A Microsoft Rights Management-összekötő üzembe helyezése
Ezekkel az információkkal megismerheti a Microsoft Rights Management-összekötőt, majd azt, hogyan helyezheti üzembe sikeresen a szervezet számára. Ez az összekötő védelmet nyújt a Microsoft Exchange Servert, SharePoint Servert vagy Windows Servert és fájlbesorolási infrastruktúrát (FCI) futtató meglévő helyszíni üzemelő példányokhoz.
A Microsoft Rights Management-összekötő áttekintése
A Microsoft Rights Management (RMS) összekötő lehetővé teszi, hogy a meglévő helyszíni kiszolgálók gyorsan használhassák az Information Rights Management (IRM) funkcióikat a felhőalapú Microsoft Rights Management szolgáltatással (Azure RMS). Ezzel a funkcióval az informatikai és a felhasználók egyszerűen megvédhetik a dokumentumokat és a képeket a szervezeten belül és kívül is anélkül, hogy további infrastruktúrát kellene telepíteniük, vagy megbízhatósági kapcsolatokat kellene létesíteniük más szervezetekkel.
Az RMS-összekötő egy kisméretű szolgáltatás, amelyet a helyszínen telepít a Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 és Windows Server 2012 rendszert futtató kiszolgálókon. Az összekötő fizikai számítógépeken való futtatása mellett virtuális gépeken is futtathatja, beleértve az Azure IaaS virtuális gépeket is. Az összekötő üzembe helyezése után kommunikációs felületként (továbbítóként) működik a helyszíni kiszolgálók és a felhőszolgáltatás között, ahogyan az az alábbi képen látható. A nyilak jelzik a hálózati kapcsolatok indításának irányát.
Támogatott helyszíni kiszolgálók
Az RMS-összekötő a következő helyszíni kiszolgálókat támogatja: Exchange Server, SharePoint Server és Windows Servert futtató fájlkiszolgálók, amelyek fájlbesorolási infrastruktúrával osztályozzák és alkalmazzák a házirendeket egy mappában lévő Office-dokumentumokra.
Megjegyzés:
Ha több fájltípust (nem csak Office-dokumentumokat) szeretne védeni a fájlbesorolási infrastruktúrával, ne használja az RMS-összekötőt, hanem az AzureInformationProtection parancsmagokat.
Ezeknek a helyszíni kiszolgálóknak az RMS-összekötő által támogatott verzióiért lásd az Azure RMS-t támogató helyszíni kiszolgálókat.
Hibrid forgatókönyvek támogatása
Az RMS-összekötőt akkor is használhatja, ha néhány felhasználó csatlakozik online szolgáltatások, hibrid forgatókönyvben. Egyes felhasználók postaládái például az Exchange Online-t, egyes felhasználói postaládák pedig az Exchange Servert használják. Az RMS-összekötő telepítése után minden felhasználó megvédheti és felhasználhatja az e-maileket és a mellékleteket az Azure RMS használatával, és az információvédelem zökkenőmentesen működik a két üzembehelyezési konfiguráció között.
Ügyfél által felügyelt kulcsok (BYOK) támogatása
Ha saját bérlőkulcsot kezel az Azure RMS-hez (a saját kulcs használata vagy BYOK-forgatókönyv), az RMS-összekötő és az azt használó helyszíni kiszolgálók nem férnek hozzá a bérlőkulcsot tartalmazó hardveres biztonsági modulhoz (HSM). Ennek az az oka, hogy a bérlőkulcsot használó összes titkosítási műveletet az Azure RMS-ben hajtják végre, és nem a helyszínen.
Ha többet szeretne megtudni erről a forgatókönyvről, amelyben a bérlőkulcsot kezeli, tekintse meg az Azure Information Protection-bérlőkulcs tervezését és implementálását ismertető témakört.
Az RMS-összekötő előfeltételei
Az RMS-összekötő telepítése előtt győződjön meg arról, hogy a következő követelmények teljesülnek.
