Instalación y configuración del conector Microsoft Rights Management

  • Artículo

Use la siguiente información como ayuda para instalar y configurar el conector Microsoft Rights Management (RMS). Estos procedimientos incluyen los pasos 1 a 4 del tema Implementación del conector Microsoft Rights Management.

Antes de empezar:

Instalación del conector RMS

  1. Identifique los equipos (dos como mínimo) para ejecutar el conector RMS. Estos equipos deben cumplir las especificaciones mínimas enumeradas en los requisitos previos.

    Nota:

    Instale un único conector RMS (compuesto por varios servidores para permitir una alta disponibilidad) por inquilino (inquilino de Microsoft 365 o de Microsoft Entra ID). A diferencia de RMS de Active Directory, no es necesario instalar un conector RMS en cada bosque.

  2. Descargue los archivos de origen del conector RMS del Centro de descarga de Microsoft.

    Para instalar el conector RMS, descargue RMSConnectorSetup.exe.

    Además, si quiere usar la herramienta de configuración del servidor para el conector RMS, para automatizar la configuración de los parámetros de registro en sus servidores locales, descargue también GenConnectorConfig.ps1.

  3. En el equipo en el que quiere instalar el conector RMS, ejecute RMSConnectorSetup.exe con privilegios de administrador.

  4. En la página principal de configuración del conector Microsoft Rights Management, seleccione Instalar el conector Microsoft Rights Management en el equipo y haga clic en Siguiente.

  5. Lea y acepte los términos del contrato de licencia para el usuario final y, luego, seleccione Siguiente.

  6. En la página Autenticación, seleccione el entorno de nube que coincida con la solución. Por ejemplo, seleccione AzureCloud para la oferta comercial de Azure. De lo contrario, seleccione una de las siguientes opciones:

    • AzureChinaCloud: Azure operado por 21Vianet
    • AzureUSGovernment: Azure Government (GCC High/DoD)
    • AzureUSGovernment2: Azure Government 2
    • AzureUSGovernment3: Azure Government 3

  7. Seleccione Iniciar sesión para iniciar sesión en la cuenta. Asegúrese de introducir las credenciales de una cuenta que tenga privilegios suficientes para configurar el conector RMS.

    Puede usar una cuenta que tenga solo uno de los siguientes privilegios:

    • Administrador global del inquilino: una cuenta que es un administrador global del inquilino de Microsoft 365 o el inquilino de Microsoft Entra.

    • Administrador global de Azure Rights Management: una cuenta de Microsoft Entra ID a la que se le ha asignado el rol de administrador global de Azure RMS.

    • Administrador del conector de Azure Rights Management: una cuenta de Microsoft Entra ID que tenga otorgados los derechos para instalar y administrar el conector RMS en la organización.

    El rol de administrador global de Azure Rights Management y el rol de administrador del conector Azure Rights Management se asignan a las cuentas mediante el cmdlet Add-AadrmRoleBasedAdministrator.

    Nota:

    Además, si implementó controles de incorporación, asegúrese de que la cuenta especificada sea capaz de proteger el contenido.

    Por ejemplo, si restringió la capacidad de proteger el contenido al grupo "Departamento de TI", la cuenta que especifique aquí debe pertenecer a ese grupo. Si no, verá el mensaje de error siguiente: Error al intentar detectar la ubicación de la organización y el servicio de administración. Asegúrese de que el servicio Microsoft Rights Management esté habilitado para su organización.

    Sugerencia

    Para ejecutar el conector RMS con los privilegios mínimos, cree una cuenta dedicada para este propósito y después asigne el rol de administrador del conector de Azure RMS. Para más información, consulte Creación de una cuenta dedicada para el conector RMS.

  8. En la página final del asistente, haga lo que se indica y, a continuación, haga clic en Finalizar:

    • Si este es el primer conector que ha instalado, no seleccione Iniciar la consola de administrador del conector para autorizar a los servidores en este momento. Seleccionará esta opción después de que haya instalado su segundo (o último) conector RMS. En su lugar, ejecute el asistente de nuevo como mínimo en otro equipo. Debe instalar un mínimo de dos conectores.

    • Si ha instalado su segundo (o último) conector, seleccione Iniciar la consola de administrador del servidor para autorizar a los servidores.

Durante el proceso de instalación del conector RMS, se valida e instala todo el software que sea un requisito previo, se instala Internet Information Services (IIS) si ya no lo está, y se instala y configura el software del conector. Azure RMS también se prepara para su configuración mediante la creación de los siguientes elementos:

  • Una tabla vacía de servidores autorizados para usar el conector para comunicarse con Azure RMS. Agregará servidores a esta tabla posteriormente.

