![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68compAzure RMS. Часть 1. Предварительные действия
RMS - служба управления правами Microsoft. За последнее время RMS сменил несколько названий: Active Directory Rights Management Service (для локальной среды Active Directory), Azure Active Directory Rights Management, Azure Information Protection.
Другие названия службы Azure Information Protection https://docs.microsoft.com/ru-ru/information-protection/understand-explore/aka
Поскольку поддержка RMS для локальной среды Active Directory прекратится 31 января 2018 года, то останется только облачная служба управления правами и далее она будет называться Azure Information Protection, но для краткости в инструкциях будем использовать - RMS.
Часть 1. Предварительные действия
Часть 2. Удаление предыдущей версии Azure Active Directory Connector
Часть 2. Установка новой версии Azure Active Directory Connector
Часть 3. Продолжение установки после прерывания в результате ошибки
Часть 4. Синхронизация информации
Получение бесплатной 30-дневной пробной версии Enterprise Mobility + Security
Для начала заходим на сайт https://www.microsoft.com/ru-ru/cloud-platform/enterprise-mobility-security-trial и скачиваем бесплатную 30-дневную пробную версию Enterprise Mobility + Security E5, в которую входят лицензии RMS.
Сама процедура регистрации очень проста и не вызовет затруднений, если Вы регистрировали хоть раз любую учетную запись в сети Интернет. Кстати, если у Вас уже есть учетная запись или существующая подписка, то после заполнения формы нажимаем не кнопку Далее, а сразу кнопку Войти:
Azure Active Directory Connector
Azure Active Directory Connector - приложение, которое позволяет установить синхронизацию между локальной средой службы каталогов Active Directory и Azure Active Directory.
Для выполнения приложения Azure Active Directory Connector потребуется стандартный сервер на Windows Server 2012 R2 с объемом ОЗУ 2 GB.
Предварительные требования к компонентам
Также желательно прочесть сначала документ Перед установкой Azure AD Connect
Примечание.
Если ранее в тестовых целях выполнялась установка и настройка Azure Active Directory Connector , то необходимо проверить версию приложения и сравнить ее с версией на сайте загрузок Microsoft.
Например, локальная версия:
Версия на сайте Microsoft Azure Active Directory Connect
Т.к. версия на сайте выше, то необходимо сначала удалить (рекомендуется не переустанавливать поверху) существующую версию, а затем скачать и установить новую
Проверяем установлены ли требуемые компоненты
Ok.
Теперь перед установкой Azure Active Directory Connect скачиваем с сайта Microsoft сервисную программу IdFix DirSync Error Remediation Tool.
IdFix используется для выполнения обнаружения и восстановления объектов идентичности и их атрибутов в локальной среде Active Directory в рамках подготовки к переходу на Office 365 и является идеальным инструментом для обнаружения задвоения данных, которого нужно избежать в дальнейшем при выполнении синхронизации локальной среды (on-premises) Active Directory и Azure Active Directory:
System Requirements for IdFix DirSync Error Remediation Tool
Supported Operating System
Windows 7, Windows Server 2008 R2
◦ Hardware Requirements
• A physical or virtual machine is required in order to run the IdFix tool. The computer should meet the following specifications:
• 4 GB ram (minimum)
• 10 GB of hard disk space (minimum)
◦ Software Requirements
• Operating System: The application has been tested on Windows Server 2008 R2 and Windows 7 for x64 bit versions.
• Active Directory: Queries are via native LDAP and have been tested with Windows Server 2008R2, but all versions should be expected to work.
• Exchange Server: The messaging attributes retrieved are version independent and should work with Exchange 2003 or later.
• .Net 4.0: Must be installed on the workstation running the application.
• Permissions: The application runs in the context of the authenticated user which means that it will query the authenticated forest and must have rights to read the directory. If you wish to apply changes to the directory the authenticated user needs write permission to the desired objects.
