A Microsoft Rights Management-összekötő telepítése és konfigurálása
Az alábbi információk segítségével telepítheti és konfigurálhatja a Microsoft Rights Management (RMS) összekötőt. Ezek az eljárások a Microsoft Rights Management-összekötő üzembe helyezésének 1–4. lépését ismertetik.
Előkészületek:
Győződjön meg arról, hogy áttekintette és ellenőrizte az üzembe helyezés előfeltételeit .
Győződjön meg arról, hogy tisztában van a megfelelő Azure szuverén felhőpéldánysal ahhoz, hogy az összekötő elvégezhesse a telepítést és a konfigurálást.
Az RMS-összekötő telepítése
Azonosítsa a számítógépeket (legalább kettő) az RMS-összekötő futtatásához. Ezeknek a számítógépeknek meg kell felelniük az előfeltételekben felsorolt minimális specifikációnak.
Megjegyzés:
Bérlőnként (Microsoft 365-ös vagy Microsoft Entra-bérlőnként) telepítsen egyetlen RMS-összekötőt (amely több kiszolgálóból áll a magas rendelkezésre állás érdekében). Az Active Directory RMS-sel ellentétben nem kell RMS-összekötőt telepítenie minden erdőben.
Töltse le az RMS-összekötő forrásfájljait a Microsoft letöltőközpontból.
Az RMS-összekötő telepítéséhez töltse le az RMS Csatlakozás orSetup.exe fájlt.
Ezenkívül ha az RMS-összekötő kiszolgálókonfigurációs eszközét szeretné használni, automatizálja a beállításjegyzék-beállítások konfigurációját a helyszíni kiszolgálókon, töltse le a Gen Csatlakozás orConfig.ps1 parancsot is.
Azon a számítógépen, amelyre telepíteni szeretné az RMS-összekötőt, futtassa az RMS Csatlakozás orSetup.exe fájlt rendszergazdai jogosultságokkal.
A Microsoft Rights Management Csatlakozás or telepítőjének kezdőlapján válassza a Microsoft Rights Management-összekötő telepítése a számítógépen lehetőséget, majd kattintson a Tovább gombra.
Olvassa el és fogadja el a végfelhasználói licencszerződés feltételeit, majd kattintson a Tovább gombra.
A Hitelesítés lapon válassza ki a megoldásnak megfelelő felhőkörnyezetet. Válassza például az AzureCloudot az Azure kereskedelmi ajánlathoz. Ellenkező esetben válassza az alábbi lehetőségek egyikét:
- AzureChinaCloud: A 21Vianet által üzemeltetett Azure
- AzureUSGovernment: Azure Government (GCC High/DoD)
- AzureUSGovernment2: Azure Government 2
- AzureUSGovernment3: Azure Government 3
Válassza a Bejelentkezés lehetőséget a fiókba való bejelentkezéshez. Győződjön meg arról, hogy olyan fiók hitelesítő adatait adja meg, amely rendelkezik az RMS-összekötő konfigurálásához szükséges jogosultságokkal.
Olyan fiókot használhat, amely a következő jogosultságok egyikével rendelkezik:
A bérlő globális rendszergazdája: A Microsoft 365-ös vagy a Microsoft Entra-bérlő globális rendszergazdája.
Azure Tartalomvédelmi szolgáltatások globális rendszergazda: Az Azure RMS globális rendszergazdai szerepköréhez hozzárendelt Microsoft Entra-azonosítóban lévő fiók.
Azure Tartalomvédelmi szolgáltatások összekötő rendszergazdája: A Microsoft Entra ID-ban található fiók, amely jogosultságot kapott az RMS-összekötő telepítéséhez és felügyeletéhez a szervezet számára.
A Azure Tartalomvédelmi szolgáltatások globális rendszergazdai szerepkört és Azure Tartalomvédelmi szolgáltatások összekötő-rendszergazdai szerepkört az Add-AipServiceRoleBased Rendszergazda istrator parancsmaggal rendeli hozzá a fiókokhoz.
