Servers configureren voor de Microsoft Rights Management-connector

Van toepassing op : Azure Information Protection,Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Gebruik de volgende informatie om uw on-premises servers te configureren waarop de Azure Rights Management-connector (RMS) wordt gebruikt. Deze procedures hebben betrekking op stap 5 van De Microsoft Rights Management-connector implementeren.

Vereisten: voordat u begint, moet u ervoor zorgen dat u het volgende hebt: - De RMS-connector geïnstalleerd en geconfigureerd - Alle vereisten gecontroleerd die relevant zijn voor de servers die de connector gaan gebruiken.

Servers configureren voor het gebruik van de RMS-connector

Nadat u de RMS-connector hebt geïnstalleerd en geconfigureerd, bent u klaar om de on-premises servers te configureren die verbinding maken met de Azure Rights Management-service en deze beveiligingstechnologie te gebruiken met behulp van de connector.

Dit betekent dat u de volgende servers moet configureren:

Omgeving Servers die moeten worden geconfigureerd
Exchange 2013 Servers voor clienttoegang en postvakservers
Exchange 2016 en Exchange 2019 Postvakservers (inclusief de serverfuncties Clienttoegang en Hub Transport)
SharePoint SharePoint front-endwebservers, waaronder die servers waarop de server voor centraal beheer wordt gehost
Infrastructuur voor bestandsclassificatie Windows Servercomputers waarop File Resource Manager

Voor deze configuratie zijn registerinstellingen vereist, met de volgende opties:

Belangrijk

In beide gevallen moet u handmatig eventuele vereiste software installeren en Exchange, SharePoint en de infrastructuur voor bestandsclassificatie configureren voor het gebruik van Rights Management.

Notitie

Voor de meeste organisaties is automatische configuratie met het hulpprogramma voor serverconfiguratie voor de Microsoft RMS-connector een de betere optie, omdat deze methode efficiënter en betrouwbaarheid is dan handmatige configuratie.

Nadat u de configuratiewijzigingen op deze servers hebt aangebracht, moet u ze opnieuw opstarten als ze Exchange of SharePoint worden uitgevoerd en eerder zijn geconfigureerd voor het gebruik van AD RMS. U hoeft deze servers niet opnieuw op te starten als u deze voor het eerst configureert voor Rights Management.

De bestandsserver die is geconfigureerd voor het gebruik van de infrastructuur voor bestandsclassificatie moet u altijd opnieuw opstarten nadat u de configuratie hebt gewijzigd.

Registerinstellingen automatisch bewerken - voor- en nadelen

Bewerk uw registerinstellingen automatisch met behulp van het hulpprogramma voor serverconfiguratie voor de Microsoft RMS-connector.

Voordelen zijn onder andere:

  • Het register hoeft niet direct te worden bewerkt. Dit wordt automatisch uitgevoerd via een script.

  • Er hoeft geen Windows PowerShell-cmdlet te worden uitgevoerd voor het verkrijgen van de Microsoft RMS-URL.

  • De vereisten worden automatisch gecontroleerd (maar niet automatisch hersteld) als u het hulpprogramma lokaal uitvoert.

Nadelen zijn: wanneer u het hulpprogramma uitvoeren, moet u een verbinding maken met een server waarop de RMS-connector al wordt uitgevoerd.

Zie How to use the server configuration tool for Microsoft RMS connector (Het hulpprogramma voor serverconfiguratie gebruiken voor de Microsoft RMS-connector) voor meer informatie.

Registerinstellingen handmatig bewerken - voor- en nadelen

Voordelen zijn: er is geen verbinding met een server met de RMS-connector vereist.

Nadelen zijn:

  • Meer foutgevoelige administratieve overhead.

  • U moet uw Microsoft RMS-URL verkrijgen, waarvoor u een Windows PowerShell-opdracht moet uitvoeren.

  • U moet altijd zelf alle vereisten controleren.

Het hulpprogramma voor serverconfiguratie voor de Microsoft RMS-connector gebruiken

  1. Als u het script voor het hulpprogramma voor serverconfiguratie voor de Microsoft RMS-connector (GenConnectorConfig.ps1) nog niet hebt gedownload, downloadt u het via het Microsoft Downloadcentrum.

