Szybki start: ochrona serwera zarządzania prawami dostępu w usłudze Active Directory (AD RMS)

W tym przewodniku Szybki start popisano, jak wdrożyć obsługę serwera zarządzania prawami dostępu w usłudze Active Directory (AD RMS) przy użyciu zestawu SDK MIP.

Uwaga

Kroki opisane w tym przewodniku Szybki start mają zastosowanie tylko do zestawu File SDK dla plików C# lub C++ i zestawu SDK ochrony dla języka C++ .

Wymagania wstępne

Jeśli jeszcze tego nie zrobić, pamiętaj, aby:

Odnajdowanie usługi

Zestaw SDK umożliwia odnajdowanie usługi na podstawie mip::Identity dostarczonych za FileEngineSettings pośrednictwem lub ProtectionEngineSettings przy użyciu sufiksu upn lub adresu e-mail. Najpierw przeszukuje ono hierarchię domen pod _rmsdisco mde. Aby uzyskać więcej szczegółowych informacji na temat tego procesu, zapoznaj się z tematem Określanie rekordów DNS SRV dla rozszerzenia urządzenia przenośnego AD RMS. Jeśli nie zostanie odnaleziony ten rekord SRV DNS, domyślnie jest on Information Protection Azure Information Protection jako lokalizację usługi.

Konfigurowanie zestawu SDK pliku w języku C# do używania usług AD RMS

Jeśli aplikacja korzysta z biblioteki Active Directory Authentication Library (ADAL) i zestawu File SDK w języku C#, wymagane są dwie drobne zmiany. Obiekt FileEngineSettings i konstruktor muszą AuthenticationContext zostać zaktualizowane, aby działały z usługami AD RMS i usługami federatorów Active Directory (ADFS).

Jeśli wdrożono rekord DNS SRV rozszerzenia urządzenia przenośnego i planujesz przekazać główną nazwę użytkownika lub adres e-mail, postępuj zgodnie z instrukcjami dotyczącymi używania tożsamości.

Aktualizowanie aparatu plików w Ustawienia usługi AD RMS za pomocą tożsamości

Jeśli rekord SRV DNS dla usługi MDE Microsoft.InformationProtection.Identity został opublikowany i został podany w ramach ustawień aparatu, jedyną wymaganą zmianą kodu jest ustawienie FileEngineSettings.ProtectionOnlyEngine = true. Ta właściwość musi być ustawiona jako operacje oznaczania etykiet (zasad) nie są obsługiwane w punktach końcowych ochrony usług AD RMS.

// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
     // Provide the identity for service discovery.
     Identity = identity,
     // Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
     ProtectionOnlyEngine = true
};

Aktualizowanie pełnomocnika uwierzytelniania

Jeśli używasz plików ADAL w swojej aplikacji .NET, Microsoft.InformationProtection.AuthDelegate musisz zmienić implementację, aby wyłączyć sprawdzanie poprawności uprawnień. Wyłącz sprawdzanie poprawności uprawnień, ustawiając validateAuthority w konstruatorze AuthenticationContext wartość False (Fałsz).

AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);

Konfigurowanie zestawu SDK pliku w języku C++ w celu używania usług AD RMS

Jeśli wdrożono rekord DNS SRV rozszerzenia urządzenia przenośnego i planujesz przekazać główną nazwę użytkownika lub adres e-mail, postępuj zgodnie z instrukcjami dotyczącymi używania tożsamości.

Aktualizowanie plikuEngine::Ustawienia w celu używania usług AD RMS z tożsamością

Jeśli rekord SRV DNS dla usługi MDE mip::IdentityFileEngine::Settingszostał opublikowany i jest podany w , jedynym działaniem jest ustawienie aparatu na aparat tylko do ochrony.

FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;

Konfigurowanie zestawu SDK ochrony w języku C++ do używania usług AD RMS

Jeśli wdrożono rekord DNS SRV rozszerzenia urządzenia przenośnego i planujesz przekazać główną nazwę użytkownika lub adres e-mail, postępuj zgodnie z instrukcjami dotyczącymi używania tożsamości.

Ustawianie usługi ProtectionEngine::Ustawienia używania usług AD RMS z tożsamością

Jeśli rekord SRV DNS dla rozszerzenia urządzenia przenośnego został opublikowany i ProtectionEngine::Settingstożsamość podana w , do korzystania z usług AD RMS nie są wymagane żadne dodatkowe zmiany kodu. Odnajdowanie usługi znajdzie punkt końcowy usługi AD RMS i użyje go do operacji ochrony.

ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");

Usuń lub odwołań do etykiet komentarzy

Jeśli tworzysz aplikację na podstawie jednego z przewodników Szybki start, przekonasz się, że aplikacja ma odwołania do etykiet w postaci fileEngine.SensitivityLabels lub engine->ListSensitivityLabels();. Ponieważ aplikacja została ustawiona tylko do ochrony, te bloki kodu muszą zostać skomentowane lub usunięte, ponieważ uruchomienie ich spowoduje wyjątek.

Następne kroki

Po w związku z wprowadzonymi zmianami w celu obsługi usług AD RMS twoja aplikacja może wykonywać dowolne operacje dostępne tylko w celu ochrony, używając usługi AD RMS jako dostawcy ochrony.