使用以下信息来帮助配置将使用 Azure Rights Management (RMS) 连接器的本地服务器。 这些过程涵盖 部署 Microsoft Rights Management 连接器的步骤 5。
先决条件:在开始之前,请确保已:- 安装和配置 RMS 连接器 - 检查了与将使用连接器的服务器相关的任何 先决条件 。
将服务器配置为使用 RMS 连接器
安装并配置 RMS 连接器后,即可配置将连接到 Azure Rights Management 服务的本地服务器,并使用连接器使用此保护技术。
这意味着配置以下服务器:
| Environment | 要配置的服务器 |
|---|---|
| Exchange 2013 | 客户端访问服务器和邮箱服务器 |
| Exchange 2016 和 Exchange 2019 | 邮箱服务器(包括客户端访问和中心传输服务器角色) |
| SharePoint | 前端 SharePoint Web 服务器,包括托管中央管理服务器的服务器 |
| 文件分类基础结构 | 已安装文件资源管理器的 Windows Server 计算机 |
此配置需要注册表设置,具有以下选项:
Important
在这两种情况下,都必须手动安装任何先决条件,并配置Exchange、SharePoint和文件分类基础结构以使用 Rights Management。
注释
对于大多数组织来说,使用适用于 Microsoft RMS 连接器的服务器配置工具自动配置将是更好的选择,因为它提供比手动配置更高的效率和可靠性。
在这些服务器上进行配置更改后,如果它们正在运行Exchange或SharePoint,并且以前配置为使用 AD RMS,则必须重启它们。 如果首次为 Rights Management 配置这些服务器,则无需重启这些服务器。
进行这些配置更改后,必须始终重启配置为使用文件分类基础结构的文件服务器。
自动编辑注册表设置 - 优点和缺点
使用 Microsoft RMS Connector 的服务器配置工具自动编辑注册表设置。
优点包括:
不直接编辑注册表。 使用脚本自动执行此操作。
无需运行 Windows PowerShell cmdlet 来获取Microsoft RMS URL。
如果你在本地运行它,系统会自动为你检查先决条件(但不会自动修复)。
缺点包括:运行该工具时,必须连接到已运行 RMS 连接器的服务器。
有关详细信息,请参阅 如何对 Microsoft RMS 连接器使用服务器配置工具。
手动编辑注册表设置 - 优点和缺点
优点包括:无需连接到运行 RMS 连接器的服务器。
缺点包括:
更多且容易出错的管理开销。
必须获取Microsoft RMS URL,这要求运行 Windows PowerShell 命令。
你必须始终自行检查所有前提条件。
如何使用 Microsoft RMS 连接器的服务器配置工具
如果尚未下载用于 Microsoft RMS 连接器(GenConnectorConfig.ps1)的服务器配置工具的脚本,请从 Microsoft 下载中心 下载它。
将 GenConnectorConfig.ps1 文件保存在要在其中运行该工具的计算机上。
如果要在本地运行该工具,这台服务器必须是您要配置为与 RMS 连接器通信的服务器。 否则,可以在任何计算机上保存它。
决定如何运行该工具:
方法 Description 本地 在将配置为与 RMS 连接器通信的服务器上,以交互方式运行该工具。
提示:这对于一次性配置非常有用,例如测试环境。软件部署 运行该工具以生成注册表文件,然后部署到一个或多个相关服务器。
使用支持软件部署的系统管理应用程序(例如System Center Configuration Manager)部署注册表文件。组策略 运行该工具以生成一个脚本,然后将该脚本交给能够为要配置的服务器创建组策略对象的管理员。
此脚本为要配置的每个服务器类型创建一个组策略对象,然后管理员可以将其分配给相关服务器。注释
此工具配置将与 RMS 连接器通信的服务器,并在本节开头列出。 不要在运行 RMS 连接器的服务器上运行此工具。
使用 Run 作为管理员选项开始Windows PowerShell,并使用 Get-help 命令阅读有关如何将工具用于所选配置方法的说明:
Get-help .\GenConnectorConfig.ps1 -detailed
