Configurazione dei server per il connettore Microsoft Rights Management

Usare le informazioni seguenti per configurare i server locali che useranno il connettore Azure Rights Management (RMS). Queste procedure illustrano il passaggio 5 della distribuzione del connettore Microsoft Rights Management.

Prerequisiti: prima di iniziare, assicurarsi di avere: - Installato e configurato il connettore RMS - Verificare eventuali prerequisiti rilevanti per i server che useranno il connettore.

Configurazione dei server per l'uso del connettore RMS

Dopo aver installato e configurato il connettore RMS, è possibile configurare i server locali che si connetteranno al servizio Azure Rights Management e usare questa tecnologia di protezione usando il connettore.

Ciò significa configurare i server seguenti:

Ambiente Server da configurare
Exchange 2013 Server di accesso client e server cassette postali
Exchange 2016 ed Exchange 2019 Server cassette postali (inclusi i ruoli del server Accesso client e Trasporto Hub)
SharePoint Server Web di SharePoint front-end, inclusi quelli che ospitano il server di Amministrazione istration centrale
Infrastruttura di classificazione file Computer Windows Server che hanno installato Gestione risorse file

Questa configurazione richiede le impostazioni del Registro di sistema, con le opzioni seguenti:

Importante

In entrambi i casi, è necessario installare manualmente tutti i prerequisiti e configurare Exchange, SharePoint e Infrastruttura di classificazione file per l'uso di Rights Management.

Nota

Per la maggior parte delle organizzazioni, la configurazione automatica tramite lo strumento di configurazione server per il connettore Microsoft RMS sarà l'opzione migliore, perché offre maggiore efficienza e affidabilità rispetto alla configurazione manuale.

Dopo aver apportato le modifiche alla configurazione in questi server, è necessario riavviarle se eseguono Exchange o SharePoint e sono state configurate in precedenza per l'uso di AD RMS. Non è necessario riavviare questi server se vengono configurati per Rights Management per la prima volta.

È necessario riavviare sempre il file server configurato per l'uso dell'infrastruttura di classificazione file dopo aver apportato queste modifiche alla configurazione.

Modificare automaticamente le impostazioni del Registro di sistema- vantaggi e svantaggi

Modificare automaticamente le impostazioni del Registro di sistema usando lo strumento di configurazione server per il connettore Microsoft RMS.

I vantaggi includono:

  • Nessuna modifica diretta del Registro di sistema. Questa operazione viene automatizzata usando uno script.

  • Non è necessario eseguire un cmdlet di Windows PowerShell per ottenere l'URL di Microsoft RMS.

  • I prerequisiti vengono controllati automaticamente (ma non corretti automaticamente) se vengono eseguiti localmente.

Gli svantaggi includono: quando si esegue lo strumento, è necessario stabilire una connessione a un server che esegue già il connettore RMS.

Per altre informazioni, vedere Come usare lo strumento di configurazione server per il connettore Microsoft RMS.

Modificare manualmente le impostazioni del Registro di sistema : vantaggi e svantaggi

I vantaggi includono: non è necessaria alcuna connettività a un server che esegue il connettore RMS.

Gli svantaggi includono:

  • Più sovraccarichi amministrativi soggetti a errori.

  • È necessario ottenere l'URL di Microsoft RMS, che richiede l'esecuzione di un comando di Windows PowerShell.

  • È sempre necessario effettuare tutti i prerequisiti da soli.

Come usare lo strumento di configurazione server per il connettore Microsoft RMS

  1. Se non è già stato scaricato lo script per lo strumento di configurazione server per il connettore Microsoft RMS (Gen Connessione orConfig.ps1), scaricarlo dall'Area download Microsoft.

  2. Salvare il file Gen Connessione orConfig.ps1 nel computer in cui verrà eseguito lo strumento.

    Se si eseguirà lo strumento in locale, questo deve essere il server che si vuole configurare per comunicare con il connettore RMS. In caso contrario, è possibile salvarlo in qualsiasi computer.

  3. Decidere come eseguire lo strumento:

    Metodo Descrizione
    Locale Eseguire lo strumento in modo interattivo, dal server da configurare per comunicare con il connettore RMS.

    Suggerimento: questa opzione è utile per una configurazione occasionale, ad esempio un ambiente di test.
    Distribuzione software Eseguire lo strumento per produrre file del Registro di sistema, che vengono quindi distribuiti in uno o più server pertinenti.

