Information om distribution av Rights Management Service-klientRights Management Service client deployment notes

Gäller för: Active Directory Rights Management Services, Azure information Protection, Windows 8, Windows 8,1, Windows 10, windows Server 2012, windows Server 2012 R2, windows Server 2016Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 8, Windows 8.1, Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016

Rights Management Service-klienten (RMS-klienten) version 2 kallas även MSIPC-klienten.The Rights Management Service client (RMS client) version 2 is also known as the MSIPC client. Det är programvara för Windows-datorer som kommunicerar med Microsoft Rights Management Services lokalt eller i molnet. Den skyddar åtkomsten till och användningen av information när den förs vidare via program och enheter, inom gränserna för din organisation eller utanför de hanterade gränserna.It is software for Windows computers that communicates with Microsoft Rights Management services on-premises or in the cloud to help protect access to and usage of information as it flows through applications and devices, within the boundaries of your organization, or outside those managed boundaries.

Förutom att leverera med Azure information Protection Unified Labeling-klientenär RMS-klienten tillgänglig som en valfri nedladdning som kan, med bekräftelse och godkännande av licens avtalet, distribueras fritt med program vara från tredje part så att klienter kan skydda och använda innehåll som har skyddats av Rights Management Services.In addition to shipping with the Azure Information Protection unified labeling client, the RMS client is available as an optional download that can, with acknowledgment and acceptance of its license agreement, be freely distributed with third-party software so that clients can protect and consume content that has been protected by Rights Management services.

Distribuera RMS-klientenRedistributing the RMS client

RMS-klienten kan distribueras fritt och levereras tillsammans med andra program och IT-lösningar.The RMS client can be freely redistributed and bundled with other applications and IT solutions. Om du är programutvecklare eller lösningsleverantör och vill distribuera RMS-klienten har du två alternativ:If you are an application developer or solution provider and want to redistribute the RMS client, you have two options:

  • Rekommenderat: Bädda in installationsprogrammet för RMS-klienten i installationen av programmet och kör det i tyst läge (växeln /quiet, enligt beskrivning i nästa avsnitt).Recommended: Embed the RMS client installer in your application installation and run it in silent mode (the /quiet switch, detailed in the next section).

  • Gör RMS-klienten till en nödvändig komponent för ditt program.Make the RMS client a prerequisite for your application. Med det här alternativet kan du behöva ge användarna ytterligare instruktioner för hur de hämtar, installerar och uppdaterar sina datorer med klienten innan de kan använda programmet.With this option, you might need to provide users with additional instructions for them to obtain, install, and update their computers with the client before they can use your application.

Installera RMS-klientenInstalling the RMS client

RMS-klienten finns i en körbar installationsfil som heter setup_msipc_<arch>.exe, där <arch> är antingen x86 (för datorer med 32 bitar) eller x64 (för datorer med 64 bitar).The RMS client is contained in an installer executable file named setup_msipc_<arch>.exe, where <arch> is either x86 (for 32-bit client computers) or x64 (for 64-bit client computers). Med installationspaketet för datorer med 64 bitar (x64) installeras både en körbar fil för datorer med 32 bitar för kompatibilitet med 32-bitarsprogram som körs i operativsystem för 64 bitar och en körbar fil för datorer med 64 bitar som ger stöd för interna 64-bitarsprogram.The 64-bit (x64) installer package installs both a 32-bit runtime executable for compatibility with 32-bit applications that run on a 64-bit operating system installation, as well as a 64-bit runtime executable for supporting native 64-bit applications. Installations programmet 32-bitars (x86) kan inte köras på en 64-bitars Windows-installation.The 32-bit (x86) installer does not run on a 64-bit Windows installation.

Anteckning

Du måste ha förhöjd behörighet för att installera RMS-klienten, till exempel som en medlem i gruppen Administratörer på den lokala datorn.You must have elevated privileges to install the RMS client, such as a member of the Administrators group on the local computer.

Du kan installera RMS-klienten med någon av följande installationsmetoder:You can install the RMS client by using either of the following installation methods:

  • Tyst läge.Silent mode. Om du använder växeln /quiet som en del av kommandoradsalternativen kan du obevakat installera RMS-klienten på datorer.By using the /quiet switch as part of the command-line options, you can silently install the RMS client on computers. I följande exempel visas en installation i tyst läge för RMS-klienten på en klientdator med 64 bitar:The following example shows a silent mode installation for the RMS client on a 64-bit client computer:

    setup_msipc_x64.exe /quiet
    
  • Interaktivt läge.Interactive mode. Alternativt kan du installera RMS-klienten med hjälp av det GUI-baserade installations programmet som tillhandahålls av installations guiden för RMS-klienten.Alternately, you can install the RMS client by using the GUI-based setup program that's provided by the RMS Client Installation wizard. Om du vill installera interaktivt dubbelklickar du på installations paketet för RMS-klienten (setup_msipc_ <arch> . exe) i mappen där den kopierades eller laddades ned på den lokala datorn.To install interactively, double-click the RMS client installer package (setup_msipc_<arch>.exe) in the folder to which it was copied or downloaded on your local computer.

