A Microsoft Rights Management összekötő telepítése és konfigurálása

A következőkrevonatkozik: Azure Information Protection,Windows Server 2019, 2016, 2012 R2 és Windows Server 2012

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes jelenlegi klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

Az alábbi információk segítségével telepítheti és konfigurálhatja a Microsoft Rights Management (RMS) összekötőt. Ezek az eljárások a Microsoft Rights Management összekötő üzembe helyezésének 1. és 4. lépésére vonatkoznak.

A kezdés előtt:

  • Győződjön meg arról, hogy ellenőrizte és ellenőrizte a telepítés előfeltételeit.

  • Győződjön meg arról, hogy az összekötőnek megfelelő Azure szuverén felhőpéldányt kell használnia ahhoz, hogy be tudja fejeződni a telepítést és a konfigurációt.

Az RMS-összekötő telepítése

  1. Azonosítsa a rmS-összekötő futtatásához szükséges számítógépeket (legalább kettő). Ezeknek a számítógépeknek meg kell felelnie az előfeltételekben felsorolt minimális specifikációnak.

    Megjegyzés

    Bérlőnként (bérlőnként vagy Azure AD-bérlőn) telepíthet egyetlen rmS-összekötőt Microsoft 365 (amely több kiszolgálóból áll a magas rendelkezésre álláshoz). Az Active Directory RMS-től eltérően az egyes erdőkben nem kell rmS-összekötőt telepíteni.

  2. Töltse le az RMS-összekötő forrásfájlját a Microsoft letöltőközpontból.

    Az RMS-összekötő telepítéséhez töltse le a RMSConnectorSetup.exe.

    Ezenkívül, ha az RMS-összekötő kiszolgálókonfigurációs eszközével szeretné automatizálni a beállításjegyzék-beállítások konfigurálását a helyszíni kiszolgálókon, szintén töltse le a GenConnectorConfig.ps1.

  3. A számítógépen, amelyen telepíteni szeretné az RMS-összekötőt, futtassa a RMSConnectorSetup.exerendszergazdai jogosultságokkal.

  4. A Microsoft Rights Management Connector telepítője üdvözlőlapján válassza A Microsoft Rights Management connectortelepítése a számítógépen lehetőséget, majd kattintson a Tovább gombra.

  5. Olvassa el és fogadja el End-User licencszerződés feltételeit, majd kattintson a Tovább gombra.

  6. Az lapon válassza a megoldásának megfelelő felhőalapú környezetet. Válassza például az AzureCloud lehetőséget a kereskedelmi Azure-ajánlathoz. Ellenkező esetben válasszon az alábbi lehetőségek közül:

    • AzureChinaCloud:A 21Vianet által üzemeltetett Azure
    • AzureUSGovernment:Azure Government (GCC High/DoD)
    • AzureUSGovernment2:Azure Government 2
    • AzureUSGovernment3:Azure Government 3
  7. A bejelentkezéshez válassza a Bejelentkezés lehetőséget. Győződjön meg arról, hogy olyan fiók hitelesítő adatait adja meg, amely rendelkezik az RMS-összekötő konfigurál megfelelő jogosultságokkal.

    Az alábbi jogosultságokkal rendelkező fiókokat használhatja:

    • A bérlő globális rendszergazdája:Olyan fiók, amely a bérlői fiók Microsoft 365 Azure AD-bérlő globális rendszergazdája.

    • Azure Tartalomvédelmi szolgáltatások globális rendszergazda:Egy Azure Active Directory, amelyhez Azure RMS globális rendszergazdai szerepkör van rendelve.

    • Azure Tartalomvédelmi szolgáltatások összekötő-rendszergazda:Egy Azure Active Directory, amely jogosultságot kapott a szervezet rmS-összekötőének telepítésére és felügyeletére.

    A Azure Tartalomvédelmi szolgáltatások globális rendszergazdai és Azure Tartalomvédelmi szolgáltatások összekötő-rendszergazdai szerepkört az Add-AipServiceRoleBasedAdministrator parancsmag használatával lehet hozzárendelni a fiókokhoz.

