Installera och konfigurera Microsoft Rights Management-kopplingen

Gäller för:Azure Information Protection, Windows Server 2019, 2016, 2012 R2 och Windows Server 2012

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

Använd följande information när du installerar och konfigurerar Microsoft Rights Management (RMS)-kopplingen. De här anvisningarna gäller steg 1 till 4 från Distribuera Microsoft Rights Management-kopplingen.

Innan du börjar:

Installera RMS-kopplingen

  1. Identifiera datorerna (minst två) som ska köra RMS-anslutningen. Datorerna måste uppfylla de lägsta specifikationer som anges i förutsättningarna.

    Obs!

    Installera en enda RMS-koppling (som består av flera servrar för hög tillgänglighet) per klientorganisation (Microsoft 365 klientorganisation eller Azure AD-klient). Till skillnad från Active Directory RMS behöver du inte installera en RMS-koppling i varje skog.

  2. Hämta källfilerna för RMS-kopplingen från Microsoft Download Center.

    Om du vill installera RMS-anslutningen laddar du nedRMSConnectorSetup.exe.

    Om du dessutom vill använda RMS-anslutningens serverkonfigurationsverktyg för att automatisera konfigurationen av registerinställningarna på de lokala servrarna kan du även ladda ned GenConnectorConfig.ps1.

  3. På den dator där du vill installera RMS-anslutningen kör du RMSConnectorSetup.exeadministratörsbehörighet.

  4. På välkomstsidan i installationsprogrammet för Microsoft Rights Management Connector väljer du Installera Microsoft Rights Management-kopplingenpå datorn och klickar sedan på Nästa.

  5. Läs och godkänn End-User licensavtalsvillkoren och klicka sedan på Nästa.

  6. På sidan väljer du den molnmiljö som matchar din lösning. Välj till exempel AzureCloud som kommersiellt erbjudande. Annars väljer du ett av följande alternativ:

    • AzureChinaCloud: Azure Som drivs av 21Vianet
    • AzureUSGovernment: Azure Government (GCC High/DoD)
    • AzureUSGovernment2: Azure Government 2
    • AzureUSGovernment3: Azure Government 3
  7. Välj för att logga in på ditt konto. Kontrollera att du anger autentiseringsuppgifter för ett konto som har tillräcklig behörighet för att konfigurera RMS-kopplingen.

    Du kan använda ett konto som har någon av följande behörigheter:

    • Global administratör för klientorganisationen: Ett konto som är global administratör för din klientorganisation Microsoft 365 eller Azure AD-klient.

    • Global administratör för Azure Rights Management– ett konto i Azure Active Directory som har tilldelats rollen som global Azure RMS-administratör.

    • Azure Rights Management-anslutningsadministratör:Ett konto i Azure Active Directory som har beviljats behörighet att installera och administrera RMS-anslutningen för organisationen.

    Rollen som global administratör för Azure Rights Management och rollen som administratör för Azure Rights Management-anslutningstjänst tilldelas till konton med cmdleten Add-AipServiceRoleBasedAdministrator.

    Obs!

    Om du har implementerat onboarding-kontrollerkontrollerar du att det konto du anger kan skydda innehåll.

    Om du till exempel begränsade möjligheten att skydda innehåll till IT-avdelningens grupp måste det konto som du anger här vara medlem i den gruppen. Om inte visas felmeddelandet: Försöket att identifiera platsen för administrationstjänsten och organisationen misslyckades. Kontrollera att Microsoft Rights Management-tjänsten är aktiverad för din organisation.

    Tips!

    Om du vill köra RMS-kopplingen med minst behörighet skapar du ett dedikerat konto för det här ändamålet och tilldelar sedan rollen som Azure RMS-anslutningsadministratör. Mer information finns i Skapa ett dedikerat konto för RMS-kopplingen.

  8. Gör följande på den sista sidan i guiden och klicka sedan på Slutför:

    • Om det här är den första anslutningen som du har installeratväljer du inte Starta anslutningsadministratörskonsolen för att auktorisera servrarna. Du väljer det här alternativet när du har installerat den andra (eller slutliga) RMS-kopplingen. Kör i stället guiden igen på minst en annan dator. Du måste installera minst två kopplingar.

    • Om du har installerat den andra (eller sista) anslutningen väljerdu Starta anslutningsadministratörskonsolen för att auktorisera servrarna.

