安裝和設定 Microsoft 版權管理連接器

請使用下列資訊來協助您安裝及設定 Microsoft 版權管理 (RMS) 連接器。 這些程式涵蓋 部署 Microsoft Rights Management 連接器的步驟 1 到步驟 4。

開始之前:

安裝 RMS 連接器

  1. 找出最少 (兩個) 來執行 RMS 連接器的電腦。 這些電腦必須符合先決條件中列出的最低規格。

    注意

    安裝由多個伺服器組成的單一 RMS 連接器 (,以便每個租使用者 (Microsoft 365租使用者或Azure AD租使用者) ) 高可用性。 與 Active Directory RMS 不同,您不需要在每個樹系中安裝 RMS 連接器。

  2. Microsoft 下載中心下載 RMS 連接器的來源檔案。

    若要安裝 RMS 連接器,請下載 RMSConnectorSetup.exe

    此外,如果您想要使用 RMS 連接器的伺服器設定工具,若要自動化內部部署伺服器上登錄設定的設定,也請下載 GenConnectorConfig.ps1

  3. 在您要安裝 RMS 連接器的電腦上,以系統管理員許可權執行 RMSConnectorSetup.exe

  4. 在 [Microsoft 版權管理連接器設定] 的歡迎頁面上,選取 電腦上的 [安裝 Microsoft 版權管理連接器],然後按 [ 下一步]

  5. 閱讀並接受End-User許可合約條款,然後按 [ 下一步]

  6. 在 [ 驗證] 頁面中,選取符合您解決方案的雲端環境。 例如,針對 Azure 商業產品選取 AzureCloud 。 否則,請選取下列其中一個選項:

    • AzureChinaCloud:由 21Vianet 營運的 Azure
    • AzureUSGovernment:Azure Government (GCC High/DoD)
    • AzureUSGovernment2:Azure Government 2
    • AzureUSGovernment3:Azure Government 3
  7. 取 [登入 ] 以登入您的帳戶。 請確定您輸入的帳戶有足夠許可權可以設定 RMS 連接器的認證。

    您可以使用具有下列其中一種許可權的帳戶:

    • 全域管理員租使用者:您Microsoft 365租使用者或Azure AD租使用者的全域系統管理員帳戶。

    • Azure 版權管理全域系統管理員:Azure Active Directory中已獲指派 Azure RMS 全域系統管理員角色的帳戶。

    • Azure 版權管理連接器系統管理員:Azure Active Directory中已獲授與貴組織 RMS 連接器安裝及管理許可權的帳戶。

    Azure 版權管理全域系統管理員角色和 Azure 版權管理連接器系統管理員角色是使用 Add-AipServiceRoleBasedAdministrator Cmdlet 指派給帳戶。

    注意

    如果您已實作 上線控制項,請確定您指定的帳號可以保護內容。

    例如,如果您將保護內容的功能限制為「IT 部門」群組,您在此處指定的帳號必須是該群組的成員。 如果沒有,您會看到錯誤訊息: 嘗試探索系統管理服務與組織的位置失敗。確定貴組織已啟用 Microsoft 版權管理服務。

    提示

    若要以最小許可權執行 RMS 連接器,請為此目的建立專用帳戶,然後指派 Azure RMS 連接器系統管理員角色。 如需詳細資訊,請參閱 為 RMS 連接器建立專用帳戶

  8. 在精靈的最後一頁上,執行下列動作,然後按一下 [ 完成]

    • 如果這是您安裝的第一個連接器,請勿選取 [ 啟動連接器系統管理員主控台] 來授權伺服器 。 安裝第二個 (或最後一) RMS 連接器之後,您會選取此選項。 請改為在至少一部其他電腦上再次執行精靈。 您至少必須安裝兩個連接器。

    • 如果您已安裝第二個 (或最終) 連接器,請選取 [啟動連接器系統管理員主控台] 以授權伺服器

在 RMS 連接器安裝程式期間,會驗證並安裝所有必要條件軟體,如果不存在,則會安裝 Internet Information Services (IIS) ,並安裝並設定連接器軟體。 Azure RMS 也已透過建立下列專案來為設定做好準備:

