Poznámky k nasazení klienta služby RMSRMS client deployment notes

Platí pro: Active Directory Rights Management Services, Azure Information Protection, Windows 7 s SP1, Windows 8, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012, Windows serveru 2012 R2, Windows Server 2016Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 7 with SP1, Windows 8, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016

Klient Rights Management Service verze 2 (klient služby RMS) je také označovaný jako klient MSIPC.The Rights Management Service client (RMS client) version 2 is also known as the MSIPC client. Jedná se o software pro počítače se systémem Windows, který komunikuje se službami Microsoft Rights Management v místě nebo v cloudu za účelem pomoci při ochraně přístupu a používání informací procházejících aplikacemi a zařízeními v rámci hranice vaší společnosti nebo mimo tyto spravované hranice.It is software for Windows computers that communicates with Microsoft Rights Management services on-premises or in the cloud to help protect access to and usage of information as it flows through applications and devices, within the boundaries of your organization, or outside those managed boundaries.

Klient služby RMS se dodává s klientem služby Azure Information Protection pro Windows a je dostupný také jako volitelný soubor ke stažení, který se po potvrzení a přijetí licenční smlouvy dá volně distribuovat se softwarem třetích stran. Klienti tak můžou chránit a využívat obsah, u kterého byla nastavená ochrana pomocí služeb Rights Management.In addition to shipping with the Azure Information Protection client for Windows, the RMS client is available as an optional download that can, with acknowledgment and acceptance of its license agreement, be freely distributed with third-party software so that clients can protect and consume content that has been protected by Rights Management services.

Redistribuce klienta služby RMSRedistributing the RMS client

Klient služby RMS se dá volně znovu distribuovat a dodávat s jinými aplikacemi a IT řešeními.The RMS client can be freely redistributed and bundled with other applications and IT solutions. Pokud jste vývojář aplikací nebo poskytovatel řešení a chcete znovu distribuovat klienta služby RMS, máte dvě možnosti:If you are an application developer or solution provider and want to redistribute the RMS client, you have two options:

  • Doporučená: vložte instalační program klienta služby RMS do instalace aplikace a spusťte ho v bezobslužném režimu (přepínač /quiet je podrobně popsaný v následující části).Recommended: Embed the RMS client installer in your application installation and run it in silent mode (the /quiet switch, detailed in the next section).

  • Vytvořte z klienta služby RMS požadovanou součást své aplikace.Make the RMS client a prerequisite for your application. U této možnosti bude pravděpodobně nutné uživatelům poskytnout další pokyny pro získání, instalaci a aktualizaci počítačů s klientem, než budou moci používat vaši aplikaci.With this option, you might need to provide users with additional instructions for them to obtain, install, and update their computers with the client before they can use your application.

Instalace klienta služby RMSInstalling the RMS client

Klient služby RMS je obsažen ve spustitelném souboru instalačního s názvem setup_msipc_<architektura>.exe, kde <architektura >je buď x86 (pro 32bitové klientské počítače) nebo x64 (pro 64bitové klientské počítače).The RMS client is contained in an installer executable file named setup_msipc_<arch>.exe, where <arch> is either x86 (for 32-bit client computers) or x64 (for 64-bit client computers). 64bitový (x64) balíček instalačního programu nainstaluje na 64bitový operační systém jak 32bitový spouštěcí soubor modulu runtime pro kompatibilitu s 32bitovými aplikacemi, tak 64bitový spouštěcí soubor modulu runtime pro podporu nativních 64bitových aplikací.The 64-bit (x64) installer package installs both a 32-bit runtime executable for compatibility with 32-bit applications that run on a 64-bit operating system installation, as well as a 64-bit runtime executable for supporting native 64-bit applications. 32bitový (x 86) instalační program na 64bitové instalaci Windows nespustí.The 32-bit (x86) installer does not run on a 64-bit Windows installation.

Poznámka

Pro instalaci klienta RMS musíte mít zvýšená oprávnění, například musíte být členem skupiny správců v místním počítači.You must have elevated privileges to install the RMS client, such as a member of the Administrators group on the local computer.

Klienta služby RMS můžete nainstalovat pomocí některé z následujících metod instalace:You can install the RMS client by using either of the following installation methods:

  • Bezobslužný režim:Silent mode. Použitím přepínače /quiet jako součásti možností příkazového řádku, můžete bezobslužně nainstalovat klienta služby RMS do počítačů.By using the /quiet switch as part of the command-line options, you can silently install the RMS client on computers. Následující příklad ukazuje bezobslužný režim instalace klienta služby RMS na 64bitové klientské počítače:The following example shows a silent mode installation for the RMS client on a 64-bit client computer:

    setup_msipc_x64.exe /quiet
    
  • Interaktivní režim:Interactive mode. Alternativně můžete nainstalovat klienta služby RMS pomocí grafického uživatelského rozhraní instalačního programu, které poskytuje průvodce instalací klienta služby RMS.Alternately, you can install the RMS client by using the GUI-based setup program that's provided by the RMS Client Installation wizard. Chcete-li nainstalovat interaktivně, dvakrát klikněte na instalační balíček klienta služby RMS (setup_msipc_<architektura>.exe) ve složce, do které se zkopíroval nebo stáhl ve vašem místním počítač.To install interactively, double-click the RMS client installer package (setup_msipc_<arch>.exe) in the folder to which it was copied or downloaded on your local computer.

