Развертывание соединителя Microsoft Rights ManagementDeploying the Microsoft Rights Management connector

*Область применения: Azure Information Protection, windows Server 2019, 2016, Windows Server 2012 R2, Windows Server 2012 **Applies to: Azure Information Protection, Windows Server 2019, 2016, Windows Server 2012 R2, Windows Server 2012*

*К чему относится: клиент унифицированных меток и классический клиент AIP**Relevant for: AIP unified labeling client and classic client*

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Дополнительные сведения см. в недавней записи блога о прекращении использования.Learn more in our recent deprecation blog.

Используйте эти сведения, чтобы узнать о соединителе Microsoft Rights Management, а также о том, как успешно развернуть его для вашей организации.Use this information to learn about the Microsoft Rights Management connector, and then how to successfully deploy it for your organization. Этот соединитель обеспечивает защиту данных для существующих локальных развертываний, использующих сервер Microsoft Exchange Server, SharePoint Server или файловые серверы, на которых выполняется Windows Server и инфраструктура классификации файлов (FCI).This connector provides data protection for existing on-premises deployments that use Microsoft Exchange Server, SharePoint Server, or file servers that run Windows Server and File Classification Infrastructure (FCI).

Общие сведения о соединителе Microsoft Rights Management (RMS)Overview of the Microsoft Rights Management connector

Соединитель Microsoft Rights Management (RMS) позволяет быстро включать существующие местные серверы для использования их функции управления правами на доступ к данным (IRM) с облачными службами управления правами Майкрософт (Azure RMS).The Microsoft Rights Management (RMS) connector lets you quickly enable existing on-premises servers to use their Information Rights Management (IRM) functionality with the cloud-based Microsoft Rights Management service (Azure RMS). Благодаря этой функции, отделы ИТ и отдельные пользователи могут легко защищать документы и изображения как внутри вашей организации, так и за ее пределами. Причем, при этом не нужно создавать дополнительную инфраструктуру или устанавливать отношения доверия с другими организациями.With this functionality, IT and users can easily protect documents and pictures both inside your organization and outside, without having to install additional infrastructure or establish trust relationships with other organizations.

Соединитель RMS — это небольшая служба, которая устанавливается локально на серверах под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.The RMS connector is a small-footprint service that you install on-premises, on servers that run Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. Наряду с выполнением соединителя на физических компьютерах его можно также запустить на виртуальных машинах, включая ВМ IaaS Azure.In addition to running the connector on physical computers, you can also run it on virtual machines, including Azure IaaS VMs. После развертывания соединитель функционирует как коммуникационный интерфейс (ретранслятор) между локальными серверами и облачной службой, как показано на следующем рисунке.After you deploy the connector, it acts as a communications interface (a relay) between the on-premises servers and the cloud service, as shown in the following picture. Стрелки указывают направление создания сетевых подключений.The arrows indicate the direction in which network connections are initiated.

Сведения об архитектуре соединителя RMS

Поддерживаемые локальные серверыOn-premises servers supported

Соединитель RMS поддерживает следующие локальные серверы: Exchange Server, SharePoint Server и файловые серверы, на которых выполняется Windows Server и используется инфраструктура классификации файлов для классификации файлов и документов Office в папке, а также применения к ним политик.The RMS connector supports the following on-premises servers: Exchange Server, SharePoint Server, and file servers that run Windows Server and use File Classification Infrastructure to classify and apply policies to Office documents in a folder.

Примечание

Если вы хотите защитить разные типы файлов (а не только документы Office) с помощью инфраструктуры классификации файлов, не используйте соединитель RMS. Вместо него применяйте командлеты Azure Information Protection.If you want to protect multiple file types (not just Office documents) by using File Classification Infrastructure, do not use the RMS connector, but instead, use the AzureInformationProtection cmdlets.

Сведения о версиях локальных серверов, поддерживаемых соединителем RMS, см. в статье Локальные серверы, поддерживающие Azure RMS.For the versions of these on-premises servers that are supported by the RMS connector, see On-premises servers that support Azure RMS.

