Technický přehled a podrobnosti ochrany k aplikaci pro sdílení obsahu Microsoft Rights ManagementTechnical overview and protection details for the Microsoft Rights Management sharing application

Platí pro: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 7 s aktualizací SP1, Windows 8, Windows 8.1Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 7 with SP1, Windows 8, Windows 8.1

Aplikace pro sdílení obsahu Microsoft Rights Management je volitelná stahovatelná aplikace pro Microsoft Windows a jiné platformy, která umožňuje:The Microsoft Rights Management sharing application is an optional downloadable application for Microsoft Windows and other platforms that provides the following:

  • Ochranu jednoho souboru nebo hromadnou ochranu několika souborů a všech souborů ve vybrané složceProtection of a single file or bulk protection of multiple files as well as all files within a selected folder.

  • Plnou podporu pro ochranu libovolného typu souboru a integrovaný prohlížeč pro běžně používané typy textových a obrázkových souborůFull support for protection of any type of file and a built-in viewer for commonly used text and image file types.

  • Obecnou ochranu pro soubory, které ochranu RMS nepodporujíGeneric protection for files that do not support RMS protection.

  • Plnou interoperabilitu se soubory chráněnými Správou přístupových práv k informacím v OfficeFull interoperability with files protected using Office Information Rights Management (IRM).

  • Plná interoperabilita se soubory PDF chráněnými pomocí souboru klasifikace infrastruktury (FCI) a podporované nástroje pro tvorbu PDF formátů.Full interoperability with PDF files protected using File Classification Infrastructure (FCI), and supported PDF authoring tools.

Aplikace pro sdílení obsahů Microsoft Rights Management používá runtime AD RMS Client 2.1.The Microsoft Rights Management sharing application uses the AD RMS Client 2.1 runtime. Využíváním funkcí služby AD RMS 2.1 poskytuje aplikace pro sdílení obsahu Microsoft Rights Management koncovým uživatelům jednoduché prostředí pro ochranu a využití obsahu.By using the functionality of AD RMS 2.1, the Microsoft Rights Management sharing application provides end users a simple protection and consumption experience.

Verze služby RMS z října 2013 vám umožňuje nativně chránit dokumenty pomocí Office 2010 a posílat je dalším osobám v jiné společnosti. Tyto osoby je pak mohou využívat pomocí služby Azure Rights Management z Azure Information Protection.With the October 2013 release of RMS, you can natively protect documents by using Office 2010 and send them to people in another company, who can then consume them by using the Azure Rights Management service from Azure Information Protection. Pokud u této verze používáte službu AD RMS v kryptografickém režimu 2, můžete navíc službu RMS používat pro jednotlivce a využívat obsah od osob z jiné společnosti, ve které se používá služba Azure Rights Management.In addition, with this release, if you use AD RMS in Cryptographic Mode 2, you can use RMS for individuals and consume content from people in another company that uses the Azure Rights Management service. Více informací o kryptografickém režimu 2 naleznete v kapitole Kryptografické režimy AD RMS.For more information about Cryptographic Mode 2, see AD RMS Cryptographic Modes.

Informace o nasazení naleznete v kapitole Automatické nasazení pro aplikace pro sdílení obsahu Microsoft Rights ManagementFor deployment information, see Automatic deployment for the Microsoft Rights Management sharing application

Úrovně ochrany – nativní a obecnáLevels of protection – native and generic

Aplikace pro sdílení obsahu Microsoft Rights Management podporuje ochranu na dvou různých úrovních, jak popisuje následující tabulka.Microsoft Rights Management sharing application supports protection at two different levels, as described in the following table.

Typ ochranyType of protection NativníNative ObecnéGeneric
PopisDescription Pro textové a obrázkové soubory, soubory Microsoft Office (Word, Excel, PowerPoint), soubory .pdf a typy souborů jiných aplikací, které podporují službu Rights Management, poskytuje nativní ochrana silnou úroveň ochrany, která zahrnuje jak šifrování, tak prosazování práv (oprávnění).For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and other application file types that support a Rights Management service, native protection provides a strong level of protection that includes both encryption and enforcement of rights (permissions). Pro všechny ostatní aplikace a typy souborů poskytuje obecná ochrana úroveň ochrany, která zahrnuje zapouzdření souboru do souboru typu .pfile a ověřování, kterým se zjistí, jestli je uživatel autorizovaný k otevření souboru.For all other applications and file types, generic protection provides a level of protection that includes both file encapsulation using the .pfile file type and authentication to verify if a user is authorized to open the file.
ProtectionProtection Soubory jsou plně zašifrované, přičemž ochrana se prosazuje následujícími způsoby:Files are fully encrypted and protection is enforced in the following ways:

– U uživatelů, kteří soubor dostanou e-mailem nebo kteří k němu mají přístup prostřednictvím oprávnění k souboru nebo ke sdílení, musí dojít k úspěšnému ověření, než se chráněný obsah zobrazí.- Before protected content is rendered, successful authentication must occur for those who receive the file through email or are given access to it through file or share permissions.