Otázky a odpovědi týkající se klienta služby RMSQuestions and answers about the RMS client

Následující oddíl obsahuje nejčastější dotazy a odpovědi související s klientem služby RMS.The following section contains frequently asked questions about the RMS client and the answers to them.

Které operační systémy podporují klienta RMS?Which operating systems support the RMS client?

Klienta služby RMS podporují následující operační systémy:The RMS client is supported with the following operating systems:

Serverový operační systém WindowsWindows Server Operating System Klientský operační systém WindowsWindows Client Operating System
Windows Server 2016Windows Server 2016 Windows 10Windows 10
Windows Server 2012 R2Windows Server 2012 R2 Windows 8.1Windows 8.1
Windows Server 2012Windows Server 2012 Windows 8Windows 8
Windows Server 2008 R2Windows Server 2008 R2 Windows 7 s minimálně SP1Windows 7 with minimum of SP1

Které procesory nebo platformy podporují klienta služby RMS?Which processors or platforms support the RMS client?

Klient služby RMS je podporován u výpočetních platforem x86 a x64.The RMS client is supported on x86 and x64 computing platforms.

Kde je nainstalován klient služby RMS?Where is the RMS client installed?

Ve výchozím nastavení je nainstalován klient služby RMS v %ProgramFiles%\Active Directory Rights Management Services Client 2. <číslo podverze >.By default, the RMS client is installed in %ProgramFiles%\Active Directory Rights Management Services Client 2.<minor version number>.

Jaké soubory jsou spojeny se softwarem klienta služby RMS?What files are associated with the RMS client software?

Jako součást klientského softwaru služby RMS jsou nainstalovány následující soubory:The following files are installed as part of the RMS client software:

  • Msipc.dllMsipc.dll

  • Ipcsecproc.dllIpcsecproc.dll

  • Ipcsecproc_ssp.dllIpcsecproc_ssp.dll

  • MSIPCEvents.manMSIPCEvents.man

Kromě předchozích souborů se s klientem služby RMS nainstalují také pomocné soubory sady MUI (Multilingual User Interface) ve 44 jazycích.In addition to these files, the RMS client also installs multilingual user interface (MUI) support files in 44 languages. Chcete-li ověřit podporované jazyky, spusťte instalaci klienta služby RMS a po dokončení instalace si prohlédněte obsah složek vícejazyčné podpory ve výchozí cestě.To verify the languages supported, run the RMS client installation and when the installation is complete, review the contents of the multilingual support folders under the default path.

Je klient služby RMS standardně součástí instalace podporovaného operačního systému?Is the RMS client included by default when I install a supported operating system?

Ne.No. Tato verze klienta služby RMS se dodává jako volitelný soubor ke stažení, který se dá nainstalovat na počítače s podporovanými verzemi operačního systému Microsoft Windows.This version of the RMS client ships as an optional download that can be installed separately on computers running supported versions of the Microsoft Windows operating system.

Aktualizuje se klient služby RMS automaticky pomocí Microsoft Update?Is the RMS client automatically updated by Microsoft Update?

Pokud jste nainstalovali tohoto klienta služby RMS pomocí instalace na pozadí, převezme klient služby RMS aktuální nastavení služby Microsoft Update.If you installed this RMS client by using the silent installation option, the RMS client inherits your current Microsoft Update settings. Pokud jste nainstalovali klienta služby RMS pomocí instalačního programu s grafickým rozhraním, průvodce instalací klienta služby RMS vás vyzve k aktivaci služby Microsoft Update.If you installed the RMS client by using the GUI-based setup program, the RMS client installation wizard prompts you to enable Microsoft Update.

Nastavení klienta RMSRMS client settings

Následující část obsahuje informace o nastavení klienta služby RMS.The following section contains settings information about the RMS client. Tyto informace mohou být užitečné, pokud máte problémy s aplikacemi nebo službami, které používají klienta služby RMS.This information might be helpful if you have problems with applications or services that use the RMS client.

Poznámka

Některá nastavení závisí na tom, zda se aplikace podporující RMS spouští jako aplikace v režimu klienta (například Microsoft Word a Outlook nebo klient služby Azure Information Protection s Průzkumníkem souborů Windows) nebo aplikace v režimu serveru (například SharePoint a Exchange).Some settings depend on whether the RMS-enlightened application runs as a client mode application (such as Microsoft Word and Outlook, or the Azure Information Protection client with Windows File Explorer), or server mode application (such as SharePoint and Exchange). V následujících tabulkách jsou tato nastavení identifikována jako režim klienta a režim serveru, v uvedeném pořadí.In the following tables, these settings are identified as Client Mode and Server Mode, respectively.

Kde klient RMS ukládá licence na klientských počítačíchWhere the RMS client stores licenses on client computers

Klient služby RMS ukládá licence na místní disk a také ukládá některé další informace do mezipaměti v registru Windows.The RMS client stores licenses on the local disk and also caches some information in the Windows registry.