Frågor och svar om RMS-klientenQuestions and answers about the RMS client

Följande avsnitt innehåller vanliga frågor och svar om RMS-klienten.The following section contains frequently asked questions about the RMS client and the answers to them.

Vilka operativsystem stöder RMS-klienten?Which operating systems support the RMS client?

RMS-klienten stöds av följande operativsystem:The RMS client is supported with the following operating systems:

Windows Server-operativsystemWindows Server Operating System Windows-klientoperativsystemWindows Client Operating System
Windows Server 2016Windows Server 2016 Windows 10Windows 10
Windows Server 2012 R2Windows Server 2012 R2 Windows 8.1Windows 8.1
Windows Server 2012Windows Server 2012 Windows 8Windows 8
Windows Server 2008 R2Windows Server 2008 R2 Windows 7 med minst SP1Windows 7 with minimum of SP1

Vilka processorer eller plattformar stöder RMS-klienten?Which processors or platforms support the RMS client?

RMS-klienten stöds på x86- och x64-plattformar för databearbetning.The RMS client is supported on x86 and x64 computing platforms.

Var installeras RMS-klienten?Where is the RMS client installed?

RMS-klienten installeras som standard i %ProgramFiles%\Active Directory Rights Management Services Client 2<minor version number>.By default, the RMS client is installed in %ProgramFiles%\Active Directory Rights Management Services Client 2.<minor version number>.

Vilka filer är associerade med RMS-klientprogrammet?What files are associated with the RMS client software?

Följande filer installeras som en del av RMS-klientprogrammet:The following files are installed as part of the RMS client software:

  • Msipc.dllMsipc.dll

  • Ipcsecproc.dllIpcsecproc.dll

  • Ipcsecproc_ssp.dllIpcsecproc_ssp.dll

  • MSIPCEvents.manMSIPCEvents.man

Förutom de här filerna installerar RMS-klienten även stödfiler för flerspråkigt gränssnitt (MUI) på 44 språk.In addition to these files, the RMS client also installs multilingual user interface (MUI) support files in 44 languages. Kör installationen av RMS-klienten för att verifiera de språk som stöds. När installationen är klar granskar du innehållet i mapparna för flerspråksstöd under standardsökvägen.To verify the languages supported, run the RMS client installation and when the installation is complete, review the contents of the multilingual support folders under the default path.

Ingår RMS-klienten som standard när jag installerar ett operativsystem som stöds?Is the RMS client included by default when I install a supported operating system?

Nej.No. Den här versionen av RMS-klienten levereras som valfri uppdatering som kan hämtas och installeras separat på datorer som kör versioner av Microsoft Windows-operativsystem som stöds.This version of the RMS client ships as an optional download that can be installed separately on computers running supported versions of the Microsoft Windows operating system.

Uppdateras RMS-klienten automatiskt av Microsoft Update?Is the RMS client automatically updated by Microsoft Update?

Om du har installerat RMS-klienten med alternativet för tyst installation ärver RMS-klienten de aktuella inställningarna för Microsoft Update.If you installed this RMS client by using the silent installation option, the RMS client inherits your current Microsoft Update settings. Om du har installerat RMS-klienten med hjälp av det GUI-baserade installationsprogrammet uppmanas du av RMS-klientens installationsguide att aktivera Microsoft Update.If you installed the RMS client by using the GUI-based setup program, the RMS client installation wizard prompts you to enable Microsoft Update.

RMS-klientinställningarRMS client settings

Det här avsnittet innehåller inställningsinformation om RMS-klienten:The following section contains settings information about the RMS client. Den här informationen kan vara användbar om du har problem med program eller tjänster som använder RMS-klienten.This information might be helpful if you have problems with applications or services that use the RMS client.

Anteckning

Vissa inställningar beror på om RMS-programmet körs som ett program i klientläge (t.ex. Microsoft Word och Outlook, eller Azure Information Protection-klienten med Windows Utforskaren), eller ett program i serverläge (t.ex. SharePoint och Exchange).Some settings depend on whether the RMS-enlightened application runs as a client mode application (such as Microsoft Word and Outlook, or the Azure Information Protection client with Windows File Explorer), or server mode application (such as SharePoint and Exchange). I följande tabeller identifieras inställningarna som klientläge respektive serverläge.In the following tables, these settings are identified as Client Mode and Server Mode, respectively.

Om RMS-klienten lagrar licenser på klientdatorerWhere the RMS client stores licenses on client computers

RMS-klienten lagrar licenser på den lokala disken och cachelagrar även information i Windows-registret.The RMS client stores licenses on the local disk and also caches some information in the Windows registry.

