Bereitstellen des Azure Rights Management-VerbindungsdienstsDeploying the Azure Rights Management connector

Gilt für: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2 Windows Server 2012, Windows Server 2008 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Hier erhalten Sie Informationen zum Azure Rights Management-Connector und dazu, wie Sie ihn erfolgreich für Ihre Organisation bereitstellen.Use this information to learn about the Azure Rights Management connector, and then how to successfully deploy it for your organization. Der Connector bietet Datenschutz für bestehende lokale Bereitstellungen, die Microsoft Exchange Server, SharePoint Server oder Dateiserver nutzen, die Windows Server und die Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) ausführen.This connector provides data protection for existing on-premises deployments that use Microsoft Exchange Server, SharePoint Server, or file servers that run Windows Server and File Classification Infrastructure (FCI).

Übersicht über den Microsoft Rights Management-VerbindungsdienstOverview of the Microsoft Rights Management connector

Mit dem Microsoft Rights Management-Connector können Sie schnell vorhandene lokale Server für die Verwendung ihrer IRM-Funktionalität mit dem cloudbasierten Microsoft Rights Management Service (Azure RMS) aktivieren.The Microsoft Rights Management (RMS) connector lets you quickly enable existing on-premises servers to use their Information Rights Management (IRM) functionality with the cloud-based Microsoft Rights Management service (Azure RMS). Mit dieser Funktionalität können IT-Abteilungen und Benutzer Dokumente und Bilder, sowohl innerhalb als auch außerhalb der Organisation, ganz einfach schützen, ohne zusätzliche Infrastruktur installieren oder Vertrauensstellungen mit anderen Organisationen einrichten zu müssen.With this functionality, IT and users can easily protect documents and pictures both inside your organization and outside, without having to install additional infrastructure or establish trust relationships with other organizations.

Der RMS-Verbindungsdienst ist ein kleiner Dienst, der lokal auf Servern installiert wird, die unter Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 oder Windows Server 2008 R2 ausgeführt werden.The RMS connector is a small-footprint service that you install on-premises, on servers that run Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2. Zusätzlich zum Ausführen des Connectors auf physischen Computern können Sie ihn auch auf virtuellen Computern ausführen, einschließlich virtuellen Azure IaaS-Computern.In addition to running the connector on physical computers, you can also run it on virtual machines, including Azure IaaS VMs. Nachdem Sie den Connector bereitgestellt haben, fungiert er wie in der folgenden Abbildung dargestellt als Kommunikationsschnittstelle (Relay) zwischen den lokalen Servern und dem Clouddienst.After you deploy the connector, it acts as a communications interface (a relay) between the on-premises servers and the cloud service, as shown in the following picture. Die Pfeile zeigen die Richtung an, in der Netzwerkverbindungen initiiert werden.The arrows indicate the direction in which network connections are initiated.

RMS-Connectorarchitektur (Übersicht)

Unterstützung lokaler ServerOn-premises servers supported

Der RMS-Verbindungsdienst unterstützt die folgenden lokalen Server: Exchange Server, SharePoint Server und Dateiserver, die unter Windows Server ausgeführt werden und die Dateiklassifizierungsinfrastruktur verwenden, um Richtlinien zu klassifizieren und auf Office-Dokumente in einem Ordner anzuwenden.The RMS connector supports the following on-premises servers: Exchange Server, SharePoint Server, and file servers that run Windows Server and use File Classification Infrastructure to classify and apply policies to Office documents in a folder.

Hinweis

Wenn Sie mehrere Dateitypen (nicht nur Office-Dokumente) mit der Dateiklassifizierungsinfrastruktur schützen möchten, verwenden Sie nicht den RMS-Connector, sondern die AzureInformationProtection-Cmdlets.If you want to protect multiple file types (not just Office documents) by using File Classification Infrastructure, do not use the RMS connector, but instead, use the AzureInformationProtection cmdlets.

Informationen zu den Versionen dieser lokalen Server, die vom RMS-Connector unterstützt werden, finden Sie unter Lokale Server, die Azure RMS unterstützen.For the versions of these on-premises servers that are supported by the RMS connector, see On-premises servers that support Azure RMS.

Unterstützung für HybridszenariosSupport for hybrid scenarios

Sie können den RMS-Connector auch dann verwenden, wenn einige Benutzer Verbindungen mit Onlinediensten in einem Hybridszenario herstellen.You can use the RMS connector even if some of your users are connecting to online services, in a hybrid scenario. Beispielsweise könnte es sein, dass für die Postfächer einiger Benutzer Exchange Online und für die Postfächer einiger anderer Benutzer Exchange Server verwendet wird.For example, some users' mailboxes use Exchange Online and some users' mailboxes use Exchange Server. Nachdem Sie den RMS-Connector (RMS-Verbindungsdienst) installiert haben, können alle Benutzer E-Mails und Anlagen mithilfe von Azure RMS schützen und nutzen, und der Informationsschutz zwischen den beiden Bereitstellungskonfigurationen funktioniert nahtlos.After you install the RMS connector, all users can protect and consume emails and attachments by using Azure RMS, and information protection works seamlessly between the two deployment configurations.