– Při zobrazení obsahu v prohlížeči IP (u chráněných textových a obrázkových souborů) nebo v přidružené aplikaci (u všech ostatních podporovaných typů souborů) se navíc plně prosazují práva k používání a zásady nastavené vlastníkem obsahu při ochraně souborů.- Additionally, usage rights and policy set by the content owner when files are protected are fully enforced when the content is rendered in either IP Viewer (for protected text and image files) or the associated application (for all other supported file types).
Ochrana souboru se prosazuje těmito způsoby:File protection is enforced in the following ways:

– U uživatelů, kteří jsou autorizovaní k otevření souboru a mají k němu přístup, musí dojít k úspěšnému ověření, než se chráněný obsah zobrazí.- Before protected content is rendered, successful authentication must occur for those who are authorized to open the file and given access to it. Pokud autorizace selže, soubor se neotevře.If authorization fails, the file does not open.

– Zobrazí se práva k používání a zásady nastavené vlastníkem, které autorizované uživatele informují o zamýšlených zásadách používání.- Usage rights and policy set by the content owner are displayed to inform authorized users of the intended usage policy.

– Při otevírání a zpřístupňování souborů autorizovanými uživateli dochází k protokolování auditu, aplikace bez podpory ale neprosazují práva k používání.- Audit logging of authorized users opening and accessing files occurs, however, no usage rights are enforced by non-supporting applications.
Výchozí pro typy souborůDefault for file types Toto je výchozí úroveň ochrany pro následující typy souborů:This is the default level of protection for the following file types:

– Textové a obrázkové soubory- Text and image files

– Soubory Microsoft Office (Word, Excel, PowerPoint)- Microsoft Office (Word, Excel, PowerPoint) files

– Soubory .pdf (Portable Document Format)- Portable document format (.pdf)

Další informace naleznete v následující kapitole Podporované typy souborů a přípony názvů souborů.For more information, see the following section, Supported file types and file name extensions.
Toto je výchozí ochrana pro všechny ostatní typy souborů (například .vsdx, .rtf atd.), u kterých není podporována plná ochrana.This is the default protection for all other file types (such as .vsdx, .rtf, and so on) that are not supported by full protection.

Výchozí úroveň ochrany, kterou aplikace Sdílení RMS používá, můžete změnit.You can change the default protection level that the RMS sharing application applies. Výchozí úroveň můžete změnit z nativní na obecnou nebo z obecné na nativní. Aplikaci Sdílení RMS můžete dokonce zabránit, aby používala ochranu.You can change the default level of native to generic, from generic to native, and even prevent the RMS sharing application from applying protection. Další informace naleznete v kapitole Změna výchozí úrovně ochrany souborů v tomto článku.For more information, see the Changing the default protection level of files section in this article.

Podporované typy souborů a přípon názvů souborůSupported file types and file name extensions

Následující tabulka uvádí typy souborů, které aplikace pro sdílení obsahu Microsoft Rights Management nativně podporuje.The following table lists file types that are natively supported by Microsoft Rights Management sharing application. Když se u těchto typů souborů použije nativní ochrana, původní přípona názvu souboru se změní na jinou a tyto soubory pak jsou jen pro čtení.For these file types, the original file name extension is changed when native protected is applied, and these files become read-only.

Kromě toho platí, že když aplikace Sdílení RMS nativně chrání wordový, excelový nebo powerpointový soubor, který uživatelé chrání při sdílení, automaticky se tím vytvoří druhý soubor, který je kopií původního souboru – má stejný název, ale příponu .ppdf¹.In addition, when the RMS sharing application natively protects a Word, Excel, or PowerPoint file that users protect by sharing, this action automatically creates a second file that is a copy of the original with the same file name but with a .ppdf file name extension ¹. Tahle verze souboru zaručuje, že příjemci souboru, kteří mají nainstalovanou aplikaci Sdílení RMS, můžou nativně chráněný soubor vždycky otevřít.This version of the file ensures that recipients who install the RMS sharing application can always open the file that has native protection applied.

U obecně chráněných souborů se původní přípona názvu souboru vždy změní na .pfile.For files that are generically protected, the original file name extension is always changed to .pfile.