BeskrivningDescription Sökvägar för klientlägeClient Mode Paths Sökvägar för serverlägeServer Mode Paths
Lagringsplats för licensLicense store location %localappdata%\Microsoft\MSIPC%localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server\<SID>%allusersprofile%\Microsoft\MSIPC\Server\<SID>
Lagringsplats för mallTemplate store location %localappdata%\Microsoft\MSIPC\Templates%localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\<SID>%allusersprofile%\Microsoft\MSIPC\Server\<SID>
Plats i registretRegistry location HKEY_CURRENT_USERHKEY_CURRENT_USER
\Software\Software
\Classes\Classes
\Local Settings\Local Settings
\Software\Software
\Microsoft\Microsoft
\MSIPC\MSIPC
HKEY_CURRENT_USERHKEY_CURRENT_USER
\Software\Software
\Microsoft\Microsoft
\MSIPC\MSIPC
\Server\Server
\<SID>

Anteckning

*<SID*> är ett säkert ID (SID) för kontot där serverprogrammet körs.*<SID*> is the secure identifier (SID) for the account under which the server application is running. Om programmet till exempel körs under det inbyggda nätverks tjänst kontot ersätter du <SID> med värdet för det välkända sid för kontot (S-1-5-20).For example, if the application is running under the built-in Network Service account, replace <SID> with the value of the well-known SID for that account (S-1-5-20).

Windows-registerinställningar för RMS-klientenWindows registry settings for the RMS client

Du kan använda Windows registernycklar för att ange eller ändra vissa konfigurationer för RMS-klienten.You can use Windows registry keys to set or modify some RMS client configurations. Som administratör för RMS-kompatibla program som kommunicerar med AD RMS-servrar kan du till exempel behöva uppdatera företagets tjänstplats (åsidosätt den AD RMS-server som är markerad för publicering) beroende på klientdatorns aktuella plats i Active Directory-topologin.For example, as an administrator for RMS-enlightened applications that communicate with AD RMS servers, you might want to update the enterprise service location (override the AD RMS server that is currently selected for publishing) depending on the client computer's current location within your Active Directory topology. Eller så kanske du vill aktivera RMS-spårning på klientdatorn för att felsöka problem med ett RMS-kompatibelt program.Or, you might want to enable RMS tracing at the client computer, to help troubleshoot a problem with an RMS-enlightened application. Använd följande tabell för att identifiera de registerinställningar som du kan ändra för RMS-klienten.Use the following table to identify the registry settings that you can change for the RMS client.

UppgiftTask InställningarSettings
Om klienten är version 1.03102.0221 eller senare:If the client is version 1.03102.0221 or later:

Kontrollera programdatainsamlingTo control application data collection
Viktigt: Som administratör måste du, av hänsyn till användarens integritet, be om användarens samtycke innan du aktiverar datainsamling.Important: In order to honor user privacy, you as the administrator, must ask the user for consent before enabling data collection.

Om du aktiverar data insamling samtycker du till att skicka data till Microsoft via Internet.If you enable data collection, you are agreeing to send data to Microsoft over the internet. Microsoft använder dessa data för att tillhandahålla och förbättra kvaliteten, säkerheten och integriteten hos Microsofts produkter och tjänster.Microsoft uses this data to provide and improve the quality, security, and integrity of Microsoft products and services. Microsoft analyserar till exempel prestanda och tillförlitlighet, till exempel vilka funktioner du använder, hur snabbt funktionerna svarar, enhets prestanda, interaktioner mellan användar gränssnitt och eventuella problem som uppstår med produkten.For example, Microsoft analyzes performance and reliability, such as what features you use, how quickly the features respond, device performance, user interface interactions, and any problems you experience with the product. Data innehåller också information om konfigurationen av program varan, till exempel den program vara som du kör för tillfället och IP-adressen.Data also includes information about the configuration of your software, such as the software that you are currently running, and the IP address.

För version 1.0.3356 eller senare:For version 1.0.3356 or later:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticAvailabilityREG_DWORD: DiagnosticAvailability

För versioner före 1.0.3356:For versions before 1.0.3356:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticStateREG_DWORD: DiagnosticState

Värde: 0 för programdefinierat (standard) med hjälp av miljöegenskapen IPC_EI_DATA_COLLECTION_ENABLED, 1 för inaktiverad, 2 för aktiveradValue: 0 for Application defined (default) by using the environment property IPC_EI_DATA_COLLECTION_ENABLED, 1 for Disabled, 2 for Enabled

Obs: om ditt 32-bitars MSIPC-baserade program körs på en 64-bitars version av Windows, är platsen HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.Note: If your 32-bit MSIPC-based application is running on a 64-bit version of Windows, the location is HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.
Endast AD RMSAD RMS only:

Uppdatera företagets tjänstplats för en klientdatorTo update the enterprise service location for a client computer
Uppdatera följande registernycklar:Update the following registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertificationHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ: standardREG_SZ: default

Värde: <http or https> :/ /RMS_Cluster_Name/_wmcs/CertificationValue:<http or https>://RMS_Cluster_Name/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishingHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ: standardREG_SZ: default

Värde: <http or https> :/ /RMS_Cluster_Name/_wmcs/licensingValue: <http or https>://RMS_Cluster_Name/_wmcs/Licensing
Aktivera och inaktivera spårningTo enable and disable tracing Uppdatera följande registernyckel:Update the following registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD: TraceREG_DWORD: Trace

Värde: 1 för att aktivera spårning, 0 för att stänga av spårning (standard)Value: 1 to enable tracing, 0 to disable tracing (default)
Uppdatera mallarna genom att ändra frekvensen i dagarTo change the frequency in days to refresh templates Följande register värden anger hur ofta mallar uppdateras på användarens dator om TemplateUpdateFrequencyInSeconds-värdet inte anges.The following registry values specify how often templates refresh on the user's computer if the TemplateUpdateFrequencyInSeconds value is not set. Om inget av dessa värden anges är standardintervallet för uppdatering av program som hämtar mallar med hjälp av RMS-klienten (version 1.0.1784.0) 1 dag.If neither of these values are set, the default refresh interval for applications using the RMS client (version 1.0.1784.0) to download templates is 1 day. Tidigare versioner har standardvärdet var sjunde dag.Prior versions have a default value of every 7 days.