PopisDescription Cesty v režimu klientaClient Mode Paths Cesty v režimu serveruServer Mode Paths
Umístění úložiště licencíLicense store location %localappdata%\Microsoft\MSIPC%localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server\<SID>%allusersprofile%\Microsoft\MSIPC\Server\<SID>
Umístění úložiště šablonTemplate store location %localappdata%\Microsoft\MSIPC\Templates%localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\<SID>%allusersprofile%\Microsoft\MSIPC\Server\<SID>
Umístění v registruRegistry location HKEY_CURRENT_USERHKEY_CURRENT_USER
\Software\Software
\Classes\Classes
\Local Settings\Local Settings
\Software\Software
\Microsoft\Microsoft
\MSIPC\MSIPC
HKEY_CURRENT_USERHKEY_CURRENT_USER
\Software\Software
\Microsoft\Microsoft
\MSIPC\MSIPC
\Server\Server
\<SID>\<SID>

Poznámka

<Identifikátor SID> je identifikátor zabezpečení (SID) pro účet, pod kterým serverová aplikace spuštěna.<SID> is the secure identifier (SID) for the account under which the server application is running. Například pokud aplikace běží pod předdefinovaným účtem Network Service, nahraďte <SID> s hodnotou známého identifikátoru SID tohoto účtu (S-1-5-20).For example, if the application is running under the built-in Network Service account, replace <SID> with the value of the well-known SID for that account (S-1-5-20).

Nastavení registru Windows pro klienta RMSWindows registry settings for the RMS client

Pomocí klíčů registru Windows můžete nastavit nebo změnit některé konfigurace klienta služby RMS.You can use Windows registry keys to set or modify some RMS client configurations. Například jako správce pro aplikace podporující RMS, které komunikují se servery služby AD RMS, můžete chtít aktualizovat umístění podnikové služby (potlačit server služby AD RMS, který je momentálně zvolen pro publikování) v závislosti na umístění klientského počítače v rámci topologie služby Active Directory.For example, as an administrator for RMS-enlightened applications that communicate with AD RMS servers, you might want to update the enterprise service location (override the AD RMS server that is currently selected for publishing) depending on the client computer's current location within your Active Directory topology. Nebo můžete chtít povolit trasování RMS v klientském počítači, které vám pomůže vyřešit problém s aplikací podporující RMS.Or, you might want to enable RMS tracing at the client computer, to help troubleshoot a problem with an RMS-enlightened application. Následující tabulku použijte k určení nastavení registru, které je možné změnit pro klienta služby RMS.Use the following table to identify the registry settings that you can change for the RMS client.

ÚlohaTask NastaveníSettings
Pokud má klient verzi 1.03102.0221 nebo novější:If the client is version 1.03102.0221 or later:

Řízení shromažďování dat aplikacíTo control application data collection
Důležité: V rámci zajištění ochrany osobních údajů uživatele je nutné, abyste jako správce požádali uživatele o souhlas před tím, než povolíte shromažďování dat.Important: In order to honor user privacy, you as the administrator, must ask the user for consent before enabling data collection.

Pokud shromažďování dat povolíte, souhlasíte s odesíláním dat Microsoftu přes internet.If you enable data collection, you are agreeing to send data to Microsoft over the Internet. Tato data Microsoft používá k poskytování a zlepšování kvality, zabezpečení a integrity produktů a služeb Microsoftu.Microsoft uses this data to provide and improve the quality, security, and integrity of Microsoft products and services. Například Microsoft analyzuje výkon a spolehlivost, například jaké funkce používáte, jak rychle funkce reagují, výkon zařízení, interakce uživatelské rozhraní a žádné problémy s s tímto produktem.For example, Microsoft analyzes performance and reliability, such as what features you use, how quickly the features respond, device performance, user interface interactions, and any problems you experience with the product. Data obsahují také informace o konfiguraci vašeho softwaru, jako je software, který aktuálně používáte a IP adresu.Data also includes information about the configuration of your software, such as the software that you are currently running, and the IP address.

Pro verzi 1.0.3356 nebo novější:For version 1.0.3356 or later:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticAvailabilityREG_DWORD: DiagnosticAvailability

Pro verze před 1.0.3356:For versions before 1.0.3356:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticStateREG_DWORD: DiagnosticState

Hodnota: 0 pro Definováno aplikací (výchozí) pomocí proměnné prostředí IPC_EI_DATA_COLLECTION_ENABLED, 1 pro Zakázáno, 2 pro PovolenoValue: 0 for Application defined (default) by using the environment property IPC_EI_DATA_COLLECTION_ENABLED, 1 for Disabled, 2 for Enabled

Poznámka:: Pokud aplikace na základě MSIPC 32bitová verze na 64bitovou verzi systému Windows, je umístění HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.Note: If your 32-bit MSIPC-based application is running on a 64-bit version of Windows, the location is HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.
Jenom služba AD RMS:AD RMS only:

Aktualizace umístění podnikové služby pro klientský počítačTo update the enterprise service location for a client computer
Aktualizujte následující klíče registru:Update the following registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertificationHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ: výchozíREG_SZ: default

Hodnota:<http nebo https>://Název_clusteru_RMS/_wmcs/CertificationValue:<http or https>://RMS_Cluster_Name/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishingHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ: výchozíREG_SZ: default

Hodnota: <http nebo https>://Název_clusteru_RMS/_wmcs/LicensingValue: <http or https>://RMS_Cluster_Name/_wmcs/Licensing
Zapnutí a vypnutí trasováníTo enable and disable tracing Aktualizujte následující klíč registru:Update the following registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD: trasováníREG_DWORD: Trace

