Rights Management service client deployment notes (Uwagi dotyczące wdrażania klienta usługi Rights Management Service)

Dotyczy: Usługi Active Directory Rights Management, Azure Information Protection,Windows 8, Windows 8.1, Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016

Dotyczy: Ujednolicony klient etykietowania usługi AIP i klient klasyczny.

Jeśli masz wersję Windows 7 lub Office 2010, zobacz AIP and legacy Windows and Office versions (AIPi starsze wersje Windows i Office wersji).

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Klient usługi Rights Management (klient usługi RMS) w wersji 2 jest także znany jako klient MSIPC. Jest to oprogramowanie przeznaczone dla komputerów z systemem Windows, które komunikuje się z usługą Microsoft Rights Management lokalnie lub w chmurze, aby ułatwić ochronę dostępu do informacji i ich użycia. Ochrona obejmuje przepływ informacji przez aplikacje i urządzenia w granicach organizacji lub poza zarządzanymi granicami.

Oprócz wysyłki z ujednoliconym klientem etykietowania usługi Azure Information Protection, klient usługi RMS jest dostępny jako opcjonalny plik do pobrania, który po potwierdzeniu i zaakceptowaniu umowy licencyjnej może być bezpłatnie dystrybuowany za pomocą oprogramowania innych firm, dzięki czemu klienci mogą chronić i korzystać z zawartości chronionej przez usługi Rights Management.

Dystrybucja klienta usługi RMS

Klient usługi RMS może być za darmo dystrybuowany i umieszczany w pakietach z innymi aplikacjami i rozwiązaniami IT. Jeśli jesteś deweloperem aplikacji lub dostawcą rozwiązań i chcesz dystrybuować klienta usługi RMS, masz dwie opcje:

  • Zalecana: osadź instalatora klienta usługi RMS w instalacji aplikacji i uruchom go w trybie dyskretnym (przełącznik /quiet szczegółowo opisany w następnej sekcji).

  • Ustaw klienta usługi RMS jako wymaganie wstępne aplikacji. W przypadku tej opcji może być konieczne udostępnienie użytkownikom dodatkowych instrukcji dotyczących uzyskiwania i instalowania klienta oraz aktualizowania komputerów przy jego użyciu przed rozpoczęciem korzystania z aplikacji.

Instalowanie klienta usługi RMS

Klient RMS jest dostępny w pliku wykonywalnym instalatora o nazwie setup_msipc_ <arch>.exe, gdzie <arch> to x86 (dla 32-bitowych komputerów klienckich) lub x64 (dla 64-bitowych komputerów klienckich). Pakiet instalatora 64-bitowego (x64) instaluje zarówno 32-bitowy plik wykonywalny środowiska uruchomieniowego w celu zapewnienia zgodności z 32-bitową aplikacją działającą w 64-bitowej instalacji systemu operacyjnego, jak i 64-bitowy plik wykonywalny środowiska uruchomieniowego do obsługi wbudowanych aplikacji 64-bitowych. Instalator 32-bitowy (x86) nie działa na 64-bitowej Windows instalacji.

Uwaga

Do zainstalowania klienta usługi RMS wymagane są podniesione uprawnienia, np. członka grupy Administratorzy na komputerze lokalnym.

Klienta usługi RMS można zainstalować przy użyciu jednej z następujących metod instalacji:

  • Tryb dyskretny. Używając przełącznika /quiet w opcjach wiersza polecenia, można zainstalować klienta usługi RMS na komputerach w trybie dyskretnym. W poniższym przykładzie przedstawiono instalację klienta usługi RMS w trybie dyskretnym na 64-bitowym komputerze klienckim:

    setup_msipc_x64.exe /quiet
    
  • Tryb interaktywny. Alternatywnie można zainstalować klienta usługi RMS przy użyciu programu instalacyjnego opartego na graficznym interfejsie użytkownika dostarczonego przez Kreatora instalacji klienta usługi RMS. Aby zainstalować interaktywnie, kliknij dwukrotnie pakiet instalatora klienta usługi RMS (setup_msipc_ <arch>.exe) w folderze, do którego został skopiowany lub pobrany na komputer lokalny.

Pytania i odpowiedzi dotyczące klienta usługi RMS

Poniższa sekcja zawiera często zadawane pytania na temat klienta usługi RMS oraz odpowiedzi na nie.