Klientläge:Client Mode:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyREG_DWORD: TemplateUpdateFrequency

Värde: Ett heltals värde som anger antalet dagar (minst 1) mellan hämtningar.Value: An integer value that specifies the number of days (minimum of 1) between downloads.

Serverläge:Server Mode:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<-sid>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyREG_DWORD: TemplateUpdateFrequency

Värde: Ett heltalsvärde som anger antal dagar (minst 1) mellan hämtningar.Value: An integer value that specifies the number of days (minimum of 1) between downloads.
Uppdatera mallarna genom att ändra frekvensen i sekunderTo change the frequency in seconds to refresh templates

Viktigt: om den här inställningen anges ignoreras värdet för att uppdatera mallar i dagar.Important: If this setting is specified, the value to refresh templates in days is ignored. Ange det ena, inte båda.Specify one or the other, not both.
Följande register värden anger hur ofta mallar uppdateras på användarens dator.The following registry values specify how often templates refresh on the user's computer. Om detta värde eller värdet för att ändra antal dagar (TemplateUpdateFrequency) inte har angetts är standardintervallet för program som använder RMS-klienten (version 1.0.1784.0) för att hämta mallar 1 dag.If this value or the value to change the frequency in days (TemplateUpdateFrequency) is not set, the default refresh interval for applications using the RMS client (version 1.0.1784.0) to download templates is 1 day. Tidigare versioner har standardvärdet var sjunde dag.Prior versions have a default value of every 7 days.

Klientläge:Client Mode:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyInSecondsREG_DWORD: TemplateUpdateFrequencyInSeconds

Värde: Ett heltalsvärde som anger antal sekunder (minst 1) mellan hämtningar.Value: An integer value that specifies the number of seconds (minimum of 1) between downloads.

Serverläge:Server Mode:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\ < sid>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyInSecondsREG_DWORD: TemplateUpdateFrequencyInSeconds

Värde: Ett heltalsvärde som anger antal sekunder (minst 1) mellan hämtningar.Value: An integer value that specifies the number of seconds (minimum of 1) between downloads.
Endast AD RMSAD RMS only:

Hämta mallar direkt i samband med nästa publiceringsförfråganTo download templates immediately at the next publishing request
Under testning och utvärdering kanske du vill att RMS-klienten ska hämta mallar så snart som möjligt.During testing and evaluations, you might want the RMS client to download templates as soon as possible. I den här konfigurationen tar du bort följande register nyckel och RMS-klienten hämtar sedan mallar direkt vid nästa publicerings förfrågan i stället för att vänta på den tid som anges av register inställningen TemplateUpdateFrequency:For this configuration, remove the following registry key and the RMS client then downloads templates immediately at the next publishing request rather than wait for the time specified by the TemplateUpdateFrequency registry setting:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Server Name>\TemplateHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Server Name>\Template

Obs!: <Server Name> kan ha både externa (corprights.contoso.com) och interna (Corprights) URL: er och därför två olika poster.Note: <Server Name> could have both external (corprights.contoso.com) and internal (corprights) URLs and therefore two different entries.
Endast AD RMSAD RMS only:

Aktivera stöd för federerad autentiseringTo enable support for federated authentication
Om RMS-klientdatorn ansluts till ett AD RMS-kluster genom användning av ett federerat förtroende måste du konfigurera federationens hemsfär.If the RMS client computer connects to an AD RMS cluster by using a federated trust, you must configure the federation home realm.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Federation]HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ: FederationHomeRealmREG_SZ: FederationHomeRealm

Värde: Värdet för den här register posten är URI: n (Uniform Resource Identifier) för Federations tjänsten (till exempel " http://TreyADFS.trey.net/adfs/services/trust ").Value: The value of this registry entry is the uniform resource identifier (URI) for the federation service (for example, "http://TreyADFS.trey.net/adfs/services/trust").

