Instalowanie i konfigurowanie łącznika Microsoft Rights Management Connector

Dotyczy: Azure Information Protection,Windows Server 2019, 2016, 2012 R2 i Windows Server 2012

Istotne dla programu : Ujednolicony klient etykietowania usługi AIP i klient klasyczny

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Poniższe informacje ułatwiają instalowanie i konfigurowanie łącznika usługi Microsoft Rights Management (RMS). Te procedury obejmują kroki od 1 do 4 z tematu Wdrażanie łącznika microsoft Rights Management .

Przed rozpoczęciem:

Instalowanie łącznika usług RMS

  1. Zidentyfikuj komputery (co najmniej dwa) do uruchomienia łącznika usługi RMS. Te komputery muszą spełniać minimalną specyfikację wymienioną w wymaganiach wstępnych.

    Uwaga

    Zainstaluj jeden łącznik usługi RMS (składający się z wielu serwerów w celu wysokiej dostępności) na dzierżawę (Microsoft 365 dzierżawę lub dzierżawę usługi Azure AD). W przeciwieństwie do usługi Active Directory RMS nie musisz instalować łącznika usług RMS w każdym lesie.

  2. Pobierz pliki źródłowe dla łącznika usługi RMS z Centrum pobierania Microsoft.

    Aby zainstalować łącznik usługi RMS, pobierz RMSConnectorSetup.exe.

    Ponadto jeśli chcesz użyć narzędzia do konfiguracji serwera dla łącznika usługi RMS, aby zautomatyzować konfigurację ustawień rejestru na serwerach lokalnych, pobierz równieżGenConnectorConfig.ps1 .

  3. Na komputerze, na którym chcesz zainstalować łącznik usługi RMS, uruchom program RMSConnectorSetup.exe uprawnieniami administratora.

  4. Na stronie Powitanie instalatora łącznika microsoft Rights Management wybierz pozycję Zainstaluj łącznik Microsoft Rights Management na komputerze, a następnie kliknij przycisk Dalej.

  5. Przeczytaj i zaakceptuj postanowienia End-User licencyjnej, a następnie kliknij przycisk Dalej.

  6. Na stronie Uwierzytelnianie wybierz środowisko chmury, które odpowiada Twojemu rozwiązaniu. Na przykład wybierz pozycję AzureCloud jako ofertę komercyjną platformy Azure. W przeciwnym razie wybierz jedną z następujących opcji:

    • AzureChinaCloud: Platforma Azure obsługiwana przez firmę 21Vianet
    • AzureUSGovernment: Azure Government (GCC High/DoD)
    • AzureUSGovernment2: Azure Government 2
    • AzureUSGovernment3: Azure Government 3
  7. Wybierz pozycję Zaloguj się, aby zalogować się do swojego konta. Upewnij się, że wprowadzasz poświadczenia dla konta, które ma wystarczające uprawnienia do skonfigurowania łącznika usługi RMS.

    Można użyć konta, które ma jedno z następujących uprawnień:

    • administrator globalny dzierżawy: konto, które jest administratorem globalnym dzierżawy usługi Microsoft 365 dzierżawy lub dzierżawy usługi Azure AD.

    • Administrator globalny usługi Azure Rights Management: konto w usłudze Azure Active Directory, któremu przypisano rolę administratora globalnego usługi Azure RMS.

    • Administrator łącznika usługi Azure Rights Management: konto w usłudze Azure Active Directory, któremu przyznano prawa do instalowania łącznika usługi RMS dla Twojej organizacji i administrowania tym łącznikiem.

    Rola administratora globalnego usługi Azure Rights Management oraz rola administratora łącznika usługi Azure Rights Management są przypisywane do kont przy użyciu polecenia cmdlet Add-AipServiceRoleBasedAdministrator.

    Uwaga

    Jeśli zaimplementowano kontrolki dołączania,upewnij się, że określone konto może chronić zawartość.

