Sdílet prostřednictvím


Nasazení konektoru Microsoft Rights Management

Pomocí těchto informací se dozvíte o konektoru Microsoft Rights Management a o tom, jak ho úspěšně nasadit pro vaši organizaci. Tento konektor poskytuje ochranu dat pro stávající místní nasazení, která používají Microsoft Exchange Server, SharePoint Server nebo souborové servery se systémem Windows Server a infrastrukturu klasifikace souborů (FCI).

Přehled konektoru Microsoft Rights Management

Konektor Microsoft Rights Management (RMS) umožňuje rychle povolit stávajícím místním serverům používat funkce IRM (Správa přístupových práv k informacím) s cloudovou službou Microsoft Rights Management (Azure RMS). Díky této funkci můžou IT a uživatelé snadno chránit dokumenty a obrázky v organizaci i mimo ni, aniž by museli instalovat další infrastrukturu nebo navazovat vztahy důvěryhodnosti s jinými organizacemi.

Konektor RMS je služba s malými nároky, kterou instalujete místně, na servery se systémem Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. Kromě spuštění konektoru na fyzických počítačích ho můžete spustit také na virtuálních počítačích, včetně virtuálních počítačů Azure IaaS. Po nasazení konektoru funguje jako komunikační rozhraní (přenos) mezi místními servery a cloudovou službou, jak je znázorněno na následujícím obrázku. Šipky označují směr zahájení síťových připojení.

RMS connector architecture overview

Podporované místní servery

Konektor RMS podporuje následující místní servery: Exchange Server, SharePoint Server a souborové servery se systémem Windows Server a používají infrastrukturu klasifikace souborů ke klasifikaci a použití zásad pro dokumenty Office ve složce.

Poznámka:

Pokud chcete chránit více typů souborů (nejen dokumenty Office) pomocí infrastruktury klasifikace souborů, nepoužívejte konektor RMS, ale použijte rutiny AzureInformationProtection.

Verze těchto místních serverů, které jsou podporovány konektorem SLUŽBY RMS, najdete v tématu Místní servery, které podporují Azure RMS.

Podpora hybridních scénářů

Konektor RMS můžete použít i v případě, že se někteří uživatelé připojují k online služby v hybridním scénáři. Například poštovní schránky některých uživatelů používají Exchange Online a poštovní schránky některých uživatelů používají Exchange Server. Po instalaci konektoru RMS můžou všichni uživatelé chránit a využívat e-maily a přílohy pomocí Azure RMS a ochrana informací bez problémů funguje mezi těmito dvěma konfiguracemi nasazení.

Podpora klíčů spravovaných zákazníkem (BYOK)

Pokud spravujete vlastní klíč tenanta pro Azure RMS (scénář Přineste si vlastní klíč nebo BYOK), konektor RMS a místní servery, které ho používají, nemají přístup k modulu hardwarového zabezpečení (HSM), který obsahuje váš klíč tenanta. Důvodem je to, že všechny kryptografické operace, které používají klíč tenanta, se provádějí v Azure RMS, a ne místně.

Pokud se chcete dozvědět více o tomto scénáři, ve kterém spravujete klíč tenanta, přečtěte si téma Plánování a implementace klíče tenanta Služby Azure Information Protection.

Předpoklady pro konektor SLUŽBY RMS

Před instalací služby RMS Connector se ujistěte, že jsou splněny následující požadavky.

Požadavek Více informací
Služba ochrany je aktivována. Aktivace služby ochrany ze služby Azure Information Protection
Synchronizace adresářů mezi doménovými strukturami místní Active Directory a ID Microsoft Entra Po aktivaci služby RMS musí být ID Microsoft Entra nakonfigurované tak, aby fungovalo s uživateli a skupinami v databázi služby Active Directory.

Důležité: Tento krok synchronizace adresářů musíte provést, aby konektor SLUŽBY RMS fungoval, a to i pro testovací síť. I když můžete použít Microsoft 365 a Microsoft Entra ID pomocí účtů, které ručně vytvoříte v Microsoft Entra ID, tento konektor vyžaduje, aby účty v Microsoft Entra ID byly synchronizovány s Doména služby Active Directory Services; ruční synchronizace hesel nestačí.

Další informace naleznete v následujících zdrojích:

- Integrace místní Active Directory domén s ID Microsoft Entra

- Porovnání nástrojů pro integraci adresáře hybridní identity
Minimálně dva členské počítače, na kterých se má konektor RMS nainstalovat:

– 64bitový fyzický nebo virtuální počítač s jedním z následujících operačních systémů: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

- Minimálně 1 GB paměti RAM.

– Minimálně 64 GB místa na disku.

- Alespoň jedno síťové rozhraní.

- Přístup k internetu přes bránu firewall (nebo webový proxy server), který nevyžaduje ověřování.

– Musí být v doménové struktuře nebo doméně, která důvěřuje jiným doménovým strukturám v organizaci, které obsahují instalace serverů Exchange nebo SharePoint, které chcete používat s konektorem RMS.

– Nainstalované rozhraní .NET 4.7.2. V závislosti na vašem systému možná budete muset stáhnout a nainstalovat ho samostatně.
Pokud chcete odolnost proti chybám a vysokou dostupnost, musíte konektor RMS nainstalovat na minimálně dva počítače.

Tip: Pokud používáte Outlook Web Access nebo mobilní zařízení, která používají protokol Exchange ActiveSync IRM a je důležité udržovat přístup k e-mailům a přílohům chráněným službou Azure RMS, doporučujeme nasadit skupinu konektorových serverů s vyrovnáváním zatížení, abyste zajistili vysokou dostupnost.

Ke spuštění konektoru nepotřebujete vyhrazené servery, ale musíte ho nainstalovat na samostatný počítač od serverů, které budou konektor používat.

Důležité: Neinstalujte konektor do počítače, na kterém běží Exchange Server, SharePoint Server nebo souborový server nakonfigurovaný pro infrastrukturu klasifikace souborů, pokud chcete používat funkce z těchto služeb s Azure RMS. Tento konektor také neinstalujte na řadič domény.

Pokud máte serverové úlohy, které chcete používat s konektorem SLUŽBY RMS, ale jejich servery jsou v doménách, které nejsou důvěryhodné pro doménu, ze které chcete konektor spustit, můžete do těchto nedůvěryhodných domén nebo jiných domén v jejich doménové struktuře nainstalovat další servery konektoru RMS.

Počet serverů konektorů, které můžete spustit pro svoji organizaci, a všechny servery konektorů nainstalované v organizaci nemají stejnou konfiguraci. Pokud ale chcete konektor nakonfigurovat tak, aby autorizoval servery, musíte být schopni vyhledat účty serveru nebo služeb, které chcete autorizovat, což znamená, že musíte spustit nástroj pro správu RMS v doménové struktuře, ze které můžete tyto účty procházet.
TLS verze 1.2 Další informace najdete v tématu Vynucení protokolu TLS 1.2 pro azure RMS Připojení or.

Postup nasazení konektoru RMS

Konektor automaticky nekontroluje všechny požadavky potřebné k úspěšnému nasazení, proto se ujistěte, že jsou splněné před zahájením. Nasazení vyžaduje, abyste nainstalovali konektor, nakonfigurovali konektor a pak nakonfigurovali servery, které chcete konektor používat.

Další kroky

Přejděte ke kroku 1: Instalace a konfigurace konektoru Microsoft Rights Management.