Freigeben über


Installieren und Konfigurieren des Microsoft Rights Management-Connectors

Verwenden Sie die folgenden Informationen, um Ihnen bei der Installation und Konfiguration des RMS-Connectors (Microsoft Rights Management) zu helfen. Diese Verfahren behandeln die Schritte 1 bis 4 von der Bereitstellung des Microsoft Rights Management-Connectors.

Bevor Sie beginnen:

  • Stellen Sie sicher, dass Sie die Voraussetzungen für diese Bereitstellung überprüft und überprüft haben.

  • Stellen Sie sicher, dass Sie die richtige azure-souveräne Cloudinstanz für Ihren Connector kennen, um die Einrichtung und Konfiguration abschließen zu können.

Installieren des RMS-Connectors

  1. Identifizieren Sie die Computer (mindestens zwei), um den RMS-Connector auszuführen. Diese Computer müssen die mindestspezifikation erfüllen, die in den Voraussetzungen aufgeführt ist.

    Hinweis

    Installieren Sie einen einzelnen RMS-Connector (bestehend aus mehreren Servern für hohe Verfügbarkeit) pro Mandant (Microsoft 365-Mandant oder Microsoft Entra-Mandant). Im Gegensatz zu Active Directory RMS müssen Sie keinen RMS-Connector in jeder Gesamtstruktur installieren.

  2. Laden Sie die Quelldateien für den RMS-Connector aus dem Microsoft Download Center herunter.

    Um den RMS-Connector zu installieren, laden Sie RMSConnectorSetup.exeherunter.

    Wenn Sie außerdem das Serverkonfigurationstool für den RMS-Connector verwenden möchten, um die Konfiguration der Registrierungseinstellungen auf Ihren lokalen Servern zu automatisieren, laden Sie auch GenConnectorConfig.ps1herunter.

  3. Führen Sie auf dem Computer, auf dem Sie den RMS-Connector installieren möchten, RMSConnectorSetup.exe mit Administratorrechten aus.

  4. Wählen Sie auf der Willkommensseite des Microsoft Rights Management Connector Setup den Connector "Microsoft Rights Management installieren" auf dem Computer aus, und klicken Sie dann auf "Weiter".

  5. Lesen Und akzeptieren Sie die End-User Lizenzvertragsbedingungen, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite " Authentifizierung " die Cloudumgebung aus, die Ihrer Lösung entspricht. Wählen Sie beispielsweise AzureCloud für das kommerzielle Azure-Angebot aus. Wählen Sie andernfalls eine der folgenden Optionen aus:

    • AzureChinaCloud: Azure Operated by 21Vianet
    • AzureUSGovernment: Azure Government (GCC High/DoD)
    • AzureUSGovernment2: Azure Government 2
    • AzureUSGovernment3: Azure Government 3
  7. Wählen Sie "Anmelden" aus, um sich bei Ihrem Konto anzumelden. Stellen Sie sicher, dass Sie Anmeldeinformationen für ein Konto eingeben, das über ausreichende Berechtigungen zum Konfigurieren des RMS-Connectors verfügt.

    Sie können ein Konto verwenden, das über eines der folgenden Berechtigungen verfügt:

    • Globaler Administrator für Ihren Mandanten: Ein Konto, das ein globaler Administrator für Ihren Microsoft 365-Mandanten oder Microsoft Entra-Mandanten ist.

    • Globaler Azure Rights Management-Administrator: Ein Konto in microsoft Entra-ID, dem die globale Azure RMS-Administratorrolle zugewiesen wurde.

    • Azure Rights Management Connector-Administrator: Ein Konto in der Microsoft Entra-ID, dem Rechte zum Installieren und Verwalten des RMS-Connectors für Ihre Organisation gewährt wurden.

    Die Rolle des globalen Azure Rights Management-Administrators und die Azure Rights Management-Connectoradministratorrolle werden Konten mithilfe des Cmdlets "Add-AipServiceRoleBasedAdministrator " zugewiesen.

    Hinweis

    Wenn Sie Onboarding-Steuerelemente implementiert haben, stellen Sie sicher, dass das angegebene Konto Inhalte schützen kann.