若要运行脚本,必须输入组织的 RMS 连接器的 URL。
输入协议前缀(HTTP:// 或 HTTPS://),以及你在 DNS 中为连接器的负载均衡地址定义的连接器的名称。 例如,https:\//connector.contoso.com。
然后,该工具使用该 URL 联系运行 RMS 连接器的服务器,并获取用于创建所需配置的其他参数。
Important
运行此工具时,请确保为组织指定负载均衡 RMS 连接器的名称,而不是运行 RMS 连接器服务的单个服务器的名称。
对于每种服务类型的特定信息,请使用以下部分:
何时在未配置为使用连接器的单独计算机上安装客户端应用程序
将这些服务器配置为使用连接器后,这些服务器上本地安装的客户端应用程序可能无法与 RMS 配合使用。 发生这种情况时,这是因为应用程序尝试使用连接器,而不是直接使用 RMS,这不受支持。
必须在未配置为使用连接器的单独计算机上安装客户端应用程序。 然后,他们将直接正确地使用 RMS。
将Exchange服务器配置为使用连接器
以下 Exchange 角色与 RMS 连接器通信:
对于 Exchange 2016 和 Exchange 2013:客户端访问服务器和邮箱服务器
对于 Exchange 2019:客户端访问服务器和中心传输服务器
若要使用 RMS 连接器,运行Exchange的这些服务器必须运行以下软件版本之一:
Exchange Server 2016
具有 Exchange 2013 累积更新 3 的 Exchange Server 2013
Exchange Server 2019
你还需要在这些服务器上安装 RMS 客户端版本 1(也称为 MSDRM),该版本支持 RMS 加密模式 2。 所有Windows操作系统都包括 MSDRM 客户端,但早期版本的客户端不支持加密模式 2。 如果Exchange服务器至少运行Windows Server 2012,则无需执行进一步操作,因为安装了这些操作系统的 RMS 客户端以本机方式支持加密模式 2。
Important
如果未安装这些版本或更高版本的 Exchange 和 MSDRM 客户端,则无法配置Exchange以使用连接器。 在继续之前,请检查是否已安装这些版本。
将Exchange服务器配置为使用连接器
请使用 RMS 连接器管理工具以及 授权服务器使用 RMS 连接器 部分中的信息,确保 Exchange 服务器已获授权使用 RMS 连接器。
此配置是必需的,以便Exchange可以使用 RMS 连接器。
在与 RMS 连接器通信的Exchange服务器角色上,执行下列操作之一:
运行 Microsoft RMS 连接器的服务器配置工具。
有关详细信息,请参阅 如何对 Microsoft RMS 连接器使用服务器配置工具。
例如,若要在本地运行该工具以配置运行 Exchange 2016 或 Exchange 2013 的服务器:
.\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetExchange2013进行手动注册表编辑。 有关详细信息,请参阅 RMS 连接器的注册表设置。
使用 Exchange PowerShell cmdlet Set-IRMConfiguration 为Exchange启用 IRM 功能。 设置
InternalLicensingEnabled $true和ClientAccessServerEnabled $true。
将SharePoint服务器配置为使用连接器
前端SharePoint Web 服务器(包括托管管理中心服务器的服务器)与 RMS 连接器通信。
若要使用 RMS 连接器,运行SharePoint的这些服务器必须运行以下软件版本之一:
SharePoint Server 2019
SharePoint 服务器 2016
SharePoint 服务器 2013
运行 SharePoint 2019、2016 或 SharePoint 2013 的服务器还必须运行 RMS 连接器支持的 MSIPC 客户端 2.1 版本。
若要确保具有受支持的版本,请从 Microsoft 下载中心 下载最新的客户端。
Warning
MSIPC 2.1 客户端有多个版本,因此请确保版本为 1.0.2004.0 或更高版本。