Które systemy operacyjne są obsługiwane przez klienta usługi RMS?

Klient usługi RMS jest obsługiwany w następujących systemach operacyjnych:

System operacyjny Windows Server Kliencki system operacyjny Windows
Windows Server 2016 Windows 10
Windows Server 2012 z dodatkiem R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 z dodatkiem R2 Windows 7 co najmniej z dodatkiem SP1

Które procesory lub platformy obsługują klienta usługi RMS?

Klient usługi RMS jest obsługiwany na platformach obliczeniowych x86 i x64.

Gdzie jest instalowany klient usługi RMS?

Klient usługi RMS jest domyślnie instalowany w katalogu %ProgramFiles%\Active Directory Rights Management Services Client 2<minor version number>.

Które pliki są skojarzone z oprogramowaniem klienta usługi RMS?

Następujące pliki są instalowane jako część oprogramowania klienckiego usługi RMS:

  • Msipc.dll

  • Ipcsecproc.dll

  • Ipcsecproc_ssp.dll

  • MSIPCEvents.man

Oprócz wymienionych plików klient usługi RMS instaluje również pliki obsługi wielojęzycznego interfejsu użytkownika (MUI) w 44 językach. Aby sprawdzić listę obsługiwanych języków, uruchom instalację klienta usługi RMS i po jej zakończeniu przejrzyj zawartość folderów obsługi wielu języków w domyślnej ścieżce.

Czy klient usługi RMS jest domyślnie uwzględniany podczas instalacji obsługiwanego systemu operacyjnego?

Nie. Ta wersja klienta usługi RMS jest dostarczana jako opcjonalny plik do pobrania, który można osobno instalować na komputerach z obsługiwanymi wersjami systemu operacyjnego Microsoft Windows.

Czy klient usługi RMS jest automatycznie aktualizowany przy użyciu usługi Microsoft Update?

Jeśli ten klient usługi RMS został zainstalowany w trybie dyskretnym, dziedziczy bieżące ustawienia usługi Microsoft Update. Jeśli klient usługi RMS został zainstalowany za pomocą instalatora opartego na graficznym interfejsie użytkownika, kreator instalacji klienta usługi RMS monituje użytkownika o włączenie usługi Microsoft Update.

Ustawienia klienta usługi RMS

Poniższa sekcja zawiera informacje na temat ustawień klienta usługi RMS. Informacje te mogą być przydatne, jeśli masz problemy z aplikacjami lub usługami korzystającymi z klienta usługi RMS.

Uwaga

Niektóre ustawienia są zależne od tego, czy aplikacja obsługująca usługę RMS działa jako aplikacja w trybie klienta (np. programy Microsoft Word i Outlook lub klient usługi Azure Information Protection z Eksploratorem plików systemu Windows), czy aplikacja w trybie serwera (np. programy SharePoint i Exchange). W poniższych tabelach te ustawienia są identyfikowane odpowiednio jako Tryb klienta i Tryb serwera.

Gdzie klient usługi RMS przechowuje licencje na komputerach klienckich

Klient usługi RMS przechowuje licencje na dysku lokalnym oraz buforuje niektóre informacje w rejestrze systemu Windows.

Opis Ścieżki trybu klienta Ścieżki trybu serwera
Lokalizacja magazynu licencji %localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server\<SID>
Lokalizacja magazynu szablonów %localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\<SID>
Lokalizacja rejestru HKEY_CURRENT_USER
\Software
\Classes
\Local Settings
\Software
\Microsoft
\MSIPC
HKEY_CURRENT_USER
\Software
\Microsoft
\MSIPC
\Server
\<SID>

Uwaga

<SID> to bezpieczny identyfikator konta, na którym działa aplikacja serwera. Jeśli na przykład aplikacja jest uruchomiona w ramach wbudowanego konta usługi sieciowej, zastąp wartość wartością dobrze znanego identyfikatora SID dla tego konta <SID> (S-1-5-20).