Obs! Det är viktigt att du anger http och https inte för det här värdet.Note: It is important that you specify http and not https for this value. Dessutom, om ditt 32-bitars MSIPC-baserade program körs på en 64-bitars version av Windows, är platsen HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation.In addition, if your 32-bit MSIPC-based application is running on a 64-bit version of Windows, the location is HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation. För en exempelkonfiguration, se Distribution av Active Directory Rights Management Services med Active Directory Federation Services.For an example configuration, see Deploying Active Directory Rights Management Services with Active Directory Federation Services.
Endast AD RMSAD RMS only:

Ge stöd för partnerfederationsservrar som kräver formulärbaserad autentisering för användarindataTo support partner federation servers that require forms-based authentication for user input
RMS-klienten körs som standard i tyst läge, och indata från användaren krävs inte.By default, the RMS client operates in silent mode and user input is not required. Partnerfederationsservrar kan dock konfigureras för att kräva användarinmatning, till exempel formulärbaserad autentisering.Partner federation servers, however, might be configured to require user input such as by way of forms-based authentication. I så fall måste du konfigurera RMS-klienten till att ignorera tyst läge så att det federerade autentiseringsformuläret visas i ett webbläsarfönster och användaren tilldelas behörighet.In this case, you must configure the RMS client to ignore silent mode so that the federated authentication form appears in a browser window and the user is promoted for authentication.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Federation]HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD: EnableBrowserREG_DWORD: EnableBrowser

Obs! Om federationsservern har konfigurerats för användning av formulärbaserad autentisering är den här nyckeln obligatorisk.Note: If the federation server is configured to use forms-based authentication, this key is required. Om Federations servern har kon figurer ATS för att använda integrerad Windows-autentisering, krävs inte den här nyckeln.If the federation server is configured to use integrated Windows authentication, this key is not required.
Endast AD RMSAD RMS only:

Blockera användning av ILS-tjänstenTo block ILS service consumption
Som standard gör RMS-klienten det möjligt att använda innehåll som skyddas av ILS-tjänsten men du kan konfigurera att klienten ska blockera den här tjänsten genom att ange följande registernyckel.By default, the RMS client enables consuming content protected by the ILS service but you can configure the client to block this service by setting the following registry key. Om den här register nyckeln är inställd på att blockera ILS-tjänsten, returnerar alla försök att öppna och använda innehåll som skyddas av ILS-tjänsten följande fel:If this registry key is set to block the ILS service, any attempts to open and consume content protected by the ILS service returns the following error:
HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: DisablePassportCertificationREG_DWORD: DisablePassportCertification

Värde: 1 för att blockera användning av ILS, 0 för att tillåta användning av ILS (standard)Value: 1 to block ILS consumption, 0 to allow ILS consumption (default)

Hantera malldistribution för RMS-klientenManaging template distribution for the RMS client

Mallar gör det enkelt för användare och administratörer att snabbt tillämpa Rights Management skydd och RMS-klienten hämtar automatiskt mallar från dess RMS-servrar eller-tjänster.Templates make it easy for users and administrators to quickly apply Rights Management protection and the RMS client automatically downloads templates from its RMS servers or service. Om du lägger till mallarna på följande plats, hämtar RMS-klienten inte mallar från standard platsen och laddar i stället ned mallarna som du har lagt till i den här mappen.If you put the templates in the following folder location, the RMS client does not download any templates from its default location and instead, download the templates that you have put in this folder. RMS-klienten kan fortsätta att hämta mallar från andra tillgängliga RMS-servrar.The RMS client might continue to download templates from other available RMS servers.

Klientläge: %localappdata%\Microsoft\MSIPC\UnmanagedTemplatesClient Mode: %localappdata%\Microsoft\MSIPC\UnmanagedTemplates

Server läge: %ALLUSERSPROFILE%\Microsoft\MSIPC\Server\UnmanagedTemplates\<SID>Server Mode: %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\<SID>

När du använder den här mappen krävs det inga särskilda namngivningskonventioner, förutom att mallarna ska ha utfärdats av RMS-servern eller -tjänsten och att de måste ha filnamnstillägget .xml.When you use this folder, there is no special naming convention required except that the templates should be issued by the RMS server or service and they must have the .xml file name extension. Till exempel är Contoso-Confidential.xml eller Contoso-ReadOnly.xml giltiga namn.For example, Contoso-Confidential.xml or Contoso-ReadOnly.xml are valid names.

Endast AD RMS: Begränsa RMS-klienten till att använda betrodda AD RMS-servrarAD RMS only: Limiting the RMS client to use trusted AD RMS servers

Du kan begränsa RMS-klienten till att endast använda specifika betrodda AD RMS-servrar genom att göra följande ändringar i Windows-registret på lokala datorer.The RMS client can be limited to using only specific trusted AD RMS servers by making the following changes to the Windows registry on local computers.

Aktivera begränsning så att RMS-klienten endast kan använda betrodda AD RMS-servrarTo enable limiting RMS client to use only trusted AD RMS servers

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServersHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_DWORD: AllowTrustedServersOnlyREG_DWORD:AllowTrustedServersOnly

    Värde: Om ett värde som inte är noll har angetts, litar RMS-klienten endast på de angivna servrar som är konfigurerade i TrustedServers-listan och Azure Rights Management-tjänsten.Value: If a non-zero value is specified, the RMS client trusts only the specified servers that are configured in the TrustedServers list and the Azure Rights Management service.

