Настройка серверов для соединителя Microsoft Rights Management

Используйте следующие сведения, чтобы настроить локальные серверы, которые будут использовать соединитель Azure Rights Management (RMS). Эти процедуры охватывают шаг 5 после развертывания соединителя Microsoft Rights Management.

Предварительные требования. Перед началом работы убедитесь, что у вас установлен и настроен соединитель RMS. Проверяются все необходимые компоненты, относящиеся к серверам, которые будут использовать соединитель.

Настройка серверов для использования соединителя RMS

После установки и настройки соединителя RMS можно настроить локальные серверы, которые будут подключаться к службе Azure Rights Management, и использовать эту технологию защиты с помощью соединителя.

Это означает настройку следующих серверов:

Среды Серверы для настройки
Exchange 2013 г. Серверы клиентского доступа и серверы почтовых ящиков
Exchange 2016 и Exchange 2019 Серверы почтовых ящиков (включая клиентский доступ и роли транспортного сервера концентратора)
SharePoint Интерфейсные SharePoint веб-серверы, включая сервер центра администрирования.
Инфраструктура классификации файлов Windows серверов, на которых установлены файлы Resource Manager

Для этой конфигурации требуются параметры реестра со следующими параметрами:

Важно

В обоих случаях необходимо вручную установить все необходимые компоненты и настроить Exchange, SharePoint и инфраструктуру классификации файлов для использования Rights Management.

Примечание

Для большинства организаций автоматическая настройка с помощью средства настройки сервера для соединителя Microsoft RMS будет лучшим вариантом, так как она обеспечивает более высокую эффективность и надежность, чем ручная настройка.

После внесения изменений в конфигурацию на этих серверах необходимо перезапустить их, если они выполняются Exchange или SharePoint и ранее были настроены для использования AD RMS. Нет необходимости перезапускать эти серверы, если вы настраиваете их для Rights Management в первый раз.

После внесения этих изменений конфигурации необходимо всегда перезапускать файловые серверы, настроенные для использования инфраструктуры классификации файлов.

Автоматическое изменение параметров реестра — преимущества и недостатки

Автоматическое изменение параметров реестра с помощью средства настройки сервера для соединителя Microsoft RMS.

К преимуществам относятся:

  • Прямое редактирование реестра не требуется. Это автоматически выполняется с помощью скрипта.

  • Нет необходимости запускать командлет Windows PowerShell для получения URL-адреса Microsoft RMS.

  • Предварительные требования автоматически проверяются (но не устраняются автоматически) при локальном запуске.

Недостатки: при запуске средства необходимо установить подключение к серверу, на котором уже запущен соединитель RMS.

Дополнительные сведения см. в статье "Использование средства настройки сервера для соединителя Microsoft RMS".

Изменение параметров реестра вручную — преимущества и недостатки

К преимуществам относится отсутствие подключения к серверу, на котором запущен соединитель RMS.

К недостаткам относятся:

  • Дополнительные административные издержки, которые подвержены ошибкам.

  • Необходимо получить URL-адрес Microsoft RMS, который требует выполнения Windows PowerShell команды.

  • Все необходимые компоненты необходимо проверять самостоятельно.

Использование средства настройки сервера для соединителя Microsoft RMS

  1. Если вы еще не скачали скрипт для средства настройки сервера для соединителя Microsoft RMS (GenConnectorConfig.ps1), скачайте его из Центра загрузки Майкрософт.

  2. Сохраните GenConnectorConfig.ps1 на компьютере, где будет запускаться средство.

    Если средство будет запускаться локально, это должен быть сервер, который необходимо настроить для взаимодействия с соединителем RMS. В противном случае его можно сохранить на любом компьютере.

  3. Решите, как запустить средство:

    Метод Описание
    Локально Запустите средство в интерактивном режиме с сервера, чтобы настроить обмен данными с соединителем RMS.

    Совет. Это полезно для разной конфигурации, например для тестовой среды.
    Развертывание программного обеспечения Запустите средство для создания файлов реестра, которые затем развертываются на одном или нескольких соответствующих серверах.

    Разверните файлы реестра с помощью приложения управления системами, которое поддерживает развертывание программного обеспечения, например System Center Configuration Manager.
    Групповая политика Запустите средство, чтобы создать скрипт, который вы предоставляете администратору, который может групповая политика объекты для настраиваемых серверов.

    Этот скрипт создает один групповая политика для каждого настраиваемого типа сервера, который затем администратор может назначить соответствующим серверам.

    Примечание

    Это средство настраивает серверы, которые будут взаимодействовать с соединителем RMS и перечислены в начале этого раздела. Не запускайте это средство на серверах, на которых выполняется соединитель RMS.

