Freigeben über


Bereitstellen des Microsoft Rights Management-Connectors

Nutzen Sie diese Informationen, um sich über den Microsoft Rights Management-Connector zu informieren, und erfahren Sie, wie Sie ihn erfolgreich in Ihrer Organisation einsetzen können. Dieser Connector bietet Datenschutz für bestehende lokale Bereitstellungen, die Microsoft Exchange Server, SharePoint Server oder Dateiserver mit Windows Server und File Classification Infrastructure (FCI) verwenden.

Überwachen Sie den Microsoft Rights Management Connector

Mit dem Microsoft Rights Management(RMS)-Connector können Sie vorhandene lokale Server schnell aktivieren, um ihre IRM-Funktionen (Information Rights Management) mit dem cloudbasierten Microsoft Rights Management-Dienst (Azure RMS) zu verwenden. Mit dieser Funktionalität können IT und Benutzer Dokumente und Bilder sowohl innerhalb Ihrer Organisation als auch außerhalb problemlos schützen, ohne zusätzliche Infrastruktur installieren oder Vertrauensbeziehungen mit anderen Organisationen einrichten zu müssen.

Der RMS-Connector ist ein kleiner Dienst, der lokal auf Servern installiert wird, die unter Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 ausgeführt werden. Zusätzlich zum Ausführen des Connectors auf physischen Computern können Sie ihn auch auf virtuellen Computern ausführen, einschließlich Azure IaaS-VMs. Nachdem Sie den Connector bereitgestellt haben, fungiert er als Kommunikationsschnittstelle (ein Relay) zwischen den lokalen Servern und dem Clouddienst, wie in der folgenden Abbildung dargestellt. Die Pfeile geben die Richtung an, in der Netzwerkverbindungen initiiert werden.

RMS connector architecture overview

Lokale Server werden unterstützt

Der RMS-Connector unterstützt die folgenden lokalen Server: Exchange Server, SharePoint Server und Dateiserver, die Windows Server ausführen und die Dateiklassifizierungsinfrastruktur verwenden, um Richtlinien für Office-Dokumente in einem Ordner zu klassifizieren und anzuwenden.

Hinweis

Wenn Sie mehrere Dateitypen (nicht nur Office-Dokumente) mithilfe der Dateiklassifizierungsinfrastruktur schützen möchten, verwenden Sie nicht den RMS-Connector, sondern verwenden Sie stattdessen die AzureInformationProtection-Cmdlets.

Die Versionen dieser lokalen Server, die vom RMS-Connector unterstützt werden, finden Sie auf lokalen Servern, die Azure RMS unterstützen.

Unterstützung für Hybridszenarien

Sie können den RMS-Connector auch dann verwenden, wenn einige Ihrer Benutzer eine Verbindung mit Onlinedienste herstellen, in einem Hybridszenario. Beispielsweise verwenden die Postfächer einiger Benutzer Exchange Online, und die Postfächer einiger Benutzer verwenden Exchange Server. Nachdem Sie den RMS-Connector installiert haben, können alle Benutzer E-Mails und Anlagen mithilfe von Azure RMS schützen und nutzen, und der Informationsschutz funktioniert nahtlos zwischen den beiden Bereitstellungskonfigurationen.

Unterstützung für kundenseitig verwaltete Schlüssel

Wenn Sie Ihren eigenen Mandantenschlüssel für Azure RMS (das Bring Your Own Key oder BYOK-Szenario) verwalten, greifen der RMS-Connector und die lokalen Server, die ihn verwenden, nicht auf das Hardwaresicherheitsmodul (HARDWARE Security Module, HSM) zu, das Ihren Mandantenschlüssel enthält. Dies liegt daran, dass alle kryptografischen Vorgänge, die den Mandantenschlüssel verwenden, in Azure RMS und nicht lokal ausgeführt werden.

Wenn Sie mehr über dieses Szenario erfahren möchten, in dem Sie Ihren Mandantenschlüssel verwalten, lesen Sie die Planung und Implementierung Ihres Azure Information Protection-Mandantenschlüssels.

Voraussetzungen für den RMS-Connector

Stellen Sie vor der Installation des RMS-Connectors sicher, dass die folgenden Anforderungen erfüllt sind.

Anforderung Weitere Informationen
Der Schutzdienst ist nicht aktiviert Aktivieren des Schutzdiensts von Azure Information Protection aus
Konfigurieren der Verzeichnissynchronisierung zwischen Ihrer lokalen Active Directory-Instanz und Ihrer Microsoft Entra-Instanz Nachdem RMS aktiviert wurde, muss Microsoft Entra-ID für die Arbeit mit den Benutzern und Gruppen in Ihrer Active Directory-Datenbank konfiguriert werden.

