安装和配置 Microsoft Rights Management 连接器

适用于:Azure信息保护、Windows Server 2019、2016、2012 R2 和 Windows Server 2012

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

使用以下信息来帮助安装和配置 Microsoft Rights Management (RMS) 连接器。 这些过程涵盖部署 Microsoft Rights Management 连接器 中的步骤 1 步骤 4。

开始之前:

  • 请确保已查看并检查此 部署 的先决条件。

  • 请确保知道连接器能够完成设置和配置的正确 Azure 主权云实例。

安装 RMS 连接器

  1. 标识至少 (两) 运行 RMS 连接器的计算机。 这些计算机必须满足先决条件中列出的最低规范。

    注意

    安装单个 RMS 连接器 (,该连接器由多个服务器组成,) 租户或 (Microsoft 365租户Azure AD高可用性) 。 与 Active Directory RMS 不同,不需要在每个林中安装 RMS 连接器。

  2. 从 Microsoft 下载中心下载 RMS 连接器 的源文件

    若要安装 RMS 连接器,请下载RMSConnectorSetup.exe。

    此外,如果要对 RMS 连接器使用服务器配置工具,若要在本地服务器上自动配置注册表设置,请同时下载GenConnectorConfig.ps1。

  3. 在要安装 RMS 连接器的计算机上,使用 管理员RMSConnectorSetup.exe 运行。

  4. 在"Microsoft Rights Management Connector 安装程序"的"欢迎"页上,选择"在计算机上安装Microsoft Rights Management 连接器",并单击"下一步"。

  5. 阅读并接受End-User条款,然后单击"下一步"。

  6. "页中,选择与解决方案匹配的云环境。 例如,选择 "AzureCloud" 作为 Azure 商业产品/服务。 否则,请选择以下选项之一:

    • AzureChinaCloud:由世纪网运营的 Azure
    • AzureUSGovernment:AzureGovernment (GCC High/DoD)
    • AzureUSGovernment2:Azure政府 2
    • AzureUSGovernment3:AzureGovernment 3
  7. 选择 "以登录到帐户。 请确保为具有足够权限来配置 RMS 连接器的帐户输入凭据。

    可以使用具有以下权限之一的帐户:

    • 租户的全局管理员:一个帐户,它是租户或租户Microsoft 365全局Azure AD管理员。

    • Azure Rights Management 全局管理员:Azure Active Directory Azure RMS 帐户的帐户全局管理员角色。

    • Azure Rights Management 连接器管理员:Azure Active Directory组织中已被授予安装和管理 RMS 连接器的权限的帐户。

    使用 Add-AipServiceRoleBasedAdministrator cmdlet 将 Azure Rights Management 全局管理员角色 和 Azure Rights Management 连接器管理员角色分配给帐户。

    注意

    如果已实现 载入控件,请确保指定的帐户能够保护内容。

    例如,如果将内容保护功能限制为"IT 部门"组,则在此处指定的帐户必须是该组的成员。 如果没有,则会显示错误消息:尝试发现管理服务和组织 的位置失败。确保为组织启用了 Microsoft Rights Management 服务。

    提示

    若要以最低特权运行 RMS 连接器,请为此创建一个专用帐户,然后分配 Azure RMS 连接器管理员角色。 有关详细信息,请参阅为 RMS 连接器创建专用帐户

  8. 在向导的最后一页上,执行以下操作,然后单击"完成":

    • 如果这是已安装的第一个连接器,请勿选择"启动 连接器管理员 控制台"来授权服务器。 安装第二个 RMS 连接器或最终 (后,将) 此选项。 而是在至少一台其他计算机上再次运行向导。 必须安装至少两个连接器。

    • 如果已安装第二个 (或最终) 连接器,请选择"启动连接器管理员控制台" 以授权服务器

在 RMS 连接器安装过程中,将验证并安装所有必备软件,Internet Information Services (IIS) (如果尚未安装)以及安装和配置连接器软件。 Azure RMS 还通过创建以下项做好配置准备:

  • 一个空的服务器 表,这些服务器有权使用连接器与 Azure RMS 通信。 稍后将 服务器添加到此表。

  • 连接器的一组 安全令牌,用于授权使用 Azure RMS 的操作。 这些令牌从 Azure RMS 下载并安装在注册表中的本地计算机上。 使用 DPAPI 帐户和本地系统帐户凭据 (应用程序编程接口) 保护它们。

为 RMS 连接器创建专用帐户

此过程介绍如何创建专用帐户,以尽可能以最小特权运行 Azure RMS 连接器,以在 RMS连接器安装期间登录时使用。

  1. 如果尚未这样做,请下载并安装 AIPService PowerShell 模块。 有关详细信息,请参阅安装 AIPService PowerShell 模块

