Wdrażanie łącznika usługi Microsoft Rights Management
Skorzystaj z tych informacji, aby dowiedzieć się więcej o łączniku usługi Microsoft Rights Management, a następnie o tym, jak pomyślnie wdrożyć go w organizacji. Ten łącznik zapewnia ochronę danych dla istniejących wdrożeń lokalnych korzystających z programu Microsoft Exchange Server, SharePoint Server lub serwerów plików z systemem Windows Server i infrastruktury klasyfikacji plików (FCI).
Omówienie łącznika usługi Microsoft Rights Management
Łącznik usługi Microsoft Rights Management (RMS) umożliwia szybkie włączenie istniejących serwerów lokalnych do korzystania z funkcji zarządzania prawami do informacji (IRM) za pomocą opartej na chmurze usługi Microsoft Rights Management (Azure RMS). Dzięki tej funkcji dział IT i użytkownicy mogą łatwo chronić dokumenty i obrazy zarówno wewnątrz organizacji, jak i na zewnątrz, bez konieczności instalowania dodatkowej infrastruktury ani ustanawiania relacji zaufania z innymi organizacjami.
Łącznik usługi RMS to niewielka usługa instalowana lokalnie na serwerach z systemem Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 R2. Oprócz uruchamiania łącznika na komputerach fizycznych można go również uruchomić na maszynach wirtualnych, w tym maszyn wirtualnych IaaS platformy Azure. Po wdrożeniu łącznika działa on jako interfejs komunikacji (przekaźnik) między serwerami lokalnymi a usługą w chmurze, jak pokazano na poniższej ilustracji. Strzałki wskazują kierunek inicjowania połączeń sieciowych.
Obsługiwane serwery lokalne
Łącznik usługi RMS obsługuje następujące serwery lokalne: Exchange Server, SharePoint Server i serwery plików z systemem Windows Server oraz używanie infrastruktury klasyfikacji plików do klasyfikowania i stosowania zasad do dokumentów pakietu Office w folderze.
Uwaga
Jeśli chcesz chronić wiele typów plików (nie tylko dokumentów pakietu Office) przy użyciu infrastruktury klasyfikacji plików, nie używaj łącznika usługi RMS, ale zamiast tego użyj poleceń cmdlet AzureInformationProtection.
Aby zapoznać się z wersjami tych serwerów lokalnych obsługiwanych przez łącznik usługi RMS, zobacz Serwery lokalne, które obsługują usługę Azure RMS.
Obsługa scenariuszy hybrydowych
Łącznik usługi RMS można używać nawet wtedy, gdy niektórzy użytkownicy łączą się z Usługi online w scenariuszu hybrydowym. Na przykład skrzynki pocztowe niektórych użytkowników używają usługi Exchange Online, a skrzynki pocztowe niektórych użytkowników używają programu Exchange Server. Po zainstalowaniu łącznika usługi RMS wszyscy użytkownicy mogą chronić i korzystać z wiadomości e-mail i załączników przy użyciu usługi Azure RMS, a ochrona informacji działa bezproblemowo między dwiema konfiguracjami wdrożenia.
Obsługa kluczy zarządzanych przez klienta (BYOK)
Jeśli zarządzasz własnym kluczem dzierżawy dla usługi Azure RMS (scenariusz bring your own key lub BYOK), łącznik usługi RMS i serwery lokalne korzystające z niego nie uzyskują dostępu do sprzętowego modułu zabezpieczeń (HSM), który zawiera klucz dzierżawy. Dzieje się tak, ponieważ wszystkie operacje kryptograficzne korzystające z klucza dzierżawy są wykonywane w usłudze Azure RMS, a nie lokalnie.
Jeśli chcesz dowiedzieć się więcej na temat tego scenariusza, w którym zarządzasz kluczem dzierżawy, zobacz Planowanie i wdrażanie klucza dzierżawy usługi Azure Information Protection.
Wymagania wstępne dotyczące łącznika usługi RMS
Przed zainstalowaniem łącznika usługi RMS upewnij się, że obowiązują następujące wymagania.
