De Microsoft Rights Management-connector installeren en configureren

Van toepassing op : Azure Information Protection, Windows Server 2019, 2016, 2012 R2 en Windows Server 2012

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Gebruik de volgende informatie bij het installeren en configureren van de Microsoft Rights Management (RMS)-connector. Deze procedures hebben betrekking op stap 1 t/m 4 van De Microsoft Rights Management-connector implementeren.

Voordat u begint, moet u de vereisten voor deze implementatie bekijken en controleren.

Zorg ervoor dat u op de hoogte bent van het juiste exemplaar van de onafhankelijke Azure-cloud voor uw connector om de installatie en configuratie te kunnen voltooien:

  • AzureCloud: commerciële aanbieding van Azure
  • AzureChinaCloud: Azure Operated by 21Vianet
  • AzureUSGovernment: Azure Government (GCC High/DoD)
  • AzureUSGovernment2: Azure Government 2
  • AzureUSGovernment3: Azure Government 3

De RMS-connector installeren

  1. Identificeer de computers (minimaal twee) waarop de RMS-connector moet worden uitgevoerd. Deze computers moeten voldoen aan de minimumspecificatie die wordt vermeld in de vereisten.

    Notitie

    Installeer één RMS-connector (bestaande uit meerdere servers voor hoge beschikbaarheid) per tenant (Microsoft 365 tenant of Azure AD-tenant). In tegenstelling tot Active Directory RMS hoeft u geen RMS-connector in elke forest te installeren.

  2. Download de bronbestanden voor de RMS-connector via het Microsoft Downloadcentrum.

    Als u de RMS-connector wilt installeren, moet u het bestand RMSConnectorSetup.exe downloaden.

    Daarnaast:

    • Als u het hulpprogramma voor serverconfiguratie voor de RMS-connector wilt gebruiken om de configuratie van registerinstellingen op uw on-premises servers te automatiseren, downloadt u ook GenConnectorConfig.ps1.
  3. Voer op de computer waarop u de RMS-connector wilt installeren deRMSConnectorSetup.exe administratorbevoegdheden uit.

  4. Selecteer op de welkomstpagina van microsoft Rights Management Connector Setup de optie Microsoft Rights Management-connector installeren op de computer en klik vervolgens op Volgende.

  5. Lees en ga akkoord met de licentievoorwaarden voor de RMS-connector en klik vervolgens op Volgende.

Referenties invoeren

Voordat u de RMS-connector kunt configureren, moet u eerst de cloudomgeving selecteren die overeenkomt met uw oplossing.

  • AzureCloud: commerciële aanbieding van Azure
  • AzureChinaCloud: Azure Operated by 21Vianet
  • AzureUSGovernment: Azure Government (GCC High/DoD)
  • AzureUSGovernment2: Azure Government 2
  • AzureUSGovernment3: Azure Government 3

Selecteer de juiste Azure-omgeving om uw nieuwe AAD RM-connector te verifiëren

Nadat u de cloudomgeving hebt geselecteerd, voert u uw gebruikersnaam en wachtwoord in. Voer referenties in voor een account met voldoende bevoegdheden om de RMS-connector te configureren. U kunt bijvoorbeeld typen en admin@contoso.com vervolgens het wachtwoord voor dit account opgeven.

Als u daarnaast besturingselementen voor onboarding hebt geïmplementeerd, moet u ervoor zorgen dat u de inhoud kunt beveiligen met het account dat u opgeeft. Als u bijvoorbeeld alleen de groep IT-afdeling de mogelijkheid biedt om inhoud te beveiligen, moet het account dat u hier opgeeft, lid zijn van die groep. Zo niet, dan ziet u het foutbericht: De poging om de locatie van de beheerservice en organisatie te vinden is mislukt. Zorg ervoor dat microsoft Rights Management-service is ingeschakeld voor uw organisatie.

U kunt een account met een van de volgende bevoegdheden gebruiken:

  • Globale beheerder voor uw tenant: een account dat een globale beheerder is voor uw Microsoft 365- of Azure AD-tenant.

  • Globale beheerder Azure Rights Management: een account in Azure Active Directory waaraan de globale beheerdersrol van Azure RMS is toegewezen.

