Развертывание соединителя Microsoft Rights Management

Используйте эти сведения, чтобы узнать о соединителе Microsoft Rights Management, а затем о том, как успешно развернуть его для вашей организации. Этот соединитель обеспечивает защиту данных для существующих локальных развертываний, использующих Microsoft Exchange Server, SharePoint Server или файловые серверы под управлением Инфраструктуры классификации файлов Windows Server (FCI).

Обзор соединителя Microsoft Rights Management

Соединитель Microsoft Rights Management (RMS) позволяет быстро включить существующие локальные серверы для использования функций управления правами на доступ к данным (IRM) с облачной службой Microsoft Rights Management (Azure RMS). Благодаря этой функции ИТ-специалисты и пользователи могут легко защищать документы и изображения как внутри организации, так и за ее пределами, не устанавливая дополнительную инфраструктуру или устанавливая отношения доверия с другими организациями.

Соединитель RMS — это компактная служба, которую устанавливают в локальной среде на серверах под управлением Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012. Помимо запуска соединителя на физических компьютерах, его также можно запустить на виртуальных машинах, включая виртуальные машины IaaS Azure. После развертывания соединителя он выступает в качестве интерфейса связи (ретранслятора) между локальными серверами и облачной службой, как показано на следующем рисунке. Стрелки указывают направление, в котором инициируются сетевые подключения.

Обзор архитектуры соединителя RMS

Поддерживаемые локальные серверы

Соединитель RMS поддерживает следующие локальные серверы: Exchange Server, SharePoint Server и файловые серверы, которые работают под управлением Windows Server и используют инфраструктуру классификации файлов для классификации и применения политик к документам Office в папке. Это включает расширенную поддержку.

Замечание

Если вы хотите защитить несколько типов файлов (а не только документов Office) с помощью инфраструктуры классификации файлов, не используйте соединитель RMS, а используйте командлеты AzureInformationProtection.

Версии этих локальных серверов, поддерживаемых соединителем RMS:

Поддержка гибридных сценариев

Соединитель RMS можно использовать, даже если некоторые из пользователей подключаются к веб-службам в гибридном сценарии. Например, почтовые ящики некоторых пользователей используют Exchange Online, а почтовые ящики некоторых пользователей используют Exchange Server. После установки соединителя RMS все пользователи могут защитить и использовать сообщения электронной почты и вложения с помощью Azure RMS, а защита информации работает легко между двумя конфигурациями развертывания.

Поддержка ключей, управляемых клиентом (BYOK)

Если вы управляете собственным ключом клиента для Azure RMS (приведем собственный ключ или сценарий BYOK), соединитель RMS и локальные серверы, использующие его, не обращаются к аппаратному модулю безопасности (HSM), который содержит ключ клиента. Это связано с тем, что все криптографические операции, использующие ключ клиента, выполняются в Azure RMS, а не в локальной среде.

Дополнительные сведения об этом сценарии управления ключом клиента см. в статье "Управление корневым ключом для службы Azure Rights Management".

Предварительные требования для соединителя RMS

Перед установкой соединителя RMS убедитесь, что выполнены следующие требования.

Требование Дополнительные сведения
Служба защиты активируется Активация службы Azure Rights Management
Синхронизация каталогов между локальными лесами Active Directory и идентификатором Microsoft Entra После активации RMS идентификатор Microsoft Entra должен быть настроен для работы с пользователями и группами в базе данных Active Directory.

Важно. Для работы соединителя RMS даже для тестовой сети необходимо выполнить этот шаг синхронизации каталогов. Хотя вы можете использовать Microsoft 365 и Microsoft Entra ID, используя учетные записи, которые вы вручную создаете в Microsoft Entra ID, этот коннектор требует, чтобы учетные записи в Microsoft Entra ID были синхронизированы с доменными службами Active Directory; простой синхронизации паролей вручную недостаточно.

Дополнительные сведения см. в следующих ресурсах:

- Интеграция локальных доменов Active Directory с идентификатором Microsoft Entra

- Сравнение средств интеграции каталогов для гибридной идентификации
Не менее двух компьютеров-членов, на которых устанавливается соединитель RMS:

— 64-разрядный физический или виртуальный компьютер под управлением одной из следующих операционных систем: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

— по крайней мере 1 ГБ ОЗУ.

— не менее 64 ГБ дискового пространства.

— по крайней мере один сетевой интерфейс.

— Доступ к Интернету через брандмауэр (или веб-прокси), который не требует проверки подлинности.

— должен находиться в лесу или домене, который имеет доверительные отношения с другими лесами в организации, содержащими развертывания серверов Exchange или SharePoint, которые вы хотите использовать с коннектором RMS.

— установлен .NET 4.7.2. В зависимости от системы может потребоваться скачать и установить его отдельно.
Для отказоустойчивости и высокой доступности необходимо установить соединитель RMS как минимум на двух компьютерах.

Совет. Если вы используете Outlook Web Access или мобильные устройства, использующие IRM Exchange ActiveSync, и важно поддерживать доступ к сообщениям электронной почты и вложениям, защищенным Azure RMS, рекомендуется развернуть группу соединителей с балансировкой нагрузки, чтобы обеспечить высокий уровень доступности.

Для запуска соединителя не требуются выделенные серверы, но его необходимо установить на отдельном компьютере с серверами, которые будут использовать соединитель.

Важно. Не устанавливайте соединитель на компьютере под управлением Exchange Server, SharePoint Server или файлового сервера, настроенного для инфраструктуры классификации файлов, если вы хотите использовать функциональные возможности из этих служб с Azure RMS. Кроме того, не устанавливайте этот соединитель на контроллере домена.

Если у вас есть серверные рабочие нагрузки, которые вы хотите использовать с соединителем RMS, но их серверы находятся в доменах, которым не доверяет домен, из которого вы хотите запускать соединитель, можно установить дополнительные серверы соединителя RMS в этих недоверенных доменах или в других доменах того же леса.

Нет ограничения на количество серверов соединителей, которые можно запускать для организации, и все серверы соединителей, установленные в организации, имеют одинаковую конфигурацию. Тем не менее, чтобы настроить соединитель так, чтобы он мог авторизовать серверы, необходимо иметь возможность найти учетные записи серверов или служб, которые требуется авторизовать; это означает, что средство администрирования RMS необходимо запускать в лесу, из которого доступен просмотр этих учетных записей.
TLS версии 1.2 Дополнительные сведения см. в статье "Принудительное применение TLS 1.2" для соединителя Azure RMS.

Действия по развертыванию соединителя RMS

Соединитель не проверяет все необходимые компоненты , необходимые для успешного развертывания, поэтому перед началом работы убедитесь, что они установлены. Для развертывания необходимо установить соединитель, настроить соединитель и настроить серверы, которые требуется использовать.

Дальнейшие шаги

Перейдите к шагу 1. Установка и настройка соединителя Microsoft Rights Management.