Megjegyzés:
Ha bevezetési vezérlőket implementált, győződjön meg arról, hogy a megadott fiók képes a tartalom védelmére.
Ha például az "informatikai részleg" csoportra korlátozta a tartalom védelmének lehetőségét, az itt megadott fióknak a csoport tagjának kell lennie. Ha nem, akkor a következő hibaüzenet jelenik meg: A felügyeleti szolgáltatás és a szervezet helyének felderítése sikertelen volt. Győződjön meg arról, hogy a Microsoft Rights Management szolgáltatás engedélyezve van a szervezet számára.
Tipp.
Az RMS-összekötő minimális jogosultságokkal való futtatásához hozzon létre egy dedikált fiókot erre a célra, amelyet aztán hozzárendel az Azure RMS-összekötő rendszergazdai szerepköréhez. További információ: Dedikált fiók létrehozása az RMS-összekötőhöz.
A varázsló utolsó lapján tegye a következőket, majd kattintson a Befejezés gombra:
Ha ez az első telepített összekötő, akkor most ne válassza az Összekötő indítása rendszergazdai konzolt a kiszolgálók engedélyezéséhez. Ezt a lehetőséget a második (vagy végleges) RMS-összekötő telepítése után fogja kiválasztani. Ehelyett futtassa újra a varázslót legalább egy másik számítógépen. Legalább két összekötőt kell telepítenie.
Ha telepítette a második (vagy végleges) összekötőt, válassza az Összekötő indítása rendszergazdai konzolt a kiszolgálók engedélyezéséhez.
Az RMS-összekötő telepítési folyamata során a rendszer ellenőrzi és telepíti az összes előfeltétel-szoftvert, az Internet Information Services (IIS) telepítve van, ha még nincs telepítve, és az összekötő szoftvere telepítve és konfigurálva van. Az Azure RMS konfigurálása az alábbiak létrehozásával is elő van készítve:
Üres kiszolgálótábla , amely jogosult arra, hogy az összekötővel kommunikáljon az Azure RMS-sel. Kiszolgálók hozzáadása a táblához később.
Az összekötőhöz tartozó biztonsági jogkivonatok készlete, amelyek engedélyezik az Azure RMS-sel való műveleteket. Ezek a jogkivonatok az Azure RMS-ből töltődnek le, és a beállításjegyzék helyi számítógépére vannak telepítve. Ezek védelme az adatvédelmi alkalmazás programozási felületével (DPAPI) és a helyi rendszerfiók hitelesítő adataival történik.
Dedikált fiók létrehozása az RMS-összekötőhöz
Ez az eljárás azt ismerteti, hogyan hozhat létre dedikált fiókot az Azure RMS-összekötő futtatásához a lehető legkevesebb jogosultsággal, amelyet az RMS-összekötő telepítése során történő bejelentkezéskor használhat.
Ha még nem tette meg, töltse le és telepítse az AIPService PowerShell modult. További információ: Az AIPService PowerShell-modul telepítése.
Indítsa el a Windows PowerShellt a Futtatás rendszergazdaként paranccsal, és csatlakozzon a védelmi szolgáltatáshoz az Csatlakozás-AipService paranccsal:
Connect-AipService //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
Futtassa az Add-AipServiceRoleBased Rendszergazda istrator parancsot a következő paraméterek egyikével:
Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
Futtassa például a következőt:
Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"
Bár ezek a parancsok hozzárendelik az összekötő rendszergazdai szerepkörét, használhatja a Globális Rendszergazda istrator szerepkört is.
A telepítés ellenőrzése
Annak ellenőrzése, hogy az RMS-összekötő webszolgáltatásai működnek-e:
Egy webböngészőből csatlakozzon a http://< connectoraddress>/_wmcs/certification/servercertification.asmx fájlhoz, és cserélje le< az összekötőcímet> az RMS-összekötőt tartalmazó kiszolgálócímre vagy névre.
A sikeres kapcsolat egy ServerCertificationWebService oldalt jelenít meg.