Hodnota: 1 pro zapnutí trasování, 0 pro vypnutí trasování (výchozí)Value: 1 to enable tracing, 0 to disable tracing (default)
Změna počtu dnů frekvence aktualizace šablonTo change the frequency in days to refresh templates Následující hodnoty registru určují, jak často šablony aktualizovat v počítači uživatele, pokud není nastavena hodnota TemplateUpdateFrequencyInSeconds.The following registry values specify how often templates refresh on the user’s computer if the TemplateUpdateFrequencyInSeconds value is not set. Pokud není nastavena ani jedna z těchto hodnot, je výchozí interval aktualizace aplikací pomocí klienta služby RMS (verze 1.0.1784.0) pro stahování šablon 1 den.If neither of these values are set, the default refresh interval for applications using the RMS client (version 1.0.1784.0) to download templates is 1 day. Předchozí verze mají výchozí hodnotu každých 7 dní.Prior versions have a default value of every 7 days.

Režim klienta:Client Mode:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyREG_DWORD: TemplateUpdateFrequency

Hodnota: Celočíselná hodnota, která určuje počet dní (minimálně 1) mezi stahováním.Value: An integer value that specifies the number of days (minimum of 1) between downloads.

Režim serveru:Server Mode:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyREG_DWORD: TemplateUpdateFrequency

Hodnota: Celočíselná hodnota, která určuje počet dní (minimálně 1) mezi stahovánímValue: An integer value that specifies the number of days (minimum of 1) between downloads.
Změna počtu sekund frekvence aktualizace šablonTo change the frequency in seconds to refresh templates

Důležité: Pokud toto nastavení není zadaný, bude hodnota aktualizace šablon ve dnech ignorována.Important: If this setting is specified, the value to refresh templates in days is ignored. Zadejte jednu nebo druhou možnost, ne obě.Specify one or the other, not both.
Následující hodnoty registru určují, jak často šablony aktualizovat v počítači uživatele.The following registry values specify how often templates refresh on the user’s computer. Pokud tato hodnota nebo hodnota změny intervalu v počtu dní (TemplateUpdateFrequency) není nastavena, je výchozí interval aktualizace aplikací pomocí klienta služby RMS (verze 1.0.1784.0) pro stahování šablon 1 den.If this value or the value to change the frequency in days (TemplateUpdateFrequency) is not set, the default refresh interval for applications using the RMS client (version 1.0.1784.0) to download templates is 1 day. Předchozí verze mají výchozí hodnotu každých 7 dní.Prior versions have a default value of every 7 days.

Režim klienta:Client Mode:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyInSecondsREG_DWORD: TemplateUpdateFrequencyInSeconds

Hodnota: Celočíselná hodnota, která určuje počet sekund (minimálně 1) mezi stahováním.Value: An integer value that specifies the number of seconds (minimum of 1) between downloads.

Režim serveru:Server Mode:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyInSecondsREG_DWORD: TemplateUpdateFrequencyInSeconds

Hodnota: Celočíselná hodnota, která určuje počet sekund (minimálně 1) mezi stahováním.Value: An integer value that specifies the number of seconds (minimum of 1) between downloads.
Jenom služba AD RMS:AD RMS only:

Nastavení stažení šablon okamžitě při příští žádosti o publikováníTo download templates immediately at the next publishing request
Během testování a vyhodnocení můžete po klientovi služby RMS chtít stažení šablon co nejdříve.During testing and evaluations, you might want the RMS client to download templates as soon as possible. Pro tuto konfiguraci odeberte následující klíč registru a klient služby RMS pak stáhne šablony okamžitě při publikování další žádosti místo čekání po dobu uvedenou v nastavení registru TemplateUpdateFrequency:For this configuration, remove the following registry key and the RMS client then downloads templates immediately at the next publishing request rather than wait for the time specified by the TemplateUpdateFrequency registry setting:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Název serveru>\TemplateHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Server Name>\Template

Poznámka: <Název serveru> může mít jak externí (corprights.contoso.com), tak interní (corprights) adresy URL, a tedy dvě různé položky.Note: <Server Name> could have both external (corprights.contoso.com) and internal (corprights) URLs and therefore two different entries.
Jenom služba AD RMS:AD RMS only:

Povolení podpory federovaného ověřováníTo enable support for federated authentication
Pokud se klientský počítač služby RMS připojuje ke clusteru služby AD RMS pomocí federovaného vztahu důvěryhodnosti, musíte nakonfigurovat domovskou sféru federace.If the RMS client computer connects to an AD RMS cluster by using a federated trust, you must configure the federation home realm.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FederationHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ: FederationHomeRealmREG_SZ: FederationHomeRealm

Hodnota: hodnota této položky registru je identifikátor URI (URI) pro službu federation service (například "http://TreyADFS.trey.net/adfs/services/trust").Value: The value of this registry entry is the uniform resource identifier (URI) for the federation service (for example, "http://TreyADFS.trey.net/adfs/services/trust").

