Rights Management Service client deployment notes

A következőkrevonatkozik: Active Directory Rights Management Services, Azure Information Protection, Windows 8, Windows 8.1, Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram.

Ha a 7-es vagy Office 2010-es verzióval Windows, tekintse meg az AIP és a régi verziók Windows és Office verziókat.

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

A tartalomvédelmi szolgáltatás 2-es verzióját MSIPC-ügyfélnek is nevezik. Olyan számítógépszoftver, amely Windows-számítógépeken helyszíni vagy felhőbeli Microsoft Rights Management-szolgáltatásokkal kommunikál az információkhoz való hozzáférés és a használat védelme érdekében, miközben az alkalmazásokat és eszközöket, a szervezeten belül vagy a felügyelt határvonalakon kívülre áramlik.

Az azure Information Protectionegységes címkével rendelkező ügyfélalkalmazással történő szállítás mellett az RMS-ügyfél opcionális letöltésként érhető el, amely a licencszerződés elfogadásával és elfogadásával szabadon terjeszthető külső szoftverekkel, hogy az ügyfelek védettek és felhasználják a tartalomvédelmi szolgáltatások által védett tartalmakat.

A tartalomvédelmi szolgáltatás ügyfelének újraelosztása

A tartalomvédelmi szolgáltatás ügyfélprogramja szabadon terjeszthető és más alkalmazásokkal és it-megoldásokkal együtt kötegelhető. Ha Ön alkalmazásfejlesztő vagy megoldásszolgáltató, és újra el szeretné terjeszteni az rmS-ügyfélprogramot, két lehetőség közül választhat:

  • Ajánlott: Ágyazza be a tartalomvédelmi szolgáltatás ügyfélprogram-telepítőjét az alkalmazás telepítéséhez, és futtassa csendes módban (a következő szakaszban részletezett /csendes kapcsoló).

  • Az alkalmazás előfeltételeként győződjön meg az rmS-ügyfélről. Ha ezt a lehetőséget választja, további utasításokat kell adnia a felhasználóknak ahhoz, hogy az alkalmazás használata előtt telepítve, telepítve és frissítve megkapják a számítógépüket az ügyféllel.

A tartalomvédelmi szolgáltatás ügyfélprogram telepítése

Az RMS-ügyfél egy setup_msipc_ arch .exenevű telepítőfájlban található, > ahol az arch vagy > (32 bites ügyfélszámítógépek esetén) vagy x64 (64 bites ügyfélszámítógépek esetén). A 64 bites (x64-es) telepítőcsomag 32 bites, 64 bites operációs rendszeren futó alkalmazásokkal való kompatibilitás érdekében telepít 32 bites végrehajtható fájlt, valamint egy 64 bites, a beépített 64 bites alkalmazások támogatását támogató 64 bites futtathatót is. A 32 bites (x86) telepítő nem fut 64 bites Windows telepítéskor.

Megjegyzés

A tartalomvédelmi szolgáltatás ügyfélprogram telepítéséhez magasabb szintű jogosultságokkal kell rendelkezik, például a helyi számítógépen a Rendszergazdák csoport tagjaként.

A tartalomvédelmi szolgáltatás ügyfélprogramot az alábbi telepítési módszerek egyikével telepítheti:

  • Csendes mód. Ha a parancssori beállítások részeként a /quiet kapcsolót használja, csendesen telepítheti a tartalomvédelmi szolgáltatás ügyfélprogramját a számítógépekre. Az alábbi példa egy csendes módot mutat be az RMS-ügyfélhez egy 64 bites ügyfélszámítógépen:

    setup_msipc_x64.exe /quiet
    
  • Interaktív mód. Másik módszerként telepítheti az RMS-ügyfélprogramot az RmS Client Installation varázsló által biztosított GUI-alapú telepítőprogrammal. Az interaktív telepítéshez kattintson duplán a tartalomvédelmi szolgáltatás ügyfélprogram-telepítőcsomagjára(setup_msipc_.exe) abban a mappában, amelybe a helyi számítógépre másolta vagy letöltötte azt.