  • 授權使用連接器與 Azure RMS 通訊的空白伺服器資料表稍後再將伺服器 新增至此資料表。

  • 連接器的一組安全性權杖 ,可使用 Azure RMS 授權作業。 這些權杖是從 Azure RMS 下載,並安裝在登錄中的本機電腦上。 它們會使用資料保護應用程式程式設計介面 (DPAPI) 和本機系統帳號憑證來保護。

為 RMS 連接器建立專用帳戶

此程式說明如何建立專用帳戶,以盡可能最少的許可權執行 Azure RMS 連接器,以便 RMS 連接器安裝期間登入時使用。

  1. 如果您尚未這麼做,請下載並安裝 AIPService PowerShell 模組。 如需詳細資訊,請參閱 安裝 AIPService PowerShell 模組

    使用 [以系統管理員身分執行] 命令開始Windows PowerShell,並使用連線-AipService命令連線到保護服務:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. 只要使用下列其中一個參數,即可執行 Add-AipServiceRoleBasedAdministrator 命令:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    例如,執行: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

雖然這些命令會指派連接器系統管理員角色,但您也可以改用 GlobalAdministrator 角色。

驗證您的安裝

  • 若要確認 RMS 連接器的 Web 服務是否可運作

    從網頁瀏覽器連線至HTTP:// < connectoraddress > /_wmcs/certification/servercertification.asmx,以已安裝 RMS 連接器的伺服器位址或名稱取代< connectoraddress >

    成功的連線會顯示 ServerCertificationWebService 頁面。

  • 若要確認使用者能夠讀取或修改 RMS 或 AIP 保護的檔

    在 RMS 連接器電腦上,開啟事件檢視器,然後移至 [應用程式Windows記錄檔]。 從 Microsoft RMS Connector 來源尋找具有 資訊層級的專案。

    專案應該會有類似下列的訊息: The list of authorized accounts has been updated

    Screenshot of an RMS connector event in the Event Viewer.

如果您需要卸載 RMS 連接器,請透過系統設定頁面卸載,或再次執行精靈並選取卸載選項。

如果您在安裝期間遇到任何問題,請檢查安裝記錄: %LocalAppData%\Temp\Microsoft Rights Management connector_ < date and time.log >

例如,您的安裝記錄看起來可能類似 C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

授權伺服器使用 RMS 連接器

當您在至少兩部電腦上安裝 RMS 連接器時,您已準備好授權您要使用 RMS 連接器的伺服器和服務。 例如,執行 Exchange Server 2013 或 SharePoint Server 2013 的伺服器。

若要定義這些伺服器,請執行 RMS 連接器管理工具,並將專案新增至允許的伺服器清單。 當您選取 [ 啟動連接器管理主控台] 以授權 Microsoft Rights Management 連接器設定精靈結尾的伺服器時,可以執行此工具,或者也可以與精靈分開執行。

當您授權這些伺服器時,請注意下列考慮:

  • 您新增的伺服器會獲得特殊許可權。 您在連接器設定中為Exchange Server角色指定的所有帳戶,都會被授與 Azure RMS 中的超使用者角色,讓他們可以存取此 RMS 租使用者的所有內容。 此時,如有需要,系統會自動啟用超使用者功能。 若要避免提高許可權的安全性風險,請務必只指定貴組織Exchange伺服器使用的帳戶。 所有設定為SharePoint伺服器或使用 FCI 的檔案伺服器都會獲得一般使用者許可權。

  • 您可以指定 Active Directory 安全性或通訊群組,或是由多個伺服器使用的服務帳戶,將多個伺服器新增為單一專案。 當您使用此設定時,伺服器群組會共用相同的 RMS 憑證,而且所有伺服器都會被視為任何伺服器所保護之內容的擁有者。 為了減少系統管理負荷,建議您使用單一群組而非個別伺服器的此設定來授權貴組織的Exchange伺服器陣列或SharePoint伺服器陣列。