Wymaganie | Więcej informacji |
---|---|
Usługa ochrony jest aktywowana | Aktywowanie usługi ochrony z poziomu usługi Azure Information Protection |
Synchronizacja katalogów między lasami lokalna usługa Active Directory a identyfikatorem Entra firmy Microsoft | Po aktywowaniu usługi RMS należy skonfigurować identyfikator entra firmy Microsoft do pracy z użytkownikami i grupami w bazie danych usługi Active Directory. Ważne: należy wykonać ten krok synchronizacji katalogów, aby łącznik usługi RMS działał, nawet w przypadku sieci testowej. Mimo że można używać identyfikatorów Microsoft 365 i Microsoft Entra ID przy użyciu kont utworzonych ręcznie w usłudze Microsoft Entra ID, ten łącznik wymaga synchronizacji kont w usłudze Microsoft Entra ID z usługami domena usługi Active Directory; synchronizacja haseł ręcznych nie jest wystarczająca. Aby uzyskać więcej informacji, zobacz następujące zasoby: - Integrowanie domen lokalna usługa Active Directory z identyfikatorem Entra firmy Microsoft - Porównanie narzędzi integracji katalogów tożsamości hybrydowej |
Co najmniej dwa komputery członkowskie, na których należy zainstalować łącznik usługi RMS: — 64-bitowy komputer fizyczny lub wirtualny z jednym z następujących systemów operacyjnych: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. - Co najmniej 1 GB pamięci RAM. - Co najmniej 64 GB miejsca na dysku. - Co najmniej jeden interfejs sieciowy. — Dostęp do Internetu za pośrednictwem zapory (lub internetowego serwera proxy), która nie wymaga uwierzytelniania. — Musi znajdować się w lesie lub domenie, która ufa innym lasom w organizacji, które zawierają instalacje serwerów programu Exchange lub SharePoint, które mają być używane z łącznikiem usługi RMS. — zainstalowany program .NET 4.7.2. W zależności od systemu może być konieczne pobranie i zainstalowanie go oddzielnie. |
Aby zapewnić odporność na uszkodzenia i wysoką dostępność, należy zainstalować łącznik usługi RMS na co najmniej dwóch komputerach. Porada: Jeśli używasz programu Outlook Web Access lub urządzeń przenośnych korzystających z usługi IRM programu Exchange ActiveSync i ważne jest, aby zachować dostęp do wiadomości e-mail i załączników chronionych przez usługę Azure RMS, zalecamy wdrożenie grupy serwerów łączników o zrównoważonym obciążeniu w celu zapewnienia wysokiej dostępności. Nie potrzebujesz dedykowanych serwerów do uruchomienia łącznika, ale musisz zainstalować go na innym komputerze niż serwery, które będą używać łącznika. Ważne: nie instaluj łącznika na komputerze z uruchomionym programem Exchange Server, SharePoint Server lub serwerem plików skonfigurowanym dla infrastruktury klasyfikacji plików, jeśli chcesz używać funkcji z tych usług za pomocą usługi Azure RMS. Ponadto nie należy instalować tego łącznika na kontrolerze domeny. Jeśli masz obciążenia serwera, których chcesz używać z łącznikiem usługi RMS, ale ich serwery znajdują się w domenach, które nie są zaufane przez domenę, z której chcesz uruchomić łącznik, możesz zainstalować dodatkowe serwery łącznika usługi RMS w tych niezaufanych domenach lub innych domenach w ich lesie. Nie ma ograniczenia liczby serwerów łączników, które można uruchomić dla organizacji, a wszystkie serwery łączników zainstalowane w organizacji mają tę samą konfigurację. Jednak aby skonfigurować łącznik do autoryzowania serwerów, musisz mieć możliwość przeglądania serwerów lub kont usług, które chcesz autoryzować, co oznacza, że należy uruchomić narzędzie administracyjne usługi RMS w lesie, z którego można przeglądać te konta. |
PROTOKÓŁ TLS w wersji 1.2 | Aby uzyskać więcej informacji, zobacz Wymuszanie protokołu TLS 1.2 dla usługi Azure RMS Połączenie or. |
Kroki wdrażania łącznika usługi RMS
Łącznik nie sprawdza automatycznie wszystkich wymagań wstępnych wymaganych do pomyślnego wdrożenia, dlatego przed rozpoczęciem upewnij się, że zostały one spełnione. Wdrożenie wymaga zainstalowania łącznika, skonfigurowania łącznika, a następnie skonfigurowania serwerów, które mają być używane przez łącznik.
Krok 1. Instalowanie łącznika usługi RMS
Krok 2. Wprowadzanie poświadczeń
Krok 3. Autoryzowanie serwerów do korzystania z łącznika usługi RMS
Krok 4. Konfigurowanie równoważenia obciążenia i wysokiej dostępności
Krok 5. Konfigurowanie serwerów do korzystania z łącznika usługi RMS
Następne kroki
Przejdź do kroku 1. Instalowanie i konfigurowanie łącznika usługi Microsoft Rights Management.