Ustawienia rejestru systemu Windows klienta usługi RMS

Za pomocą kluczy rejestru systemu Windows można ustawić lub zmodyfikować niektóre konfiguracje klienta usługi RMS. Na przykład administrator aplikacji z obsługą usługi RMS, które komunikują się z serwerami AD RMS, może zaktualizować lokalizację usługi przedsiębiorstwa (zastąpić serwer usług AD RMS wybrany do użycia podczas publikowania) w zależności od aktualnej lokalizacji komputera klienckiego w topologii usługi Active Directory. Można też włączyć śledzenie usługi RMS na komputerze klienckim, aby ułatwić rozwiązywanie problemów dotyczących aplikacji obsługującej usługę RMS. Skorzystaj z poniższej tabeli, aby zidentyfikować ustawienia rejestru, które możesz zmieniać w przypadku klienta usługi RMS.

Zadanie Ustawienia
Jeśli klient jest w wersji 1.03102.0221 lub nowszej:

Aby kontrolować zbieranie danych aplikacji
Ważne: Aby szanować prywatność użytkowników, przed włączeniem funkcji zbierania danych administrator musi poprosić użytkownika o zgodę.

Jeśli włączysz zbieranie danych, wyrażasz zgodę na wysyłanie danych do firmy Microsoft za pośrednictwem Internetu. Firma Microsoft używa tych danych w celu zapewnienia i poprawy jakości, bezpieczeństwa i integralności produktów i usług firmy Microsoft. Na przykład firma Microsoft analizuje wydajność i niezawodność, na przykład to, jakich funkcji używasz, jak szybko funkcje reagują, wydajność urządzenia, interakcje z interfejsem użytkownika i wszelkie problemy związane z produktem. Dane obejmują również informacje o konfiguracji oprogramowania, takie jak aktualnie uruchomione oprogramowanie i adres IP.

W przypadku wersji 1.0.3356 lub nowszej:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticAvailability

W przypadku wersji starszych niż 1.0.3356:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticState

Wartość: 0 dla aplikacji zdefiniowanej (ustawienie domyślne) przy użyciu właściwości środowiska IPC_EI_DATA_COLLECTION_ENABLED,1 dla wartości Wyłączone, 2 dla właściwości Włączone

Uwaga: jeśli 32-bitowa aplikacja oparta na msiPC jest uruchomiona w 64-bitowej wersji Windows, lokalizacja jest HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.
Tylko usługi AD RMS:

Aby zaktualizować lokalizację usługi przedsiębiorstwa dla komputera klienckiego
Zaktualizuj następujące klucze rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ: domyślna

Wartość: <http or https> ://RMS_Cluster_Name/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ: domyślna

Wartość: <http or https> ://RMS_Cluster_Name/_wmcs/Licensing
Aby włączyć lub wyłączyć śledzenie Zaktualizuj następujący klucz rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD: Trace

Wartość: 1 w celu włączenia śledzenia, 0 do wyłączenia śledzenia (ustawienie domyślne)
Aby zmienić częstotliwość odświeżania szablonów w dniach Następujące wartości rejestru określają, jak często szablony są odświeżane na komputerze użytkownika, jeśli wartość TemplateUpdateFrequencyInSeconds nie jest ustawiona. Jeśli żadna z tych wartości nie zostanie ustawiona, domyślnym interwałem odświeżania aplikacji za pomocą klienta usługi RMS (wersja 1.0.1784.0) w celu pobrania szablonów będzie 1 dzień. Poprzednie wersje mają wartość domyślną co 7 dni.

Tryb klienta:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequency

Wartość: wartość całkowita określająca liczbę dni (minimum 1) między pobraniami.

Tryb serwera:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server<\ SID>
REG_DWORD: TemplateUpdateFrequency

Wartość: wartość całkowita określająca liczbę dni (minimum 1) między pobraniami.
Aby zmienić częstotliwość odświeżania szablonów w sekundach

Ważne: jeśli to ustawienie jest określone, wartość odświeżania szablonów w dniach jest ignorowana. Określ jedną z tych wartości, nie obydwie.
Następujące wartości rejestru określają, jak często szablony są odświeżane na komputerze użytkownika. Jeśli nie ustawiono tej wartości ani wartości zmiany częstotliwości w dniach (TemplateUpdateFrequency), domyślnym interwałem odświeżania aplikacji za pomocą klienta usługi RMS (wersja 1.0.1784.0) w celu pobrania szablonów będzie 1 dzień. Poprzednie wersje mają wartość domyślną co 7 dni.