Under installationsprocessen för RMS-anslutningen valideras och installeras all programvara som krävs, Internet Information Services (IIS) installeras om den inte redan finns och anslutningsprogramvaran installeras och konfigureras. Azure RMS förbereds också för konfiguration genom att följande skapas:

  • En tom tabell med servrar som har behörighet att använda anslutningen för att kommunicera med Azure RMS. Lägg till servrar i den här tabellen senare.

  • En uppsättning säkerhetstoken för anslutningen, som auktoriserar åtgärder med Azure RMS. Dessa token hämtas från Azure RMS och installeras på den lokala datorn i registret. De skyddas med hjälp av DPAPI (Data Protection Application Programming Interface) och autentiseringsuppgifterna för det lokala systemkontot.

Skapa ett dedikerat konto för RMS-kopplingen

I den här proceduren beskrivs hur du skapar ett dedikerat konto för att köra Azure RMS-anslutningen med minsta möjliga behörighet och använder när du loggar in under installationen av RMS-anslutningen.

  1. Om du inte redan har gjort det laddar du ned och installerar AIPService PowerShell-modulen. Mer information finns i Installera AIPService PowerShell-modulen.

    Starta Windows PowerShell med kommandot Kör som administratör och anslut till skyddstjänsten med hjälp av kommandot Anslut-AipService:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. Kör kommandot Add-AipServiceRoleBasedAdministrator med bara en av följande parametrar:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    Kör till exempel: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Även om de här kommandona tilldelar rollen som anslutningsadministratör kan du också använda rollen GlobalAdministrator i stället.

Verifiera installationen

  • Så här kontrollerar du om webbtjänsterna för RMS-anslutningen fungerar:

    Från en webbläsare ansluter du till http:// connectoraddress > /_wmcs/certification/servercertification.asmxoch ersätter > med den serveradress eller det namn som har RMS-kopplingen installerad.

    En anslutning som fungerar visar sidan ServerCertificationWebService.

  • Så här kontrollerar du att användaren kan läsa eller ändra RMS- eller AIP-skyddade dokument:

    Öppna Loggboken på RMS-kopplingsdatorn och gå till program- Windows loggen. Hitta en post från Microsoft RMS Connector-källan med informationsnivån.

    Posten bör ha ett meddelande som liknar följande: The list of authorized accounts has been updated

    Skärmbild av en RMS-kopplingshändelse i Loggboken.

Om du behöver avinstallera RMS-kopplingen avinstallerar du den via sidan för systeminställningar eller genom att köra guiden igen och välja avinstallationsalternativet.

Om du får problem under installationen kontrollerar du installationsloggen: %LocalAppData%\Temp\Microsoft Rights Management connector_ datum och tid > .log

Installationsloggen kan till exempel se ut ungefär så här: C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Auktorisera servrar för att använda RMS-kopplingen

När du har installerat RMS-anslutningen på minst två datorer är du redo att auktorisera de servrar och tjänster som du vill använda RMS-kopplingen på. Till exempel servrar som kör Exchange Server 2013 eller SharePoint Server 2013.

Definiera de här servrarna genom att köra administrationsverktyget för RMS-anslutningar och lägga till poster i listan över tillåtna servrar. Du kan köra det här verktyget när du väljer Starta kopplingsadministrationskonsol för att auktorisera servrar i slutet av installationsguiden för Microsoft Rights Management-anslutningen, eller så kan du köra den separat från guiden.

När du auktoriserar dessa servrar måste du tänka på följande:

  • Servrar som du lägger till tilldelas särskild behörighet. Alla konton som du anger för Exchange Server-rollen i anslutningskonfigurationen tilldelas rollen superanvändare i Azure RMS, vilket ger dem åtkomst till allt innehåll för den här RMS-klientorganisationen. Funktionen för superanvändare aktiveras automatiskt vid det här läget om det behövs. För att undvika säkerhetsrisken för ökning av behörigheter ska du vara noga med att bara ange de konton som används av organisationens Exchange servrar. Alla servrar som konfigureras SharePoint-servrar eller filservrar som använder FCI tilldelas vanlig användarbehörighet.

  • Du kan lägga till flera servrar som en enskild post genom att ange en Active Directory-säkerhet eller distributionsgrupp, eller ett tjänstkonto som används av fler än en server. När du använder den här konfigurationen delar gruppen av servrar samma RMS-certifikat och betraktas alla som ägare av innehåll som någon av dem har skyddat. För att minimera de administrativa kostnaderna rekommenderar vi att du använder den här konfigurationen av en enda grupp i stället för enskilda servrar för att auktorisera organisationens Exchange-servrar eller en SharePoint-servergrupp.

