Rights Management Service 客户端部署说明

适用于:Active Directory Rights Management Services、Azure信息保护、Windows 8、Windows 8.1、Windows 10、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016

相关:AIP 统一标签客户端和经典客户端

如果 2010 Windows 7 或 Office,请参阅AIP和旧版 Windows Office 版本。

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

版本 2 (RMS) 权限管理服务客户端也称为 MSIPC 客户端。 它是 Windows 计算机的软件,可与本地或云中的 Microsoft Rights Management Services 通信,帮助保护在信息流经应用程序和设备、组织边界或超出这些托管边界时对信息的访问和使用。

除了随Azure信息保护统一标签客户端一起交付外,RMS 客户端还可以作为可选下载提供,在确认并接受其许可协议的情况下,可以使用第三方软件自由分发,以便客户端可以保护和使用由 Rights Management Services 保护的内容。

重新分发 RMS 客户端

RMS 客户端可以自由重新分发,并与其他应用程序和 IT 解决方案捆绑在一起。 如果你是应用程序开发人员或解决方案提供商,并且想要重新分发 RMS 客户端,可以使用两个选项:

  • 建议:在应用程序安装中嵌入 RMS 客户端安装程序, (/quiet 开关以无提示模式运行它,详见下一) 。

  • 将 RMS 客户端作为应用程序的先决条件。 使用此选项时,可能需要为用户提供额外的说明,让他们在客户端获取、安装和更新其计算机,然后他们才能使用应用程序。

安装 RMS 客户端

RMS 客户端包含在名为setup_msipc_ arch .exe>的安装程序可执行文件中,其中 arch 是> ((适用于 32 位客户端计算机) )或 x64 ((适用于64位客户端计算机) )。 64 位 (x64) 安装程序包安装 32 位运行时可执行文件,与在 64 位操作系统安装中运行的 32 位应用程序兼容,以及用于支持内置 64 位应用程序的 64 位运行时可执行文件。 32 位 (x86) 安装程序不会在 64 位 Windows 安装。

注意

必须具有提升的权限,以在本地计算机上安装 RMS 客户端,例如管理员组的成员。

可以使用以下安装方法之一安装 RMS 客户端:

  • 无提示模式。 通过使用 /quiet 开关作为命令行选项的一部分,可以无提示地在计算机上安装 RMS 客户端。 以下示例演示 64 位客户端计算机上 RMS 客户端的静默模式安装:

    setup_msipc_x64.exe /quiet
    
  • 交互模式。 或者,可以使用 RMS 客户端安装向导提供的基于 GUI 的安装程序来安装 RMS 客户端。 若要以交互方式安装,请在本地计算机上双击 RMS 客户端安装程序包 (setup_msipc_ arch .exe) 文件复制到的文件夹中。

有关 RMS 客户端的问题和解答

以下部分包含有关 RMS 客户端的常见问题及其解答。

哪些操作系统支持 RMS 客户端?

以下操作系统支持 RMS 客户端:

Windows服务器操作系统 Windows客户端操作系统
Windows Server 2016 Windows 10
Windows Server 2012 R2 Windows 8.1
Windows Server 2012 Windows 8
Windows Server 2008 R2 Windows SP1 的 Windows 7

哪些处理器或平台支持 RMS 客户端?

x86 和 x64 计算平台支持 RMS 客户端。

RMS 客户端安装在何处?

默认情况下,RMS 客户端安装在 %ProgramFiles%\Active Directory Rights Management Services Client 2 中。 <次要版本号 > 。

哪些文件与 RMS 客户端软件相关联?

以下文件作为 RMS 客户端软件的一部分进行安装:

  • Msipc.dll

  • Ipcsecproc.dll

  • Ipcsecproc_ssp.dll

  • MSIPCEvents.man

除了这些文件,RMS 客户端还通过 MUI 安装多语言用户界面 (MUI) 支持 44 种语言的文件。 若要验证支持的语言,请运行 RMS 客户端安装,安装完成后,查看默认路径下多语言支持文件夹的内容。

安装支持的操作系统时,是否默认包含 RMS 客户端?