Lägg till medlemmar i listan över betrodda AD RMS-servrarTo add members to the list of trusted AD RMS servers

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServersHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_SZ:<URL_or_HostName>REG_SZ:<URL_or_HostName>

    Värde: Sträng värden i den här register nyckel platsen kan vara antingen DNS-domännamn (till exempel ADRMS.contoso.com) eller fullständiga URL: er till betrodda AD RMS-servrar (till exempel https://adrms.contoso.com ).Value: The string values in this registry key location can be either DNS domain name format (for example, adrms.contoso.com) or full URLs to trusted AD RMS servers (for example, https://adrms.contoso.com). Om en angiven URL börjar med https:// använder RMS-klienten SSL eller TLS för att kontakta den angivna AD RMS servern.If a specified URL starts with https://, the RMS client uses SSL or TLS to contact the specified AD RMS server.

Identifiering av RMS-tjänstRMS service discovery

Med RMS-tjänstidentifiering kan RMS-klienten kontrollera vilka RMS-servrar eller RMS-tjänster som den ska kommunicera med innan innehållet skyddas.RMS service discovery lets the RMS client check which RMS server or service to communicate with before protecting content. Tjänst identifiering kan också ske när RMS-klienten använder skyddat innehåll, men den här typen av identifiering är mindre troligt eftersom principen som är kopplad till innehållet innehåller den önskade RMS-servern eller-tjänsten.Service discovery might also happen when the RMS client consumes protected content, but this type of discovery is less likely to happen because the policy attached to the content contains the preferred RMS server or service. Endast om dessa källor Miss lyckas kör klienten tjänst identifiering.Only if those sources are unsuccessful does the client then run service discovery.

RMS-klienten kontrollerar följande för att köra en tjänstidentifiering:To perform service discovery, the RMS client checks the following:

  1. Windows-registret på den lokala datorn: Om tjänstidentifieringsinställningar har konfigurerats i registret testas dessa inställningarna först.The Windows registry on the local computer: If service discovery settings are configured in the registry, these settings are tried first.

    Dessa inställningar konfigureras inte som standard i registret, men en administratör kan konfigurera dem för AD RMS genom att följa anvisningarna i följande avsnitt.By default, these settings are not configured in the registry but an administrator can configure them for AD RMS as documented in a following section. En administratör konfigurerar vanligtvis dessa inställningar för Azure Rights Management-tjänsten under migreringen från AD RMS till Azure Information Protection.An administrator typically configures these settings for the Azure Rights Management service during the migration process from AD RMS to Azure Information Protection.

  2. Active Directory Domain Services: En domänansluten dator frågar Active Directory efter en tjänstanslutningspunkt (SCP).Active Directory Domain Services: A domain-joined computer queries Active Directory for a service connection point (SCP).

    Om en tjänstanslutningspunkt har registrerats enligt anvisningarna i följande avsnitt returneras URL:en för AD RMS-servern till den RMS-klient som ska användas.If an SCP is registered as documented in the following section, the URL of the AD RMS server is returned to the RMS client to use.

  3. Tjänsten Azure Rights Management identifiering: RMS-klienten ansluter till https://discover.aadrm.com , som gör att användaren kan autentisera sig.The Azure Rights Management discovery service: The RMS client connects to https://discover.aadrm.com, which prompts the user to authenticate.

    När autentiseringen lyckas används användarnamnet (och domänen) från autentiseringen för att identifiera Azure Information Protection-klienten som ska användas.When authentication is successful, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. Azure Information Protection-URL:en som ska användas för användarkontot returneras till RMS-klienten.The Azure Information Protection URL to use for that user account is returned to the RMS client. URL: en har följande format: https:// <YourTenantURL> /_wmcs/licensingThe URL is in the following format: https://<YourTenantURL>/_wmcs/licensing

    Exempel: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensingFor example: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    <YourTenantURL> har följande format: {GUID}. RMS. [region]. AADRM. com. Du kan hitta det här värdet genom att identifiera RightsManagementServiceId -värdet när du kör cmdleten Get-AipServiceConfiguration .<YourTenantURL> has the following format: {GUID}.rms.[Region].aadrm.com.You can find this value by identifying the RightsManagementServiceId value when you run the Get-AipServiceConfiguration cmdlet.

Anteckning

Det finns fyra viktiga undantag för detta tjänst identifierings flöde:There are four important exceptions for this service discovery flow:

  • Mobila enheter är bäst lämpade att använda en moln tjänst, så som standard använder de tjänst identifiering för Azure Rights Management-tjänsten ( https://discover.aadrm.com) .Mobile devices are best suited to use a cloud service, so by default they use service discovery for the Azure Rights Management service (https://discover.aadrm.com). Om du vill åsidosätta det här standardvärdet så att mobila enheter använder AD RMS i stället för Azure Rights Management-tjänsten, anger du SRV-poster i DNS och installerar tillägget för mobila enheter enligt dokumentationen i Active Directory Rights Management Services tillägg för mobila enheter.To override this default so that mobile devices use AD RMS rather than the Azure Rights Management service, specify SRV records in DNS and install the mobile device extension as documented in Active Directory Rights Management Services Mobile Device Extension.

  • När Rights Management-tjänsten anropas av en Azure Information Protection-etikett utförs ingen tjänstidentifiering.When the Rights Management service is invoked by an Azure Information Protection label, service discovery is not performed. I stället anges URL:en direkt i etikettinställningen som har konfigurerats i Azure Information Protection-principen.Instead, the URL is specified directly in the label setting that is configured in the Azure Information Protection policy.