På sidan Servers allowed to utilize the connector väljer du Add.

Obs!

Auktoriseringsservrar är en motsvarande konfiguration i Azure RMS till AD RMS-konfigurationen av att manuellt tillämpa NTFS-rättigheter på ServerCertification.asmx för tjänst- eller serverdatorkontona och att manuellt bevilja användarna superbehörighet till Exchange-kontona. Du behöver inte tillämpa NTFS-rättigheter på ServerCertification.asmx på kopplingen.

Lägga till en server i listan över tillåtna servrar

På sidan Tillåt att en server använder anslutaren anger du namnet på objektet eller bläddrar för att identifiera objektet du vill auktorisera.

Det är viktigt att du godkänner rätt objekt. För att en server ska kunna använda anslutningen måste det konto som kör den lokala tjänsten (till exempel Exchange eller SharePoint) väljas för auktorisering. Om tjänsten till exempel körs som ett konfigurerat tjänstkonto lägger du till namnet på det tjänstkontot i listan. Om tjänsten körs som lokalt system lägger du till namnet på datorobjektet (till exempel SERVERNAME$). Du bör enligt bästa praxis skapa en grupp som innehåller dessa konton och ange gruppen i stället för enskilda servernamn.

Mer information om de olika serverrollerna:

  • För servrar somkör Exchange: Du måste ange en säkerhetsgrupp och du kan använda standardgruppen (Exchange-servrar) som Exchange automatiskt skapar och underhåller av alla Exchange-servrar i skogen.

  • För servrar som kör SharePoint:

    • Om en SharePoint 2010-server är konfigurerad att köras som lokalt system (det inte använder ett tjänstkonto) skapar du en säkerhetsgrupp manuellt i Active Directory Domain Services och lägger till datornamnsobjektet för servern i den här konfigurationen i den här gruppen.

    • Om en SharePoint-server är konfigurerad att använda ett tjänstkonto (den rekommenderade övningen för SharePoint 2010 och det enda alternativet för SharePoint 2016 och SharePoint 2013) gör du följande:

      1. Lägg till det tjänstkonto som kör SharePoint central administration för att aktivera SharePoint konfigureras från administratörskonsolen.

      2. Lägg till det konto som har konfigurerats för SharePoint-apppoolen.

      Tips!

      Om de här två kontona är olika kan du skapa en enda grupp som innehåller båda kontona för att minimera de administrativa kostnaderna.

  • För filservrarsom använder filklassificeringsinfrastrukturen körs de associerade tjänsterna som det lokala systemkontot, så du måste auktorisera datorkontot för filservrarna (till exempel SERVERNAME$) eller en grupp som innehåller dessa datorkonton.

När du har lagt till alla servrar i listan klickar du på Stäng.

Om du inte redan har gjort det måste du nu konfigurera belastningsutjämning för de servrar som har RMS-anslutningen installerad och fundera på om du vill använda HTTPS för anslutningar mellan dessa servrar och de servrar som du precis har auktoriserat.

Konfigurera belastningsutjämning och hög tillgänglighet

När du har installerat den andra eller sista förekomsten av RMS-kopplingen definierar du ett namn på anslutningens URL-server och konfigurerar ett belastningsutjämningssystem.

Kopplingens URL-servernamn kan vara vilket namn som helst under ett namnområde som du styr. Du kan till exempel skapa en post i DNS-systemet för rmsconnector.contoso.com och konfigurera den här posten så att en IP-adress används i belastningsutjämningssystemet. Det finns inga särskilda krav för det här namnet och det behöver inte konfigureras på själva kopplingsservrarna. Om inte Exchange och SharePoint-servrarna ska kommunicera med anslutningen via Internet, behöver inte det här namnet matchas på Internet.

Viktigt

Vi rekommenderar att du inte ändrar det här namnet när du har konfigurerat Exchange- eller SharePoint-servrarna för att använda kopplingen, eftersom du sedan måste rensa dessa servrar från alla IRM-konfigurationer och sedan konfigurera om dem.

När namnet har skapats i DNS och har konfigurerats för en IP-adress konfigurerar du belastningsutjämning för den adressen, så att trafiken dirigeras till kopplingsservrarna. Du kan använda alla IP-baserade belastningsutjämning för detta ändamål, vilket inkluderar funktionen Utjämning av nätverksbelastning (NLB) i Windows Server. Mer information finns i Distributionsguide för belastningsutjämning.