不。 此版本的 RMS 客户端以可选下载方式提供,可在运行受支持版本的 Microsoft Windows计算机上安装。

RMS 客户端是否由 Microsoft Update 自动更新?

如果使用无提示安装选项安装了此 RMS 客户端,则 RMS 客户端将继承当前的 Microsoft 更新设置。 如果使用基于 GUI 的安装程序安装了 RMS 客户端,RMS 客户端安装向导会提示启用 Microsoft 更新。

RMS 客户端设置

以下部分包含有关 RMS 客户端的设置信息。 如果遇到使用 RMS 客户端的应用程序或服务的问题,此信息可能会有所帮助。

注意

某些设置取决于 RMS 启发式应用程序是作为客户端模式应用程序 ((如 Microsoft Word 和 Outlook)运行,还是作为 Azure 信息保护客户端(使用 Windows 文件资源管理器) )运行,还是以服务器模式应用程序 ((如 SharePoint 和 Exchange) )运行。 在下表中,这些设置分别标识为" 客户端模式"和 " 服务器模式"。

RMS 客户端在客户端计算机上存储许可证的位置

RMS 客户端将许可证存储在本地磁盘上,还会在注册表中Windows信息。

说明 客户端模式路径 服务器模式路径
许可证存储位置 %localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server\ SID >
模板存储位置 %localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\ SID >
注册表位置 HKEY_CURRENT_USER
\Software
\Classes
\Local 设置
\Software
\Microsoft
\MSIPC
HKEY_CURRENT_USER
\Software
\Microsoft
\MSIPC
\Server
\\>

注意

SID> 是运行 (应用程序的) SID 安全标识符。 例如,如果应用程序在内置网络服务帐户下运行,请将 SID >替换为该帐户的已知 SID (S-1-5-20) 。

Windows RMS 客户端的注册表设置

可以使用注册表Windows设置或修改某些 RMS 客户端配置。 例如,作为与 AD RMS 服务器通信的 RMS 启发式应用程序的管理员,可能需要更新企业服务位置 (覆盖当前选择用于发布) 的 AD RMS 服务器,具体取决于客户端计算机在 Active Directory 拓扑中的当前位置。 或者,你可能想要在客户端计算机上启用 RMS 跟踪,以帮助排查 RMS 启发式应用程序的问题。 使用下表确定可以更改的 RMS 客户端的注册表设置。

任务 设置
如果客户端版本为 1.03102.0221 或更高版本:

控制应用程序数据收集
重要提示:为了尊重用户隐私,作为管理员,必须在启用数据收集之前请求用户同意。

如果启用数据收集,即表示你同意通过 Internet 将数据发送到 Microsoft。 Microsoft 使用此数据提供和改进 Microsoft 产品和服务的质量、安全性和完整性。 例如,Microsoft 会分析性能和可靠性,例如,你使用的功能、功能响应速度、设备性能、用户界面交互,以及你在产品上遇到任何问题。 数据还包括有关软件配置的信息,例如当前正在运行的软件和 IP 地址。

对于版本 1.0.3356 或更高版本:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD:DiagnosticAvailability

对于 1.0.3356 之前的版本:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD:DiagnosticState

:0 表示应用程序定义的 (默认值) 使用 环境属性IPC_EI_DATA_COLLECTION_ENABLED,1 表示已禁用,2 表示已启用

注意:如果基于 32 位 MSIPC 的应用程序在 64 位版本的 Windows 上运行,则位置HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC。
仅 AD RMS:

更新客户端计算机的企业服务位置
更新以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ:默认值

:http 或 https > ://>/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ:默认值

:http 或 https > ://>/_wmcs/Licensing
启用和禁用跟踪 更新以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD:跟踪

:1 表示启用跟踪,0 表示禁用默认 (跟踪)
更改刷新模板的频率(天) 以下注册表值指定如果未设置 TemplateUpdateFrequencyInSeconds 值,模板在用户计算机上刷新频率。 如果未设置这些值,则使用 RMS 客户端 (版本 1.0.1784.0) 下载模板的应用程序的默认刷新间隔为 1 天。 以前的版本每 7 天有一个默认值。

