为 Microsoft Rights Management 连接器配置服务器

适用于:Azure信息保护、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

使用以下信息来帮助配置本地服务器,这些服务器将使用 Azure Rights Management (RMS) 连接器。 这些过程涵盖部署 Microsoft Rights Management 连接器 中的步骤5。

先决条件:在开始之前,请确保已安装 : - 已安装并配置 RMS 连接器 - 检查了与将使用连接器的服务器相关的任何先决条件。

将服务器配置为使用 RMS 连接器

安装并配置 RMS 连接器后,即可配置将连接到 Azure Rights Management 服务并使用此保护技术本地服务器。

这意味着配置以下服务器:

环境 要配置的服务器
2013 Exchange 2013 年 1 月 客户端访问服务器和邮箱服务器
2016 Exchange 2016 Exchange 2019 年 1 月 邮箱服务器 (包括客户端访问和中心传输服务器角色)
SharePoint 前端 SharePoint Web 服务器,包括托管管理中心服务器的服务器
文件分类基础结构 Windows安装文件资源管理器的服务器计算机

此配置需要注册表设置,并具有以下选项:

重要

在这两种情况下,必须手动安装任何必备组件,并配置Exchange、SharePoint和文件分类基础结构,以使用权限管理。

注意

对于大多数组织来说,使用适用于 Microsoft RMS 连接器的服务器配置工具进行自动配置将是更好的选择,因为它比手动配置更高效和可靠性。

在这些服务器上进行配置更改后,如果它们运行 Exchange 或 SharePoint,并且之前已配置为使用 AD RMS,则必须重新启动它们。 如果是首次为权限管理配置这些服务器,则无需重启这些服务器。

进行这些配置更改后,必须始终重启配置为使用文件分类基础结构的文件服务器。

自动编辑注册表设置 - 优缺点

使用 Microsoft RMS 连接器的服务器配置工具自动编辑注册表设置。

优点包括

  • 不直接编辑注册表。 这是通过使用脚本自动执行。

  • 无需运行 Windows PowerShell cmdlet 即可获取 Microsoft RMS URL。

  • 如果在本地运行,系统会自动 (先决条件,) 自动修正先决条件。

缺点包括:运行该工具时,必须与已在运行 RMS 连接器的服务器建立连接。

有关详细信息,请参阅如何使用 Microsoft RMS 连接器的服务器配置工具

手动编辑注册表设置 - 优缺点

优点包括:无需连接到运行 RMS 连接器的服务器。

缺点包括

  • 易出错的更多管理开销。

  • 必须获取 Microsoft RMS URL,这要求运行 Windows PowerShell 命令。

  • 必须始终自己检查所有先决条件。

如何使用 Microsoft RMS 连接器的服务器配置工具

  1. 如果尚未下载适用于 Microsoft RMS 连接器 (GenConnectorConfig.ps1 ) 服务器配置工具的脚本,请从 Microsoft 下载中心 下载

  2. GenConnectorConfig.ps1 文件保存在要运行该工具的计算机上。

    如果在本地运行该工具,则必须是要配置为与 RMS 连接器通信的服务器。 否则,你可以将其保存在任何计算机上。

  3. 决定如何运行该工具:

    方法 说明
    本地 从要配置为与 RMS 连接器通信的服务器以交互方式运行该工具。

    提示:这适用于一次配置,例如测试环境。
    软件部署 运行该工具以生成注册表文件,然后将这些文件部署到一个或多个相关服务器。

    使用支持软件部署的系统管理应用程序(例如 System Center Configuration Manager)部署注册表文件。
    组策略 运行该工具,生成一个脚本,该脚本将授予管理员,管理员可以为要配置的服务器创建组策略对象。

    此脚本为要配置的每个服务器类型创建一个组策略对象,然后管理员可以将其分配给相关服务器。

    注意

    此工具配置要与 RMS 连接器通信的服务器,这些服务器将在本部分开头列出。 请勿在运行 RMS 连接器的服务器上运行此工具。

  4. 使用Windows PowerShell"以管理员方式运行"选项开始运行,并使用Get-help命令阅读有关如何使用该工具进行所选配置方法的说明:

    Get-help .\GenConnectorConfig.ps1 -detailed
    

若要运行脚本,必须输入组织的 RMS 连接器的 URL。

输入协议前缀 (HTTP:// HTTPS://) ,以及你在 DNS 中为连接器的负载均衡地址定义的连接器的名称。 例如 https:\//connector.contoso.com ,。

然后,该工具使用该 URL 来联系运行 RMS 连接器的服务器,并获取用于创建所需配置的其他参数。

重要

运行此工具时,请确保为组织指定负载均衡 RMS 连接器的名称,而不是运行 RMS 连接器服务的单个服务器的名称。

对于每种服务类型,请使用以下部分获取特定信息:

何时在未配置为使用连接器的单独计算机上安装客户端应用程序

将这些服务器配置为使用连接器后,这些服务器上本地安装的客户端应用程序可能无法与 RMS 一起运行。 发生这种情况的原因是应用程序尝试使用连接器,而不是直接使用 RMS,这不受支持。

此外,如果 Exchange 服务器上本地安装了 Office 2010,则客户端应用的 IRM 功能可能在将服务器配置为使用连接器后从该计算机工作,但不受支持。

在这两种方案中,必须在未配置为使用连接器的单独计算机上安装客户端应用程序。 然后,他们将直接正确使用 RMS。

重要

Office 2010 扩展支持于 2020 年 10 月 13 日结束。 有关详细信息,请参阅AIP 和旧版 Windows Office 版本

将 Exchange 服务器配置为使用连接器

以下Exchange角色与 RMS 连接器通信:

  • 对于 Exchange 2016 和 Exchange 2013:客户端访问服务器和邮箱服务器

  • 对于 Exchange 2019:客户端访问服务器和中心传输服务器

若要使用 RMS 连接器,这些运行 Exchange的服务器必须运行以下软件版本之一:

  • Exchange Server 2016 年 1 月

  • 2013 Exchange Server 2013 年 Exchange 累积更新 3

  • 2019 Exchange Server 2019 年 1 月

还需要在这些服务器上(RMS 客户端版本 1 (也称为 MSDRM) ,其中包含对 RMS 加密模式 2 的支持。 所有Windows包括 MSDRM 客户端,但早期版本的客户端不支持加密模式 2。 如果Exchange服务器至少运行Windows Server 2012,则无需进一步操作,因为随这些操作系统一起安装的 RMS 客户端原生支持加密模式 2。

重要

如果未安装这些版本或更高版本的 Exchange 并且未安装 MSDRM 客户端,则不能将 Exchange 配置为使用连接器。 在继续之前,请检查这些版本是否已安装。

将Exchange配置为使用连接器

  1. 通过使用 RMS 连接器管理工具Exchange授权服务器使用 RMS 连接器部分的信息,请确保这些服务器有权使用RMS连接器。

    此配置是必需的,Exchange RMS 连接器。

  2. 在Exchange RMS 连接器通信的服务器角色上,执行下列操作之一:

    • 运行 Microsoft RMS 连接器的服务器配置工具

      有关详细信息,请参阅如何使用 Microsoft RMS 连接器的服务器配置工具

      例如,若要在本地运行该工具以配置运行 2016 Exchange 2013 Exchange的服务器:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetExchange2013
      
    • 进行手动注册表编辑。 有关详细信息,请参阅 RMS 连接器的注册表设置

  3. 使用 PowerShell cmdlet set-IRMConfigurationExchange为 Exchange 启用 IRM 功能。 设置 InternalLicensingEnabled $trueClientAccessServerEnabled $true 和 。

将 SharePoint 服务器配置为使用连接器

前端服务器SharePoint服务器(包括托管管理中心服务器的服务器)与 RMS 连接器通信。

若要使用 RMS 连接器,这些运行 SharePoint的服务器必须运行以下软件版本之一:

  • SharePoint Server 2019

  • SharePoint Server 2016

  • SharePoint Server 2013

  • SharePoint Server 2010

运行 SharePoint 2019、2016 或 SharePoint 2013 的服务器还必须运行 RMS 连接器支持的 MSIPC 客户端 2.1 版本。

若要确保拥有受支持的版本,请从 Microsoft 下载中心下载 最新的客户端

警告

MSIPC 2.1 客户端有多个版本,因此请确保版本为 1.0.2004.0 或更高版本。

可以通过检查位于\Program Files\Active Directory Rights Management Services Client 2.1中的 MSIPC.dll 版本号来验证客户端版本。 "属性"对话框显示 MSIPC 2.1 客户端的版本号。