Kérdések és válaszok a tartalomvédelmi szolgáltatás ügyfélprogramról

Az alábbi szakasz a tartalomvédelmi szolgáltatás ügyfélprogrammal kapcsolatos gyakori kérdéseket és válaszokat tartalmaz.

Mely operációs rendszerek támogatják a tartalomvédelmi szolgáltatás ügyfélprogramot?

A tartalomvédelmi szolgáltatás ügyfélprogramot az alábbi operációs rendszerek támogatják:

Windows Server operációs rendszer Windows ügyfél operációs rendszer
Windows Server 2016 Windows 10
Windows Server 2012 R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 R2 Windows 7, legalább SP1

Mely processzorok és platformok támogatják a tartalomvédelmi szolgáltatás ügyfélprogramot?

A tartalomvédelmi szolgáltatás (RMS) az x86-os és az x64-es számítógépes platformokon támogatott.

Hol van telepítve az RMS-ügyfél?

Az RMS ügyfél alapértelmezés szerint a %ProgramFiles%\Active Directory Rights Management Services 2. ügyfélprogramban van telepítve. < alverziószám > .

Milyen fájlok vannak társítva a tartalomvédelmi szolgáltatás ügyfélszoftveréhez?

A következő fájlok a tartalomvédelmi szolgáltatás ügyfélszoftverének részeként vannak telepítve:

  • Msipc.dll

  • Ipcsecproc.dll

  • Ipcsecproc_ssp.dll

  • MSIPCEvents.man

Ezeken a fájlokon kívül az RMS-ügyfél 44 nyelven is telepít többnyelvű felhasználói felületi (MUI) fájlokat. A támogatott nyelvek ellenőrzéséhez futtassa a tartalomvédelmi szolgáltatás ügyfélprogramját, és amikor befejeződött a telepítés, tekintse át a többnyelvű támogatási mappák tartalmát az alapértelmezett elérési út alatt.

Az rmS-ügyfél alapértelmezés szerint része a támogatott operációs rendszerek telepítésekor?

Nem. Az RMS-ügyfélnek ez a verziója opcionális letöltésként lesz elérhető, amely külön telepíthető a Microsoft Windows operációs rendszer támogatott verzióit futtató számítógépekre.

A Microsoft Update automatikusan frissíti a tartalomvédelmi szolgáltatás ügyfélprogramot?

Ha ezt az ügyfélalkalmazást a csendes telepítési beállítással telepítette, az rmS-ügyfél örökli az aktuális Microsoft Update-beállításokat. Ha az RMS ügyfélprogramot a GUI-alapú telepítőprogram használatával telepítette, az RMS-ügyfél telepítővarázslója kéri a Microsoft Update engedélyezését.

RmS-ügyfél beállításai

Az alábbi szakasz a tartalomvédelmi szolgáltatás ügyfélprogramra vonatkozó beállításokat tartalmaz. Ez az információ akkor lehet hasznos, ha problémákat tapasztal az rmS-ügyfélprogramot használt alkalmazásokkal vagy szolgáltatásokkal kapcsolatban.

Megjegyzés

Egyes beállítások attól függenek, hogy a tartalomvédelmi szolgáltatás által használt alkalmazás ügyfélmódos alkalmazásként (például az Microsoft Word és az Outlook, illetve az Azure Information Protection ügyfélprogram Windows Fájlkezelővel) vagy kiszolgálói módú alkalmazásként (például SharePoint és Exchange) fut-e. Az alábbi táblázatokban ezeket a beállításokat ügyfélmód, illetve kiszolgálói módkéntazonosítjuk.

Ahol az rmS-ügyfél ügyfélszámítógépeken tárolja a licenceket

Az RMS-ügyfél a helyi lemezen tárolja a licenceket, és bizonyos információkat a helyi beállításjegyzékben Windows gyorsítótárba.

