Instalando e configurando o conector do Microsoft Rights Management

Use as informações a seguir para ajudá-lo a instalar e configurar o conector Microsoft Rights Management (RMS). Esses procedimentos abrangem as etapas 1 a 4 de Implantando o conector do Microsoft Rights Management.

Antes de começar:

• Certifique-se de ter revisado e verificado os pré-requisitos para essa implantação.

• Verifique se você está ciente da instância de nuvem soberana do Azure correta para que seu conector possa concluir a instalação e a configuração.

Instalação do conector RMS

1. Identifique os computadores (mínimo de dois) para executar o conector RMS. Esses computadores devem atender às especificações mínimas listadas nos pré-requisitos.

   Nota

   Instale um único conector RMS (que consiste em vários servidores para alta disponibilidade) por locatário (locatário do Microsoft 365 ou locatário do Microsoft Entra). Ao contrário do Ative Directory RMS, não é necessário instalar um conector RMS em cada floresta.

2. Transfira os ficheiros de origem para o conector RMS a partir do Centro de Transferências da Microsoft.

   Para instalar o conector RMS, transfira RMSConnectorSetup.exe.

   Além disso, se você quiser usar a ferramenta de configuração do servidor para o conector RMS, para automatizar a configuração das configurações do Registro em seus servidores locais, baixe também GenConnectorConfig.ps1.

3. No computador no qual pretende instalar o conector RMS, execute RMSConnectorSetup.exe com privilégios de administrador.

4. Na página Bem-vindo da Instalação do Microsoft Rights Management Connector, selecione Instalar o conector do Microsoft Rights Management no computador e clique em Avançar.

5. Leia e aceite os termos do Contrato de Licença de Usuário Final e clique em Avançar.

6. Na página Autenticação, selecione o ambiente de nuvem que corresponde à sua solução. Por exemplo, selecione AzureCloud para a oferta comercial do Azure. Caso contrário, selecione uma das seguintes opções:

   • AzureChinaCloud: Azure operado pela 21Vianet
   • AzureUSGovernment: Azure Government (GCC High/DoD)
   • AzureUSGovernment2: Azure Government 2
   • AzureUSGovernment3: Azure Government 3

7. Selecione Iniciar sessão para iniciar sessão na sua conta. Certifique-se de que introduz credenciais para uma conta que tenha privilégios suficientes para configurar o conector RMS.

   Você pode usar uma conta que tenha um dos seguintes privilégios:

   • Administrador global para seu locatário: uma conta que é um administrador global para seu locatário do Microsoft 365 ou locatário do Microsoft Entra.

   • Administrador global do Azure Rights Management: uma conta no Microsoft Entra ID à qual foi atribuída a função de administrador global do Azure RMS.

   • Administrador do conector do Azure Rights Management: uma conta no Microsoft Entra ID à qual foram concedidos direitos para instalar e administrar o conector RMS para a sua organização.

   A função de administrador global do Azure Rights Management e a função de administrador do conector do Azure Rights Management são atribuídas a contas usando o cmdlet Add-AipServiceRoleBasedAdministrator .

   Nota

   Se você implementou controles de integração, certifique-se de que a conta especificada seja capaz de proteger o conteúdo.

   Por exemplo, se você restringiu a capacidade de proteger conteúdo ao grupo "Departamento de TI", a conta especificada aqui deverá ser membro desse grupo. Caso contrário, você verá a mensagem de erro: A tentativa de descobrir o local do serviço de administração e da organização falhou. Verifique se o serviço Microsoft Rights Management está habilitado para sua organização.

   Gorjeta

   Para executar o conector RMS com menos privilégios, crie uma conta dedicada para esta finalidade à qual atribui a função de administrador do conector do Azure RMS. Para obter mais informações, consulte Criar uma conta dedicada para o conector RMS.

8. Na página final do assistente, faça o seguinte e clique em Concluir:

   • Se este for o primeiro conector instalado, não selecione Iniciar console do administrador do conector para autorizar servidores neste momento. Você selecionará essa opção depois de instalar seu segundo (ou final) conector RMS. Em vez disso, execute o assistente novamente em pelo menos um outro computador. Você deve instalar um mínimo de dois conectores.

   • Se você tiver instalado seu segundo (ou final) conector, selecione Iniciar console do administrador do conector para autorizar servidores.