Поддержка гибридных сценариевSupport for hybrid scenarios

Вы можете использовать этот соединитель RMS, даже если некоторые из пользователей подключаются к веб-службам в гибридном сценарии.You can use the RMS connector even if some of your users are connecting to online services, in a hybrid scenario. Например, некоторые почтовые ящики пользователей могут использовать Exchange Online, а некоторые почтовые ящики пользователей — сервер Exchange Server.For example, some users' mailboxes use Exchange Online and some users' mailboxes use Exchange Server. После установки соединителя RMS все пользователи смогут защищать и получать сообщения электронной почты и вложения с помощью Azure RMS, прозрачно взаимодействуя в рамках защиты информации между двумя конфигурациями развертывания.After you install the RMS connector, all users can protect and consume emails and attachments by using Azure RMS, and information protection works seamlessly between the two deployment configurations.

Поддержка ключей, управляемых клиентами (BYOK)Support for customer-managed keys (BYOK)

Если вы управляете собственным ключом клиента Azure RMS (сценарий "принесите свой собственный ключ", или BYOK), соединитель RMS и локальные серверы, которые используют его, не имеют доступа к аппаратному модулю безопасности (HSM), в котором хранится ваш ключ клиента.If you manage your own tenant key for Azure RMS (the bring your own key, or BYOK scenario), the RMS connector and the on-premises servers that use it do not access the hardware security module (HSM) that contains your tenant key. Это достигается выполнением всех операций шифрования, для которых требуется ключ клиента, в Azure RMS, а не локально.This is because all cryptographic operations that use the tenant key are performed in Azure RMS, and not on-premises.

Дополнительные сведения об этом сценарии управления ключами клиента, см. в статье Планирование и реализация ключа клиента Azure Information Protection.If you want to learn more about this scenario where you manage your tenant key, see Planning and implementing your Azure Information Protection tenant key.

Необходимые условия для соединителя Rights Management ServicePrerequisites for the RMS connector

Перед установкой соединителя Rights Management Service убедитесь, что соблюдаются следующие требования.Before you install the RMS connector, make sure that the following requirements are in place.

ТребованиеRequirement Дополнительные сведенияMore information
Служба защиты активированаThe protection service is activated Активация службы защиты из Azure Information ProtectionActivating the protection service from Azure Information Protection
Синхронизация каталогов между локальными лесами Active Directory и Azure Active DirectoryDirectory synchronization between your on-premises Active Directory forests and Azure Active Directory После того как активирована служба управления правами, необходимо настроить службу Azure Active Directory для работы с пользователями и группами в вашей базе данных Active Directory.After RMS is activated, Azure Active Directory must be configured to work with the users and groups in your Active Directory database.

Важно! Этот шаг по синхронизации каталогов необходим для работы соединителя RMS даже в тестовой сети.Important: You must do this directory synchronization step for the RMS connector to work, even for a test network. Хотя Microsoft 365 и Azure Active Directory можно использовать с учетными записями, создаваемыми вручную в Azure Active Directory, этот соединитель требует синхронизации учетных записей в Azure Active Directory с домен Active Directory службами. недостаточный ручной режим синхронизации паролей.Although you can use Microsoft 365 and Azure Active Directory by using accounts that you manually create in Azure Active Directory, this connector requires that the accounts in Azure Active Directory are synchronized with Active Directory Domain Services; manual password synchronization is not sufficient.

Дополнительные сведения см. в следующих ресурсах:For more information, see the following resources:

- Интеграция локальных доменов Active Directory с Azure Active Directory- Integrate on-premises Active Directory domains with Azure Active Directory

- Сравнение средств интеграции каталогов гибридных удостоверений- Hybrid Identity directory integration tools comparison
Не менее двух компьютеров-членов, на которых необходимо установить соединитель RMS:A minimum of two member computers on which to install the RMS connector:

— 64-разрядный физический или виртуальный компьютер под управлением одной из следующих операционных систем: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.- A 64-bit physical or virtual computer running one of the following operating systems: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

— По крайней мере, 1 ГБ ОЗУ.- At least 1 GB of RAM.

— Не менее 64 ГБ свободного места на диске.- A minimum of 64 GB of disk space.

— По крайней мере, один сетевой интерфейс.- At least one network interface.