Leírás Ügyfél mód elérési útjai Kiszolgálói mód elérési útjai
Licenc áruházának helye %localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server\ SID >
Sablontár helye %localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\ SID >
Beállításjegyzékbeli hely HKEY_CURRENT_USER
\Software
\Classes
\Local Gépház
\Software
\Microsoft
\MSIPC
HKEY_CURRENT_USER
\Software
\Microsoft
\MSIPC
\Server
\\>

Megjegyzés

A SID annak a fióknak a biztonságos azonosítója (SID), amelyen a > kiszolgálói alkalmazás fut. Ha például az alkalmazás a beépített hálózati szolgáltatásfiók alatt fut, cserélje le a > SID-t a fiók jól ismert SID azonosítójára (S-1-5-20).

Windows rmS ügyfél beállításjegyzék-beállításainak módosítása

A tartalomvédelmi szolgáltatások Windows meg vagy módosíthatja a tartalomvédelmi szolgáltatás egyes ügyfélprogram-konfigurációit. Például a tartalomvédelmi szolgáltatás által használt, az AD RMS-kiszolgálókkal kommunikáló alkalmazások rendszergazdájaként érdemes lehet frissíteni a vállalati szolgáltatás helyét (felülbírálni az aktuálisan közzétételre kijelölt AD RMS-kiszolgálót), attól függően, hogy az ügyfélszámítógép jelenleg hol található az Active Directory topológián belül. Vagy az is lehetséges, hogy engedélyezni szeretné a tartalomvédelmi szolgáltatás nyomon követését az ügyfélszámítógépen, hogy segítse a tartalomvédelmi szolgáltatás által áttűnött alkalmazásokkal kapcsolatos problémák elhárítását. Az alábbi táblázatban azokat a beállításjegyzék-beállításokat használhatja, amelyek az RmS ügyfélprogramban megváltoztathatóak.

Tevékenység Gépház
Ha az ügyfél 1.03102.0221-es vagy újabb verziójú:

Alkalmazásadat-gyűjtés szabályozása
Fontos:A felhasználói adatok védelme érdekében Önnek mint rendszergazdának engedélyt kell kérnie a felhasználótól az adatgyűjtés engedélyezése előtt.

Ha engedélyezi az adatgyűjtést, azzal elfogadja, hogy adatokat küld a Microsoftnak az interneten keresztül. A Microsoft ezeket az adatokat a Microsoft-termékek és -szolgáltatások minőségének, biztonságának és sértetlenségének javítására használja fel. A Microsoft például elemzi a teljesítményt és a megbízhatóságot, például hogy milyen funkciókat használ, milyen gyorsan válaszolnak a funkciók, milyen gyorsan válaszolnak, milyen eszközteljesítményt, felhasználói felületi interakciókat és a termékkel kapcsolatos esetleges problémákat. Az adatok között információk is vannak a szoftver konfigurációját, például az Ön által futtatott szoftvert és az IP-címet.

1.0.3356-os vagy újabb verzióhoz:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: Diagnosztikai hozzáférhetőség

Az 1.0.3356 előtti verzióknál:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticState

Érték:0 az alkalmazás által definiált (alapértelmezett) alkalmazáshoz a IPC_EI_DATA_COLLECTION_ENABLED, 1 a Letiltva, 2 az Engedélyezve tulajdonsággal

Megjegyzés:Ha a 32 bites MSIPC-alapú alkalmazás az Windows 64 bites verzióján fut, a hely HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.
Csak az AD RMS esetén:

Az ügyfélszámítógépek nagyvállalati szolgáltatási helyének frissítése
Frissítse az alábbi beállításkulcsokat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ: alapértelmezett

Érték: http vagy https :// >>/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ: alapértelmezett