  4. Начните Windows PowerShell с параметра "Запуск от имени администратора" и используйте команду Get-help, чтобы прочитать инструкции по использованию средства для выбранного метода конфигурации:

    Get-help .\GenConnectorConfig.ps1 -detailed
    

Чтобы запустить сценарий, необходимо ввести URL-адрес соединителя RMS для вашей организации.

Введите префикс протокола (HTTP:// или HTTPS://) и имя соединителя, определенного в DNS, для адреса соединителя с балансировкой нагрузки. Например, https:\//connector.contoso.com.

Затем средство использует этот URL-адрес для связи с серверами, на которых запущен соединитель RMS, и получения других параметров, используемых для создания необходимых конфигураций.

Важно

При запуске этого средства обязательно укажите имя соединителя RMS с балансировкой нагрузки для организации, а не имя отдельного сервера, на котором выполняется служба соединителя RMS.

В следующих разделах приведены конкретные сведения для каждого типа службы.

Когда следует устанавливать клиентские приложения на отдельных компьютерах, которые не настроены для использования соединителя

После настройки этих серверов на использование соединителя клиентские приложения, установленные локально на этих серверах, могут не работать с RMS. Это происходит потому, что приложения пытаются использовать соединитель, а не напрямую использовать RMS, что не поддерживается.

Кроме того, если Office 2010 установлен локально на сервере Exchange, функции IRM клиентского приложения могут работать с этого компьютера после настройки сервера на использование соединителя, но это не поддерживается.

В обоих сценариях необходимо установить клиентские приложения на отдельных компьютерах, которые не настроены для использования соединителя. Затем они будут правильно использовать RMS напрямую.

Важно

Office 2010 г. расширенная поддержка прекращена 13 октября 2020 г. Дополнительные сведения см. в AIP и устаревших Windows и Office версиях.

Настройка Exchange сервера для использования соединителя

Следующие Exchange взаимодействуют с соединителем RMS:

  • Для Exchange 2016 и Exchange 2013: сервер клиентского доступа и сервер почтовых ящиков

  • Для Exchange 2019: сервер клиентского доступа и транспортный сервер концентратора

Чтобы использовать соединитель RMS, эти серверы, на Exchange должны работать под управлением одной из следующих версий программного обеспечения:

  • Exchange Server 2016 г.

  • Exchange Server 2013 с накопительным пакетом обновления 3 Exchange 2013

  • Exchange Server 2019 г.

Вам также потребуются эти серверы версии 1 клиента RMS (также известной как MSDRM), которая включает поддержку криптографического режима 2 RMS. Все Windows операционные системы включают клиент MSDRM, но ранние версии клиента не поддерживают режим шифрования 2. Если серверы Exchange работают по крайней мере Windows Server 2012, никаких дополнительных действий не требуется, так как клиент RMS, установленный с этими операционными системами, изначально поддерживает режим шифрования 2.

Важно

Если эти или более поздние версии Exchange и клиент MSDRM не установлены, вы не сможете настроить Exchange использовать соединитель. Прежде чем продолжить, убедитесь, что эти версии установлены.

Настройка Exchange серверов для использования соединителя

  1. Убедитесь, что Exchange серверы имеют право на использование соединителя RMS с помощью средства администрирования соединителя RMS, а также сведения от авторизации серверов для использования раздела соединителя RMS.

    Эта конфигурация необходима, чтобы Exchange использовать соединитель RMS.

  2. На Exchange сервера, взаимодействующих с соединителем RMS, выполните одно из следующих действий:

  3. Включите функции IRM для Exchange с помощью Exchange Командлета PowerShell Set-IRMConfiguration. Задайте InternalLicensingEnabled $true и ClientAccessServerEnabled $true.

Настройка SharePoint сервера для использования соединителя

Интерфейсные SharePoint веб-серверы, включая сервер центра администрирования, взаимодействуют с соединителем RMS.

Чтобы использовать соединитель RMS, эти серверы, на SharePoint должны работать под управлением одной из следующих версий программного обеспечения:

  • SharePoint Server 2019

  • SharePoint Server 2016

  • SharePoint Server 2013

  • SharePoint Server 2010

На сервере под управлением SharePoint 2019, 2016 или SharePoint 2013 также должна быть установлена версия клиента MSIPC 2.1, поддерживаемая соединителем RMS.

Чтобы убедиться, что у вас есть поддерживаемая версия, скачайте последнюю версию клиента из Центра загрузки Майкрософт.

Предупреждение

Существует несколько версий клиента MSIPC 2.1, поэтому убедитесь, что у вас есть версия 1.0.2004.0 или более поздняя.

Чтобы проверить версию клиента, проверьте номер версии MSIPC.dll, который находится в папке \Program Files\службы Active Directory Rights Management Client 2.1. В диалоговом окне свойств отображается номер версии клиента MSIPC 2.1.