  • Un conjunto de tokens de seguridad para el conector que autorizan operaciones con Azure RMS. Estos tokens se descargan de Azure RMS y se instalan en el equipo local en el Registro. Están protegidos mediante la interfaz de programación de aplicaciones de protección de datos (DPAPI) y las credenciales de la cuenta del sistema local.

Creación de una cuenta dedicada para el conector RMS

En este procedimiento se describe cómo crear una cuenta dedicada para ejecutar el conector de Azure RMS con los privilegios mínimos posibles, para usarlos al iniciar sesión durante la instalación del conector RMS.

  1. Si aún no lo ha hecho, descargue e instale el módulo de PowerShell AIPService. Para más información, consulte Instalación del módulo de PowerShell AIPService.

    Inicie Windows PowerShell con el comando Ejecutar como administrador y establezca conexión con el servicio de protección mediante el comando Connect-AipService:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials

  2. Ejecute el comando Add-AipServiceRoleBased Administrator con solo uno de los parámetros siguientes:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"

    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"

    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"

    Por ejemplo, ejecute: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator".

Aunque estos comandos asignan el rol de administrador de conector, alternativamente también puede usar el rol GlobalAdministrator.

Compruebe la instalación

  • Para comprobar si los servicios web del conector RMS están operativos:

    En un explorador web, conéctese a http://<connectoraddress>/_wmcs/certification/servercertification.asmx y reemplace <connectoraddress> por la dirección o el nombre del servidor que tenga instalado el conector RMS.

    Si la conexión es correcta aparecerá una página ServerCertificationWebService.

  • Para comprobar la capacidad del usuario de leer o modificar documentos protegidos por RMS o AIP:

    En la máquina del conector RMS, abra el Visor de eventos y vaya al Registro de Windows de la aplicación. Busque una entrada del origen Conector de Microsoft RMS, con un nivel de Información.

    La entrada debería tener un mensaje similar al siguiente: The list of authorized accounts has been updated

    Screenshot of an RMS connector event in the Event Viewer.

Si necesita desinstalar el conector RMS, hágalo a través de la página de configuración del sistema o ejecutando el asistente nuevamente y seleccionando la opción de desinstalación.

Si experimenta problemas durante la instalación, compruebe el registro de instalación: %LocalAppData%\Temp\Microsoft Rights Management connector_<fecha y hora>.log

Por ejemplo, el registro de instalación puede ser similar a C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Autorización para que los servidores usen el conector RMS

Cuando haya instalado el conector RMS en dos equipos al menos, estará preparado para autorizar a los servidores y servicios en los que quiera usar el conector RMS. Por ejemplo, sus servidores que ejecutan Exchange Server 2013 o SharePoint Server 2013.

Para definir estos servidores, ejecute la herramienta de administración del conector RMS y agregue entradas a la lista de servidores permitidos. Puede ejecutar esta herramienta cuando seleccione Launch connector administration console to authorize servers (Iniciar la consola de administración del conector para autorizar servidores) al final del asistente para la configuración del conector Microsoft Rights Management, o puede ejecutarla de forma independiente desde el asistente.

Cuando autorice estos servidores, tenga en cuenta las consideraciones siguientes:

  • Los servidores que agregue tendrán otorgados privilegios especiales. Se concederá el rol de superusuario en Azure RMS a todas las cuentas que especifique para el rol de Exchange Server en la configuración del conector, lo que les permitirá acceder a todo el contenido de este inquilino de RMS. La característica de superusuario se habilita automáticamente en este momento, si es necesario. Para evitar el riesgo de seguridad de elevación de privilegios, tenga la precaución de especificar únicamente las cuentas que van a ser usadas por los servidores de Exchange de la organización. Todos los servidores configurados como servidores de SharePoint o servidores de archivos que usen FCI tienen otorgados privilegios de usuario regular.

  • Puede agregar varios servidores como una entrada única mediante la especificación de un grupo de seguridad o distribución de Active Directory, o una cuenta de servicio usada por más de un servidor. Cuando usa esta configuración, el grupo de servidores comparte los mismos certificados RMS y todos se consideran propietarios del contenido que cualquiera de ellos haya protegido. Para minimizar la sobrecarga administrativa, es recomendable que use esta configuración de un solo grupo, en lugar de servidores individuales para autorizar los servidores de Exchange de la organización o una granja de servidores de SharePoint.

