Installazione e configurazione del connettore Microsoft Rights Management

Usare le informazioni seguenti per installare e configurare il connettore Microsoft Rights Management (RMS). Queste procedure illustrano i passaggi da 1 a 4 della distribuzione del connettore Microsoft Rights Management.

Prima di iniziare:

Installazione del connettore RMS

  1. Identificare i computer (almeno due) per eseguire il connettore RMS. Questi computer devono soddisfare le specifiche minime elencate nei prerequisiti.

    Nota

    Installare un singolo connettore RMS (composto da più server per disponibilità elevata) per tenant (Microsoft 365 tenant o Azure AD tenant). A differenza di Active Directory RMS, non è necessario installare un connettore RMS in ogni foresta.

  2. Scaricare i file di origine per il connettore RMS dall'Area download Microsoft.

    Per installare il connettore RMS, scaricare RMSConnectorSetup.exe.

    Inoltre, se si desidera utilizzare lo strumento di configurazione server per il connettore RMS, per automatizzare la configurazione delle impostazioni del Registro di sistema nei server locali, scaricare ancheGenConnectorConfig.ps1.

  3. Nel computer in cui si vuole installare il connettore RMS eseguire RMSConnectorSetup.exe con privilegi di amministratore.

  4. Nella pagina iniziale dell'installazione di Microsoft Rights Management Connector selezionare Installa connettore Microsoft Rights Management nel computer e quindi fare clic su Avanti.

  5. Leggere e accettare le condizioni del contratto di licenza End-User e quindi fare clic su Avanti.

  6. Nella pagina Autenticazione selezionare l'ambiente cloud corrispondente alla soluzione. Ad esempio, selezionare AzureCloud per l'offerta commerciale di Azure. In caso contrario, selezionare una delle opzioni seguenti:

    • AzureChinaCloud: Azure gestito da 21Vianet
    • AzureUS Government: Azure per enti pubblici (GCC High/DoD)
    • AzureUS Government2: Azure per enti pubblici 2
    • AzureUS Government3: Azure per enti pubblici 3
  7. Seleziona Accedi per accedere al tuo account. Assicurarsi di immettere le credenziali per un account con privilegi sufficienti per configurare il connettore RMS.

    È possibile usare un account con uno dei privilegi seguenti:

    • amministratore globale per il tenant: account amministratore globale del tenant di Microsoft 365 o Azure AD tenant.

    • Amministratore globale di Azure Rights Management: account in Azure Active Directory a cui è stato assegnato il ruolo di amministratore globale di Azure RMS.

    • Amministratore del connettore Azure Rights Management: un account in Azure Active Directory a cui sono stati concessi i diritti per installare e amministrare il connettore RMS per l'organizzazione.

    Il ruolo di amministratore globale di Azure Rights Management e il ruolo di amministratore del connettore Azure Rights Management vengono assegnati agli account usando il cmdlet Add-AipServiceRoleBasedAdministrator .

    Nota

    Se sono stati implementati controlli di onboarding, verificare che l'account specificato sia in grado di proteggere il contenuto.

    Ad esempio, se è stata limitata la possibilità di proteggere il contenuto al gruppo "reparto IT", l'account specificato qui deve essere un membro di tale gruppo. In caso contrario, viene visualizzato il messaggio di errore: Tentativo di individuazione del percorso del servizio di amministrazione e dell'organizzazione non riuscita. Verificare che microsoft Rights Management Service sia abilitato per l'organizzazione.

    Mancia

    Per eseguire il connettore RMS con privilegi minimi, creare un account dedicato a questo scopo a cui assegnare quindi il ruolo di amministratore del connettore Azure RMS. Per altre informazioni, vedere Creare un account dedicato per il connettore RMS.

  8. Nella pagina finale della procedura guidata eseguire le operazioni seguenti e quindi fare clic su Fine:

    • Se si tratta del primo connettore installato, non selezionare Avvia console di amministrazione connettore per autorizzare i server in questo momento. Questa opzione verrà selezionata dopo aver installato il secondo (o ultimo) connettore RMS. Eseguire di nuovo la procedura guidata in almeno un altro computer. È necessario installare almeno due connettori.

    • Se è stato installato il secondo connettore (o quello finale), selezionare Avvia console di amministrazione connettore per autorizzare i server.

Durante il processo di installazione del connettore RMS, tutto il software prerequisito viene convalidato e installato, Internet Information Services (IIS) viene installato se non è già presente e il software del connettore è installato e configurato. Azure RMS è inoltre preparato per la configurazione creando quanto segue:

  • Tabella vuota di server autorizzati a usare il connettore per comunicare con Azure RMS. Aggiungere server a questa tabella in un secondo momento.