Durante o processo de instalação do conector RMS, todo o software de pré-requisito é validado e instalado, os Serviços de Informações da Internet (IIS) são instalados se ainda não estiverem presentes e o software do conector é instalado e configurado. O Azure RMS também está preparado para configuração criando o seguinte:

• Uma tabela vazia de servidores autorizados a usar o conector para se comunicar com o Azure RMS. Adicione servidores a esta tabela mais tarde.

• Um conjunto de tokens de segurança para o conector, que autorizam operações com o Azure RMS. Esses tokens são baixados do Azure RMS e instalados no computador local no Registro. Eles são protegidos usando a interface de programação de aplicativos de proteção de dados (DPAPI) e as credenciais da conta do Sistema Local.

Criar uma conta dedicada para o conector RMS

Este procedimento descreve como criar uma conta dedicada para executar o conector do Azure RMS com o mínimo de privilégios possível, para usar ao entrar durante a instalação do conector RMS.

1. Se ainda não o fez, transfira e instale o módulo AIPService PowerShell. Para obter mais informações, consulte Instalando o módulo AIPService PowerShell.

   Inicie o Windows PowerShell com o comando Executar como administrador e conecte-se ao serviço de proteção usando o comando Connect-AipService:

   Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
   

2. Execute o comando Add-AipServiceRoleBasedAdministrator , usando apenas um dos seguintes parâmetros:

   Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
   

   Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
   

   Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
   

   Por exemplo, execute: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Embora esses comandos atribuam a função de administrador do conector, você também pode usar a função GlobalAdministrator .

Verificar a instalação

• Para verificar se os serviços Web para o conector RMS estão operacionais:

  Em um navegador da Web, conecte-se a http:// connectoraddress/_wmcs/certification/servercertification.asmx, substituindo< connectoraddress>> pelo endereço ou nome do servidor que tem o conector RMS instalado.<

  Uma conexão bem-sucedida exibe uma página ServerCertificationWebService .

• Para verificar a capacidade do usuário de ler ou modificar documentos protegidos por RMS ou AIP:

  Na máquina do conector RMS, abra o Visualizador de Eventos e vá para o Log do Windows do Aplicativo. Encontre uma entrada da fonte do Microsoft RMS Connector , com um Nível de Informação.

  A entrada deve ter uma mensagem semelhante à seguinte: The list of authorized accounts has been updated

  

Se você precisar desinstalar o conector RMS, desinstale através da página de configurações do sistema ou executando o assistente novamente e selecionando a opção de desinstalação.

Se tiver algum problema durante a instalação, verifique o registo de instalação: %LocalAppData%\Temp\Microsoft Rights Management connector_<data e hora>.log

Por exemplo, seu log de instalação pode ser semelhante ao C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Autorizando servidores a usar o conector RMS

Quando tiver instalado o conector RMS em pelo menos dois computadores, estará pronto para autorizar os servidores e serviços que pretende utilizar o conector RMS. Por exemplo, servidores que executam o Exchange Server 2013 ou o SharePoint Server 2013.

Para definir esses servidores, execute a ferramenta de administração do conector RMS e adicione entradas à lista de servidores permitidos. Você pode executar essa ferramenta ao selecionar Iniciar console de administração do conector para autorizar servidores no final do assistente de Instalação do conector do Microsoft Rights Management ou pode executá-la separadamente do assistente.

Ao autorizar esses servidores, esteja ciente das seguintes considerações:

• Os servidores que você adiciona recebem privilégios especiais. Todas as contas especificadas para a função Exchange Server na configuração do conector recebem a função de superusuário no Azure RMS, que lhes dá acesso a todo o conteúdo para esse locatário do RMS. O recurso de superusuário é ativado automaticamente neste momento, se necessário. Para evitar o risco de segurança da elevação de privilégios, tenha cuidado para especificar apenas as contas que são usadas pelos servidores Exchange da sua organização. Todos os servidores configurados como servidores do SharePoint ou servidores de arquivos que usam FCI recebem privilégios de usuário regular.

• Você pode adicionar vários servidores como uma única entrada especificando um grupo de segurança ou distribuição do Ative Directory ou uma conta de serviço usada por mais de um servidor. Quando utiliza esta configuração, o grupo de servidores partilha os mesmos certificados RMS e todos são considerados proprietários do conteúdo que qualquer um deles protegeu. Para minimizar as despesas gerais administrativas, recomendamos que você use essa configuração de um único grupo em vez de servidores individuais para autorizar os servidores Exchange da sua organização ou um farm de servidores do SharePoint.