    Wenn Sie z. B. die Möglichkeit zum Schützen von Inhalten für die Gruppe "IT-Abteilung" eingeschränkt haben, muss das hier angegebene Konto mitglied dieser Gruppe sein. Andernfalls wird die Fehlermeldung angezeigt: Fehler beim Versuch, den Speicherort des Verwaltungsdiensts und der Organisation zu ermitteln. Stellen Sie sicher, dass der Microsoft Rights Management-Dienst für Ihre Organisation aktiviert ist.

    Tipp

    Um den RMS-Connector mit den geringsten Berechtigungen auszuführen, erstellen Sie für diesen Zweck ein dediziertes Konto, das Sie dann der Azure RMS-Connectoradministratorrolle zuweisen. Weitere Informationen finden Sie unter Erstellen eines dedizierten Kontos für den RMS-Connector.

  8. Führen Sie auf der letzten Seite des Assistenten die folgenden Schritte aus, und klicken Sie dann auf "Fertig stellen":

    • Wenn dies der erste Connector ist, den Sie installiert haben, wählen Sie zurzeit keine Administratorkonsole für den Startconnector aus, um Server zu autorisieren . Sie wählen diese Option aus, nachdem Sie den zweiten (oder endgültigen) RMS-Connector installiert haben. Führen Sie stattdessen den Assistenten erneut auf mindestens einem anderen Computer aus. Sie müssen mindestens zwei Connectors installieren.

    • Wenn Sie Ihren zweiten (oder endgültigen) Connector installiert haben, wählen Sie die Administratorkonsole starten aus, um Server zu autorisieren.

Während des INSTALLATIONsprozesses des RMS-Connectors wird alle erforderlichen Software überprüft und installiert, Internetinformationsdienste (INTERNET Information Services, IIS) installiert, falls noch nicht vorhanden, und die Connectorsoftware wird installiert und konfiguriert. Azure RMS ist auch für die Konfiguration vorbereitet, indem Folgendes erstellt wird:

  • Eine leere Tabelle mit Servern , die berechtigt sind, den Connector für die Kommunikation mit Azure RMS zu verwenden. Fügen Sie dieser Tabelle später Server hinzu.

  • Eine Reihe von Sicherheitstoken für den Connector, die Vorgänge mit Azure RMS autorisieren. Diese Token werden von Azure RMS heruntergeladen und auf dem lokalen Computer in der Registrierung installiert. Sie werden durch die Datenschutzanwendungsprogrammierschnittstelle (DPAPI) und die Anmeldeinformationen des lokalen Systemkontos geschützt.

Erstellen eines dedizierten Kontos für den RMS-Connector

In diesem Verfahren wird beschrieben, wie Sie ein dediziertes Konto erstellen, um den Azure RMS-Connector mit den geringsten Berechtigungen auszuführen, die bei der Anmeldung während der RMS-Connectorinstallation verwendet werden können.

  1. Falls noch nicht geschehen, laden Sie das AIPService PowerShell-Modul herunter, und installieren Sie es. Weitere Informationen finden Sie unter Installieren des AIPService PowerShell-Moduls.

    Starten Sie Windows PowerShell mit dem Befehl "Als Administrator ausführen ", und stellen Sie mithilfe des Befehls "Connect-AipService " eine Verbindung mit dem Schutzdienst her:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. Führen Sie den Befehl "Add-AipServiceRoleBasedAdministrator " mit nur einem der folgenden Parameter aus:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    Führen Sie beispielsweise Folgendes aus: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Obwohl diese Befehle die Rolle "Connectoradministrator" zuweisen, können Sie stattdessen auch die Rolle "GlobalAdministrator" verwenden.

Überprüfen Sie Ihre Installation

  • So überprüfen Sie, ob die Webdienste für den RMS-Connector betriebsbereit sind:

    Stellen Sie in einem Webbrowser eine Verbindung mit http://< connectoraddress>/_wmcs/certification/servercertification.asmx her, und ersetzen <Sie connectoraddress> durch die Serveradresse oder den Namen, auf dem der RMS-Connector installiert ist.

    Eine erfolgreiche Verbindung zeigt eine ServerCertificationWebService-Seite an.