  • Azure Rights Management-connectorbeheerder: een account in Azure Active Directory waaraan rechten zijn toegewezen om de RMS-connector voor uw organisatie te installeren en te beheren.

    Notitie

    De Azure Rights Management rol van globale beheerder en Azure Rights Management-connector worden toegewezen aan accounts met behulp van de cmdlet Add-AipServiceRoleBasedAdministrator.

    Als u de RMS-connector wilt uitvoeren met minimale bevoegdheden, maakt u een specifiek account voor dit doel en wijst u vervolgens als volgt de Azure RMS-connectorbeheerdersrol toe:

    1. Als u dit nog niet hebt gedaan, downloadt en installeert u de PowerShell-module AIPService. Zie Installing the AIPService PowerShell module (De AIPService PowerShell-module installeren) voor meer informatie.

      Start Windows PowerShell met de opdracht Als administrator uitvoeren en maak verbinding met de beveiligingsservice met behulp van de Verbinding maken-AipService-opdracht:

      Connect-AipService                   //provide Microsoft 365 tenant administrator or Azure RMS global administrator credentials
      
    2. Voer vervolgens de opdracht Add-AipServiceRoleBasedAdministrator uit met slechts een van de volgende parameters:

      Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role "ConnectorAdministrator"
      
      Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role "ConnectorAdministrator"
      
      Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role "ConnectorAdministrator"
      

      Typ bijvoorbeeld: Add-AipServiceRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"

      Hoewel met deze opdrachten de rol van connectorbeheerder wordt toegewezen, kunt u hier ook de rol GlobalAdministrator gebruiken.

Tijdens het installatieproces van de RMS-connector wordt alle vereiste software gevalideerd en geïnstalleerd, wordt zo nodig Internet Information Services (IIS) geïnstalleerd en wordt de connectorsoftware geïnstalleerd en geconfigureerd. Bovendien wordt Azure RMS voorbereid voor de configuratie door het volgende te maken:

  • Een lege tabel met servers die zijn geautoriseerd om de connector te gebruiken voor de communicatie met Azure RMS. Voeg later servers toe aan deze tabel.

  • Een set beveiligingstokens voor de connector die bewerkingen met Azure RMS autoriseren. Deze tokens worden gedownload via Azure RMS en geïnstalleerd in het register van de lokale computer. Ze worden beveiligd met de Data Protection Application Programming Interface (DPAPI) en de referenties voor het lokale systeemaccount.

Op de laatste pagina van de wizard, voert u de volgende handeling uit en klikt u vervolgens op Voltooien:

  • Als dit de eerste connector is die u hebt geïnstalleerd, moet u nu niet Launch connector administrator console to authorize servers (Beheerconsole van de connector starten om servers te autoriseren) selecteren. U selecteert deze optie nadat u de tweede (of laatste) RMS-connector hebt geïnstalleerd. In plaats daarvan moet u de wizard op ten minste één andere computer uitvoeren. U moet minimaal twee connectoren installeren.

  • Als u de tweede (of laatste) connector hebt geïnstalleerd, selecteert u Launch connector administrator console to authorize servers (Beheerconsole van de connector starten om servers te autoriseren).

Tip

U kunt nu een verificatietest uitvoeren om te controleren of de webservices voor de RMS-connector operationeel zijn:

  • Maak via een webbrowser verbinding met http://<connectoradres>/_wmcs/certification/servercertification.asmx en vervang <connectoradres> door het adres of de naam van de server waarop de RMS-connector is geïnstalleerd. Als er verbinding is gemaakt, wordt de pagina ServerCertificationWebService weergegeven.

Als u de RMS-connector moet verwijderen, voert u de wizard opnieuw uit en selecteert u de optie voor verwijderen.

Als u problemen ervaart tijdens de installatie, controleert u het <date and time> installatielogboek: %LocalAppData%\Temp\Microsoft Rights Management connector_ .log

Uw installatielogboek kan er bijvoorbeeld uitzien als C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Servers autoriseren voor het gebruik van de RMS-connector

Wanneer u de RMS-connector hebt geïnstalleerd op ten minste twee computers, kunt u de servers en services autoriseren waarvoor u de RMS-connector wilt gebruiken. Bijvoorbeeld servers met Exchange Server 2013 of SharePoint Server 2013.

