Konfigurieren von Servern für den Microsoft Rights Management-Connector

  • Artikel

Anhand der folgenden Informationen können Sie Ihre eigenen Server konfigurieren, die den Connector von Azure Rights Management (RMS) verwenden sollen. Diese Verfahren umfassen Schritt 5 von Einsatz des Microsoft Rights Management-Connectors.

Voraussetzungen: Bevor Sie beginnen, vergewissern Sie sich, dass Sie alles haben: - Installieren und Konfigurieren des RMS-Konnektors - Überprüfen aller Voraussetzungen, die für die Server, die den Konnektor verwenden sollen, relevant sind.

Konfigurieren von Servern für die Verwendung des RMS-Connectors

Nachdem Sie den RMS-Connector installiert und konfiguriert haben, können Sie die lokalen Server konfigurieren, die eine Verbindung mit dem Azure Rights Management Service herstellen und diese Schutztechnologie mithilfe des Connectors nutzen sollen.

Das bedeutet, dass die folgenden Server konfiguriert werden müssen:

Environment Server zum Konfigurieren
Exchange 2013 Clientzugriffsserver und Postfachserver
Exchange 2016 und Exchange 2019 Postfachserver (umfasst Clientzugriffs- und Hub-Transportserverrollen)
SharePoint Front-End-SharePoint Webserver, einschließlich der Server, die den Zentraladministrationsserver hosten
Dateiklassifizierungsinfrastruktur Windows Server-Computer mit installiertem Ressourcen-Manager für Dateien

Diese Konfiguration erfordert Registrierungseinstellungen mit den folgenden Optionen:

Wichtig

In beiden Fällen müssen Sie alle erforderlichen Voraussetzungen manuell installieren und Exchange, SharePoint und die Dateiklassifizierungsinfrastruktur für die Verwendung von Rights Management konfigurieren.

Hinweis

Für die meisten Organisationen ist die automatische Konfiguration mit dem Serverkonfigurationstool für Microsoft RMS-Connector die bessere Option, da sie mehr Effizienz und Zuverlässigkeit bietet als die manuelle Konfiguration.

Nachdem Sie die Konfigurationsänderungen auf diesen Servern vorgenommen haben, müssen Sie sie neu starten, wenn auf diesen Exchange oder SharePoint ausgeführt wird und die Server zuvor zur Verwendung von AD RMS konfiguriert waren. Diese Server müssen nicht neu gestartet werden, wenn Sie sie zum ersten Mal für die Rights Management konfigurieren.

Der Dateiserver, der für die Verwendung der Dateiklassifizierungsinfrastruktur konfiguriert wird muss nach diesen Konfigurationsänderungen immer neu gestartet werden.

Registrierungseinstellungen automatisch bearbeiten – Vorteile und Nachteile

Bearbeiten Sie Ihre Registrierungseinstellungen automatisch, indem Sie das Serverkonfigurationstool für den Microsoft RMS-Connector verwenden.

Folgende Vorteile bestehen:

  • Kein direktes Bearbeiten der Registrierung. Automatisierung anhand eines Skripts.

  • Sie müssen kein Windows PowerShell-Cmdlet ausführen, um Ihre Microsoft RMS-URL abzurufen.

  • Die Voraussetzungen werden bei lokaler Ausführung automatisch für Sie überprüft (aber nicht automatisch erfüllt).

Nachteile sind: Wenn Sie das Tool ausführen, müssen Sie eine Verbindung zu einem Server herstellen, auf dem der RMS-Connector bereits läuft.

Weitere Informationen finden Sie unter Verwendung des Serverkonfigurationstools für Microsoft RMS Connector.

Manuelles Bearbeiten von Registrierungseinstellungen – Vorteile und Nachteile

Vorteile sind: Es ist keine Verbindung zu einem Server erforderlich, auf dem der RMS-Connector läuft.

Nachteile sind:

  • Mehr Verwaltungsaufwand mit Anfälligkeit für Fehler.

  • Sie müssen Ihre Microsoft RMS-URL abrufen und dazu einen Windows PowerShell-Befehl ausführen.

  • Sie müssen immer alle Voraussetzungen selbst überprüfen.

Verwendung des Serverkonfigurationstools für den Microsoft RMS-Connector

  1. Wenn Sie das Skript für das Serverkonfigurationstool für den Microsoft RMS-Verbindungsdienst (GenConnectorConfig.ps1) noch nicht heruntergeladen haben, laden Sie es im Microsoft Download Center herunter.