Använd följande inställningar för att konfigurera NLB-klustret:

  • Portar:80 (för HTTP) eller 443 (för HTTPS)

    Mer information om huruvida du ska använda HTTP eller HTTPS finns i nästa avsnitt.

  • Affinity: None

  • Fördelningsmetod:Lika

Det här namnet som du definierar för det belastningsutjämnade systemet (för de servrar som kör RMS-kopplingstjänsten) är organisationens RMS-kopplingsnamn som du använder senare när du konfigurerar de lokala servrarna att använda Azure RMS.

Konfigurera RMS-kopplingen för https

Obs!

Det här konfigurationssteget är valfritt, men rekommenderas för ytterligare säkerhet.

Även om användningen av TLS eller SSL är valfritt för RMS-anslutningen rekommenderar vi den för alla HTTP-baserade säkerhetskänsliga tjänster. Den här konfigurationen autentiserar servrarna som kör kopplingen till Exchange och SharePoint-servrar som använder anslutningen. Dessutom krypteras alla data som skickas från dessa servrar till anslutningen.

Om du vill aktivera RMS-kopplingen för att använda TLS installerar du ett serverautentiseringscertifikat på varje server som kör RMS-anslutningen, som innehåller det namn som du använder för anslutningen. Om ditt RMS-anslutningsnamn som du definierade i DNS till exempel är rmsconnector.contoso.comdistribuerar du ett serverautentiseringscertifikat som innehåller rmsconnector.contoso.com i certifikatets ämne som det vanliga namnet. Eller ange rmsconnector.contoso.com i certifikatets alternativa namn som DNS-värde. Certifikatet behöver inte innehålla namnet på servern. I IIS binder du sedan certifikatet till standardwebbplatsen.

Om du använder alternativet HTTPS ser du till att alla servrar som kör anslutningen har ett giltigt serverautentiseringscertifikat som kedjor till en rot-CA som Exchange- och SharePoint-servrarna litar på. Om certifikatutfärdaren som utfärdat certifikat för anslutningsservrarna publicerar en certifikatåterkallningslista måste Exchange- och SharePoint-servrarna dessutom kunna ladda ned den här certifikatutfärdaren.

Tips!

Du kan använda följande information och resurser för att begära och installera ett serverautentiseringscertifikat och för att binda certifikatet till standardwebbplatsen i IIS:

  • Om du använder Active Directory Certificate Services (AD CS) och en certifikatutfärdare för företag för att distribuera dessa serverautentiseringscertifikat kan du duplicera och sedan använda mallen För webbservercertifikat. Den här certifikatmallen använder Anges i begäran om certifikatets ämnesnamn, vilket innebär att du kan ange FQDN för RMS-anslutningsnamnet för certifikatets ämnesnamn eller ämnesnamn när du begär certifikatet.

  • Om du använderen fristående certifikatutfärdare eller köper certifikatet från ett annat företag kan du läsa Konfigurera IIS 7 (Internet Server Certificates) i TechNets dokumentationsbibliotek för webbservern (IIS).

  • Information om hur dukonfigurerar IIS att använda certifikatet finns i Lägga till en bindning till en webbplats (IIS 7) i dokumentationsbiblioteket för Webbserver (IIS) på TechNet.

Konfigurera RMS-kopplingen för en webbproxyserver

Om dina kopplingsservrar installeras i ett nätverk som inte har direkt internetanslutning och kräver manuell konfiguration av en webbproxyserver för utgående internetanslutning måste du konfigurera registret på dessa servrar för RMS-anslutningen.

Så här konfigurerar du RMS-kopplingen till att använda en webbproxyserver

  1. Öppna en registereditor, till exempel Regedit, på varje server som kör RMS-anslutningen.

  2. Gå till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Lägg till strängvärdet för ProxyAddress och ange sedan data för det här värdet till http:// MyProxyDomainOrIPaddress: < MyProxyPort >

    Till exempel: http://proxyserver.contoso.com:8080

  4. Stäng registereditorn och starta sedan om servern eller utför ett IISReset-kommando för att starta om IIS.

Installera verktyget för administration av RMS-anslutning på administrativa datorer

Du kan köra verktyget för administration av RMS-anslutningar från en dator där RMS-anslutningen inte är installerad, om den datorn uppfyller följande krav:

  • En fysisk eller virtuell dator med Windows Server 2019, 2016, 2012 eller Windows Server 2012 R2 (alla utgåvor), Windows 11, Windows 10, Windows 8.1, Windows 8.

  • Minst 1 GB RAM-minne.

  • Minst 64 GB diskutrymme.