En la página Servidores a los que se permite utilizar el conector, seleccione Agregar.

Nota:

En Azure RMS, la autorización de servidores es la configuración que en AD RMS equivaldría a la aplicación manual de derechos NTFS a ServerCertification.asmx para las cuentas de servicio o de equipo de servidor, y a la concesión manual de derechos de superusuario a las cuentas de Exchange. En el conector no es necesario aplicar derechos NTFS a ServerCertification.asmx.

Agregar un servidor a la lista de servidores autorizados

En la página Permitir a un servidor que utilice el conector, escriba el nombre del objeto, o explore para identificar el objeto que se autorizará.

Es importante que autorice el objeto apropiado. Para que un servidor use el conector, se debe seleccionar la cuenta que ejecuta el servicio local (por ejemplo, Exchange o SharePoint) para recibir la autorización. Por ejemplo, si el servicio se ejecuta como una cuenta de servicio configurada, agregue el nombre de esa cuenta de servicio a la lista. Si el servicio se ejecuta como sistema local, agregue el nombre del objeto de equipo (por ejemplo, SERVERNAME$). Como procedimiento recomendado, cree un grupo que contenga estas cuentas y especifique el grupo en lugar de nombres de servidor individuales.

Más información acerca de los diferentes roles del servidor:

  • Para servidores que ejecutan Exchange: debe especificar un grupo de seguridad y puede usar el grupo predeterminado (servidores Exchange) que Exchange crea y mantiene automáticamente de todos los servidores de Exchange en el bosque.

  • Para servidores que ejecutan SharePoint:

    • Si un servidor de SharePoint 2010 se configura para ejecutarse como sistema local (no usa una cuenta de servicio), cree manualmente un grupo de seguridad en Active Directory Domain Services y agregue el objeto de nombre del equipo para el servidor de esta configuración a este grupo.

    • Si un servidor de SharePoint se configura para usar una cuenta de servicio (la práctica recomendada para SharePoint 2010 y la única opción para SharePoint 2016 y SharePoint 2013), haga lo siguiente:

      1. Agregue la cuenta de servicio que ejecuta el servicio Administración central de SharePoint para permitir que SharePoint se configure desde la consola del administrador.

      2. Agregue la cuenta que se ha configurado para el grupo de aplicaciones SharePoint.

      Sugerencia

      Si estas dos cuentas son diferentes, tenga en cuenta la creación de un solo grupo que contenga ambas cuentas para minimizar las sobrecargas administrativas.

  • Para servidores de archivos que usan Infraestructura de clasificación de archivos, los servicios asociados se ejecutan como la cuenta del sistema local, de modo que debe autorizar la cuenta del equipo para los servidores de archivos (por ejemplo, SERVERNAME$) o un grupo que contenga esas cuentas de equipo.

Cuando haya acabado de agregar servidores a la lista, haga clic en Cerrar.

Si todavía no lo ha hecho, debe configurar ahora el equilibrio de carga para los servidores que tengan instalado el conector RMS, y considerar si usar HTTPS para las conexiones entre estos servidores y los servidores que acaba de autorizar.

Configuración del equilibrio de carga y alta disponibilidad

Tras haber instalado la segunda o última instancia del conector RMS, defina un nombre de servidor URL conector y configure un sistema de equilibrio de carga.

El nombre de servidor URL conector puede ser cualquier nombre en un espacio de nombres que controle. Por ejemplo, podría crear una entrada en tu sistema DNS para rmsconnector.contoso.com y configurar dicha entrada para usar una dirección IP en su sistema de equilibrio de carga. No existen requisitos especiales para este nombre y no es necesario configurarlo en los servidores del conector propiamente dichos. A menos que los servidores Exchange y SharePoint vayan a comunicarse con el conector a través de internet, este nombre no tiene que resolverse en internet.

Importante

Recomendamos que no cambie este nombre tras haber configurado servidores Exchange o SharePoint para usar el conector, ya que tendrá que limpiar posteriormente estos servidores de todas las configuraciones de IRM y, después, reconfigurarlos.

Tras crear el nombre en DNS y configurarlo para una dirección IP, configure el equilibrio de carga para esa dirección, que dirige el tráfico a los servidores del conector. Puede usar cualquier equilibrador de carga basado en IP con este motivo, que incluye la característica Equilibrio de carga de red (NLB) en Windows Server. Para más información, consulte Load Balancing Deployment Guide (Guía de implementación del equilibrio de carga).