  • Un set di token di sicurezza per il connettore, che autorizza le operazioni con Azure RMS. Questi token vengono scaricati da Azure RMS e installati nel computer locale nel Registro di sistema. Sono protetti utilizzando l'interfaccia di programmazione dell'applicazione di protezione dei dati (DPAPI) e le credenziali dell'account di sistema locale.

Creare un account dedicato per il connettore RMS

Questa procedura descrive come creare un account dedicato per eseguire il connettore Azure RMS con i meno privilegi possibili, da usare quando si accede durante l'installazione del connettore RMS.

  1. Se non è già stato fatto, scaricare e installare il modulo AIPService PowerShell. Per ulteriori informazioni, vedere Installazione del modulo AIPService PowerShell.

    Avviare Windows PowerShell con il comando Esegui come amministratore e connettersi al servizio di protezione usando il comando Connessione-AipService:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. Eseguire il comando Add-AipServiceRoleBasedAdministrator usando solo uno dei seguenti parametri:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    Ad esempio, eseguire: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Anche se questi comandi assegnano il ruolo di amministratore del connettore, è anche possibile usare il ruolo GlobalAdministrator .

Verificare l'installazione

  • Per verificare se i servizi Web per il connettore RMS sono operativi:

    Da un Web browser, connettersi a http://< connectoraddress>/_wmcs/certification/servercertification.asmx, sostituendo <connectoraddress> con l'indirizzo del server o il nome in cui è installato il connettore RMS.

    Una connessione riuscita visualizza una pagina ServerCertificationWebService .

  • Per verificare la capacità dell'utente di leggere o modificare documenti protetti da RMS o AIP:

    Sul computer connettore RMS aprire il Visualizzatore eventi e passare al registro Windows applicazioni. Trovare una voce dall'origine del connettore Microsoft RMS , con un livello di informazioni.

    La voce deve avere un messaggio simile al seguente: The list of authorized accounts has been updated

    Screenshot of an RMS connector event in the Event Viewer.

Se è necessario disinstallare il connettore RMS, disinstallarlo tramite la pagina delle impostazioni di sistema oppure eseguendo di nuovo la procedura guidata e selezionando l'opzione di disinstallazione.

Se si verificano problemi durante l'installazione, controllare il log di installazione: %LocalAppData%\Temp\Microsoft Rights Management connector_<date e time.log>

Ad esempio, il registro di installazione potrebbe essere simile a C:\Utenti\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Autorizzazione dei server per l'utilizzo del connettore RMS

Dopo aver installato il connettore RMS in almeno due computer, si è pronti per autorizzare i server e i servizi che si desidera utilizzare il connettore RMS. Ad esempio, i server che eseguono Exchange Server 2013 o SharePoint Server 2013.

Per definire questi server, eseguire lo strumento di amministrazione dei connettori RMS e aggiungere voci all'elenco dei server consentiti. È possibile eseguire questo strumento quando si seleziona Avvia console di amministrazione connettore per autorizzare i server alla fine della configurazione guidata del connettore Microsoft Rights Management oppure è possibile eseguirlo separatamente dalla procedura guidata.

Quando si autorizzano questi server, tenere presente quanto segue:

  • Ai server aggiunti vengono concessi privilegi speciali. A tutti gli account specificati per il ruolo Exchange Server nella configurazione del connettore viene assegnato il ruolo di utente super in Azure RMS, che consente loro di accedere a tutto il contenuto per questo tenant RMS. La funzionalità superutente viene abilitata automaticamente a questo punto, se necessario. Per evitare il rischio di sicurezza dell'elevazione dei privilegi, prestare attenzione a specificare solo gli account usati dai server Exchange dell'organizzazione. A tutti i server configurati come server SharePoint o file server che utilizzano FCI vengono concessi regolari privilegi utente.

  • È possibile aggiungere più server come una singola voce specificando un gruppo di sicurezza o di distribuzione di Active Directory oppure un account del servizio usato da più server. Quando si usa questa configurazione, il gruppo di server condivide gli stessi certificati RMS e sono tutti considerati proprietari del contenuto protetto da uno di essi. Per ridurre al minimo i costi amministrativi, è consigliabile usare questa configurazione di un singolo gruppo invece di singoli server per autorizzare i server Exchange dell'organizzazione o una server farm SharePoint.

