部署 Microsoft Rights Management 連接器
使用這項資訊來瞭解 Microsoft Rights Management 連接器,以及如何為您的組織成功部署它。 此連接器為使用 Microsoft Exchange Server、 SharePoint Server 或執行 Windows Server 和 檔案分類基礎結構 (FCI) 的檔案伺服器的現有內部部署提供資料保護。
Microsoft Rights Management 連接器概觀
Microsoft Rights Management (RMS) 連接器可讓您快速啟用現有的內部部署伺服器,搭配雲端式 Microsoft Rights Management 服務 (Azure RMS) 使用其資訊版權管理 (IRM) 功能。 透過這項功能,IT 和使用者可以輕鬆地保護組織內外的檔和圖片,而不需要安裝額外的基礎結構,或與其他組織建立信任關係。
RMS 連接器是一項小型使用量服務,您可以在執行 Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 的伺服器上安裝內部部署。 除了在實體電腦上執行連接器之外,您也可以在虛擬機器上執行連接器,包括 Azure IaaS VM。 部署連接器之後,它會作為內部部署伺服器與雲端服務之間的通訊介面(轉寄),如下圖所示。 箭頭表示起始網路連線的方向。
支援的內部部署伺服器
RMS 連接器支援下列內部部署伺服器:執行 Windows Server 的 Exchange Server、SharePoint Server 和檔案伺服器,並使用檔案分類基礎結構將原則分類並套用至資料夾中的 Office 檔。
注意
如果您想要使用檔案分類基礎結構來保護多個檔案類型(不只是 Office 檔),請勿使用 RMS 連接器,而是改用 AzureInformationProtection Cmdlet 。
如需 RMS 連接器支援的這些內部部署伺服器版本,請參閱 支援 Azure RMS 的內部部署伺服器。
支援混合式案例
即使某些使用者連線到混合式案例中的線上服務,您也可以使用 RMS 連接器。 例如,某些使用者的信箱使用 Exchange Online,而某些使用者的信箱則使用 Exchange Server。 安裝 RMS 連接器之後,所有使用者都可以使用 Azure RMS 保護及取用電子郵件和附件,而且資訊保護可在兩個部署組態之間順暢地運作。
支援客戶管理的金鑰 (BYOK)
如果您管理自己的 Azure RMS 租使用者金鑰(攜帶您自己的金鑰或 BYOK 案例),則使用 RMS 連接器和內部部署伺服器不會存取包含租使用者金鑰的硬體安全性模組 (HSM)。 這是因為所有使用租使用者金鑰的密碼編譯作業都是在 Azure RMS 中執行,而不是內部部署。
如果您想要深入瞭解管理租使用者金鑰的此案例,請參閱 規劃和實作 Azure 資訊保護租使用者金鑰 。
RMS 連接器的必要條件
安裝 RMS 連接器之前,請確定已符合下列需求。
| 需求 | 其他相關資訊 |
|---|---|
| 保護服務已啟動 | 從 Azure 資訊保護啟用保護服務 |
| 內部部署的 Active Directory樹系與 Microsoft Entra ID 之間的目錄同步處理 | 啟用 RMS 之後,必須將 Microsoft Entra ID 設定為使用 Active Directory 資料庫中的使用者和群組。 重要 :您必須執行此目錄同步處理步驟,RMS 連接器才能運作,即使是測試網路也是如此。 雖然您可以使用手動在 Microsoft Entra ID 中建立的帳戶來使用 Microsoft 365 和 Microsoft Entra ID,但此連接器會要求 Microsoft Entra ID 中的帳戶與Active Directory 網域服務同步處理;手動密碼同步處理是不夠的。 如需詳細資訊,請參閱以下資源: - 整合內部部署的 Active Directory網域與 Microsoft Entra ID - 混合式身分識別目錄整合工具比較 |
| 至少兩部要安裝 RMS 連接器 的成員電腦: - 執行下列其中一個作業系統的 64 位實體或虛擬電腦:Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012。 - 至少 1 GB 的 RAM。 - 至少 64 GB 的磁碟空間。 - 至少一個網路介面。 - 透過不需要驗證的防火牆(或 Web Proxy)存取網際網路。 - 必須位於信任組織中其他樹系的樹系或網域中,其中包含您要與 RMS 連接器搭配使用的 Exchange 或 SharePoint 伺服器安裝。 - 已安裝 .NET 4.7.2。 視您的系統而定,您可能需要個別下載並安裝此專案。 |
若要讓容錯和高可用性,您必須在至少兩部電腦上安裝 RMS 連接器。 提示 :如果您使用使用 Exchange ActiveSync IRM 的 Outlook Web 存取或行動裝置,請務必維護 Azure RMS 所保護的電子郵件和附件存取權,建議您部署負載平衡的連接器伺服器群組,以確保高可用性。 您不需要專用伺服器來執行連接器,但您必須將它安裝在與將使用連接器之伺服器的個別電腦上。 重要 事項:如果您想要搭配 Azure RMS 使用這些服務的功能,請勿在執行 Exchange Server、SharePoint Server 或針對檔案分類基礎結構設定的檔案伺服器上安裝連接器。 此外,請勿在網域控制站上安裝此連接器。 如果您有想要搭配 RMS 連接器使用的伺服器工作負載,但其伺服器位於您要執行連接器之網域不信任的網域中,您可以在這些不受信任的網域或其他網域中安裝其他 RMS 連接器伺服器。 您可以為組織執行的連接器伺服器數目沒有限制,且組織中安裝的所有連接器伺服器都會共用相同的組態。 不過,若要將連接器設定為授權伺服器,您必須能夠流覽您想要授權的伺服器或服務帳戶,這表示您必須在樹系中執行 RMS 管理工具,才能流覽這些帳戶。 |
| TLS 1.2 版 | 如需詳細資訊,請參閱 為 Azure RMS 連線or 強制執行 TLS 1.2。 |
部署 RMS 連接器的步驟
連接器不會自動檢查 成功部署所需的所有必要條件,因此請確定這些必要條件 已就緒,再開始。 部署會要求您安裝連接器、設定連接器,然後設定您想要使用連接器的伺服器。
步驟 1 : 安裝 RMS 連接器
步驟 2 : 輸入認證
步驟 3 : 授權伺服器使用 RMS 連接器
步驟 4 : 設定負載平衡和高可用性
選擇性: 設定 RMS 連接器以使用 HTTPS
步驟 5 : 設定伺服器以使用 RMS 連接器
下一步
移至步驟 1: 安裝和設定 Microsoft Rights Management 連接器 。
意見反應
即將推出:在 2024 年,我們將隨著內容的意見反應機制逐步淘汰 GitHub 問題,並以新的意見反應系統來取代。 如需詳細資訊,請參閱 https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應