Na página Servidores autorizados a utilizar o conector, selecione Adicionar.

Nota

A autorização de servidores é a configuração equivalente no Azure RMS à configuração do AD RMS de aplicar manualmente direitos NTFS a ServerCertification.asmx para as contas de computador de serviço ou servidor e conceder manualmente superdireitos de utilizador às contas do Exchange. A aplicação de direitos NTFS a ServerCertification.asmx não é necessária no conector.

Adicionar um servidor à lista de servidores permitidos

Na página Permitir que um servidor utilize o conector , digite o nome do objeto ou procure para identificar o objeto a ser autorizado.

É importante que você autorize o objeto correto. Para que um servidor use o conector, a conta que executa o serviço local (por exemplo, Exchange ou SharePoint) deve ser selecionada para autorização. Por exemplo, se o serviço estiver sendo executado como uma conta de serviço configurada, adicione o nome dessa conta de serviço à lista. Se o serviço estiver sendo executado como Sistema Local, adicione o nome do objeto de computador (por exemplo, SERVERNAME$). Como prática recomendada, crie um grupo que contenha essas contas e especifique o grupo em vez de nomes de servidores individuais.

Mais informações sobre as diferentes funções de servidor:

• Para servidores que executam o Exchange: você deve especificar um grupo de segurança e pode usar o grupo padrão (Exchange Servers) que o Exchange cria e mantém automaticamente de todos os servidores Exchange na floresta.

• Para servidores que executam o SharePoint:

  • Se um servidor do SharePoint 2010 estiver configurado para ser executado como Sistema Local (não estiver usando uma conta de serviço), crie manualmente um grupo de segurança nos Serviços de Domínio Ative Directory e adicione o objeto de nome do computador para o servidor nessa configuração a esse grupo.

  • Se um servidor do SharePoint estiver configurado para usar uma conta de serviço (a prática recomendada para o SharePoint 2010 e a única opção para o SharePoint 2016 e o SharePoint 2013), faça o seguinte:

    1. Adicione a conta de serviço que executa o serviço da Administração Central do SharePoint para permitir que o SharePoint seja configurado a partir do console do administrador.

    2. Adicione a conta configurada para o Pool de Aplicativos do SharePoint.

    Gorjeta

    Se essas duas contas forem diferentes, considere a criação de um único grupo que contenha ambas as contas para minimizar as despesas gerais administrativas.

• Para servidores de arquivos que usam a Infraestrutura de Classificação de Arquivos, os serviços associados são executados como a conta Sistema Local, portanto, você deve autorizar a conta de computador para os servidores de arquivos (por exemplo, SERVERNAME$) ou um grupo que contenha essas contas de computador.

Quando terminar de adicionar servidores à lista, clique em Fechar.

Se ainda não tiver feito isso, agora você deve configurar o balanceamento de carga para os servidores que têm o conector RMS instalado e considerar se deve usar HTTPS para as conexões entre esses servidores e os servidores que você acabou de autorizar.

Configurando o balanceamento de carga e a alta disponibilidade

Depois de instalar a segunda instância ou a última instância do conector RMS, defina um nome de servidor de URL do conector e configure um sistema de balanceamento de carga.

O nome do servidor URL do conector pode ser qualquer nome sob um namespace que você controla. Por exemplo, você pode criar uma entrada em seu sistema DNS para rmsconnector.contoso.com e configurar essa entrada para usar um endereço IP em seu sistema de balanceamento de carga. Não há requisitos especiais para esse nome e ele não precisa ser configurado nos próprios servidores conectores. A menos que seus servidores Exchange e SharePoint estejam se comunicando com o conector pela Internet, esse nome não precisa ser resolvido na Internet.

Importante

Recomendamos que você não altere esse nome depois de configurar os servidores Exchange ou SharePoint para usar o conector, porque você precisa limpar esses servidores de todas as configurações de IRM e, em seguida, reconfigurá-los.

Depois que o nome for criado no DNS e configurado para um endereço IP, configure o balanceamento de carga para esse endereço, que direciona o tráfego para os servidores conectores. Você pode usar qualquer balanceador de carga baseado em IP para essa finalidade, que inclui o recurso NLB (Balanceamento de Carga de Rede) no Windows Server. Para obter mais informações, consulte Guia de implantação do balanceamento de carga.