    Jeśli na przykład możliwość ochrony zawartości została ograniczona do grupy „Dział IT”, konto określone w tym miejscu musi być członkiem tej grupy. Jeśli nie, zostanie wyświetlony komunikat o błędzie: Próba odnajdywania lokalizacji usługi administracyjnej i organizacji nie powiodła się. Upewnij się, Rights Management Microsoft jest włączona dla Twojej organizacji.

    Porada

    Aby uruchomić łącznik usługi RMS z najmniejszymi uprawnieniami, utwórz w tym celu dedykowane konto, do Azure RMS rolę administratora łącznika usługi. Aby uzyskać więcej informacji, zobacz Tworzenie dedykowanego konta dla łącznika usługi RMS.

  8. Na ostatniej stronie kreatora wykonaj następujące czynności, a następnie kliknij przycisk Zakończ:

    • Jeśli jest to pierwszy zainstalowany łącznik , nie wybieraj w tej chwili opcji Uruchom konsolę administratora łącznika, aby autoryzować serwery. Zaznaczysz tę opcję po zainstalowaniu drugiego (lub końcowego) łącznika usług RMS. Zamiast tego uruchom ponownie kreatora na co najmniej jednym komputerze. Należy zainstalować co najmniej dwa łączniki.

    • Jeśli zainstalowano drugi (lub końcowy) łącznik, wybierz pozycję Uruchom konsolę administratora łącznika, aby autoryzować serwery.

W procesie instalacji łącznika usług RMS weryfikowane i instalowane jest całe wstępnie wymagane oprogramowanie, instalowana jest usługa Internet Information Services (IIS), jeśli nie została zainstalowana wcześniej, oraz instalowane i konfigurowane jest oprogramowanie łącznika. Azure RMS jest również przygotowany do konfiguracji, tworząc następujące elementy:

  • Pusta tabela serwerów, które są autoryzowane do używania łącznika do komunikowania się z Azure RMS. Dodaj serwery do tej tabeli później.

  • Zestaw tokenów zabezpieczających dla łącznika, które autoryzowały operacje Azure RMS. Tokeny te są pobierane z usługi Azure RMS i instalowane na komputerze lokalnym w rejestrze. Są chronione za pomocą danych interfejsu programowania aplikacji ochrony (DPAPI) oraz poświadczeń konta systemu lokalnego.

Tworzenie dedykowanego konta dla łącznika usługi RMS

W tej procedurze opisano sposób tworzenia dedykowanego konta do uruchamiania łącznika usługi Azure RMS z najmniejszymi możliwymi uprawnieniami do użycia podczas logowania się podczas instalacji łącznika usługi RMS.

  1. Jeśli jeszcze tego nie zrobiono, pobierz i zainstaluj moduł programu PowerShell usługi AIPService. Aby uzyskać więcej informacji, zobacz Instalowanie modułu AIPService programu PowerShell.

    Uruchom Windows PowerShell poleceniem Uruchom jako administrator i połącz się z usługą ochrony za pomocą polecenia Połączenie-AipService:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. Uruchom polecenie Add-AipServiceRoleBasedAdministrator, używając tylko jednego z następujących parametrów:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    Na przykład uruchom: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Mimo że te polecenia przypisz rolę administratora łącznika, możesz również użyć roli GlobalAdministrator.

Weryfikowanie instalacji

  • Aby sprawdzić, czy usługi sieci Web dla łącznika usługi RMS są operacyjne:

    Za pomocą przeglądarki sieci web połącz się z adresem http://<adres_łącznika>/_wmcs/certification/servercertification.asmx, zastępując <adres_łącznika> adresem serwera lub nazwą zainstalowanego łącznika usługi RMS.

    Po udanym połączeniu wyświetlana jest strona ServerCertificationWebService.

  • Aby sprawdzić, czy użytkownik może odczytywać lub modyfikować dokumenty chronione przez usługę RMS lub AIP:

    Na maszynie łącznika usługi RMS otwórz Podgląd zdarzeń i przejdź do dziennika Windows aplikacji. Znajdź wpis ze źródła łącznika usługi Microsoft RMS z poziomem informacji.