客户端模式

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD:TemplateUpdateFrequency

:一个整数值,指定下载 (至少 1) 的天数。

服务器模式

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\< SID>
REG_DWORD:TemplateUpdateFrequency

:一个整数值,指定下载 (至少 1) 的天数。
更改刷新模板的频率(以秒表示)

重要提示:如果指定了此设置,将忽略以天表示刷新模板的值。 指定一个或另一个,而不是同时指定两者。
以下注册表值指定模板在用户计算机上刷新频率。 如果未设置此值或更改频率(天 (TemplateUpdateFrequency) )的值,则使用 RMS 客户端 (版本 1.0.1784.0) 下载模板的应用程序的默认刷新间隔为 1 天。 以前的版本每 7 天有一个默认值。

客户端模式

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD:TemplateUpdateFrequencyInSeconds

:一个整数值,指定下载 (至少 1) 秒数。

服务器模式

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<<>
REG_DWORD:TemplateUpdateFrequencyInSeconds

:一个整数值,指定下载 (至少 1) 秒数。
仅 AD RMS:

在下次发布请求时立即下载模板
在测试和评估期间,你可能希望 RMS 客户端尽快下载模板。 对于此配置,请删除以下注册表项,RMS 客户端随后在下次发布请求时立即下载模板,而不是等待 TemplateUpdateFrequency 注册表设置指定的时间:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<<> \模板

注意:服务器名称 可以同时具有外部 (corprights.contoso.com) 和 (URL) 两个不同的条目。
仅 AD RMS:

启用联合身份验证支持
如果 RMS 客户端计算机使用联合信任连接到 AD RMS 群集,则必须配置联合主领域。

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ:FederationHomeRealm

:此注册表项的值是联合身份验证服务 (URI) 统一资源标识符 (例如 "") 。

注意:请为此值指定 http 而不是 https,这一点很重要。 此外,如果基于 32 位 MSIPC 的应用程序在 64 位版本的 Windows 上运行,则位置HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation。 有关示例配置,请参阅使用 Active Directory Active Directory Rights Management Services服务部署服务
仅 AD RMS:

支持需要基于表单的身份验证进行用户输入的合作伙伴联合服务器
默认情况下,RMS 客户端以静默模式运行,并且不需要用户输入。 但是,合作伙伴联合服务器可能配置为要求用户输入,例如通过基于窗体的身份验证。 在这种情况下,必须将 RMS 客户端配置为忽略无提示模式,以便联合身份验证窗体显示在浏览器窗口中,并提升用户进行身份验证。

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD:EnableBrowser

注意:如果联合服务器配置为使用基于窗体的身份验证,则此密钥是必需的。 如果联合服务器配置为使用集成身份验证Windows身份验证,则不需要此密钥。
仅 AD RMS:

阻止 ILS 服务消耗
默认情况下,RMS 客户端允许使用受 ILS 服务保护的内容,但可以通过设置以下注册表项来配置客户端来阻止此服务。 如果此注册表项设置为阻止 ILS 服务,任何尝试打开和使用受 ILS 服务保护的内容都返回以下错误:
HRESULT_FROM_WIN32 (ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD:DisablePassportCertification

:1 表示阻止 ILS 使用,0 表示允许使用 ILS (默认)

管理 RMS 客户端的模板分发

使用模板,用户和管理员可以轻松快速应用权限管理保护,RMS 客户端会自动从 RMS 服务器或服务下载模板。 如果将模板放在以下文件夹位置,RMS 客户端不会从默认位置下载任何模板,而是下载已放入此文件夹中的模板。 RMS 客户端可能继续从其他可用的 RMS 服务器下载模板。

客户端模式:%localappdata%\Microsoft\MSIPC\UnmanagedTemplates

服务器模式:%allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\ SID

使用此文件夹时,不需要特殊的命名约定,只是模板应该由 RMS 服务器或服务颁发,并且它们必须具有.xml扩展名。 例如,Contoso-Confidential.xml或Contoso-ReadOnly.xml是有效的名称。

