiş işleminin 3. Aşaması için aşağıdaki bilgileri kullanın.Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. Bu yordamlar, AD RMS’den Azure Information Protection’a Geçiş konusunun 7. adımını kapsar.These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

7. AdımStep 7. Windows bilgisayarları, Azure Information Protection kullanmak üzere yeniden yapılandırınReconfigure Windows computers to use Azure Information Protection

Windows bilgisayarlar için Office 2016 Tıkla-Çalıştır Masaüstü uygulamalarını kullanın:For Windows computers that use Office 2016 click-to-run desktop apps:

  • Bu istemcileri DNS yönlendirmesi'ni kullanarak Azure Information Protection kullanmak üzere yeniden yapılandırabilirsiniz.You can reconfigure these clients to use Azure Information Protection by using DNS redirection. En basit olduğundan istemci geçişi için tercih edilen yöntem budur.This is the preferred method for client migration because it is the simplest. Ancak, bu yöntem Windows bilgisayarlar için Office 2016 (veya üzeri) Tıkla-Çalıştır Masaüstü uygulamaları için sınırlıdır.However, this method is restricted to Office 2016 (or later) click-to-run desktop apps for Windows computers.

    Bu yöntem, yeni bir SRV oluşturmak için kayıt ve kümesi bir NTFS engelle izni kullanıcıların AD RMS yayımlama uç noktasında gerektirir.This method requires you to create a new SRV record, and set an NTFS deny permission for users on the AD RMS publishing endpoint.

  • Office 2016 Tıkla-Çalıştır kullanmayan Windows bilgisayarlar için:For Windows computers that don't use Office 2016 click-to-run:

    DNS yeniden yönlendirme kullanamazsınız ve bunun yerine, kayıt defteri düzenlemelerini kullanmanız gerekir.You cannot use DNS redirection and instead, must use registry edits. Office 2016 bir karışımını ve diğer Office sürümleri varsa, tüm Windows bilgisayarları veya DNS yeniden yönlendirme ve kayıt defterini düzenlemek için bu tek bir yöntemi kullanabilirsiniz.If you have a mix of Office 2016 and other versions of Office, you can use this single method for all Windows computers, or a combination of DNS redirection and editing the registry.

    Kayıt defteri değişikliklerini, düzenleme ve indirebileceğiniz betikleri dağıtarak daha kolay yapılır.The registry changes are made easier for you by editing and deploying scripts that you can download.

Windows istemcileri yeniden yapılandırma hakkında daha fazla bilgi için aşağıdaki bölümlere bakın.See the following sections for more information about how to reconfigure Windows clients.

DNS yeniden yönlendirme kullanarak istemciyi yeniden yapılandırmaClient reconfiguration by using DNS redirection

Bu yöntem, Office 2016 (veya üzeri) Tıkla-Çalıştır Masaüstü uygulamalarını çalıştıran Windows istemcileri için uygundur.This method is suitable only for Windows clients that run Office 2016 (or later) click-to-run desktop apps.

  1. Aşağıdaki biçimi kullanarak bir DNS SRV kaydı oluşturun:Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    İçin <AD RMS kümesi >, AD RMS kümeniz FQDN'sini belirtin.For <AD RMS cluster>, specify the FQDN of your AD RMS cluster. Örneğin, rmscluster.contoso.com.For example, rmscluster.contoso.com.

    Alternatif olarak, yalnızca AD RMS Küme bu etki alanında yoksa, yalnızca AD RMS kümesinin etki alanı adı belirtebilirsiniz.Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. Bizim örneğimizde, olacak contoso.com.In our example, that would be contoso.com. Yeniden yönlendirme, bu kaydı etki alanı adı belirttiğinizde, bu etki alanındaki tüm AD RMS kümesi uygular.When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    <Bağlantı noktası> numarası yok sayılır.The <port> number is ignored.

    İçin <Kiracı URL'nizi>, kendi koşulunuzu belirtmek kiracınız için Azure Rights Management hizmeti URL'sini.For <your tenant URL>, specify your own Azure Rights Management service URL for your tenant.