    Wpis powinien mieć komunikat podobny do następującego: The list of authorized accounts has been updated

    Zrzut ekranu przedstawiający zdarzenie łącznika usługi RMS w Podgląd zdarzeń.

Jeśli musisz odinstalować łącznik usługi RMS, odinstaluj go za pośrednictwem strony ustawień systemowych lub ponownie uruchamiając kreatora i wybierając opcję odinstalowania.

Jeśli podczas instalacji wystąpią jakiekolwiek problemy, sprawdź dziennik instalacji: %LocalAppData%\Temp\Microsoft Rights Management connector_ <date and time> .log

Na przykład dziennik instalacji może wyglądać podobnie do C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Autoryzowanie serwerów do korzystania z łącznika usług RMS

Po zainstalowaniu łącznika usługi RMS na co najmniej dwóch komputerach wszystko jest gotowe do autoryzowania serwerów i usług, które mają używać łącznika usługi RMS. Na przykład: serwerów z systemem Exchange Server 2013 lub SharePoint Server 2013.

Aby zdefiniować te serwery, uruchom narzędzie administracyjne łącznika usługi RMS i dodaj pozycje do listy dozwolonych serwerów. To narzędzie można uruchomić po zaznaczeniu opcji Uruchom konsolę administracyjną łącznika do autoryzowania serwerów pod koniec działania kreatora konfigurowania łącznika Microsoft Rights Management. Można też uruchomić je oddzielnie z poziomu kreatora.

Podczas autoryzowania serwerów należy pamiętać o następujących kwestiach:

  • Serwery, które dodajesz, mają przyznane specjalne uprawnienia. Wszystkim kontom określonym dla roli programu Exchange Server w konfiguracji łącznika zostanie przyznana rola administratora w usługach Azure RMS, która umożliwi im dostęp do całej zawartości tej dzierżawy RMS. Funkcja administratora jest automatycznie włączana na tym etapie w razie potrzeby. Aby uniknąć zagrożenia zabezpieczeń podniesienia uprawnień, należy wskazać tylko konta używane przez serwery programu Exchange w danej organizacji. Wszystkim serwerom skonfigurowanym jako serwery programu SharePoint lub serwery plików, które używają infrastruktury FCI, zostaną przyznane uprawnienia zwykłych użytkowników.

  • Można dodać wiele serwerów jako pojedynczy wpis, określając zabezpieczenia usługi Active Directory lub grupę dystrybucyjną albo konto usługi używane przez więcej niż jeden serwer. W przypadku korzystania z tej konfiguracji grupa serwerów ma te same certyfikaty usługi RMS i wszystkie są traktowane jako właściciele zawartości chronionej przez dowolny z nich. Aby zminimalizować ogólne koszty administracyjne, zalecane jest użycie tej konfiguracji pojedynczej grupy zamiast poszczególnych serwerów w celu autoryzowania serwerów programu Exchange w danej organizacji lub farmy serwerów programu SharePoint.

Na stronie Serwery, które mogą korzystać z łącznika wybierz pozycję Dodaj.

Uwaga

Autoryzowanie serwerów jest równoważną konfiguracją w programie Azure RMS do konfiguracji systemu AD RMS ręcznego stosowania uprawnień NTFS do pliku ServerCertification.asmx dla kont usługi lub komputera serwera oraz ręcznego udzielania uprawnień administratora do kont usługi Exchange. Stosowanie uprawnień NTFS do pliku ServerCertification.asmx nie jest wymagane w łączniku.

Dodawanie serwera do listy dozwolonych serwerów

Na stronie Zezwalaj serwerowi na korzystanie z łącznika wprowadź nazwę obiektu lub przewiń, aby zidentyfikować obiekt do autoryzacji.

