Installera och konfigurera Azure Rights Management-anslutningstjänstenInstalling and configuring the Azure Rights Management connector

Gäller för: Azure information Protection, Windows Server 2019, 2016, 2012 R2 och Windows Server 2012Applies to: Azure Information Protection, Windows Server 2019, 2016, 2012 R2, and Windows Server 2012

Följande information hjälper dig att installera och konfigurera Azure Rights Management (RMS)-anslutningstjänsten.Use the following information to help you install and configure the Azure Rights Management (RMS) connector. Dessa procedurer beskriver steg 1 till och med 4 När du distribuerar Azure Rights Management-anslutningen.These procedures cover steps 1 though 4 from Deploying the Azure Rights Management connector.

Innan du börjar ska du försäkra dig om att du har gått igenom och kontrollerat att alla förutsättningar för distributionen är uppfyllda.Before you begin, make sure that you have reviewed and checked the prerequisites for this deployment.

Se till att du är medveten om rätt Azure-suverän moln instans för din anslutning för att kunna slutföra installationen och konfigurationen:Make sure you are aware of the correct Azure sovereign cloud instance for your connector to be able to complete setup and configuration:

  • AzureCloud: kommersiellt utbud av AzureAzureCloud: Commercial offering of Azure
  • AzureChinaCloud: Azure som drivs av 21VianetAzureChinaCloud: Azure Operated by 21Vianet
  • Azureusgovernment eller: Azure Government (gcc High/DoD)AzureUSGovernment: Azure Government (GCC High/DoD)
  • AzureUSGovernment2: Azure Government 2AzureUSGovernment2: Azure Government 2
  • AzureUSGovernment3: Azure Government 3AzureUSGovernment3: Azure Government 3

Installera RMS-anslutningstjänstenInstalling the RMS connector

  1. Identifiera datorerna (minst två) för att köra RMS-anslutningen.Identify the computers (minimum of two) to run the RMS connector. De här datorerna måste uppfylla de minimi krav som anges i kraven.These computers must meet the minimum specification listed in the prerequisites.

    Anteckning

    Installera en enda RMS-anslutning (som består av flera servrar för hög tillgänglighet) per klient (Microsoft 365 klient organisation eller Azure AD-klient).Install a single RMS connector (consisting of multiple servers for high availability) per tenant (Microsoft 365 tenant or Azure AD tenant). Till skillnad från Active Directory RMS behöver du inte installera en RMS-anslutningstjänst i varje skog.Unlike Active Directory RMS, you do not have to install an RMS connector in each forest.

  2. Ladda ned källfilerna för RMS-anslutningstjänsten från Microsoft Download Center.Download the source files for the RMS connector from the Microsoft Download Center.

    Hämta RMSConnectorSetup.exe om du vill installera RMS-anslutningstjänsten.To install the RMS connector, download RMSConnectorSetup.exe.

    Dessutom gäller följande:In addition:

    • Om du vill använda verktyget för Server konfiguration för RMS-anslutaren för att automatisera konfigurationen av register inställningar på dina lokala servrar, kan du också hämta GenConnectorConfig.ps1.If you want to use the server configuration tool for the RMS connector, to automate the configuration of registry settings on your on-premises servers, also download GenConnectorConfig.ps1.
  3. Kör RMSConnectorSetup.exe med administratörs behörighet på den dator där du vill installera RMS-anslutaren.On the computer on which you want to install the RMS connector, run RMSConnectorSetup.exe with administrator privileges.

  4. På Välkomst sidan i installations programmet för Microsoft Rights Management Connector väljer du Installera Microsoft Rights Management Connector på datornoch klickar sedan på Nästa.On the Welcome page of Microsoft Rights Management Connector Setup, select Install Microsoft Rights Management connector on the computer, and then click Next.

  5. Läs och godkänn licens villkoren för RMS-anslutningen och klicka sedan på Nästa.Read and agree to the RMS connector license terms, and then click Next.