仅 AD RMS:限制 RMS 客户端使用受信任的 AD RMS 服务器

RMS 客户端可以通过对本地计算机上的 Windows 注册表进行以下更改,限制为仅使用特定的受信任 AD RMS 服务器。

允许将 RMS 客户端限制为仅使用受信任的 AD RMS 服务器

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_DWORD:AllowTrustedServersOnly

    :如果指定了非零值,则 RMS 客户端仅信任在 TrustedServers 列表和 Azure Rights Management 服务中配置的指定服务器。

将成员添加到受信任的 AD RMS 服务器列表

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_SZ:URL_or_HostName >

    :此注册表项位置中的字符串值可以是 DNS 域名格式 (例如,adrms.contoso.com ) 或受信任的 AD RMS 服务器的完整 URL (例如 ) 。 如果指定的 URL 以 https:// 开头,则 RMS 客户端使用 SSL 或 TLS 来联系指定的 AD RMS 服务器。

RMS 服务发现

RMS 服务发现允许 RMS 客户端在保护内容之前检查要与哪个 RMS 服务器或服务通信。 当 RMS 客户端使用受保护的内容时,也可能会发生服务发现,但此类发现不太可能发生,因为附加到内容的策略包含首选的 RMS 服务器或服务。 只有在这些源不成功时,客户端才运行服务发现。

若要执行服务发现,RMS 客户端会检查以下各项:

  1. 本地Windows注册表:如果在注册表中配置了服务发现设置,则首先尝试这些设置。

    默认情况下,这些设置未在注册表中配置,但管理员可以为 AD RMS 配置这些设置,如以下 部分所述。 在从 AD RMS 迁移到 Azure 信息保护的过程中,管理员通常会为 Azure Rights Management 服务配置这些设置。

  2. Active Directory 域服务:已加入域的计算机在 Active Directory 中查询 SCP (连接) 。

    如果按照以下部分所述注册了 SCP,AD RMS 服务器的 URL 将返回到 RMS 客户端以使用。

  3. Azure Rights Management 发现服务:RMS 客户端连接到 ,提示用户进行身份验证。

    身份验证成功后,身份验证 (和) 域名标识要使用的 Azure 信息保护租户。 用于该用户帐户的 Azure 信息保护 URL 将返回到 RMS 客户端。 URL 采用以下格式:https:// YourTenantURL >>

    例如:5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    YourTenantURL >采用以下格式>。运行Get-AipServiceConfiguration cmdlet 时,可以通过标识RightsManagementServiceId值来查找此值。

注意

此服务发现流有四个重要例外:

  • 移动设备最适合使用云服务,因此默认情况下,它们使用 Azure Rights Management 服务服务发现 https://discover.aadrm.com () 。 若要替代此默认值,以便移动设备使用 AD RMS 而不是 Azure Rights Management 服务,请指定 DNS 中的 SRV 记录,并安装移动设备扩展,如 Active Directory Rights Management Services Mobile Device Extension ( 移动设备扩展)

  • 当 Azure 信息保护标签调用权限管理服务时,不会执行服务发现。 相反,URL 直接在 Azure 信息保护策略中配置的标签设置中指定。

  • 当用户从 Office 应用程序启动登录时,身份验证 (和域) 用于标识要使用的 Azure 信息保护租户。 在这种情况下,不需要注册表设置,并且不会检查 SCP。

  • 为 Office 即点即用桌面应用配置DNS重定向后,RMS 客户端会通过拒绝访问之前找到的 AD RMS 群集来查找 Azure Rights Management 服务。 此拒绝操作会触发客户端查找 SRV 记录,这会将客户端重定向到租户的 Azure Rights Management 服务。 此 SRV 记录还Exchange Online AD RMS 群集保护的解密电子邮件。

仅 AD RMS:使用 Active Directory 启用服务器端服务发现

如果帐户具有足够权限 (Enterprise AD RMS 服务器) 的本地管理员,可以在安装 AD RMS 根群集服务器时自动注册服务连接点 (SCP) 。 如果林中已存在 SCP,必须先删除现有 SCP,然后才能注册新 SCP。