Varování

Pokud máte brány firewall, webové proxy servery nebo zabezpečovací programy, které kontrolují přípony názvů souborů a na základě toho provádějí odpovídající akce, budete nejspíš muset změnit jejich nastavení tak, aby podporovalo tyto nové přípony názvů souborů.If you have firewalls, web proxies, or security software that inspect and take action according to file name extensions, you might need to reconfigure these to support these new file name extensions.

Původní přípona názvu souboruOriginal file name extension Přípona názvu souboru chráněného službou RMSRMS-protected file name extension
.txt.txt .ptxt.ptxt
.xml.xml .pxml.pxml
.jpg.jpg .pjpg.pjpg
.jpeg.jpeg .pjeg.pjeg
.pdf.pdf příponu .ppdf.ppdf
.png.png .ppng.ppng
.tif.tif .ptif.ptif
.tiff.tiff .ptiff.ptiff
.bmp.bmp .pbmp.pbmp
.gif.gif .pgif.pgif
.jpe.jpe .pjpe.pjpe
.jfif.jfif .pjfif.pjfif
.jt.jt .pjt.pjt

¹ Zobrazování souborů PDF používá technologii společnosti Foxit.¹ PDF Rendering Powered by Foxit. Copyright © 2003–2014 Foxit Corporation.Copyright © 2003–2014 by Foxit Corporation.

Následující tabulka uvádí typy souborů, které aplikace pro sdílení obsahu Microsoft Rights Management nativně podporuje v Microsoft Office 2016, Office 2013 a Office 2010.The following table lists the file types that the Microsoft Rights Management sharing application natively supports in Microsoft Office 2016, Office 2013, and Office 2010. U těchto souborů zůstává přípona názvu souboru stejná i po tom, co soubor ochrání služba Rights Management.For these files, the file name extension remains the same after the file is protected by a Rights Management service.

Typy souborů podporované systémem OfficeFile types supported by Office Typy souborů podporované systémem OfficeFile types supported by Office
.doc.doc

.docm.docm

.docx.docx

.dot.dot

.dotm.dotm

.dotx.dotx

.potm.potm

.potx.potx

.pps.pps

.ppsm.ppsm

.ppsx.ppsx

.ppt.ppt

.pptm.pptm
.pptx.pptx

.thmx.thmx

.xla.xla

.xlam.xlam

.xls.xls

.xlsb.xlsb

.xlt.xlt

.xlsm.xlsm

.xlsx.xlsx

.xltm.xltm

.xltx.xltx

.xps.xps

Změna výchozí úrovně ochrany souborůChanging the default protection level of files

Úpravou registru můžete změnit, jakým způsobem aplikace Sdílení RMS chrání soubory.You can change how the RMS sharing application protects files by editing the registry. Můžete tak třeba vynutit, aby soubory podporující nativní ochranu byly aplikací Sdílení RMS chráněny obecně.For example, you can force files that support native protection to be generically protected by the RMS sharing application.

Můžete to chtít z těchto důvodů:Reasons for why you might want to do this:

  • Aby všichni uživatelé mohli soubor otevřít na svém mobilním zařízení.To ensure that all users can open the file from their mobile devices.

  • Aby všichni uživatelé mohli soubor otevřít, i když nemají aplikaci podporující nativní ochranu.To ensure that all users can open the file if they don’t have an application that supports native protection.

  • Abyste vyhověli požadavkům systémů zabezpečení, které provádějí akce se soubory na základě přípony názvu souboru a které se dají nakonfigurovat tak, aby přijaly příponu .pfile, ale nejdou nakonfigurovat tak, aby přijaly pro nativní ochranu víc než jednu příponu názvu souboru.To accommodate security systems that take action on files by their file name extension and can be reconfigured to accommodate the .pfile file name extension but cannot be reconfigured to accommodate multiple file name extensions for native protection.

Podobně můžete aplikaci Sdílení RMS přinutit k používání nativní ochrany u souborů, které by ve výchozím nastavení podléhaly obecné ochraně.Similarly, you can force the RMS sharing application to apply native protection to files that by default, would have generic protection applied. Může se to hodit třeba v situaci, kdy máte aplikaci podporující rozhraní API služby RMS – například obchodní aplikaci vytvořenou interními vývojáři nebo aplikaci zakoupenou od nezávislého výrobce softwaru.This might be appropriate if you have an application that supports the RMS APIs – for example, a line-of-business application written by your internal developers or an application purchased from an independent software vendor (ISV).