Use as seguintes configurações para configurar o cluster NLB:

• Portas: 80 (para HTTP) ou 443 (para HTTPS)

  Para obter mais informações sobre se deve usar HTTP ou HTTPS, consulte a próxima seção.

• Afinidade: Nenhum

• Método de distribuição: Igual

Esse nome que você define para o sistema com balanceamento de carga (para os servidores que executam o serviço de conector RMS) é o nome do conector RMS da sua organização que você usa mais tarde, quando configura os servidores locais para usar o Azure RMS.

Configurando o conector RMS para usar HTTPS

Nota

Esta etapa de configuração é opcional, mas recomendada para segurança adicional.

Embora o uso de TLS ou SSL seja opcional para o conector RMS, recomendamos isso para qualquer serviço sensível à segurança baseado em HTTP. Essa configuração autentica os servidores que executam o conector nos servidores Exchange e SharePoint que usam o conector. Além disso, todos os dados enviados desses servidores para o conector são criptografados.

Para permitir que o conector RMS use TLS, em cada servidor que executa o conector RMS, instale um certificado de autenticação de servidor que contenha o nome que você usa para o conector. Por exemplo, se o nome do conector RMS definido no DNS for rmsconnector.contoso.com, implante um certificado de autenticação de servidor que contenha rmsconnector.contoso.com no assunto do certificado como o nome comum. Ou especifique rmsconnector.contoso.com no nome alternativo do certificado como o valor DNS. O certificado não precisa incluir o nome do servidor. Em seguida, no IIS, vincule esse certificado ao site padrão.

Se você usar a opção HTTPS, certifique-se de que todos os servidores que executam o conector tenham um certificado de autenticação de servidor válido que seja encadeado a uma autoridade de certificação raiz na qual seus servidores Exchange e SharePoint confiem. Além disso, se a autoridade de certificação (CA) que emitiu os certificados para os servidores conectores publicar uma lista de revogação de certificados (CRL), os servidores Exchange e SharePoint deverão ser capazes de baixar essa CRL.

Gorjeta

Você pode usar as seguintes informações e recursos para ajudá-lo a solicitar e instalar um certificado de autenticação de servidor e para vincular esse certificado ao Site Padrão no IIS:

• Se você usar os Serviços de Certificados do Ative Directory (AD CS) e uma autoridade de certificação (CA) corporativa para implantar esses certificados de autenticação de servidor, poderá duplicar e usar o modelo de certificado do Servidor Web. Este modelo de certificado usa Fornecido na solicitação para o nome da entidade do certificado, o que significa que você pode fornecer o FQDN do nome do conector RMS para o nome da entidade do certificado ou nome alternativo da entidade quando solicitar o certificado.

• Se você usar uma autoridade de certificação autônoma ou comprar esse certificado de outra empresa, consulte Configurando certificados de servidor da Internet (IIS 7) na biblioteca de documentação do servidor Web (IIS) no TechNet.

• Para configurar o IIS para usar o certificado, consulte Adicionar uma associação a um site (IIS 7) na biblioteca de documentação do Servidor Web (IIS) no TechNet.

Configurando o conector RMS para um servidor proxy da Web

Se os servidores de conexão estiverem instalados em uma rede que não tenha conectividade direta com a Internet e exija a configuração manual de um servidor proxy da Web para acesso de saída à Internet, você deverá configurar o registro nesses servidores para o conector RMS.

Para configurar o conector RMS para usar um servidor proxy da Web

1. Em cada servidor que executa o conector RMS, abra um editor do Registro, como o Regedit.

2. Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

3. Adicione o valor da cadeia de caracteres de ProxyAddress e, em seguida, defina os dados para esse valor como http://< MyProxyDomainOrIPaddress>:<MyProxyPort>

   Por exemplo: https://proxyserver.contoso.com:8080

4. Feche o editor de registo e, em seguida, reinicie o servidor ou execute um comando IISReset para reiniciar o IIS.

Instalar a ferramenta de administração do conector RMS em computadores administrativos

Pode executar a ferramenta de administração do conector RMS a partir de um computador que não tenha o conector RMS instalado, se esse computador cumprir os seguintes requisitos:

• Um computador físico ou virtual executando o Windows Server 2019, 2016, 2012 ou Windows Server 2012 R2 (todas as edições), Windows 11, Windows 10, Windows 8.1, Windows 8.

• Pelo menos 1 GB de RAM.

