Office 365 и RMS: настройка. Часть 2.
В первой части мы начали настраивать RMS on-prem, чтобы потом скрестить его с Exchange Online.
Теперь пришло время настроить RMS-шаблоны. Они позволяют использовать более разнообразные варианты контроля доступа.
Настройка клиентов для работы с RMS-шаблонами.
Нам необходимо, чтобы все клиентские приложения MS Office видели эти дополнительные RMS-шаблоны и могли с ними работать. Для этого:
- файлы с шаблонами должны быть доступны по сети, чтобы быть скопированными локально на клиентские ПК,
- MS Office должен знать, откуда на локальном ПК он должен их брать.
Доступность файлов шаблонов по сети на сервере RMS обеспечивается настройкой shared folder, которую мы уже произвели ранее. Осталось обеспечить периодическое вытягивание этих файлов на локальный ПК у всех клиентов RMS. На современных ОС (Windows 7 как пример) при установке у каждого пользователя уже существует соответствующая автоматизированная задача по периодическому копированию шаблонов с сервера RMS. Задача по умолчанию выполняется один раз в 30 дней и проверяет, нету ли на сервере RMS кастомных RMS-шаблонов. Если есть – создаёт их копии в профиле пользователя в следующем месте: %LocalAppData%\Microsoft\DRM\Templates. По умолчанию задача выключена. Остаётся только обеспечить её включение. Это настраивается эффективнее всего через групповую политику. В дополнение, хорошо бы увеличить частоту выполнения задачи.
Теперь программе MS Office нужно указать, откуда брать наши кастомные шаблоны. Это можно сделать несколькими путями: используя в групповой политике административные шаблоны Office14.admx (или Office12.adm, Office11.adm), либо прямой правкой реестра.
- Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool
- 2007 Office system Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool version 2.0
После некоторых экспериментов с admx-файлом я решил лучше написать скрипт, который правит реестр напрямую.
В результате для решения описанных выше задач задаём объект групповой политики (GPO) с Logon-скриптами в User Configuration:
![clip_image003[7]_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/5873.clip_image0037_thumb1_6C69C503.jpg "clip_image003[7]_thumb[1]")
Первый скрипт включает автоисполнение задачи проверки шаблонов. Состоит из двух файлов:
![clip_image004_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/0160.clip_image004_thumb1_305D834E.png "clip_image004_thumb[1]")
и основной файл:
![clip_image006[6]_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/3125.clip_image0066_thumb1_7595DA77.jpg "clip_image006[6]_thumb[1]")
Второй скрипт определяет в реестре место где лежат шаблоны – для того чтобы MS Office 2010 знал его:
![clip_image008[5]_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/7827.clip_image0085_thumb1_1DE50CCC.jpg "clip_image008[5]_thumb[1]")
Третий скрипт меняет частоту обновления информации о шаблонах, с 30 дней до 1 раза в сутки:
![clip_image010[4]_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/4377.clip_image0104_thumb1_42962443.jpg "clip_image010[4]_thumb[1]")
При проверке на рабочей станции для каждого профиля пользователя отдельно следует:
1) запустить задачу в шедулере (она уже enabled с помощью GPO, но может не запуститься сразу сама, лучше подпихнуть);
2) и тогда уже открывать Word и смотреть, появились ли шаблоны.
![clip_image012[4]_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/1641.clip_image0124_thumb1_15348E73.jpg "clip_image012[4]_thumb[1]")
Если шаблоны не появились, посмотреть следующее:
1) убедиться что по адресу %LocalAppData%\Microsoft\DRM\Templates скопировались файлы шаблонов (под другими именами файлов нежели чем оригинальные);
2) наиболее вероятная причина: посмотреть в реестре, что параметр HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\DRM\AdminTemplatePath присутствует и имеет правильное значение: %LocalAppData%\Microsoft\DRM\Templates
Настройка работы on-prem Exchange 2010 с on-prem RMS
Для корректной работы RMS и Exchange 2010 требуется дать NTFS-разрешения “Read & Execute” на файл Inetpub\wwroot\_wmcs\Certification\ServerCertification.asmx для групп «Exchange Servers» и «AD RMS Service Group» (вспомним, что если RMS устанавливается на выделенный сервер, то это локальная а не доменная группа).