Aplikaci Sdílení RMS můžete taky přinutit, aby ochranu souborů blokovala (nepoužívala nativní ani obecnou ochranu).You can also force the RMS sharing application to block the protection of files (not apply native protection or generic protection). To může být potřeba například kvůli automatické aplikaci nebo službě, která musí určitý soubor otevřít, aby mohla zpracovat jeho obsah.For example, this might be required if you have an automated application or service that must be able to open a specific file to process its contents. Když pro určitý typ souboru zablokujete ochranu, nemůžou uživatelé pomocí aplikace Sdílení RMS chránit soubory tohoto typu.When you block protection for a file type, users cannot use the RMS sharing application to protect a file that has that file type. Pokud to zkusí, zobrazí se jim zpráva, že správce ochraně zabránil, a musí akci ochrany souboru zrušit.When they try, they see a message that the administrator has prevented protection and they must cancel their action to protect the file.

Pokud chcete aplikaci Sdílení RMS nakonfigurovat tak, aby se u všech souborů, které by ve výchozím nastavení používaly nativní ochranu, použila obecná ochrana, proveďte následující změny registru.To configure the RMS sharing application to apply generic protection to all files that by default, would have native protection applied, make the following registry edits. Pokud klíče RmsSharingApp a FileProtection neexistují, musíte je vytvořit ručně.Note if the RmsSharingApp or FileProtection keys do not exist, you must manually create them.

  1. HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection: Vytvořte nový klíč s názvem *.HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection: Create a new key named *.

    Toto nastavení označuje soubory s libovolnou příponou názvu.This setting denotes files with any file name extension.

  2. V nově přidaném klíči HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection\* vytvořte novou řetězcovou hodnotu (REG_SZ) s názvem Encryption a datovou hodnotou Pfile.In the newly added key of HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection\*, create a new string value (REG_SZ) named Encryption that has the data value of Pfile.

    Důsledkem tohoto nastavení bude, že aplikace Sdílení RMS bude používat obecnou ochranu.This setting results in the RMS sharing application applying generic protection.

Tato dvě nastavení způsobí, že aplikace Sdílení RMS bude u všech souborů, které mají příponu názvu, používat obecnou ochranu.These two settings result in the RMS sharing application applying generic protection to all files that have a file name extension. Pokud jste tohle chtěli, nemusíte nic dalšího konfigurovat.If this is your goal, no further configuration is required. Můžete ale taky definovat výjimky pro konkrétní typy souborů, aby byly dál chráněné nativně.However, you can define exceptions for specific file types, so that they are still natively protected. Pro každý typ souboru musíte udělat další tři změny v registru.To do this, you must make three additional registry edits for each file type:

  1. HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection: Přidejte nový klíč, který bude mít název jako přípona názvů souborů (bez úvodní tečky).HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection: Add a new key that has the name of the file name extension (without the preceding period).

    Například, pro soubory s příponou názvu .docx vytvořte klíč pojmenovaný jako DOCX.For example, for files that have a .docx file name extension, create a key named DOCX.

  2. V nově přidaném klíči typu souboru (například HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection\DOCX) vytvořte novou hodnotu DWORD s názvem AllowPFILEEncryption a hodnotou 0.In the newly added file type key (for example, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection\DOCX), create a new DWORD Value named AllowPFILEEncryption that has a value of 0.

  3. V nově přidaném klíči typu souboru (například HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection\DOCX) vytvořte novou řetězcovou hodnotu s názvem Encryption a hodnotou Native.In the newly added file type key (for example, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection\DOCX), create a new String Value named Encryption that has a value of Native.

Tato nastavení způsobí, že obecně budou chráněné všechny soubory kromě těch, které mají příponu názvu .docx – ty budou aplikací Sdílení RMS chráněné nativně.As a result of these settings, all files are generically protected except files that have a .docx file name extension, which are natively protected by the RMS sharing application.

Tyto tři kroky opakujte u dalších typů souborů, které chcete definovat jako výjimky, protože podporují nativní ochranu a nechcete aby byly aplikací Sdílení RMS chráněné obecně.Repeat these three steps for other file types that you want to define as exceptions because they support native protection and you do not want them to be generically protected by the RMS sharing application.

Podobné úpravy registru můžete provádět i v jiných případech. Můžete změnit hodnotu řetězce Šifrování, který podporuje následující hodnoty:You can make similar registry edits for other scenarios by changing the value of the Encryption string that supports the following values:

  • Pfile: Obecná ochranaPfile: Generic protection

  • Nativní: Nativní ochranaNative: Native protection

  • Off: Blokování ochranyOff: Block protection

Viz takéSee Also

Uživatelská příručka aplikace pro sdílení obsahu Rights ManagementRights Management sharing application user guide

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.