Als u deze servers wilt definiëren, voert u het beheerprogramma voor RMS-connector uit en voegt u items toe aan de lijst met toegestane servers. U kunt dit hulpprogramma uitvoeren door aan het einde van de wizard voor het installeren van de Microsoft Rights Management-connector de optie Launch connector administration console to authorize servers (Beheerconsole van de connector starten om servers te autoriseren) te selecteren.

Wanneer u deze servers autoriseert, moet u rekening houden met het volgende:

  • Er worden speciale bevoegdheden verleend voor de servers die u toevoegt. Alle accounts die u in de connectorconfiguratie opgeeft voor de Exchange Server-rol, krijgen de rol van supergebruiker toegewezen in Azure RMS, waardoor ze toegang hebben tot alle inhoud voor deze RMS-tenant. Indien nodig wordt nu automatisch de functie voor supergebruikers ingeschakeld. Zorg dat u alleen accounts opgeeft die worden gebruikt door de Exchange-servers van uw account om het beveiligingsrisico met betrekking tot het uitbreiden van de bevoegdheden te voorkomen. Alle servers die zijn geconfigureerd als SharePoint-servers of bestandsservers die gebruikmaken van FCI, krijgen de gebruikelijke gebruikersbevoegdheden toegewezen.

  • U kunt meerdere servers toevoegen als één item door een Active Directory-beveiligingsgroep of -distributiegroep op te geven of door een serviceaccount op te geven dat wordt gebruikt door meerdere servers. Wanneer u deze configuratie gebruikt, deelt de groep servers dezelfde RMS-certificaten en worden ze allemaal beschouwd als eigenaar van inhoud die door een van deze servers is beveiligd. Als u de administratieve overhead wilt minimaliseren, kunt u het beste deze configuratie met één groep in plaats van individuele servers gebruiken om de Exchange-servers of een SharePoint-serverfarm van uw organisatie te autoriseren.

Klik op de pagina Servers allowed to utilize the connector (Servers die de connector mogen gebruiken) op Add (Toevoegen).

Notitie

Het autoriseren van servers is de equivalente configuratie in Azure RMS van de AD RMS-configuratie waarbij handmatig NTFS-rechten op ServerCertification.asmx voor de service- of serveraccounts worden toegepast en handmatig superrechten voor de Exchange-accounts worden verleend. Het toepassen van NTFS-rechten op ServerCertification.asmx is niet vereist op de connector.

Een server toevoegen aan de lijst met toegestane servers

Voer op de pagina the Allow a server to utilize the connector (Servers die de connector mogen gebruiken) de naam van het object in of blader om het object te zoeken dat u wilt autoriseren.

Het is belangrijk dat u het juiste object autoriseert. De connector kan alleen door een server worden gebruikt als het account dat de on-premises service (bijvoorbeeld Exchange of SharePoint) uitvoert, wordt geselecteerd voor autorisatie. Als de service bijvoorbeeld wordt uitgevoerd als een geconfigureerd serviceaccount, voegt u de naam van het serviceaccount toe aan de lijst. Als de service wordt uitgevoerd als lokaal systeem, voegt u de naam van het computerobject (bijvoorbeeld SERVERNAME$) toe. U kunt het beste een groep met deze accounts maken en de groep in plaats van afzonderlijke servernamen opgeven.

Meer informatie over de verschillende serverrollen:

  • Voor servers met Exchange: u moet een beveiligingsgroep opgeven en u kunt de standaardgroep (Exchange-servers) gebruiken die automatisch door Exchange wordt gemaakt en onderhouden voor alle Exchange-servers in de forest.

  • Voor servers met SharePoint:

    • Als een SharePoint 2010-server is geconfigureerd om te worden uitgevoerd als lokaal systeem (dat geen gebruikmaakt van een serviceaccount), maakt u handmatig een beveiligingsgroep in Active Directory Domain Services en voegt u de naam van het computerobject voor de server in deze configuratie toe aan deze groep.

    • Als een SharePoint-server is geconfigureerd voor het gebruik van een serviceaccount (de aanbevolen werkwijze voor SharePoint 2010 en de enige optie voor SharePoint 2016 en SharePoint 2013), doet u het volgende:

      1. Voeg het serviceaccount toe waarmee de service voor centraal beheerde SharePoint-toepassingen wordt uitgevoerd om ervoor te zorgen dat SharePoint kan worden geconfigureerd via de bijbehorende beheerdersconsole.