Use la configuración siguiente para configurar el clúster NLB:

  • Puertos: 80 (para HTTP) o 443 (para HTTPS)

    Para más información acerca de si se debe usar HTTP o HTTPS, consulte la sección siguiente.

  • Afinidad: Ninguna

  • Método de distribución: Igual

Este nombre que defina para el sistema de carga equilibrada (para los servidores que ejecutan el servicio de conector RMS) es el nombre del conector RMS de su organización que usará más adelante, cuando configure los servidores locales para usar Azure RMS.

Configuración del conector RMS para usar HTTPS

Nota:

Este paso de configuración es opcional, pero es recomendable para conseguir más seguridad.

Aunque el uso de TLS o SSL es opcional para el conector RMS, lo recomendamos para cualquier servicio de seguridad basado en HTTP. Esta configuración autentica los servidores que ejecutan el conector en sus servidores Exchange y SharePoint que usen el conector. Además, todos los datos que se envían desde estos servidores al conector son cifrados.

Para permitir que el conector RMS use TLS, en cada servidor en el que se ejecute el conector RMS, instale un certificado de autenticación del servidor que contenga el nombre que usará para el conector. Por ejemplo, si el nombre del conector RMS que ha definido en DNS es rmsconnector.contoso.com, implemente un certificado de autenticación del servidor que contenga rmsconnector.contoso.com en el asunto del certificado como el nombre común. También puede especificar rmsconnector.contoso.com en el nombre de certificado alternativo como el valor DNS. El certificado no tiene que incluir el nombre del servidor. A continuación, en IIS, enlace este certificado al sitio web predeterminado.

Si usa la opción HTTPS, asegúrese de que todos los servidores que ejecutan el conector tienen un certificado de autenticación de servidor válido que se encadena a una entidad de certificación raíz en que confían sus servidores Exchange y SharePoint. Además, si la entidad de certificación (CA) que ha emitido los certificados para los servidores del conector publica una lista de revocaciones de certificados (CRL), los servidores Exchange y SharePoint deben de poder descargar esta CRL.

Sugerencia

Puede usar la información y los recursos siguientes para tratar de solicitar e instalar un certificado de autenticación de servidor, y para enlazar este certificado al sitio web predeterminado en IIS:

  • Si usa Active Directory Certificate Services (AD CS) y una autoridad de certificación (CA) empresarial para implementar estos certificados de autenticación de servidor, puede duplicar y, a continuación, usar la plantilla de certificados del servidor web. Esta plantilla de certificados usa Proporcionado por el solicitante como nombre del asunto del certificado, lo que significa que puede proporcionar el FQDN del nombre del conector RMS como nombre del asunto del certificado o el nombre alternativo del asunto cuando solicite el certificado.

  • Si usa un CA independiente o le compra este certificado a otra compañía, consulte Configuración de certificados de servidor de internet (IIS 7) en la biblioteca de documentación del Servidor web (IIS) en TechNet.

  • Para configurar IIS de forma que use el certificado, consulte Adición de un enlace a un sitio (IIS 7) en la biblioteca de documentación del Servidor web (IIS) en TechNet.

Configuración del conector RMS para un servidor proxy web

Si los servidores del conector están instalados en una red que no tiene conexión directa con internet y precisa configuración manual de un servidor proxy web para acceso de salida a internet, debe configurar el Registro en estos servidores para el conector RMS.

Para configurar el conector RMS para que use el servidor proxy web, siga estos pasos:

  1. En cada servidor que ejecute el conector RMS, abra un editor de Registro, como Regedit.

  2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Agregue el valor de cadena de ProxyAddress y luego establezca que los datos para este valor sean http://<MyProxyDomainOrIPaddress>:<MyProxyPort>.

    Por ejemplo: https://proxyserver.contoso.com:8080

  4. Cierre el editor del Registro y, a continuación, reinicie el servidor o ejecute un comando IISReset para reiniciar IIS.

Instalación de la herramienta de administración del conector RMS en equipos administrativos

Puede ejecutar la herramienta de administración del conector RMS desde un equipo que no tenga instalado el conector RMS si cumple los requisitos siguientes:

  • Un equipo físico o virtual que ejecuta Windows Server 2019, 2016, 2012 o Windows Server 2012 R2 (todas las ediciones), Windows 11, Windows 10, Windows 8.1, Windows 8.

  • Al menos 1 GB de RAM.

  • Un mínimo de 64 GB de espacio en disco.

  • Al menos una interfaz de red.