Érték: http vagy https :// >>/_wmcs/Licensing
A nyomkövetés engedélyezése és letiltása Frissítse a következő beállításkulcsot:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD: Nyomkövetés

Érték:1 a nyomkövetés engedélyezéséhez, 0 a nyomkövetés letiltásához (alapértelmezett)
A napok gyakoriságának módosítása a sablonok frissítéséhez Az alábbi beállításjegyzékbeli értékek határozzák meg, hogy milyen gyakran frissülnek a sablonok a felhasználó számítógépén, ha nincs beállítva a TemplateUpdateFrequencyInSeconds érték. Ha egyik érték sincs megjelölve, a tartalomvédelmi szolgáltatás ügyfélprogramot (1.0.1784.0-s verzió) használó alkalmazások alapértelmezett frissítési időköze 1 nap. A korábbi verziók alapértelmezett értéke 7 naponta.

Ügyfélmód:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequency

Érték:Egy egész szám, amely a letöltések közötti napok számát adja meg (minimum 1).

Kiszolgálói mód:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\< SID>
REG_DWORD: TemplateUpdateFrequency

Érték:Egy egész szám, amely a letöltések közötti napok számát adja meg (minimum 1).
A gyakoriság másodpercben való módosítása a sablonok frissítéséhez

Fontos: Ha ez a beállítás meg van adva, akkor a sablonok napokban való frissítésének értékét figyelmen kívül hagyja a program. Adja meg az egyiket vagy a másikat, és ne mindkettőt.
Az alábbi beállításjegyzék-értékek határozzák meg, hogy a sablonok milyen gyakran frissülnek a felhasználó számítógépén. Ha nincs megjelölve ez az érték vagy a napok gyakoriságának (TemplateUpdateFrequency) módosítása, akkor a tartalomvédelmi szolgáltatás ügyfélprogramot (1.0.1784.0-s verzió) használó alkalmazások alapértelmezett frissítési időköze 1 nap. A korábbi verziók alapértelmezett értéke 7 naponta.

Ügyfélmód:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyInSeconds

Érték:Egy egész szám, amely a letöltések közötti másodpercek számát adja meg (minimum 1).

Kiszolgálói mód:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<<>
REG_DWORD: TemplateUpdateFrequencyInSeconds

Érték:Egy egész szám, amely a letöltések közötti másodpercek számát adja meg (minimum 1).
Csak az AD RMS esetén:

Sablonok azonnali letöltése a következő közzétételi kéréskor
Tesztelés és értékelések során érdemes lehet minél hamarabb letölteni a sablonokat a tartalomvédelmi szolgáltatás ügyfélprogramból. Ehhez a konfigurációhoz távolítsa el az alábbi beállításkulcsot és az RMS-ügyfélalkalmazást, majd a sablonokat közvetlenül a következő közzétételi kérésnél letölti, és ne várja meg a TemplateUpdateFrequency beállításban megadott időt:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\kiszolgáló <<> \Template

Megjegyzés:A Kiszolgálónév külső (külső) és belső (corprights.contoso.com) URL-címeket is tartalmazhat, ezért két különböző bejegyzés is lehet.
Csak az AD RMS esetén:

Az összevont hitelesítés támogatásának engedélyezése
Ha az rmS-ügyfélszámítógép összevont megbízhatósági kapcsolaton keresztül csatlakozik egy AD RMS-fürthöz, konfigurálnia kell az összevonási kezdőlapot.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ: FederationHomeRealm

Érték:A beállításjegyzékbeli bejegyzés értéke az összevonási szolgáltatás egységes erőforrás-azonosítója (URI), például " ").

