Bereitstellen des Microsoft Rights Management-Connectors

Nutzen Sie diese Informationen, um sich über den Microsoft Rights Management-Connector zu informieren, und erfahren Sie, wie Sie ihn erfolgreich in Ihrer Organisation einsetzen können. Dieser Connector bietet Datenschutz für bestehende lokale Bereitstellungen, die Microsoft Exchange Server, SharePoint Server oder Dateiserver mit Windows Server und File Classification Infrastructure (FCI) verwenden.

Übersicht über den Microsoft Rights Management-Verbindungsdienst

Mit dem Microsoft Rights Management-Connector können Sie schnell vorhandene lokale Server für die Verwendung ihrer IRM-Funktionalität mit dem cloudbasierten Microsoft Rights Management Service (Azure RMS) aktivieren. Mit dieser Funktionalität können IT-Abteilungen und Benutzer Dokumente und Bilder, sowohl innerhalb als auch außerhalb der Organisation, ganz einfach schützen, ohne zusätzliche Infrastruktur installieren oder Vertrauensstellungen mit anderen Organisationen einrichten zu müssen.

Der RMS-Connector ist ein kleiner Dienst, der lokal auf Servern installiert wird, die unter Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 ausgeführt werden. Zusätzlich zum Ausführen des Connectors auf physischen Computern können Sie ihn auch auf virtuellen Computern ausführen, einschließlich virtuellen Azure IaaS-Computern. Nachdem Sie den Connector bereitgestellt haben, fungiert er wie in der folgenden Abbildung dargestellt als Kommunikationsschnittstelle (Relay) zwischen den lokalen Servern und dem Clouddienst. Die Pfeile zeigen die Richtung an, in der Netzwerkverbindungen initiiert werden.

RMS connector architecture overview

Unterstützung lokaler Server

Der RMS-Verbindungsdienst unterstützt die folgenden lokalen Server: Exchange Server, SharePoint Server und Dateiserver, die unter Windows Server ausgeführt werden und die Dateiklassifizierungsinfrastruktur verwenden, um Richtlinien zu klassifizieren und auf Office-Dokumente in einem Ordner anzuwenden.

Hinweis

Wenn Sie mehrere Dateitypen (nicht nur Office-Dokumente) mit der Dateiklassifizierungsinfrastruktur schützen möchten, verwenden Sie nicht den RMS-Connector, sondern die AzureInformationProtection-Cmdlets.

Informationen zu den Versionen dieser lokalen Server, die vom RMS-Connector unterstützt werden, finden Sie unter Lokale Server, die Azure RMS unterstützen.

Unterstützung für Hybridszenarios

Sie können den RMS-Connector auch dann verwenden, wenn einige Benutzer Verbindungen mit Onlinediensten in einem Hybridszenario herstellen. Beispielsweise könnte es sein, dass für die Postfächer einiger Benutzer Exchange Online und für die Postfächer einiger anderer Benutzer Exchange Server verwendet wird. Nachdem Sie den RMS-Connector (RMS-Verbindungsdienst) installiert haben, können alle Benutzer E-Mails und Anlagen mithilfe von Azure RMS schützen und nutzen, und der Informationsschutz zwischen den beiden Bereitstellungskonfigurationen funktioniert nahtlos.

Unterstützung für von Kunden verwaltete Schlüssel (BYOK)

Wenn Sie Ihren eigenen Mandantenschlüssel für Azure RMS verwalten (das „Bring Your Own Key“- oder BYOK-Szenario), greifen der RMS-Connector und die lokalen Server, die ihn verwenden, nicht auf das Hardwaresicherheitsmodul (HSM) zu, das Ihren Mandantenschlüssel enthält. Dies liegt daran, dass alle kryptografischen Vorgänge, bei denen der Mandantenschlüssel zum Einsatz kommt, in Azure RMS und nicht lokal ausgeführt werden.

Weitere Informationen über dieses Szenario, in dem Sie Ihren Mandantenschlüssel verwalten, finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

Voraussetzungen für den RMS-Verbindungsdienst

Stellen Sie vor der Installation des RMS-Verbindungsdiensts sicher, dass folgende Voraussetzungen erfüllt sind.

Anforderung Weitere Informationen
Der Schutzdienst ist nicht aktiviert Aktivieren des Schutzdiensts von Azure Information Protection aus
Verzeichnissynchronisierung zwischen Ihren lokalen Active Directory-Gesamtstrukturen und Azure Active Directory Nachdem RMS aktiviert wurde, muss Azure Active Directory so konfiguriert werden, dass es mit den Benutzern und Gruppen in Ihrer Active Directory-Datenbank arbeitet.