Tryb klienta:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyInSeconds

Wartość: wartość całkowita określająca liczbę sekund (minimum 1) między pobraniami.

Tryb serwera:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\ < SID>
REG_DWORD: TemplateUpdateFrequencyInSeconds

Wartość: wartość całkowita określająca liczbę sekund (minimum 1) między pobraniami.
Tylko usługi AD RMS:

Aby pobierać szablony natychmiast po następnym żądaniu publikowania
Na potrzeby operacji testowania i oceniania możesz wybrać opcję pobierania szablonów przy użyciu klienta usługi RMS tak szybko, jak to możliwe. W przypadku tej konfiguracji usuń następujący klucz rejestru i klienta usługi RMS, a następnie pobierz szablony natychmiast przy następnym żądaniu publikowania, zamiast czekać przez czas określony przez ustawienie rejestru TemplateUpdateFrequency:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCnazwa \ < serwera>\Template

Uwaga: może mieć zewnętrzne (corprights.contoso.com) i wewnętrzne <Server Name> (corprights), a więc dwa różne wpisy.
Tylko usługi AD RMS:

Aby włączyć obsługę uwierzytelniania federacyjnego
Jeśli komputer kliencki usługi RMS łączy się z klastrem usług AD RMS za pomocą zaufania federacyjnego, należy skonfigurować obszar macierzysty federacji.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ: FederationHomeRealm

Wartość: wartość tego wpisu rejestru jest identyfikatorem URI usługi federowej (na przykład " http://TreyADFS.trey.net/adfs/services/trust ").

Uwaga: Ważne jest, aby dla tej wartości podać protokół http, a nie https. Ponadto jeśli 32-bitowa aplikacja oparta na plice MSIPC jest uruchomiona w 64-bitowej wersji Windows, lokalizacja jest HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation. Konfigurację przykładową przedstawiono w temacie Wdrażanie Usług Active Directory Rights Management z Usługami federacyjnymi Active Directory.
Tylko usługi AD RMS:

Aby obsługiwać serwery federacyjne partnera wymagające uwierzytelniania opartego na formularzu do wprowadzenia danych przez użytkowników
Domyślnie klient usługi RMS działa w trybie dyskretnym i użytkownik nie musi wprowadzać żadnych danych. Serwery federacyjne partnerów mogą być jednak skonfigurowane tak, aby wymagać wprowadzenia danych przez użytkownika, na przykład w ramach uwierzytelniania opartego na formularzach. W takim przypadku należy skonfigurować klienta usługi RMS, aby ignorował tryb dyskretny w celu umożliwienia wyświetlenia formularza uwierzytelniania federacyjnego w oknie przeglądarki na potrzeby uwierzytelniania użytkowników.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD: EnableBrowser

Uwaga: jeśli serwer federacyjny został skonfigurowany do użycia uwierzytelniania opartego na formularzu, ten klucz jest wymagany. Jeśli serwer federowany jest skonfigurowany do korzystania ze zintegrowanego Windows uwierzytelniania, ten klucz nie jest wymagany.
Tylko usługi AD RMS:

Aby zablokować użycie usługi ILS
Domyślnie klient usługi RMS obsługuje korzystanie z zawartości chronionej przez usługę ILS, można go jednak skonfigurować tak, aby blokował tę usługę, używając poniższego klucza rejestru. Jeśli ten klucz rejestru jest ustawiony tak, aby blokować usługę ILS, wszelkie próby otwarcia i zużycie zawartości chronionej przez usługę ILS zwraca następujący błąd:
HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: DisablePassportCertification

Wartość: 1 do blokowania użycia ILS, 0 w celu zezwalania na zużycie ILS (wartość domyślna)

Zarządzanie dystrybucją szablonów dla klienta usługi RMS

Szablony ułatwiają użytkownikom i administratorom szybkie stosowanie ochrony Rights Management, a klient usługi RMS automatycznie pobiera szablony z serwerów lub usługi RMS. Jeśli szablony umieścisz w następującej lokalizacji folderu, klient usługi RMS nie pobierze żadnych szablonów ze swojej lokalizacji domyślnej, a zamiast tego pobierze szablony, które umieścisz w tym folderze. Klient usługi RMS może kontynuować pobieranie z innych dostępnych serwerów usługi RMS.