Requirement | További információ |
---|---|
A védelmi szolgáltatás aktiválva van | A védelmi szolgáltatás aktiválása az Azure Information Protectionből |
Címtár-szinkronizálás a helyi Active Directory-erdők és a Microsoft Entra-azonosító között | Az RMS aktiválása után a Microsoft Entra-azonosítót úgy kell konfigurálni, hogy működjön az Active Directory-adatbázisban lévő felhasználókkal és csoportokkal. Fontos: Ezt a címtár-szinkronizálási lépést meg kell tennie ahhoz, hogy az RMS-összekötő működjön, még teszthálózat esetén is. Bár a Microsoft Entra ID-ban manuálisan létrehozott fiókok használatával használhatja a Microsoft 365- és a Microsoft Entra-azonosítót, ehhez az összekötőhöz a Microsoft Entra ID-ban lévő fiókok szinkronizálása szükséges Active Directory tartományi szolgáltatások; a manuális jelszó-szinkronizálás nem elegendő. További információkat találhat az alábbi forrásokban: - Helyi Active Directory-tartományok integrálása a Microsoft Entra-azonosítóval - Hibrid identitás címtár-integrációs eszközeinek összehasonlítása |
Legalább két tagszámítógép, amelyre telepíteni szeretné az RMS-összekötőt: - A következő operációs rendszerek egyikét futtató 64 bites fizikai vagy virtuális számítógép: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. - Legalább 1 GB RAM. - Legalább 64 GB lemezterület. - Legalább egy hálózati adapter. - Az internethez való hozzáférés tűzfalon (vagy webes proxyn) keresztül, amely nem igényel hitelesítést. – Olyan erdőben vagy tartományban kell lennie, amely megbízik a szervezet más erdőiben, amelyek az RMS-összekötővel használni kívánt Exchange- vagy SharePoint-kiszolgálók telepítéseit tartalmazzák. - .NET 4.7.2 telepítve. A rendszertől függően előfordulhat, hogy ezt külön kell letöltenie és telepítenie. |
A hibatűrés és a magas rendelkezésre állás érdekében az RMS-összekötőt legalább két számítógépre kell telepítenie. Tipp: Ha outlook webhozzáférést vagy Exchange ActiveSync protokoll IRM-et használó mobileszközöket használ, és kritikus fontosságú az Azure RMS által védett e-mailek és mellékletek elérése, javasoljuk, hogy a magas rendelkezésre állás biztosítása érdekében helyezzen üzembe egy elosztott terhelésű összekötőkiszolgáló-csoportot. Az összekötő futtatásához nincs szükség dedikált kiszolgálókra, de az összekötőt használó kiszolgálóktól eltérő számítógépre kell telepítenie. Fontos: Ne telepítse az összekötőt Exchange Servert, SharePoint Servert vagy fájlbesorolási infrastruktúrához konfigurált fájlkiszolgálót futtató számítógépre, ha a szolgáltatások funkcióit az Azure RMS-sel szeretné használni. Emellett ne telepítse ezt az összekötőt tartományvezérlőre. Ha olyan kiszolgálói számítási feladatokkal rendelkezik, amelyeket az RMS-összekötővel szeretne használni, de a kiszolgálók olyan tartományokban találhatók, amelyekben nem megbízható az a tartomány, amelyből az összekötőt futtatni szeretné, további RMS-összekötő-kiszolgálókat telepíthet ezekben a nem megbízható tartományokban vagy más tartományokban az erdőjükben. A szervezet számára futtatható összekötőkiszolgálók száma nincs korlátozva, és a szervezeten belül telepített összes összekötőkiszolgáló azonos konfigurációval rendelkezik. Ahhoz azonban, hogy konfigurálja az összekötőt a kiszolgálók engedélyezésére, meg kell tudnia keresni az engedélyezni kívánt kiszolgáló- vagy szolgáltatásfiókokat, ami azt jelenti, hogy az RMS felügyeleti eszközt egy erdőben kell futtatnia, amelyből tallózhat a fiókok között. |
TLS 1.2-es verzió | További információ: TLS 1.2 kényszerítése az Azure RMS Csatlakozás orhoz. |
Az RMS-összekötő üzembe helyezésének lépései
Az összekötő nem ellenőrzi automatikusan a sikeres üzembe helyezéshez szükséges összes előfeltételt , ezért a kezdés előtt győződjön meg arról, hogy ezek teljesülnek. Az üzembe helyezéshez telepítenie kell az összekötőt, konfigurálnia kell az összekötőt, majd konfigurálnia kell az összekötőt használni kívánt kiszolgálókat.
1. lépés: Az RMS-összekötő telepítése
2. lépés: Hitelesítő adatok megadása
3. lépés: Kiszolgálók engedélyezése az RMS-összekötő használatára
4. lépés: Terheléselosztás és magas rendelkezésre állás konfigurálása
Nem kötelező: Az RMS-összekötő konfigurálása HTTPS használatára
Nem kötelező: Az RMS-összekötő konfigurálása webproxy-kiszolgálóhoz
Nem kötelező: Az RMS-összekötő felügyeleti eszköz telepítése felügyeleti számítógépekre
5. lépés: Kiszolgálók konfigurálása az RMS-összekötő használatára
Következő lépések
Ugrás az 1. lépésre: A Microsoft Rights Management-összekötő telepítése és konfigurálása.