Poznámka: Je důležité, abyste pro tuto hodnotu zadali http, a nikoli https.Note: It is important that you specify http and not https for this value. Kromě toho pokud aplikace na základě MSIPC 32-bit běží v 64bitové verzi systému Windows, je umístění HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation.In addition, if your 32-bit MSIPC-based application is running on a 64-bit version of Windows, the location is HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation. Příklad konfigurace najdete v tématu Nasazení služby Active Directory Rights Management Services se službou Active Directory Federation Services.For an example configuration, see Deploying Active Directory Rights Management Services with Active Directory Federation Services.
Jenom služba AD RMS:AD RMS only:

Podpora partnerských federačních serverů, které pro zadání uživatelem vyžadují ověřování pomocí formulářůTo support partner federation servers that require forms-based authentication for user input
Klient služby RMS standardně funguje v bezobslužném režimu a zadání uživatelem se nevyžaduje.By default, the RMS client operates in silent mode and user input is not required. Partnerské federační servery ale můžou být nakonfigurované tak, aby vyžadovaly zadání uživatelem ve formě ověřování pomocí formulářů.Partner federation servers, however, might be configured to require user input such as by way of forms-based authentication. V takovém případě musíte klienta služby RMS nakonfigurovat tak, aby bezobslužný režim ignoroval a v okně prohlížeče se zobrazil formulář federovaného ověřování a uživatel se vyzval k ověření.In this case, you must configure the RMS client to ignore silent mode so that the federated authentication form appears in a browser window and the user is promoted for authentication.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FederationHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD: EnableBrowserREG_DWORD: EnableBrowser

Poznámka: Pokud je federační server nakonfigurovaný tak, aby používal ověřování pomocí formulářů, tento klíč se vyžaduje.Note: If the federation server is configured to use forms-based authentication, this key is required. Pokud je federační server nakonfigurovaný na použití integrovaného ověřování systému Windows, tento klíč se nevyžaduje.If the federation server is configured to use integrated Windows authentication, this key is not required.
Jenom služba AD RMS:AD RMS only:

Blokování používání služby ILSTo block ILS service consumption
Klient služby RMS standardně umožňuje využívání obsahu chráněného službou ILS, ale vy můžete nakonfigurovat klienta pomocí následujícího klíče registru k blokování této služby.By default, the RMS client enables consuming content protected by the ILS service but you can configure the client to block this service by setting the following registry key. Pokud tento klíč registru je nastavené na blokuje službu ILS, pak všechny pokusy o otevření a využití obsahu chráněného službou ILS vrátí následující chybu:If this registry key is set to block the ILS service, any attempts to open and consume content protected by the ILS service returns the following error:
HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: DisablePassportCertificationREG_DWORD: DisablePassportCertification

Hodnota: 1 pro blokování využívání služby ILS, 0 pro povolení využívání služby ILS (výchozí)Value: 1 to block ILS consumption, 0 to allow ILS consumption (default)

Správa distribuce šablon pro klienta služby RMSManaging template distribution for the RMS client

Šablony usnadňují uživatelům a správcům rychlé použití ochrany Rights Management a klient služby RMS automaticky stahuje šablony ze svých serverů nebo služeb RMS.Templates make it easy for users and administrators to quickly apply Rights Management protection and the RMS client automatically downloads templates from its RMS servers or service. Když vložíte šablony do následující složky, není klient služby RMS stahovat žádné šablony z výchozího umístění a místo toho stáhne šablony, které jste umístili do této složky.If you put the templates in the following folder location, the RMS client does not download any templates from its default location and instead, download the templates that you have put in this folder. Klient služby RMS může pokračovat ve stahování šablon z jiných dostupných serverů RMS.The RMS client might continue to download templates from other available RMS servers.

Režim klienta: %localappdata%\Microsoft\MSIPC\UnmanagedTemplatesClient Mode: %localappdata%\Microsoft\MSIPC\UnmanagedTemplates

Režim serveru: %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\<SID>Server Mode: %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\<SID>

Při použití této složky neexistují žádné zvláštní požadované zásady vytváření názvů s výjimkou toho, že šablony musí být vydávány serverem nebo službou RMS a musí mít příponu názvu souboru .xml.When you use this folder, there is no special naming convention required except that the templates should be issued by the RMS server or service and they must have the .xml file name extension. Platnými názvy jsou třeba Contoso-Confidential.xml nebo Contoso-ReadOnly.xml.For example, Contoso-Confidential.xml or Contoso-ReadOnly.xml are valid names.

Pouze služba AD RMS: omezení klienta služby RMS pro používání důvěryhodných serverů AD RMSAD RMS only: Limiting the RMS client to use trusted AD RMS servers

Klient služby RMS může být omezen na použití pouze konkrétních důvěryhodných serverů AD RMS prováděním následujících změn registru systému Windows v místních počítačích.The RMS client can be limited to using only specific trusted AD RMS servers by making the following changes to the Windows registry on local computers.

Postup povolení omezení klienta služby RMS na použití výhradně důvěryhodných serverů AD RMSTo enable limiting RMS client to use only trusted AD RMS servers

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_DWORD:AllowTrustedServersOnlyREG_DWORD:AllowTrustedServersOnly

    Hodnota: Pokud je zadána hodnota nula, klient služby RMS důvěřuje jenom konkrétním serverům, které jsou nakonfigurované v seznamu TrustedServers a službě Azure Rights Management.Value: If a non-zero value is specified, the RMS client trusts only the specified servers that are configured in the TrustedServers list and the Azure Rights Management service.