Tryb klienta:%localappdata%\Microsoft\MSIPC\UnmanagedTemplates

Tryb serwera:%allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\<SID>

Jeśli korzystasz z tego folderu, nie trzeba używać specjalnej konwencji nazewnictwa. Szablony muszą jednak zostać wydane przez usługę lub serwer RMS, a wymagane rozszerzenie nazwy pliku to XML. Prawidłowe nazwy to na przykład Contoso-Confidential.xml lub Contoso-ReadOnly.xml.

Tylko usługi AD RMS: ograniczanie klienta usługi RMS do użycia zaufanych serwerów usług AD RMS

Klienta usługi RMS można ograniczyć tak, aby używał tylko określonych zaufanych serwerów usług AD RMS, wprowadzając poniższe zmiany do rejestru systemu Windows na komputerach lokalnych.

Aby włączyć ograniczanie klienta usługi RMS tak, aby używał tylko zaufanych serwerów AD RMS

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_DWORD:AllowTrustedServersOnly

    Wartość: Jeśli określono wartość niezerową, klient usługi RMS ufa tylko określonym serwerom skonfigurowanym na liście TrustedServers i w usłudze Azure Rights Management Service.

Aby dodać elementy członkowskie do listy zaufanych serwerów usług AD RMS

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_SZ:<URL_or_HostName>

    Wartość: wartości ciągu w tej lokalizacji klucza rejestru mogą być w formacie nazwy domeny DNS (na przykład adrms.contoso.com) lub pełnymi adresami URL zaufanych serwerów AD RMS (na przykład https://adrms.contoso.com ). Jeśli określony adres URL rozpoczyna się od https://, klient usługi RMS używa protokołu SSL lub TLS do kontaktowania się z określonym AD RMS serwera.

Odnajdowanie usługi RMS

Odnajdowanie usługi RMS umożliwia klientowi usługi RMS sprawdzanie usługi lub serwera RMS, z którym będzie nawiązywana komunikacja, przed rozpoczęciem ochrony zawartości. Odnajdywanie usług może również nastąpić, gdy klient usługi RMS zużywa chronioną zawartość, ale tego typu odnajdywanie jest mniej prawdopodobne, ponieważ zasady dołączone do zawartości zawierają preferowany serwer lub usługę RMS. Tylko w przypadku niepomyślnych źródeł klient uruchamia odnajdowanie usługi.

Podczas odnajdowania usługi klient usługi RMS sprawdza następujące elementy:

  1. Rejestr Windows na komputerze lokalnym: jeśli w rejestrze skonfigurowano ustawienia odnajdywania usług, te ustawienia są próbowane jako pierwsze.

    Domyślnie te ustawienia nie są konfigurowane w rejestrze, ale administrator może skonfigurować je dla usługi AD RMS zgodnie z procedurą opisaną w tej sekcji. Zazwyczaj administrator konfiguruje te ustawienia usługi Azure Rights Management podczas procesu migracji z usług AD RMS do usługi Azure Information Protection.

  2. Active Directory Domain Services: komputer przyłączony do domeny wysyła do usługi Active Directory zapytanie o punkt połączenia z usługą (SCP).

    Jeśli punkt połączenia usługi został zarejestrowany zgodnie z opisem w tej sekcji, do klienta usługi RMS zwracany jest adres URL serwera AD RMS do użycia.

  3. Usługa odnajdywania Rights Management Azure: klient usługi RMS łączy się z usługą , co https://discover.aadrm.com monituje użytkownika o uwierzytelnienie.

    Po pomyślnym uwierzytelnieniu nazwa użytkownika (i domena) z procesu uwierzytelniania będzie służyć do identyfikowania dzierżawy usługi Azure Information Protection do użycia. Adres URL usługi Azure Information Protection do użycia dla konta użytkownika jest zwracany do klienta RMS. Adres URL ma następujący format: https:// <YourTenantURL> /_wmcs/licensing

    Na przykład: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    <YourTenantURL> ma następujący format: {GUID}.rms.[Region].aadrm.com. Tę wartość można znaleźć, identyfikując wartość RightsManagementServiceId po uruchomieniu polecenia cmdlet Get-AipServiceConfiguration.

