Konfigurera servrar för Microsoft Rights Management-kopplingen

Gäller för:Azure Information Protection,Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

Använd följande information för att konfigurera dina lokala servrar som använder Azure Rights Management (RMS)-kopplingen. De här procedurerna omfattar steg 5 från Distribuera Microsoft Rights Management-kopplingen.

Krav:Innan du börjar kontrollerar du att du har: - Installerat och konfigurerat RMS-kopplingen - Kontrollerat alla krav som är relevanta för servrarna som kommer att använda anslutningen.

Konfigurera servrar för att använda RMS-kopplingen

När du har installerat och konfigurerat RMS-anslutningen kan du konfigurera de lokala servrar som ansluter till Azure Rights Management-tjänsten och använda den här skyddstekniken med hjälp av anslutningen.

Det innebär att konfigurera följande servrar:

Miljö Servrar att konfigurera
Exchange 2013 Klientåtkomstservrar och postlådeservrar
Exchange 2016 och Exchange 2019 Postlådeservrar (innehåller serverroller för klientåtkomst och navtransport)
SharePoint Frontend SharePoint webbservrar, inklusive de som är värd för Central Administration-servern
Infrastruktur för filklassificering Windows Serverdatorer som har installerat Filresurshanteraren

Den här konfigurationen kräver registerinställningar med följande alternativ:

Viktigt

I båda fallen måste du manuellt installera eventuella krav och konfigurera Exchange, SharePoint och infrastruktur för filklassificering för att använda rättighetshantering.

Obs!

I de flesta organisationer är automatisk konfiguration med hjälp av serverkonfigurationsverktyget för Microsoft RMS-anslutning ett bättre alternativ eftersom den ger högre effektivitet och tillförlitlighet än manuell konfiguration.

När du har gjort konfigurationsändringar på de här servrarna måste du starta om dem om de kör Exchange eller SharePoint, och tidigare var konfigurerade att använda AD RMS. Du behöver inte starta om de här servrarna om du konfigurerar dem för Rights Management för första gången.

Du måste alltid starta om filservern som är konfigurerad att använda infrastrukturen för filklassificering när du har gjort de här konfigurationsändringarna.

Redigera registerinställningar automatiskt – fördelar och nackdelar

Redigera registerinställningarna automatiskt med hjälp av verktyget för serverkonfiguration för Microsoft RMS-koppling.

Några av fördelarna är:

  • Ingen direkt redigering av registret. Det här automatiseras automatiskt med hjälp av ett skript.

  • Du behöver inte köra en Windows PowerShell för att hämta Microsoft RMS-URL:en.

  • Kraven kontrolleras automatiskt åt dig (men åtgärdas inte automatiskt) om du kör det lokalt.

Nackdelarna är:När du kör verktyget måste du upprätta en anslutning till en server som redan kör RMS-kopplingen.

Mer information finns i Hur du använder serverkonfigurationsverktyget för Microsoft RMS-anslutning.

Redigera registerinställningar manuellt – fördelar och nackdelar

Exempel på fördelar är:Ingen anslutning till en server som kör RMS-anslutningen krävs.

Några av nackdelarna är:

  • Mer administrativa kostnader som lätt blir fel.

  • Du måste hämta din Microsoft RMS-URL så att du måste köra ett Windows PowerShell kommando.

  • Du måste alltid göra alla nödvändiga kontroller själv.

Så här använder du serverkonfigurationsverktyget för Microsoft RMS-anslutningen

  1. Om du inte redan har laddat ned skriptet för serverkonfigurationsverktyget för Microsoft RMS-anslutning (GenConnectorConfig.ps1)laddar du ned det från Microsoft Download Center.

  2. Spara GenConnectorConfig.ps1 filen på den dator där du ska köra verktyget.

    Om du kör verktyget lokalt måste det vara den server som du vill konfigurera för att kommunicera med RMS-anslutningen. Annars kan du spara den på valfri dator.

  3. Bestäm hur verktyget ska köras:

    Metod Beskrivning
    Lokalt Kör verktyget interaktivt från servern som ska konfigureras för att kommunicera med RMS-anslutningen.

    Tips:Det här är användbart för en en-off-konfiguration, t.ex. en testmiljö.
    Programdistribution Kör verktyget för att skapa registerfiler som du sedan distribuerar till en eller flera relevanta servrar.

    Distribuera registerfilerna med hjälp av ett systemhanteringssystem som stöder distribution av programvara, till exempel System Center Configuration Manager.
    Grupprincip Kör verktyget för att skapa ett skript som du ger till en administratör som kan skapa grupprincipobjekt för de servrar som ska konfigureras.

    Det här skriptet skapar ett grupprincipobjekt för varje servertyp som ska konfigureras, som administratören sedan kan tilldela till relevanta servrar.

    Obs!

    Det här verktyget konfigurerar servrarna som ska kommunicera med RMS-anslutningen och som listas i början av det här avsnittet. Kör inte det här verktyget på servrar som kör RMS-anslutningen.