  2. Sla het GenConnectorConfig.ps1 op de computer waarop u het hulpprogramma gaat uitvoeren.

    Als u het hulpprogramma lokaal uitvoeren wilt, moet dit de server zijn die u wilt configureren voor communicatie met de RMS-connector. Anders kunt u het op een willekeurige computer opslaan.

  3. Bepaal hoe u het hulpprogramma uitvoert:

    Methode Beschrijving
    Lokaal Voer het hulpprogramma interactief uit vanaf de server die moet worden geconfigureerd voor communicatie met de RMS-connector.

    Tip: dit is handig voor een eenmalige configuratie, zoals een testomgeving.
    Software-implementatie Voer het hulpprogramma uit om registerbestanden te produceren die u vervolgens implementeert op een of meer relevante servers.

    Implementeer de registerbestanden met behulp van een systeembeheertoepassing die ondersteuning biedt voor software-implementatie, zoals System Center Configuration Manager.
    Groepsbeleid Voer het hulpprogramma uit om een script te produceren dat u aan een beheerder geeft die groepsbeleid voor de servers die moeten worden geconfigureerd.

    Met dit script wordt een groepsbeleidsobject gemaakt voor elk servertype dat moet worden geconfigureerd en dat de beheerder vervolgens kan toewijzen aan de relevante servers.

    Notitie

    Met dit hulpprogramma configureert u de servers die communiceren met de RMS-connector en die aan het begin van deze sectie worden weergegeven. Voer dit hulpprogramma niet uit op de servers waarop de RMS-connector wordt uitgevoerd.

  4. Begin Windows PowerShell met de optie Als beheerder uitvoeren en gebruik de opdracht Get-help om instructies te lezen over het gebruik van het hulpprogramma voor de gekozen configuratiemethode:

    Get-help .\GenConnectorConfig.ps1 -detailed
    

Als u het script wilt uitvoeren, moet u de URL invoeren van de RMS-connector voor uw organisatie.

Voer het protocolvoorvoegsel (HTTP:// of HTTPS://) en de naam van de connector in die u in DNS hebt gedefinieerd voor het adres met gelijke taakverdeling van de connector. Bijvoorbeeld https:\//connector.contoso.com.

Het hulpprogramma gebruikt vervolgens die URL om verbinding te maken met de servers waarop de RMS-connector wordt uitgevoerd en om andere parameters te verkrijgen die worden gebruikt voor het maken van de vereiste configuraties.

Belangrijk

Wanneer u dit hulpprogramma uitvoert, zorg ervoor dat u de naam opgeeft van de RMS-connector met gelijke taakverdeling voor uw organisatie en niet de naam van een enkele server waarop de RMS-connectorservice wordt uitgevoerd.

Gebruik de volgende secties voor specifieke informatie over elk servicetype:

Wanneer u clienttoepassingen installeert op afzonderlijke computers, die niet zijn geconfigureerd voor het gebruik van de connector

Wanneer deze servers zijn geconfigureerd voor het gebruik van de connector, werken clienttoepassingen die lokaal op deze servers zijn geïnstalleerd mogelijk niet met RMS. Wanneer dit gebeurt, is dit omdat de toepassingen proberen de connector te gebruiken in plaats van de RMS rechtstreeks te gebruiken, wat niet wordt ondersteund.

Als Office 2010 bovendien lokaal is geïnstalleerd op een Exchange-server, werken de IRM-functies van de client-app mogelijk vanaf die computer nadat de server is geconfigureerd voor het gebruik van de connector, maar dit wordt niet ondersteund.

In beide gevallen moet u de clienttoepassingen installeren op afzonderlijke computers die niet zijn geconfigureerd voor het gebruik van de connector. Vervolgens gebruiken ze de RMS rechtstreeks.

Belangrijk

Office uitgebreide ondersteuning van 2010 is beëindigd op 13 oktober 2020. Zie voor meer informatie AIP en verouderde Windows en Office versies.

