迁移阶段 3 - 客户端配置

适用于:Active Directory Rights Management Services、Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

对于从 AD RMS 迁移到 Azure 信息保护的第 3 阶段,请使用以下信息。 这些过程涵盖从 AD RMS迁移到 Azure 信息保护的步骤 7。

步骤 7. 重新配置Windows以使用 Azure 信息保护

使用以下方法Windows重新配置计算机以使用 Azure 信息保护:

  • DNS 重定向。 最简单且首选的方法(如果受支持)。

    支持Windows 2016 Office或更高版本即点即用桌面应用的计算机,包括:

    • Microsoft 365应用
    • 2019 Office 2019 年 1 月
    • Office 2016 单击以运行桌面应用

    要求创建新的 SRV 记录,并针对 AD RMS 发布终结点上的用户设置 NTFS 拒绝权限。

    有关详细信息,请参阅使用 DNS 重定向重新配置客户端

  • 注册表编辑。 适用于所有支持的环境,包括:

    • Windows使用 Office 2016 或更高版本即点即用桌面应用的计算机,如上所列
    • Windows其他应用的计算机

    手动进行所需的注册表更改,或编辑和部署可下载的脚本,以更改注册表。

    有关详细信息,请参阅使用 注册表编辑重新配置客户端

提示

如果混合了 Office 版本,并且这些版本可以且不能使用 DNS 重定向,可以使用 DNS 重定向和编辑注册表的组合,或者将注册表编辑为所有 Windows 计算机的单个方法。

使用 DNS 重定向重新配置客户端

此方法仅适用于运行 Microsoft 365 应用和 Office 2016 (或更高版本的 Windows 客户端) 即点即用桌面应用。

  1. 使用以下格式创建 DNS SRV 记录:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    对于 AD RMS 群集 >,指定 AD RMS 群集的 FQDN。 例如 ,rmscluster.contoso.com

    忽略 >端口号。

    对于 租户 URL, >请为租户指定自己的>

    如果在 Windows 服务器上使用 DNS 服务器角色,可以使用下表作为示例,了解如何在 DNS 管理器控制台中指定 SRV 记录属性。

    字段
    _tcp.rmscluster.contoso.com
    服务 _rmsredir
    协议 _http
    优先级 0
    权重 0
    端口号 80
    提供此服务的主机 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. 为运行 Microsoft 365 应用或 Office 2016 (或更高版本的用户在 AD RMS 发布终结点上) :

    a. 在群集中的一个 AD RMS 服务器上,启动 IIS Internet Information Services (控制台) IIS。

    b. 导航到"默认网站",并展开_wmcs"。

    c. 右键单击"许可",然后选择"切换到内容视图"。

    d. 在详细信息窗格中,右键单击"license.asmx属性编辑"

    e. 在"license.asmx的权限"对话框中,如果要为所有用户设置重定向,请选择"用户",或单击"添加",然后指定包含要重定向的用户的组。

    即使所有用户使用支持 DNS 重定向Office版本,您也可能希望最初指定一部分用户进行分阶段迁移。

    f. 对于所选组,选择" 读取执行 " "读取" 权限 的"拒绝",并单击"确定 "两 次。

    g. 若要确认此配置是否正常工作,请尝试直接从浏览器连接到 licensing.asmx 文件。 应会看到以下错误消息,该消息触发运行 Microsoft 365 应用或 Office 2019 或 Office 2016 的客户端以查找 SRV 记录:

    错误消息 401.3:由于访问控制列表) ,你无权使用提供的凭据查看此目录或页面 (访问被拒绝。

使用注册表编辑重新配置客户端

此方法适用于所有 Windows 客户端,如果它们未运行 Microsoft 365 应用或 Office 2016 (或更高版本) 。 此方法使用两个迁移脚本重新配置 AD RMS 客户端:

  • Migrate-Client.cmd

  • Migrate-User.cmd

客户端配置脚本 (Migrate-Client.cmd) 在注册表中配置计算机级设置,这意味着它必须在可进行这些更改的安全上下文中运行。 这通常意味着以下方法之一:

  • 使用组策略以计算机启动脚本运行脚本。

  • 使用组策略软件安装将脚本分配给计算机。

  • 使用软件部署解决方案将脚本部署到计算机。 例如,使用 System Center Configuration Manager包和程序。 在包和程序的属性中 ,在"运行模式"下指定脚本在设备上使用管理权限运行。

  • 如果用户具有本地管理员权限,请使用登录脚本。

用户配置脚本 (Migrate-User.cmd) 配置用户级设置并清理客户端许可证存储。 这意味着此脚本必须在实际用户的上下文中运行。 例如:

  • 使用登录脚本。

  • 使用组策略软件安装发布脚本供用户运行。

  • 使用软件部署解决方案将脚本部署到用户。 例如,使用 System Center Configuration Manager包和程序。 在包和程序的属性中,在"运行 模式"下指定脚本使用用户的权限运行。

  • 要求用户在登录到其计算机时运行脚本。

这两个脚本包含版本号,在更改此版本号之前不会重新运行。 这意味着,在迁移完成之前,可以保留脚本。 但是,如果对希望计算机和用户重新运行其 Windows 的脚本进行更改,请同时将两个脚本中的以下行更新为更高的值:

SET Version=20170427

用户配置脚本设计为在客户端配置脚本之后运行,并使用此检查中的版本号。 如果同一版本的客户端配置脚本未运行,它将停止。 此检查可确保两个脚本按正确的顺序运行。

如果无法一次迁移Windows客户端,请对客户端批运行以下过程。 对于拥有要Windows迁移的虚拟机的每个用户,将该用户添加到之前创建的AIPMigrated组。

修改用于注册表编辑的脚本

  1. 返回到之前在准备阶段下载这些脚本时提取的迁移脚本Migrate-Client.cmdMigrate-User.cmd。

  2. 按照 Migrate-Client.cmd 中的说明修改脚本,使脚本包含租户的 Azure Rights Management 服务 URL,以及 AD RMS 群集 Extranet 许可 URL 和 Intranet 许可 URL 的服务器名称。 然后,递增脚本版本,如前所述。 跟踪脚本版本的一个好的做法是使用以下格式的今天日期:YYYYMMDD

    重要

    像以前一样,请注意不要在你的地址之前或之后引入其他空格。

    此外,如果 AD RMS 服务器使用 SSL/TLS 服务器证书,请检查许可 URL 值是否在字符串中包括端口号443。 例如 https://rms.treyresearch.net:443/_wmcs/licensing :。 单击群集名称并查看群集详细信息Active Directory Rights Management Services控制台中可以找到此信息。 如果 URL 中包含端口号 443,则修改脚本时请包含此值。 例如 https://rms.treyresearch.nethttps://rms.treyresearch.net

    如果需要检索 YourTenantURL >的 Azure Rights Management 服务 URL,请重新参阅 识别>

  3. 按照此步骤开头的说明,配置脚本部署方法,在 AIPMigrated 组的成员使用的 Windows 客户端计算机上运行Migrate-Client.cmdMigrate-User.cmd。

下一步

若要继续迁移,请转到第 4 阶段 - 支持服务配置