Ważne jest, aby autoryzować odpowiedni obiekt. Aby serwera mógł korzystać z łącznika, do autoryzacji należy wybrać konto, na którym uruchomiona jest usługa lokalna (na przykład program Exchange lub SharePoint). Na przykład jeśli usługa jest uruchomiona jako skonfigurowane konto usługi, dodaj nazwę tego konta usługi do listy. Jeśli usługa jest uruchomiona jako System lokalny, dodaj nazwę obiektu komputera (na przykład SERVERNAME$). Najlepszym rozwiązaniem jest utworzenie grupy, która zawiera te konta i wskazanie jej zamiast nazw poszczególnych serwerów.

Więcej informacji na temat różnych ról serwerów:

  • Dla serwerów z programem Exchange: należy określić grupę zabezpieczeń i użyć domyślnej grupy (serwery Exchange Exchange), która automatycznie tworzy i utrzymuje wszystkie serwery Exchange w lesie.

  • W przypadku serwerów z SharePoint:

    • Jeśli serwer programu SharePoint 2010 jest skonfigurowany do uruchamiania jako System lokalny (nie używa konta usługi), ręcznie utwórz grupę zabezpieczeń w usługach Active Directory Domain Services, a następnie dodaj obiekt nazwy komputera dla serwera w tej konfiguracji do tej grupy.

    • Jeśli serwer programu SharePoint jest skonfigurowany do używania konta usługi (zalecana praktyka dla programu SharePoint 2010 i jedyna możliwość dla programu SharePoint 2016 i SharePoint 2013), należy wykonać następujące czynności:

      1. Dodaj konto usługi, na którym jest uruchomiona Usługa administracji centralnej programu SharePoint, aby umożliwić skonfigurowanie programu SharePoint za pomocą jego konsoli administratora.

      2. Dodaj konto skonfigurowane dla puli aplikacji programu SharePoint.

      Porada

      Jeśli te dwa konta są różne, należy rozważyć utworzenie pojedynczej grupy, który zawiera oba konta, aby zminimalizować ogólne koszty administracyjne.

  • W przypadku serwerów plików, które korzystają z infrastruktury klasyfikacji plików, skojarzone usługi są uruchamiane jako konto systemu lokalnego, dlatego należy autoryzować konto komputera dla serwerów plików (na przykład SERVERNAME$) lub grupy zawierającej te konta komputerów.

Po zakończeniu dodawania serwerów do listy kliknij przycisk Zamknij.

Jeśli jeszcze nie zostało to zrobione, należy teraz skonfigurować funkcję równoważenia obciążenia dla serwerów, które mają zainstalowany łącznik usługi RMS, i rozważyć, czy dla połączeń między tymi serwerami i serwerami, które właśnie zostały autoryzowane, należy używać protokołu HTTPS.

Konfigurowanie funkcji równoważenia obciążenia i wysokiej dostępności

Po zainstalowaniu drugiego lub ostatniego wystąpienia łącznika usługi RMS zdefiniuj nazwę serwera adresu URL łącznika i skonfiguruj system równoważenia obciążenia.

Nazwa serwera w adresie URL łącznika może być dowolną nazwą w kontrolowanym obszarze nazw. Na przykład można utworzyć wpis w systemie DNS dla usługi rmsconnector.contoso.com i skonfigurować ten wpis do używania adresu IP w systemie równoważenia obciążenia. Nie ma żadnych specjalnych wymagań dla tej nazwy i nie musi być ona skonfigurowana na samych serwerach łącznika. O ile serwery Exchange i SharePoint będą komunikować się z łącznikiem przez Internet, ta nazwa nie musi być rozpoznana w Internecie.

Ważne

Zaleca się nie zmieniać tej nazwy po skonfigurowaniu serwerów programu Exchange i SharePoint do korzystania z łącznika, ponieważ należy następnie wyczyść wszystkie konfiguracje IRM tych serwerów i skonfigurować je ponownie.