Postup přidání členů do seznamu důvěryhodných serverů AD RMSTo add members to the list of trusted AD RMS servers

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_SZ:<URL_or_HostName>REG_SZ:<URL_or_HostName>

    Hodnota: řetězcové hodnoty v tomto umístění klíče registru můžou mít buď formát názvu domény DNS (například adrms.contoso.com) nebo úplných adres URL důvěryhodných serverů AD RMS (například https://adrms.contoso.com).Value: The string values in this registry key location can be either DNS domain name format (for example, adrms.contoso.com) or full URLs to trusted AD RMS servers (for example, https://adrms.contoso.com). Pokud zadaná adresa URL začíná https://, klient služby RMS používá protokol SSL nebo TLS ke kontaktování zadaného serveru AD RMS.If a specified URL starts with https://, the RMS client uses SSL or TLS to contact the specified AD RMS server.

Zjištění služby RMSRMS service discovery

Zjišťování služby RMS umožní klientovi služby RMS zkontrolovat, se kterým serverem RMS nebo službou komunikovat, před aktivací ochrany obsahu.RMS service discovery lets the RMS client check which RMS server or service to communicate with before protecting content. Zjišťování služby může dojít, když klient služby RMS konzumuje chráněný obsah, ale tento typ zjišťování je méně pravděpodobné, protože zásady připojené k obsahu obsahuje upřednostňovaného serveru RMS nebo službě.Service discovery might also happen when the RMS client consumes protected content, but this type of discovery is less likely to happen because the policy attached to the content contains the preferred RMS server or service. Pouze v případě, že jsou tyto zdroje neúspěšných klient spuštění zjišťování služby.Only if those sources are unsuccessful does the client then run service discovery.

Kvůli zjišťování služby kontroluje klient služby RMS toto:To perform service discovery, the RMS client checks the following:

  1. Registr systému Windows v místním počítači: Pokud jsou nakonfigurována nastavení zjišťování služby v registru, vyzkouší se tato nastavení jako první.The Windows registry on the local computer: If service discovery settings are configured in the registry, these settings are tried first.

    Tato nastavení se standardně nekonfigurují v registru, ale správce je může nakonfigurovat pro službu AD RMS, jak je popsáno v následující části.By default, these settings are not configured in the registry but an administrator can configure them for AD RMS as documented in a following section. Správce tato nastavení pro službu Azure Rights Management obvykle konfiguruje během procesu migrace ze služby AD RMS na službu Azure Information Protection.An administrator typically configures these settings for the Azure Rights Management service during the migration process from AD RMS to Azure Information Protection.

  2. Služby Active Directory Domain Services: Počítač připojený k doméně se dotazuje služby Active Directory na spojovací bod služby (SCP).Active Directory Domain Services: A domain-joined computer queries Active Directory for a service connection point (SCP).

    Pokud je spojovací bod služby zaregistrován, jak je popsáno v následující části, klientovi služby RMS se vrátí k použití adresa URL serveru AD RMS.If an SCP is registered as documented in the following section, the URL of the AD RMS server is returned to the RMS client to use.

  3. Zjišťování služby Azure Rights Management: RMS klient připojí k https://discover.aadrm.com, které vyzývá uživatele k ověření.The Azure Rights Management discovery service: The RMS client connects to https://discover.aadrm.com, which prompts the user to authenticate.

    Když je ověření úspěšné, použije se uživatelské jméno (a doména) z ověřování k identifikaci tenanta služby Azure Information Protection, který se má použít.When authentication is successful, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. Klientovi služby RMS se vrátí adresa URL služby Azure Information Protection, která se má pro tento uživatelský účet použít.The Azure Information Protection URL to use for that user account is returned to the RMS client. Adresa URL je v následujícím formátu: https://<Urlvašehoklienta> /_wmcs/licensingThe URL is in the following format: https://<YourTenantURL>/_wmcs/licensing

    Příklad: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensingFor example: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    <URLVašehoTenanta> má následující formát: {GUID}.rms.[Region].aadrm.com. Tuto hodnotu najdete tak, že identifikujete hodnotu RightsManagementServiceId při spuštění rutiny Get-AadrmConfiguration pro Azure RMS.<YourTenantURL> has the following format: {GUID}.rms.[Region].aadrm.com.You can find this value by identifying the RightsManagementServiceId value when you run the Get-AadrmConfiguration cmdlet for Azure RMS.

Poznámka

Pro tento průběh zjišťování služby platí tři důležité výjimky:There are three important exceptions for this service discovery flow:

  • Mobilní zařízení jsou vhodná pro použít cloudovou službu, takže ve výchozím nastavení používají zjišťování služby pro službu Azure Rights Management (https://discover.aadrm.com).Mobile devices are best suited to use a cloud service, so by default they use service discovery for the Azure Rights Management service (https://discover.aadrm.com). Pokud chcete přepsat toto výchozí nastavení tak, aby mobilní zařízení pomocí služby AD RMS místo služby Azure Rights Management, zadejte záznamy SRV v DNS a nainstalovat rozšíření pro mobilní zařízení, jak je uvedeno v Active Directory Rights Management Services mobilního zařízení Rozšíření.To override this default so that mobile devices use AD RMS rather than the Azure Rights Management service, specify SRV records in DNS and install the mobile device extension as documented in Active Directory Rights Management Services Mobile Device Extension.