  • Minst ett nätverksgränssnitt.

  • Åtkomst till Internet via en brandvägg (eller webbproxy).

  • .NET 4.7.2

Installera administrationsverktyget för RMS-anslutningen genom att köra följande fil för en 64-bitarsdator: RMSConnectorSetup.exe

Om du inte redan har laddat ned de här filerna kan du göra det från Microsoft Download Center.

Mer information finns i Förutsättningar för RMS-kopplingen.

Uppdatera RMS-kopplingsinstallationen

När du installerar en ny version av RMS-anslutningen avinstalleras alla tidigare versioner automatiskt, och den nödvändiga .NET 4.7.2 installeras. Om du får problem kan du följa de här anvisningarna för att avinstallera en tidigare version manuellt och installera .NET 4.7.2.

  1. På din RMS-kopplingsdator använder du inställningssidan För appar och avinstallerar Microsoft Rights Management Connector.

    I äldre system kan du hitta alternativ för oinstallation på sidan Program och funktioner på Kontrollpanelen.

    Gå igenom guiden för att avinstallera Microsoft Rights Management-kopplingen och välj Slutför i slutet.

  2. Kontrollera att datorn har .NET 4.7.2 installerat. Mer information finns i Så här gör du: Avgöra vilka .NET Framework versioner som är installerade.

    Om du behöver kan du ladda ned och installera .NET version 4.7.2.

    Starta om datorn när du uppmanas att göra det och fortsätt sedan med att installera den nya VERSIONEN av RMS-anslutningen.

Använda TLS 1.2 för Azure RMS-anslutningen

Microsoft inaktiverar äldre, osäkra TLS-protokoll, inklusive TLS 1.0 och TLS 1.1 på RMS Services som standard den 1 mars 2022. För att förbereda för utfasningen kanske du vill inaktivera stödet för dessa äldre protokoll på RMS-anslutningsservrarna och kontrollera att systemet fortsätter att fungera som förväntat.

I det här avsnittet beskrivs stegen för att inaktivera TLS (Transport Layer Security) 1.0 och 1.1 på RMS-anslutningsservrarna och tvinga fram användningen av TLS 1.2.

Inaktivera TLS 1.0 och 1.1 och tvinga fram användning av TLS 1.2

  1. Kontrollera att .NET-ramverket på RMS-anslutningsdatorn är version 4.7.2. Mer information finns i .NET Framework version 4.7.2.

  2. Ladda ned och installera den senaste versionen av RMS Connector. Mer information finns i Installera RMS-kopplingen.

  3. Starta om RMS-kopplingsservrarna och testa funktionerna för RMS-kopplingar. Kontrollera till exempel att lokala RMS-användare kan läsa krypterade dokument.

Mer information finns i:

Kontrollera TLS 1.2-användning (avancerat)

Den här proceduren innehåller ett exempel på hur du verifierar att TLS 1.2 används och kräver förhandskunskaper om Fiddler.

  1. Ladda ned och installera Fiddler på RMS-anslutningsdatorn.

  2. Öppna Fiddler och öppna sedan administrationsverktygen för Microsoft RMS Connector.

  3. Välj Logga in– men du behöver inte logga in för att slutföra verifieringen.

  4. Leta rätt på processen msconnectoradmin i Fiddler-fönstret till vänster. Den här processen bör försöka upprätta en säker anslutning till discover.aadrm.com.

    Till exempel:

    Skärmbild av Fiddler som visar processen msconnectoradmin som försöker upprätta en säker anslutning med discover dot addrm dot com.

  5. I fönstret Fiddler till höger väljer du fliken Kontroll och visar flikarna Textvy för både begäran och svar.

    Observera att kommunikationen utförs med TLS 1.2 på flikarna. Till exempel:

    Skärmbild av fönstret Fiddler med TLS 1.2 som används.

Manuellt tvinga användning av TLS 1.2

Om du manuellt behöver tvinga fram användningen av TLS 1.2 och inaktiverar användningen för tidigare versioner kör du följande PowerShell-skript på RMS-kopplingsdatorn.

Varning!

Med skriptet i det här avsnittet inaktiveras kommunikation före TLS 1.2 per dator. Om andra tjänster på datorn kräver TLS 1.0 eller 1.2 kan skriptet bryta funktionaliteten i de tjänsterna.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

Nästa steg

Nu när RMS-kopplingen är installerad och konfigurerad är du redo att konfigurera dina lokala servrar för att använda den. Gå till Konfigurera servrar för Microsoft Rights Management-anslutningen.