      2. Voeg het account toe dat is geconfigureerd voor de groep van SharePoint-toepassingen.

      Tip

      Als deze twee accounts verschillen, kunt u overwegen om één groep te maken die beide accounts bevat om de administratieve overhead te minimaliseren.

  • Voor bestandsservers die infrastructuur voor bestandsclassificatie gebruiken, worden de bijbehorende services uitgevoerd als het lokale systeemaccount. U moet dus het computeraccount voor de bestandsservers (bijvoorbeeld SERVERNAME$) of een groep die deze computeraccounts bevat autoreren.

Zodra u klaar ben met het toevoegen van servers, klikt u op Close (Sluiten).

Indien u dit nog niet hebt gedaan, moet u nu de taakverdeling configureren voor de servers waarop de RMS-connector is geïnstalleerd en overwegen of u HTTPS wilt gebruiken voor de verbindingen tussen deze servers en de servers die u zojuist hebt geautoriseerd.

Taakverdeling en hoge beschikbaarheid configureren

Nadat u het tweede of laatste exemplaar van de RMS-connector hebt geïnstalleerd, definieert u de naam van een connector-URL-server en configureert u een taakverdelingssysteem.

De URL-servernaam voor de connector kan elke naam in een door u beheerde naamruimte zijn. U kunt bijvoorbeeld een vermelding in uw DNS-systeem voor rmsconnector.contoso.com en deze vermelding configureren voor het gebruik van een IP-adres in uw taakverdelingssysteem. Er zijn geen speciale vereisten voor deze naam en de naam hoeft niet te worden geconfigureerd op de connectorservers zelf. Tenzij uw Exchange- en SharePoint-servers via internet met de connector gaan communiceren, hoeft deze naam niet op internet te worden opgelost.

Belangrijk

U kunt deze naam beter niet meer wijzigen nadat u Exchange- of SharePoint-servers hebt geconfigureerd voor het gebruik van de connector, omdat u anders alle IRM-configuraties van deze servers moet verwijderen en ze vervolgens opnieuw moet configureren.

Nadat de naam in DNS is gemaakt en is geconfigureerd voor een IP-adres, configureert u de taakverdeling voor dit adres, waarmee verkeer naar de connectorservers wordt omgeleid. Hiervoor kunt u elke IP-load balancer gebruiken, waaronder de functie Network Load Balancing (NLB) in Windows Server. Zie Load Balancing Deployment Guide (Handleiding voor taakverdelingsimplementatie) voor meer informatie.

Gebruik de volgende instellingen om het NLB-cluster te configureren:

  • Poorten: 80 (voor HTTP) of 443 (voor HTTPS)

    Zie de volgende sectie voor meer informatie over of HTTP of HTTPS moet worden gebruikt.

  • Affiniteit: geen

  • Distributiemethode: Gelijk aan

De naam die u definieert voor het systeem met gelijke taakverdeling (voor de servers waarop de RMS-connectorservice wordt uitgevoerd), is de RMS-connectornaam van uw organisatie. Deze naam gebruikt u later bij het configureren van de on-premises servers voor het gebruik van Azure RMS.

De RMS-connector configureren voor gebruik van HTTPS

Notitie

Deze configuratiestap is optioneel, maar wordt aanbevolen voor extra beveiliging.

Hoewel het gebruik van TLS of SSL optioneel is voor de RMS-connector, wordt u aangeraden deze voor elke beveiligingsgevoelige HTTP-service te gebruiken. Met deze configuratie worden de servers waarop de connector wordt uitgevoerd geverifieerd op uw Exchange- en SharePoint-servers die gebruikmaken van de connector. Daarnaast worden alle gegevens die vanaf deze servers naar de connector worden verzonden, versleuteld.