允許使用連接器的伺服器頁面上 ,選取 [ 新增]

注意

授權伺服器是 Azure RMS 中與將 NTFS 許可權手動套用至伺服器或伺服器電腦帳戶之 NTFS 許可權的 AD RMS 設定,以及手動授與使用者對Exchange帳戶的超權等同設定。 連接器不需要將 NTFS 許可權套用至 ServerCertification.asmx

將伺服器新增至允許的伺服器清單

在 [ 允許伺服器使用連接器 ] 頁面上,輸入物件名稱,或流覽以識別要授權的物件。

請務必授權正確的物件。 若要讓伺服器使用連接器,必須選取執行內部部署服務 (例如Exchange或SharePoint) 的帳戶,才能獲得授權。 例如,如果服務是以設定的服務帳戶執行,請將該服務帳戶的名稱新增至清單中。 如果服務是以本機系統的形式執行,請新增電腦物件的名稱 (例如 SERVERNAME$) 。 最佳作法是建立包含這些帳戶的群組,並指定群組,而非個別伺服器名稱。

有關不同伺服器角色的詳細資訊:

  • 對於執行Exchange的伺服器:您必須指定安全性群組,而且您可以使用預設群組 (Exchange伺服器) ,Exchange自動建立及維護森林中的所有Exchange伺服器。

  • 對於執行 SharePoint 的伺服器

    • 如果 SharePoint 2010 伺服器設定為以本機系統執行, (它不是使用服務帳戶) ,請在 Active Directory 網域服務 中手動建立安全性群組,並將此組態中伺服器的電腦名稱稱物件新增至此群組。

    • 如果SharePoint伺服器設定為使用服務帳戶, (2010 年 SharePoint 建議的做法,以及 SharePoint 2016 和 SharePoint 2013) 的唯一選項,請執行下列動作:

      1. 新增執行SharePoint管理中心服務的服務帳戶,以便從其系統管理員主控台設定SharePoint。

      2. 新增為 SharePoint App 集區設定的帳戶。

      提示

      如果這兩個帳戶不同,請考慮建立一個包含這兩個帳戶的單一群組,以減少系統管理負荷。

  • 對於使用檔案分類基礎結構的檔案伺服器,相關聯的服務會以本機系統帳戶的形式執行,因此您必須授權檔案伺服器的電腦帳戶 (例如 SERVERNAME$) 或包含這些電腦帳戶的群組。

完成將伺服器新增至清單後,請按一下 [ 關閉]

如果您尚未這麼做,您現在必須為已安裝 RMS 連接器的伺服器設定負載平衡,並考慮是否要針對這些伺服器與您剛才授權的伺服器之間的連線使用 HTTPS。

設定負載平衡和高可用性

安裝 RMS 連接器的第二個或最後一個實例之後,請定義連接器 URL 伺服器名稱,並設定負載平衡系統。

連接器 URL 伺服器名稱可以是您所控制之命名空間下的任何名稱。 例如,您可以在 DNS 系統中為 rmsconnector.contoso.com 建立專案,並將此專案設定為在負載平衡系統中使用 IP 位址。 此名稱沒有特殊需求,也不需要在連接器伺服器本身上設定。 除非您的Exchange和SharePoint伺服器會透過網際網路與連接器通訊,否則這個名稱不需要在網際網路上解析。

重要

建議您在設定Exchange或SharePoint伺服器以使用連接器之後,不要變更此名稱,因為您必須先清除這些所有 IRM 設定的伺服器,然後重新設定。

在 DNS 中建立名稱並為 IP 位址設定之後,設定該位址的負載平衡,將流量導向至連接器伺服器。 您可以為此目的使用任何 IP 型負載平衡器,包括 Windows Server 中的網路負載平衡 (NLB) 功能。 如需詳細資訊,請參閱 負載平衡部署指南

使用下列設定來設定 NLB 叢集:

  • :80 (HTTP) 或 443 (HTTPS)