  2. Speichern Sie die Datei GenConnectorConfig.ps1 auf dem Computer, auf dem Sie das Tool ausführen werden.

    Wenn Sie das Tool lokal ausführen, muss dies der Server sein, den Sie für die Kommunikation mit dem RMS-Connector konfigurieren möchten. Andernfalls können Sie sie auf einem beliebigen Computer speichern.

  3. Entscheiden Sie, wie das Tool ausgeführt werden soll:

    Methode Beschreibung
    Lokal Führen Sie das Tool interaktiv auf dem Server aus, der für die Kommunikation mit dem RMS-Verbindungsdienst konfiguriert werden soll.

    Tipp: Dies ist nützlich für eine einmalige Konfiguration, z. B. für eine Testumgebung.
    Softwarebereitstellung Führen Sie das Tool aus, um Registrierungsdateien zu erstellen, die Sie dann für einen oder mehrere relevante Server bereitstellen.

    Stellen Sie die Registrierungsdateien mit einer Systemverwaltungsanwendung bereit, die die Softwarebereitstellung unterstützt, wie z. B. System Center Configuration Manager.
    Gruppenrichtlinie Sie können das Tool ausführen, um ein Skript zu erzeugen, das Sie an einen Administrator weitergeben können, der Gruppenrichtlinienobjekte für die zu konfigurierenden Server erstellen kann.

    Dieses Skript erstellt ein Gruppenrichtlinienobjekt für jeden zu konfigurierenden Servertyp, das der Administrator dann den betreffenden Servern zuweisen kann.

    Hinweis

    Dieses Tool konfiguriert die Server, die mit dem RMS-Connector kommunizieren und am Anfang dieses Abschnitts aufgeführt sind. Führen Sie dieses Tool nicht auf den Servern aus, auf denen der RMS-Connector ausgeführt wird.

  4. Starten Sie die Windows PowerShell mit der Option Als Administrator ausführen, und verwenden Sie den Befehl „Get-help“, um Anleitungen zur Verwendung des Tools für Ihre gewählte Konfigurationsmethode anzuzeigen:

    Get-help .\GenConnectorConfig.ps1 -detailed

Zum Ausführen des Skripts müssen Sie die URL des RMS-Connectors für Ihre Organisation eingeben.

Geben Sie das Protokollpräfix (HTTP:// oder HTTPS://) und den Namen des Connectors ein, den Sie in DNS für die Adresse mit Lastenausgleich Ihres Connectors definiert haben. Beispielsweise https:\//connector.contoso.com.

Das Tool verwendet diese URL dann zum Kontaktieren der Server mit dem RMS-Connector und zum Abrufen anderer Parameter, die zum Erstellen der erforderlichen Konfigurationen verwendet werden.

Wichtig

Stellen Sie beim Ausführen dieses Tools sicher, dass Sie den Namen des RMS-Connectors mit Lastenausgleich für Ihre Organisation und nicht den Namen eines einzelnen Servers angeben, auf dem der RMS-Connector-Dienst ausgeführt wird.

Die folgenden Abschnitte enthalten spezifische Informationen zu jedem Diensttyp:

Wenn Client-Anwendungen auf separaten Computern installiert werden sollen, die nicht für die Verwendung des Connectors konfiguriert sind

Wenn diese Server für die Verwendung des Connectors konfiguriert sind, funktionieren Clientanwendungen, die lokal auf diesen Servern installiert sind, möglicherweise nicht mit RMS. Das liegt dann daran, dass die Anwendungen versuchen, den Connector und nicht direkt RMS zu verwenden, was nicht unterstützt wird.

Sie müssen die Clientanwendungen auf separaten Computern installieren, die nicht für die Verwendung des Connectors konfiguriert sind. Sie werden dann korrekt RMS direkt verwenden.

Konfiguration eines Exchange-Servers für die Verwendung des Connectors

Die folgenden Exchange-Rollen kommunizieren mit dem RMS-Connector:

  • Für Exchange 2016 und Exchange 2013: Clientzugriffsserver und Postfachserver

  • Für Exchange 2019: Client-Zugangsserver und Hub-Transportserver

Zum Verwenden des RMS-Connectors müssen diese Server, auf denen Exchange ausgeführt wird, eine der folgenden Softwareversionen haben:

  • Exchange Server 2016

  • Exchange Server 2013 mit Exchange 2013, kumulatives Update 3

  • Exchange Server 2019

Außerdem benötigen Sie auf diesen Servern eine Version 1 des RMS-Clients (auch als MSDRM bezeichnet), die Unterstützung für den RMS-Kryptografiemodus 2 beinhaltet. Alle Windows-Betriebssysteme enthalten den MSDRM-Client, aber frühe Versionen des Clients haben den Kryptografiemodus 2 nicht unterstützt. Wenn Ihre Exchange-Server mindestens Windows Server 2012 ausführen, ist keine weitere Aktion erforderlich, da der mit diesen Betriebssystemen installierte RMS-Client den Kryptografiemodus 2 nativ unterstützt.