Ange autentiseringsuppgifterEntering credentials

Innan du kan konfigurera RMS-anslutaren måste du först välja den moln miljö som matchar din lösning.Before you can configure the RMS connector, you must first select the Cloud environment that matches your solution.

  • AzureCloud: kommersiellt utbud av AzureAzureCloud: Commercial offering of Azure
  • AzureChinaCloud: Azure som drivs av 21VianetAzureChinaCloud: Azure Operated by 21Vianet
  • Azureusgovernment eller: Azure Government (gcc High/DoD)AzureUSGovernment: Azure Government (GCC High/DoD)
  • AzureUSGovernment2: Azure Government 2AzureUSGovernment2: Azure Government 2
  • AzureUSGovernment3: Azure Government 3AzureUSGovernment3: Azure Government 3

Välj rätt Azure-miljö för att autentisera din nya AAD RM-koppling

När du har gjort ditt val av moln miljö anger du ditt användar namn och lösen ord.After making your Cloud environment selection, enter your Username and password. Se till att ange autentiseringsuppgifter för ett konto som har tillräcklig behörighet för att konfigurera RMS-anslutaren.Make sure you enter credentials for an account that has sufficient privileges to configure the RMS connector. Du kan till exempel skriva admin@contoso.com och sedan ange lösen ordet för det här kontot.For example, you might type admin@contoso.com and then specify the password for this account.

Om du har implementerat onboarding-kontroller ska du kontrollera att det konto du anger kan skydda innehåll.In addition, if you have implemented onboarding controls, make sure that the account you specify is able to protect content. Om du till exempel har begränsat möjligheten att skydda innehåll till gruppen "IT-avdelningen", måste kontot som du anger här vara medlem i den gruppen.For example, if you restricted the ability to protect content to the "IT department" group, the account that you specify here must be a member of that group. Annars visas fel meddelandet: försöket att identifiera platsen för administrations tjänsten och organisationen misslyckades. Kontrol lera att Microsoft Rights Management-tjänsten är aktive rad för din organisation.If not, you see the error message: The attempt to discover the location of the administration service and organization failed. Make sure Microsoft Rights Management service is enabled for your organization.

Du kan använda ett konto som har någon av följande behörigheter:You can use an account that has one of the following privileges:

  • Global administratör för din klientorganisation: ett konto som är en global administratör för din Microsoft 365 klient organisation eller Azure AD-klient.Global administrator for your tenant: An account that is a global administrator for your Microsoft 365 tenant or Azure AD tenant.

  • Global administratör för Azure Rights Management: Ett konto i Azure Active Directory som har tilldelats rollen global administratör för Azure RMS.Azure Rights Management global administrator: An account in Azure Active Directory that has been assigned the Azure RMS global administrator role.

  • Administratör för Azure Rights Management-anslutningstjänsten: Ett konto i Azure Active Directory som har behörighet att installera och administrera RMS-anslutningstjänsten för organisationen.Azure Rights Management connector administrator: An account in Azure Active Directory that has been granted rights to install and administer the RMS connector for your organization.

    Anteckning

    Rollen Azure Rights Management global administratör och rollen Azure Rights Management Connector-administratör tilldelas konton med hjälp av cmdleten Add-AipServiceRoleBasedAdministrator .The Azure Rights Management global administrator role and Azure Rights Management connector administrator role are assigned to accounts by using the Add-AipServiceRoleBasedAdministrator cmdlet.

    Om du vill köra RMS-anslutningstjänsten med de lägsta privilegierna skapar du ett särskilt konto för detta syfte som du sedan tilldelar rollen som administratör för Azure RMS-anslutningstjänsten på följande sätt:To run the RMS connector with least privileges, create a dedicated account for this purpose that you then assign the Azure RMS connector administrator role by doing the following:

    1. Hämta och installera AIPService PowerShell-modulen om du inte redan har gjort det.If you haven't already done so, download and install the AIPService PowerShell module. Mer information finns i Installera PowerShell-modulen AIPService.For more information, see Installing the AIPService PowerShell module.