Annak ellenőrzése, hogy a felhasználó képes-e RMS- vagy AIP-védelem alatt álló dokumentumok olvasására vagy módosítására:
Az RMS-összekötő gépen nyissa meg a Eseménynapló, és nyissa meg az alkalmazás Windows-naplóját. Keressen egy bejegyzést a Microsoft RMS Csatlakozás or-forrásból, egy információszinttel.
A bejegyzésnek a következőhöz hasonló üzenetnek kell lennie:
The list of authorized accounts has been updated
Ha el kell távolítania az RMS-összekötőt, távolítsa el a rendszerbeállítások oldalán, vagy a varázsló ismételt futtatásával és az eltávolítási lehetőség kiválasztásával.
Ha bármilyen problémát tapasztal a telepítés során, ellenőrizze a telepítési naplót: %LocalAppData%\Temp\Microsoft Rights Management connector_<date és time.log>
A telepítési napló például a C:\Users\Rendszergazda istrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log fájlhoz hasonló lehet.
Kiszolgálók engedélyezése az RMS-összekötő használatára
Ha legalább két számítógépre telepítette az RMS-összekötőt, készen áll arra, hogy engedélyezze az RMS-összekötőt használni kívánt kiszolgálókat és szolgáltatásokat. Ilyenek például az Exchange Server 2013-at vagy a SharePoint Server 2013-at futtató kiszolgálók.
A kiszolgálók definiálásához futtassa az RMS-összekötő felügyeleti eszközét, és adjon hozzá bejegyzéseket az engedélyezett kiszolgálók listájához. Ezt az eszközt akkor futtathatja, ha a Microsoft Rights Management összekötő telepítővarázslójának végén az Összekötő-felügyeleti konzol indítása lehetőséget választja a kiszolgálók engedélyezéséhez, vagy a varázslótól elkülönítve is futtathatja.
Amikor engedélyezi ezeket a kiszolgálókat, vegye figyelembe a következő szempontokat:
A hozzáadott kiszolgálók különleges jogosultságokat kapnak. Az Összekötő konfigurációjában az Exchange Server szerepkörhöz megadott összes fiók megkapja a felügyelői szerepkört az Azure RMS-ben, amely hozzáférést biztosít számukra az RMS-bérlő összes tartalmához. A felügyelői funkció ezen a ponton automatikusan engedélyezve van, ha szükséges. A jogosultságok emelésének biztonsági kockázatának elkerülése érdekében ügyeljen arra, hogy csak a szervezet Exchange-kiszolgálói által használt fiókokat adja meg. Minden SharePoint-kiszolgálóként vagy FCI-t használó fájlkiszolgálóként konfigurált kiszolgálók rendszeres felhasználói jogosultságokat kapnak.
Egyetlen bejegyzésként több kiszolgálót is hozzáadhat egy Active Directory biztonsági vagy terjesztési csoport vagy egy több kiszolgáló által használt szolgáltatásfiók megadásával. Ha ezt a konfigurációt használja, a kiszolgálócsoport ugyanazokkal az RMS-tanúsítványokkal rendelkezik, és mindegyik tulajdonosnak minősül az olyan tartalom esetében, amelyet bármelyikük védett. A felügyeleti terhek minimalizálása érdekében javasoljuk, hogy az egyes kiszolgálók helyett egyetlen csoport konfigurációját használja a szervezet Exchange-kiszolgálóinak vagy SharePoint-kiszolgálófarmjainak engedélyezéséhez.
Az összekötőoldal használatára jogosult kiszolgálókon válassza a Hozzáadás lehetőséget.
Megjegyzés:
A kiszolgálók engedélyezése egyenértékű konfiguráció az Azure RMS-ben azzal az AD RMS-konfigurációval, amely lehetővé teszi az NTFS-jogosultságok manuális alkalmazását a ServerCertification.asmx szolgáltatás- vagy kiszolgálószámítógép-fiókokra, és manuálisan biztosít felhasználói szuperjogokat az Exchange-fiókoknak. Az összekötőn nem szükséges NTFS-jogosultságokat alkalmazni a ServerCertification.asmx fájlra.