Po utworzeniu nazwy w systemie DNS i skonfigurowaniu jej dla adresu IP należy skonfigurować dla tego adresu funkcję równoważenia obciążenia kierującą ruch do serwerów łącznika. Do tego celu można wykorzystać dowolną usługę równoważenia obciążenia opartą na protokole IP, która obejmuje funkcję równoważenia obciążenia sieciowego (NLB) w systemie Windows Server. Aby uzyskać więcej informacji, zobacz Load Balancing Deployment Guide (Przewodnik wdrażania równoważenia obciążenia).

Aby skonfigurować klaster równoważenia obciążenia sieciowego, użyj następujących ustawień:

  • Porty: 80 (dla protokołu HTTP) lub 443 (dla protokołu HTTPS)

    Aby uzyskać więcej informacji na temat użycia protokołu HTTP lub HTTPS, zobacz następną sekcję.

  • Koligacja: Brak

  • Metoda dystrybucji: Equal

Nazwa zdefiniowana dla systemu z równoważeniem obciążenia (dla serwerów z uruchomioną usługą łącznika usługi RMS) jest nazwą łącznika usługi RMS w danej organizacji. Można jej użyć później, podczas konfigurowania serwerów lokalnych do korzystania z usługi Azure RMS.

Konfigurowanie łącznika usług RMS do korzystania z protokołu HTTPS

Uwaga

Ten krok konfiguracji jest opcjonalny, ale zalecany w celu zapewnienia dodatkowej ochrony.

Mimo że korzystanie z protokołu TLS lub SSL jest opcjonalne dla łącznika usług RMS, jest zalecane dla dowolnej usługi opartej na protokole HTTP wymagającej zwiększonej ochrony. Ta konfiguracja uwierzytelnia serwery z łącznikiem na serwerach programu Exchange i SharePoint używających tego łącznika. Dodatkowo wszystkie dane, które są wysyłane z tych serwerów do łącznika są zaszyfrowane.

Aby umożliwić łącznikowi usług RMS wykorzystanie protokołu TLS, na każdym serwerze z uruchomionym łącznikiem usług RMS zainstaluj certyfikat uwierzytelniania serwera zawierający nazwę używaną dla łącznika. Na przykład jeśli nazwą Twojego łącznika usług RMS zdefiniowanego w systemie DNS jest rmsconnector.contoso.com, wdróż certyfikat uwierzytelniania serwera zawierający wpis rmsconnector.contoso.com w podmiocie certyfikatu jako nazwę pospolitą. Możesz także umieścić wpis rmsconnector.contoso.com w alternatywnej nazwie certyfikatu jako wartość DNS. Certyfikat nie musi obejmować nazwy serwera. Następnie w usługach IIS, powiąż ten certyfikat z domyślną witryny sieci Web.

Jeśli używasz opcji protokołu HTTPS, upewnij się, że wszystkie serwery z uruchomionym łącznikiem mają ważny certyfikat uwierzytelniania serwera, który tworzy łańcuch z zaufanym dla serwerów programu Exchange i SharePoint głównym urzędem certyfikacji. Ponadto jeśli urząd certyfikacji (CA), który wystawił certyfikaty dla serwerów łącznika publikuje listy odwołania certyfikatów (CRL), serwery programu Exchange i programu SharePoint muszą mieć możliwość pobrania tej listy CRL.

Porada

Można użyć następujących informacji i zasobów w celu żądania i instalowania certyfikatu uwierzytelniania serwera i powiązania tego certyfikatu z domyślną witryną sieci Web w usługach IIS:

  • W przypadku Usługi certyfikatów Active Directory (AD CS) i urzędu certyfikacji przedsiębiorstwa (CA) do wdrożenia tych certyfikatów uwierzytelniania serwera można zduplikować, a następnie użyć szablonu certyfikatu serwera sieci Web. Ten szablon certyfikatu używa podanej w żądaniu nazwy podmiotu certyfikatu, co oznacza, że w przypadku żądania certyfikatu można podać nazwę FQDN łącznika usług RMS dla nazwy podmiotu certyfikatu lub alternatywnej nazwy podmiotu.

