Nasazení konektoru Azure Rights ManagementDeploying the Azure Rights Management connector

Platí pro: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Z následujících informací se poučte o konektoru Azure Rights Management a o tom, jak ho pro svou organizaci úspěšně nasadit.Use this information to learn about the Azure Rights Management connector, and then how to successfully deploy it for your organization. Tento konektor zajišťuje ochranu dat u existujících místních nasazení, která používají Microsoft Exchange Server, SharePoint Server nebo souborové servery se systémem Windows Server a infrastrukturu klasifikace souborů (FCI).This connector provides data protection for existing on-premises deployments that use Microsoft Exchange Server, SharePoint Server, or file servers that run Windows Server and File Classification Infrastructure (FCI).

Přehled konektoru Microsoft Rights ManagementOverview of the Microsoft Rights Management connector

Konektor Microsoft Rights Management (RMS) umožňuje rychle povolit na existujících místních serverech použití funkce IRM (Správa přístupových práv k informacím) pomocí cloudové služby Azure RMS (Microsoft Rights Management Service).The Microsoft Rights Management (RMS) connector lets you quickly enable existing on-premises servers to use their Information Rights Management (IRM) functionality with the cloud-based Microsoft Rights Management service (Azure RMS). Pomocí této funkce můžou správci IT a uživatelé snadno chránit dokumenty a obrázky v rámci organizace i mimo ni, aniž by bylo potřeba instalovat další infrastrukturu nebo vytvářet vztahy důvěryhodnosti s jinými organizacemi.With this functionality, IT and users can easily protect documents and pictures both inside your organization and outside, without having to install additional infrastructure or establish trust relationships with other organizations.

Konektor RMS je služba s malými nároky, kterou nainstalujete místně na servery se systémem Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 nebo Windows Server 2008 R2.The RMS connector is a small-footprint service that you install on-premises, on servers that run Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2. Kromě spuštění konektoru na fyzických počítačích ho můžete spustit také na virtuálních počítačích, včetně virtuálních počítačů Azure IaaS.In addition to running the connector on physical computers, you can also run it on virtual machines, including Azure IaaS VMs. Jak vidíte na následujícím obrázku, konektor po nasazení funguje jako komunikační rozhraní (pro přenos) mezi místními servery a cloudovou službou.After you deploy the connector, it acts as a communications interface (a relay) between the on-premises servers and the cloud service, as shown in the following picture. Šipky označují směr, ve kterém se iniciují síťová připojení.The arrows indicate the direction in which network connections are initiated.

Přehled architektury konektoru RMS

Podpora místních serverůOn-premises servers supported

Konektor RMS podporuje následující na místní servery: Exchange Server, SharePoint Server a souborové servery se systémem Windows Server, které klasifikují dokumenty Office ve složce a uplatňují na nich zásady pomocí infrastruktury klasifikace souborů.The RMS connector supports the following on-premises servers: Exchange Server, SharePoint Server, and file servers that run Windows Server and use File Classification Infrastructure to classify and apply policies to Office documents in a folder.

Poznámka

Pokud pomocí infrastruktury klasifikace souborů chcete chránit více typů souborů (ne jen dokumenty Office), nepoužívejte konektor RMS, ale rutiny AzureInformationProtection.If you want to protect multiple file types (not just Office documents) by using File Classification Infrastructure, do not use the RMS connector, but instead, use the AzureInformationProtection cmdlets.

Verze místních serverů podporované konektorem RMS najdete v tématu Místní servery podporující službu Azure RMS.For the versions of these on-premises servers that are supported by the RMS connector, see On-premises servers that support Azure RMS.

Podpora hybridních scénářůSupport for hybrid scenarios

Konektor RMS můžete použít i v hybridním scénáři v případě, že se někteří vaši uživatelé připojují k online službám.You can use the RMS connector even if some of your users are connecting to online services, in a hybrid scenario. Může se třeba stát, že poštovní schránky některých uživatelů používají Exchange Online a jiné zase Exchange Server.For example, some users' mailboxes use Exchange Online and some users' mailboxes use Exchange Server. Po instalaci konektoru RMS můžou všichni uživatelé chránit a využívat e-maily a přílohy pomocí Azure RMS a mezi oběma konfiguracemi nasazení plynule funguje ochrana informací.After you install the RMS connector, all users can protect and consume emails and attachments by using Azure RMS, and information protection works seamlessly between the two deployment configurations.