    Megjegyzés

    Ha bevezérlőket hajtottvégre, győződjön meg arról, hogy a megadott fiók képes a tartalom védelmére.

    Ha például a tartalom védelmét az "IT-részleg" csoportra korlátozta, az itt megadott fióknak az adott csoport tagnak kell lennie. Ha nem, akkor a következő hibaüzenet jelenik meg: Sikertelen volt a felügyeleti szolgáltatás és a szervezet helyének felderíthető. Győződjön meg arról, hogy a Microsoft Rights Management szolgáltatás engedélyezve van a szervezetéhez.

    Tipp

    Ha a legkevesebb jogosultsággal szeretne futtatni egy rmS-összekötőt, hozzon létre egy dedikált fiókot erre a célra, majd rendelje hozzá az Azure RMS-összekötő rendszergazdai szerepkörét. További információ: Dedikált fiók létrehozása az RMS-összekötőhöz.

  8. A varázsló utolsó lapján tegye a következőket, majd kattintson a Befejezés gombra:

    • Ha ez az elsőösszekötő, amely telepítve van, ne válassza az Összekötő rendszergazdai konzoljának indítása lehetőséget a kiszolgálók jelenleg való engedélyéhez. Akkor válassza ezt a lehetőséget, ha telepítette a második (vagy utolsó) RMS-összekötőt. Ehelyett futtassa ismét a varázslót legalább egy másik számítógépen. Legalább két összekötőt kell telepítenie.

    • Ha telepítette a második (vagy végső) összekötőt,válassza az Összekötő rendszergazdai konzol indítása lehetőséget a kiszolgálók engedélyének beállításhoz.

Az RMS-összekötő telepítése során az összes előfeltételt érvényesíti és telepíti, az Internet Information Services (IIS) telepítve van, ha még nincs telepítve, és az összekötő szoftver telepítve és konfigurálva van. Az Azure RMS az alábbiak létrehozásával is felkészítve van a konfigurációra:

  • Egy üres kiszolgálótábla, amely jogosult az összekötő használatára az Azure RMS-ral való kommunikációhoz. Kiszolgálók hozzáadása ehhez a táblához később.

  • Az összekötő biztonsági jogkivonat-készlete, amely engedélyezi az Azure RMS-beli műveleteket. Ezeket a jogkivonatokat a rendszer letölti az Azure RMS szolgáltatásból, és telepíti a helyi számítógépen a beállításjegyzékben. A védelmet az adatvédelmi alkalmazásprogramozási felület (DPAPI) és a helyi rendszerfiók hitelesítő adatai védik.

Dedikált fiók létrehozása az RMS-összekötőhöz

Ez az eljárás azt ismerteti, hogy miként hozhat létre dedikált fiókot az Azure RMS-összekötő futtatásához a lehető legkevesebb jogosultsággal, és hogyan használhatja a bejelentkezést az RMS-összekötő telepítése során.

  1. Ha még nem tette meg, töltse le és telepítse az AIPService PowerShell modult. További információ: Az AIPService PowerShell modul telepítése.

    Indítsa Windows PowerShell Futtatás rendszergazdaként paranccsal, és csatlakozzon a védelmi szolgáltatáshoz a Csatlakozás-AipService paranccsal:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. Futtassa az Add-AipServiceRoleBasedAdministrator parancsot az alábbi paraméterek egyikével:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    Futtassa például a következőt: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Bár ezek a parancsok hozzárendelik az összekötő-rendszergazdai szerepkört, ehelyett a GlobalAdministrator szerepkört is használhatja.

A telepítés ellenőrzése

  • Annak ellenőrzése, hogy működnek-e az RMS-összekötő webszolgáltatásai:

    Csatlakozzon egy webböngészőből http:// connectoraddress > /_wmcs/certification/servercertification.asmxcímhez, cserélje le az > annak a kiszolgálónak a címére vagy nevére, amelybe telepítve van az RMS-összekötő.

    A sikeres kapcsolat megjelenít egy ServerCertificationWebService lapot.