  • Jeśli używasz autonomicznego urzędu certyfikacji lub zakupisz ten certyfikat od innej firmy, zobacz Konfigurowanie certyfikatów serwera internetowego (IIS 7) w bibliotece dokumentacji serwera sieci Web (IIS) w witrynie TechNet.

  • Aby skonfigurować usługi IIS do używania certyfikatu, zobacz Dodawanie powiązania do witryny (IIS 7) w bibliotece dokumentacji serwera sieci Web (IIS) w witrynie TechNet.

Konfigurowanie łącznika usług RMS dla serwera proxy sieci Web

Jeśli serwery łącznika są zainstalowane w sieci, która nie ma bezpośredniej łączności z Internetem i wymaga ręcznej konfiguracji serwera proxy sieci Web dla wychodzącego dostępu do Internetu, należy skonfigurować rejestr na tych serwerach dla łącznika usługi RMS.

Aby skonfigurować łącznik usług RMS w celu użycia serwera proxy sieci Web

  1. Na każdym serwerze z programem łącznika usług RMS otwórz edytor rejestru, np. Regedit.

  2. Przejdź do klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Dodaj wartość ciągu ProxyAddress, a następnie ustaw dla tej wartości dane http://<Mój_adres_IP_lub_domena_serwera_proxy>:<Mój_port_serwera_proxy>.

    Na przykład: http://proxyserver.contoso.com:8080

  4. Zamknij edytor rejestru, a następnie ponownie uruchom serwer lub wykonaj polecenie IISReset w celu ponownego uruchomienia usług IIS.

Instalowanie narzędzia administracyjnego łącznika usługi RMS na komputerach administracyjnych

Narzędzie administracyjne łącznika usługi RMS można uruchomić z komputera, który nie ma zainstalowanego łącznika usług RMS, jeśli ten komputer spełnia następujące wymagania:

  • Komputer fizyczny lub wirtualny z systemem Windows Server 2019, 2016, 2012 lub Windows Server 2012 R2 (wszystkie wersje), Windows 10, Windows 8.1, Windows 8.

  • Co najmniej 1 GB pamięci RAM.

  • Co najmniej 64 GB miejsca na dysku.

  • Co najmniej jeden interfejs sieciowy.

  • Dostęp do Internetu za pośrednictwem zapory (lub internetowego serwera proxy).

  • .NET 4.7.2

Aby zainstalować narzędzie administracyjne łącznika usługi RMS, uruchom następujący plik dla komputera 64-bitowego: RMSConnectorSetup.exe

Jeśli te pliki nie zostały już pobrane, możesz to zrobić w Centrum pobierania Microsoft.

Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące łącznika usługi RMS.

Aktualizowanie instalacji łącznika usługi RMS

Zainstalowanie nowej wersji łącznika usługi RMS automatycznie spowoduje odinstalowanie wszystkich wcześniejszych wersji i zainstalowanie wymaganej wersji .NET 4.7.2. W przypadku jakichkolwiek problemów skorzystaj z poniższych instrukcji, aby ręcznie odinstalować poprzednią wersję i zainstalować program .NET 4.7.2.

  1. Na maszynie łącznika usługi RMS użyj strony ustawień & Apps &, aby odinstalować łącznik Microsoft Rights Management Connector.

    W starszych systemach opcje nieinstalowania można znaleźć na stronie Panel sterowania > Program i funkcje.

    Przejdź przez kreatora, aby odinstalować łącznik microsoft Rights Management, wybierając pozycję Zakończ na końcu.

  2. Sprawdź, czy na maszynie zainstalowano program .NET 4.7.2. Aby uzyskać więcej informacji, zobacz How to: Determine which .NET Framework versions are installed.

    W razie potrzeby pobierz i zainstaluj program .NET w wersji 4.7.2.