Uwaga

Istnieją cztery ważne wyjątki dla tego przepływu odnajdywania usług:

  • Urządzenia przenośne najlepiej nadają się do korzystania z usługi w chmurze, dlatego domyślnie używają funkcji odnajdywania usług dla usługi Azure Rights Management Service ( https://discover.aadrm.com) . Aby zastąpić to ustawienie domyślne tak, aby urządzenia przenośne używać usługi AD RMS zamiast usługi Azure Rights Management, określ rekordy SRV w systemie DNS i zainstaluj rozszerzenie urządzenia przenośnego zgodnie z dokumentacją w tesłudze Usługi Active Directory Rights Management Mobile Device Extension (Rozszerzenie urządzenia przenośnego usługi Usługi Active Directory Rights Management).

  • Jeśli usługa Rights Management jest wywoływana za pośrednictwem etykiety usługi Azure Information Protection, odnajdowanie usługi nie jest przeprowadzane. W zamian adres URL jest określany bezpośrednio w ustawieniu etykiety konfigurowanym w obrębie zasad usługi Azure Information Protection.

  • Po zainicjowaniu logowania użytkownika z aplikacji pakietu Office nazwa użytkownika (i domena) z procesu uwierzytelniania będzie służyć do identyfikowania dzierżawy usługi Azure Information Protection do użycia. W takim przypadku ustawienia rejestru są niepotrzebne i punkt połączenia usługi nie jest wybierany.

  • Po skonfigurowaniu przekierowywania DNS dla aplikacji klasycznych typu kliknięcie Office aby uruchomić klient usługi RMS znajduje usługę Azure Rights Management przez odmowę dostępu do wcześniej znalezionego klastra usługi AD RMS. Ta akcja odmowy wyzwala klienta do wyszukiwania rekordu SRV, który przekierowuje klienta do usługi Azure Rights Management dla dzierżawy. Ten rekord SRV umożliwia również Exchange Online wiadomości e-mail chronionych przez klaster AD RMS danych.

Tylko usługi AD RMS: włączanie odnajdowania po stronie serwera za pomocą usługi Active Directory

Jeśli Twoje konto ma wystarczające uprawnienia (administratorzy Enterprise i administrator lokalny serwera AD RMS), możesz automatycznie zarejestrować punkt połączenia z usługą (SCP) podczas instalowania serwera klastra AD RMS głównego. Jeśli scp już istnieje w lesie, należy najpierw usunąć istniejący SCP przed zarejestrowaniem nowego.

Aby zarejestrować i usunąć punkt połączenia usługi po zainstalowaniu usług AD RMS, można wykonać kroki poniższej procedury. Przed rozpoczęciem upewnij się, że konto ma wymagane uprawnienia (administratorzy przedsiębiorstwa i administrator lokalny serwera usług AD RMS).

Aby włączyć odnajdowanie usług AD RMS przez zarejestrowanie punktu połączenia w usłudze Active Directory

  1. Otwórz konsolę usług Active Directory Management na serwerze usług AD RMS:

    • Aby Windows Server 2012 R2 lub Windows Server 2012, w Menedżer serwera wybierz pozycję Narzędzia > Usługi Active Directory Rights Management.

    • W Windows Server 2008 R2 wybierz pozycję Uruchom narzędzia > administracyjne > Usługi Active Directory Rights Management.

  2. W konsoli AD RMS kliknij prawym przyciskiem myszy klaster usługi AD RMS, a następnie kliknij pozycję Właściwości.

  3. Kliknij kartę Punkt połączenia usługi.

  4. Zaznacz pole wyboru Zmień punkt połączenia usługi.

  5. Wybierz opcję Ustaw punkt połączenia usługi na bieżący klaster certyfikacji, a następnie kliknij przycisk OK.

Włączanie odnajdowania usługi po stronie klienta za pomocą rejestru systemu Windows

Jeśli nie chcesz używać punktu połączenia usługi lub jeśli punkt połączenia usługi nie istnieje, możesz skonfigurować rejestr na komputerze klienckim, aby klient usługi RMS mógł znaleźć odpowiedni serwer usług AD RMS.

Aby włączyć odnajdowanie usługi AD RMS po stronie klienta za pomocą rejestru systemu Windows

  1. Otwórz edytor rejestru systemu Windows — Regedit.exe:

    • Na komputerze klienckim w oknie uruchamiania wpisz ciąg regedit, a następnie naciśnij klawisz Enter, aby otworzyć Edytor rejestru.
  2. W Edytorze rejestru przejdź do klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.

