部署 Microsoft 版權管理連接器

請使用此資訊來瞭解 Microsoft 版權管理連接器,以及如何為您的組織成功部署它。 此連接器會針對使用 Microsoft Exchange Server、SharePoint Server或執行Windows Server 和檔案分類基礎結構 (FCI) 的檔案伺服器,提供資料保護。

Microsoft 版權管理連接器概觀

Microsoft Rights Management (RMS) 連接器可讓您快速啟用現有的內部部署伺服器,以雲端式 Microsoft Rights Management service (Azure RMS) 使用其資訊版權管理 (IRM) 功能。 使用這項功能,IT 和使用者就可以輕鬆地保護組織內外的檔和圖片,而不需要安裝額外的基礎結構,或建立與其他組織的信任關係。

RMS 連接器是一種小型腳印服務,可在執行 Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Windows Server 2012 的伺服器上安裝內部部署。 除了在實體電腦上執行連接器,您也可以在虛擬機器上執行連接器,包括 Azure IaaS VM。 部署連接器之後,連接器會做為通訊介面, (內部部署伺服器和雲端服務之間的轉送) ,如下圖所示。 箭號表示網路連線的起始方向。

RMS connector architecture overview

支援內部部署伺服器

RMS 連接器支援下列內部部署伺服器:Exchange Server、SharePoint Server,以及執行 Windows Server 的檔案伺服器,以及使用檔案分類基礎結構來分類並套用原則至資料夾中Office檔。

注意

如果您想要保護多個檔案類型 (不只是使用檔案分類基礎結構) Office檔,請不要使用 RMS 連接器,而是改用AzureInformationProtection Cmdlet

如需 RMS 連接器所支援這些內部部署伺服器的版本,請參閱 支援 Azure RMS 的內部部署伺服器

支援混合式案例

即使有些使用者是連線到線上服務,您也可以在混合式案例中使用 RMS 連接器。 例如,有些使用者的信箱會使用Exchange Online,而某些使用者的信箱會使用Exchange Server。 安裝 RMS 連接器之後,所有使用者都可以使用 Azure RMS 來保護和取用電子郵件和附件,而且資訊保護可在兩種部署設定之間順暢地運作。

支援由客戶管理的金鑰 (BYOK)

如果您管理自己的 Azure RMS 租使用者金鑰, (帶上您自己的金鑰或 BYOK 案例) ,則使用 RMS 連接器的 RMS 連接器和使用它的內部部署伺服器不會存取包含您租使用者金鑰的 HSM) (硬體安全性模組。 這是因為所有使用租使用者金鑰的密碼編譯作業都是在 Azure RMS 中執行,而不是在內部部署中執行。

如果您想要深入瞭解管理租使用者金鑰的案例,請參閱規劃及實作您的 Azure 資訊保護租使用者金鑰

RMS 連接器的先決條件

安裝 RMS 連接器之前,請確定下列需求已就位。

要求 詳細資訊
保護服務已啟用 從 Azure 資訊保護 啟用保護服務
內部部署的 Active Directory樹系與樹系之間的目錄同步處理Azure Active Directory 啟用 RMS 之後,Azure Active Directory必須設定為與 Active Directory 資料庫中的使用者和群組搭配使用。

重要:您必須執行此目錄同步處理步驟,RMS 連接器才能運作,即使是測試網路也一樣。 雖然您可以使用您在 Azure Active Directory 中手動建立的帳戶來使用Microsoft 365和Azure Active Directory,但此連接器要求Azure Active Directory中的帳戶與Active Directory 網域服務;手動密碼同步處理不足。

如需詳細資訊,請參閱下列資源:

- 整合內部部署的 Active Directory網域與Azure Active Directory

- 混合式身分識別目錄整合工具比較
至少要安裝 RMS 連接器的兩部成員電腦

- 執行下列其中一種作業系統的 64 位實體或虛擬電腦:Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 Windows Server 2012。

- 至少 1 GB RAM。

- 至少 64 GB 的磁碟空間。

- 至少一個網路介面。

- 透過不需要驗證的防火牆 (或 Web Proxy) 存取網際網路。

- 必須位於信任組織中其他森林且包含安裝 Exchange 或SharePoint伺服器且要與 RMS 連接器搭配使用的網域或網域中。

- 已安裝 .NET 4.7.2。 視您的系統而定,您可能需要另行下載及安裝。
若要獲得錯誤容差和高可用性,您必須在至少兩部電腦上安裝 RMS 連接器。

提示:如果您使用 Outlook Web Access 或使用 Exchange ActiveSync IRM 的行動裝置,而且維護受 Azure RMS 保護之電子郵件和附件的存取權至關重要,建議您部署一組負載平衡的連接器伺服器,以確保高可用性。

您不需要專用伺服器來執行連接器,但您必須在另一部電腦上安裝連接器,而非使用連接器的伺服器。

重要:如果您想要將這些服務的功能與 Azure RMS 搭配使用,請勿將連接器安裝在執行 Exchange Server、SharePoint Server 或針對檔案分類基礎結構設定的檔案伺服器上。 此外,請勿將此連接器安裝在網域控制站上。

如果您想要搭配 RMS 連接器使用伺服器工作負載,但其伺服器位於不受您要執行連接器之網域信任的網域中,您可以在這些不受信任的網域或其森林中的其他網域中安裝額外的 RMS 連接器伺服器。

您可以為組織執行的連接器伺服器數量沒有限制,組織中安裝的所有連接器伺服器都具有相同的設定。 不過,若要設定連接器以授權伺服器,您必須能夠流覽您要授權的伺服器或服務帳戶,這表示您必須在森林中執行 RMS 系統管理工具,以便從中流覽這些帳戶。
TLS 版本 1.2 如需詳細資訊,請參閱 針對 Azure RMS Connector 強制執行 TLS 1.2

部署 RMS 連接器的步驟

連接器不會自動檢查成功部署所需的所有 先決條件 ,因此請務必在您開始之前先確認這些必要條件都已就位。 部署需要您安裝連接器、設定連接器,然後設定您要使用連接器的伺服器。

後續步驟

移至步驟 1: 安裝和設定 Microsoft 版權管理連接器