Megjegyzés:Fontos, hogy ehhez az értékhez a http értéket adja meg, és ne a https értéket. Ezenkívül ha a 32 bites MSIPC-alapú alkalmazás az Windows 64 bites verzióján HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation. Egy példakonfigurációt a Telepítés Active Directory Rights Management Services Active Directory összevonási szolgáltatásokkal.
Csak az AD RMS esetén:

A felhasználói bevitelhez űrlapalapú hitelesítést igénylő partner összevonási kiszolgálók támogatása
Alapértelmezés szerint az RMS-ügyfél csendes módban működik, és nincs szükség felhasználói bevitelre. Előfordulhat azonban, hogy a partner összevonási kiszolgálói úgy vannak beállítva, hogy felhasználói bevitelt, például űrlapalapú hitelesítést követelnek meg. Ebben az esetben úgy kell konfigurálnia az RMS-ügyfelet, hogy figyelmen kívül hagyja a csendes módot, hogy az összevont hitelesítési űrlap megjelenjen a böngészőablakban, és a felhasználó hitelesítésre legyen előléptetve.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD: EnableBrowser

Megjegyzés:Ha az összevonási kiszolgáló úgy van konfigurálva, hogy űrlapalapú hitelesítést használjon, ezt a kulcsot kell használnia. Ha az összevonási kiszolgáló úgy van konfigurálva, hogy integrált Windows hitelesítést használjon, ez a kulcs nem szükséges.
Csak az AD RMS esetén:

Az ILS-szolgáltatásfelhasználás blokkolása
Az RMS-ügyfél alapértelmezés szerint engedélyezi az ILS szolgáltatás által védett tartalmakat, de az ügyfél úgy konfigurálható, hogy letiltsa ezt a szolgáltatást az alábbi beállításkulcs megbeállításával. Ha a beállításkulcs úgy van beállítva, hogy letiltsa az ILS szolgáltatást, az ILS szolgáltatás által védett tartalmak megnyitására és megnyitására tett kísérletek a következő hibaüzenetet adja vissza:
HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: DisablePassportCertification

Érték:1 az ILS-felhasználás letiltását, 0 az ILS-felhasználás engedélyezése (alapértelmezett)

A sablonok terjesztésének kezelése a tartalomvédelmi szolgáltatás ügyfélprogramban

A sablonok megkönnyítik a felhasználóknak és a rendszergazdáknak a tartalomvédelmi szolgáltatás gyors alkalmazását, az RMS-ügyfél pedig automatikusan letölti a sablonokat a tartalomvédelmi szolgáltatás kiszolgálóiról vagy szolgáltatásaiból. Ha a sablonokat az alábbi mappába teszi, az RMS-ügyfél nem tölt le sablonokat az alapértelmezett helyéről, hanem inkább töltse le az ebben a mappában található sablonokat. Előfordulhat, hogy az rmS-ügyfél továbbra is letölt sablonokat más elérhető tartalomvédelmi kiszolgálókról.

Ügyfélmód:%localappdata%\Microsoft\MSIPC\UnmanagedTemplates

Kiszolgálói mód:%allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\ SID

E mappa használata esetén nincs szükség speciális elnevezési konvencióra azon kívül, hogy a sablonokat az RMS-kiszolgálónak vagy -szolgáltatásnak kell kiállítania, és a kiterjesztésüknek .xml kell lennie. A név vagy Contoso-Confidential.xml például Contoso-ReadOnly.xml nevek.

Csak AD RMS: Az rmS-ügyfél korlátozása megbízható AD RMS-kiszolgálók használatára

A tartalomvédelmi szolgáltatás ügyfélprogramja a helyi számítógépeken az Windows beállításjegyzékében az alábbi módosításokkal korlátozható csak bizonyos megbízható tartalomvédelmi szolgáltatások kiszolgálóihoz.

A tartalomvédelmi szolgáltatások ügyfélalkalmazásának csak a megbízható AD RMS-kiszolgálók használatára való korlátozásának engedélyezése

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_DWORD:AllowTrustedServersOnly

    Érték:Ha nem nulla értéket ad meg, az RMS-ügyfél csak a TrustedServers listában és a kiszolgálószolgáltatásban konfigurált kiszolgálókat Azure Tartalomvédelmi szolgáltatások meg.

