Implementar el conector de Microsoft Rights Management

Se aplica a: Azure Information Protection, Windows Server 2019, 2016, Windows Server 2012 R2, Windows Server 2012

Relevante para:cliente de etiquetado unificado AIP y cliente clásico

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.

El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.

Todos los clientes del cliente clásico de Azure Information Protection actuales deben migrar Microsoft Information Protection la plataforma unificada de etiquetado y actualizar al cliente de etiquetado unificado. Más información en nuestro blog de migración.

Use esta información para obtener información sobre el conector de Microsoft Rights Management y, a continuación, cómo implementarla correctamente para su organización. Este conector proporciona protección de datos para implementaciones locales existentes que usan Microsoft Exchange Server, SharePoint Servero servidores de archivos que ejecutan Windows Server and File Classification Infrastructure (FCI).

Información general sobre el conector de Microsoft Rights Management

El conector de Microsoft Rights Management (RMS) le permite habilitar rápidamente los servidores locales existentes para usar su funcionalidad de Information Rights Management (IRM) con el servicio de Microsoft Rights Management basado en la nube (Azure RMS). Con esta funcionalidad, TI y los usuarios pueden proteger fácilmente documentos e imágenes tanto dentro como fuera de su organización, sin tener que instalar infraestructura adicional ni establecer relaciones de confianza con otras organizaciones.

El conector RMS es un servicio de pequeña superficie que se instala localmente en servidores que ejecutan Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. Además de ejecutar el conector en equipos físicos, también puede ejecutarlo en máquinas virtuales, incluidas las máquinas virtuales de Azure IaaS. Después de implementar el conector, actúa como una interfaz de comunicaciones (una retransmisión) entre los servidores locales y el servicio en la nube, como se muestra en la imagen siguiente. Las flechas indican la dirección en la que se inician las conexiones de red.

Introducción a la arquitectura del conector RMS

Servidores locales admitidos

El conector RMS admite los siguientes servidores locales: Exchange Server, SharePoint Server y servidores de archivos que ejecutan Windows Server y usan infraestructura de clasificación de archivos para clasificar y aplicar directivas Office documentos en una carpeta.

Nota

Si desea proteger varios tipos de archivo (no solo Office documentos) mediante infraestructura de clasificación de archivos, no use el conector RMS, sino que use los cmdlets AzureInformationProtection.

Para ver las versiones de estos servidores locales compatibles con el conector RMS, vea Servidores locales compatibles con Azure RMS.

Compatibilidad con escenarios híbridos

Puede usar el conector RMS incluso si algunos de sus usuarios se conectan a servicios en línea, en un escenario híbrido. Por ejemplo, algunos buzones de usuarios usan Exchange Online y los buzones de algunos usuarios usan Exchange Server. Después de instalar el conector RMS, todos los usuarios pueden proteger y consumir correos electrónicos y datos adjuntos mediante Azure RMS, y la protección de la información funciona sin problemas entre las dos configuraciones de implementación.

Soporte técnico para claves administradas por el cliente (BYOK)

Si administra su propia clave de inquilino para Azure RMS (el escenario traer su propia clave o BYOK), el conector RMS y los servidores locales que la usan no tienen acceso al módulo de seguridad de hardware (HSM) que contiene la clave de inquilino. Esto se debe a que todas las operaciones criptográficas que usan la clave de inquilino se realizan en Azure RMS y no en el entorno local.

Si desea obtener más información sobre este escenario en el que administra la clave de inquilino, consulte Planeación e implementación de la clave de inquilino de Azure Information Protection.

Requisitos previos para el conector RMS

Antes de instalar el conector RMS, asegúrese de que se cumplen los siguientes requisitos.

Requisito Más información
El servicio de protección está activado Activar el servicio de protección de Azure Information Protection
Sincronización de directorios entre los bosques locales de Active Directory y Azure Active Directory Después de activar RMS, Azure Active Directory debe configurarse para que funcione con los usuarios y grupos de la base de datos de Active Directory.

Importante:Debe realizar este paso de sincronización de directorios para que el conector RMS funcione, incluso para una red de prueba. Aunque puede usar Microsoft 365 y Azure Active Directory mediante cuentas que cree manualmente en Azure Active Directory, este conector requiere que las cuentas de Azure Active Directory se sincronizan con los servicios de dominio de Active Directory; la sincronización manual de contraseñas no es suficiente.

Para obtener más información, vea los siguientes recursos:

- -

- -
Un mínimo de dos equipos miembros en los que instalar el conector RMS:

- Un equipo físico o virtual de 64 bits que ejecuta uno de los siguientes sistemas operativos: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

- Al menos 1 GB de RAM.

- Un mínimo de 64 GB de espacio en disco.

- Al menos una interfaz de red.

- Acceso a Internet a través de un firewall (o proxy web) que no requiere autenticación.

- Debe estar en un bosque o dominio que confíe en otros bosques de la organización que contengan instalaciones de servidores Exchange o SharePoint que desee usar con el conector RMS.

- .NET 4.7.2 instalado. Según el sistema, es posible que deba descargarlo e instalarlo por separado.
Para la tolerancia a errores y la alta disponibilidad, debe instalar el conector RMS en un mínimo de dos equipos.

Sugerencia:Si usa Outlook Web Access o dispositivos móviles que usan Exchange ActiveSync IRM y es fundamental que mantenga el acceso a correos electrónicos y datos adjuntos que están protegidos por Azure RMS, le recomendamos que implemente un grupo de servidores de conectores con equilibrio de carga para garantizar una alta disponibilidad.

No necesita servidores dedicados para ejecutar el conector, pero debe instalarlo en un equipo independiente de los servidores que usarán el conector.

Importante:No instale el conector en un equipo que ejecute Exchange Server, SharePoint Server o un servidor de archivos configurado para la infraestructura de clasificación de archivos si desea usar la funcionalidad de estos servicios con Azure RMS. Además, no instale este conector en un controlador de dominio.

Si tiene cargas de trabajo de servidor que desea usar con el conector RMS, pero sus servidores se encuentran en dominios que no son de confianza para el dominio desde el que desea ejecutar el conector, puede instalar servidores de conector RMS adicionales en estos dominios que no son de confianza u otros dominios en su bosque.

No hay ningún límite para el número de servidores conectores que puede ejecutar para su organización y todos los servidores de conector instalados en una organización comparten la misma configuración. Sin embargo, para configurar el conector para autorizar servidores, debe poder buscar las cuentas de servidor o servicio que desea autorizar, lo que significa que debe ejecutar la herramienta de administración RMS en un bosque desde el que puede examinar esas cuentas.
TLS versión 1.2 Para obtener más información, vea Exigir TLS 1.2 para Azure RMS Connector.

Pasos para implementar el conector RMS

El conector no comprueba automáticamente todos los requisitos previos que necesita para una implementación correcta, así que asegúrese de que estén en su lugar antes de empezar. La implementación requiere que instale el conector, configure el conector y, después, configure los servidores que desea usar el conector.

Pasos siguientes

Vaya al paso 1: Instalar y configurar el conector de Microsoft Rights Management.