  • Když se služba Rights Management vyvolá popiskem služby Azure Information Protection, zjišťování služby se neprovádí.When the Rights Management service is invoked by an Azure Information Protection label, service discovery is not performed. Místo toho je adresa URL zadaná přímo v nastavení popisku, které je nakonfigurované v zásadách služby Azure Information Protection.Instead, the URL is specified directly in the label setting that is configured in the Azure Information Protection policy.

  • Když uživatel inicializuje přihlášení z aplikace Office, použije se uživatelské jméno (a doména) z ověřování k identifikaci tenanta služby Azure Information Protection, který se má použít.When a user initiates sign in from an Office application, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. V takovém případě není nastavení v registru potřeba a spojovací bod služby (SCP) se nekontroluje.In this case, registry settings are not needed and the SCP is not checked.

Pouze služba AD RMS: Zapnutí zjišťování na straně serveru pomocí služby Active DirectoryAD RMS only: Enabling server-side service discovery by using Active Directory

Pokud váš účet nemá dostatečná oprávnění (podniková správci a místní správce pro server služby AD RMS), je bod připojení služby (SCP) zaregistrovat automaticky při instalaci serveru kořenového clusteru AD RMS.If your account has sufficient privileges (Enterprise Admins and local administrator for the AD RMS server), you can automatically register a service connection point (SCP) when you install the AD RMS root cluster server. Pokud spojovací bod služby již existuje v doménové struktuře, musíte nejprve odstranit stávající spojovací bod služby předtím, než zaregistrujete nový.If an SCP already exists in the forest, you must first delete the existing SCP before you can register a new one.

Spojovací bod služby můžete zaregistrovat a odstranit po instalaci služby AD RMS pomocí následujícího postupu.You can register and delete an SCP after AD RMS is installed by using the following procedure. Než začnete, ujistěte se, že váš účet nemá požadovaná oprávnění (podniková správci a místní správce pro server služby AD RMS).Before you start, make sure that your account has the required privileges (Enterprise Admins and local administrator for the AD RMS server).

Zapnutí zjišťování služby AD RMS registrací bodu připojení služby ve službě Active DirectoryTo enable AD RMS service discovery by registering an SCP in Active Directory

  1. Na serveru AD RMS otevřete konzolu služby AD RMS (Active Directory Rights Management Services):Open the Active Directory Management Services console at the AD RMS server:

    • Pro Windows Server 2012 R2 nebo Windows Server 2012, ve Správci serveru vyberte nástroje > Active Directory Rights Management Services.For Windows Server 2012 R2 or Windows Server 2012, in Server Manager, select Tools > Active Directory Rights Management Services.

    • Windows Server 2008 R2, vyberte spustit > nástroje pro správu > Active Directory Rights Management Services.For Windows Server 2008 R2, select Start > Administrative Tools > Active Directory Rights Management Services.

  2. V konzole služby AD RMS klikněte pravým tlačítkem na cluster AD RMS a pak klikněte na tlačítko vlastnosti.In the AD RMS console, right-click the AD RMS cluster, and then click Properties.

  3. Klikněte na kartu Spojovací bod služby.Click the SCP tab.

  4. Vyberte zaškrtávací políčko Změnit spojovací bod služby.Select the Change SCP check box.

  5. Vyberte možnost Nastavit spojovací bod služby na aktuální certifikační cluster a pak klikněte na tlačítko OK.Select the Set SCP to current certification cluster option, and then click OK.

Zapnutí zjišťování služby na straně klienta pomocí registru WindowsEnabling client-side service discovery by using the Windows registry

Jako alternativu k použití spojovacího bodu služby nebo v situaci, kde spojovací bod služby neexistuje, můžete nakonfigurovat registr klientského počítače tak, aby klient služby RMS dokázal svůj server služby AD RMS.As an alternative to using an SCP or where an SCP does not exist, you can configure the registry on the client computer so that the RMS client can locate its AD RMS server.

Postup povolení zjišťování služby AD RMS straně klienta pomocí registru systému WindowsTo enable client-side AD RMS service discovery by using the Windows registry

  1. Otevřete editor registru Windows, Regedit.exe:Open the Windows registry editor, Regedit.exe:

    • V klientském počítači v okně Spustit zadejte regedit a pak stiskněte klávesu Enter a otevřete Editor registru.On the client computer, in the Run window, type regedit, and then press Enter to open the Registry Editor.
  2. V editoru registru přejděte na HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.In Registry Editor, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.

    Poznámka

    Pokud používáte 32bitovou aplikaci na 64bitovém počítači, přejděte na HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPCIf you are running a 32-bit application on a 64-bit computer, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. Podklíč ServiceLocation vytvoříte kliknutím pravým tlačítkem na MSIPC, ukázáním na příkaz Nový, kliknutím na tlačítko Klíč a pak zadáním položky ServiceLocation.To create the ServiceLocation subkey, right-click MSIPC, point to New, click Key, and then type ServiceLocation.