      Starta Windows PowerShell med kommandot Kör som administratör och Anslut till skydds tjänsten med hjälp av kommandot Connect-AipService :Start Windows PowerShell with the Run as administrator command, and connect to the protection service by using the Connect-AipService command:

      Connect-AipService                   //provide Microsoft 365 tenant administrator or Azure RMS global administrator credentials
      
    2. Kör sedan kommandot Add-AipServiceRoleBasedAdministrator med bara en av följande parametrar:Then run the Add-AipServiceRoleBasedAdministrator command, using just one of the following parameters:

      Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role "ConnectorAdministrator"
      
      Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role "ConnectorAdministrator"
      
      Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role "ConnectorAdministrator"
      

      Skriv till exempel: Add-AipServiceRoleBasedAdministrator-EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"For example, type: Add-AipServiceRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"

      Även om dessa kommandon tilldelar rollen som anslutnings administratör kan du också använda rollen global Administrator-rollen här.Although these commands assign the connector administrator role, you can also use the GlobalAdministrator role here.

Under installationen av RMS-anslutningstjänsten godkänns och installeras all nödvändig programvara. Internet Information Services (IIS) installeras om det inte redan är gjort och programvaran för anslutningstjänsten installeras och konfigureras.During the RMS connector installation process, all prerequisite software is validated and installed, Internet Information Services (IIS) is installed if not already present, and the connector software is installed and configured. Dessutom förbereds Azure RMS för konfigurationen genom att följande skapas:In addition, Azure RMS is prepared for configuration by creating the following:

  • En tom tabell för servrar som är behöriga att använda anslutningstjänsten för att kommunicera med Azure RMS.An empty table of servers that are authorized to use the connector to communicate with Azure RMS. Lägg till servrar i tabellen senare.Add servers to this table later.

  • En uppsättning säkerhetstoken för anslutningstjänsten, vilka tillåter aktivitet med Azure RMS.A set of security tokens for the connector, which authorize operations with Azure RMS. Dessa token hämtas från Azure RMS och installeras på den lokala datorn i registret.These tokens are downloaded from Azure RMS and installed on the local computer in the registry. De skyddas med hjälp av DPAPI ( Data Protection Application Programming Interface) och autentiseringsuppgifterna för det lokala systemkontot.They are protected by using the data protection application programming interface (DPAPI) and the Local System account credentials.

Gör följande på sista sidan i guiden och klicka sedan på Slutför:On the final page of the wizard, do the following, and then click Finish:

  • Om detta är den första anslutningstjänsten som du installerat ska du inte välja Starta anslutningstjänstens administratörskonsol för att auktorisera servrar just nu.If this is the first connector that you have installed, do not select Launch connector administrator console to authorize servers at this time. Du väljer det här alternativet när du har installerat den andra (eller sista) RMS-anslutningstjänsten.You will select this option after you have installed your second (or final) RMS connector. Kör i stället guiden igen på minst en dator till.Instead, run the wizard again on at least one other computer. Du måste installera minst två anslutningstjänster.You must install a minimum of two connectors.

  • Om du har installerat din andra (eller sista) anslutningstjänst väljer du Starta anslutningstjänstens administratörskonsol för att auktorisera servrar.If you have installed your second (or final) connector, select Launch connector administrator console to authorize servers.

Tips

När du kommit så långt finns det ett verifieringstest som du kan utföra för att testa om webbtjänsterna för RMS-anslutningstjänsten fungerar:At this point, there is a verification test that you can perform to test whether the web services for the RMS connector are operational:

  • Från en webbläsare ansluter du till http://<connectoraddress>/_wmcs/certification/servercertification.asmx och ersätter <connectoraddress> med adressen eller namnet för den server som har RMS-anslutningstjänsten installerad.From a web browser, connect to http://<connectoraddress>/_wmcs/certification/servercertification.asmx, replacing <connectoraddress> with the server address or name that has the RMS connector installed. Vid en lyckad anslutning visas en ServerCertificationWebService-sida.A successful connection displays a ServerCertificationWebService page.

Om du behöver avinstallera RMS-anslutningstjänsten ska du köra guiden igen och välja alternativet för avinstallation.If you need to uninstall the RMS connector, run the wizard again and select the uninstall option.