  • So überprüfen Sie die Benutzerfähigkeit zum Lesen oder Ändern von RMS- oder AIP-geschützten Dokumenten:

    Öffnen Sie auf dem RMS-Connectorcomputer die Ereignisanzeige, und wechseln Sie zum Anwendungs-Windows-Protokoll. Suchen Sie einen Eintrag aus der Microsoft RMS Connector-Quelle mit einer Informationsebene.

    Der Eintrag sollte eine Meldung wie die folgenden haben: The list of authorized accounts has been updated

    Screenshot eines RMS-Connectorereignisses in der Ereignisanzeige.

Wenn Sie den RMS-Connector deinstallieren müssen, deinstallieren Sie die Seite mit den Systemeinstellungen, oder führen Sie den Assistenten erneut aus, und wählen Sie die Deinstallationsoption aus.

Wenn während der Installation Probleme auftreten, überprüfen Sie das Installationsprotokoll: %LocalAppData%\Temp\Microsoft Rights Management connector_<Datum und Uhrzeit>.log

Ihr Installationsprotokoll sieht z. B. ähnlich wie C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Autorisieren von Servern zur Verwendung des RMS-Connectors

Wenn Sie den RMS-Connector auf mindestens zwei Computern installiert haben, können Sie die Server und Dienste autorisieren, die Sie den RMS-Connector verwenden möchten. Server mit Exchange Server 2013 oder SharePoint Server 2013.

Um diese Server zu definieren, führen Sie das RMS-Connectorverwaltungstool aus, und fügen Sie der Liste der zulässigen Server Einträge hinzu. Sie können dieses Tool ausführen, wenn Sie die Verwaltungskonsole des Startconnectors auswählen, um Server am Ende des Setup-Assistenten für den Microsoft Rights Management-Connector zu autorisieren, oder Sie können es separat vom Assistenten ausführen.

Beachten Sie beim Autorisieren dieser Server die folgenden Überlegungen:

  • Servern, die Sie hinzufügen, erhalten spezielle Berechtigungen. Allen Konten, die Sie für die Exchange Server-Rolle in der Connectorkonfiguration angeben, wird die Superbenutzerrolle in Azure RMS gewährt, wodurch sie Zugriff auf alle Inhalte für diesen RMS-Mandanten erhalten. Das Superbenutzerfeature wird an diesem Punkt bei Bedarf automatisch aktiviert. Um das Sicherheitsrisiko von Rechteerweiterungen zu vermeiden, achten Sie darauf, nur die Konten anzugeben, die von den Exchange-Servern Ihrer Organisation verwendet werden. Allen Servern, die als SharePoint-Server oder Dateiserver konfiguriert sind, die FCI verwenden, werden reguläre Benutzerberechtigungen gewährt.

  • Sie können mehrere Server als einzelnen Eintrag hinzufügen , indem Sie eine Active Directory-Sicherheits- oder Verteilergruppe oder ein Dienstkonto angeben, das von mehreren Servern verwendet wird. Wenn Sie diese Konfiguration verwenden, verwendet die Gruppe von Servern dieselben RMS-Zertifikate und werden alle als Besitzer für Inhalte betrachtet, die von ihnen geschützt sind. Um den Verwaltungsaufwand zu minimieren, empfiehlt es sich, diese Konfiguration einer einzelnen Gruppe anstelle einzelner Server zu verwenden, um die Exchange-Server ihrer Organisation oder eine SharePoint-Serverfarm zu autorisieren.

Wählen Sie auf den Servern, die die Connectorseite verwenden dürfen , "Hinzufügen" aus.

Hinweis

Autorisierungsserver sind die gleichwertige Konfiguration in Azure RMS mit der AD RMS-Konfiguration, die NTFS-Rechte manuell auf ServerCertification.asmx für die Dienst- oder Servercomputerkonten anwendet und den Exchange-Konten manuell Superrechte gewährt. Das Anwenden von NTFS-Rechten auf ServerCertification.asmx ist für den Connector nicht erforderlich.