Kiszolgáló hozzáadása az engedélyezett kiszolgálók listájához
Az Összekötő lap használatának engedélyezése a kiszolgálón, adja meg az objektum nevét, vagy tallózással azonosítsa az engedélyezni kívánt objektumot.
Fontos, hogy a megfelelő objektumot engedélyezze. Ahhoz, hogy egy kiszolgáló használhassa az összekötőt, ki kell jelölni a helyszíni szolgáltatást futtató fiókot (például az Exchange-et vagy a SharePointot). Ha például a szolgáltatás konfigurált szolgáltatásfiókként fut, adja hozzá a szolgáltatásfiók nevét a listához. Ha a szolgáltatás helyi rendszerként fut, adja hozzá a számítógép-objektum nevét (például Standard kiadás RVERNAME$). Ajánlott eljárásként hozzon létre egy csoportot, amely tartalmazza ezeket a fiókokat, és adja meg a csoportot az egyes kiszolgálónevek helyett.
További információ a különböző kiszolgálói szerepkörökről:
Exchange-et futtató kiszolgálók esetén: Meg kell adnia egy biztonsági csoportot, és használhatja azt az alapértelmezett csoportot (Exchange-kiszolgálókat), amelyet az Exchange automatikusan létrehoz és karbantart az erdőben lévő összes Exchange-kiszolgálóról.
SharePointot futtató kiszolgálók esetén:
Ha egy SharePoint 2010-kiszolgáló úgy van konfigurálva, hogy helyi rendszerként fusson (nem használ szolgáltatásfiókot), hozzon létre manuálisan egy biztonsági csoportot a Active Directory tartományi szolgáltatások, és adja hozzá a kiszolgáló számítógépnév-objektumát ebben a konfigurációban ehhez a csoporthoz.
Ha egy SharePoint-kiszolgáló szolgáltatásfiók használatára van konfigurálva (a SharePoint 2010 ajánlott gyakorlata és a SharePoint 2016 és a SharePoint 2013 egyetlen lehetősége), tegye a következőket:
Adja hozzá a SharePoint Central Rendszergazda istration szolgáltatást futtató szolgáltatásfiókot, hogy a SharePoint konfigurálható legyen a felügyeleti konzolról.
Adja hozzá a SharePoint-alkalmazáskészlethez konfigurált fiókot.
Tipp.
Ha ez a két fiók eltérő, érdemes lehet létrehozni egy olyan csoportot, amely mindkét fiókot tartalmazza a rendszergazdai többletterhelés minimalizálása érdekében.
A fájlbesorolási infrastruktúrát használó fájlkiszolgálók esetében a társított szolgáltatások helyi rendszerfiókként futnak, ezért engedélyeznie kell a számítógépfiókot a fájlkiszolgálókhoz (például Standard kiadás RVERNAME$) vagy a számítógépfiókokat tartalmazó csoporthoz.
Ha befejezte a kiszolgálók hozzáadását a listához, kattintson a Bezárás gombra.
Ha még nem tette meg, most konfigurálnia kell a terheléselosztást az RMS-összekötőt futtató kiszolgálókhoz, és fontolja meg, hogy a HTTPS-t használja-e a kiszolgálók és az imént engedélyezett kiszolgálók közötti kapcsolatokhoz.
Terheléselosztás és magas rendelkezésre állás konfigurálása
Miután telepítette az RMS-összekötő második vagy utolsó példányát, adjon meg egy összekötő URL-kiszolgáló nevét, és konfiguráljon egy terheléselosztási rendszert.
Az összekötő URL-kiszolgálójának neve tetszőleges nevet tartalmazhat egy ön által felügyelt névtérben. Létrehozhat például egy bejegyzést a DNS-rendszerben a rmsconnector.contoso.com számára, és konfigurálhatja ezt a bejegyzést úgy, hogy a terheléselosztási rendszerben IP-címet használjon. Ehhez a névhez nincsenek speciális követelmények, és nem kell konfigurálni őket az összekötő kiszolgálókon. Hacsak az Exchange- és SharePoint-kiszolgálók nem kommunikálnak az összekötővel az interneten keresztül, ezt a nevet nem kell feloldani az interneten.