Tagok felvétele a megbízható AD RMS-kiszolgálók listájára

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_SZ: URL_or_HostName >

    Érték:Az ebben a beállításkulcshelyen található karakterláncértékek a DNS tartománynév formátuma (például adrms.contoso.com)vagy a megbízható AD RMS-kiszolgálókra (például) vezető teljes URL-címek lehetek. Ha egy megadott URL-cím https://, az RMS-ügyfél SSL vagy TLS segítségével lép kapcsolatba a megadott AD RMS-kiszolgálóval.

RmS szolgáltatásfelderítés

A tartalomvédelmi szolgáltatás felderítése lehetővé teszi az RMS-ügyfélnek, hogy a tartalomvédelem előtt ellenőrizze, hogy melyik tartalomvédelmi kiszolgálóval vagy szolgáltatással kommunikáljon. Szolgáltatásfelderítés akkor is előfordulhat, ha az rmS-ügyfél használ védett tartalmat, de ez a fajta feltárás kisebb valószínűséggel fordul elő, mert a tartalomhoz csatolt házirend tartalmazza az előnyben részesített tartalomvédelmi szolgáltatást. Az ügyfél csak akkor futtatja a szolgáltatásfelderítést, ha az ilyen források sikertelenek.

A szolgáltatásfeltárás végrehajtásához az RMS-ügyfél az alábbiakat ellenőrzi:

  1. A Windows beállításjegyzékea helyi számítógépen: Ha a beállításjegyzékben meg vannak állítva a szolgáltatásfeltárási beállítások, a rendszer először ezekkel a beállításokkal próbálkozik.

    Alapértelmezés szerint ezek a beállítások nincsenek konfigurálva a beállításjegyzékben, de a rendszergazda az alábbi szakaszban dokumentált módon konfigurálhatja őket az AD RMS szolgáltatáshoz. A rendszergazda ezeket a beállításokat általában a Azure Tartalomvédelmi szolgáltatások konfigurálja az AD RMS-ről az Azure Information Protection szolgáltatásba való áttelepítés során.

  2. Active Directory tartományi szolgáltatások:Egy tartományhoz csatlakozó számítógép lekérdezi az Active Directoryt egy szolgáltatási csatlakozási ponthoz (SCP).

    Ha egy SCP-t a következő szakaszban dokumentáltként regisztrálnak,a rendszer visszaadja az AD RMS-kiszolgáló URL-címét a használni kívánt RMS-ügyfélnek.

  3. A Azure Tartalomvédelmi szolgáltatások felderítési szolgáltatás:Az RMS-ügyfél csatlakozik a-hoz, és hitelesítésre kéri a felhasználót.

    Ha a hitelesítés sikeres, a rendszer a hitelesítés felhasználónevét (és tartományát) használja a használni használt Azure Information Protection bérlői fiók azonosításához. Az adott felhasználói fiókhoz használt Azure Information Protection URL-címet a szolgáltatás visszaküldi az RMS-ügyfélnek. Az URL formátuma a következő: https:// YourTenantURL >>

    Például: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    Az YourTenantURL > formátuma a következő: > Ezt az értéket a RightsManagementServiceId érték azonosításával találhatja meg a Get-AipServiceConfiguration parancsmag futtatásakor.

Megjegyzés

Négy fontos kivétel van erre a szolgáltatásfeltárási folyamatra:

  • A mobileszközök a legalkalmasabbak a felhőszolgáltatások használatára, ezért alapértelmezés szerint a szolgáltatásfeltárási szolgáltatást () Azure Tartalomvédelmi szolgáltatások https://discover.aadrm.com használják. Ha felül szeretné írni ezt az alapértelmezett beállítást, hogy a mobileszközök az Azure Tartalomvédelmi szolgáltatások-szolgáltatás helyett az AD RMS szolgáltatást használják, adja meg az SRV rekordokat a DNS-ben, és telepítse a mobileszköz-kiterjesztést az Active Directory Rights Management Services Mobile Device Extensioncímű dokumentumnak Active Directory Rights Management Services szerint.