Hinzufügen eines Servers zur Liste der zulässigen Server

Geben Sie auf der Seite "Server zulassen" die Connectorseite ein, geben Sie den Namen des Objekts ein, oder navigieren Sie, um das zu autorisierende Objekt zu identifizieren.

Es ist wichtig, dass Sie das richtige Objekt autorisieren. Damit ein Server den Connector verwenden kann, muss das Konto, das den lokalen Dienst ausführt (z. B. Exchange oder SharePoint), zur Autorisierung ausgewählt werden. Wenn der Dienst beispielsweise als konfiguriertes Dienstkonto ausgeführt wird, fügen Sie der Liste den Namen dieses Dienstkontos hinzu. Wenn der Dienst als lokales System ausgeführt wird, fügen Sie den Namen des Computerobjekts hinzu (z. B. SERVERNAME$). Erstellen Sie als bewährte Methode eine Gruppe, die diese Konten enthält, und geben Sie die Gruppe anstelle einzelner Servernamen an.

Weitere Informationen zu den verschiedenen Serverrollen:

  • Für Server, die Exchange ausführen: Sie müssen eine Sicherheitsgruppe angeben und die Standardgruppe (Exchange-Server) verwenden, die Exchange automatisch erstellt und verwaltet alle Exchange-Server in der Gesamtstruktur.

  • Für Server, die SharePoint ausführen:

    • Wenn ein SharePoint 2010-Server so konfiguriert ist, dass er als lokales System ausgeführt wird (es verwendet kein Dienstkonto), erstellen Sie manuell eine Sicherheitsgruppe in Active Directory Domain Services, und fügen Sie das Computernamenobjekt für den Server in dieser Konfiguration dieser Gruppe hinzu.

    • Wenn ein SharePoint-Server für die Verwendung eines Dienstkontos konfiguriert ist (die empfohlene Vorgehensweise für SharePoint 2010 und die einzige Option für SharePoint 2016 und SharePoint 2013), gehen Sie wie folgt vor:

      1. Fügen Sie das Dienstkonto hinzu, das den SharePoint-Zentraladministrationsdienst ausführt, damit SharePoint über die Administratorkonsole konfiguriert werden kann.

      2. Fügen Sie das Konto hinzu, das für den SharePoint-App-Pool konfiguriert ist.

      Tipp

      Wenn diese beiden Konten unterschiedlich sind, sollten Sie eine einzelne Gruppe erstellen, die beide Konten enthält, um den Verwaltungsaufwand zu minimieren.

  • Für Dateiserver, die die Dateiklassifizierungsinfrastruktur verwenden, werden die zugehörigen Dienste als lokales Systemkonto ausgeführt, daher müssen Sie das Computerkonto für die Dateiserver (z. B. SERVERNAME$) oder eine Gruppe autorisieren, die diese Computerkonten enthält.

Wenn Sie das Hinzufügen von Servern zur Liste abgeschlossen haben, klicken Sie auf "Schließen".

Wenn dies noch nicht geschehen ist, müssen Sie nun den Lastenausgleich für die Server konfigurieren, auf denen der RMS-Connector installiert ist, und überlegen Sie, ob Sie HTTPS für die Verbindungen zwischen diesen Servern und den soeben autorisierten Servern verwenden möchten.

Konfigurieren des Lastenausgleichs und der hohen Verfügbarkeit

Nachdem Sie die zweite oder letzte Instanz des RMS-Connectors installiert haben, definieren Sie einen Url-Servernamen für den Connector, und konfigurieren Sie ein Lastenausgleichssystem.

Der Name des Connectors-URL-Servers kann ein beliebiger Name unter einem namespace sein, den Sie steuern. Sie können z. B. einen Eintrag in Ihrem DNS-System für rmsconnector.contoso.com erstellen und diesen Eintrag so konfigurieren, dass eine IP-Adresse in Ihrem Lastenausgleichssystem verwendet wird. Für diesen Namen gibt es keine speziellen Anforderungen und muss nicht auf den Connectorservern selbst konfiguriert werden. Sofern Ihre Exchange- und SharePoint-Server nicht mit dem Connector über das Internet kommunizieren, muss dieser Name nicht im Internet aufgelöst werden.