Далее командой New-DistributionGroup –Name “AD-RMS-SuperUsers” на почтовом сервере создаётся группа «AD RMS Super Users», доменная универсальная mail-enabled. В неё добавляется служебная учётная запись FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 (если доменная структура состоит из нескольких доменов, то эта учётная запись находится в корневом домене леса).
Включаем эту группу в Super Users в оснастке AD RMS: “Security Policies” > “Super Users” > “Enable Super Users” > “Change Super Users Group”
Если будет возникать эта ошибка -
![clip_image018[4]_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/6837.clip_image0184_thumb1_3D83C0C7.jpg "clip_image018[4]_thumb[1]")
- просто вручную вписываем емейл группы, не используя кнопку Browse.
На почтовом сервере Exchange 2010 включаем интеграцию с RMS: Set-IRMConfiguration –InternalLicensingEnabled $true (включает возможность отображения кнопки RMS в OWA).
Команда Test-IRMConfiguration позволяет проверить работоспособность интеграционной настройки. Признак успеха – вердикт OVERALL RESULT: PASS в конце проверки.
RMS-шаблоны подтягиваются почтовым сервером в реальном режиме времени, т.е. нет необходимости перезагружать какие-то службы или ждать какое-то время чтобы они появились:
![clip_image026[6]_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/8004.clip_image0266_thumb1_1B4BB541.jpg "clip_image026[6]_thumb[1]")
Настройка использования RMS для Exchange Online
Тут всё пока (в версии Wave 14) не просто, а очень просто. Чтобы в Exchange Online можно было использовать те же шаблоны RMS и работать с той же инфраструктурой RMS, нужно экспортировать определённую информацию из RMS-сервера on-premise и импортировать её в Exchange Online. Эта “определённая информация” называется Trusted Publishing Domain (TPD), доверенный домен публикации. Домен TPD содержит параметры, необходимые для использования RMS: серверный сертификат лицензиара (SLC) для подписывания и шифрования сертификатов и лицензий, URL-адреса для лицензирования и публикации, а также шаблоны RMS, созданные с помощью сертификата SLC этого домена
Инструкция по применению официальная: https://help.outlook.com/en-us/140/gg597271.aspx
ДО активации RMS в Облаке при написании письма выбрать RMS-защиту нельзя (нет соответствующей кнопки):
![clip_image028[6]_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/6835.clip_image0286_thumb1_65F27D0E.jpg "clip_image028[6]_thumb[1]")
Чтобы это наладить, просто экспортируем из on-prem-RMS TPD в Облако, и включаем там поддержку IRM.
![image_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/8081.image_thumb1_0E41AF63.png "image_thumb[1]")
Из консоли Exchange Online: Import-RMSTrustedPublishingDomain –FileData $([byte[]](Get-Content –Encoding byte –Path .\<On-prem TPD file name>.xml –ReadCount 0)) –Name “CrossPrem-TPD” –ExtranetLicensingUrl https://fs.apestr.com/\_wmcs/licensing –IntranetLicensingUrl https://dc02.intdomain.com/_wmcs/licensing
Шаблоны импортируются в Облако в состоянии “Archived”, их видно по умолчанию не будет. Поэтому нужно им всем сменить тип на Distributed: Get-RMSTemplate –type archived| Set-RMSTemplate –Type Distributed
И вот теперь включаем IRM на сервере Exchange Online: Set-IRMConfiguration –InternalLicensingEnabled $true
Тестирование. Отправка RMS-письма из Облачного ПЯ пользователю on-prem (появилась кнопка для RMS-защиты):
![clip_image042_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/8562.clip_image042_thumb1_2A22BE8E.jpg "clip_image042_thumb[1]")
На стороне приёма, у пользователя on-prem:
![clip_image044_thumb[1]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/76/73/metablogapi/6011.clip_image044_thumb1_2E4C9653.jpg "clip_image044_thumb[1]")
При каждом изменении RMS-шаблонов нужно проводить операцию обновления шаблонов в Облаке (командой set-RMSTrustedPublishingDomain с ключом –RefreshTemplates).
Если забыто имя RMSTrustedPublishingDomain, или хочется посмотреть его свойства, например URL: Get-RMSTrustedPublishingDomain | fl
Хорошие ссылки