Nasazení konektoru Azure Rights ManagementDeploying the Azure Rights Management connector

*Platí pro: Azure Information Protection, windows server 2019, 2016, Windows Server 2012 R2, Windows Server 2012 **Applies to: Azure Information Protection, Windows Server 2019, 2016, Windows Server 2012 R2, Windows Server 2012*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Z následujících informací se poučte o konektoru Azure Rights Management a o tom, jak ho pro svou organizaci úspěšně nasadit.Use this information to learn about the Azure Rights Management connector, and then how to successfully deploy it for your organization. Tento konektor zajišťuje ochranu dat u existujících místních nasazení, která používají Microsoft Exchange Server, SharePoint Server nebo souborové servery, na kterých běží Windows Server a Infrastruktura klasifikace souborů (FCI).This connector provides data protection for existing on-premises deployments that use Microsoft Exchange Server, SharePoint Server, or file servers that run Windows Server and File Classification Infrastructure (FCI).

Přehled konektoru Microsoft Rights ManagementOverview of the Microsoft Rights Management connector

Konektor Microsoft Rights Management (RMS) umožňuje rychle povolit na existujících místních serverech použití funkce IRM (Správa přístupových práv k informacím) pomocí cloudové služby Azure RMS (Microsoft Rights Management Service).The Microsoft Rights Management (RMS) connector lets you quickly enable existing on-premises servers to use their Information Rights Management (IRM) functionality with the cloud-based Microsoft Rights Management service (Azure RMS). Pomocí této funkce můžou správci IT a uživatelé snadno chránit dokumenty a obrázky v rámci organizace i mimo ni, aniž by bylo potřeba instalovat další infrastrukturu nebo vytvářet vztahy důvěryhodnosti s jinými organizacemi.With this functionality, IT and users can easily protect documents and pictures both inside your organization and outside, without having to install additional infrastructure or establish trust relationships with other organizations.

RMS Connector je služba s malými nároky, kterou nainstalujete místně, na serverech se systémem Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.The RMS connector is a small-footprint service that you install on-premises, on servers that run Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. Kromě spuštění konektoru na fyzických počítačích ho můžete spustit také na virtuálních počítačích, včetně virtuálních počítačů Azure IaaS.In addition to running the connector on physical computers, you can also run it on virtual machines, including Azure IaaS VMs. Jak vidíte na následujícím obrázku, konektor po nasazení funguje jako komunikační rozhraní (pro přenos) mezi místními servery a cloudovou službou.After you deploy the connector, it acts as a communications interface (a relay) between the on-premises servers and the cloud service, as shown in the following picture. Šipky označují směr, ve kterém se iniciují síťová připojení.The arrows indicate the direction in which network connections are initiated.

Přehled architektury konektoru RMS

Podpora místních serverůOn-premises servers supported

Konektor RMS podporuje následující na místní servery: Exchange Server, SharePoint Server a souborové servery se systémem Windows Server, které klasifikují dokumenty Office ve složce a uplatňují na nich zásady pomocí infrastruktury klasifikace souborů.The RMS connector supports the following on-premises servers: Exchange Server, SharePoint Server, and file servers that run Windows Server and use File Classification Infrastructure to classify and apply policies to Office documents in a folder.

Poznámka

Pokud pomocí infrastruktury klasifikace souborů chcete chránit více typů souborů (ne jen dokumenty Office), nepoužívejte konektor RMS, ale rutiny AzureInformationProtection.If you want to protect multiple file types (not just Office documents) by using File Classification Infrastructure, do not use the RMS connector, but instead, use the AzureInformationProtection cmdlets.

Verze místních serverů podporované konektorem RMS najdete v tématu Místní servery podporující službu Azure RMS.For the versions of these on-premises servers that are supported by the RMS connector, see On-premises servers that support Azure RMS.