Von Bedeutung

Es wird empfohlen, diesen Namen nicht zu ändern, nachdem Sie Exchange- oder SharePoint-Server für die Verwendung des Connectors konfiguriert haben, da Sie dann diese Server aller IRM-Konfigurationen löschen und dann neu konfigurieren müssen.

Nachdem der Name in DNS erstellt wurde und für eine IP-Adresse konfiguriert ist, konfigurieren Sie den Lastenausgleich für diese Adresse, wodurch der Datenverkehr an die Connectorserver leitet. Sie können einen beliebigen IP-basierten Lastenausgleich für diesen Zweck verwenden, der das Netzwerklastenausgleichsfeature (NLB) in Windows Server enthält. Weitere Informationen finden Sie im Bereitstellungshandbuch für den Lastenausgleich.

Verwenden Sie die folgenden Einstellungen, um den NLB-Cluster zu konfigurieren:

  • Ports: 80 (für HTTP) oder 443 (für HTTPS)

    Weitere Informationen dazu, ob HTTP oder HTTPS verwendet werden soll, finden Sie im nächsten Abschnitt.

  • Affinität: Keine

  • Verteilungsmethode: Gleich

Dieser Name, den Sie für das Lastenausgleichssystem (für die Server mit dem RMS-Connectordienst) definieren, ist der RMS-Connectorname Ihrer Organisation, den Sie später verwenden, wenn Sie die lokalen Server für die Verwendung von Azure RMS konfigurieren.

Konfigurieren des RMS-Connectors für die Verwendung von HTTPS

Hinweis

Dieser Konfigurationsschritt ist optional, wird jedoch für zusätzliche Sicherheit empfohlen.

Obwohl die Verwendung von TLS oder SSL für den RMS-Connector optional ist, empfehlen wir dies für jeden HTTP-basierten sicherheitsrelevanten Dienst. Diese Konfiguration authentifiziert die Server, auf denen der Connector ausgeführt wird, auf Ihren Exchange- und SharePoint-Servern, die den Connector verwenden. Darüber hinaus werden alle Daten, die von diesen Servern an den Connector gesendet werden, verschlüsselt.

Um den RMS-Connector für die Verwendung von TLS zu aktivieren, installieren Sie auf jedem Server, auf dem der RMS-Connector ausgeführt wird, ein Serverauthentifizierungszertifikat, das den Namen enthält, den Sie für den Connector verwenden. Wenn ihr im DNS definierter RMS-Connectorname z. B. rmsconnector.contoso.com ist, stellen Sie ein Serverauthentifizierungszertifikat bereit, das rmsconnector.contoso.com im Zertifikatbetreff als allgemeinen Namen enthält. Oder geben Sie rmsconnector.contoso.com im alternativen Zertifikatnamen als DNS-Wert an. Das Zertifikat muss nicht den Namen des Servers enthalten. Binden Sie dieses Zertifikat dann in IIS an die Standardwebsite.

Wenn Sie die HTTPS-Option verwenden, stellen Sie sicher, dass alle Server, auf denen der Connector ausgeführt wird, über ein gültiges Serverauthentifizierungszertifikat verfügen, das mit einer Stammzertifizierungsstelle verkettet ist, die Von Ihren Exchange- und SharePoint-Servern als vertrauenswürdig gilt. Darüber hinaus müssen die Exchange- und SharePoint-Server, wenn die Zertifizierungsstelle, die die Zertifikate für die Connectorserver ausgestellt hat, eine Zertifikatsperrliste (Certificate Revocation List, CRL) ausgestellt hat, diese CRL herunterladen können.

Tipp

Sie können die folgenden Informationen und Ressourcen verwenden, um Ihnen beim Anfordern und Installieren eines Serverauthentifizierungszertifikats zu helfen und dieses Zertifikat an die Standardwebsite in IIS zu binden:

  • Wenn Sie Active Directory-Zertifikatdienste (AD CS) und eine Zertifizierungsstelle für Unternehmen verwenden , um diese Serverauthentifizierungszertifikate bereitzustellen, können Sie die Webserverzertifikatvorlage duplizieren und dann verwenden. Diese Zertifikatvorlage verwendet in der Anforderung für den Antragstellernamen des Zertifikats angegeben. Das bedeutet, dass Sie den FQDN des RMS-Connectornamens für den Zertifikatantragstellernamen oder alternativen Antragstellernamen angeben können, wenn Sie das Zertifikat anfordern.