  • Acceso a internet a través de un firewall (o servidor proxy web).

  • .NET 4.7.2

Para instalar la herramienta de administración del conector RMS, ejecute el siguiente archivo para un equipo de 64 bits: RMSConnectorSetup.exe

Si aún no ha descargado estos archivos, puede hacerlo desde el Centro de descarga de Microsoft.

Para más información, consulte los Requisitos previos para el conector RMS.

Actualización de la instalación del conector RMS

La instalación de una nueva versión del conector RMS automáticamente desinstala las versiones anteriores e instala la versión .NET 4.7.2 necesaria. Si tiene algún problema, siga las instrucciones siguientes para desinstalar manualmente una versión anterior e instalar .NET 4.7.2.

  1. En la máquina del conector RMS, use la página de configuración De aplicaciones y características para desinstalar microsoft Rights Management Conectar or.

    En los sistemas heredados, puede encontrar opciones de desinstalación en la página Panel de control > Programa y características.

    Vaya al asistente para desinstalar el conector Microsoft Rights Management y seleccione Finalizar al final.

  2. Asegúrese de que la máquina tenga instalado NET 4.7.2. Para más información, consulte Determinación de qué versiones de .NET Framework están instaladas.

    Si es necesario, descargue e instale .NET versión 4.7.2.

    Reinicie la máquina cuando se le solicite y, a continuación, continúe con la instalación de la nueva versión del conector RMS.

Forzar el uso de TLS 1.2 para el conector de Azure RMS

Microsoft deshabilitará los protocolos TLS más antiguos e inseguros, incluidos TLS 1.0 y TLS 1.1 en RMS Services, de forma predeterminada, el 1 de marzo de 2022. Para prepararse para este cambio, es posible que desee desactivar la compatibilidad con estos protocolos anteriores en los servidores del conector RMS y asegurarse de que el sistema sigue funcionando según lo previsto.

En esta sección se describen los pasos para deshabilitar la seguridad de la capa de transporte (TLS) 1.0 y 1.1 en los servidores del conector RMS y forzar el uso de TLS 1.2.

Desactivar TLS 1.0 y 1.1 y forzar el uso de TLS 1.2

  1. Asegúrese de que la versión de .NET Framework en la máquina del conector RMS sea 4.7.2. Para más información, consulte .NET Framework versión 4.7.2.

  2. Descargue e instale la versión disponible más reciente del conector RMS. Para más información, consulte Instalación del conector RMS.

  3. Reinicie los servidores del conector RMS y pruebe la funcionalidad del conector RMS. Por ejemplo, asegúrese de que los usuarios de RMS locales puedan leer sus documentos cifrados.

Para más información, vea:

Comprobación del uso de TLS 1.2 (avanzado)

Este procedimiento proporciona un ejemplo de cómo comprobar que se usa TLS 1.2 y requiere conocimientos previos de Fiddler.

  1. Descargue e instale Fiddler en la máquina del conector RMS.

  2. Abra Fiddler y, a continuación, abra las herramientas de administración del conector Microsoft RMS.

  3. Seleccione Iniciar sesión, aunque en realidad no tiene que iniciar sesión para completar la comprobación.

  4. En la ventana Fiddler de la izquierda, busque el proceso msconnectoradmin. Este proceso debe intentar establecer una conexión segura con discover.aadrm.com.

    Por ejemplo:

    Screenshot of Fiddler showing the msconnectoradmin process trying to establish a secure connection with discover dot addrm dot com.

  5. En la ventana de Fiddler de la derecha, seleccione la pestaña Inspectores y observe las pestañas Vista de texto para la solicitud y la respuesta.

    En esas pestañas, tenga en cuenta que la comunicación se realiza mediante TLS 1.2. Por ejemplo:

    Screenshot of a Fiddler window showing TLS 1.2 being used.

Forzar manualmente el uso de TLS 1.2

Si necesita forzar manualmente el uso de TLS 1.2, y desactivar el uso de cualquier versión anterior, ejecute el siguiente script de PowerShell en la máquina del conector RMS.

Precaución

El uso del script de esta sección desactiva la comunicación anterior a TLS 1.2 por cada máquina. Si otros servicios de la máquina requieren TLS 1.0 o 1.2, este script puede interrumpir la funcionalidad de esos servicios.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

Pasos siguientes

Ahora que el conector RMS está instalado y configurado, ya puede configurar los servidores locales para que lo usen. Vaya a Configuración de servidores para el conector Microsoft Rights Management.