Een Exchange-server configureren voor het gebruik van de connector

De volgende Exchange-rollen communiceren met de RMS-connector:

  • Voor Exchange 2016 en Exchange 2013: server voor clienttoegang en postvakserver

  • Voor Exchange 2019: Client access server and hub transport server

Voor het gebruik van de RMS-connector moet op deze servers waarop Exchange wordt uitgevoerd een van de volgende softwareversies worden uitgevoerd:

  • Exchange Server 2016

  • Exchange Server 2013 met Exchange 2013 cumulatieve update 3

  • Exchange Server 2019

U hebt op deze servers ook een versie 1 van de RMS-client (ook wel bekend als MSDRM) met ondersteuning voor cryptografische modus 2 voor RMS nodig. Alle Windows-besturingssystemen bevatten de MSDRM-client, maar oudere versies van de client bieden geen ondersteuning voor cryptografische modus 2. Als op uw Exchange-servers ten minste Windows Server 2012 wordt uitgevoerd, is geen verdere actie vereist omdat de RMS-client die met deze besturingssystemen wordt geïnstalleerd van zichzelf cryptografische modus 2 ondersteunt.

Belangrijk

Als deze versies of latere versies van Exchange en de MSDRM-client niet zijn geïnstalleerd, kunt u Exchange niet configureren voor het gebruik van de connector. Controleer of deze versies zijn geïnstalleerd voordat u doorgaat.

Exchange-servers configureren voor het gebruik van de connector

  1. Zorg ervoor dat de Exchange-servers zijn gemachtigd om de RMS-connector te gebruiken, met het beheerprogramma voor de RMS-connector en de informatie uit de sectie Authorizing servers to use the RMS connector (Servers machtigen om de RMS-connector te gebruiken).

    Deze configuratie is vereist, zodat Exchange de RMS-connector kan gebruiken.

  2. Voer een van de volgende handelingen uit op de Exchange-serverfuncties die met de RMS-connector communiceren:

  3. Schakel IRM-functionaliteit voor Exchange in met behulp van Exchange PowerShell-cmdlet Set-IRMConfiguration. Stel InternalLicensingEnabled $true en ClientAccessServerEnabled $true in.

Een SharePoint-server configureren voor het gebruik van de connector

Front-end SharePoint servers, waaronder de servers die als host fungeren voor de server voor centraal beheer, communiceren met de RMS-connector.

Voor het gebruik van de RMS-connector moet op deze servers waarop SharePoint wordt uitgevoerd een van de volgende softwareversies worden uitgevoerd:

  • SharePoint Server 2019

  • SharePoint Server 2016

  • SharePoint Server 2013

  • SharePoint Server 2010

Op een server met SharePoint 2019, 2016 of SharePoint 2013 moet ook een versie van de MSIPC-client 2.1 worden uitgevoerd die wordt ondersteund met de RMS-connector.

Als u er zeker van wilt zijn dat u een ondersteunde versie hebt, downloadt u de nieuwste client via het Microsoft Downloadcentrum.

Waarschuwing

Er zijn meerdere versies van de client MSIPC 2.1. Zorg er dus voor dat u versie 1.0.2004.0 of hoger hebt.

U kunt de clientversie controleren aan de hand van het versienummer van MSIPC.dll, dat zich bevindt in \Program Files\Active Directory Rights Management Services Client 2.1. In het dialoogvenster eigenschappen wordt het versienummer van de client MSIPC 2.1 weergegeven.

Op servers met SharePoint 2010 moet een versie van de MSDRM-client zijn geïnstalleerd die ondersteuning biedt voor cryptografische modus 2 voor RMS. Windows Server 2012 en Windows Server 2012 R2 bieden systeemeigen ondersteuning voor cryptografische modus 2.

SharePoint-servers configureren voor het gebruik van de connector

  1. Zorg ervoor dat de SharePoint-servers zijn gemachtigd om de RMS-connector te gebruiken, met het beheerprogramma voor de RMS-connector en de informatie uit de sectie Authorizing servers to use the RMS connector (Servers machtigen om de RMS-connector te gebruiken).