Fontos
Azt javasoljuk, hogy ne módosítsa ezt a nevet, miután konfigurálta az Exchange- vagy SharePoint-kiszolgálókat az összekötő használatára, mert ezeket a kiszolgálókat törölnie kell az összes IRM-konfigurációból, majd újra kell konfigurálnia őket.
Miután a név létrejött a DNS-ben, és egy IP-címhez van konfigurálva, konfigurálja a cím terheléselosztását, amely a forgalmat az összekötő-kiszolgálókra irányítja. Ehhez bármilyen IP-alapú terheléselosztót használhat, amely magában foglalja a Windows Server hálózati terheléselosztási (NLB) funkcióját. További információt a terheléselosztás üzembehelyezési útmutatójában talál.
Az NLB-fürt konfigurálásához használja az alábbi beállításokat:
Portok: 80 (HTTP esetén) vagy 443 (HTTPS esetén)
További információ arról, hogy HTTP-t vagy HTTPS-t szeretne-e használni, tekintse meg a következő szakaszt.
Affinitás: Nincs
Terjesztési módszer: Egyenlő
A terheléselosztási rendszerhez (az RMS-összekötő szolgáltatást futtató kiszolgálókhoz) definiált név a szervezet RMS-összekötőjének neve, amelyet később használ, amikor a helyszíni kiszolgálókat az Azure RMS használatára konfigurálja.
Az RMS-összekötő konfigurálása HTTPS használatára
Megjegyzés:
Ez a konfigurációs lépés nem kötelező, de további biztonság érdekében ajánlott.
Bár a TLS vagy az SSL használata nem kötelező az RMS-összekötőhöz, minden HTTP-alapú, biztonsági szempontból érzékeny szolgáltatáshoz javasoljuk. Ez a konfiguráció hitelesíti az összekötőt futtató kiszolgálókat az összekötőt használó Exchange- és SharePoint-kiszolgálókon. Emellett a kiszolgálókról az összekötőnek küldött összes adat titkosítva van.
Ha engedélyezni szeretné az RMS-összekötő számára a TLS használatát, az RMS-összekötőt futtató minden kiszolgálón telepítsen egy kiszolgálóhitelesítő tanúsítványt, amely tartalmazza az összekötőhöz használt nevet. Ha például a DNS-ben definiált RMS-összekötő neve rmsconnector.contoso.com, helyezzen üzembe egy kiszolgálóhitelesítési tanúsítványt, amely a tanúsítvány tulajdonosában általános névként rmsconnector.contoso.com tartalmaz. Vagy adja meg a rmsconnector.contoso.com a tanúsítvány alternatív neveként DNS-értékként. A tanúsítványnak nem kell tartalmaznia a kiszolgáló nevét. Ezután az IIS-ben kösse ezt a tanúsítványt az alapértelmezett webhelyhez.
Ha a HTTPS-beállítást használja, győződjön meg arról, hogy az összekötőt futtató összes kiszolgáló rendelkezik érvényes kiszolgálóhitelesítési tanúsítvánnyal, amely egy olyan legfelső szintű hitelesítésszolgáltatóhoz kapcsolódik, amelyet az Exchange és a SharePoint-kiszolgálók megbízhatónak tekintenek. Ezenkívül ha az összekötő-kiszolgálók tanúsítványait kiállító hitelesítésszolgáltató (CA) közzétesz egy visszavont tanúsítványok listáját (CRL), az Exchange- és SharePoint-kiszolgálóknak le kell tudniuk tölteni ezt a CRL-t.
Tipp.
A következő információk és erőforrások segítségével kérheti és telepítheti a kiszolgálóhitelesítő tanúsítványt, és a tanúsítványt az IIS alapértelmezett webhelyéhez kötheti:
Ha az Active Directory Tanúsítványszolgáltatások (AD CS) és egy vállalati hitelesítésszolgáltató (CA) használatával telepíti ezeket a kiszolgálói hitelesítési tanúsítványokat, duplikálhatja, majd használhatja a webkiszolgáló tanúsítványsablonját. Ez a tanúsítványsablon a tanúsítvány tulajdonosának nevére vonatkozó kérelemben megadott nevet használja, ami azt jelenti, hogy a tanúsítvány igénylésekor megadhatja az RMS-összekötő nevének teljes tartománynevét.