  • Annak ellenőrzése, hogy a felhasználó képes-ea tartalomvédelem által védett dokumentumok olvasásére vagy módosítására:

    Az RMS összekötő gépén nyissa meg az Eseménynaplót, és nyissa meg az alkalmazásnaplót Windows naplóját. Keresse meg a Microsoft RMS Connector forrásának bejegyzését egy információs szinttel.

    A bejegyzéshez az alábbihoz hasonló üzenetnek kell lennie: The list of authorized accounts has been updated

    Screenshot of an RMS connector event in the Event Viewer.

Ha el kell távolítania az RMS-összekötőt, távolítsa el a rendszerbeállítások lapján keresztül, vagy futtasa újra a varázslót, és válassza ki az eltávolítási lehetőséget.

Ha problémát tapasztal a telepítés során, ellenőrizze a telepítési naplót: %LocalAppData%\Temp\Microsoft Rights Management connector_ és idő > .log

A telepítési napló például a C:\Felhasználók\Rendszergazda\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log fájlhoz hasonlóan néz ki.

A kiszolgálók mérvadó használata az RMS-összekötő használatára

Ha legalább két számítógépre telepítette az RMS-összekötőt, készen áll arra, hogy engedélyezze az RMS-összekötővel használni kívánt kiszolgálókat és szolgáltatásokat. Például a 2013-as vagy Exchange Server Server 2013 SharePoint futtató kiszolgálók.

E kiszolgálók meghatározásához futtassa az RMS összekötő-felügyeleti eszközét, és vegyen fel bejegyzéseket az engedélyezett kiszolgálók listájára. Ezt az eszközt futtathatja, amikor az Összekötő felügyeleti konzol indítása lehetőséget választja a Microsoft Rights Management connector Setup wizard (Microsoft Rights Management összekötő beállítása) varázsló végén a kiszolgálók engedélyének beállításához, vagy futtathatja a varázslótól függetlenül is.

Ha engedélyezi ezeket a kiszolgálókat, vegye figyelembe az alábbi szempontokat:

  • A hozzáadt kiszolgálók speciális jogosultságokat kapnak. Az összekötő-konfigurációban az összekötő Exchange Server szerepkörhöz megadott összes fiók rendszergazdai szerepkört kap az Azure RMS-ban, amely hozzáférést biztosít számukra az rmS-bérlő összes tartalmához. A felső felhasználói funkció automatikusan engedélyezve van, ha szükséges. A jogosultságok magasabb szintű biztonsági kockázatának elkerülése érdekében ügyeljen arra, hogy csak a szervezet saját kiszolgálói által használt Exchange adja meg. Az FCI szolgáltatást SharePoint kiszolgálóként konfigurált összes kiszolgáló szokásos felhasználói jogosultságot kap.

  • Több kiszolgálót is felvehet egyetlen bejegyzésként egy Active Directory-biztonsági vagy terjesztési csoport, illetve egy több kiszolgáló által használt szolgáltatásfiók megadásával. Amikor ezt a konfigurációt használja, a kiszolgálócsoport ugyanazokkal a tartalomvédelmi szolgáltatásokkal rendelkezik, és mind tulajdonosnak minősül a bármelyik által védett tartalom esetében. A felügyeleti feladatok minimálisra csökkentése érdekében azt javasoljuk, hogy ezt a konfigurációt egyetlen csoportban, ne pedig különálló kiszolgálókon engedélyezze a szervezet Exchange-kiszolgálóit vagy egy SharePoint-kiszolgálófarmot.

On the Servers allowed to utilize the connector page, select Add.

Megjegyzés

A kiszolgálók mérvadó konfigurációja az Azure RMS megfelelő konfigurációja az AD RMS számára, amely lehetővé teszi NTFS-jogok manuális alkalmazását a ServerCertification.asmx fájlra a szolgáltatás- vagy kiszolgálói számítógépfiókok esetében, és manuálisan extra jogokat ad a felhasználóknak az Exchange-fiókokhoz. Az összekötőn nem szükséges NTFS-jogokat alkalmazni a ServerCertification.asmx fájlra.