    Po wyświetleniu monitu uruchom ponownie maszynę, a następnie kontynuuj instalowanie nowej wersji łącznika usługi RMS.

Wymuszanie TLS 1.2 dla łącznika Azure RMS

Firma Microsoft domyślnie wyłączy starsze, niezabezpieczone protokoły TLS, w tym TLS 1.0 i TLS 1.1 w usługach RMS, domyślnie od 1 marca 2022 r. Aby przygotować się do tego wyłączenia, możesz wyłączyć obsługę tych starszych protokołów na serwerach łącznika usługi RMS i upewnić się, że system będzie nadal działać zgodnie z oczekiwaniami.

W tej sekcji opisano kroki wyłączania Transport Layer Security (TLS) 1.0 i 1.1 na serwerach łącznika usługi RMS i wymuszania korzystania z usługi TLS 1.2.

Wyłącz TLS 1.0 i 1.1 i wymusz użycie TLS 1.2

  1. Upewnij się, że program .NET Framework na maszynie łącznika usługi RMS jest w wersji 4.7.2. Aby uzyskać więcej informacji, zobacz .NET Framework w wersji 4.7.2.

  2. Pobierz i zainstaluj najnowszą dostępną wersję łącznika usługi RMS. Aby uzyskać więcej informacji, zobacz Instalowanie łącznika usługi RMS.

  3. Uruchom ponownie serwery łącznika usługi RMS i przetestuj funkcjonalność łącznika usługi RMS. Na przykład upewnij się, że lokalni użytkownicy usługi RMS mogą odczytywać zaszyfrowane dokumenty.

Aby uzyskać więcej informacji, zobacz:

Weryfikowanie użycia TLS 1.2 (zaawansowane)

Ta procedura zawiera przykład sposobu weryfikowania, czy jest używany dostęp do usługi TLS 1.2, i wymaga wcześniejszej znajomości usługi Fiddler.

  1. Pobierz i zainstaluj program Fiddler na maszynie łącznika usługi RMS.

  2. Otwórz program Fiddler, a następnie otwórz narzędzia administracyjne łącznika usługi Microsoft RMS.

  3. Wybierz pozycję Zaloguj się, chociaż nie musisz się faktycznie logować, aby ukończyć weryfikację.

  4. W oknie programu Fiddler po lewej stronie znajdź proces msconnectoradmin. Ten proces powinien być próbą nawiązania bezpiecznego połączenia z discover.aadrm.com.

    Na przykład:

    Zrzut ekranu programu Fiddler przedstawiający proces msconnectoradmin próbujący nawiązać bezpieczne połączenie za pomocą odnajdywania kropki addrm dot com.

  5. W oknie programu Fiddler po prawej stronie wybierz kartę Inspektorzy i wyświetl karty Widok tekstu dla żądania i odpowiedzi.

    Na tych kartach należy pamiętać, że komunikacja odbywa się przy użyciu TLS 1.2. Na przykład:

    Zrzut ekranu przedstawiający okno programu Fiddler z używanym TLS 1.2.

Ręczne wymuszanie użycia TLS 1.2

Jeśli musisz ręcznie wymusić korzystanie z wersji TLS 1.2, wyłączając użycie dla wszystkich wcześniejszych wersji, uruchom następujący skrypt programu PowerShell na maszynie łącznika usługi RMS.

Przestroga

Użycie skryptu w tej sekcji powoduje wyłączenie komunikacji przed użyciem TLS 1.2 dla każdych maszyn. Jeśli inne usługi na maszynie wymagają 1.0 lub 1.2 TLS, ten skrypt może spowodować przerwę w funkcjonalności tych usług.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

Następne kroki

Teraz, gdy łącznik usługi RMS jest zainstalowany i skonfigurowany, można przystąpić do konfigurowania serwerów lokalnych, aby mogły z niego korzystać. Przejdź do tematu Configuring servers for the Microsoft Rights Management connector (Konfigurowanieserwerów dla łącznika microsoft Rights Management).