Podpora klíčů spravovaných zákazníkem (BYOK)Support for customer-managed keys (BYOK)

Pokud sami spravujete vlastní klíč tenanta pro Azure RMS (funkce Přineste si vlastní klíč neboli BYOK), konektor RMS a místní servery, které ho používají, nepřistupují k modulu hardwarového zabezpečení (HSM) obsahujícímu váš klíč tenanta.If you manage your own tenant key for Azure RMS (the bring your own key, or BYOK scenario), the RMS connector and the on-premises servers that use it do not access the hardware security module (HSM) that contains your tenant key. Je tomu tak proto, že všechny kryptografické operace využívající klíč tenanta probíhají ve službě Azure RMS, ne místně.This is because all cryptographic operations that use the tenant key are performed in Azure RMS, and not on-premises.

Pokud chcete další informace o tomto scénáři, kde budete spravovat klíče najdete v tématu vašeho klienta plánování a implementace klíče klienta Azure Information Protection.If you want to learn more about this scenario where you manage your tenant key, see Planning and implementing your Azure Information Protection tenant key.

Předpoklady pro konektor RMSPrerequisites for the RMS connector

Než konektor RMS nainstalujete, ujistěte se, že jsou splněné následující požadavky.Before you install the RMS connector, make sure that the following requirements are in place.

PožadavekRequirement Další informaceMore information
Je aktivovaná služba RMS (Rights Management Service)The Rights Management (RMS) service is activated Aktivace Azure Rights ManagementActivating Azure Rights Management
Synchronizace adresářů mezi místními doménovými strukturami Active Directory a službou Azure Active DirectoryDirectory synchronization between your on-premises Active Directory forests and Azure Active Directory Po aktivaci služby RMS je potřeba nakonfigurovat službu Azure Active Directory tak, aby spolupracovala s uživateli a skupinami ve vaší databázi Active Directory.After RMS is activated, Azure Active Directory must be configured to work with the users and groups in your Active Directory database.

Důležité: Tento krok synchronizace adresáře je nutným předpokladem pro fungování konektoru RMS, a to i v testovací síti.Important: You must do this directory synchronization step for the RMS connector to work, even for a test network. I když můžete používat služby Office 365 a Azure Active Directory pomocí účtů, které ručně vytvoříte ve službě Azure Active Directory, tento konektor vyžaduje, aby byly účty ve službě Azure Active Directory synchronizované se službou Active Directory Domain Services – ruční synchronizace hesel nestačí.Although you can use Office 365 and Azure Active Directory by using accounts that you manually create in Azure Active Directory, this connector requires that the accounts in Azure Active Directory are synchronized with Active Directory Domain Services; manual password synchronization is not sufficient.

Další informace naleznete v následujících zdrojích:For more information, see the following resources:

Integrace místních identit se službou Azure Active DirectoryIntegrating your on-premises identities with Azure Active Directory

Porovnání nástrojů pro integraci adresářů s hybridní identitouHybrid Identity directory integration tools comparison
Minimálně dva členské počítače, na které konektor RMS nainstalujete:A minimum of two member computers on which to install the RMS connector:

– 64bitový fyzický nebo virtuální počítač s některým z těchto operačních systémů: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 nebo Windows Server 2008 R2- A 64-bit physical or virtual computer running one of the following operating systems: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2.

– Alespoň 1 GB paměti RAM.- At least 1 GB of RAM.

– Minimálně 64 GB místa na disku.- A minimum of 64 GB of disk space.

– Alespoň jedno síťové rozhraní.- At least one network interface.

– Přístup k internetu prostřednictvím brány firewall (nebo webového proxy serveru), který nevyžaduje ověření.- Access to the Internet via a firewall (or web proxy) that does not require authentication.