Podpora hybridních scénářůSupport for hybrid scenarios

Konektor RMS můžete použít i v hybridním scénáři v případě, že se někteří vaši uživatelé připojují k online službám.You can use the RMS connector even if some of your users are connecting to online services, in a hybrid scenario. Může se třeba stát, že poštovní schránky některých uživatelů používají Exchange Online a jiné zase Exchange Server.For example, some users' mailboxes use Exchange Online and some users' mailboxes use Exchange Server. Po instalaci konektoru RMS můžou všichni uživatelé chránit a využívat e-maily a přílohy pomocí Azure RMS a mezi oběma konfiguracemi nasazení plynule funguje ochrana informací.After you install the RMS connector, all users can protect and consume emails and attachments by using Azure RMS, and information protection works seamlessly between the two deployment configurations.

Podpora klíčů spravovaných zákazníkem (BYOK)Support for customer-managed keys (BYOK)

Pokud sami spravujete vlastní klíč tenanta pro Azure RMS (funkce Přineste si vlastní klíč neboli BYOK), konektor RMS a místní servery, které ho používají, nepřistupují k modulu hardwarového zabezpečení (HSM) obsahujícímu váš klíč tenanta.If you manage your own tenant key for Azure RMS (the bring your own key, or BYOK scenario), the RMS connector and the on-premises servers that use it do not access the hardware security module (HSM) that contains your tenant key. Je tomu tak proto, že všechny kryptografické operace využívající klíč tenanta probíhají ve službě Azure RMS, ne místně.This is because all cryptographic operations that use the tenant key are performed in Azure RMS, and not on-premises.

Pokud chcete získat další informace o tomto scénáři, kde si klíč tenanta spravujete, přečtěte si téma plánování a implementace klíče tenanta Azure Information Protection.If you want to learn more about this scenario where you manage your tenant key, see Planning and implementing your Azure Information Protection tenant key.

Předpoklady pro konektor RMSPrerequisites for the RMS connector

Než konektor RMS nainstalujete, ujistěte se, že jsou splněné následující požadavky.Before you install the RMS connector, make sure that the following requirements are in place.

PožadavekRequirement Další informaceMore information
Služba ochrany je aktivována.The protection service is activated Aktivace služby ochrany z Azure Information ProtectionActivating the protection service from Azure Information Protection
Synchronizace adresářů mezi místními doménovými strukturami Active Directory a službou Azure Active DirectoryDirectory synchronization between your on-premises Active Directory forests and Azure Active Directory Po aktivaci služby RMS je potřeba nakonfigurovat službu Azure Active Directory tak, aby spolupracovala s uživateli a skupinami ve vaší databázi Active Directory.After RMS is activated, Azure Active Directory must be configured to work with the users and groups in your Active Directory database.

Důležité: Tento krok synchronizace adresáře je nutným předpokladem pro fungování konektoru RMS, a to i v testovací síti.Important: You must do this directory synchronization step for the RMS connector to work, even for a test network. I když můžete použít Microsoft 365 a Azure Active Directory pomocí účtů, které ručně vytvoříte v Azure Active Directory, tento konektor vyžaduje, aby byly účty v Azure Active Directory synchronizované s Active Directory Domain Services; Ruční synchronizace hesel není dostačující.Although you can use Microsoft 365 and Azure Active Directory by using accounts that you manually create in Azure Active Directory, this connector requires that the accounts in Azure Active Directory are synchronized with Active Directory Domain Services; manual password synchronization is not sufficient.

Další informace naleznete v následujících zdrojích:For more information, see the following resources:

- Integrace místních domén služby Active Directory s Azure Active Directory- Integrate on-premises Active Directory domains with Azure Active Directory

- Porovnání nástrojů pro integraci adresářů s hybridní identitou- Hybrid Identity directory integration tools comparison
Minimálně dva členské počítače, do kterých se má nainstalovat RMS Connector:A minimum of two member computers on which to install the RMS connector:

– 64 fyzický nebo virtuální počítač s některým z následujících operačních systémů: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.- A 64-bit physical or virtual computer running one of the following operating systems: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

– Alespoň 1 GB paměti RAM.- At least 1 GB of RAM.

– Minimálně 64 GB místa na disku.- A minimum of 64 GB of disk space.

– Alespoň jedno síťové rozhraní.- At least one network interface.

– Přístup k Internetu prostřednictvím brány firewall (nebo webového proxy serveru), který nevyžaduje ověření.- Access to the internet via a firewall (or web proxy) that does not require authentication.