Kiszolgáló hozzáadása az engedélyezett kiszolgálók listájához

A Kiszolgáló használhatja az összekötőt lapon írja be az objektum nevét, vagy tallózással keresse meg az engedélyeznie kell az objektumot.

Fontos, hogy a megfelelő objektumot engedélyezze. Ahhoz, hogy egy kiszolgáló használja az összekötőt, a helyszíni szolgáltatást (például a helyszíni szolgáltatást Exchange vagy SharePoint) ki kell választania az engedélyezéshez. Ha például a szolgáltatás konfigurált szolgáltatásfiókként fut, vegye fel a szolgáltatásfiók nevét a listára. Ha a szolgáltatás Helyi rendszer néven fut, adja meg a számítógép-objektum nevét (például KISZOLGÁLÓNÉV$). Gyakorlati megoldásként hozzon létre egy csoportot, amely ezeket a fiókokat tartalmazza, és a kiszolgálónevek helyett adja meg a csoportot.

További információ a különböző kiszolgálói szerepkörökről:

  • AExchange:Meg kell adnia egy biztonsági csoportot, és használhatja az alapértelmezett csoportot (Exchange Servers), amely az Exchange automatikusan létrehozza és karbantartja az összes Exchange-kiszolgálót az erdőben.

  • A következő SharePoint:

    • Ha egy SharePoint 2010-kiszolgáló úgy van konfigurálva, hogy helyi rendszerként fusson (nem szolgáltatásfiókot használ), manuálisan hozzon létre egy biztonsági csoportot az Active Directory tartományi szolgáltatásokban, és ebben a konfigurációban vegye fel a kiszolgáló számítógépnév-objektumát ebbe a csoportba.

    • Ha egy SharePoint-kiszolgáló úgy van konfigurálva, hogy szolgáltatásfiókot használjon (az SharePoint 2010-hez ajánlott eljárás, és az egyetlen lehetőség a SharePoint 2016 és SharePoint 2013 esetén), tegye a következőket:

      1. Vegye fel azt a szolgáltatásfiókot, amely a központi SharePoint szolgáltatást futtatja, SharePoint a rendszergazdai konzolról konfigurálhatja a fiókokat.

      2. Adja hozzá az appkészlethez SharePoint fiókot.

      Tipp

      Ha ez a két fiók különbözik, érdemes egyetlen csoportot létrehozni, amely mindkét fiókot tartalmazza, hogy minimalizálja a felügyeleti költségeket.

  • A Fájlbesorolási infrastruktúrát tartalmazó fájlkiszolgálók esetében a kapcsolódó szolgáltatások helyi rendszerfiókként futnak, ezért engedélyeznie kell a számítógépfiókot a fájlkiszolgálókhoz (például SERVERNAME$) vagy egy csoportot, amely ezeket a számítógépfiókokat tartalmazza.

Ha befejezte a kiszolgálók felvételét a listára, kattintson a Bezárás gombra.

Ha még nem tette meg, konfigurálnia kell a terheléselosztást azokkal a kiszolgálókkal, amelyeken telepítve van az RMS-összekötő, és fontolja meg, hogy a HTTPS protokollt használja-e a kiszolgálók és az éppen engedélyezett kiszolgálók közötti kapcsolatokhoz.

Terheléselosztás és magas rendelkezésre állás konfigurálása

Miután telepítette az RMS-összekötő második vagy utolsó példányát, definiálja az összekötő URL-kiszolgálójának nevét, és állítson be egy terheléselosztási rendszert.

Az összekötő URL-kiszolgálójának neve bármilyen név lehet egy Ön által vezérelt névtér alatt. Létrehozhat például egy bejegyzést a dns-rendszerében a rmsconnector.contoso.com és beállíthatja úgy, hogy a terheléselosztási rendszerben IP-címet használjon. Erre a névre nincsenek speciális követelmények, és nem kell konfigurálni őket maguk az összekötő-kiszolgálókon. Hacsak a Exchange és SharePoint kiszolgálói nem fognak kommunikálni az összekötővel az interneten keresztül, ennek a névnek nem kell feloldani az interneten.