Nella pagina Server autorizzati a utilizzare il connettore selezionare Aggiungi.

Nota

L'autorizzazione dei server è la configurazione equivalente in Azure RMS alla configurazione AD RMS dell'applicazione manuale dei diritti NTFS a ServerCertification.asmx per gli account del servizio o del computer server e della concessione manuale dei diritti super utente agli account Exchange. L'applicazione dei diritti NTFS a ServerCertification.asmx non è richiesta sul connettore.

Aggiungere un server all'elenco dei server consentiti

Nella pagina Consenti a un server di utilizzare il connettore immettere il nome dell'oggetto o individuare l'oggetto da autorizzare.

È importante autorizzare l'oggetto corretto. Per usare il connettore da parte di un server, è necessario selezionare per l'autorizzazione l'account che esegue il servizio locale, ad esempio Exchange o SharePoint. Ad esempio, se il servizio è in esecuzione come account del servizio configurato, aggiungere il nome dell'account del servizio all'elenco. Se il servizio è in esecuzione come sistema locale, aggiungere il nome dell'oggetto computer (ad esempio SERVERNAME$). Come procedura consigliata, creare un gruppo contenente questi account e specificare il gruppo al posto dei nomi dei singoli server.

Altre informazioni sui diversi ruoli del server:

  • Per i server che eseguono Exchange: è necessario specificare un gruppo di sicurezza ed è possibile utilizzare il gruppo predefinito (server Exchange) che Exchange crea e gestisce automaticamente tutti i server Exchange nella foresta.

  • Per i server che eseguono SharePoint:

    • Se un server SharePoint 2010 è configurato per l'esecuzione come sistema locale (non usa un account del servizio), creare manualmente un gruppo di sicurezza in Active Directory Domain Services e aggiungere a questo gruppo l'oggetto nome computer per il server in questa configurazione.

    • Se un server SharePoint è configurato per l'uso di un account di servizio (la procedura consigliata per SharePoint 2010 e l'unica opzione per SharePoint 2016 e SharePoint 2013), procedere come segue:

      1. Aggiungere l'account del servizio che esegue il servizio Amministrazione centrale SharePoint per abilitare la configurazione di SharePoint dalla console di amministrazione.

      2. Aggiungere l'account configurato per il pool di app SharePoint.

      Mancia

      Se questi due account sono diversi, è consigliabile creare un singolo gruppo contenente entrambi gli account per ridurre al minimo i costi amministrativi.

  • Per i file server che usano l'infrastruttura di classificazione dei file, i servizi associati vengono eseguiti come account di sistema locale, quindi è necessario autorizzare l'account del computer per i file server (ad esempio SERVERNAME$) o un gruppo che contiene tali account.

Dopo aver aggiunto i server all'elenco, fare clic su Chiudi.

Se non è già stato fatto, è necessario configurare il bilanciamento del carico per i server in cui è installato il connettore RMS e valutare se usare HTTPS per le connessioni tra questi server e i server appena autorizzati.

Configurazione del bilanciamento del carico e disponibilità elevata

Dopo aver installato la seconda o ultima istanza del connettore RMS, definire il nome del server URL del connettore e configurare un sistema di bilanciamento del carico.

Il nome del server URL del connettore può essere qualsiasi nome in uno spazio dei nomi che si controlla. Ad esempio, è possibile creare una voce nel sistema DNS per rmsconnector.contoso.com e configurare questa voce per l'utilizzo di un indirizzo IP nel sistema di bilanciamento del carico. Non esistono requisiti speciali per questo nome e non è necessario configurarlo nei server dei connettori. A meno che i server Exchange e SharePoint non stiano comunicando con il connettore tramite Internet, questo nome non deve essere risolto su Internet.

Importante

È consigliabile non modificare questo nome dopo aver configurato Exchange o SharePoint server per l'uso del connettore, perché è quindi necessario cancellare questi server di tutte le configurazioni IRM e riconfigurarli.

Dopo aver creato il nome nel DNS ed essere stato configurato per un indirizzo IP, configurare il bilanciamento del carico per tale indirizzo, che indirizza il traffico verso i server dei connettori. A questo scopo è possibile usare qualsiasi bilanciamento del carico basato su IP, inclusa la funzionalità Bilanciamento carico di rete in Windows Server. Per altre informazioni, vedere Guida alla distribuzione di Bilanciamento del carico.

Utilizzare le impostazioni seguenti per configurare il cluster bilanciamento del carico di rete:

  • Porte: 80 (per HTTP) o 443 (per HTTPS)

    Per altre informazioni sull'uso di HTTP o HTTPS, vedere la sezione successiva.