Unterstützung für von Kunden verwaltete Schlüssel (BYOK)Support for customer-managed keys (BYOK)

Wenn Sie Ihren eigenen Mandantenschlüssel für Azure RMS verwalten (das „Bring Your Own Key“- oder BYOK-Szenario), greifen der RMS-Connector und die lokalen Server, die ihn verwenden, nicht auf das Hardwaresicherheitsmodul (HSM) zu, das Ihren Mandantenschlüssel enthält.If you manage your own tenant key for Azure RMS (the bring your own key, or BYOK scenario), the RMS connector and the on-premises servers that use it do not access the hardware security module (HSM) that contains your tenant key. Dies liegt daran, dass alle kryptografischen Vorgänge, bei denen der Mandantenschlüssel zum Einsatz kommt, in Azure RMS und nicht lokal ausgeführt werden.This is because all cryptographic operations that use the tenant key are performed in Azure RMS, and not on-premises.

Weitere Informationen über dieses Szenario, in dem Sie Ihren Mandantenschlüssel verwalten, finden Sie unter Planen und Implementieren Ihres Azure Rights Management-Mandantenschlüssels.If you want to learn more about this scenario where you manage your tenant key, see Planning and implementing your Azure Rights Management tenant key.

Voraussetzungen für den RMS-VerbindungsdienstPrerequisites for the RMS connector

Stellen Sie vor der Installation des RMS-Verbindungsdiensts sicher, dass folgende Voraussetzungen erfüllt sind.Before you install the RMS connector, make sure that the following requirements are in place.

AnforderungRequirement Weitere InformationenMore information
Der RMS-Verbindungsdienst (RMS) ist aktiviert.The Rights Management (RMS) service is activated Aktivieren von Azure Rights ManagementActivating Azure Rights Management
Verzeichnissynchronisierung zwischen Ihren lokalen Active Directory-Gesamtstrukturen und Azure Active DirectoryDirectory synchronization between your on-premises Active Directory forests and Azure Active Directory Nachdem RMS aktiviert wurde, muss Azure Active Directory so konfiguriert werden, dass es mit den Benutzern und Gruppen in Ihrer Active Directory-Datenbank arbeitet.After RMS is activated, Azure Active Directory must be configured to work with the users and groups in your Active Directory database.

Wichtig: Dieser Verzeichnissynchronisierungsschritt ist erforderlich, damit der RMS-Verbindungsdienst funktioniert, und zwar auch bei einem Testnetzwerk.Important: You must do this directory synchronization step for the RMS connector to work, even for a test network. Auch wenn Sie Office 365 und Azure Active Directory verwenden können, indem Sie manuell in Azure Active Directory erstellte Konten verwenden, erfordert der Verbindungsdienst, dass die Konten in Azure Active Directory mit den Active Directory-Domänendiensten synchronisiert werden. Die manuelle Kennwortsynchronisierung ist nicht ausreichend.Although you can use Office 365 and Azure Active Directory by using accounts that you manually create in Azure Active Directory, this connector requires that the accounts in Azure Active Directory are synchronized with Active Directory Domain Services; manual password synchronization is not sufficient.

Weitere Informationen finden Sie in den folgenden Ressourcen:For more information, see the following resources:

Integrieren Ihrer lokalen Identitäten in Azure Active DirectoryIntegrating your on-premises identities with Azure Active Directory

Vergleich von Integrationstools für HybrididentitätsverzeichnisseHybrid Identity directory integration tools comparison
Optional, aber empfohlen:Optional but recommended:

Aktivieren Sie den Verbund zwischen Ihrem lokalen Active Directory und Azure Active Directory.Enable federation between your on-premises Active Directory and Azure Active Directory
Sie können den Identitätsverbund zwischen Ihrem lokalen Verzeichnis und Azure Active Directory aktivieren.You can enable identity federation between your on-premises directory and Azure Active Directory. Diese Konfiguration ermöglicht eine nahtlosere Benutzererfahrung durch Verwendung des einmaligen Anmeldens beim RMS-Verbindungsdienst.This configuration enables a more seamless user experience by using single sign-on to the RMS service. Ohne einmaliges Anmelden werden Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert, bevor sie rechtegeschützte Inhalte verwenden können.Without single sign on, users are prompted for their credentials before they can use rights-protected content.