— Доступ к Интернету через брандмауэр (или веб-прокси), который не требует проверки подлинности.- Access to the internet via a firewall (or web proxy) that does not require authentication.

— Должен находиться в лесу или домене, который доверяет другим лесам в организации, где установлены серверы Exchange или SharePoint, которые вы хотите использовать с соединителем RMS.- Must be in a forest or domain that trusts other forests in the organization that contain installations of Exchange or SharePoint servers that you want to use with the RMS connector.

— Платформа .NET 4.7.2 установлена.- .NET 4.7.2 installed. В зависимости от вашей системы может потребоваться Скачать и установить его отдельно.Depending on your system, you may need to download and install this separately.
Для обеспечения отказоустойчивости и высокого уровня доступности соединитель Rights Management Service необходимо установить, как минимум, на двух компьютерах.For fault tolerance and high availability, you must install the RMS connector on a minimum of two computers.

Совет. Если вы используете Outlook Web Access или мобильные устройства, на которых используется Exchange ActiveSync IRM, и для вас очень важен доступ к письмам и вложениям, защищенным Azure RMS, рекомендуем развернуть балансировщик нагрузки в виде группы серверов соединителя для обеспечения высокой доступности.Tip: If you are using Outlook Web Access or mobile devices that use Exchange ActiveSync IRM and it is critical that you maintain access to emails and attachments that are protected by Azure RMS, we recommend that you deploy a load-balanced group of connector servers to ensure high availability.

Для обеспечения работы соединителя выделенные серверы не нужны, но его необходимо установить на отдельном компьютере, отличном от серверов, которые будут использовать данный соединитель.You do not need dedicated servers to run the connector but you must install it on a separate computer from the servers that will use the connector.

Важно! Не устанавливайте соединитель на компьютере, где выполняется сервер Exchange Server, SharePoint Server или файловый сервер, который настроен для инфраструктуры классификации файлов, если вы хотите использовать функции этих служб со службой управления правами Azure.Important: Do not install the connector on a computer that runs Exchange Server, SharePoint Server, or a file server that is configured for file classification infrastructure if you want to use the functionality from these services with Azure RMS. Кроме того, не устанавливайте этот соединитель на контроллере домена.Also, do not install this connector on a domain controller.

У вас могут быть серверные рабочие нагрузки, которые вы хотите использовать с соединителем RMS. При этом связанные серверы находятся в доменах, не являющихся доверенными для домена, из которого будет запускаться соединитель. В таком случае вы можете установить дополнительные серверы соединителя RMS в этих недоверенных доменах или других доменах в их лесу.If you have server workloads that you want to use with the RMS connector but their servers are in domains that are not trusted by the domain from which you want to run the connector, you can install additional RMS connector servers in these untrusted domains or other domains in their forest.

Число серверов соединителя, которые можно запускать для вашей организации, не ограничено. Кроме того, для всех серверов соединителя, установленных в организации, используется одна и та же конфигурация.There is no limit to the number of connector servers that you can run for your organization and all connector servers installed in an organization share the same configuration. Тем не менее настройка соединителя для авторизации серверов предусматривает возможность поиска учетных записей сервера или службы, которые нужно авторизовать. Это означает, что вам нужно запустить средство администрирования RMS в лесу, из которого вы сможете найти эти учетные записи.However, to configure the connector to authorize servers, you must be able to browse for the server or service accounts you want to authorize, which means that you must run the RMS administration tool in a forest from which you can browse those accounts.

Шаги для развертывания соединителя RMSSteps to deploy the RMS connector

Соединитель не проверяет автоматически все компоненты, необходимые для успешного развертывания. Поэтому прежде чем начать, вам нужно убедиться в их наличии.The connector does not automatically check all the prerequisites that it needs for a successful deployment, so make sure that these are in place before you start. Для развертывания требуется установить соединитель, настроить его, а затем настроить серверы, на которых он будет использоваться.The deployment requires you to install the connector, configure the connector, and then configure the servers that you want to use the connector.

Дальнейшие шагиNext steps

Перейдите к разделу шаг 1. Установка и Настройка соединителя Microsoft Rights Management.Go to Step 1: Installing and configuring the Microsoft Rights Management connector.