  • Affinità: Nessuna

  • Metodo di distribuzione: Uguale

Questo nome definito per il sistema con bilanciamento del carico (per i server che eseguono il servizio connettore RMS) è il nome del connettore RMS dell'organizzazione che verrà usato in seguito, quando si configurano i server locali per l'uso di Azure RMS.

Configurazione del connettore RMS per l'utilizzo di HTTPS

Nota

Questo passaggio di configurazione è facoltativo, ma consigliato per una maggiore sicurezza.

Anche se l'uso di TLS o SSL è facoltativo per il connettore RMS, è consigliabile per qualsiasi servizio sensibile alla sicurezza basato su HTTP. Questa configurazione autentica i server che eseguono il connettore al Exchange e SharePoint server che utilizzano il connettore. Inoltre, tutti i dati inviati da questi server al connettore vengono crittografati.

Per abilitare il connettore RMS per l'uso di TLS, in ogni server che esegue il connettore RMS installare un certificato di autenticazione del server contenente il nome usato per il connettore. Ad esempio, se il nome del connettore RMS definito nel DNS è rmsconnector.contoso.com, distribuire come nome comune un certificato di autenticazione server contenente rmsconnector.contoso.com nell'oggetto del certificato. In alternativa, specificare rmsconnector.contoso.com nel nome alternativo del certificato come valore DNS. Il certificato non deve includere il nome del server. Quindi, in IIS associare il certificato al sito Web predefinito.

Se si usa l'opzione HTTPS, verificare che tutti i server che eseguono il connettore abbiano un certificato di autenticazione server valido concatenato a una CA radice attendibile dal server Exchange e SharePoint. Inoltre, se l'autorità di certificazione (CA) che ha emesso i certificati per i server dei connettori pubblica un elenco di revoche di certificati (CRL), i server Exchange e SharePoint devono essere in grado di scaricare questo CRL.

Mancia

È possibile usare le informazioni e le risorse seguenti per richiedere e installare un certificato di autenticazione server e per associare il certificato al sito Web predefinito in IIS:

  • Se si utilizza Servizi certificati Active Directory (AD CS) e un'autorità di certificazione (CA) aziendale per distribuire questi certificati di autenticazione server, è possibile duplicare e quindi utilizzare il modello di certificato web server. Questo modello di certificato usa Specificato nella richiesta per il nome del soggetto del certificato, ovvero è possibile specificare il nome di dominio completo del connettore RMS per il nome del soggetto del certificato o il nome alternativo del soggetto quando si richiede il certificato.

  • Se si usa una CA autonoma o si acquista il certificato da un'altra società, vedere Configurazione dei certificati server Internet (IIS 7) nella libreria di documentazione di Web Server (IIS) su TechNet.

  • Per configurare IIS per l'uso del certificato, vedere Aggiungere un binding a un sito (IIS 7) nella libreria della documentazione di Server Web (IIS) su TechNet.

Configurazione del connettore RMS per un server proxy Web

Se i server dei connettori sono installati in una rete che non dispone di connettività Internet diretta e richiede la configurazione manuale di un server proxy Web per l'accesso Internet in uscita, è necessario configurare il Registro di sistema in questi server per il connettore RMS.

Per configurare il connettore RMS per l'utilizzo di un server proxy Web

  1. In ogni server che esegue il connettore RMS aprire un editor del Registro di sistema, ad esempio Regedit.

  2. Passare a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Aggiungere il valore stringa di ProxyAddress e quindi impostare i dati per questo valore su http://< MyProxyDomainOrIPaddress>:<MyProxyPort>

    Per esempio: http://proxyserver.contoso.com:8080

  4. Chiudere l'editor del Registro di sistema e quindi riavviare il server o eseguire un comando IISReset per riavviare IIS.

Installazione dello strumento di amministrazione del connettore RMS nei computer amministrativi

È possibile eseguire lo strumento di amministrazione del connettore RMS da un computer in cui non è installato il connettore RMS, se tale computer soddisfa i requisiti seguenti:

  • Computer fisico o virtuale che esegue Windows Server 2019, 2016, 2012 o Windows Server 2012 R2 (tutte le edizioni), Windows 11, Windows 10, Windows 8.1 Windows 8.

  • Almeno 1 GB di RAM.

  • Un minimo di 64 GB di spazio su disco.

  • Almeno un'interfaccia di rete.

  • Accesso a Internet tramite un firewall (o proxy Web).