Als u de RMS-connector wilt inschakelen voor het gebruik van TLS, installeert u op elke server waarop de RMS-connector wordt uitgevoerd, een serververificatiecertificaat dat de naam bevat die u voor de connector wilt gebruiken. Als de naam van de RMS-connector die u in DNS hebt gedefinieerd bijvoorbeeld rmsconnector.contoso.com is, implementeert u een serververificatiecertificaat met de algemene naam rmsconnector.contoso.com in het certificaatonderwerp. Of geef als DNS-waarde rmsconnector.contoso.com op in de alternatieve naam van het certificaat. Het certificaat hoeft niet de naam van de server te bevatten. Vervolgens bindt u dit certificaat in IIS aan de standaardwebsite.

Als u de HTTPS-optie gebruikt, moet u ervoor zorgen dat alle servers waarop de connector wordt uitgevoerd, een geldig serververificatiecertificaat hebben dat is gekoppeld aan de basis-CA die door de Exchange- en SharePoint-servers wordt vertrouwd. Als de certificeringsinstantie (CA) die de certificaten voor de connectorservers heeft uitgeven, een certificaatintrekkingslijst (CRL) publiceert, moeten de Exchange- en SharePoint-servers de CRL bovendien kunnen downloaden.

Tip

U kunt de volgende informatie en resources gebruiken om een serververificatiecertificaat aan te vragen en te installeren en dit certificaat vervolgens te binden aan de standaardwebsite in IIS:

  • Als u Active Directory Certificate Services (AD CS) en een certificeringsinstantie (CA) voor ondernemingen gebruikt om de serververificatiecertificaten te implementeren, kunt u de webservercertificaatsjabloon dupliceren en vervolgens gebruiken. Deze certificaatsjabloon maakt gebruik van Geleverd in de aanvraag voor de onderwerpnaam van het certificaat. Dit betekent dat u de FQDN of de naam van de RMS-connector kunt opgeven voor de onderwerpnaam of de alternatieve naam voor het onderwerp wanneer u het certificaat aanvraagt.
  • Zie Configuring Internet Server Certificates (IIS 7) (Internetservercertificaten configureren (IIS 7)) in de documentatiebibliotheek Web Server (IIS) op TechNet als u een zelfstandige CA gebruikt of dit certificaat bij een ander bedrijf aanschaft.
  • Zie Add a Binding to a Site (IIS 7) (Een binding aan een site toevoegen (IIS 7)) in de documentatiebibliotheek Web Server (IIS) op TechNet om ISS te configureren voor het gebruik van het certificaat.

De RMS-connector voor een webproxyserver configureren

Als uw connectorservers zijn geïnstalleerd in een netwerk dat geen directe internetverbinding heeft en handmatige configuratie van een webproxyserver vereist voor uitgaande toegang tot internet, moet u het register op deze servers configureren voor de RMS-connector.

De RMS-connector configureren voor het gebruik van een webproxyserver

  1. Open op elke server met de RMS-connector een registereditor zoals Regedit.

  2. Ga naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Voeg de tekenreekswaarde ProxyAddress toe en stel de gegevens voor deze waarde in op http://<MyProxyDomainOrIPaddress>:<MyProxyPort>.

    Bijvoorbeeld: http://proxyserver.contoso.com:8080

  4. Sluit de Register-editor en start de server opnieuw op of voer een IISReset-opdracht uit om IIS opnieuw te starten.

Het beheerprogramma voor RMS-connector op beheercomputers installeren

U kunt het beheerprogramma voor RMS-connector uitvoeren vanaf een computer waarop de RMS-connector niet is geïnstalleerd, mits deze computer voldoet aan de volgende vereisten:

  • Een fysieke of virtuele computer met Windows Server 2019, 2016, 2012 of Windows Server 2012 R2 (alle edities), Windows 10, Windows 8.1, Windows 8.

  • Ten minste 1 GB aan RAM-geheugen.

  • Minimaal 64 GB aan schijfruimte.

  • Ten minste één netwerkinterface.

  • Toegang tot internet via een firewall (of webproxy).

Als u het beheerprogramma voor RMS-connector wilt installeren, voert u de volgende bestanden uit:

  • Voor een 64 bitscomputer: RMSConnectorSetup.exe

Als u deze bestanden nog niet hebt gedownload, kunt u dit doen via het Microsoft Downloadcentrum.

Volgende stappen

Nu de RMS-connector is geïnstalleerd en geconfigureerd, kunt u de on-premises servers configureren voor het gebruik van de connector. Ga naar Servers configureren voor de Microsoft Rights Management-connector.