    Distribuire i file del Registro di sistema usando un'applicazione di gestione dei sistemi che supporta la distribuzione software, ad esempio System Center Configuration Manager.
    Criteri di gruppo Eseguire lo strumento per produrre uno script che si assegna a un amministratore che può creare oggetti Criteri di gruppo per i server da configurare.

    Questo script crea un oggetto Criteri di gruppo per ogni tipo di server da configurare, che l'amministratore può quindi assegnare ai server pertinenti.

    Nota

    Questo strumento configura i server che comunicheranno con il connettore RMS e elencati all'inizio di questa sezione. Non eseguire questo strumento nei server che eseguono il connettore RMS.

  4. Avviare Windows PowerShell con l'opzione Esegui come amministratore e usare il comando Get-help per leggere le istruzioni su come usare lo strumento per il metodo di configurazione scelto:

    Get-help .\GenConnectorConfig.ps1 -detailed
    

Per eseguire lo script, è necessario immettere l'URL del connettore RMS per l'organizzazione.

Immettere il prefisso del protocollo (HTTP:// o HTTPS://) e il nome del connettore definito in DNS per l'indirizzo con carico bilanciato del connettore. Ad esempio, https:\//connector.contoso.com.

Lo strumento usa quindi tale URL per contattare i server che eseguono il connettore RMS e ottenere altri parametri usati per creare le configurazioni necessarie.

Importante

Quando si esegue questo strumento, assicurarsi di specificare il nome del connettore RMS con carico bilanciato per l'organizzazione e non il nome di un singolo server che esegue il servizio connettore RMS.

Usare le sezioni seguenti per informazioni specifiche per ogni tipo di servizio:

Quando installare applicazioni client in computer separati, che non sono configurati per l'uso del connettore

Dopo che questi server sono configurati per l'uso del connettore, le applicazioni client installate localmente in questi server potrebbero non funzionare con RMS. In questo caso, è perché le applicazioni tentano di usare il connettore anziché usare direttamente RMS, che non è supportato.

È necessario installare le applicazioni client in computer separati che non sono configurati per l'uso del connettore. Useranno quindi correttamente RMS direttamente.

Configurazione di un server Exchange per l'uso del connettore

I ruoli di Exchange seguenti comunicano con il connettore RMS:

  • Per Exchange 2016 ed Exchange 2013: Server di accesso client e server cassette postali

  • Per Exchange 2019: Server di accesso client e server trasporto hub

Per usare il connettore RMS, questi server che eseguono Exchange devono eseguire una delle versioni software seguenti:

  • Exchange Server 2016

  • Exchange Server 2013 con l'aggiornamento cumulativo 3 di Exchange 2013

  • Exchange Server 2019

Sarà necessario anche in questi server, una versione 1 del client RMS (nota anche come MSDRM) che include il supporto per la modalità di crittografia RMS 2. Tutti i sistemi operativi Windows includono il client MSDRM, ma le versioni precedenti del client non supportavano la modalità crittografia 2. Se i server Exchange eseguono almeno Windows Server 2012, non è necessaria alcuna ulteriore azione perché il client RMS installato con questi sistemi operativi supporta in modo nativo la modalità crittografia 2.

Importante

Se queste versioni o versioni successive di Exchange e il client MSDRM non sono installati, non sarà possibile configurare Exchange per l'uso del connettore. Verificare che queste versioni siano installate prima di continuare.

Per configurare i server Exchange per l'uso del connettore

  1. Assicurarsi che i server Exchange siano autorizzati a usare il connettore RMS usando lo strumento di amministrazione del connettore RMS e le informazioni contenute nella sezione Autorizzazione dei server per l'uso del connettore RMS.

    Questa configurazione è necessaria in modo che Exchange possa usare il connettore RMS.

  2. Nei ruoli del server Exchange che comunicano con il connettore RMS eseguire una delle operazioni seguenti:

  3. Abilitare la funzionalità IRM per Exchange usando il cmdlet Di Exchange PowerShell Set-IRMConfiguration. Impostare InternalLicensingEnabled $true e ClientAccessServerEnabled $true.

Configurazione di un server SharePoint per l'uso del connettore

I server Web di SharePoint front-end, inclusi quelli che ospitano il server di Amministrazione istration centrale, comunicano con il connettore RMS.

Per usare il connettore RMS, questi server che eseguono SharePoint devono eseguire una delle versioni software seguenti:

  • SharePoint Server 2019

  • SharePoint Server 2016

  • Server SharePoint 2013

Un server che esegue SharePoint 2019, 2016 o SharePoint 2013 deve eseguire anche una versione del client MSIPC 2.1 supportata con il connettore RMS.

