Implantando o conector do Microsoft Rights Management
Use essas informações para saber mais sobre o conector do Microsoft Rights Management e, em seguida, como implantá-lo com êxito para sua organização. Esse conector fornece proteção de dados para implantações locais existentes que usam o Microsoft Exchange Server, o SharePoint Server ou servidores de arquivos que executam o Windows Server e a FCI (Infraestrutura de Classificação de Arquivos).
Visão geral do conector do Microsoft Rights Management
O conector Microsoft Rights Management (RMS) permite que você habilite rapidamente os servidores locais existentes para usar sua funcionalidade de Gerenciamento de Direitos de Informação (IRM) com o serviço Microsoft Rights Management baseado em nuvem (Azure RMS). Com essa funcionalidade, a TI e os usuários podem facilmente proteger documentos e imagens dentro e fora da sua organização, sem ter que instalar infraestrutura adicional ou estabelecer relações de confiança com outras organizações.
O conector RMS é um serviço de pequena dimensão que você instala localmente, em servidores que executam o Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. Além de executar o conector em computadores físicos, você também pode executá-lo em máquinas virtuais, incluindo VMs IaaS do Azure. Depois de implantar o conector, ele atua como uma interface de comunicação (uma retransmissão) entre os servidores locais e o serviço de nuvem, conforme mostrado na imagem a seguir. As setas indicam a direção na qual as conexões de rede são iniciadas.
Servidores locais suportados
O conector RMS suporta os seguintes servidores locais: Exchange Server, SharePoint Server e servidores de ficheiros que executam o Windows Server e utilizam a Infraestrutura de Classificação de Ficheiros para classificar e aplicar políticas a documentos do Office numa pasta.
Nota
Se você quiser proteger vários tipos de arquivo (não apenas documentos do Office) usando a Infraestrutura de Classificação de Arquivos, não use o conector RMS, mas use os cmdlets AzureInformationProtection.
Para obter as versões destes servidores locais suportados pelo conector RMS, consulte Servidores locais que suportam o Azure RMS.
Suporte para cenários híbridos
Você pode usar o conector RMS mesmo que alguns de seus usuários estejam se conectando a serviços online, em um cenário híbrido. Por exemplo, as caixas de correio de alguns usuários usam o Exchange Online e as caixas de correio de alguns usuários usam o Exchange Server. Depois de instalar o conector RMS, todos os usuários podem proteger e consumir emails e anexos usando o Azure RMS, e a proteção de informações funciona perfeitamente entre as duas configurações de implantação.
Suporte para chaves gerenciadas pelo cliente (BYOK)
Se você gerenciar sua própria chave de locatário para o Azure RMS (o cenário traga sua própria chave ou BYOK), o conector RMS e os servidores locais que o usam não acessarão o módulo de segurança de hardware (HSM) que contém sua chave de locatário. Isso ocorre porque todas as operações criptográficas que usam a chave do locatário são executadas no Azure RMS e não no local.
Se quiser saber mais sobre este cenário em que você gerencia sua chave de locatário, consulte Planejando e implementando sua chave de locatário da Proteção de Informações do Azure.
Pré-requisitos para o conector RMS
Antes de instalar o conector RMS, certifique-se de que os seguintes requisitos estão em vigor.
| Necessidade | Mais informações |
|---|---|
| O serviço de proteção está ativado | Ativando o serviço de proteção da Proteção de Informações do Azure |
| Sincronização de diretórios entre as florestas do Ative Directory local e a ID do Microsoft Entra | Após a ativação do RMS, o Microsoft Entra ID deve ser configurado para trabalhar com os usuários e grupos no banco de dados do Ative Directory. Importante: Você deve executar esta etapa de sincronização de diretórios para que o conector RMS funcione, mesmo para uma rede de teste. Embora você possa usar o Microsoft 365 e o Microsoft Entra ID usando contas criadas manualmente no Microsoft Entra ID, esse conector requer que as contas no Microsoft Entra ID sejam sincronizadas com os Serviços de Domínio Ative Directory; A sincronização manual de senhas não é suficiente. Para obter mais informações, consulte os seguintes recursos: - Integrar domínios do Ative Directory locais com o Microsoft Entra ID - Comparação de ferramentas de integração de diretórios de identidade híbrida |
| Um mínimo de dois computadores membros nos quais instalar o conector RMS: - Um computador físico ou virtual de 64 bits executando um dos seguintes sistemas operacionais: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. - Pelo menos 1 GB de RAM. - Um mínimo de 64 GB de espaço em disco. - Pelo menos uma interface de rede. - Acesso à internet através de um firewall (ou proxy web) que não requer autenticação. - Deve estar em uma floresta ou domínio que confie em outras florestas da organização que contenham instalações de servidores Exchange ou SharePoint que você deseja usar com o conector RMS. - .NET 4.7.2 instalado. Dependendo do seu sistema, você pode precisar baixar e instalar isso separadamente. |
Para tolerância a falhas e alta disponibilidade, você deve instalar o conector RMS em um mínimo de dois computadores. Dica: Se você estiver usando o Outlook Web Access ou dispositivos móveis que usam o IRM do Exchange ActiveSync e for fundamental manter o acesso a emails e anexos protegidos pelo Azure RMS, recomendamos implantar um grupo com balanceamento de carga de servidores conectores para garantir alta disponibilidade. Você não precisa de servidores dedicados para executar o conector, mas deve instalá-lo em um computador separado dos servidores que usarão o conector. Importante: Não instale o conector em um computador que execute o Exchange Server, o SharePoint Server ou um servidor de arquivos configurado para infraestrutura de classificação de arquivos se quiser usar a funcionalidade desses serviços com o Azure RMS. Além disso, não instale esse conector em um controlador de domínio. Se você tiver cargas de trabalho de servidor que deseja usar com o conector RMS, mas seus servidores estiverem em domínios que não são confiáveis pelo domínio a partir do qual você deseja executar o conector, poderá instalar servidores de conector RMS adicionais nesses domínios não confiáveis ou em outros domínios em sua floresta. Não há limite para o número de servidores de conector que você pode executar para sua organização e todos os servidores de conector instalados em uma organização compartilham a mesma configuração. No entanto, para configurar o conector para autorizar servidores, tem de ser capaz de procurar o servidor ou as contas de serviço que pretende autorizar, o que significa que tem de executar a ferramenta de administração do RMS numa floresta a partir da qual pode procurar essas contas. |
| TLS versão 1.2 | Para obter mais informações, consulte Impor TLS 1.2 para o Conector RMS do Azure. |
Etapas para implantar o conector RMS
O conector não verifica automaticamente todos os pré-requisitos necessários para uma implantação bem-sucedida, portanto, certifique-se de que eles estejam em vigor antes de começar. A implantação requer que você instale o conector, configure o conector e, em seguida, configure os servidores que você deseja usar o conector.
Passo 1: Instalar o conector RMS
Etapa 2: Inserindo credenciais
Etapa 4: Configurando o balanceamento de carga e a alta disponibilidade
Próximos passos
Vá para a Etapa 1: Instalando e configurando o conector do Microsoft Rights Management.