На серверах SharePoint 2010 должна быть установлена версия клиента MSDRM, которая включает поддержку режима шифрования RMS 2. Windows Server 2012 и Windows Server 2012 R2 изначально поддерживают режим шифрования 2.

Настройка SharePoint серверов для использования соединителя

  1. Убедитесь, что SharePoint-серверы имеют право на использование соединителя RMS с помощью средства администрирования соединителя RMS и сведений с серверов авторизации для использования раздела соединителя RMS.

    Эта конфигурация необходима, чтобы SharePoint серверы могли использовать соединитель RMS.

  2. На SharePoint серверов, взаимодействующих с соединителем RMS, выполните одно из следующих действий:

    • Запуск средства настройки сервера для соединителя Microsoft RMS

      Дополнительные сведения см. в статье "Использование средства настройки сервера для соединителя Microsoft RMS".

      Например, чтобы запустить средство локально для настройки сервера под управлением SharePoint 2019, 2016 или SharePoint 2013:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetSharePoint2013
      
    • Если вы используете SharePoint 2019, 2016 или SharePoint 2013, внесите изменения в реестр вручную, используя сведения в параметрах реестра для соединителя RMS, чтобы вручную добавить параметры реестра на серверах.

  3. Включите IRM в SharePoint. Дополнительные сведения см. в разделе "Настройка управления правами на доступ к данным" (SharePoint Server 2010) SharePoint библиотеке.

    При выполнении этих инструкций необходимо настроить SharePoint для использования соединителя, указав "Использовать этот сервер RMS", а затем ввести настроенный URL-адрес соединителя балансировки нагрузки.

    Введите префикс протокола (HTTP:// или HTTPS://) и имя соединителя, определенного в DNS, для адреса соединителя с балансировкой нагрузки.

    Например, если имя соединителя имеется https:\//connector.contoso.com, конфигурация будет выглядеть так, как показано на следующем рисунке:

    Configuring SharePoint Server for the RMS connector

    После включения IRM в ферме SharePoint можно включить IRM для отдельных библиотек с помощью параметра управления правами на доступ к данным на странице библиотеки Параметры для каждой библиотеки.

Настройка файлового сервера для инфраструктуры классификации файлов для использования соединителя

Чтобы использовать соединитель RMS и инфраструктуру классификации файлов для защиты Office документов, на файловом сервере должна быть запущена одна из следующих операционных систем:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

Настройка файловых серверов для использования соединителя

  1. Убедитесь, что файловые серверы имеют право на использование соединителя RMS с помощью средства администрирования соединителя RMS и сведений с авторизации серверов для использования раздела соединителя RMS .

    Эта конфигурация необходима, чтобы файловые серверы могли использовать соединитель RMS.

  2. На файловых серверах, настроенных для инфраструктуры классификации файлов и взаимодействующих с соединителем RMS, выполните одно из следующих действий:

    • Запуск средства настройки сервера для соединителя Microsoft RMS

      Дополнительные сведения см. в статье "Использование средства настройки сервера для соединителя Microsoft RMS".

      Например, чтобы запустить средство локально для настройки файлового сервера под управлением FCI:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetFCI2012
      
    • Внесите изменения в реестр вручную, используя сведения в параметрах реестра для соединителя RMS , чтобы вручную добавить параметры реестра на серверах.

  3. Создайте правила классификации и задачи управления файлами для защиты документов с помощью шифрования RMS, а затем укажите шаблон RMS для автоматического применения политик RMS.

    Дополнительные сведения см. в Resource Manager file Server в библиотеке документации Windows Server.

Дальнейшие действия

Теперь, когда соединитель RMS установлен и настроен, а серверы настроены для его использования, ИТ-администраторы и пользователи могут защищать и использовать сообщения электронной почты и документы с помощью службы Azure Rights Management.

Чтобы упростить это для пользователей, разверните клиент Azure Information Protection, который устанавливает надстройку для Office и добавляет новые параметры щелчка правой кнопкой мыши в проводник.

Дополнительные сведения см. в руководстве администратора Information Protection Azure.

Обратите внимание, что при настройке шаблонов отделов, которые вы хотите использовать с правилами транспорта Exchange или Windows Server FCI, конфигурация области должна включать параметр совместимости приложений, чтобы показать этот шаблон всем пользователям, если приложения не поддерживают флажок удостоверения пользователя установлен.

Вы можете использовать стратегию развертывания Azure Information Protection, чтобы проверить, нужно ли выполнить другие действия по настройке перед развертыванием Службы управления правами Azure для пользователей и администраторов.

Сведения о мониторинге соединителя RMS см. в разделе "Мониторинг соединителя Microsoft Rights Management".