可以通过检查位于 \Program Files\Active Directory Rights Management Services Client 2.1MSIPC.dll的版本号来验证客户端版本。 “属性”对话框显示 MSIPC 2.1 客户端的版本号。
将SharePoint服务器配置为使用连接器
通过使用 RMS 连接器管理工具以及 授权服务器使用 RMS 连接器部分中的信息,确保 SharePoint 服务器已获授权使用 RMS 连接器。
此配置是必需的,以便SharePoint服务器可以使用 RMS 连接器。
在与 RMS 连接器通信的SharePoint服务器上,执行下列操作之一:
运行 Microsoft RMS 连接器的服务器配置工具
有关详细信息,请参阅 如何对 Microsoft RMS 连接器使用服务器配置工具。
例如,若要在本地运行该工具以配置运行 SharePoint 2019、2016 或 SharePoint 2013 的服务器:
.\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetSharePoint2013如果您使用的是 SharePoint 2019、2016 或 SharePoint 2013,请手动编辑注册表,并使用 RMS 连接器的注册表设置 中的信息在服务器上手动添加注册表设置。
在SharePoint中启用 IRM。 按照这些说明进行操作时,必须通过指定 使用此 RMS 服务器来配置SharePoint以使用连接器,然后输入配置的负载均衡连接器 URL。
输入协议前缀(HTTP:// 或 HTTPS://),以及你在 DNS 中为连接器的负载均衡地址定义的连接器的名称。
例如,如果连接器名称为
https:\//connector.contoso.com,则配置将如下图所示:
在 SharePoint 服务器场中启用 IRM 后,可以在各个库的 Library Settings 页面上使用 Information Rights Management 选项为单个库启用 IRM。
将文件分类基础结构的文件服务器配置为使用连接器
若要使用 RMS 连接器和文件分类基础结构保护 Office 文档,文件服务器必须运行以下操作系统之一:
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
将文件服务器配置为使用连接器
请使用 RMS 连接器管理工具以及 Authorizing servers to use the RMS connector 部分中的信息,确保文件服务器已获授权使用 RMS 连接器。
此配置是必需的,以便文件服务器可以使用 RMS 连接器。
在为文件分类基础结构配置且将与 RMS 连接器通信的文件服务器上,执行下列操作之一:
运行 Microsoft RMS 连接器的服务器配置工具
有关详细信息,请参阅 如何对 Microsoft RMS 连接器使用服务器配置工具。
例如,若要在本地运行该工具来配置运行 FCI 的文件服务器:
.\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetFCI2012通过使用 RMS 连接器的注册表设置中的信息,在服务器上手动添加注册表设置,以手动编辑注册表。
创建分类规则和文件管理任务以使用 RMS 加密保护文档,然后指定 RMS 模板以自动应用 RMS 策略。
有关详细信息,请参阅Windows Server文档库中的 File Server 资源管理器 Overview。
后续步骤
安装并配置 RMS 连接器,并且服务器已配置为使用它,IT 管理员和用户可以使用 Azure Rights Management 服务来保护和使用电子邮件和文档。
若要方便用户,请部署 Azure 信息保护 客户端,该客户端安装 Office 加载项,并向文件资源管理器添加新的右键单击选项。
有关详细信息,请参阅 Azure 信息保护 客户端管理员指南。
请注意,如果您配置了要与 Exchange 传输规则或 Windows Server FCI 一起使用的部门模板,则作用域配置必须包含应用程序兼容性选项,以便选中 当应用程序不支持用户标识时,向所有用户显示此模板 复选框。
可以使用 Azure 信息保护 部署路线图检查在向用户和管理员推出Azure权限管理之前是否还需要执行其他配置步骤。
若要监视 RMS 连接器,请参阅 监视 Microsoft Rights Management 连接器。