Распаковываем загруженный zip-архив и запускаем IdFix.exe от имени Администратора:
Нажимаем Ok. В окне программы нажимаем кнопку Query и ждем результатов обработки программы:
Ищем учетные записи пользователей, которых будем синхронизировать с Azure Active Directory, и проверяем есть ли какие-нибудь ошибки. Чаще всего это наличие у одного и того же пользователя двух и более технических учетных записей. Например, согласно лучшим практикам (Best Practice) администраторы должны выполнять все действия под стандартной учетной записью и только, когда нужно выполнить действия, требующие повышенных привилегий, запускать процессы от имени административной учетной записи. Как правило, обе учетные записи (стандартного пользователя и администратора) имеют какие-то одинаковые поля в свойствах учетных записей, например, e-mail
Подключаемся оснасткой Пользователи и компьютеры Active Directory (Пуск -> Средства администрирования Windows -> Пользователи и компьютеры Active Directory):
к локальной среде Active Directory. Находим нужного пользователя. Действие -> Найти...
Выбираем вкладку Дополнительно и добавляем в Поле -> User условие E-Mail Address. Нажимаем кнопку Найти
На вкладке Свойства учетной записи пользователя удаляем задвоившийся атрибут Эл. почта:
После исправления ошибок, запускаем заново IdFix.
Если ошибок нет, то приступаем к настройке Подразделений (OU) для синхронизации.
В Active Directory добавляем новое Подразделение и переносим в него учетные записи пользователей, которых будем синхронизировать с Azure Active Directory. Например, создадим Подразделение RMS_Pilot для теста возможностей службы управления правами Rights Management Service
При переносе учетной записи из одного контейнера в другой подтверждаем запрос:
Для удобства такие контейнеры Подразделение RMS_Pilot можно создать для различных несвязанных Подразделений (OU).
При переносе учетной записи из одного контейнера в другой подтверждаем запрос:
Далее - Часть 2 - обновление (Установка и настройка) Azure Active Directory Connector
RMS - служба управления правами Microsoft. За последнее время RMS сменил несколько названий: Active Directory Rights Management Service (для локальной среды Active Directory), Azure Active Directory Rights Management, Azure Information Protection.
Другие названия службы Azure Information Protection https://docs.microsoft.com/ru-ru/information-protection/understand-explore/aka
Поскольку поддержка RMS для локальной среды Active Directory прекратится 31 января 2018 года, то останется только облачная служба управления правами и далее она будет называться Azure Information Protection, но для краткости в инструкциях будем использовать - RMS.
Часть 1. Предварительные действия
Часть 2. Удаление предыдущей версии Azure Active Directory Connector
Часть 2. Установка новой версии Azure Active Directory Connector
Часть 3. Продолжение установки после прерывания в результате ошибки
Часть 4. Синхронизация информации
- Добавление тестовых лицензиий Office 365 (лицензий Службы управления правами)
- Добавление настроек параметров локальной среды Active Directory
- Ошибка Доменное имя уже добавлено в другой клиент Office 365
- Выключение синхронизации через PowerShell
- Удаление пользователей в домене
- Удаление домена
- Подключение к своей подписке Office 365
- Подтверждение добавленного домена
- Ошибка записей, хранящихся у регистратора
- Синхронизация учетных записей
- Регистрация подписки в Azure
- Настройка шаблонов RMS в Azure
- Недоступность портала manage.windowsazure.com
Получение бесплатной 30-дневной пробной версии Enterprise Mobility + Security
Для начала заходим на сайт https://www.microsoft.com/ru-ru/cloud-platform/enterprise-mobility-security-trial и скачиваем бесплатную 30-дневную пробную версию Enterprise Mobility + Security E5, в которую входят лицензии RMS.
Сама процедура регистрации очень проста и не вызовет затруднений, если Вы регистрировали хоть раз любую учетную запись в сети Интернет. Кстати, если у Вас уже есть учетная запись или существующая подписка, то после заполнения формы нажимаем не кнопку Далее, а сразу кнопку Войти:
Azure Active Directory Connector
Azure Active Directory Connector - приложение, которое позволяет установить синхронизацию между локальной средой службы каталогов Active Directory и Azure Active Directory.
Для выполнения приложения Azure Active Directory Connector потребуется стандартный сервер на Windows Server 2012 R2 с объемом ОЗУ 2 GB.