– Musí být v doménové struktuře nebo doméně, která důvěřuje ostatním doménovým strukturám v organizaci obsahujícím instalace serveru Exchange nebo SharePoint, které chcete s konektorem RMS používat.- Must be in a forest or domain that trusts other forests in the organization that contain installations of Exchange or SharePoint servers that you want to use with the RMS connector.

– Rozhraní .NET 4.7.2 je nainstalované.- .NET 4.7.2 installed. V závislosti na vašem systému ho možná budete muset stáhnout a nainstalovat samostatně.Depending on your system, you may need to download and install this separately.
V zájmu odolnosti vůči chybám a vysoké dostupnosti je potřeba konektor RMS nainstalovat aspoň na dva počítače.For fault tolerance and high availability, you must install the RMS connector on a minimum of two computers.

Tip: Pokud používáte aplikaci Outlook Web Access nebo mobilní zařízení, které používají technologii ActiveSync IRM, a je pro vás velmi důležité udržet si přístup k e-mailům a přílohám chráněným Azure RMS, doporučujeme vám, abyste kvůli zajištění vysoké dostupnosti nasadili skupinu konektorových serverů s vyvažováním zatížení.Tip: If you are using Outlook Web Access or mobile devices that use Exchange ActiveSync IRM and it is critical that you maintain access to emails and attachments that are protected by Azure RMS, we recommend that you deploy a load-balanced group of connector servers to ensure high availability.

Ke spouštění konektoru nepotřebujete vyhrazené servery, ale musíte konektor nainstalovat na samostatným počítač ze serverů, které budou konektor používat.You do not need dedicated servers to run the connector but you must install it on a separate computer from the servers that will use the connector.

Důležité: Neinstalujte konektor na počítač se serverem Exchange Server, SharePoint Server nebo souborovým serverem, který je nakonfigurovaný pro infrastrukturu klasifikace souborů, pokud chcete používat funkce těchto služeb s Azure RMS.Important: Do not install the connector on a computer that runs Exchange Server, SharePoint Server, or a file server that is configured for file classification infrastructure if you want to use the functionality from these services with Azure RMS. Také tento konektor neinstalujte na řadič domény.Also, do not install this connector on a domain controller.

Pokud máte úlohy serveru, které chcete používat s RMS Connector, ale jejich servery jsou v doménách, které nejsou důvěryhodné pro doménu, ze které chcete konektor spustit, můžete v těchto nedůvěryhodných doménách nebo v jiných doménách v doménové struktuře nainstalovat další servery RMS Connector.If you have server workloads that you want to use with the RMS connector but their servers are in domains that are not trusted by the domain from which you want to run the connector, you can install additional RMS connector servers in these untrusted domains or other domains in their forest.

Neexistuje žádné omezení počtu serverů konektorů, které můžete spustit pro vaši organizaci, a všechny servery konektorů nainstalované v organizaci mají stejnou konfiguraci.There is no limit to the number of connector servers that you can run for your organization and all connector servers installed in an organization share the same configuration. Chcete-li však nakonfigurovat konektor k autorizaci serverů, musíte být schopni vyhledat účty serverů nebo služeb, které chcete autorizovat, což znamená, že je nutné spustit nástroj pro správu služby RMS v doménové struktuře, ze které můžete procházet tyto účty.However, to configure the connector to authorize servers, you must be able to browse for the server or service accounts you want to authorize, which means that you must run the RMS administration tool in a forest from which you can browse those accounts.

Postup nasazení konektoru RMSSteps to deploy the RMS connector

Konektor automaticky nekontroluje všechny požadavky , které potřebuje pro úspěšné nasazení, takže se ujistěte, že jsou na svém místě, než začnete.The connector does not automatically check all the prerequisites that it needs for a successful deployment, so make sure that these are in place before you start. K nasazení je potřeba, abyste nainstalovali konektor, nakonfigurovali ho a potom nakonfigurovali servery, které ho mají používat.The deployment requires you to install the connector, configure the connector, and then configure the servers that you want to use the connector.

Další krokyNext steps

Přejděte ke kroku 1: Instalace a konfigurace konektoru Azure Rights Management.Go to Step 1: Installing and configuring the Azure Rights Management connector.