Wichtig: Sie müssen diesen Verzeichnissynchronisierungsschritt ausführen, damit der RMS-Connector funktioniert, auch für ein Testnetzwerk. Auch wenn Sie Microsoft 365 und Azure Active Directory verwenden können, indem Sie manuell in Azure Active Directory erstellte Konten verwenden, erfordert der Connector, dass die Konten in Azure Active Directory mit den Active Directory-Domänendiensten synchronisiert werden. Die manuelle Kennwortsynchronisierung ist nicht ausreichend.

Weitere Informationen finden Sie in den folgenden Ressourcen:

- Integrieren lokaler Active Directory-Domänen mit Microsoft Entra ID

- Vergleich von Tools für die Verzeichnisintegration für Hybrid-Identitäten
Mindestens zwei Member-Computer, auf denen der RMS-Verbindungsdienst installiert wird:

- Ein physischer oder virtueller 64-Bit-Computer, auf dem eines der folgenden Betriebssysteme ausgeführt wird: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

Mindestens 1 GB RAM.

Mindestens 64 GB Speicherplatz auf dem Datenträger.

Mindestens eine Netzwerkschnittstelle.

- Zugriff auf das Internet über eine Firewall (oder einen Web-Proxy), der keine Authentifizierung erfordert.

- Muss sich in einer Gesamtstruktur befinden oder tun Standard der anderen Gesamtstrukturen in der Organisation vertraut, die Installationen von Exchange- oder SharePoint-Servern enthalten, die Sie mit dem RMS-Connector verwenden möchten.

- .NET 4.7.2-Installation Je nach System müssen Sie dies möglicherweise separat herunterladen und installieren.
Für Fehlertoleranz und hohe Verfügbarkeit müssen Sie den RMS-Connector auf mindestens zwei Computern installieren.

Tipp: Wenn Sie Outlook Web Access oder mobile Geräte verwenden, die Exchange ActiveSync IRM verwenden, und es ist wichtig, dass Sie den Zugriff auf E-Mails und Anlagen beibehalten Standard, die durch Azure RMS geschützt sind, empfehlen wir, eine Lastenausgleichsgruppe von Connectorservern bereitzustellen, um eine hohe Verfügbarkeit sicherzustellen.

Sie benötigen keinen dedizierten Server, um den Connector auszuführen, aber Sie müssen ihn auf einem separaten Computer von den Servern installieren, auf denen der Connector verwendet wird.

Wichtig: Installieren Sie den Connector nicht auf einem Computer, auf dem Exchange Server, SharePoint Server oder ein Dateiserver ausgeführt wird, der für die Dateiklassifizierungsinfrastruktur konfiguriert ist, wenn Sie die Funktionalität dieser Dienste mit Azure RMS verwenden möchten. Installieren Sie diesen Connector auch nicht auf einem Do Standard controller.

Wenn Sie über Serverworkloads verfügen, die Sie mit dem RMS-Connector verwenden möchten, ihre Server jedoch in der Regel ausgeführt werden Standard die von der Do nicht als vertrauenswürdig eingestuft werden Standard von denen Sie den Connector ausführen möchten, können Sie zusätzliche RMS-Connectorserver in diesen nicht vertrauenswürdigen Do Standard s oder anderen Do Standard s in ihrer Gesamtstruktur installieren.

Es gibt keine Beschränkung auf die Anzahl der Connectorserver, die Sie für Ihre Organisation ausführen können, und alle in einer Organisation installierten Connectorserver haben dieselbe Konfiguration. Um den Connector jedoch für die Autorisierung von Servern zu konfigurieren, müssen Sie nach den Server- oder Dienstkonten suchen können, die Sie autorisieren möchten. Dies bedeutet, dass Sie das RMS-Verwaltungstool in einer Gesamtstruktur ausführen müssen, aus der Sie diese Konten durchsuchen können.
TLS-Version 1.2 Weitere Informationen finden Sie unter Erzwingen von TLS 1.2 für den Azure RMS-Connector.

Bereitstellen des RMS-Connectors

Der Connector überprüft nicht automatisch alle Erforderlichen, die er für eine erfolgreiche Bereitstellung benötigt. Stellen Sie daher sicher, dass diese vor dem Start vorhanden sind. Für die Bereitstellung müssen Sie den Connector installieren, den Connector konfigurieren und dann die Server konfigurieren, die Sie verwenden möchten.

Nächste Schritte

Gehe zu Schritt 1: Installieren und Konfigurieren des Microsoft Rights Management-Connectors.