  • När en användare initierar inloggning från ett Office-program används användarnamnet (och domänen) från autentiseringen för att identifiera den Azure Information Protection-klient som ska använda.When a user initiates sign in from an Office application, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. I det här fallet behövs inte registerinställningarna och tjänstanslutningspunkten kontrolleras inte.In this case, registry settings are not needed and the SCP is not checked.

  • När du har konfigurerat omdirigering av DNS för Office Klicka-och-kör Desktop-appar hittar RMS-klienten Azure Rights Management-tjänsten genom att nekas åtkomst till det AD RMS-kluster som den tidigare har hittat.When you have configured DNS redirection for Office click-to-run desktop apps, the RMS client finds the Azure Rights Management service by being denied access to the AD RMS cluster that it previously found. Den här neka-åtgärden utlöser klienten att leta efter SRV-posten, som omdirigerar klienten till Azure Rights Management-tjänsten för din klient.This deny action triggers the client to look for the SRV record, which redirects the client to the Azure Rights Management service for your tenant. Den här SRV-posten låter också Exchange Online dekryptera e-postmeddelanden som har skyddats av ditt AD RMS-kluster.This SRV record also lets Exchange Online decrypt emails that have been protected by your AD RMS cluster.

Endast AD RMS: Aktivera identifiering av servern med hjälp av Active DirectoryAD RMS only: Enabling server-side service discovery by using Active Directory

Om ditt konto har behörighet (företags administratörer och lokal administratör för AD RMS-servern) kan du automatiskt registrera en tjänst anslutnings punkt (SCP) när du installerar AD RMS rot kluster Server.If your account has sufficient privileges (Enterprise Admins and local administrator for the AD RMS server), you can automatically register a service connection point (SCP) when you install the AD RMS root cluster server. Om det redan finns en SCP i skogen måste du först ta bort den befintliga SCP: n innan du kan registrera en ny.If an SCP already exists in the forest, you must first delete the existing SCP before you can register a new one.

Med följande procedur kan du registrera och ta bort en SCP när AD RMS har installerats.You can register and delete an SCP after AD RMS is installed by using the following procedure. Innan du börjar bör du kontrollera att ditt konto har de behörigheter som krävs (företagsadministratörer och lokal administratör för AD RMS-servern).Before you start, make sure that your account has the required privileges (Enterprise Admins and local administrator for the AD RMS server).

Aktivera identifiering av AD RMS-tjänsten genom att registrera en SCP i Active DirectoryTo enable AD RMS service discovery by registering an SCP in Active Directory

  1. Öppna Active Directory Management Services-konsolen i AD RMS-servern:Open the Active Directory Management Services console at the AD RMS server:

    • För Windows Server 2012 R2 eller Windows Server 2012 i Serverhanteraren väljer du verktyg > Active Directory Rights Management Services.For Windows Server 2012 R2 or Windows Server 2012, in Server Manager, select Tools > Active Directory Rights Management Services.

    • För Windows Server 2008 R2 väljer du Starta > administrations verktyg > Active Directory Rights Management Services.For Windows Server 2008 R2, select Start > Administrative Tools > Active Directory Rights Management Services.

  2. Högerklicka på klustret AD RMS i AD RMS-konsolen och klicka sedan på Egenskaper.In the AD RMS console, right-click the AD RMS cluster, and then click Properties.

  3. Klicka på SCP-fliken.Click the SCP tab.

  4. Markera kryssrutan Ändra SCP.Select the Change SCP check box.

  5. Välj alternativet Ange det aktuella certifieringsklustret som SCP och klicka sedan på OK.Select the Set SCP to current certification cluster option, and then click OK.

Aktivera identifiering av tjänsten på klientsidan med hjälp av Windows-registretEnabling client-side service discovery by using the Windows registry

Som ett alternativ till att använda en SCP eller där en SCP inte existerar kan du konfigurera registret på klientdatorn så att RMS-klienten kan hitta sin AD RMS-server.As an alternative to using an SCP or where an SCP does not exist, you can configure the registry on the client computer so that the RMS client can locate its AD RMS server.

Aktivera identifiering av AD RMS-tjänsten på klientsidan med hjälp av Windows-registretTo enable client-side AD RMS service discovery by using the Windows registry

  1. Öppna Windows-registereditorn, Regedit.exe:Open the Windows registry editor, Regedit.exe:

    • Skriv regedit i körningsfönstret på klientdatorn och tryck sedan på Retur för att öppna Registereditorn.On the client computer, in the Run window, type regedit, and then press Enter to open the Registry Editor.
  2. I Registereditorn navigerar du till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.In Registry Editor, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.

    Anteckning

    Om du kör ett 32-bitars program på en 64-bitars dator går du till HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPCIf you are running a 32-bit application on a 64-bit computer, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. Skapa ServiceLocation-undernyckeln genom att högerklicka på MSIPC, peka på Ny, klicka på Nyckel och därefter skriva ServiceLocation.To create the ServiceLocation subkey, right-click MSIPC, point to New, click Key, and then type ServiceLocation.

