Implementación del conector Microsoft Rights Management
Use esta información para obtener información sobre el conector Microsoft Rights Management y, a continuación, procedimientos sobre cómo implementarla correctamente para su organización. Este conector proporciona protección de datos para las implementaciones locales existentes que usan Microsoft Exchange Server, SharePoint Server o servidores de archivos que ejecutan Windows Server y la infraestructura de clasificación de archivos (FCI).
Introducción al conector Microsoft Rights Management
El conector Microsoft Rights Management (RMS) permite habilitar rápidamente los servidores locales existentes para usar su funcionalidad Information Rights Management (IRM) con el servicio Microsoft Rights Management basado en la nube (Azure RMS). Con esta funcionalidad, el personal de TI y los usuarios pueden proteger fácilmente documentos e imágenes dentro de una organización y fuera, sin tener que instalar infraestructura adicional ni establecer relaciones de confianza con otras organizaciones.
El conector RMS es un servicio que consume pocos recursos y se instala localmente en servidores que ejecutan Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. Además de ejecutar el conector en equipos físicos, también puede ejecutarlo en máquinas virtuales, incluidas las máquinas virtuales IaaS de Azure. Después de implementar el conector, actúa como una interfaz de comunicaciones (una retransmisión) entre los servidores locales y el servicio en la nube, como se muestra en la siguiente imagen. Las flechas indican la dirección en la que se inician las conexiones de red.
Se admiten servidores locales
El conector RMS admite los siguientes servidores locales: Exchange Server, SharePoint Server y servidores de archivos que ejecutan Windows Server y usan la infraestructura de clasificación de archivos para clasificar y aplicar directivas a documentos de Office en una carpeta.
Nota:
Si desea proteger varios tipos de archivo (no solo documentos de Office) mediante la infraestructura de clasificación de archivos, no use el conector RMS, sino los cmdlets AzureInformationProtection.
Para conocer las versiones de estos servidores locales compatibles con el conector RMS, consulte Servidores locales que admiten Azure RMS.
Posibilidad de escenarios híbridos
Puede usar el conector RMS incluso si algunos de los usuarios se conectan a servicios en línea, en un escenario híbrido. Por ejemplo, los buzones de algunos usuarios usan Exchange Online y los buzones de otros usuarios usan Exchange Server. Después de instalar el conector RMS, todos los usuarios pueden proteger y consumir correos electrónicos y datos adjuntos mediante Azure RMS, y la protección de la información funciona sin problemas entre las dos configuraciones de implementación.
Compatibilidad con las claves administradas por el cliente (BYOK)
Si administra su propia clave de inquilino para Azure RMS (el escenario BYOK o "Bring Your Own Key"), el conector RMS y los servidores locales que lo usan no acceden al módulo de seguridad de hardware (HSM) que contiene la clave de inquilino. Esto se debe a que todas las operaciones criptográficas que usan la clave de inquilino se realizan en Azure RMS y no en el entorno local.
Si quiere obtener más información sobre este escenario en el que el usuario administra la clave de inquilino, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.
Requisitos previos para el conector RMS
Antes de instalar el conector RMS, asegúrese de que se cumplen los siguientes requisitos.
| Requisito | Más información |
|---|---|
| El servicio de protección está activado | Activación del servicio de protección de Azure Information Protection |
| Sincronización de directorios entre sus bosques de Active Directory locales y Microsoft Entra ID | Una vez activado RMS, Microsoft Entra ID debe configurarse para que funcione con los usuarios y grupos de la base de datos de Active Directory. Importante: Debe realizar este paso de sincronización de directorios para que el conector RMS funcione, incluso para una red de prueba. Aunque puede usar Microsoft 365 y Microsoft Entra ID mediante cuentas que cree manualmente en Microsoft Entra ID, este conector requiere que las cuentas de Microsoft Entra ID se sincronicen con Active Directory Domain Services; la sincronización manual de contraseñas no es suficiente. Para más información, consulte los siguientes recursos: - Integración de dominios locales de Active Directory con Microsoft Entra ID - Comparación de las herramientas para la integración de directorios de identidades híbridas |
| Un mínimo de dos equipos miembros donde instalar el conector RMS: - Un equipo virtual o físico de 64 bits que ejecuta uno de los siguientes sistemas operativos: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012. - Al menos 1 GB de RAM. - Un mínimo de 64 GB de espacio en disco. - Al menos una interfaz de red. - Acceso a internet a través de un firewall (o proxy web) que no requiere autenticación. - Debe estar en un bosque o dominio que confíe en otros bosques de la organización que contengan instalaciones de servidores de Exchange o SharePoint que desee usar con el conector RMS. - .NET 4.7.2 instalado. En función del sistema, es posible que tenga que realizar la descargar y la instalación por separado. |
Para la tolerancia a errores y la alta disponibilidad, debe instalar el conector RMS en un mínimo de dos equipos. Sugerencia: Si usa Outlook Web Access o dispositivos móviles que usan IRM de Exchange ActiveSync y le resulta fundamental mantener el acceso a correos electrónicos y datos adjuntos protegidos por Azure RMS, se recomienda implementar un grupo de servidores conectores con equilibrio de carga para garantizar la alta disponibilidad. No necesita servidores dedicados para ejecutar el conector, pero debe instalarlo en un equipo independiente de los servidores que usarán el conector. Importante: No instale el conector en un equipo que ejecute Exchange Server, SharePoint Server o un servidor de archivos configurado para la infraestructura de clasificación de archivos si desea usar la funcionalidad de estos servicios con Azure RMS. Además, no instale este conector en un controlador de dominio. Si tiene cargas de trabajo de servidor que desea usar con el conector RMS, pero sus servidores están en dominios que no son de confianza para el dominio desde el que desea ejecutar el conector, puede instalar servidores conectores de RMS adicionales en estos dominios que no son de confianza u otros dominios de su bosque. No hay límite para el número de servidores conectores que puede ejecutar para su organización, y todos los servidores conectores instalados en una organización comparten la misma configuración. Sin embargo, para configurar el conector para autorizar servidores, debe poder buscar las cuentas de servidor o servicio que desea autorizar, lo que significa que debe ejecutar la herramienta de administración de RMS en un bosque desde el que puede examinar esas cuentas. |
| TLS versión 1.2 | Para más información, consulte Aplicar TLS 1.2 para el conector de Azure RMS. |
Pasos para implementar el conector RMS
El conector no comprueba automáticamente todos los requisitos previos que necesita para una implementación correcta, por lo que debe asegurarse de que están en vigor antes de empezar. La implementación requiere que instale el conector, configure el conector y, a continuación, configure los servidores que desea usar el conector.
Paso 1: Instalación del conector RMS
Paso 2: Especificación de credenciales
Paso 3: Autorización para que los servidores usen el conector RMS
Paso 4: Configuración del equilibrio de carga y la alta disponibilidad
Paso 5: Configuración de servidores para usar el conector RMS
Pasos siguientes
Vaya al Paso 1: Instalación y configuración del conector Microsoft Rights Management.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de