Предварительные требования к компонентам
Также желательно прочесть сначала документ Перед установкой Azure AD Connect
Примечание.
Если ранее в тестовых целях выполнялась установка и настройка Azure Active Directory Connector , то необходимо проверить версию приложения и сравнить ее с версией на сайте загрузок Microsoft.
Например, локальная версия:
Версия на сайте Microsoft Azure Active Directory Connect
Т.к. версия на сайте выше, то необходимо сначала удалить (рекомендуется не переустанавливать поверху) существующую версию, а затем скачать и установить новую
Проверяем установлены ли требуемые компоненты
Ok.
Теперь перед установкой Azure Active Directory Connect скачиваем с сайта Microsoft сервисную программу IdFix DirSync Error Remediation Tool.
IdFix используется для выполнения обнаружения и восстановления объектов идентичности и их атрибутов в локальной среде Active Directory в рамках подготовки к переходу на Office 365 и является идеальным инструментом для обнаружения задвоения данных, которого нужно избежать в дальнейшем при выполнении синхронизации локальной среды (on-premises) Active Directory и Azure Active Directory:
System Requirements for IdFix DirSync Error Remediation Tool
Supported Operating System
Windows 7, Windows Server 2008 R2
◦ Hardware Requirements
• A physical or virtual machine is required in order to run the IdFix tool. The computer should meet the following specifications:
• 4 GB ram (minimum)
• 10 GB of hard disk space (minimum)
◦ Software Requirements
• Operating System: The application has been tested on Windows Server 2008 R2 and Windows 7 for x64 bit versions.
• Active Directory: Queries are via native LDAP and have been tested with Windows Server 2008R2, but all versions should be expected to work.
• Exchange Server: The messaging attributes retrieved are version independent and should work with Exchange 2003 or later.
• .Net 4.0: Must be installed on the workstation running the application.
• Permissions: The application runs in the context of the authenticated user which means that it will query the authenticated forest and must have rights to read the directory. If you wish to apply changes to the directory the authenticated user needs write permission to the desired objects.
Распаковываем загруженный zip-архив и запускаем IdFix.exe от имени Администратора:
Нажимаем Ok. В окне программы нажимаем кнопку Query и ждем результатов обработки программы:
Ищем учетные записи пользователей, которых будем синхронизировать с Azure Active Directory, и проверяем есть ли какие-нибудь ошибки. Чаще всего это наличие у одного и того же пользователя двух и более технических учетных записей. Например, согласно лучшим практикам (Best Practice) администраторы должны выполнять все действия под стандартной учетной записью и только, когда нужно выполнить действия, требующие повышенных привилегий, запускать процессы от имени административной учетной записи. Как правило, обе учетные записи (стандартного пользователя и администратора) имеют какие-то одинаковые поля в свойствах учетных записей, например, e-mail
Подключаемся оснасткой Пользователи и компьютеры Active Directory (Пуск -> Средства администрирования Windows -> Пользователи и компьютеры Active Directory):
к локальной среде Active Directory. Находим нужного пользователя. Действие -> Найти...
Выбираем вкладку Дополнительно и добавляем в Поле -> User условие E-Mail Address. Нажимаем кнопку Найти
На вкладке Свойства учетной записи пользователя удаляем задвоившийся атрибут Эл. почта:
После исправления ошибок, запускаем заново IdFix.
Если ошибок нет, то приступаем к настройке Подразделений (OU) для синхронизации.
В Active Directory добавляем новое Подразделение и переносим в него учетные записи пользователей, которых будем синхронизировать с Azure Active Directory. Например, создадим Подразделение RMS_Pilot для теста возможностей службы управления правами Rights Management Service
При переносе учетной записи из одного контейнера в другой подтверждаем запрос:
Для удобства такие контейнеры Подразделение RMS_Pilot можно создать для различных несвязанных Подразделений (OU).
При переносе учетной записи из одного контейнера в другой подтверждаем запрос:
Далее - Часть 2 - обновление (Установка и настройка) Azure Active Directory Connector