    如需有關是否要使用 HTTP 或 HTTPS 的詳細資訊,請參閱下一節。

  • 親和力:無

  • 分配方式:等於

您為執行 RMS 連接器服務) 之伺服器的負載平衡系統 (所定義的這個名稱,是您稍後在設定內部部署伺服器使用 Azure RMS 時所使用的 RMS 連接器名稱。

設定 RMS 連接器以使用 HTTPS

注意

此設定步驟為選用,但建議您提供額外的安全性。

雖然使用 TLS 或 SSL 是 RMS 連接器的選用專案,但我們建議使用任何以 HTTP 為基礎的安全性敏感性服務。 此設定會驗證執行連接器至Exchange的伺服器,以及SharePoint使用連接器的伺服器。 此外,從這些伺服器傳送到連接器的所有資料都會加密。

若要讓 RMS 連接器使用 TLS,請在每一個執行 RMS 連接器的伺服器上,安裝內含您用於連接器之名稱的伺服器驗證憑證。 例如,如果您在 DNS 中定義的 RMS 連接器名稱 是 rmsconnector.contoso.com,請部署在憑證主旨中包含 rmsconnector.contoso.com 做為常用名稱的伺服器驗證憑證。 或者,在 證替代名稱中將 rmsconnector.contoso.com 指定為 DNS 值。 憑證不需要包含伺服器名稱。 然後在 IIS 中,將此憑證系結至預設網站。

如果您使用 [HTTPS] 選項,請確定所有執行連接器的伺服器都具有鏈結至根 CA 的有效伺服器驗證憑證,且您的Exchange和SharePoint伺服器信任。 此外,如果憑證授權單位單位 (為連接器伺服器發行憑證的 CA) 發佈憑證撤銷清單 (CRL) ,則Exchange和SharePoint伺服器必須能夠下載此 CRL。

提示

您可以使用下列資訊和資源來協助您要求並安裝伺服器驗證憑證,以及將此憑證系結至 IIS 中的預設網站:

  • 如果您使用 Active Directory 憑證服務 (AD CS) 以及企業憑證授權單位單位 (CA) 來部署這些伺服器驗證憑證,您可以複製然後使用 Web Server 憑證範本。 此憑證範本會在憑證主體名稱 的要求中使用提供 ,這表示當您要求憑證時,可以提供憑證主體名稱或主體替代名稱的 RMS 連接器名稱 FQDN。

  • 如果您使用獨立 CA 或向其他公司購買此憑證,請參閱 TechNet 上的 Web Server (IIS) 檔庫中設定 Internet Server Certificate (IIS 7 )

  • 若要設定 IIS 使用憑證,請參閱在 TechNet 上將 系結新增至網站 (IIS 7) 在 Web Server (IIS) 文件庫中。

設定 Web Proxy 伺服器的 RMS 連接器

如果您的連接器伺服器安裝在沒有直接網際網路連線的網路中,且需要手動設定 Web Proxy 伺服器以供輸出網際網路存取,則必須針對 RMS 連接器在這些伺服器上設定登錄。

設定 RMS 連接器以使用 Web Proxy 伺服器

  1. 在執行 RMS 連接器的每個伺服器上,開啟登錄編輯器,例如 Regedit。

  2. 流覽至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. 新增ProxyAddress的字串值,然後將此值的資料設為HTTP:// < MyProxyDomainOrIPaddress > : < MyProxyPort >

    例如: http://proxyserver.contoso.com:8080

  4. 關閉登錄編輯程式,然後重新開機伺服器或執行 IISReset 命令以重新開機 IIS。

在系統管理電腦上安裝 RMS 連接器管理工具

如果該電腦符合下列需求,您可以從未安裝 RMS 連接器的電腦執行 RMS 連接器管理工具:

  • 執行 Windows Server 2019、2016、2012 或 Windows Server 2012 R2 的實體或虛擬電腦, (所有版本的) 、Windows 11、Windows 10、Windows 8.1 Windows 8。

