Partilhar via


Implantando o conector do Microsoft Rights Management

Use essas informações para saber mais sobre o conector do Microsoft Rights Management e, em seguida, como implantá-lo com êxito para sua organização. Esse conector fornece proteção de dados para implantações locais existentes que usam o Microsoft Exchange Server, o SharePoint Server ou servidores de arquivos que executam o Windows Server e a FCI (Infraestrutura de Classificação de Arquivos).

Visão geral do conector do Microsoft Rights Management

O conector Microsoft Rights Management (RMS) permite que você habilite rapidamente os servidores locais existentes para usar sua funcionalidade de Gerenciamento de Direitos de Informação (IRM) com o serviço Microsoft Rights Management baseado em nuvem (Azure RMS). Com essa funcionalidade, a TI e os usuários podem facilmente proteger documentos e imagens dentro e fora da sua organização, sem ter que instalar infraestrutura adicional ou estabelecer relações de confiança com outras organizações.

O conector RMS é um serviço de pequena dimensão que você instala localmente, em servidores que executam o Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. Além de executar o conector em computadores físicos, você também pode executá-lo em máquinas virtuais, incluindo VMs IaaS do Azure. Depois de implantar o conector, ele atua como uma interface de comunicação (uma retransmissão) entre os servidores locais e o serviço de nuvem, conforme mostrado na imagem a seguir. As setas indicam a direção na qual as conexões de rede são iniciadas.

RMS connector architecture overview

Servidores locais suportados

O conector RMS suporta os seguintes servidores locais: Exchange Server, SharePoint Server e servidores de ficheiros que executam o Windows Server e utilizam a Infraestrutura de Classificação de Ficheiros para classificar e aplicar políticas a documentos do Office numa pasta.

Nota

Se você quiser proteger vários tipos de arquivo (não apenas documentos do Office) usando a Infraestrutura de Classificação de Arquivos, não use o conector RMS, mas use os cmdlets AzureInformationProtection.

Para obter as versões destes servidores locais suportados pelo conector RMS, consulte Servidores locais que suportam o Azure RMS.

Suporte para cenários híbridos

Você pode usar o conector RMS mesmo que alguns de seus usuários estejam se conectando a serviços online, em um cenário híbrido. Por exemplo, as caixas de correio de alguns usuários usam o Exchange Online e as caixas de correio de alguns usuários usam o Exchange Server. Depois de instalar o conector RMS, todos os usuários podem proteger e consumir emails e anexos usando o Azure RMS, e a proteção de informações funciona perfeitamente entre as duas configurações de implantação.

Suporte para chaves gerenciadas pelo cliente (BYOK)

Se você gerenciar sua própria chave de locatário para o Azure RMS (o cenário traga sua própria chave ou BYOK), o conector RMS e os servidores locais que o usam não acessarão o módulo de segurança de hardware (HSM) que contém sua chave de locatário. Isso ocorre porque todas as operações criptográficas que usam a chave do locatário são executadas no Azure RMS e não no local.

Se quiser saber mais sobre este cenário em que você gerencia sua chave de locatário, consulte Planejando e implementando sua chave de locatário da Proteção de Informações do Azure.

Pré-requisitos para o conector RMS

Antes de instalar o conector RMS, certifique-se de que os seguintes requisitos estão em vigor.

Necessidade Mais informações
O serviço de proteção está ativado Ativando o serviço de proteção da Proteção de Informações do Azure
Sincronização de diretórios entre as florestas do Ative Directory local e a ID do Microsoft Entra Após a ativação do RMS, o Microsoft Entra ID deve ser configurado para trabalhar com os usuários e grupos no banco de dados do Ative Directory.

Importante: Você deve executar esta etapa de sincronização de diretórios para que o conector RMS funcione, mesmo para uma rede de teste. Embora você possa usar o Microsoft 365 e o Microsoft Entra ID usando contas criadas manualmente no Microsoft Entra ID, esse conector requer que as contas no Microsoft Entra ID sejam sincronizadas com os Serviços de Domínio Ative Directory; A sincronização manual de senhas não é suficiente.

Para obter mais informações, consulte os seguintes recursos:

- Integrar domínios do Ative Directory locais com o Microsoft Entra ID

- Comparação de ferramentas de integração de diretórios de identidade híbrida
Um mínimo de dois computadores membros nos quais instalar o conector RMS:

- Um computador físico ou virtual de 64 bits executando um dos seguintes sistemas operacionais: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

- Pelo menos 1 GB de RAM.

- Um mínimo de 64 GB de espaço em disco.

- Pelo menos uma interface de rede.

- Acesso à internet através de um firewall (ou proxy web) que não requer autenticação.

- Deve estar em uma floresta ou domínio que confie em outras florestas da organização que contenham instalações de servidores Exchange ou SharePoint que você deseja usar com o conector RMS.

- .NET 4.7.2 instalado. Dependendo do seu sistema, você pode precisar baixar e instalar isso separadamente.
Para tolerância a falhas e alta disponibilidade, você deve instalar o conector RMS em um mínimo de dois computadores.

Dica: Se você estiver usando o Outlook Web Access ou dispositivos móveis que usam o IRM do Exchange ActiveSync e for fundamental manter o acesso a emails e anexos protegidos pelo Azure RMS, recomendamos implantar um grupo com balanceamento de carga de servidores conectores para garantir alta disponibilidade.

Você não precisa de servidores dedicados para executar o conector, mas deve instalá-lo em um computador separado dos servidores que usarão o conector.

Importante: Não instale o conector em um computador que execute o Exchange Server, o SharePoint Server ou um servidor de arquivos configurado para infraestrutura de classificação de arquivos se quiser usar a funcionalidade desses serviços com o Azure RMS. Além disso, não instale esse conector em um controlador de domínio.

Se você tiver cargas de trabalho de servidor que deseja usar com o conector RMS, mas seus servidores estiverem em domínios que não são confiáveis pelo domínio a partir do qual você deseja executar o conector, poderá instalar servidores de conector RMS adicionais nesses domínios não confiáveis ou em outros domínios em sua floresta.

Não há limite para o número de servidores de conector que você pode executar para sua organização e todos os servidores de conector instalados em uma organização compartilham a mesma configuração. No entanto, para configurar o conector para autorizar servidores, tem de ser capaz de procurar o servidor ou as contas de serviço que pretende autorizar, o que significa que tem de executar a ferramenta de administração do RMS numa floresta a partir da qual pode procurar essas contas.
TLS versão 1.2 Para obter mais informações, consulte Impor TLS 1.2 para o Conector RMS do Azure.

Etapas para implantar o conector RMS

O conector não verifica automaticamente todos os pré-requisitos necessários para uma implantação bem-sucedida, portanto, certifique-se de que eles estejam em vigor antes de começar. A implantação requer que você instale o conector, configure o conector e, em seguida, configure os servidores que você deseja usar o conector.

Próximos passos

Vá para a Etapa 1: Instalando e configurando o conector do Microsoft Rights Management.