Wichtig

Wenn diese Versionen oder höhere Versionen von Exchange und dem MSDRM-Client nicht installiert sind, können Sie Exchange nicht für die Verwendung des Connectors konfigurieren. Überprüfen Sie, ob diese Versionen installiert sind, bevor Sie fortfahren.

Konfiguration von Exchange-Servern für die Verwendung des Connectors

  1. Stellen Sie anhand des Verwaltungstools für den RMS-Connector und der Informationen aus dem Abschnitt Autorisieren von Servern zur Verwendung des RMS-Connectors sicher, dass die Exchange-Server zur Verwendung des RMS-Connectors autorisiert sind.

    Diese Konfiguration ist erforderlich, damit Exchange den RMS-Connector verwenden kann.

  2. Führen Sie bei den Exchange-Serverrollen, die mit dem RMS-Connector kommunizieren, eine der folgenden Aktionen aus:

  3. Aktivieren Sie die IRM-Funktionalität für Exchange mit dem Exchange PowerShell-Cmdlet Set-IRMConfiguration. Legen Sie InternalLicensingEnabled $true und ClientAccessServerEnabled $true fest.

Konfiguration eines SharePoint-Servers für die Verwendung des Connectors

Front-End-SharePoint Webserver, einschließlich der Server, die den Zentraladministrationsserver hosten, kommunizieren mit dem RMS-Connector.

Zum Verwenden des RMS-Connectors müssen diese Server, auf denen SharePoint ausgeführt wird, eine der folgenden Softwareversionen haben:

  • SharePoint Server 2019

  • SharePoint Server 2016

  • SharePoint Server 2013

Auf einem Server, auf dem SharePoint 2019, 2016 oder SharePoint 2013 ausgeführt wird, muss auch eine Version des MSIPC-Clients 2.1 ausgeführt werden, die mit dem RMS-Connector unterstützt wird.

Um sicherzustellen, dass Sie eine unterstützte Version haben, laden Sie den neuesten Client aus dem Microsoft Download Center herunter.

Warnung

Es gibt mehrere Versionen des MSIPC 2.1-Clients. Vergewissern Sie sich deshalb, dass Sie die Version 1.0.2004.0 oder höher haben.

Sie können die Clientversion anhand der Versionsnummer von MSIPC.dll ermitteln, die sich in \Programme\Active Directory Rights Management Services Client 2.1 befindet. Im Dialogfeld Eigenschaften wird die Versionsnummer des MSIPC 2.1-Clients angezeigt.

Konfiguration eines SharePoint-Servers für die Verwendung des Connectors

  1. Stellen Sie anhand des Verwaltungstools für den RMS-Connector und der Informationen aus dem Abschnitt Autorisieren von Servern zur Verwendung des RMS-Connectors sicher, dass die SharePoint-Server zur Verwendung des RMS-Connectors autorisiert sind.

    Diese Konfiguration ist erforderlich, damit Ihre SharePoint-Server den RMS-Connector verwenden können.

  2. Führen Sie auf den SharePoint-Servern, die mit dem RMS-Connector kommunizieren, eine der folgenden Aktionen aus:

    • Führen Sie das Serverkonfigurationstool für den Microsoft RMS-Verbindungsdienst aus.

      Weitere Informationen finden Sie unter Verwendung des Serverkonfigurationstools für Microsoft RMS Connector.

      Um beispielsweise das Tool lokal zum Konfigurieren eines Servers mit ausgeführtem SharePoint 2019, 2016 auszuführen:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetSharePoint2013

    • Wenn Sie SharePoint 2019, 2016 oder SharePoint 2013 verwenden, nehmen Sie manuelle Registrierungsänderungen vor, indem Sie die Informationen in Registrierungseinstellungen für den RMS-Connector verwenden, um manuell Registrierungseinstellungen auf den Servern hinzuzufügen.