    Deze configuratie is vereist zodat uw SharePoint de RMS-connector kunnen gebruiken.

  2. Voer een van de volgende handelingen uit op de SharePoint-servers die met de RMS-connector communiceren:

  3. Schakel IRM in SharePoint in. Zie Configure Information Rights Management (SharePoint Server 2010) (Information Rights Management configureren (SharePoint Server 2010)) in de SharePoint-bibliotheek voor meer informatie.

    Wanneer u deze instructies volgt, moet u SharePoint configureren voor het gebruik van de connector door Deze RMS-server gebruiken te specificeren vervolgens de URL voor de taakverdelingsconnector in te voeren die u hebt geconfigureerd.

    Voer het protocolvoorvoegsel (HTTP:// of HTTPS://) en de naam van de connector in die u in DNS hebt gedefinieerd voor het adres met gelijke taakverdeling van de connector.

    Als de naam van uw connector bijvoorbeeld https:\//connector.contoso.com is, ziet uw configuratie eruit zoals in de volgende afbeelding:

    SharePoint-Server configureren voor de RMS-connector

    Nadat IRM is ingeschakeld op een SharePoint-farm, schakelt u IRM in op afzonderlijke bibliotheken met de optie Information Rights Management op de pagina Bibliotheekinstellingen voor elk van de bibliotheken.

Een bestandsserver configureren voor infrastructuur voor bestandsclassificatie voor het gebruik van de connector

Als u de RMS-connector en de infrastructuur voor bestandsclassificatie wilt gebruiken om Office-documenten te beveiligen, moet op de bestandsserver een van de volgende besturingssystemen worden uitgevoerd:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

Bestandsservers configureren voor het gebruik van de connector

  1. Zorg ervoor dat de bestandsservers zijn gemachtigd om de RMS-connector te gebruiken, met het beheerprogramma voor de RMS-connector en de informatie uit de sectie Authorizing servers to use the RMS connector (Servers machtigen om de RMS-connector te gebruiken).

    Deze configuratie is vereist zodat uw bestandsservers de RMS-connector kunnen gebruiken.

  2. Voer een van de volgende bewerkingen uit op de bestandsservers die zijn geconfigureerd voor infrastructuur voor bestandsclassificatie en die met de RMS-connector communiceren:

  3. Maak classificatieregels en bestandsbeheertaken om documenten te beveiligen met RMS-versleuteling en specificeer vervolgens een RMS-sjabloon om automatisch RMS-beleid toe te passen.

    Zie Overzicht van Bestandsserverbronbeheer in de documentatiebibliotheek van Windows Server voor meer informatie.

Volgende stappen

Nu de RMS-connector is geïnstalleerd en geconfigureerd en de servers zijn geconfigureerd om de connector te gebruiken, kunnen IT-beheerders en gebruikers e-mailberichten en documenten beveiligen en gebruiken via de Azure Rights Management Service.

Als u gebruikers het gemakkelijk wilt maken, implementeert u de Azure Information Protection-client, waarmee de invoegtoepassing voor Office wordt geïnstalleerd en er nieuwe opties voor klikken met de rechtermuisknop worden toegevoegd aan de Bestandenverkenner.

Zie Beheerdershandleiding voor de Azure Information Protection-client voor meer informatie.

Als u afzonderlijke sjablonen configureert voor gebruik met Exchange-transportregels of Windows Server FCI, moet de configuratie van het bereik ook de optie voor toepassingscompatibiliteit bevatten; zo moet bijvoorbeeld het selectievakje bij Show this template to all users when the applications do not support user identity (Deze sjabloon weergeven aan alle gebruikers als de toepassingen geen ondersteuning bieden voor gebruikersidentiteit) zijn ingeschakeld.

U kunt het implementatieschema voor Azure Information Protection gebruiken om te controleren of er andere configuratiestappen zijn die u mogelijk wilt uitvoeren voordat u Azure Rights Management voor gebruikers en beheerders uitrolt.

Zie De Microsoft Rights Management-connector controleren om de RMS-connector te bewaken.