运行 SharePoint 2010 的服务器必须已安装 MSDRM 客户端的版本,其中包括对 RMS 加密模式 2 的支持。 Windows Server 2012 R2 Windows Server 2012支持加密模式 2。

将SharePoint配置为使用连接器

  1. 通过使用 RMS 连接器管理工具以及授权服务器使用 RMS 连接器部分的信息,确保授权 SharePoint 服务器使用RMS 连接器

    此配置是必需的,以便SharePoint服务器可以使用 RMS 连接器。

  2. 在SharePoint RMS 连接器通信的服务器上,执行下列操作之一:

    • 运行 Microsoft RMS 连接器的服务器配置工具

      有关详细信息,请参阅如何使用 Microsoft RMS 连接器的服务器配置工具

      例如,若要在本地运行该工具,以配置运行 2019、2016 SharePoint 2013 SharePoint的服务器:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetSharePoint2013
      
    • 如果使用SharePoint 2019、2016 或 SharePoint 2013,请通过使用RMS连接器的注册表设置中的信息手动添加服务器上注册表设置进行手动注册表编辑。

  3. 在 SharePoint 中启用 IRM。 有关详细信息,请参阅在 SharePoint 库中配置 (SharePoint Server 2010) 信息权限管理。

    按照这些说明操作时,必须通过SharePoint"使用此RMS服务器"来配置连接器,然后输入配置的负载均衡连接器 URL。

    输入协议前缀 (HTTP:// HTTPS://) ,以及你在 DNS 中为连接器的负载均衡地址定义的连接器的名称。

    例如,如果连接器名称为 https:\//connector.contoso.com ,则配置如下图所示:

    为 RMS SharePoint配置 SharePoint 服务器

    在 SharePoint 场上启用 IRM 后,可以使用每个库的"库"设置页上的"信息权限管理"选项在单个库上启用 IRM。

为文件分类基础结构配置文件服务器以使用连接器

若要使用 RMS 连接器和文件分类基础结构Office文档,文件服务器必须运行以下操作系统之一:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

将文件服务器配置为使用连接器

  1. 通过使用 RMS 连接器管理工具以及授权服务器使用 RMS 连接器部分的信息,确保文件服务器有权 使用 RMS 连接器

    需要此配置,以便文件服务器可以使用 RMS 连接器。

  2. 在为文件分类基础结构配置并与 RMS 连接器通信的文件服务器上,执行下列操作之一:

    • 运行 Microsoft RMS 连接器的服务器配置工具

      有关详细信息,请参阅如何使用 Microsoft RMS 连接器的服务器配置工具

      例如,若要在本地运行该工具以配置运行 FCI 的文件服务器,请执行以下操作:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetFCI2012
      
    • 通过使用 RMS连接器的注册表设置中的信息手动添加服务器上注册表设置,进行手动注册表编辑。

  3. 创建分类规则和文件管理任务以使用 RMS 加密保护文档,然后指定 RMS 模板以自动应用 RMS 策略。

    有关详细信息,请参阅服务器文档库中的文件服务器资源管理器Windows概述。

下一步

安装并配置 RMS 连接器并配置服务器以使用它后,IT 管理员和用户可以使用 Azure Rights Management 服务保护和使用电子邮件和文档。

为方便用户完成此操作,请部署 Azure 信息保护客户端,该客户端为 Office 安装加载项,并将新的右键单击选项添加到文件资源管理器。

有关详细信息,请参阅 Azure 信息保护客户端管理员指南

请注意,如果要配置要用于 Exchange 传输规则或 Windows Server FCI 的部门模板,范围配置必须包含应用程序兼容性选项,以便选中"当应用程序不支持用户标识时向所有用户显示此模板"复选框。

可以使用 Azure 信息保护部署 路线图来检查在向用户和管理员推出 Azure Rights Management 之前,是否可能需要执行其他配置步骤。

若要监视 RMS 连接器,请参阅 监视 Microsoft Rights Management 连接器