  4. Chcete-li vytvořit podklíč EnterpriseCertification, klikněte pravým tlačítkem na položku ServiceLocation, ukažte na příkaz Nový, klikněte na tlačítko Klíč a pak zadejte položku EnterpriseCertification.To create the EnterpriseCertification subkey, right-click ServiceLocation, point to New, click Key, and then type EnterpriseCertification.

  5. Chcete-li nastavit adresu URL podnikové certifikace, dvakrát klikněte na (výchozí) podklíči EnterpriseCertification podklíč.To set the enterprise certification URL, double-click the (Default) value, under the EnterpriseCertification subkey. Když Upravit řetězec se zobrazí dialogové okno, pro údaj hodnoty, typ <http or https>://<AD RMS_cluster_name>/_wmcs/Certificationa potom klikněte na OK.When the Edit String dialog box appears, for Value data, type <http or https>://<AD RMS_cluster_name>/_wmcs/Certification, and then click OK.

  6. Chcete-li vytvořit podklíč EnterprisePublishing, klikněte pravým tlačítkem ServiceLocation, přejděte na příkaz nový, klikněte na tlačítko klíča pak zadejte EnterprisePublishing.To create the EnterprisePublishing subkey, right-click ServiceLocation, point to New, click Key, and then type EnterprisePublishing.

  7. Chcete-li nastavit podnikovou adresu URL publikování, dvakrát klikněte na (výchozí) pod EnterprisePublishing podklíč.To set the enterprise publishing URL, double-click (Default) under the EnterprisePublishing subkey. Když Upravit řetězec se zobrazí dialogové okno, pro údaj hodnoty, typ <http or https>://<AD RMS_cluster_name>/_wmcs/Licensinga potom klikněte na OK.When the Edit String dialog box appears, for Value data, type <http or https>://<AD RMS_cluster_name>/_wmcs/Licensing, and then click OK.

  8. Ukončete program Editor registru.Close Registry Editor.

Pokud klient služby RMS nemůže najít spojovací bod služby dotazováním služby Active Directory a v registru není zadán, volání zjišťování služby pro službu AD RMS se nezdaří.If the RMS client can't find an SCP by querying Active Directory and it's not specified in the registry, service discovery calls for AD RMS fails.

Přesměrování přenosů licenčního serveruRedirecting licensing server traffic

V některých případech je potřeba během zjišťování služby přesměrovat provoz, například při sloučení dvou organizací, kdy se starý licenční server v jedné organizaci vyřadí z provozu a klienti se musí přesměrovat na nový licenční server.In some cases, you might need to redirect traffic during service discovery, for example, when two organizations are merged and the old licensing server in one organization is retired and clients need to be redirected to a new licensing server. Nebo migraci ze služby AD RMS na službu Azure RMS.Or, you migrate from AD RMS to Azure RMS. K tomuto přesměrování slouží následující postup.To enable licensing redirection, use the following procedure.

Zapnutí přesměrování licencování RMS pomocí registru systému WindowsTo enable RMS licensing redirection by using the Windows registry

  1. Otevřete editor registru systému Windows, Regedit.exe.Open the Windows registry editor, Regedit.exe.

  2. V Editoru registru přejděte na jedno z následujících míst:In Registry Editor, navigate to one of the following:

    • 64bitové verze Office na platformě x64: HKLM\SOFTWARE\Microsoft\MSIPC\ServicelocationFor 64-bit version of Office on x64 platform: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • 32bitové verze Office na platformě x64: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServicelocationFor 32-bit version of Office on x64 platform: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. Podklíč LicensingRedirection vytvoříte kliknutím pravým tlačítkem na položku Servicelocation, přechodem na příkaz Nový, kliknutím na tlačítko Klíč a zadáním položky LicensingRedirection.Create a LicensingRedirection subkey, by right-clicking Servicelocation, point to New, click Key, and then type LicensingRedirection.

  4. Chcete-li nastavit přesměrování licencování, klikněte pravým tlačítkem na podklíč LicensingRedirection, vyberte možnost Nový a pak vyberte položku Hodnota řetězce.To set the licensing redirection, right-click the LicensingRedirection subkey, select New, and then select String value. Pro Název zadejte adresu URL licencování předchozího serveru a jako Hodnotu zadejte adresu URL licencování nového serveru.For Name, specify the previous server licensing URL and for Value specify the new server licensing URL.

    Pokud chcete například přesměrovat licencování ze serveru v doméně Contoso.com na některý server v doméně Fabrikam.com, zadali byste následující hodnoty:For example, to redirect licensing from a server at Contoso.com to one at Fabrikam.com, you might enter the following values:

    Jméno: https://contoso.com/_wmcs/licensingName: https://contoso.com/_wmcs/licensing

    Hodnota: https://fabrikam.com/_wmcs/licensingValue: https://fabrikam.com/_wmcs/licensing

    Poznámka

    Pokud má starý licenční server má jak intranetové tak extranetové adresy URL zadán, nové jméno a mapování hodnota musí být nastavena pro obě tyto adresy URL v části LicensingRedirection klíč.If the old licensing server has both intranet and extranet URLs specified, a new name and value mapping must be set for both these URLs under the LicensingRedirection key.

  5. Předchozí postup opakujte pro všechny servery, které je potřeba přesměrovat.Repeat the previous step for all servers that need to be redirected.

  6. Ukončete program Editor registru.Close Registry Editor.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.