  • Ha a Rights Management szolgáltatást egy Azure Information Protection-címke hívja meg, a szolgáltatásfeltárás nem történik meg. Ehelyett az URL-cím közvetlenül az Azure Information Protection házirendben konfigurált címkebeállításban van megadva.

  • Amikor egy felhasználó egy Office-alkalmazásból jelentkezik be, a hitelesítésből származó felhasználónevet (és tartományt) használja a rendszer a használni használt Azure Information Protection-bérlő azonosításához. Ebben az esetben nincs szükség beállításjegyzék-beállításokra, és az SCP nincs bejelölve.

  • Ha konfigurálta Office DNS-átirányítást az asztali office-alkalmazásokhoz, az rmS-ügyfél úgy találja meg az Azure Tartalomvédelmi szolgáltatások szolgáltatást, hogy megtagadja a hozzáférést a korábban talált AD RMS-fürthöz. Ez az elutasítási művelet elindítja az ügyfél számára az SRV rekordja Azure Tartalomvédelmi szolgáltatások, amely átirányítja az ügyfelet a bérlői Azure Tartalomvédelmi szolgáltatások szolgáltatásba. Ezzel az SRV rekordmal visszafejtheti Exchange Online az AD RMS-fürt által védett e-maileket.

Csak AD RMS esetén: Kiszolgálóoldali szolgáltatásfedés engedélyezése az Active Directory használatával

Ha fiókja rendelkezik megfelelő jogosultságokkal (Vállalati rendszergazdák és az AD RMS-kiszolgáló helyi rendszergazdája), az AD RMS gyökérkiszolgáló telepítésekor automatikusan regisztrálhat egy szolgáltatási csatlakozási pontot (SCP). Ha az erdőben már létezik SCP-érték, akkor először törölnie kell a meglévő SCP-et, mielőtt újat regisztrálhat.

Az alábbi eljárással regisztrálhat és törölhet SCP-értékeket az AD RMS telepítése után. Mielőtt neki kezd, győződjön meg arról, hogy fiókja rendelkezik a szükséges jogosultságokkal (vállalati rendszergazdák és az AD RMS-kiszolgáló helyi rendszergazdái).

Az AD RMS szolgáltatás felderítésének engedélyezése SCP-érték regisztrálása az Active Directoryban

  1. Nyissa meg az Active Directory Management Services konzolt az AD RMS-kiszolgálón:

    • A Windows Server 2012 R2 vagy Windows Server 2012 kiszolgálókezelőben válassza az EszközökActive Directory Rights Management Services.

    • A Windows Server 2008 R2-ben válassza a FelügyeletieszközökActive Directory Rights Management Services.

  2. Az AD RMS konzolban kattintson a jobb gombbal az AD RMS-fürtre, és válassza a Tulajdonságok parancsot.

  3. Kattintson az SCP fülre.

  4. Jelölje be az SCP-érték módosítása jelölőnégyzetet.

  5. Válassza a Set SCP to current certification cluster (SCP beállítása aktuális minősítési fürtre) lehetőséget, majd kattintson az OK gombra.

Az ügyféloldali szolgáltatásfedés engedélyezése a Windows beállításjegyzékkel

Az SCP-k alternatívájaként vagy ha nem létezik SCP, konfigurálhatja a beállításjegyzéket az ügyfélszámítógépen, hogy az RMS-ügyfél megtalálja az AD RMS-kiszolgálóját.

Az ügyféloldali AD RMS szolgáltatás felderítésének engedélyezése a beállításjegyzék Windows használatával

  1. Nyissa meg a Windows beállításszerkesztőt, és Regedit.exe:

    • Az ügyfélszámítógép Futtatás ablakában írja be a regeditparancsot, majd nyomja le az Enter billentyűt a Beállításszerkesztő megnyitásához.
  2. A Beállításszerkesztőben keresse meg a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.