Om du får problem under installationen kontrollerar du installations loggen: %LocalAppData%\Temp\Microsoft Rights Management connector_ <date and time> . logIf you experience any problems during the installation, check the installation log: %LocalAppData%\Temp\Microsoft Rights Management connector_<date and time>.log

Till exempel kan installations loggen se ut ungefär som C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352. logAs an example, your install log might look similar to C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Auktorisera servrar att använda RMS-anslutningstjänstenAuthorizing servers to use the RMS connector

När du har installerat RMS-anslutningstjänsten på minst två datorer är du redo att auktorisera de servrar och tjänster som ska kunna använda tjänsten.When you have installed the RMS connector on at least two computers, you are ready to authorize the servers and services that you want to use the RMS connector. Det kan till exempel vara servrar som kör Exchange Server 2013 eller SharePoint Server 2013.For example, servers running Exchange Server 2013 or SharePoint Server 2013.

Definiera dessa servrar genom att köra administrationsverktyget för RMS-anslutningstjänsten och lägga till poster i listan över tillåtna servrar.To define these servers, run the RMS connector administration tool and add entries to the list of allowed servers. Du kan köra det här verktyget när du väljer Starta anslutningstjänstens administratörskonsol för att auktorisera servrar i slutet av installationsguiden för Microsoft Rights Management-anslutningstjänsten. Du kan även köra det separat från guiden.You can run this tool when you select Launch connector administration console to authorize servers at the end of the Microsoft Rights Management connector Setup wizard, or you can run it separately from the wizard.

Tänk på följande när du auktoriserar dessa servrar:When you authorize these servers, be aware of the following considerations:

  • Servrar som du lägger till beviljas särskilda behörigheter.Servers that you add are granted special privileges. Alla konton som du anger för Exchange Server-rollen i anslutningstjänstens konfiguration beviljas en superanvändarroll i Azure RMS, vilket ger dem åtkomst till allt innehåll för den här RMS-klienten.All accounts that you specify for the Exchange Server role in the connector configuration are granted the super user role in Azure RMS, which gives them access to all content for this RMS tenant. Om det behövs aktiveras superanvändarfunktionen automatiskt i det här läget.The super user feature is automatically enabled at this point, if necessary. Var noga med att ange vilka konton som används av organisationens Exchange-servrar för att undvika den säkerhetsrisk som förhöjda privilegier innebär.To avoid the security risk of elevation of privileges, be careful to specify only the accounts that are used by your organization’s Exchange servers. Alla servrar som konfigurerats som SharePoint-servrar eller filservrar som använder FCI beviljas vanliga användarbehörigheter.All servers configured as SharePoint servers or file servers that use FCI are granted regular user privileges.

  • Du kan lägga till flera servrar i samma post genom att ange en Active Directory-säkerhetsgrupp eller -distributionsgrupp eller ett tjänstkonto som används av fler än en server.You can add multiple servers as a single entry by specifying an Active Directory security or distribution group, or a service account that is used by more than one server. När du använder den här konfigurationen delar Server gruppen samma RMS-certifikat och anses alla vara ägare till innehåll som någon av dem har skyddat.When you use this configuration, the group of servers shares the same RMS certificates and are all be considered owners for content that any of them have protected. Om du vill minimera de administrativa omkostnaderna rekommenderar vi att du använder den här gruppkonfigurationen i stället för enskilda servrar för att auktorisera Exchange-servrarna i din organisation eller en SharePoint-servergrupp.To minimize administrative overheads, we recommend that you use this configuration of a single group rather than individual servers to authorize your organization’s Exchange servers or a SharePoint server farm.

På sidan servrar som tillåts använda anslutnings tjänsten klickar duLägg till.On the Servers allowed to utilize the connector page, click Add.