  3. Aktivieren sie IRM in SharePoint. Beim Befolgen dieser Anweisungen müssen Sie SharePoint für die Verwendung des Connectors konfigurieren, indem Sie Diesen RMS-Server verwenden angeben und dann die konfigurierte URL des Connectors mit Lastenausgleich eingeben.

    Geben Sie das Protokollpräfix (HTTP:// oder HTTPS://) und den Namen des Connectors ein, den Sie in DNS für die Adresse mit Lastenausgleich Ihres Connectors definiert haben.

    Wenn der Name Ihres Anschlusses beispielsweise https:\//connector.contoso.com lautet, sieht Ihre Konfiguration wie in der folgenden Abbildung aus:

    Configuring SharePoint Server for the RMS connector

    Wenn IRM in einer SharePoint-Farm aktiviert ist, können Sie IRM für einzelne Bibliotheken aktivieren, indem Sie die Option Information Rights Management auf der Seite Bibliothekseinstellungen für jede der Bibliotheken verwenden.

Konfiguration eines Dateiservers für die Dateiklassifizierungsinfrastruktur für die Verwendung des Connectors

Zum Verwenden des RMS-Connectors und der Dateiklassifizierungsinfrastruktur zum Schutz von Office-Dokumenten muss der Dateiserver eines der folgenden Betriebssysteme haben:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

Konfiguration von Dateiservern für die Verwendung des Connectors

  1. Stellen Sie anhand des Verwaltungstools für den RMS-Connector und der Informationen aus dem Abschnitt Autorisieren von Servern zur Verwendung des RMS-Connectors sicher, dass die Dateiserver zur Verwendung des RMS-Connectors autorisiert sind.

    Diese Konfiguration ist erforderlich, damit Ihre Dateiserver den RMS-Connector verwenden können.

  2. Führen Sie auf den Dateiservern, die für die Dateiklassifizierungsinfrastruktur konfiguriert sind und mit dem RMS-Connector kommunizieren sollen, eine der folgenden Aktionen aus:

    • Führen Sie das Serverkonfigurationstool für den Microsoft RMS-Verbindungsdienst aus.

      Weitere Informationen finden Sie unter Verwendung des Serverkonfigurationstools für Microsoft RMS Connector.

      Um beispielsweise das Tool lokal zum Konfigurieren eines Dateiservers mit ausgeführtem FCI auszuführen:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetFCI2012

    • Nehmen Sie manuelle Registrierungsänderungen vor, indem Sie die Informationen in Registrierungseinstellungen für den RMS-Konnektor verwenden, um manuell Registrierungseinstellungen auf den Servern hinzuzufügen.

  3. Erstellen Sie Klassifizierungsregeln und Dateiverwaltungsaufgaben zum Schützen von Dokumenten mit RMS-Verschlüsselung und geben Sie dann eine RMS-Vorlage zum automatischen Anwenden von RMS-Richtlinien an.

    Weitere Informationen finden Sie unter Übersicht über den Ressourcen-Manager für Dateiserverin der Dokumentbibliothek für Windows Server.

Nächste Schritte

Nachdem der RMS-Connector nun installiert und konfiguriert ist und Ihre Server für seine Verwendung konfiguriert sind, können IT-Administratoren und Benutzer E-Mail-Nachrichten und Dokumente über den Azure Rights Management-Dienst schützen und nutzen.

Um das für Benutzer zu vereinfachen, können Sie den Azure Information Protection-Client bereitstellen, der ein Add-On für Office installiert und neue Rechtsklick-Optionen zum Datei-Explorer hinzufügt.

Weitere Informationen finden Sie im Administratorhandbuch zum Azure Information Protection-Client.

Beachten Sie, dass beim Konfigurieren abteilungsspezifischer Vorlagen, die Sie mit Exchange-Transportregeln oder Windows Server-FCI verwenden möchten, die Bereichskonfiguration die Anwendungskompatibilitätsoption enthalten muss, sodass das Kontrollkästchen Diese Vorlage für alle Benutzer anzeigen, wenn die Anwendungen die Benutzeridentität nicht unterstützen ausgewählt ist.

Sie können anhand der Bereitstellungs-Roadmap für Azure Information Protection prüfen, ob es weitere Konfigurationsschritte gibt, die Sie ausführen sollten, bevor Sie Azure Rights Management für Benutzer und Administratoren bereitstellen.

Um den RMS-Connector zu überwachen, siehe Überwachung des Microsoft Rights Management-Connectors.