Distribuzione del connettore Microsoft Rights Management

Usare queste informazioni per informazioni sul connettore Microsoft Rights Management e su come distribuirlo correttamente per l'organizzazione. Questo connettore fornisce la protezione dei dati per le distribuzioni locali esistenti che usano Microsoft Exchange Server, SharePoint Server o file server che eseguono Windows Server and File Classification Infrastructure (FCI).

Panoramica del connettore Microsoft Rights Management

Il connettore Microsoft Rights Management (RMS) consente di abilitare rapidamente i server locali esistenti per usare la funzionalità Information Rights Management (IRM) con il servizio Microsoft Rights Management (Azure RMS) basato sul cloud. Con questa funzionalità, l'IT e gli utenti possono proteggere facilmente documenti e immagini sia all'interno dell'organizzazione che all'esterno, senza dover installare un'infrastruttura aggiuntiva o stabilire relazioni di trust con altre organizzazioni.

Il connettore RMS è un servizio con ingombro ridotto installato in locale nei server che eseguono Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Windows Server 2012. Oltre a eseguire il connettore nei computer fisici, è anche possibile eseguirlo in macchine virtuali, incluse le macchine virtuali IaaS di Azure. Dopo la distribuzione, il connettore funge da interfaccia di comunicazione (inoltro) tra i server locali e il servizio cloud, come illustrato nell'immagine seguente. Le frecce indicano la direzione in cui vengono avviate le connessioni di rete.

RMS connector architecture overview

Server locali supportati

Il connettore RMS supporta i server locali seguenti: Exchange Server, SharePoint Server e file server che eseguono Windows Server e usano l'infrastruttura di classificazione dei file per classificare e applicare criteri ai documenti Office in una cartella.

Nota

Se si vogliono proteggere più tipi di file (non solo Office documenti) con Infrastruttura di classificazione file, non usare il connettore RMS, ma usare i cmdlet di AzureInformationProtection.

Per le versioni di questi server locali supportati dal connettore RMS, vedere Server locali che supportano Azure RMS.

Supporto per scenari ibridi

È possibile usare il connettore RMS anche se alcuni utenti si connettono a Servizi online, in uno scenario ibrido. Ad esempio, le cassette postali di alcuni utenti usano Exchange Online e le cassette postali di alcuni utenti usano Exchange Server. Dopo aver installato il connettore RMS, tutti gli utenti possono proteggere e utilizzare messaggi di posta elettronica e allegati con Azure RMS e la protezione delle informazioni funziona perfettamente tra le due configurazioni di distribuzione.

Supporto per le chiavi gestite dal cliente (BYOK)

Se si gestisce la propria chiave tenant per Azure RMS (lo scenario Bring Your Own Key o BYOK), il connettore RMS e i server locali che lo usano non accedono al modulo di sicurezza hardware (HSM) che contiene la chiave tenant. Il motivo è che tutte le operazioni di crittografia che usano la chiave tenant vengono eseguite in Azure RMS e non in locale.

Per altre informazioni su questo scenario in cui si gestisce la chiave del tenant, vedere Pianificazione e implementazione della chiave tenant di Azure Information Protection.

Prerequisiti per il connettore RMS

Prima di installare il connettore RMS, verificare che siano soddisfatti i requisiti seguenti.

Requisito Altre informazioni
Il servizio di protezione è attivato Attivazione del servizio di protezione da Azure Information Protection
Sincronizzazione della directory tra le foreste Active Directory locale e le Azure Active Directory Dopo l'attivazione di RMS, Azure Active Directory deve essere configurato per l'uso con gli utenti e i gruppi nel database di Active Directory.

Importante: è necessario eseguire questo passaggio di sincronizzazione della directory affinché il connettore RMS funzioni, anche per una rete di prova. Anche se è possibile usare Microsoft 365 e Azure Active Directory usando account creati manualmente in Azure Active Directory, questo connettore richiede che gli account in Azure Active Directory siano sincronizzati con Active Directory Domain Services; la sincronizzazione manuale delle password non è sufficiente.

Per altre informazioni, vedere le risorse seguenti:

- Integrare domini Active Directory locale con Azure Active Directory

- Confronto degli strumenti di integrazione della directory di identità ibrida
Un minimo di due computer membri in cui installare il connettore RMS:

- Un computer fisico o virtuale a 64 bit che esegue uno dei sistemi operativi seguenti: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

- Almeno 1 GB di RAM.

- Un minimo di 64 GB di spazio su disco.

- Almeno un'interfaccia di rete.

- Accesso a Internet tramite un firewall (o proxy Web) che non richiede l'autenticazione.

: deve trovarsi in una foresta o in un dominio che considera attendibili altre foreste dell'organizzazione che contengono installazioni di Exchange o SharePoint server da usare con il connettore RMS.

- .NET 4.7.2 installato. A seconda del sistema, potrebbe essere necessario scaricarlo e installarlo separatamente.
Per tolleranza di errore e disponibilità elevata, è necessario installare il connettore RMS su un minimo di due computer.

Suggerimento: se si usa Outlook Web Access o dispositivi mobili che usano Exchange ActiveSync IRM ed è fondamentale mantenere l'accesso ai messaggi di posta elettronica e agli allegati protetti da Azure RMS, è consigliabile distribuire un gruppo di server dei connettori con bilanciamento del carico per garantire la disponibilità elevata.

Non sono necessari server dedicati per eseguire il connettore, ma è necessario installarlo in un computer separato dai server che useranno il connettore.

Importante: non installare il connettore in un computer che esegue Exchange Server, SharePoint Server o un file server configurato per l'infrastruttura di classificazione dei file se si vogliono usare le funzionalità di questi servizi con Azure RMS. Inoltre, non installare questo connettore in un controller di dominio.

Se si desidera utilizzare carichi di lavoro server con il connettore RMS ma i server si trovano in domini non attendibili dal dominio da cui si vuole eseguire il connettore, è possibile installare altri server dei connettori RMS in questi domini non attendibili o in altri domini nella foresta.

Non esistono limiti al numero di server dei connettori che è possibile eseguire per l'organizzazione e tutti i server dei connettori installati in un'organizzazione condividono la stessa configurazione. Tuttavia, per configurare il connettore per autorizzare i server, è necessario essere in grado di cercare il server o gli account del servizio da autorizzare, il che significa che è necessario eseguire lo strumento di amministrazione RMS in una foresta da cui è possibile esplorare tali account.
TLS versione 1.2 Per altre informazioni, vedere Applicare TLS 1.2 per il connettore Azure RMS.

Procedura per distribuire il connettore RMS

Il connettore non controlla automaticamente tutti i prerequisiti necessari per una corretta distribuzione, quindi assicurarsi che siano soddisfatti prima di iniziare. Per la distribuzione è necessario installare il connettore, configurarlo e quindi configurare i server che si desidera utilizzare.

Passaggi successivi

Andare al Passaggio 1: Installare e configurare il connettore Microsoft Rights Management.