Fontos

Azt javasoljuk, hogy ne módosítsa ezt a nevet, miután konfigurálta az Exchange- vagy SharePoint-kiszolgálókat az összekötő használatára, mivel ezt követően minden tartalomvédelmi konfigurációból ki kell ürítenünk ezeket a kiszolgálókat, majd újra kell konfigurálni őket.

Miután létrehozta a nevet a DNS-ben, és konfigurálta az IP-címet, állítsa be a terheléselosztást az adott címhez, amely a forgalmat az összekötő-kiszolgálókra irányítja. Bármilyen IP-alapú terhelésegyenleg-kezelőt használhat erre a célra, amely magában foglalja a hálózati terheléselosztást (NLB) a Windows kiszolgálón. További információ: Terheléselosztási telepítési útmutató.

A hálózati terheléselosztási fürt beállítását az alábbi beállításokkal használhatja:

  • Portok:80 (HTTP esetén) vagy 443 (HTTPS esetén)

    A HTTP vagy a HTTPS protokoll használatával kapcsolatos további információkért lásd a következő szakaszt.

  • Affinity:None

  • Eloszlás módja:Egyenlő

A terheléselosztási rendszerhez (az RMS összekötő szolgáltatást futtató kiszolgálókhoz) megadott név a szervezet rmS-összekötő neve, amely később lesz használatban, amikor konfigurálja a helyszíni kiszolgálókat az Azure RMS használatára.

Az RMS-összekötő konfigurálása a HTTPS használatára

Megjegyzés

Ez a konfigurációs lépés nem kötelező, de további biztonság érdekében ajánlott.

Bár a TLS vagy az SSL használata nem kötelező az RMS-összekötőhöz, bármilyen HTTP-alapú, biztonságérzékeny szolgáltatáshoz ajánljuk. Ez a konfiguráció hitelesíti az összekötőt a Exchange összekötőt SharePoint összekötőt futtató kiszolgálókat. Ezenkívül a kiszolgálókról az összekötőre küldött összes adat titkosítva van.

Ha engedélyezni szeretné az RMS-összekötőnek a TLS használatát, telepítsen egy kiszolgálói hitelesítési tanúsítványt az összekötőhöz használt nevet tartalmazó kiszolgálói hitelesítési tanúsítványt minden olyan kiszolgálón, amely futtatja az rmS-összekötőt. Ha például a DNS-ben definiált RMS-összekötő neve rmsconnector.contoso.com,telepítsen egy olyan kiszolgálói hitelesítési tanúsítványt, amely közös névként tartalmazza rmsconnector.contoso.com tanúsítvány tulajdonosának nevét. Másik lehetőségként adja rmsconnector.contoso.com tanúsítvány helyettesítő nevét a DNS-értékként. A tanúsítványnak nem kell tartalmaznia a kiszolgáló nevét. Ezután az IIS-ban kösse a tanúsítványt az alapértelmezett webhelyhez.

Ha a HTTPS lehetőséget használja, győződjön meg arról, hogy az összekötőt futtató összes kiszolgáló rendelkezik olyan érvényes kiszolgálóhitelesítési tanúsítvánnyal, amely egy olyan legfelső szintű hitelesítésszolgáltatóhoz csatlakozik, amelyben a Exchange és a SharePoint is megbízik. Ezenkívül, ha az összekötő-kiszolgálók tanúsítványait kibocsátó hitelesítésszolgáltató közzétesz egy tanúsítvány-visszavonási listát (CRL), az Exchange és az SharePoint-kiszolgálóknak le kell tölteniük ezt a visszavonási listát.