• Um mínimo de 64 GB de espaço em disco.

• Pelo menos uma interface de rede.

• Acesso à internet através de um firewall (ou proxy web).

• .NET 4.7.2

Para instalar a ferramenta de administração do conector RMS, execute o seguinte ficheiro para um computador de 64 bits: RMSConnectorSetup.exe

Se ainda não tiver transferido estes ficheiros, pode fazê-lo a partir do Centro de Transferências da Microsoft.

Para obter mais informações, consulte Pré-requisitos para o conector RMS.

Atualizando a instalação do conector RMS

A instalação de uma nova versão do conector RMS desinstala automaticamente quaisquer versões anteriores e instala o .NET 4.7.2 necessário. Se você tiver algum problema, use as instruções a seguir para desinstalar manualmente uma versão anterior e instalar o .NET 4.7.2.

1. Na máquina do conector RMS, use a página Configurações de aplicativos e recursos para desinstalar o Microsoft Rights Management Connector.

   Em sistemas legados, você pode encontrar opções de desinstalação na página Programa e Recursos do Painel de Controle>.

   Navegue pelo assistente para desinstalar o conector do Microsoft Rights Management, selecionando Concluir no final.

2. Verifique se a sua máquina tem o .NET 4.7.2 instalado. Para obter mais informações, consulte Como determinar quais versões do .NET Framework estão instaladas.

   Se precisar, baixe e instale o .NET versão 4.7.2.

   Reinicie o computador quando solicitado e continue com a instalação da nova versão do conector RMS.

Impor o TLS 1.2 para o Conector do Azure RMS

A Microsoft desativará protocolos TLS mais antigos e inseguros, incluindo TLS 1.0 e TLS 1.1 nos Serviços RMS por padrão em 1º de março de 2022. Para se preparar para essa alteração, convém desativar o suporte para esses protocolos mais antigos nos servidores do RMS Connector e garantir que o sistema continue funcionando conforme o esperado.

Esta seção descreve as etapas para desabilitar o Transport Layer Security (TLS) 1.0 e 1.1 nos servidores do RMS Connector e forçar o uso do TLS 1.2.

Desligue o TLS 1.0 e 1.1 e force o uso do TLS 1.2

1. Certifique-se de que o .NET framework na máquina RMS Connector é a versão 4.7.2. Para obter mais informações, consulte .NET framework versão 4.7.2.

2. Transfira e instale a versão mais recente disponível do RMS Connector. Para obter mais informações, consulte Instalando o conector RMS.

3. Reinicialize os servidores do RMS Connector e teste a funcionalidade do RMS Connector. Por exemplo, certifique-se de que os utilizadores do RMS no local conseguem ler os seus documentos encriptados.

Para obter mais informações, consulte:

• Configurações do Registro Transport Layer Security (TLS)
• Desativando o TLS 1.0 e 1.1 para Microsoft 365

Verificar o uso do TLS 1.2 (avançado)

Este procedimento fornece um exemplo de como verificar se o TLS 1.2 está sendo usado e requer conhecimento prévio do Fiddler.

1. Transfira e instale o Fiddler na sua máquina RMS Connector.

2. Abra o Fiddler e, em seguida, abra as ferramentas de administração do Microsoft RMS Connector.

3. Selecione Iniciar sessão, embora não tenha de iniciar sessão para concluir a verificação.

4. Na janela Fiddler à esquerda, localize o processo msconnectoradmin . Este processo deve tentar estabelecer uma conexão segura com discover.aadrm.com.

   Por exemplo:

   

5. Na janela do Fiddler à direita, selecione a guia Inspetores e exiba as guias Exibição de texto para a solicitação e a resposta.

   Nessas guias, observe que a comunicação é realizada usando o TLS 1.2. Por exemplo:

   

Forçar manualmente o uso do TLS 1.2

Se você precisar forçar manualmente o uso do TLS 1.2, desativando o uso de quaisquer versões anteriores, execute o seguinte script do PowerShell em sua máquina de conector RMS.

Atenção

O uso do script nesta seção desativa a comunicação pré-TLS 1.2 por máquina. Se outros serviços na máquina exigirem TLS 1.0 ou 1.2, esse script poderá interromper a funcionalidade nesses serviços.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

Próximos passos

Agora que o conector RMS está instalado e configurado, você está pronto para configurar seus servidores locais para usá-lo. Vá para Configurando servidores para o conector do Microsoft Rights Management.