Wichtig: Dieser Verzeichnissynchronisierungsschritt ist erforderlich, damit der RMS-Verbindungsdienst funktioniert, und zwar auch bei einem Testnetzwerk. Auch wenn Sie Microsoft 365 und Azure Active Directory verwenden können, indem Sie manuell in Azure Active Directory erstellte Konten verwenden, erfordert der Connector, dass die Konten in Azure Active Directory mit den Active Directory-Domänendiensten synchronisiert werden. Die manuelle Kennwortsynchronisierung ist nicht ausreichend.

Weitere Informationen finden Sie in den folgenden Ressourcen:

- Integrieren lokaler Active Directory-Domänen in Azure Active Directory

- Vergleich von Tools für die Verzeichnisintegration für Hybrid-Identitäten
Mindestens zwei Member-Computer, auf denen der RMS-Verbindungsdienst installiert wird:

- Ein physischer oder virtueller 64-Bit-Computer, auf dem eines der folgenden Betriebssysteme ausgeführt wird: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

- Mindestens 1 GB RAM

- Mindestens 64 GB Datenträgerspeicherplatz

- Mindestens eine Netzwerkschnittstelle

- Zugriff auf das Internet über eine Firewall (oder einen Web-Proxy), der keine Authentifizierung erfordert.

- Muss sich in einer Gesamtstruktur oder Domäne befinden, die eine Vertrauensstellung zu anderen organisationsinternen Gesamtstrukturen hat, die Installationen von Exchange- oder SharePoint-Servern enthalten, die Sie mit dem RMS-Connector verwenden möchten.

- .NET 4.7.2-Installation Je nach System müssen Sie dies möglicherweise separat herunterladen und installieren.
Für Fehlertoleranz und Hochverfügbarkeit müssen Sie den RMS-Verbindungsdienst auf mindestens zwei Computern installieren.

Tipp: Wenn Sie Outlook Web Access oder mobile Geräte verwenden, die Exchange ActiveSync IRM nutzen, und es wichtig ist, dass Sie den Zugriff auf mit Azure RMS geschützte E-Mails und Anlagen aufrechterhalten, empfiehlt sich Folgendes: Stellen Sie eine Gruppe von Verbindungsdienstservern mit Lastenausgleich bereit, um Hochverfügbarkeit zu gewährleisten.

Sie benötigen keine dedizierten Server zum Ausführen des Verbindungsdiensts, Sie müssen ihn jedoch auf einem anderen Computer als die Server installieren, die den Verbindungsdienst verwenden werden.

Wichtig: Installieren Sie den Verbindungsdienst nicht auf einem Computer, auf dem Exchange Server, SharePoint Server oder ein Dateiserver ausgeführt wird, der für die Dateiklassifizierungsinfrastruktur konfiguriert ist, wenn Sie die Funktionalität dieser Dienste mit Azure RMS verwenden möchten. Darüber hinaus dürfen Sie diesen Verbindungsdienst nicht auf einem Domänencontroller installieren.

Wenn Sie bestimmte Serverworkloads mit dem RMS-Connector verwenden möchten, die entsprechenden Server sich aber in Domänen befinden, denen von der Domäne, in der Sie den Connector ausführen möchten, nicht vertraut wird, können Sie weitere RMS-Connectorserver in diesen nicht vertrauenswürdigen Domänen oder in anderen Domänen in der Gesamtstruktur installieren.

Es besteht keine Einschränkung hinsichtlich der Anzahl von Connectorservern, die Sie für Ihre Organisation ausführen können, und alle in der Organisation installierten Connectorserver verwenden die gleiche Konfiguration. Um jedoch den Connector für die Autorisierung von Servern zu konfigurieren, müssen Sie nach den Server- oder Dienstkonten suchen können, die Sie autorisieren möchten. Sie müssen also das RMS-Verwaltungstool in einer Gesamtstruktur ausführen, von der aus Sie nach diesen Konten suchen können.
TLS-Version 1.2 Weitere Informationen finden Sie unter Erzwingen von TLS 1.2 für den Azure RMS-Connector.

Schritte zur Bereitstellung des RMS-Connectors

Der Connector überprüft nicht automatisch alle Voraussetzungen, die für eine erfolgreiche Bereitstellung erforderlich sind. Stellen Sie daher vor Beginn sicher, dass diese erfüllt sind. Für die Bereitstellung müssen Sie den Connector installieren und konfigurieren und dann die Server konfigurieren, die den Connector verwenden sollen.

Nächste Schritte

Gehe zu Schritt 1: Installieren und Konfigurieren des Microsoft Rights Management-Connectors.