Anteckning

Konfigurationen med auktorisering av servrar i Azure RMS är likvärdig med den konfiguration i AD RMS där NTFS-behörighet tillämpas manuellt på ServerCertification.asmx för tjänsten eller serverns datorkonton och superanvändarrättigheter beviljas manuellt för Exchange-kontona.Authorizing servers is the equivalent configuration in Azure RMS to the AD RMS configuration of manually applying NTFS rights to ServerCertification.asmx for the service or server computer accounts, and manually granting user super rights to the Exchange accounts. Det är inte nödvändigt att tillämpa NTFS-behörigheter på ServerCertification.asmx för anslutningstjänsten.Applying NTFS rights to ServerCertification.asmx is not required on the connector.

Lägg till en server i listan över tillåtna servrarAdd a server to the list of allowed servers

På sidan Tillåt en server att använda anslutningstjänsten anger du namnet på objektet eller bläddrar för att identifiera det objekt som ska auktoriseras.On the Allow a server to utilize the connector page, enter the name of the object, or browse to identify the object to authorize.

Det är viktigt att du auktoriserar rätt objekt.It is important that you authorize the correct object. Om en server ska kunna använda anslutningstjänsten måste det konto som kör tjänsten lokalt (till exempel Exchange eller SharePoint) väljas för auktorisering.For a server to use the connector, the account that runs the on-premises service (for example, Exchange or SharePoint) must be selected for authorization. Om tjänsten till exempel körs som ett konfigurerat tjänstkonto ska du lägga till namnet på detta tjänstkonto i listan.For example, if the service is running as a configured service account, add the name of that service account to the list. Om tjänsten körs som ett lokalt system lägger du till namnet på datorobjektet (till exempel SERVERNAME$).If the service is running as Local System, add the name of the computer object (for example, SERVERNAME$). Du bör skapa en grupp som innehåller dessa konton och ange gruppen i stället för namn på enskilda servrar.As a best practice, create a group that contains these accounts and specify the group instead of individual server names.

Mer information om de olika serverrollerna:More information about the different server roles:

  • För servrar som kör Exchange: Du måste ange en säkerhetsgrupp och du kan använda standardgruppen (Exchange-servrar) som Exchange automatiskt skapar och underhåller för alla Exchange-servrar i skogen.For servers that run Exchange: You must specify a security group and you can use the default group (Exchange Servers) that Exchange automatically creates and maintains of all Exchange servers in the forest.

  • För servrar som kör SharePoint:For servers that run SharePoint:

    • Om en SharePoint 2010-server är konfigurerad för att köras som ett lokalt system (den använder inte ett tjänstkonto) ska du manuellt skapa en säkerhetsgrupp i Active Directory Domain Services och lägga till datornamnsobjektet för servern i denna konfiguration till den här gruppen.If a SharePoint 2010 server is configured to run as Local System (it's not using a service account), manually create a security group in Active Directory Domain Services, and add the computer name object for the server in this configuration to this group.

    • Om en SharePoint-server är konfigurerad att använda ett tjänstkonto (rekommenderas för SharePoint 2010 och är det enda alternativet för SharePoint 2016 och SharePoint 2013) gör du följande:If a SharePoint server is configured to use a service account (the recommended practice for SharePoint 2010 and the only option for SharePoint 2016 and SharePoint 2013), do the following:

      1. Lägg till det konto som kör tjänsten Central administration av SharePoint om du vill tillåta att SharePoint konfigureras från dess administratörskonsol.Add the service account that runs the SharePoint Central Administration service to enable SharePoint to be configured from its administrator console.

      2. Lägg till det konto som är konfigurerat för SharePoint-programpoolen.Add the account that is configured for the SharePoint App Pool.

      Tips

      Om dessa två konton är olika bör du överväga att skapa en grupp som innehåller dem båda för att minska de administrativa kostnaderna.If these two accounts are different, consider creating a single group that contains both accounts to minimize the administrative overheads.

  • För filservrar som använder infrastrukturen för filklassificering körs tillhörande tjänster som det lokala systemkontot så du måste auktorisera datorkontot för filservrarna (till exempel SERVERNAME$) eller en grupp som innehåller dessa datorkonton.For file servers that use File Classification Infrastructure, the associated services run as the Local System account, so you must authorize the computer account for the file servers (for example, SERVERNAME$) or a group that contains those computer accounts.