Tipp

Az alábbi információk és források segítségével kérheti és telepítheti a kiszolgálói hitelesítési tanúsítványt, és a tanúsítványt az IIS alapértelmezett webhelyéhez kötheti:

  • Ha Active Directory tanúsítványszolgáltatások (AD CS) és egy vállalati hitelesítésszolgáltató segítségével telepíti ezeket a kiszolgálói hitelesítési tanúsítványokat, duplikálhatja, majd használhatja a webkiszolgálói tanúsítványsablont. Ez a tanúsítványsablon a tanúsítvány tulajdonosának igénylésében megadott nevet használja, ami azt jelenti, hogy a tanúsítvány kérésekor meg lehet adni a tanúsítvány tulajdonosának vagy helyettesítő nevének az rmS-összekötő teljes tartománynevét.

  • Ha önállóhitelesítésszolgáltatót használ, vagy egy másik cégtől vásárolja meg a tanúsítványt, tekintse meg az Internet Server-tanúsítványok (IIS 7) konfigurálása a Webkiszolgáló (IIS) dokumentációtárában a TechNet webhelyencímű dokumentumot.

  • Ha be szeretne állítani egy IIS-ta tanúsítvány használatára, tekintse meg a TechNet Web Server (IIS) dokumentációtárában található Kötés hozzáadása egy webhelyhez (IIS 7)címet.

Az RMS-összekötő konfigurálása webes proxykiszolgálóhoz

Ha az összekötő kiszolgálók olyan hálózatra vannak telepítve, amelyhez nincs közvetlen internetkapcsolat, és a kimenő interneteléréshez manuálisan kell konfigurálni egy web proxykiszolgálót, konfigurálnia kell a beállításjegyzéket ezeken a kiszolgálókon az RMS-összekötőhöz.

Az RMS-összekötő beállítása webes proxykiszolgáló használatára

  1. Az RMS-összekötőt futtató minden egyes kiszolgálón nyisson meg egy beállításszerkesztőt, például a Regeditet.

  2. Navigáljon a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Adja meg a ProxyAddress karakterláncértékét, majd állítsa az érték Data (Adatok) értékét a http:// MyProxyDomainOrIPaddress : < MyProxyPort > értékre.

    Például: http://proxyserver.contoso.com:8080

  4. Zárja be a beállításszerkesztőt, majd indítsa újra a kiszolgálót, vagy az IISReset parancsot végrehajtva indítsa újra az IIS-t.

Az RMS összekötő-felügyeleti eszközének telepítése felügyeleti számítógépekre

Ha a számítógép megfelel az alábbi követelményeknek, futtathatja az RMS-összekötő felügyeleti eszközét egy olyan számítógépről, amely nincs telepítve az RMS-összekötővel:

  • Fizikai vagy virtuális számítógép, Windows Server 2019, 2016, 2012 vagy Windows Server 2012 R2 (minden kiadás), Windows 11, Windows 10, Windows 8.1, Windows 8.

  • Legalább 1 GB RAM.

  • Legalább 64 GB lemezterület.

  • Legalább egy hálózati felület.

  • Az internet tűzfalon (vagy webes proxyn) keresztüli elérése.

  • .NET 4.7.2

Az RMS összekötő-felügyeleti eszköz telepítéséhez futtassa a következő fájlt egy 64 bites számítógéphez: RMSConnectorSetup.exe

Ha még nem letöltötte ezeket a fájlokat, azt a Microsoft letöltőközpontban tudja megtenni.

További információ: Az RMS-összekötő előfeltételei.

A tartalomvédelmi szolgáltatás összekötő telepítésének frissítése

Az RMS-összekötő új verziójának telepítése automatikusan eltávolítja a korábbi verziókat, és telepíti a szükséges .NET 4.7.2-es verziót. Ha bármilyen probléma lép fel, az alábbi utasításokat követve távolítsa el manuálisan a korábbi verziót, és telepítse a .NET 4.7.2-es verzióját.

  1. Távolítsa el a Microsoft Rights Management Connectortaz RmS-összekötőt az Alkalmazásbeállítások lapon.

    A régebbi rendszereken a telepítési lehetőségek a Vezérlőpult Programok és szolgáltatások lapján találják.

    A varázslóban navigálva távolítsa el a Microsoft Rights Management összekötőt, és kattintson a befejezés gombra a lap végén.