  4. Skapa EnterpriseCertification-undernyckeln genom att högerklicka på ServiceLocation, peka på Ny, klicka på Nyckel och därefter skriva EnterpriseCertification.To create the EnterpriseCertification subkey, right-click ServiceLocation, point to New, click Key, and then type EnterpriseCertification.

  5. Ange företagets certifierings-URL genom att dubbelklicka på värdet (standard) under under nyckeln EnterpriseCertification .To set the enterprise certification URL, double-click the (Default) value, under the EnterpriseCertification subkey. När dialog rutan Redigera sträng visas för Värde dataskriver <http or https>://<AD RMS_cluster_name>/_wmcs/Certification du och klickar sedan på OK.When the Edit String dialog box appears, for Value data, type <http or https>://<AD RMS_cluster_name>/_wmcs/Certification, and then click OK.

  6. Skapa EnterprisePublishing-undernyckeln genom att högerklicka på ServiceLocation, peka på ny, klicka på nyckeloch sedan skriva EnterprisePublishing .To create the EnterprisePublishing subkey, right-click ServiceLocation, point to New, click Key, and then type EnterprisePublishing.

  7. Ange företagets publicerings-URL genom att dubbelklicka på (standard) under under nyckeln EnterprisePublishing .To set the enterprise publishing URL, double-click (Default) under the EnterprisePublishing subkey. När dialog rutan Redigera sträng visas för Värde dataskriver <http or https>://<AD RMS_cluster_name>/_wmcs/Licensing du och klickar sedan på OK.When the Edit String dialog box appears, for Value data, type <http or https>://<AD RMS_cluster_name>/_wmcs/Licensing, and then click OK.

  8. Stäng Registereditorn.Close Registry Editor.

Om RMS-klienten inte kan hitta någon SCP genom att fråga Active Directory och den inte har angetts i registret, Miss lyckas tjänst identifierings anrop för AD RMS.If the RMS client can't find an SCP by querying Active Directory and it's not specified in the registry, service discovery calls for AD RMS fails.

Omdirigera licensservertrafikRedirecting licensing server traffic

I vissa fall kan behöva du omdirigera trafik under tjänstidentifiering, till exempel när två organisationer slås samman och den gamla licensavtalsservern i en organisation avställs och klienter behöver omdirigeras till en ny licensavtalsserver.In some cases, you might need to redirect traffic during service discovery, for example, when two organizations are merged and the old licensing server in one organization is retired and clients need to be redirected to a new licensing server. Det kan också vara nödvändigt när du migrerar från AD RMS till Azure RMS.Or, you migrate from AD RMS to Azure RMS. Använd följande procedur om du vill aktivera omdirigering av volymlicensavtal.To enable licensing redirection, use the following procedure.

Aktivera omdirigering för RMS-licensiering med hjälp av Windows-registretTo enable RMS licensing redirection by using the Windows registry

  1. Öppna Registereditorn i Windows Regedit.exe.Open the Windows registry editor, Regedit.exe.

  2. I Registereditorn navigerar du till något av följande:In Registry Editor, navigate to one of the following:

    • För 64-bitarsversionen av Office på en x64-plattform: HKLM\SOFTWARE\Microsoft\MSIPC\ServicelocationFor 64-bit version of Office on x64 platform: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • För 32-bitarsversionen av Office på en x64-plattform: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServicelocationFor 32-bit version of Office on x64 platform: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. Skapa en LicensingRedirection-undernyckel genom att högerklicka på Servicelocation och peka på Ny. Klicka sedan på Nyckel och skriv LicensingRedirection.Create a LicensingRedirection subkey, by right-clicking Servicelocation, point to New, click Key, and then type LicensingRedirection.

  4. Ange omdirigering av licensieringen genom att högerklicka på undernyckeln LicensingRedirection. Välj Ny och sedan Strängvärde.To set the licensing redirection, right-click the LicensingRedirection subkey, select New, and then select String value. För Namn ska du ange den gamla serverlicensierings-URL:en och för Värde anger du den nya serverlicensierings-URL:en.For Name, specify the previous server licensing URL and for Value specify the new server licensing URL.

    Till exempel, du kan omdirgera en licensiering från en server på contoso.com till en hos fabrikam.com genom att ange följande värden:For example, to redirect licensing from a server at Contoso.com to one at Fabrikam.com, you might enter the following values:

    Namn:https://contoso.com/_wmcs/licensingName: https://contoso.com/_wmcs/licensing

    Värde:https://fabrikam.com/_wmcs/licensingValue: https://fabrikam.com/_wmcs/licensing

    Anteckning

    Om den gamla licensierings servern har både intranät-och extra näts-URL: er angivna, måste ett nytt namn och värde-mappning anges för båda dessa URL: er under nyckeln LicensingRedirection .If the old licensing server has both intranet and extranet URLs specified, a new name and value mapping must be set for both these URLs under the LicensingRedirection key.

  5. Upprepa det föregående steget för alla servrar som ska omdirigeras.Repeat the previous step for all servers that need to be redirected.

  6. Stäng Registereditorn.Close Registry Editor.