  4. Börja Windows PowerShell med alternativet Kör som administratör och använd kommandot Get-help för att läsa anvisningar om hur du använder verktyget för den valda konfigurationsmetoden:

    Get-help .\GenConnectorConfig.ps1 -detailed
    

Om du vill köra skriptet måste du ange URL-adressen för RMS-kopplingen för din organisation.

Ange protokollprefixet (HTTP:// eller HTTPS://) och namnet på kopplingen som du har definierat i DNS för den belastningsutjämnade adressen för kopplingen. Till exempel https:\//connector.contoso.com .

Verktyget använder sedan URL:en för att kontakta servrar som kör RMS-anslutningen och erhålla andra parametrar som används för att skapa de konfigurationer som krävs.

Viktigt

När du kör det här verktyget måste du ange namnet på den belastningsutjämnade RMS-kopplingen för organisationen och inte namnet på en server som kör RMS-kopplingstjänsten.

Använd följande avsnitt för specifik information för varje tjänsttyp:

När ska klientprogram installeras på separata datorer, som inte är konfigurerade för att använda anslutningen?

När de här servrarna har konfigurerats för att använda anslutningen kanske klientprogram som installeras lokalt på dessa servrar inte fungerar med RMS. När detta händer beror det på att programmen försöker använda kopplingen i stället för att använda RMS direkt, vilket inte stöds.

Om Office 2010 dessutom är installerat lokalt på en Exchange-server kanske klientappens IRM-funktioner fungerar från den datorn när servern har konfigurerats för att använda anslutningen, men detta stöds inte.

I båda scenarierna måste du installera klientprogrammen på separata datorer som inte är konfigurerade för att använda kopplingen. Då kommer de att använda RMS direkt på rätt sätt.

Viktigt

Office support för 2010 upphörde den 13 oktober 2020. Mer information finns i AIP och äldre versioner Windows och Office versioner.

Konfigurera Exchange server för användning av anslutningen

Följande Exchange med RMS-kopplingen:

  • För Exchange 2016 och Exchange 2013: Klientåtkomstserver och e-postserver

  • För Exchange 2019: Klientåtkomstserver och navtransportserver

Om du vill använda RMS-anslutningen måste de här servrarna Exchange kör någon av följande programvaruversioner:

  • Exchange Server 2016

  • Exchange Server 2013 med Exchange kumulativ uppdatering 3 för Exchange 2013

  • Exchange Server 2019

Du behöver också ha stöd för RMS Cryptographic Mode 2 på dessa servrar, en version 1 av RMS-klienten (kallas även MSDRM). Alla Windows inkluderar MSDRM-klienten men tidiga versioner av klienten stödjer inte Cryptographic Mode 2. Om dina Exchange-servrar körs minst Windows Server 2012, krävs inga ytterligare åtgärder eftersom RMS-klienten som är installerad med dessa operativsystem har stöd för Cryptographic Mode 2.

Viktigt

Om dessa versioner eller senare Exchange och MSDRM-klienten inte är installerade kan du inte konfigurera Exchange att använda anslutningen. Kontrollera att de här versionerna är installerade innan du fortsätter.

Så här konfigurerar Exchange-servrar för att använda kopplingen

  1. Se till att Exchange-servrarna har behörighet att använda RMS-anslutningen genom att använda verktyget för administration av RMS-anslutningar och informationen från Redigeringsservrar för att använda AVSNITTET RMS-koppling.

    Den här konfigurationen krävs för att Exchange kunna använda RMS-kopplingen.

  2. På Exchange serverroller som kommunicerar med RMS-anslutningen gör du något av följande:

  3. Aktivera IRM-funktioner för Exchange med hjälp Exchange PowerShell-cmdlet set-IRMConfiguration. Ange InternalLicensingEnabled $true och ClientAccessServerEnabled $true .

Konfigurera SharePoint server för användning av anslutningen

Frontend SharePoint, inklusive de som fungerar som värd för Central Administration-servern, kommunicerar med RMS-anslutningen.

Om du vill använda RMS-anslutningen måste de här servrarna SharePoint kör någon av följande programvaruversioner:

  • SharePoint Server 2019

  • SharePoint Server 2016

  • SharePoint Server 2013

  • SharePoint Server 2010

En server med SharePoint 2019, 2016 eller SharePoint 2013 måste också köra en version av MSIPC-klienten 2.1 som stöds med RMS-kopplingen.

Om du vill kontrollera att du har en version som stöds laddar du ned den senaste klienten från Microsoft Download Center.

Varning

Det finns flera versioner av MSIPC 2.1-klienten, så kontrollera att du har version 1.0.2004.0 eller senare.

Du kan verifiera klientversionen genom att kontrollera versionsnumret för MSIPC.dll, som finns i \Program Files\Active Directory Rights Management Services Client 2.1. Dialogrutan Egenskaper visar versionsnumret för MSIPC 2.1-klienten.