  2. Ellenőrizze, hogy a számítógépre telepítve van-e a .NET 4.7.2. További információ: A telepített .NET-keretrendszer meghatározása.

    Ha szükséges, töltse le és telepítse a .NET 4.7.2-es verzióját.

    Amikor a rendszer kéri, indítsa újra a gépet, majd folytassa az új RMS-összekötő verzió telepítésével.

A TLS 1.2 kényszerítés az Azure RMS-összekötőhöz

A Microsoft 2022. március 1-jén alapértelmezés szerint letiltja a régebbi, nem biztonságos TLS-protokollokat, többek között a TLS 1.0-t és a TLS 1.1-et az RMS-szolgáltatásokban. A felmentésre való felkészüléshez kikapcsolhatja ezeknek a régebbi protokolloknak a támogatását az RMS Connector-kiszolgálókon, és biztosíthatja, hogy a rendszer a várt módon működjön.

Ez a szakasz a Transport Layer Security (TLS) 1.0-s és 1.1-es (RMS Connector) kiszolgálókon való letiltásához szükséges lépéseket ismerteti, és kényszeríti a TLS 1.2 használatát.

A TLS 1.0 és 1.1 kikapcsolása és a TLS 1.2 használatának kényszerítve

  1. Győződjön meg arról, hogy a .NET-keretrendszer az RMS Connector gépen a 4.7.2-es verziójú. További információt a .NET-keretrendszer 4.7.2-es verziójában található.

  2. Töltse le és telepítse az RMS Connector legújabb elérhető verzióját. További információért lásd: RmS-összekötő telepítése.

  3. Indítsa újra az RMS Connector-kiszolgálókat, és tesztelje az RMS Connector működését. Ellenőrizze például, hogy a helyszíni tartalomvédelmi szolgáltatás felhasználói el tudják-e olvasni a titkosított dokumentumokat.

További információ:

A TLS 1.2 használatának ellenőrzése (speciális)

Ez az eljárás egy példát mutat arra, hogy miként ellenőrizheti, hogy a TLS 1.2-es et használja-e, és hogy szükséges-e a Fiddlerelőzetes ismerete.

  1. Töltse le és telepítse a Fiddler szoftvert az RMS Connector gépet.

  2. Nyissa meg a Fiddler, majd a Microsoft RMS Connector felügyeleti eszközeit.

  3. Válassza a Bejelentkezéslehetőséget, de nem kell ténylegesen bejelentkeznie az ellenőrzés befejezéséhez.

  4. A bal oldali Fiddler ablakban keresse meg a msconnectoradmin folyamatot. Ennek az eljárásnak egy biztonságos kapcsolatot kell létesítenie a discover.aadrm.com.

    Például:

    Screenshot of Fiddler showing the msconnectoradmin process trying to establish a secure connection with discover dot addrm dot com.

  5. A jobb oldalon található Fiddler ablakban válassza a Felügyelők fület, és tekintse meg a kéréshez és a válaszhoz a Szövegnézet fület.

    A lapokon vegye figyelembe, hogy a kommunikáció a TLS 1.2-es felhasználásával történik. Például:

    Képernyőkép egy Fiddler-ablakról, melyen látható a TLS 1.2 használata.

A TLS 1.2 manuális használata

Ha manuálisan kell kényszerítenie a TLS 1.2 használatát, kapcsolja ki a korábbi verziók használatát, futtassa az alábbi PowerShell-parancsprogramot az RMS-összekötő számítógépen.

Figyelem

Az ebben a szakaszban található parancsfájl használatával gépenkénti alapon kikapcsolja a TLS 1.2-es előzetes kommunikációt. Ha a gépen más szolgáltatásokhoz TLS 1.0-s vagy 1.2-es szükséges, ez a parancsfájl működésbeli működést okozhat a szolgáltatásokban.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

További lépések

Most, hogy telepítette és konfigurálta az RMS-összekötőt, készen áll arra, hogy a helyszíni kiszolgálókat konfigurálja a használatra. A Kiszolgálók konfigurálása a Microsoft Rights Management-összekötőhöz.