Ha önálló hitelesítésszolgáltatót használ, vagy másik vállalattól vásárolja meg ezt a tanúsítványt, olvassa el az Internet Server-tanúsítványok (IIS 7) konfigurálása a WebKiszolgáló (IIS) dokumentációs könyvtárában a TechNeten.
Ha az IIS-t a tanúsítvány használatára szeretné konfigurálni, olvassa el a Kötés hozzáadása webhelyhez (IIS 7) című témakört a TechNet webkiszolgálói (IIS) dokumentációs könyvtárában.
Az RMS-összekötő konfigurálása webproxy-kiszolgálóhoz
Ha az összekötő-kiszolgálók olyan hálózaton vannak telepítve, amely nem rendelkezik közvetlen internetkapcsolattal, és a kimenő internet-hozzáféréshez egy webproxy-kiszolgáló manuális konfigurálásához van szükség, ezen kiszolgálókon konfigurálnia kell a beállításjegyzéket az RMS-összekötőhöz.
Az RMS-összekötő konfigurálása webproxy-kiszolgáló használatára
Az RMS-összekötőt futtató minden kiszolgálón nyisson meg egy beállításszerkesztőt, például a Regeditet.
Lépjen a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Csatlakozás or
Adja hozzá a ProxyAddress sztringértékét, majd állítsa be az ehhez az értékhez tartozó adatokat http://< MyProxyDomainOrIPaddress>:<MyProxyPort>
For example: https://proxyserver.contoso.com:8080
Zárja be a beállításszerkesztőt, majd indítsa újra a kiszolgálót, vagy hajt végre egy IISReset-parancsot az IIS újraindításához.
Az RMS-összekötő felügyeleti eszköz telepítése felügyeleti számítógépekre
Az RMS-összekötő felügyeleti eszközét olyan számítógépről futtathatja, amelyen nincs telepítve az RMS-összekötő, ha a számítógép megfelel a következő követelményeknek:
Windows Server 2019, 2016, 2012 vagy Windows Server 2012 R2 rendszerű fizikai vagy virtuális számítógép (minden kiadás), Windows 11, Windows 10, Windows 8.1, Windows 8.
Legalább 1 GB RAM.
Legalább 64 GB lemezterület.
Legalább egy hálózati adapter.
Hozzáférés az internethez tűzfalon (vagy webes proxyn) keresztül.
.NET 4.7.2
Az RMS-összekötő felügyeleti eszköz telepítéséhez futtassa a következő fájlt egy 64 bites számítógéphez: RMS Csatlakozás orSetup.exe
Ha még nem töltötte le ezeket a fájlokat, ezt a Microsoft letöltőközpontból teheti meg.
További információ: Az RMS-összekötő előfeltételei.
Az RMS-összekötő telepítésének frissítése
Az RMS-összekötő új verziójának telepítése automatikusan eltávolítja a korábbi verziókat, és telepíti a szükséges .NET 4.7.2-es verziót. Ha bármilyen problémába ütközik, az alábbi utasításokat követve távolítsa el manuálisan az előző verziót, és telepítse a .NET 4.7.2-t.
Az RMS-összekötő számítógépén az Alkalmazások és szolgáltatások beállításai lapon távolítsa el a Microsoft Rights Management Csatlakozás ort.
Az örökölt rendszereken a Vezérlőpult > Program és szolgáltatások lapon találhat telepítés nélküli beállításokat.
Navigáljon a varázslón a Microsoft Rights Management-összekötő eltávolításához, és válassza a Befejezés gombot a végén.
Ellenőrizze, hogy a számítógépen telepítve van-e a .NET 4.7.2. További információ: Útmutató: Annak meghatározása, hogy mely .NET-keretrendszer verziók vannak telepítve.