  • .NET 4.7.2

Per installare lo strumento di amministrazione del connettore RMS, eseguire il file seguente per un computer a 64 bit: RMSConnectorSetup.exe

Se non hai ancora scaricato questi file, puoi farlo dall'Area download Microsoft.

Per altre informazioni, vedere Prerequisiti per il connettore RMS.

Aggiornamento dell'installazione del connettore RMS

L'installazione di una nuova versione del connettore RMS disinstalla automaticamente tutte le versioni precedenti e installa il file .NET 4.7.2 richiesto. Se si verificano problemi, usare le istruzioni seguenti per disinstallare manualmente una versione precedente e installare .NET 4.7.2.

  1. Nel computer connettore RMS usare la pagina delle impostazioni delle funzionalità per le app & per disinstallare Microsoft Rights Management Connector.

    Nei sistemi legacy, le opzioni di annullamento dell'installazione sono disponibili nella pagina Pannello di controllo > Programmi e funzionalità.

    Esplora la procedura guidata per disinstallare il connettore Microsoft Rights Management, selezionando Fine alla fine.

  2. Verifica che nel computer sia installato .NET 4.7.2. Per altre informazioni, vedere Procedura: determinare quali versioni .NET Framework sono installate.

    Se necessario, scaricare e installare .NET versione 4.7.2.

    Riavvia il computer quando richiesto, quindi continua con l'installazione della nuova versione del connettore RMS.

Applicare TLS 1.2 per Il connettore Azure RMS

Microsoft disabiliterà i protocolli TLS meno recenti e non sicuri, inclusi TLS 1.0 e TLS 1.1 nei servizi RMS per impostazione predefinita, il 1° marzo 2022. Per prepararsi a questa modifica, è consigliabile disattivare il supporto per questi protocolli meno recenti nei server Connettore RMS e assicurarsi che il sistema continui a funzionare come previsto.

In questa sezione vengono descritti i passaggi per disabilitare Transport Layer Security (TLS) 1.0 e 1.1 nei server RMS Connector e forzare l'uso di TLS 1.2.

Disattivare TLS 1.0 e 1.1 e forzare l'uso di TLS 1.2

  1. Verificare che .NET Framework nel computer RMS Connector sia la versione 4.7.2. Per altre informazioni, vedere .NET Framework versione 4.7.2.

  2. Scaricare e installare l'ultima versione disponibile di RMS Connector. Per altre informazioni, vedere Installazione del connettore RMS.

  3. Riavviare i server Connettore RMS e testare la funzionalità del connettore RMS. Ad esempio, assicurarsi che gli utenti RMS locali siano in grado di leggere i propri documenti crittografati.

Per altre informazioni, vedere:

Verificare l'utilizzo di TLS 1.2 (utenti esperti)

Questa procedura fornisce un esempio di come verificare che venga utilizzato TLS 1.2 e richiede una conoscenza preliminare di Fiddler.

  1. Scaricare e installare Fiddler nel computer RMS Connector.

  2. Aprire Fiddler e quindi aprire gli strumenti di amministrazione di Microsoft RMS Connector.

  3. Selezionare Accedi, anche se non è necessario eseguire effettivamente l'accesso per completare la verifica.

  4. Nella finestra Fiddler a sinistra, trova il processo msconnectoradmin . Questo processo dovrebbe tentare di stabilire una connessione sicura con discover.aadrm.com.

    Per esempio:

    Screenshot of Fiddler showing the msconnectoradmin process trying to establish a secure connection with discover dot addrm dot com.

  5. Nella finestra Del violino a destra selezionare la scheda Controlli e visualizzare le schede Visualizzazione testo per la richiesta e la risposta.

    In queste schede, si noti che la comunicazione viene eseguita con TLS 1.2. Per esempio:

    Screenshot of a Fiddler window showing TLS 1.2 being used.

Forzare manualmente l'uso di TLS 1.2

Se è necessario forzare manualmente l'uso di TLS 1.2, disattivando l'uso per eventuali versioni precedenti, eseguire lo script di PowerShell seguente nel computer del connettore RMS.

Attenzione

L'uso dello script in questa sezione disattiva la comunicazione pre-TLS 1.2 per ogni computer. Se altri servizi nel computer richiedono TLS 1.0 o 1.2, questo script potrebbe interrompere la funzionalità di tali servizi.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

Passaggi successivi

Ora che il connettore RMS è installato e configurato, è possibile configurare i server locali per usarlo. Passare a Configurazione dei server per il connettore Microsoft Rights Management.