– Musí být v doménové struktuře nebo doméně, která důvěřuje ostatním doménovým strukturám v organizaci obsahujícím instalace serveru Exchange nebo SharePoint, které chcete s konektorem RMS používat.- Must be in a forest or domain that trusts other forests in the organization that contain installations of Exchange or SharePoint servers that you want to use with the RMS connector.
V zájmu odolnosti vůči chybám a vysoké dostupnosti je potřeba konektor RMS nainstalovat aspoň na dva počítače.For fault tolerance and high availability, you must install the RMS connector on a minimum of two computers.

Tip: Pokud používáte aplikaci Outlook Web Access nebo mobilní zařízení, které používají technologii ActiveSync IRM, a je pro vás velmi důležité udržet si přístup k e-mailům a přílohám chráněným Azure RMS, doporučujeme vám, abyste kvůli zajištění vysoké dostupnosti nasadili skupinu konektorových serverů s vyvažováním zatížení.Tip: If you are using Outlook Web Access or mobile devices that use Exchange ActiveSync IRM and it is critical that you maintain access to emails and attachments that are protected by Azure RMS, we recommend that you deploy a load-balanced group of connector servers to ensure high availability.

Ke spouštění konektoru nepotřebujete vyhrazené servery, ale musíte konektor nainstalovat na samostatným počítač ze serverů, které budou konektor používat.You do not need dedicated servers to run the connector but you must install it on a separate computer from the servers that will use the connector.

Důležité: Neinstalujte konektor na počítač se serverem Exchange Server, SharePoint Server nebo souborovým serverem, který je nakonfigurovaný pro infrastrukturu klasifikace souborů, pokud chcete používat funkce těchto služeb s Azure RMS.Important: Do not install the connector on a computer that runs Exchange Server, SharePoint Server, or a file server that is configured for file classification infrastructure if you want to use the functionality from these services with Azure RMS. Také tento konektor neinstalujte na řadič domény.Also, do not install this connector on a domain controller.

Pokud máte server úlohy, které chcete s konektorem RMS používat, ale jejich servery jsou v doménách, které nejsou důvěryhodné domény, ze kterého chcete spustit tento konektor, můžete nainstalovat další servery konektoru služby RMS v těchto nedůvěryhodných doménách nebo jiné domény v jejich doménové struktuře.If you have server workloads that you want to use with the RMS connector but their servers are in domains that are not trusted by the domain from which you want to run the connector, you can install additional RMS connector servers in these untrusted domains or other domains in their forest.

Neexistuje žádné omezení počtu servery konektoru, které můžete spustit pro vaši organizaci a všechny servery konektoru nainstalovány ve sdílené složce organizaci stejnou konfiguraci.There is no limit to the number of connector servers that you can run for your organization and all connector servers installed in an organization share the same configuration. Ale ke konfiguraci konektoru k ověření serverů, musíte být schopni se připojit k serveru nebo službě účty, které chcete povolit, což znamená, že musíte spustit nástroj pro správu služby RMS v doménové struktuře, ve kterém můžete procházet tyto účty.However, to configure the connector to authorize servers, you must be able to browse for the server or service accounts you want to authorize, which means that you must run the RMS administration tool in a forest from which you can browse those accounts.

Postup nasazení konektoru RMSSteps to deploy the RMS connector

Konektor nekontroluje automaticky všechny požadavky potřebné pro úspěšné nasazení, proto se ujistěte, že jsou na místě před zahájením.The connector does not automatically check all the prerequisites that it needs for a successful deployment, so make sure that these are in place before you start. K nasazení je potřeba, abyste nainstalovali konektor, nakonfigurovali ho a potom nakonfigurovali servery, které ho mají používat.The deployment requires you to install the connector, configure the connector, and then configure the servers that you want to use the connector.

Další krokyNext steps

Přejděte ke kroku 1: Instalace a konfigurace konektoru Azure Rights Management.Go to Step 1: Installing and configuring the Azure Rights Management connector.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.