Ha szükséges, töltse le és telepítse a .NET 4.7.2-es verzióját.
Amikor a rendszer kéri, indítsa újra a gépet, majd folytassa az RMS-összekötő új verziójának telepítésével.
TLS 1.2 kényszerítése az Azure RMS Csatlakozás orhoz
A Microsoft alapértelmezés szerint 2022. március 1-jén letiltja a régebbi, nem biztonságos TLS-protokollokat, köztük a TLS 1.0-t és a TLS 1.1-et az RMS-szolgáltatásokon. A módosításra való felkészüléshez érdemes kikapcsolnia a régebbi protokollok támogatását az RMS Csatlakozás or-kiszolgálókon, és gondoskodnia kell arról, hogy a rendszer továbbra is a várt módon működjön.
Ez a szakasz a Transport Layer Security (TLS) 1.0 és 1.1 rms Csatlakozás or kiszolgálókon való letiltásának és a TLS 1.2 használatának kényszerítésének lépéseit ismerteti.
Kapcsolja ki a TLS 1.0 és 1.1 elemet, és kényszerítse a TLS 1.2 használatát
Győződjön meg arról, hogy az RMS Csatlakozás or gépen a .NET-keretrendszer 4.7.2-es verziójú. További információ: .NET-keretrendszer 4.7.2-es verziója.
Töltse le és telepítse az RMS Csatlakozás or legújabb elérhető verzióját. További információ: Az RMS-összekötő telepítése.
Indítsa újra az RMS Csatlakozás or-kiszolgálókat, és tesztelje az RMS Csatlakozás or funkcióit. Győződjön meg például arról, hogy a helyszíni RMS-felhasználók képesek olvasni a titkosított dokumentumaikat.
For more information, see:
- Transport Layer Security (TLS) beállításjegyzék-beállítások
- A Microsoft 365-höz készült TLS 1.0 és 1.1 letiltása
TLS 1.2-használat ellenőrzése (speciális)
Ez az eljárás a TLS 1.2 használatának ellenőrzésére nyújt példát, és megköveteli a Fiddler előzetes ismeretét.
Töltse le és telepítse a Fiddlert az RMS Csatlakozás or gépen.
Nyissa meg a Fiddlert, majd nyissa meg a Microsoft RMS Csatlakozás or felügyeleti eszközeit.
Válassza a Bejelentkezés lehetőséget, de az ellenőrzés elvégzéséhez nem kell ténylegesen bejelentkeznie.
A bal oldali Fiddler ablakban keresse meg az msconnectoradmin folyamatot. Ennek a folyamatnak meg kell kísérelnie biztonságos kapcsolatot létesíteni discover.aadrm.com.
Például:
A jobb oldali Fiddler ablakban válassza az Ellenőrök lapot, és tekintse meg a Szövegnézet lapokat a kéréshez és a válaszhoz is.
Ezekben a lapokban vegye figyelembe, hogy a kommunikáció a TLS 1.2 használatával történik. Például:
A TLS 1.2 használatának manuális kényszerítése
Ha manuálisan kell kényszerítenie a TLS 1.2 használatát, és ki kell kapcsolnia a korábbi verziók használatát, futtassa a következő PowerShell-szkriptet az RMS-összekötő gépen.
Figyelem
Az ebben a szakaszban található szkript használata gépenként kikapcsolja a TLS 1.2 előtti kommunikációt. Ha a gép többi szolgáltatása TLS 1.0-s vagy 1.2-s verziót igényel, ez a szkript megszakíthatja ezen szolgáltatások funkcióit.
$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
foreach ($key in $ProtocolSubKeyList) {
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if (!(Test-Path $currentRegPath)) {
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if ($Protocol -eq "TLS 1.2") {
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else {
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
További lépések
Most, hogy telepítette és konfigurálta az RMS-összekötőt, készen áll a helyszíni kiszolgálók használatára. Lépjen a Kiszolgálók konfigurálása a Microsoft Rights Management-összekötőhöz című témakörben.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: