Microsoft Rights Management 커넥터 배포

이 정보를 사용하여 Microsoft Rights Management 커넥터에 대해 알아보고 조직에 성공적으로 배포하는 방법을 알아봅니다. 이 커넥터는 Microsoft Exchange Server, SharePoint Server 또는 Windows Server 및 FCI(파일 분류 인프라)를 실행하는 파일 서버를 사용하는 기존의 온-프레미스 배포에 대한 데이터 보호를 제공합니다.

Microsoft Rights Management 커넥터 개요

Microsoft Rights Management(RMS) 커넥터를 통해 신속하게 기존 온-프레미스 서버가 클라우드 기반 Microsoft Rights Management 서비스(Azure RMS)에 IRM(정보 권한 관리) 기능을 사용하도록 할 수 있습니다. 이 기능을 통해 IT 및 사용자는 추가 인프라를 설치하거나 다른 조직과의 트러스트 관계를 설정할 필요 없이 조직 내/외부에서 쉽게 문서와 사진을 보호할 수 있습니다.

RMS 커넥터는 Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012를 실행하는 서버에 온-프레미스를 설치하는 작은 공간 서비스입니다. 물리적 컴퓨터에서 커넥터를 실행하는 것 외에도 Azure IaaS VM을 포함하여 가상 컴퓨터에서 실행할 수 있습니다. 이 커넥터를 배포하고 나면 다음 그림에 나온 대로 이 커넥터는 온-프레미스 서버와 클라우드 서비스 사이에서 통신 인터페이스(릴레이) 역할을 합니다. 화살표는 네트워크 연결이 시작되는 방향을 나타냅니다.

RMS 커넥터 아키텍처 개요

지원되는 온-프레미스 서버

RMS 커넥터는 Exchange Server, SharePoint Server 및 Windows Server를 실행하고 파일 분류 인프라를 사용하여 Office 정책을 분류하고 폴더의 문서에 적용하는 파일 서버와 같은 온-프레미스 서버를 지원합니다.

참고

파일 분류 인프라를 사용하여 Office 문서뿐 아니라 여러 파일 형식을 보호하려는 경우 RMS 커넥터가 아닌 AzureInformationProtection cmdlet을 대신 사용합니다.

RMS 커넥터에서 지원하는 이러한 온-프레미스 서버의 버전은 Azure RMS를 지원하는 온-프레미스 서버를 참조하세요.

하이브리드 시나리오에 대한 지원

하이브리드 시나리오에서 일부 사용자가 온라인 서비스에 연결하더라도 RMS 커넥터를 사용할 수 있습니다. 예를 들어 일부 사용자의 사서함은 Exchange Online을 사용하고 일부 사용자의 사서함은 Exchange Server를 사용합니다. RMS 커넥터를 설치한 후에 모든 사용자는 Azure RMS를 사용하여 전자 메일 및 첨부 파일을 보호하고 사용할 수 있으며 정보 보호는 두 배포 구성 간에 원활하게 작동합니다.

고객이 관리하는 키(BYOK)에 대한 지원

Azure RMS용 자체 테넌트 키를 관리하는 경우(BYOK(Bring You Own Key) 시나리오), RMS 커넥터 및 이 커넥터를 사용하는 온-프레미스 서버는 사용자의 테넌트 키가 포함된 HSM(하드웨어 보안 모듈)에 액세스하지 않습니다. 테넌트 키를 사용하는 모든 암호화 작업은 온-프레미스가 아니라 Azure RMS에서 수행되기 때문입니다.

테넌트 키를 관리하는 이 시나리오에 대해 자세히 알아보려면 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.

RMS 커넥터의 사전 요구 사항

RMS 커넥터를 설치하기 전에 먼저 다음 요구 사항이 설정되어 있는지 확인하세요.

요구 사항 추가 정보
보호 서비스가 활성화됨 Azure Information Protection에서 보호 서비스 활성화
온-프레미스 Active Directory 포리스트와 Azure Active Directory 간 디렉터리 동기화 RMS를 활성화한 후 Active Directory 데이터베이스의 사용자 및 그룹과 작동하도록 Azure Active Directory를 구성해야 합니다.

중요: 테스트 네트워크인 경우에도 RMS 커넥터가 작동하려면 이 디렉터리 동기화 단계를 수행해야 합니다. 수동으로 Azure Active Directory에서 만든 계정으로 Microsoft 365 및 Azure Active Directory를 사용할 수 있기는 하지만 이 커넥터를 사용하려면 Azure Active Directory의 계정을 Active Directory Domain Services와 동기화해야 합니다. 수동 암호 동기화로는 부족합니다.

자세한 내용은 다음 자료를 참조하세요.

- Azure Active Directory와 온-프레미스 Active Directory 도메인 통합

- 하이브리드 ID 디렉터리 통합 도구 비교
RMS 커넥터를 설치할 최소 두 대의 멤버 컴퓨터:

- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 운영 체제 중 하나를 실행하는 64비트 물리적 또는 가상 컴퓨터

- 1GB 이상의 RAM

- 최소 64GB의 디스크 공간

- 하나 이상의 네트워크 인터페이스

- 인증이 필요하지 않은 방화벽(또는 웹 프록시)을 통한 인터넷 액세스

- RMS 커넥터와 함께 사용할 Exchange 또는 SharePoint Server 설치가 포함된 조직에서 다른 포리스트를 트러스트하는 포리스트 또는 도메인에 있어야 함

- .NET 4.7.2가 설치됨. 시스템에 따라 별도로 다운로드하여 설치해야 할 수 있음.
내결함성 및 고가용성을 위해 최소 두 대의 컴퓨터에 RMS 커넥터를 설치해야 합니다.

: Outlook Web Access를 사용하거나 Exchange ActiveSync IRM을 사용하는 모바일 디바이스를 사용하고 있으며 Azure RMS로 보호되는 메일 및 첨부 파일에 대한 액세스를 유지 관리해야 하는 경우에는 부하 분산된 커넥터 서버 그룹을 배포하여 높은 가용성을 보장하는 것이 좋습니다.

커넥터를 실행하기 위한 전용 서버는 불필요하지만, 커넥터를 사용할 서버가 아닌 별도의 컴퓨터에 커넥터를 설치해야 합니다.

중요: Azure RMS에 Exchange Server, SharePoint Server 또는 파일 분류 인프라에 대해 구성된 파일 서버의 기능을 사용하려면 이러한 서비스를 실행하는 컴퓨터에 커넥터를 설치하지 마세요. 또한 도메인 컨트롤러에 이 커넥터를 설치하지 마세요.

RMS 커넥터와 함께 사용하려는 서버 워크로드가 있지만 서버가 커넥터를 실행하려는 도메인에서 신뢰할 수 없는 도메인에 있는 경우, 이러한 신뢰할 수 없는 도메인 또는 포리스트의 다른 도메인에 추가 RMS 커넥터 서버를 설치할 수 있습니다.

조직에 대해 실행할 수 있는 커넥터 서버 수에 제한은 없으며 조직에 설치된 모든 커넥터 서버는 동일한 구성을 공유합니다. 그러나 커넥터를 구성하여 서버에 권한을 부여하려면 권한을 부여하려는 서버 또는 서비스 계정을 검색할 수 있어야 합니다. 즉 이러한 계정을 검색할 수 있는 포리스트의 RMS 관리 도구를 실행할 수 있어야 합니다.
TLS 버전 1.2 자세한 내용은 Azure RMS 커넥터에 TLS 1.2 적용을 참조하세요.

RMS 커넥터를 배포하는 단계

커넥터에서는 배포에 필요한 모든 필수 구성 요소를 자동으로 확인하지는 않으므로 시작하기 전에 이러한 구성 요소가 있는지 확인해야 합니다. 배포를 위해서는 커넥터를 설치하고 구성원한 다음 커넥터를 사용할 서버를 구성해야 합니다.

다음 단계

1단계: Microsoft Rights Management 커넥터 설치 및 구성로 이동합니다.