使用此信息可了解 Microsoft Rights Management 连接器,以及如何为组织成功部署它。 此连接器为使用 Microsoft Exchange Server、 SharePoint Server 或运行 Windows Server 和 文件分类基础结构 (FCI)的文件服务器的现有本地部署提供数据保护。
Microsoft Rights Management 连接器概述
使用 Microsoft Rights Management (RMS) 连接器,可以快速启用现有的本地服务器,使其信息权限管理(IRM)功能与基于云的Microsoft Rights Management 服务(Azure RMS)配合使用。 借助此功能,IT 和用户可以轻松地保护组织内外的文档和图片,而无需安装其他基础结构或与其他组织建立信任关系。
RMS 连接器是在本地安装的小型服务,在运行 Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 的服务器上安装。 除了在物理计算机上运行连接器,还可以在虚拟机(包括 Azure IaaS VM)上运行连接器。 部署连接器后,它充当本地服务器与云服务之间的通信接口(中继),如下图所示。 箭头指示网络连接的启动方向。
支持本地服务器
RMS 连接器支持以下本地服务器:运行 Windows Server 的 Exchange Server、SharePoint Server 和文件服务器,并使用文件分类基础结构对文件夹中的 Office 文档进行分类和应用策略。
注释
如果要使用文件分类基础结构保护多个文件类型(而不仅仅是 Office 文档),请不要使用 RMS 连接器,而是使用 AzureInformationProtection cmdlet。
RMS 连接器支持的这些本地服务器的版本:
| 服务器类型 | 支持的版本 |
|---|---|
| Exchange Server | - Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013 |
| SharePoint Server | - SharePoint Server 2019 - SharePoint Server 2016 - SharePoint Server 2013 |
|
运行 Windows Server 的文件服务器 并使用文件分类基础结构 (FCI) |
- Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
支持混合方案
即使某些用户正在连接到联机服务,也可以在混合方案中使用 RMS 连接器。 例如,某些用户的邮箱使用 Exchange Online,某些用户的邮箱使用 Exchange Server。 安装 RMS 连接器后,所有用户都可以使用 Azure RMS 保护和使用电子邮件和附件,并且信息保护可在两种部署配置之间无缝工作。
支持客户管理的密钥 (BYOK)
如果为 Azure RMS(自带密钥或 BYOK 方案)管理自己的租户密钥,则 RMS 连接器和使用该密钥的本地服务器不会访问包含租户密钥的硬件安全模块 (HSM)。 这是因为使用租户密钥的所有加密作都在 Azure RMS 中执行,而不是在本地执行。
若要了解有关管理租户密钥的此方案的详细信息,请参阅 管理 Azure Rights Management 服务的根密钥。
RMS 连接器的先决条件
在安装 RMS 连接器之前,请确保满足以下要求。
| Requirement | 详细信息 |
|---|---|
| 已激活保护服务 | 激活 Azure Rights Management 服务 |
| 本地 Active Directory 林与 Microsoft Entra ID 之间的目录同步 | 激活 RMS 后,必须将Microsoft Entra ID 配置为使用 Active Directory 数据库中的用户和组。 重要说明:必须执行此目录同步步骤,使 RMS 连接器正常工作,即使对于测试网络也是如此。 尽管可以使用 Microsoft 365 和 Microsoft Entra ID,但通过使用在 Microsoft Entra ID 中手动创建的帐户,但此连接器要求Microsoft Entra ID 中的帐户与 Active Directory 域服务同步;手动密码同步不足。 有关详细信息,请参阅以下资源: - 将本地 Active Directory 域与 Microsoft Entra ID 集成 - 混合标识目录集成工具比较 |
|
至少安装 RMS 连接器的两个成员计算机: - 运行以下作系统之一的 64 位物理或虚拟计算机:Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012。 - 至少 1 GB RAM。 - 至少 64 GB 的磁盘空间。 - 至少一个网络接口。 - 通过不需要身份验证的防火墙(或 Web 代理)访问 Internet。 - 必须位于信任组织中其他林的林或域中,其中包含要与 RMS 连接器一起使用的 Exchange 或 SharePoint 服务器的安装。 - 已安装 .NET 4.7.2。 根据你的系统,你可能需要单独下载并安装。 |
若要实现容错和高可用性,必须在至少两台计算机上安装 RMS 连接器。 提示:如果使用使用 Exchange ActiveSync IRM 的 Outlook Web 访问或移动设备,并且必须保持对受 Azure RMS 保护的电子邮件和附件的访问权限,建议部署负载均衡的连接器服务器组以确保高可用性。 不需要专用服务器来运行连接器,但必须在与将使用连接器的服务器分开的计算机上安装它。 重要说明:如果要将这些服务中的功能与 Azure RMS 配合使用,请不要在运行 Exchange Server、SharePoint Server 或为文件分类基础结构配置的文件服务器上安装连接器。 此外,请勿在域控制器上安装此连接器。 如果具有要与 RMS 连接器一起使用的服务器工作负荷,但其服务器位于要从中运行连接器的域不信任的域中,则可以在这些不受信任的域或其林中的其他域中安装其他 RMS 连接器服务器。 可以针对组织运行的连接器服务器数以及组织中安装的所有连接器服务器都共享相同的配置没有限制。 但是,若要将连接器配置为授权服务器,必须能够浏览要授权的服务器或服务帐户,这意味着必须在林中运行 RMS 管理工具,可以从中浏览这些帐户。 |
| TLS 版本 1.2 | 有关详细信息,请参阅 针对 Azure RMS 连接器强制实施 TLS 1.2。 |
部署 RMS 连接器的步骤
连接器不会自动检查成功部署所需的所有先决条件,因此请确保这些 先决条件 已就绪,然后再开始。 部署要求安装连接器、配置连接器,然后配置要使用的连接器的服务器。
步骤 1: 安装 RMS 连接器
步骤 2: 输入凭据
步骤 3: 授权服务器使用 RMS 连接器
步骤 4: 配置负载均衡和高可用性
步骤 5: 将服务器配置为使用 RMS 连接器