Servrar som SharePoint 2010 måste ha installerat en version av MSDRM-klienten som har stöd för RMS Cryptographic Mode 2. Windows Server 2012 och Windows Server 2012 R2 stöder cryptographic mode 2.

Så här SharePoint du till att använda anslutningen

  1. Se till att SharePoint-servrarna har behörighet att använda RMS-anslutningen genom att använda verktyget för administration av RMS-anslutningar och informationen från Redigeringsservrar för att använda RMS-kopplingsavsnittet.

    Den här konfigurationen är obligatorisk så att dina SharePoint kan använda RMS-kopplingen.

  2. På SharePoint som kommunicerar med RMS-anslutningen gör du något av följande:

    • Köra serverkonfigurationsverktyget för Microsoft RMS-koppling

      Mer information finns i Hur du använder serverkonfigurationsverktyget för Microsoft RMS-anslutning.

      Om du till exempel vill köra verktyget lokalt för att konfigurera en server SharePoint 2019, 2016 SharePoint 2013:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetSharePoint2013
      
    • Om du använder SharePoint 2019, 2016 eller SharePoint 2013 kan du göra manuella registerredigeringar genom att använda informationen i registerinställningarna för RMS-kopplingen för att manuellt lägga till registerinställningar på servrarna.

  3. Aktivera IRM i SharePoint. Mer information finns i Konfigurera IR-hantering (SharePoint Server 2010) i SharePoint bibliotek.

    När du följer de här instruktionerna måste du SharePoint att använda kopplingen genom att ange Använd den här RMS-servernoch sedan ange den URL för belastningsutjämning som du har konfigurerat.

    Ange protokollprefixet (HTTP:// eller HTTPS://) och namnet på kopplingen som du har definierat i DNS för den belastningsutjämnade adressen för kopplingen.

    Om ditt kopplingsnamn till exempel är https:\//connector.contoso.com ser konfigurationen ut som följande bild:

    Konfigurera SharePoint server för RMS-kopplingen

    När IRM har aktiverats i en SharePoint-servergrupp kan du aktivera IRM för enskilda bibliotek med hjälp av alternativet IRM (Information Rights Management) på sidan Inställningar för varje bibliotek.

Konfigurera en filserver för infrastruktur för filklassificering för att använda kopplingen

Om du vill använda RMS-kopplingen och filklassificeringsinfrastrukturen för Office måste filservern köra något av följande operativsystem:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

Så här konfigurerar du filservrarna att använda kopplingen

  1. Se till att filservrarna har behörighet att använda RMS-anslutningen genom att använda verktyget för administration av RMS-anslutningar och informationen från Redigeringsservrar för att använda avsnittet för RMS-kopplingar.

    Den här konfigurationen krävs för att filservrarna ska kunna använda RMS-kopplingen.

  2. Gör något av följande på filservrarna som är konfigurerade för infrastruktur för filklassificering och som kommunicerar med RMS-anslutningen:

    • Köra serverkonfigurationsverktyget för Microsoft RMS-koppling

      Mer information finns i Hur du använder serverkonfigurationsverktyget för Microsoft RMS-anslutning.

      Om du till exempel vill köra verktyget lokalt för att konfigurera en filserver som kör FCI:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetFCI2012
      
    • Gör manuella registerredigeringar genom att använda informationen i Registerinställningar för RMS-kopplingen för att manuellt lägga till registerinställningar på servrarna.

  3. Skapa klassificeringsregler och filhanteringsuppgifter för att skydda dokument med RMS-kryptering och ange sedan en RMS-mall för att automatiskt använda RMS-principer.

    Mer information finns i Filserverresurshanteraren – översikt i Windows i Serverdokumentation.

Nästa steg

Nu när RMS-anslutningen är installerad och konfigurerad, och dina servrar är konfigurerade för att använda den, kan IT-administratörer och användare skydda och använda e-postmeddelanden och dokument med hjälp av Azure Rights Management-tjänsten.

För att göra det enkelt för användarna distribuerar du Azure Information Protection-klienten, som installerar ett tillägg för Office och lägger till nya alternativ för högerklickning i Utforskaren.

Mer information finns i administratörsguiden för Azure Information Protection-klienten.

Observera att om du konfigurerar avdelningsmallar som du vill använda med Exchange-transportregler eller Windows Server-FCI måste omfattningskonfigurationen innehålla alternativet för programkompatibilitet så att kryssrutan Visa den här mallen för alla användare när programmen inte stöder användaridentitet är markerad.

Du kan använda distributionsöversikten för Azure Information Protection för att kontrollera om det finns andra konfigurationssteg som du kanske vill göra innan du distribuerar Azure Rights Management till användare och administratörer.

Information om hur du övervakar RMS-anslutningen finns i Övervaka Anslutningen för Microsoft Rights Management.