    使用Windows PowerShell"管理员方式运行"命令启动保护,然后使用连接-AipService命令连接到保护服务:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. 使用以下 参数之一运行 Add-AipServiceRoleBasedAdministrator 命令:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    例如,运行: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

尽管这些命令分配了连接器管理员角色,但也可以改为使用 GlobalAdministrator 角色。

验证安装

  • 验证 RMS 连接器的 Web 服务是否正常运行

    从 Web 浏览器连接到http:// connectoraddress > /_wmcs/certification/servercertification.asmx,将>替换为已安装 RMS 连接器的服务器地址或名称。

    成功连接会显示 ServerCertificationWebService 页。

  • 验证用户读取或修改 RMS 或 AIP 保护的文档的能力

    在 RMS 连接器计算机上,打开事件查看器并转到"应用程序"Windows日志"。 从 Microsoft RMS 连接器 源查找包含"信息级别" 的条目

    该条目应包含如下所示的消息: The list of authorized accounts has been updated

    事件查看器中 RMS 连接器事件的屏幕截图。

如果需要卸载 RMS 连接器,请通过系统设置页或再次运行向导并选择卸载选项进行卸载。

如果在安装过程中遇到任何问题,请检查安装日志 :%LocalAppData%\Temp\Microsoft Rights Management connector_ 日期和时间 > .log

例如,安装日志可能类似于 C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

授权服务器使用 RMS 连接器

在至少两台计算机上安装 RMS 连接器后,即可授权要使用 RMS 连接器的服务器和服务。 例如,运行 Exchange Server 2013 或 SharePoint Server 2013 的服务器。

若要定义这些服务器,请运行 RMS 连接器管理工具,将条目添加到允许的服务器列表中。 选择"启动连接器管理控制台"以在 Microsoft Rights Management Connector 安装向导末尾对服务器进行授权时,可以运行此工具,也可以从向导单独运行此工具。

授权这些服务器时,请注意以下注意事项:

  • 添加的服务器将被授予特殊权限。 在连接器配置中为 Exchange Server 角色指定的所有帐户在 Azure RMS 中都被授予超级用户角色,这样他们可以访问此 RMS 租户的所有内容。 超级用户功能此时会自动启用(如有必要)。 若要避免提升权限的安全风险,请谨慎仅指定组织服务器Exchange帐户。 配置为使用 FCI SharePoint服务器或文件服务器的所有服务器都被授予常规用户权限。

  • 可以通过指定 Active Directory 安全性或通讯组,或者指定多个服务器使用的服务帐户,将多个服务器添加为单个条目。 使用此配置时,服务器组共享相同的 RMS 证书,并被视为任何服务器受保护内容的所有者。 为了尽量减少管理开销,建议使用单个组的此配置,而不是单个服务器来授权组织的 Exchange 服务器或 SharePoint服务器场。

在"允许使用连接器的服务器"页上,选择"添加"。

注意

授权服务器是 Azure RMS 中与 AD RMS 配置的等效配置,即手动将 NTFS 权限应用于服务或服务器计算机帐户的ServerCertification.asmx,并手动向 Exchange 帐户授予用户超级权限。 连接器上不需要将 NTFS 权限应用到ServerCertification.asmx。

将服务器添加到允许的服务器列表

"允许服务器利用连接器 "页上,输入对象的名称,或浏览以标识要授权的对象。

必须授权正确的对象。 若要让服务器使用连接器,必须选择运行本地服务的帐户 (,例如,Exchange或SharePoint) 帐户进行授权。 例如,如果服务作为配置的服务帐户运行,则向列表添加该服务帐户的名称。 如果服务作为本地系统运行,请添加计算机对象的名称 (例如 SERVERNAME$) 。 最佳做法是创建包含这些帐户的组,并指定组而不是单个服务器名称。

有关不同服务器角色的信息:

  • 对于运行 Exchange的服务器:必须指定一个安全组,并且可以使用默认组 (Exchange服务器) Exchange自动创建和维护林中所有 Exchange 服务器。

  • 对于运行 SharePoint:

    • 如果将 SharePoint 2010 服务器配置为作为本地系统 (则它未使用服务帐户) ,请手动在 Active Directory 域服务中创建一个安全组,并在此配置中将服务器的计算机名称对象添加到此组。

    • 如果将 SharePoint 服务器配置为使用服务帐户 (则针对 SharePoint 2010 的建议做法以及 SharePoint 2016 和 SharePoint 2013) 的唯一选项,请执行下列操作:

      1. 添加运行管理中心SharePoint服务的服务帐户,SharePoint管理员控制台配置服务。

      2. 添加为应用池配置SharePoint帐户。

      提示

      如果这两个帐户不同,请考虑创建包含这两个帐户的单个组,以尽量减少管理开销。

  • 对于使用文件分类基础结构的文件服务器,关联的服务作为本地系统帐户运行,因此必须为文件服务器授权计算机帐户 (例如SERVERNAME$) 或包含这些计算机帐户的组。

完成将服务器添加到列表后,单击"关闭"。

如果尚未这样做,则现在必须为已安装 RMS 连接器的服务器配置负载均衡,并考虑是否使用这些服务器与刚刚授权的服务器之间的连接使用 HTTPS。

配置负载均衡和高可用性

安装 RMS 连接器的第二个或最后一个实例后,定义连接器 URL 服务器名称并配置负载均衡系统。

连接器 URL 服务器名称可以是所控制的命名空间下的任何名称。 例如,可以在 DNS 系统中为用户创建一个rmsconnector.contoso.com,并配置此条目以在负载均衡系统中使用 IP 地址。 此名称没有特殊要求,不需要在连接器服务器本身上配置。 除非Exchange SharePoint服务器通过 Internet 与连接器通信,否则此名称不必在 Internet 上解析。

重要

建议在将 Exchange 或 SharePoint 服务器配置为使用连接器后不要更改此名称,因为随后必须清除所有 IRM 配置的这些服务器,然后重新配置这些服务器。

在 DNS 中创建名称并针对 IP 地址配置名称后,请配置该地址的负载均衡,以将流量引导到连接器服务器。 为此,可以使用任何基于 IP 的负载均衡器,其中包括 Windows Server 中的网络负载均衡 (NLB) 功能。 有关详细信息,请参阅 负载均衡部署指南

使用以下设置配置 NLB 群集:

  • 端口:80 (HTTP) ,443 (HTTPS)

    有关是使用 HTTP 还是 HTTPS 的信息,请参阅下一部分。

  • 相关性:无

  • 分布方法:等于

为运行 RMS 连接器服务) 的服务器为负载均衡系统 (定义的此名称是组织稍后在将本地服务器配置为使用 Azure RMS 时使用的 RMS 连接器名称。

将 RMS 连接器配置为使用 HTTPS

注意

此配置步骤是可选的,但建议这样做,以提供额外的安全性。

尽管对于 RMS 连接器来说,可以选择使用 TLS 或 SSL,但建议对基于 HTTP 的任何安全敏感服务使用 TLS 或 SSL。 此配置对运行连接器的服务器进行身份验证,Exchange SharePoint连接器的服务器。 此外,从这些服务器发送到连接器的所有数据都经过加密。

若要使 RMS 连接器能够使用 TLS,在运行 RMS 连接器的每个服务器上,安装包含用于连接器的名称的服务器身份验证证书。 例如,如果在 DNS 中定义的 RMS 连接器名称为rmsconnector.contoso.com,请部署服务器身份验证证书,其中包含证书rmsconnector.contoso.com 作为公用名称。 或者, 在 rmsconnector.contoso.com 名称中指定名称作为 DNS 值。 证书无需包含服务器的名称。 然后在 IIS 中,将此证书绑定到默认网站。

如果使用 HTTPS 选项,请确保运行连接器的所有服务器都有一个有效的服务器身份验证证书,该证书可链到 Exchange 服务器SharePoint根 CA。 此外,如果颁发连接器服务器的证书的证书颁发机构 (CA) 发布了证书吊销列表 (CRL) ,则 Exchange 和 SharePoint 服务器必须能够下载此 CRL。

提示

可以使用以下信息和资源来帮助请求和安装服务器身份验证证书,以及将此证书绑定到 IIS 中的默认网站:

  • 如果使用 Active Directory 证书服务 (AD CS) 和企业证书颁发机构 (CA) 来部署这些服务器身份验证证书,可以复制然后使用 Web 服务器证书模板。 此证书模板使用请求中提供的证书主体名称,这意味着可以在请求证书时为证书主体名称或主题备用名称提供 RMS 连接器名称的 FQDN。

  • 如果使用独立CA或从另一家公司购买此证书,请参阅 TechNet 上的Web Server (IIS) 文档库中配置 Internet Server 证书 (IIS 7) 。

  • 若要将IIS配置为使用证书,请参阅 TechNet 上的Web Server (IIS) 文档库中的向站点 (IIS 7) 添加绑定。

为 Web 代理服务器配置 RMS 连接器

如果连接器服务器安装在没有直接 Internet 连接的网络中,并且需要手动配置 Web 代理服务器进行出站 Internet 访问,则必须在这些服务器上为 RMS 连接器配置注册表。