Anleitungen zum Konfigurieren des Verbunds mithilfe der Active Directory-Verbunddienste (AD FS) zwischen den Active Directory-Domänendiensten und Azure Active Directory finden Sie in der Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens in der Windows Server-Bibliothek.For instructions to configure federation by using Active Directory Federation Services (AD FS) between Active Directory Domain Services and Azure Active Directory, see the Checklist: Use AD FS to implement and manage single sign-on in the Windows Server library.
Mindestens zwei Mitgliedscomputer, auf denen der RMS-Verbindungsdienst installiert wird:A minimum of two member computers on which to install the RMS connector:

- Ein physischer oder virtueller 64-Bit-Computer unter einem der folgenden Betriebssysteme: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 oder Windows Server 2008 R2.- A 64-bit physical or virtual computer running one of the following operating systems: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2.

- Mindestens 1 GB RAM- At least 1 GB of RAM.

- Mindestens 64 GB Datenträgerspeicherplatz- A minimum of 64 GB of disk space.

- Mindestens eine Netzwerkschnittstelle- At least one network interface.

- Zugriff auf das Internet über eine Firewall (oder einen Webproxy) ohne Anforderung einer Authentifizierung- Access to the Internet via a firewall (or web proxy) that does not require authentication.

- Muss sich in einer Gesamtstruktur oder Domäne befinden, die eine Vertrauensstellung zu anderen organisationsinternen Gesamtstrukturen hat, die Installationen von Exchange- oder SharePoint-Servern enthalten, die Sie mit dem RMS-Connector verwenden möchten.- Must be in a forest or domain that trusts other forests in the organization that contain installations of Exchange or SharePoint servers that you want to use with the RMS connector.
Für Fehlertoleranz und Hochverfügbarkeit müssen Sie den RMS-Verbindungsdienst auf mindestens zwei Computern installieren.For fault tolerance and high availability, you must install the RMS connector on a minimum of two computers.

Tipp: Wenn Sie Outlook Web Access oder mobile Geräte verwenden, die Exchange ActiveSync IRM nutzen, und es wichtig ist, dass Sie den Zugriff auf mit Azure RMS geschützte E-Mails und Anlagen aufrechterhalten, empfiehlt sich Folgendes: Stellen Sie eine Gruppe von Verbindungsdienstservern mit Lastenausgleich bereit, um hohe Verfügbarkeit zu gewährleisten.Tip: If you are using Outlook Web Access or mobile devices that use Exchange ActiveSync IRM and it is critical that you maintain access to emails and attachments that are protected by Azure RMS, we recommend that you deploy a load-balanced group of connector servers to ensure high availability.

Sie benötigen keine dedizierten Server zum Ausführen des Verbindungsdiensts, Sie müssen ihn jedoch auf einem anderen Computer als die Server installieren, die den Verbindungsdienst verwenden werden.You do not need dedicated servers to run the connector but you must install it on a separate computer from the servers that will use the connector.

Wichtig: Installieren Sie den Verbindungsdienst nicht auf einem Computer, auf dem Exchange Server, SharePoint Server oder ein Dateiserver ausgeführt wird, der für die Dateiklassifizierungsinfrastruktur konfiguriert ist, wenn Sie die Funktionalität dieser Dienste mit Azure RMS verwenden möchten.Important: Do not install the connector on a computer that runs Exchange Server, SharePoint Server, or a file server that is configured for file classification infrastructure if you want to use the functionality from these services with Azure RMS. Darüber hinaus dürfen Sie diesen Verbindungsdienst nicht auf einem Domänencontroller installieren.Also, do not install this connector on a domain controller.

Schritte zur Bereitstellung des RMS-ConnectorsSteps to deploy the RMS connector

Der Connector führt keine automatische Prüfung aller Voraussetzungen durch, die für eine erfolgreiche Bereitstellung erforderlich sind. Stellen Sie daher vor dem Start sicher, dass diese erfüllt sind.The connector does not automatically check all the prerequistes that it needs for a successful deployment, so make sure that these are in place before you start. Für die Bereitstellung müssen Sie den Connector installieren und konfigurieren und dann die Server konfigurieren, die den Connector verwenden sollen.The deployment requires you to install the connector, configure the connector, and then configure the servers that you want to use the connector.

Nächste SchritteNext steps

Weiter zu Schritt 1: Installieren und Konfigurieren des Azure Rights Management-Connectors.Go to Step 1: Installing and configuring the Azure Rights Management connector.

KommentareComments

Bevor Sie Kommentare bereitstellen, lesen Sie bitte unsere geltenden Regeln.Before commenting, we ask that you review our House rules.