När du är klar med att lägga till servrar i listan klickar du på Stäng.When you have finished adding servers to the list, click Close.

Om du inte redan gjort det måste du nu konfigurera belastningsutjämning för de servrar som har RMS-anslutningstjänsten installerad och överväga att använda HTTPS för anslutningar mellan dessa servrar och de servrar som du just auktoriserat.If you haven’t already done so, you must now configure load balancing for the servers that have the RMS connector installed, and consider whether to use HTTPS for the connections between these servers and the servers that you have just authorized.

Konfigurera belastningsutjämning och hög tillgänglighetConfiguring load balancing and high availability

När du har installerat den andra eller sista instansen av RMS-anslutaren definierar du ett server namn för anslutnings-URL och konfigurerar ett belastnings Utjämnings system.After you have installed the second or final instance of the RMS connector, define a connector URL server name and configure a load-balancing system.

Servernamnet för anslutningstjänstens URL kan vara vilket namn som helst i ett namnområde som du styr över.The connector URL server name can be any name under a namespace that you control. Du kan till exempel skapa en post i DNS-systemet för rmsconnector.contoso.com och konfigurera den här posten så att den använder en IP-adress i belastnings Utjämnings systemet.For example, you could create an entry in your DNS system for rmsconnector.contoso.com and configure this entry to use an IP address in your load-balancing system. Det finns inga särskilda krav för det här namnet och det behöver inte vara konfigurerat på själva anslutningstjänstservrarna.There are no special requirements for this name and it doesn’t need to be configured on the connector servers themselves. Om inte dina Exchange-och SharePoint-servrar kommunicerar med anslutningen via Internet, behöver inte det här namnet lösas på Internet.Unless your Exchange and SharePoint servers are going to be communicating with the connector over the internet, this name doesn’t have to resolve on the internet.

Viktigt

Vi rekommenderar att du inte ändrar namnet när du har konfigurerat Exchange- eller SharePoint-servrar för att använda anslutningstjänsten, eftersom du då måste rensa servrarna på alla IRM-konfigurationer och sedan konfigurera om dem.We recommend that you don’t change this name after you have configured Exchange or SharePoint servers to use the connector, because you have to then clear these servers of all IRM configurations and then reconfigure them.

När namnet skapas i DNS och konfigureras för en IP-adress ska du konfigurera belastningsutjämning för den adressen så att trafiken dirigeras till anslutningstjänstservrarna.After the name is created in DNS and is configured for an IP address, configure load balancing for that address, which directs traffic to the connector servers. Du kan använda vilken IP-baserad lastbalanserare som helst som innehåller NLB-funktionen (lastbalanserare för nätverk) i Windows Server.You can use any IP-based load balancer for this purpose, which includes the Network Load Balancing (NLB) feature in Windows Server. Mer information finns i distributions guiden för belastnings utjämning.For more information, see Load Balancing Deployment Guide.

Använd följande inställningar för att konfigurera NLB-klustret:Use the following settings to configure the NLB cluster:

  • Portar: 80 (för HTTP) eller 443 (för HTTPS)Ports: 80 (for HTTP) or 443 (for HTTPS)

    Mer information om att använda HTTP eller HTTPS finns i nästa avsnitt.For more information about whether to use HTTP or HTTPS, see the next section.

  • Tillhörighet: IngenAffinity: None

  • Distributionsmetod: LikaDistribution method: Equal

Det här namnet som du definierar för det belastningsutjämnade systemet (för servrar som kör RMS-anslutningstjänsten) använder du senare som namn på din organisations RMS-anslutningstjänst när du konfigurerar de lokala servrarna för att använda Azure RMS.This name that you define for the load-balanced system (for the servers running the RMS connector service) is your organization’s RMS connector name that you use later, when you configure the on-premises servers to use Azure RMS.