    Uwaga

    Jeśli używasz aplikacji 32-bitowej na komputerze 64-bitowym, przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. Aby utworzyć podklucz ServiceLocation, kliknij prawym przyciskiem myszy pozycję MSIPC, wskaż pozycję Nowy, kliknij pozycję Klucz, a następnie wpisz ciąg ServiceLocation.

  4. Aby utworzyć podklucz EnterpriseCertification, kliknij prawym przyciskiem myszy pozycję ServiceLocation, wskaż pozycję Nowy, kliknij pozycję Klucz, a następnie wpisz ciąg EnterpriseCertification.

  5. Aby ustawić adres URL certyfikacji przedsiębiorstwa, kliknij dwukrotnie wartość (Domyślna) w podkluczu EnterpriseCertification. Gdy zostanie wyświetlone okno dialogowe Edytowanie ciągu, w polu Dane wartości wpisz , a następnie kliknij <http or https>://<AD RMS_cluster_name>/_wmcs/Certification przycisk OK.

  6. Aby utworzyć podklucz EnterprisePublishing, kliknij prawym przyciskiem myszy pozycję ServiceLocation, wskaż polecenie Nowy, kliknij pozycję Klucz, a następnie wpisz EnterprisePublishing polecenie .

  7. Aby ustawić adres URL publikowania przedsiębiorstwa, kliknij dwukrotnie pozycję (Ustawienie domyślne) w podkluczu EnterprisePublishing. Gdy zostanie wyświetlone okno dialogowe Edytowanie ciągu, w polu Dane wartości wpisz , a następnie kliknij <http or https>://<AD RMS_cluster_name>/_wmcs/Licensing przycisk OK.

  8. Zamknij Edytor rejestru.

Jeśli klient usługi RMS nie może znaleźć połączenia usługi przez odpytanie usługi Active Directory i nie jest określony w rejestrze, odnajdywanie usługi wywoła błąd AD RMS.

Przekierowywanie ruchu serwera licencyjnego

W pewnych przypadkach może wystąpić potrzeba przekierowania ruchu w czasie odnajdowania usługi, na przykład gdy są łączone ze sobą dwie organizacje i stary serwer licencyjny w jednej z organizacji jest wycofywany, a klienci muszą zostać przekierowani do nowego serwera. Dotyczy to także migracji z usług AD RMS do usługi Azure RMS. Użyj następującej procedury, aby włączyć przekierowywanie licencjonowania.

Aby włączyć przekierowywanie serwera licencyjnego usługi RMS za pomocą rejestru systemu Windows

  1. Otwórz edytor Windows rejestru, Regedit.exe.

  2. W Edytorze rejestru przejdź do jednej z gałęzi:

    • W przypadku 64-bitowej wersji pakietu Office na platformie x64: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • W przypadku 32-bitowej wersji pakietu Office na platformie x64: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. Utwórz podklucz LicensingRedirection: kliknij prawym przyciskiem myszy pozycję Servicelocation, wskaż pozycję Nowy, kliknij pozycję Klucz, a następnie wpisz LicensingRedirection.

  4. Aby ustawić przekierowywanie licencjonowania, kliknij prawym przyciskiem myszy podklucz LicensingRedirection, wybierz pozycję Nowy, a następnie wybierz pozycję Wartość ciągu. W polu Nazwa podaj adres URL starego serwera licencyjnego, a w polu Wartość podaj adres URL nowego serwera licencyjnego.

    Na przykład aby przekierować licencjonowanie z serwera Contoso.com do serwera Fabrikam.com, możesz wprowadzić następujące wartości:

    Nazwa:https://contoso.com/_wmcs/licensing

    Wartość: https://fabrikam.com/_wmcs/licensing

    Uwaga

    Jeśli stary serwer licencjonowania ma określony zarówno intranetowy, jak i ekstranetowy adres URL, należy ustawić nowe mapowanie nazwy i wartości dla obu tych adresów URL w kluczu LicensingRedirection.

  5. Powtórz poprzedni krok w przypadku wszystkich serwerów, które muszą zostać przekierowane.

  6. Zamknij Edytor rejestru.