  • Wenn Sie eine eigenständige Zertifizierungsstelle verwenden oder dieses Zertifikat von einem anderen Unternehmen erwerben, lesen Sie das Konfigurieren von Internetserverzertifikaten (IIS 7) in der Dokumentationsbibliothek für Webserver (IIS) auf TechNet.

  • Informationen zum Konfigurieren von IIS für die Verwendung des Zertifikats finden Sie unter Hinzufügen einer Bindung zu einer Website (IIS 7) in der Dokumentationsbibliothek für Webserver (IIS) auf TechNet.

Konfigurieren des RMS-Connectors für einen Webproxyserver

Wenn Ihre Connectorserver in einem Netzwerk installiert sind, das keine direkte Internetverbindung aufweist und eine manuelle Konfiguration eines Webproxyservers für den ausgehenden Internetzugriff erfordert, müssen Sie die Registrierung auf diesen Servern für den RMS-Connector konfigurieren.

So konfigurieren Sie den RMS-Connector für die Verwendung eines Webservers

  1. Öffnen Sie auf jedem Server, auf dem der RMS-Connector ausgeführt wird, einen Registrierungs-Editor, z. B. "Regedit".

  2. Navigieren sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Add the string value of ProxyAddress and then set the Data for this value to be http://< MyProxyDomainOrIPaddress>:<MyProxyPort>

    Beispiel: https://proxyserver.contoso.com:8080

  4. Schließen Sie den Registrierungs-Editor, und starten Sie dann den Server neu, oder führen Sie einen IISReset-Befehl aus, um IIS neu zu starten.

Installieren des RMS-Connectorverwaltungstools auf Verwaltungscomputern

Sie können das RMS-Connectorverwaltungstool von einem Computer ausführen, auf dem der RMS-Connector nicht installiert ist, wenn dieser Computer die folgenden Anforderungen erfüllt:

  • Ein physischer oder virtueller Computer mit Windows Server 2019, 2016, 2012 oder Windows Server 2012 R2 (alle Editionen), Windows 11, Windows 10, Windows 8.1, Windows 8.

  • Mindestens 1 GB RAM.

  • Mindestens 64 GB Speicherplatz.

  • Mindestens eine Netzwerkschnittstelle.

  • Zugriff auf das Internet über eine Firewall (oder Webproxy).

  • .NET 4.7.2

Führen Sie zum Installieren des RMS-Connectorverwaltungstools die folgende Datei für einen 64-Bit-Computer aus: RMSConnectorSetup.exe

Wenn Sie diese Dateien noch nicht heruntergeladen haben, können Sie dies im Microsoft Download Center tun.

Weitere Informationen finden Sie unter Voraussetzungen für den RMS-Connector.

Aktualisieren der RMS-Connectorinstallation

Durch die Installation einer neuen Version des RMS-Connectors werden alle früheren Versionen automatisch deinstalliert und die erforderliche .NET 4.7.2-Version installiert. Wenn Probleme auftreten, verwenden Sie die folgenden Anweisungen, um eine frühere Version manuell zu deinstallieren und .NET 4.7.2 zu installieren.

  1. Verwenden Sie auf Ihrem RMS-Connectorcomputer die Seite " Apps & Features ", um den Microsoft Rights Management Connector zu deinstallieren.

    Auf älteren Systemen finden Sie möglicherweise Optionen für die Nichtinstallation auf der Seite "Programm und Features der Systemsteuerung>".

    Navigieren Sie durch den Assistenten, um den Microsoft Rights Management-Connector zu deinstallieren, und wählen Sie " Fertig stellen " am Ende aus.

  2. Stellen Sie sicher, dass auf Ihrem Computer .NET 4.7.2 installiert ist. Weitere Informationen finden Sie unter Gewusst wie: Ermitteln Sie, welche .NET Framework-Versionen installiert sind.

    Falls erforderlich, laden Sie .NET Version 4.7.2 herunter, und installieren Sie sie.

    Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden, und fahren Sie dann mit der Installation der neuen RMS-Connectorversion fort.

Erzwingen von TLS 1.2 für den Azure RMS-Connector

Microsoft deaktiviert ältere, unsichere TLS-Protokolle, einschließlich TLS 1.0 und TLS 1.1 für RMS-Dienste standardmäßig am 1. März 2022. Um sich auf diese Änderung vorzubereiten, sollten Sie die Unterstützung für diese älteren Protokolle auf Ihren RMS Connector-Servern deaktivieren und sicherstellen, dass das System weiterhin wie erwartet funktioniert.

In diesem Abschnitt werden die Schritte zum Deaktivieren der Transport Layer Security (TLS) 1.0 und 1.1 auf den RMS Connector-Servern beschrieben und die Verwendung von TLS 1.2 erzwungen.

Deaktivieren von TLS 1.0 und 1.1 und Erzwingen der Verwendung von TLS 1.2

  1. Stellen Sie sicher, dass das .NET Framework auf dem RMS Connector-Computer Version 4.7.2 ist. Weitere Informationen finden Sie unter .NET Framework, Version 4.7.2.

  2. Laden Sie die neueste verfügbare Version von RMS Connector herunter, und installieren Sie sie. Weitere Informationen finden Sie unter Installieren des RMS-Connectors.

  3. Starten Sie Ihre RMS Connector-Server neu, und testen Sie die RMS Connector-Funktionalität. Stellen Sie beispielsweise sicher, dass lokale RMS-Benutzer ihre verschlüsselten Dokumente lesen können.

Weitere Informationen finden Sie unter:

Überprüfen der TLS 1.2-Verwendung (erweitert)

Dieses Verfahren enthält ein Beispiel für die Überprüfung, ob TLS 1.2 verwendet wird, und erfordert kenntnisse von Fiddler.This procedure provides an example of how to verify that TLS 1.2 is used, and requires prior knowledge of Fiddler.

  1. Laden Sie Fiddler auf Ihrem RMS Connector-Computer herunter, und installieren Sie es.

  2. Öffnen Sie Fiddler, und öffnen Sie dann die Microsoft RMS Connector-Verwaltungstools.

  3. Wählen Sie "Anmelden" aus, obwohl Sie sich nicht anmelden müssen, um die Überprüfung abzuschließen.

  4. Suchen Sie im Fiddler-Fenster auf der linken Seite den Prozess "msconnectoradmin ". Dieser Vorgang sollte versuchen, eine sichere Verbindung mit discover.aadrm.com herzustellen.

    Beispiel:

    Screenshot von Fiddler mit dem Msconnectoradmin-Prozess, der versucht, eine sichere Verbindung mit discover dot addrm dot com herzustellen.

  5. Wählen Sie im Fiddler-Fenster auf der rechten Seite die Registerkarte " Inspektoren " aus, und zeigen Sie die Registerkarten " Textansicht " sowohl für die Anforderung als auch für die Antwort an.

    Beachten Sie in diesen Registerkarten, dass die Kommunikation mit TLS 1.2 ausgeführt wird. Beispiel:

    Screenshot eines Fiddler-Fensters, in dem TLS 1.2 verwendet wird.

Manuelles Erzwingen der Verwendung von TLS 1.2

Wenn Sie die Verwendung von TLS 1.2 manuell erzwingen müssen, führen Sie das folgende PowerShell-Skript auf Ihrem RMS-Connectorcomputer aus, wenn Sie die Verwendung für frühere Versionen deaktivieren.

Vorsicht

Die Verwendung des Skripts in diesem Abschnitt deaktiviert die Vor-TLS 1.2-Kommunikation pro Computer. Wenn andere Dienste auf dem Computer TLS 1.0 oder 1.2 erfordern, kann dieses Skript die Funktionalität für diese Dienste unterbrechen.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

Nächste Schritte

Nachdem der RMS-Connector installiert und konfiguriert wurde, können Sie ihre lokalen Server für die Verwendung konfigurieren. Wechseln Sie zum Konfigurieren von Servern für den Microsoft Rights Management-Connector.