安装 AD RMS 后,可以使用以下过程注册和删除 SCP。 在启动之前,请确保帐户具有 AD RMS (Enterprise管理员和本地管理员所需的) 。

在 Active Directory 中注册 SCP 以启用 AD RMS 服务发现

  1. 在 AD RMS 服务器上打开 Active Directory 管理服务控制台:

    • 对于Windows Server 2012 R2 或 Windows Server 2012,请在"服务器管理器"中选择"工具Active Directory Rights Management Services"。

    • 对于 Windows Server 2008 R2,请选择"启动管理工具Active Directory Rights Management Services"。

  2. 在 AD RMS 控制台中,右键单击 AD RMS 群集,并单击"属性"。

  3. 单击 "SCP" 选项卡。

  4. 选中" 更改 SCP" 复选框。

  5. 选择"将 SCP 设置为当前认证群集"选项,然后单击"确定"。

使用客户端服务注册表启用Windows发现

作为使用 SCP 或 SCP 不存在的替代方法,可以在客户端计算机上配置注册表,以便 RMS 客户端可以找到其 AD RMS 服务器。

使用客户端注册表启用客户端 AD RMS Windows发现

  1. 打开Windows注册表编辑器,Regedit.exe:

    • 在客户端计算机上的"运行"窗口中,键入 regedit,然后按 Enter 打开注册表编辑器。
  2. 在注册表编辑器中,导航到"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC"。

    注意

    如果在 64 位计算机上运行 32 位应用程序,请导航到HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. 若要创建 ServiceLocation 子项,请右键单击"MSIPC",指向"新建",单击"密钥",然后键入"ServiceLocation"。

  4. 若要创建 EnterpriseCertification 子项,请右键单击"ServiceLocation",指向"新建",单击"密钥",然后键入"EnterpriseCertification"。

  5. 若要设置企业认证 URL,请双击"EnterpriseCertification"子 (下) 默认值"值。 出现"编辑字符串"对话框时,对于"值数据",键入 ,然后单击"确定"。

  6. 若要创建 EnterprisePublishing 子项,请右键单击 "ServiceLocation",指向" 新建",单击" 密钥",然后键入

  7. 若要设置企业发布 URL,请双击"enterprisePublishing" (") "默认"。 出现"编辑字符串"对话框时,对于"值数据",键入 ,然后单击"确定"。

  8. 关闭注册表编辑器。

如果 RMS 客户端无法通过查询 Active Directory 找到 SCP,并且注册表中未指定该 SCP,则 AD RMS 的服务发现调用会失败。

重定向授权服务器流量

在某些情况下,可能需要在服务发现期间重定向流量,例如,当两个组织合并后,一个组织中旧的许可服务器已停用并且客户端需要重定向到新的许可服务器时。 或者,从 AD RMS 迁移到 Azure RMS。 若要启用许可重定向,请使用以下过程。

使用注册表启用 RMS Windows重定向

  1. 打开Windows编辑器,Regedit.exe。

  2. 在注册表编辑器中,导航到以下其中一项:

    • 对于 x64 平台上的 64 位Office:HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • 对于 x64 平台上的 32 位Office:HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. 通过右键单击"Servicelocation"创建 LicensingRedirection 子项,指向"新建",单击"密钥",然后键入LicensingRedirection。

  4. 若要设置许可重定向,请右键单击LicensingRedirection子项,选择"新建",然后选择"字符串值"。 对于 "名称",请指定以前的服务器许可 URL,对于 "值 ",请指定新的服务器许可 URL。

    例如,若要将授权从 Contoso.com 服务器重定向到 Fabrikam.com 服务器,可以输入以下值:

    名称

    注意

    如果旧许可服务器同时指定了 Intranet 和 Extranet URL,则必须在 LicensingRedirection 密钥下为这两个 URL 设置新的名称和值映射。

  5. 对需要重定向的所有服务器重复上一步。

  6. 关闭注册表编辑器。