    DNS sunucusu rolü Windows Server üzerinde kullanıyorsanız, aşağıdaki tabloda DNS Yöneticisi konsolunu SRV kayıt özelliklerini belirtmek nasıl bir örnek olarak kullanabilirsiniz.If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    AlanField DeğerValue
    Etki alanıDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    HizmetService _rmsredir_rmsredir
    ProtokolüProtocol _http_http
    ÖncelikPriority 00
    ağırlığıWeight 00
    Bağlantı noktası numarasıPort number 8080
    Bu hizmeti sunan konakHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Bir izni verme için Office 2016 kullanıcıların AD RMS yayımlama uç noktasında ayarlayın:Set a deny permission for the Office 2016 users on the AD RMS publishing endpoint:

    a.a. AD RMS sunucularınızın kümedeki her birinde, Internet Information Services (IIS) Manager konsolunu başlatın.On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. Gidin varsayılan Web sitesi > _wmcs > lisanslama > licensing.asmxNavigate to Default Web Site > _wmcs > licensing > licensing.asmx

    c.c. Sağ licensing.asmx > özellikleri > DüzenleRight-click licensing.asmx > Properties > Edit

    d.d. İçinde licensing.asmx izinlerini iletişim kutusunda, her iki select kullanıcılar tüm kullanıcılar için yeniden yönlendirmesini ayarlamak veya istediğiniz Ekle ve ardından bir grup belirtin, yeniden yönlendirme istediğiniz kullanıcıları içerir.In the Permissions for licensing.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    Tüm kullanıcılarınız Office 2016 kullanıyor olsanız bile, başlangıçta kullanıcıları aşamalı bir geçiş için bir alt kümesi belirtmek tercih edebilirsiniz.Even if all your users are using Office 2016, you might prefer to initially specify a subset of users for a phased migration.

    e.e. Seçili grubunuzun seçin Reddet için okuma & yürütme ve okuma izni ve ardından Tamam iki kez.For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    f.f. Bu yapılandırma, beklendiği gibi çalıştığını doğrulamak için doğrudan bir tarayıcıdan licensing.asmx dosyaya bağlanmayı deneyin.To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. SRV kaydı için aramak için Office 2016 çalıştıran istemci tetikler aşağıdaki hata iletisini görmeniz gerekir:You should see the following error message, which triggers the client running Office 2016 to look for the SRV record:

    Hata iletisi 401.3: Bu dizini veya sayfayı (erişim erişim denetim listeleri nedeniyle reddedildi) sağlanan kimlik bilgileriyle görüntüleme izniniz yok.Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

Kayıt defteri düzenlemelerini kullanarak istemciyi yeniden yapılandırmaClient reconfiguration by using registry edits

Bu yöntem, tüm Windows istemcileri için uygundur ve Office 2016, ancak önceki bir sürümü çalıştırmayan varsa kullanılmalıdır.This method is suitable for all Windows clients and should be used if they do not run Office 2016 but an earlier version. Bu yöntem, AD RMS istemcilerini yeniden yapılandırmak için iki geçiş betikleri kullanılır:This method uses two migration scripts to reconfigure AD RMS clients:

  • Geçiş Client.cmdMigrate-Client.cmd

  • Geçiş User.cmdMigrate-User.cmd

İstemci yapılandırma betiğini (Client.cmd geçirme), bu değişiklik yapabilmeniz için bir güvenlik bağlamında çalıştırmanız gerekir yani kayıt defterinde bilgisayar düzeyinde ayarları yapılandırır.The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. Bu genellikle aşağıdaki yöntemlerden birini gelir:This typically means one of the following methods:

  • Grup İlkesi, bilgisayar başlatma komut dosyası olarak betiği çalıştırmak için kullanın.Use group policy to run the script as a computer startup script.

  • Grup İlkesi Yazılım yükleme komut dosyası için bilgisayar atamak için kullanın.Use group policy software installation to assign the script to the computer.

  • Betik bilgisayarlara dağıtmak için bir yazılım dağıtım çözümü kullanın.Use a software deployment solution to deploy the script to the computers. Örneğin, System Center Configuration Manager'ı kullanın paketler ve programlar.For example, use System Center Configuration Manager packages and programs. Paket ve program, özelliklerinde altında çalıştırma modu, betiği cihazda yönetici izinleri ile çalışacağını belirtirsiniz.In the properties of the package and program, under Run mode, specify that the script runs with administrative permissions on the device.

  • Kullanıcının yerel yönetici ayrıcalıklarına sahip bir oturum açma komut dosyası kullanın.Use a logon script if the user has local administrator privileges.

Kullanıcı yapılandırma betiğini (User.cmd geçirme), kullanıcı düzeyi ayarlarını yapılandırır ve istemci lisans deponun temizler.The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. Başka bir deyişle, bu betiği gerçek kullanıcı bağlamında çalıştırmanız gerekir.This means that this script must run in the context of the actual user. Örneğin:For example:

  • Oturum açma komut dosyası kullanın.Use a logon script.

  • Grup İlkesi Yazılım yükleme komut dosyasını çalıştırmak kullanıcının yayımlamak için kullanın.Use group policy software installation to publish the script for the user to run.