    Megjegyzés

    Ha 32 bites alkalmazást futtat egy 64 bites számítógépen, keresse meg aHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. A ServiceLocation alkulcs létrehozásához kattintson a jobb gombbal az MSIPCelemre, mutasson az Újpontra, válassza a Kulcs parancsot,majd írja be a ServiceLocation parancsot.

  4. Az EnterpriseCertification alkulcs létrehozásához kattintson a jobb gombbal a ServiceLocationelemre, mutasson az Újelemre, kattintson a Kulcs elemre,majd írja be az EnterpriseCertification parancsot.

  5. A vállalati tanúsítvány URL-címének beállításhoz kattintson duplán az (alapértelmezett) értékre az EnterpriseCertification alkulcs alatt. Amikor megjelenik a Karakterlánc szerkesztése párbeszédpanel, írja be az Értékmezőbe az értéket, majd kattintson az OK gombra.

  6. A EnterprisePublishing alkulcs létrehozásához kattintson a jobb gombbal a ServiceLocation (Szolgáltatáshely)elemre, mutasson az Újelemre, kattintson aKulcs elemre, majd írja be a parancsot.

  7. A vállalati közzététel URL-címének beállításhoz kattintson duplán az (Alapértelmezett) elemre a Vállalati közzététel alkulcs alatt. Amikor megjelenik a Karakterlánc szerkesztése párbeszédpanel, írja be az Értékmezőbe az értéket, majd kattintson az OK gombra.

  8. Zárja be a Beállításszerkesztőt.

Ha az RMS-ügyfél nem talál SCP-t az Active Directory lekérdezése alapján, és nincs megadva a beállításjegyzékben, az AD RMS szolgáltatásfeltárási hívásai sikertelenek.

A kiszolgáló forgalmának átirányítása

Bizonyos esetekben előfordulhat, hogy át kell irányítani a forgalmat a szolgáltatás feltárása során, például amikor két szervezetet egyesít, és az egyik szervezet régi licenckiszolgálóját visszavonják, és az ügyfeleket egy új licenckiszolgálóra kell átirányítani. Vagy áttér az AD RMS-ről az Azure RMS-be. A licencelési átirányítás engedélyezéséhez használja az alábbi eljárást.

A tartalomvédelmi szolgáltatások licencelési átirányításának engedélyezése a Windows beállításjegyzék használatával

  1. Nyissa meg Windows beállításszerkesztőt, majd Regedit.exe.

  2. A Beállításszerkesztőben keresse meg az alábbi lehetőségek egyikét:

    • X64-es platformon Office 64 bites verziójához: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • A Office 32 bites verziója x64-es platformon: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. Hozzon létre egy LicensingRedirection alkulcsot. Kattintson a jobb gombbal a Servicelocationelemre, mutasson az Új elemre,kattintson a Kulcs elemre,majd írja be a LicensingRedirection parancsot.

  4. A licencelési átirányítás beállításhoz kattintson a jobb gombbal a LicensingRedirection alkulcsra, válassza az Újlehetőséget, majd válassza a Karakterlánc értéket. A Névmezőben adja meg a korábbi kiszolgálólicencek URL-címét, az Érték mezőben pedig az új kiszolgálólicenc-URL-címet.

    Ha például a licencelést a microsoft Contoso.com kiszolgálóról egy másikba Fabrikam.com, a következő értékeket adhatja meg:

    Név:

    Érték:

    Megjegyzés

    Ha a régi licenckiszolgálóhoz intranetes és extranetes URL-címek is meg vannak adva, a LicensingRedirection kulcsban mindkét URL-hez be kell állítani egy új nevet és értékleképezést.

  5. Ismételje meg az előző lépést minden átirányítani szükséges kiszolgáló esetén.

  6. Zárja be a Beállításszerkesztőt.