将 RMS 连接器配置为使用 Web 代理服务器

  1. 在运行 RMS 连接器的每个服务器上,打开注册表编辑器,例如 Regedit。

  2. 导航 到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. 添加ProxyAddress的字符串值,然后将此值的"数据"设置为 http:// MyProxyDomainOrIPaddress: < MyProxyPort >

    例如: http://proxyserver.contoso.com:8080

  4. 关闭注册表编辑器,然后重启服务器或执行 IISReset 命令以重启 IIS。

在管理计算机上安装 RMS 连接器管理工具

如果计算机满足以下要求,可以从未安装 RMS 连接器的计算机运行 RMS 连接器管理工具:

  • 运行 Windows Server 2019、2016、2012 或 Windows Server 2012 R2 (所有版本) 、Windows 11、Windows 10、Windows 8.1、Windows 8 的物理或虚拟计算机。

  • 至少 1 GB RAM。

  • 至少 64 GB 的磁盘空间。

  • 至少一个网络接口。

  • 通过防火墙或 Web 代理 (访问 internet) 。

  • .NET 4.7.2

若要安装 RMS 连接器管理工具,请为 64 位计算机运行以下文件 :RMSConnectorSetup.exe

如果尚未下载这些文件,可以从 Microsoft 下载中心下载。

有关详细信息,请参阅 RMS 连接器的先决条件

更新 RMS 连接器安装

安装新版本的 RMS 连接器会自动卸载任何早期版本并安装所需的 .NET 4.7.2。 如果遇到任何问题,请按照以下说明手动卸载以前的版本并安装 .NET 4.7.2。

  1. 在 RMS 连接器计算机上,使用 "应用 功能 设置"页卸载 Microsoft Rights Management Connector

    在旧版系统上,你可能会在"控制面板计划"和"功能" 页找到"未安装" 选项。

    在向导中导航以卸载 Microsoft Rights Management 连接器,选择 末尾的" 完成"。

  2. 验证计算机是否安装了 .NET 4.7.2。 有关详细信息,请参阅如何:确定.NET Framework安装的版本

    如果需要,请下载并安装.NET 版本 4.7.2。

    在系统提示时重启计算机,然后继续 安装新的 RMS 连接器版本

对 Azure RMS 连接器强制实施 TLS 1.2

默认情况下,Microsoft 将在 2022 年 3 月 1 日禁用旧式不安全 TLS 协议,包括 RMS 服务上的 TLS 1.0 和 TLS 1.1。 若要准备弃用,可能需要关闭对 RMS 连接器服务器上这些旧协议的支持,并确保系统继续按照预期工作。

本部分介绍在 RMS 连接器服务器上禁用传输层安全性 (TLS) 1.0 和 1.1 并强制使用 TLS 1.2 的步骤。

关闭 TLS 1.0 和 1.1 并强制使用 TLS 1.2

  1. 确保 RMS 连接器计算机上 .NET Framework 的版本为 4.7.2。 有关详细信息,请参阅.NET Framework 版本 4.7.2。

  2. 下载并安装最新可用的 RMS 连接器版本。 有关详细信息,请参阅安装 RMS 连接器

  3. 重新启动 RMS 连接器服务器,并测试 RMS 连接器功能。 例如,确保本地 RMS 用户能够读取其加密文档。

有关详细信息,请参阅:

验证 TLS 1.2 使用情况 (高级)

此过程提供了如何验证是否使用了 TLS 1.2 的示例,并且需要事先了解Fiddler。

  1. 在 RMS 连接器计算机上下载并安装Fiddler。

  2. 打开 Fiddler,然后打开 Microsoft RMS 连接器管理工具。

  3. 选择 "登录",尽管不需要实际登录来完成验证。

  4. 在左侧的 Fiddler 窗口中,找到 msconnectoradmin 进程。 此过程应尝试与 discover.aadrm.com 建立安全连接

    例如:

    Fiddler 的屏幕截图,显示 msconnectoradmin 进程尝试使用 discover dot addrm dot com 建立安全连接。

  5. 在右侧 Fiddler 窗口中,选择"检查器"选项卡,然后查看请求和响应的"文本视图"选项卡。

    在这些选项卡中,请注意通信是使用 TLS 1.2 执行的。 例如:

    Fiddler 窗口的屏幕截图,显示使用的 TLS 1.2。

手动强制使用 TLS 1.2

如果需要手动强制使用 TLS 1.2,并关闭任何早期版本的使用,请运行 RMS 连接器计算机上以下 PowerShell 脚本。

警告

使用本部分中的脚本可关闭每台计算机的 TLS 1.2 前通信。 如果计算机上其他服务需要 TLS 1.0 或 1.2,此脚本可能会中断这些服务的功能。

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

下一步

安装并配置 RMS 连接器后,即可将本地服务器配置为使用它。 转到为 Microsoft Rights Management 连接器 配置服务器