Konfigurera RMS-anslutningstjänsten för att använda HTTPSConfiguring the RMS connector to use HTTPS

Anteckning

Det här konfigurationssteget är valfritt men rekommenderas för ytterligare säkerhet.This configuration step is optional, but recommended for additional security.

Även om det är valfritt att använda TLS eller SSL för RMS-anslutningstjänsten rekommenderar vi det för alla HTTP-baserade säkerhetskänsliga tjänster.Although the use of TLS or SSL is optional for the RMS connector, we recommend it for any HTTP-based security-sensitive service. Den här konfigurationen autentiserar de servrar som kör anslutningstjänsten på de Exchange- och SharePoint-servrar som använder anslutningstjänsten.This configuration authenticates the servers running the connector to your Exchange and SharePoint servers that use the connector. Dessutom krypteras alla data som skickas från dessa servrar till anslutningstjänsten.In addition, all data that is sent from these servers to the connector is encrypted.

Om du vill göra det möjligt för RMS-anslutningstjänsten att använda TLS ska du på varje server som kör RMS-anslutningstjänsten installera ett certifikat för serverautentisering som innehåller det namn som används för anslutningstjänsten.To enable the RMS connector to use TLS, on each server that runs the RMS connector, install a server authentication certificate that contains the name that you use for the connector. Om det namn för RMS-anslutningstjänsten som du har definierat i DNS till exempel är rmsconnector.contoso.com ska du distribuera ett certifikat för serverautentisering som innehåller rmsconnector.contoso.com i certifikatämnet som nätverksnamn.For example, if your RMS connector name that you defined in DNS is rmsconnector.contoso.com, deploy a server authentication certificate that contains rmsconnector.contoso.com in the certificate subject as the common name. Du kan även ange rmsconnector.contoso.com i certifikatets alternativa namn som DNS-värde.Or, specify rmsconnector.contoso.com in the certificate alternative name as the DNS value. Certifikatet behöver inte inkludera namnet på servern.The certificate does not have to include the name of the server. Gå sedan till IIS och bind det här certifikatet till standardwebbplatsen.Then in IIS, bind this certificate to the Default Web Site.

Om du använder HTTPS-alternativet måste du kontrollera att alla servrar som kör anslutningstjänsten har ett giltigt certifikat för serverautentisering som går att härleda till en rotcertifikatutfärdare som dina Exchange- och SharePoint-servrar litar på.If you use the HTTPS option, ensure that all servers that run the connector have a valid server authentication certificate that chains to a root CA that your Exchange and SharePoint servers trust. Dessutom måste Exchange- och SharePoint-servrarna kunna hämta listan över återkallade certifikat om den certifikatutfärdare (CA) som utfärdade certifikaten för anslutningstjänstservrarna publicerar en sådan lista.In addition, if the certification authority (CA) that issued the certificates for the connector servers publishes a certificate revocation list (CRL), the Exchange and SharePoint servers must be able to download this CRL.

Tips

Du kan använda följande information och resurser som hjälp när du ska begära och installera ett certifikat för serverautentisering och binda det till standardwebbplatsen i IIS:You can use the following information and resources to help you request and install a server authentication certificate, and to bind this certificate to the Default Web Site in IIS:

  • Om du använder Active Directory Certificate Services (AD CS) och en företagscertifikatutfärdare för att distribuera dessa certifikat för serverautentisering kan du kopiera och sedan använda webbserverns certifikatmall.If you use Active Directory Certificate Services (AD CS) and an enterprise certification authority (CA) to deploy these server authentication certificates, you can duplicate and then use the Web Server certificate template. Denna certifikatmall använder Anges i begäran som certifikatets ämnesnamn. Det innebär att du kan ange det fullständiga domännamnet för RMS-anslutningstjänstnamnet för certifikatets ämnesnamn eller alternativa ämnesnamn när du begär certifikatet.This certificate template uses Supplied in the request for the certificate subject name, which means that you can provide the FQDN of the RMS connector name for the certificate subject name or subject alternative name when you request the certificate.
  • Om du använder en fristående certifikatutfärdare eller köper det här certifikatet från ett annat företag hittar du information om detta i Konfigurera Internet-servercertifikat (IIS 7) i dokumentationsbiblioteket för Webbserver (IIS) på TechNet.If you use a stand-alone CA or purchase this certificate from another company, see Configuring Internet Server Certificates (IIS 7) in the Web Server (IIS) documentation library on TechNet.
  • Om du vill konfigurera IIS för att använda certifikatet finns det mer information om detta i Lägga till en bindning till en webbplats (IIS 7) i dokumentationsbiblioteket för Webbserver (IIS) på TechNet.To configure IIS to use the certificate, see Add a Binding to a Site (IIS 7) in the Web Server (IIS) documentation library on TechNet.