  • Betik kullanıcılara dağıtmak için bir yazılım dağıtım çözümü kullanın.Use a software deployment solution to deploy the script to the users. Örneğin, System Center Configuration Manager'ı kullanın paketler ve programlar.For example, use System Center Configuration Manager packages and programs. Paket ve program, özelliklerinde altında çalıştırma modu, betik kullanıcı izinleriyle çalışacağını belirtirsiniz.In the properties of the package and program, under Run mode, specify that the script runs with the permissions of the user.

  • Bunlar kendi bilgisayarlarına oturum açarken betik çalıştırmak için kullanıcıya sor.Ask the user to run the script when they are signed in to their computer.

İki betik, bir sürüm numarası içerir ve bu sürüm numarası değiştirilene kadar yeniden çalıştırmayın.The two scripts include a version number and do not rerun until this version number is changed. Bu, geçiş işlemi tamamlanana kadar komut dosyaları yerinde bırakabilirsiniz anlamına gelir.This means that you can leave the scripts in place until the migration is complete. Ancak, bilgisayarlar ve kullanıcılar, Windows bilgisayarlarında yeniden çalıştırmak istediğiniz betikleri değişiklik yaparsanız, her iki komut dosyasında aşağıdaki satırı daha yüksek bir değere güncelleştirin:However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

Kullanıcı yapılandırma betiğini sonra istemci yapılandırma betiğini çalıştırmak için tasarlanmıştır ve bu iade sürüm numarasını kullanır.The user configuration script is designed to run after the client configuration script, and uses the version number in this check. Aynı sürüme sahip istemci yapılandırma betiğini çalıştırılacak durdurur.It stops if the client configuration script with the same version has not run. Bu denetim, iki betik doğru sırada çalışmasını sağlar.This check ensures that the two scripts run in the right sequence.

Tüm Windows istemcileri tek seferde geçiremezsiniz geçiremediğiniz için aşağıdaki yordamları çalıştırın.When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. İstemci grubunuzda bulunan, geçirmek istediğiniz ve Windows bilgisayarı olan her bir kullanıcıyı, önceden oluşturduğunuz AIPMigrated grubuna ekleyin.For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

Kayıt defteri düzenlemeleri için komut dosyalarını değiştirmeModifying the scripts for registry edits

  1. Geçiş betiklerine için geçirme Client.cmd ve geçirme User.cmd, önceden ayıkladığınız zaman bu betiklerde indirdiğiniz Hazırlık aşaması.Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd, which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Bölümündeki yönergeleri geçirme Client.cmd betik kiracınızın Azure Rights Management hizmeti URL'sini içerir ve ayrıca küme extranet lisans URL'si ve intranet AD RMS sunucu adlarını değiştirmek için Lisans URL'si.Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. Ardından, daha önce açıklanan betik sürümü artırın.Then, increment the script version, which was previously explained. Betik sürümleri izlemek için iyi bir uygulama, bugünün tarihi şu biçimde kullanmaktır: YYYYMMDDA good practice for tracking script versions is to use today’s date in the following format: YYYYMMDD

    Önemli

    Önceden olduğu gibi, adreslerinizden önce veya sonra fazla boşluk bırakmamaya dikkat edin.As before, be careful not to introduce additional spaces before or after your addresses.

    Ayrıca AD RMS sunucularınızda SSL/TLS sunucu sertifikaları kullanılıyorsa lisanslama URL'si değerlerinin dizede 443 bağlantı noktası numarasını içerip içermediğini denetleyin.In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. Örneğin: https://rms.treyresearch.net:443/_wmcs/licensing.For example: https://rms.treyresearch.net:443/_wmcs/licensing. Active Directory Rights Management Services konsolunda küme adı ve görünümü tıkladığınızda bu bilgiyi bulabilirsiniz küme ayrıntıları bilgileri.You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. URL'nin bağlantı noktası numarası 443’ü içerdiğini görürseniz betiği değiştirirken bu değeri dahil edin.If you see the port number 443 included in the URL, include this value when you modify the script. Örneğin, https://rms.treyresearch.net:443.For example, https://rms.treyresearch.net:443.

    <KiracıURL’niz> için Azure Rights Management hizmeti URL’nizi almanız gerekiyorsa Azure Rights Management hizmeti URL’nizi belirlemek için bölümüne tekrar göz atın.If you need to retrieve your Azure Rights Management service URL for <YourTenantURL>, refer back to To identify your Azure Rights Management service URL.

  3. Yapılandırma yönergeleri Bu adımın başında kullanarak çalıştırmak için komut dosyası dağıtım yöntemleri geçirme Client.cmd ve geçirme User.cmd tarafından kullanılan Windows istemci bilgisayarlarda Aıpmigrated grubunun üyeleri.Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

Sonraki adımlarNext steps

Geçişe devam etmek için 4. aşama - destek hizmetleri yapılandırması bölümüne gidin.To continue the migration, go to phase 4 -supporting services configuration.