Per assicurarsi di avere una versione supportata, scaricare il client più recente dall'Area download Microsoft.

Avviso

Esistono più versioni del client MSIPC 2.1, quindi assicurarsi di avere la versione 1.0.2004.0 o successiva.

È possibile verificare la versione del client controllando il numero di versione di MSIPC.dll, che si trova in \Programmi\Active Directory Rights Management Services Client 2.1. La finestra di dialogo proprietà mostra il numero di versione del client MSIPC 2.1.

Per configurare i server SharePoint per l'uso del connettore

  1. Assicurarsi che i server SharePoint siano autorizzati a usare il connettore RMS, usando lo strumento di amministrazione del connettore RMS e le informazioni contenute nella sezione Autorizzazione dei server per l'uso del connettore RMS.

    Questa configurazione è necessaria in modo che i server SharePoint possano usare il connettore RMS.

  2. Nei server SharePoint che comunicano con il connettore RMS eseguire una delle operazioni seguenti:

  3. Abilitare IRM in SharePoint. Quando si seguono queste istruzioni, è necessario configurare SharePoint per l'uso del connettore specificando Usa questo server RMS e quindi immettere l'URL del connettore di bilanciamento del carico configurato.

    Immettere il prefisso del protocollo (HTTP:// o HTTPS://) e il nome del connettore definito in DNS per l'indirizzo con carico bilanciato del connettore.

    Ad esempio, se il nome del connettore è https:\//connector.contoso.com, la configurazione sarà simile all'immagine seguente:

    Configuring SharePoint Server for the RMS connector

    Dopo l'abilitazione di IRM in una farm di SharePoint, è possibile abilitare IRM in singole raccolte usando l'opzione Information Rights Management nella pagina Libreria Impostazioni per ognuna delle raccolte.

Configurazione di un file server per l'infrastruttura di classificazione file per l'uso del connettore

Per usare il connettore RMS e l'infrastruttura di classificazione file per proteggere i documenti di Office, il file server deve eseguire uno dei sistemi operativi seguenti:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

Per configurare i file server per l'uso del connettore

  1. Assicurarsi che i file server siano autorizzati a usare il connettore RMS, usando lo strumento di amministrazione del connettore RMS e le informazioni contenute nella sezione Autorizzazione dei server per l'uso del connettore RMS.

    Questa configurazione è necessaria in modo che i file server possano usare il connettore RMS.

  2. Nei file server configurati per l'infrastruttura di classificazione file e che comunicheranno con il connettore RMS, eseguire una delle operazioni seguenti:

    • Eseguire lo strumento di configurazione del server per il connettore Microsoft RMS

      Per altre informazioni, vedere Come usare lo strumento di configurazione server per il connettore Microsoft RMS.

      Ad esempio, per eseguire lo strumento in locale per configurare un file server che esegue l'istanza del cluster di failover:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetFCI2012
      
    • Apportare modifiche manuali al Registro di sistema usando le informazioni contenute nelle impostazioni del Registro di sistema per il connettore RMS per aggiungere manualmente le impostazioni del Registro di sistema nei server.

  3. Creare regole di classificazione e attività di gestione dei file per proteggere i documenti con crittografia RMS e quindi specificare un modello RMS per applicare automaticamente i criteri RMS.

    Per altre informazioni, vedere Panoramica di Gestione risorse file server nella libreria della documentazione di Windows Server.

Passaggi successivi

Ora che il connettore RMS è installato e configurato e i server sono configurati per usarlo, gli amministratori IT e gli utenti possono proteggere e utilizzare messaggi e documenti di posta elettronica usando il servizio Azure Rights Management.

Per semplificare questa operazione per gli utenti, distribuire il client Azure Information Protection, che installa un componente aggiuntivo per Office e aggiunge nuove opzioni di clic con il pulsante destro del mouse per Esplora file.

Per altre informazioni, vedere la guida dell'amministratore client di Azure Information Protection.

Si noti che se si configurano modelli di reparto da usare con le regole di trasporto di Exchange o l'istanza del cluster di failover di Windows Server, la configurazione dell'ambito deve includere l'opzione di compatibilità dell'applicazione in modo che la casella di controllo Mostra questo modello a tutti gli utenti quando le applicazioni non supportano l'identità utente è selezionata.

È possibile usare la roadmap per la distribuzione di Azure Information Protection per verificare se è necessario eseguire altri passaggi di configurazione prima di implementare Azure Rights Management agli utenti e agli amministratori.

Per monitorare il connettore RMS, vedere Monitorare il connettore Microsoft Rights Management.