Konfigurera RMS-anslutningstjänsten för en webbproxyserverConfiguring the RMS connector for a web proxy server

Om anslutnings servrarna är installerade i ett nätverk som inte har direkt Internet anslutning och kräver manuell konfiguration av en webbproxyserver för utgående Internet åtkomst, måste du konfigurera registret på dessa servrar för RMS-anslutningen.If your connector servers are installed in a network that does not have direct internet connectivity and requires manual configuration of a web proxy server for outbound internet access, you must configure the registry on these servers for the RMS connector.

Så här konfigurerar du RMS-anslutningstjänsten för att använda en webbproxyserverTo configure the RMS connector to use a web proxy server

  1. Öppna en registereditor (till exempel Regedit) på varje server som kör RMS-anslutingstjänsten.On each server running the RMS connector, open a registry editor, such as Regedit.

  2. Navigera till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\ConnectorNavigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Lägg till strängvärdet för ProxyAddress och ange sedan att Data för det här värdet ska vara http://<MyProxyDomainOrIPaddress>:<MyProxyPort>Add the string value of ProxyAddress and then set the Data for this value to be http://<MyProxyDomainOrIPaddress>:<MyProxyPort>

    Exempel: http://proxyserver.contoso.com:8080For example: http://proxyserver.contoso.com:8080

  4. Stäng registereditorn och starta om servern eller utför ett IISReset-kommando för att starta om IIS.Close the registry editor, and then restart the server or perform an IISReset command to restart IIS.

Installera administrationsverktyget för RMS-anslutningstjänsten på datorer som används för administrationInstalling the RMS connector administration tool on administrative computers

Du kan köra administrationsverktyget för RMS-anslutningstjänsten från en dator som inte har RMS-anslutningstjänsten installerad, om datorn uppfyller följande krav:You can run the RMS connector administration tool from a computer that does not have the RMS connector installed, if that computer meets the following requirements:

  • En fysisk eller virtuell dator som kör Windows Server 2019, 2016, 2012 eller Windows Server 2012 R2 (alla utgåvor), Windows 10, Windows 8,1, Windows 8.A physical or virtual computer running Windows Server 2019, 2016, 2012 or Windows Server 2012 R2 (all editions), Windows 10, Windows 8.1, Windows 8.

  • Minst 1 GB RAM-minne.At least 1 GB of RAM.

  • Minst 64 GB diskutrymme.A minimum of 64 GB of disk space.

  • Minst ett nätverksgränssnitt.At least one network interface.

  • Åtkomst till Internet via en brand vägg (eller webbproxy).Access to the internet via a firewall (or web proxy).

Om du vill installera administrationsverktyget för RMS-anslutningstjänsten kör du följande filer:To install the RMS connector administration tool, run the following files:

  • För en dator med 64 bitar: RMSConnectorSetup.exeFor a 64-bit computer: RMSConnectorSetup.exe

Om du inte redan har hämtat dessa filer kan du göra det från Microsoft Download Center.If you haven’t already downloaded these files, you can do so from the Microsoft Download Center.

Nästa stegNext steps

Nu när RMS-anslutningstjänsten har installerats och konfigurerats är du redo att konfigurera dina lokala servrar för att använda den.Now that the RMS connector is installed and configured, you are ready to configure your on-premises servers to use it. Gå till Konfigurera servrar för Azure Rights Management-anslutningen.Go to Configuring servers for the Azure Rights Management connector.