  • 至少 1 GB RAM。

  • 至少 64 GB 的磁碟空間。

  • 至少一個網路介面。

  • 透過防火牆 (或 Web Proxy) 存取網際網路。

  • .NET 4.7.2

若要安裝 RMS 連接器系統管理工具,請為 64 位電腦執行下列檔案: RMSConnectorSetup.exe

如果您尚未下載這些檔案,您可以從 Microsoft 下載中心下載

如需詳細資訊,請參閱 RMS 連接器的先決條件

更新 RMS 連接器安裝

安裝新版本的 RMS 連接器會自動 卸載任何舊版,並安裝所需的 .NET 4.7.2。 如果您遇到任何問題,請使用下列指示手動卸載先前的版本並安裝 .NET 4.7.2。

  1. 在 RMS 連接器電腦上,使用 [應用程式 & 功能 ] 設定頁面來卸載 Microsoft Rights Management Connector

    在舊版系統上,您可以在 [主控台 > 程式和功能] 頁面找到 [未安裝] 選項。

    流覽精靈以卸載 Microsoft Rights Management 連接器,最後選取 [ 完成 ]。

  2. 確認您的電腦已安裝 .NET 4.7.2。 如需詳細資訊,請參閱如何:判斷已安裝哪些.NET Framework版本

    如有需要,請下載並安裝 .NET 版本 4.7.2

    出現提示時重新開機電腦,然後繼續 安裝新的 RMS 連接器版本

針對 Azure RMS Connector 強制執行 TLS 1.2

Microsoft 將于 2022 年 3 月 1 日預設停用舊版、不安全的 TLS 通訊協定,包括 RMS 服務上的 TLS 1.0 和 TLS 1.1。 若要準備這項變更,建議您關閉 RMS Connector 伺服器上這些較舊通訊協定的支援,並確保系統繼續如預期般運作。

本節說明在 RMS Connector 伺服器上停用 TLS) 1.0 和 1.1 傳輸層安全性 (的步驟,並強制使用 TLS 1.2。

關閉 TLS 1.0 和 1.1,並強制使用 TLS 1.2

  1. 確定 RMS Connector 電腦上的 .NET 架構為 4.7.2 版。 如需詳細資訊,請參閱 .NET framework 版本 4.7.2

  2. 下載並安裝最新版的 RMS Connector。 如需詳細資訊,請參閱 安裝 RMS 連接器

  3. 重新開機 RMS Connector 伺服器,並測試 RMS Connector 功能。 例如,確定內部部署 RMS 使用者能夠讀取其加密的檔。

如需詳細資訊,請參閱:

確認 TLS 1.2 使用 (進階)

此程式提供範例,說明如何驗證 TLS 1.2 是否在使用中,並且需要事先瞭解 Fiddler

  1. 在 RMS Connector 電腦上下載並安裝 Fiddler

  2. 開啟 Fiddler,然後開啟 Microsoft RMS Connector 系統管理工具。

  3. 取 [登入],雖然您不需要實際登入就能完成驗證。

  4. 在左側的 Fiddler 視窗中,尋找 msconnectoradmin 程式。 此程式應嘗試與 discover.aadrm.com 建立安全 連線

    例如:

    Screenshot of Fiddler showing the msconnectoradmin process trying to establish a secure connection with discover dot addrm dot com.

  5. 在右側的 [Fiddler] 視窗中,選取 [ 檢查] 索引標籤,並檢視要求和回應的 [文字檢視 ] 索引標籤。

    在這些索引標籤中,請注意,通訊是使用 TLS 1.2 執行。 例如:

    Screenshot of a Fiddler window showing TLS 1.2 being used.

手動強制使用 TLS 1.2

如果您需要手動強制使用 TLS 1.2,關閉任何舊版的使用量,請在 RMS 連接器電腦上執行下列 PowerShell 腳本。

謹慎

使用本節中的腳本可關閉每部電腦上的 TLS 1.2 前通訊。 如果電腦上的其他服務需要 TLS 1.0 或 1.2,此腳本可能會中斷這些服務的功能。

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

後續步驟

現在已安裝並設定 RMS 連接器,您已準備好設定內部部署伺服器來使用它。 移至設定 Microsoft Rights Management 連接器的伺服器