Rights Management服務用戶端部署注意事項

Rights Management Service 用戶端 (RMS 用戶端) 第 2 版也稱為 MSIPC 用戶端。 它是 Windows 電腦軟體,可在內部部署上或雲端中與 Microsoft Rights Management Service 通訊,以在資訊流過應用程式和裝置時,在您組織的界限內或那些受管理界限外,協助保護資訊的存取和使用。

RMS 用戶端可作為選擇性下載,可透過認可並接受其授權合約,自由散發給協力廠商軟體,讓用戶端可以保護及取用Rights Management服務所保護的內容。

轉散發 RMS 用戶端

RMS 用戶端可以免費轉散發,並與其他應用程式和 IT 解決方案組成套件。 如果您是應用程式開發人員或解決方案提供者,而且想要轉散發 RMS 用戶端,您有兩個選項:

  • 建議:將 RMS 用戶端安裝程式嵌入您的應用程式安裝,並以無訊息模式執行 (/quiet 參數,下一節會詳加說明)。

  • 使 RMS 用戶端成為應用程式的必要條件。 使用此選項時,您可能需要為使用者提供其他指示,讓他們可以取得、安裝和更新其電腦與用戶端,然後再使用您的應用程式。

安裝 RMS 用戶端

RMS 用戶端包含在名為setup_msipc_< arch >.exe的安裝程式可執行檔中,其中< arch >是 32 位用戶端電腦的x86 () ,或 64 位用戶端電腦的x64 () 。 64 位 (x64) 安裝程式套件會安裝 32 位執行時間可執行檔,以便與在 64 位作業系統安裝上執行的 32 位應用程式相容,以及支援內建 64 位應用程式的 64 位執行時間可執行檔。 32 位元 (x86) 安裝程式無法執行於 64 位元的 Windows 安裝上。

注意

您必須具備較高的權限,才能安裝 RMS 用戶端,例如本機電腦上的 Administrators 群組成員。

您可以使用下列其中一種安裝方法來安裝 RMS 用戶端:

  • 無訊息模式。 藉由使用 /quiet 參數作為命令列選項的一部分,您可以在電腦上安裝 RMS 用戶端。 下列範例顯示 64 位用戶端電腦上 RMS 用戶端的無訊息模式安裝:

    setup_msipc_x64.exe /quiet
    
  • 互動模式。 或者,您可以使用 RMS 用戶端安裝精靈所提供的 GUI 型安裝程式來安裝 RMS 用戶端。 若要以互動方式安裝,請在本機電腦上複製或下載 RMS 用戶端安裝程式套件 (setup_msipc_< arch >.exe) 。

有關 RMS 用戶端的問題與回答

下節包含有關 RMS 用戶端的常見問題集,以及它們的回答。

哪些作業系統支援 RMS 用戶端?

WINDOWS SERVER 2012和更新版本支援 RMS 用戶端,以及Windows 8.1和更新版本。

哪些處理器或平臺支援 RMS 用戶端?

x86 和 x64 運算平臺支援 RMS 用戶端。

RMS 用戶端安裝在哪裡?

根據預設,RMS 用戶端會安裝在 %ProgramFiles%\Active Directory Rights Management Services Client 2 中。 <次要版本號碼 > 。

哪些檔案與 RMS 用戶端軟體相關聯?

下列檔案會安裝為 RMS 用戶端軟體的一部分:

  • Msipc.dll

  • Ipcsecproc.dll

  • Ipcsecproc_ssp.dll

  • MSIPCEvents.man

除了這些檔案外,RMS 用戶端還會安裝 44 種語言的多語系使用者介面 (MUI) 支援檔案。 若要確認支援的語言,請執行 RMS 用戶端安裝,並在安裝完成時,檢閱預設路徑下多語系支援資料夾的內容。

當安裝支援的作業系統時,預設會包含 RMS 用戶端嗎?

否。 這個版本的 RMS 用戶端會隨附為選擇性下載,可在執行 Microsoft Windows 作業系統支援版本的電腦上個別安裝。

Microsoft update 會自動更新 RMS 用戶端嗎?

如果您已使用無訊息安裝選項來安裝此 RMS 用戶端,則 RMS 用戶端會繼承目前的 Microsoft Update 設定。 如果您已使用 GUI 安裝程式安裝 RMS 用戶端,則 RMS 用戶端安裝精靈會提示您啟用 Microsoft Update。

RMS 用戶端設定

下節包含有關 RMS 用戶端的設定資訊。 如果您有使用 RMS 用戶端的應用程式或服務方面的問題,這項資訊可能很有幫助。

注意

某些設定取決於 RMS 啟用的應用程式是以用戶端應用程式的形式執行, (例如Microsoft Word和Outlook,或是具有Windows 檔案總管) 的 Azure 資訊保護 用戶端,或伺服器模式應用程式 (,例如 SharePoint 和Exchange) 。 在下列資料表中,這些設定會分別識別為用戶端模式伺服器模式

用戶端電腦上 RMS 用戶端儲存授權的位置

RMS 用戶端會將授權儲存在本機磁片上,也會快取Windows登錄中的一些資訊。

Description 用戶端模式路徑 伺服器模式路徑
授權存放區位置 %localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server\< SID >
範本存放區位置 %localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\< SID >
登錄位置 HKEY_CURRENT_USER
\Software
\Classes
\Local Settings
\Software
\Microsoft
\MSIPC
HKEY_CURRENT_USER
\Software
\Microsoft
\MSIPC
\Server
\<希>

注意

< SID> 是伺服器應用程式執行所在帳戶的安全識別碼 (SID) 。 例如,如果應用程式是在內建網路服務帳戶下執行,請將SID 取代 < 為該帳戶的已知 SID >值, (S-1-5-20) 。

RMS 用戶端的 Windows 登錄設定

您可以使用 Windows 登錄機碼,來設定或修改某些 RMS 用戶端組態。 例如,作為與 AD RMS 伺服器通訊並啟用 RMS 之應用程式的系統管理員,您可能會想要更新企業服務位置 (覆寫目前為發行所選取的 AD RMS 伺服器),取決於您的 Active Directory 拓撲內用戶端電腦的目前位置而定。 或者,您可能想要在用戶端電腦上啟用 RMS 追蹤,以協助針對啟用 RMS 的應用程式問題進行疑難排解。 請使用下表來識別您可以對 RMS 用戶端變更的登錄設定。

Task 設定
如果用戶端是 1.03102.0221 版或更新版本:

控制應用程式資料收集
重要:身為系統管理員,為表示尊重使用者隱私權,您必須先徵求使用者的同意才能啟用資料收集。

如果您啟用資料收集,即表示您同意透過網際網路將資料傳送給 Microsoft。 Microsoft 會使用此資訊來提供並改善 Microsoft 產品和服務的品質、安全性與完整性。 比方說,Microsoft 會分析效能及可靠性,例如使用了哪些功能、功能的回應速度、裝置效能、使用者介面互動,以及任何使用產品時的情況。 資料也會包含您的軟體設定的相關資訊,例如目前正在執行的軟體以及 IP 位址。

若為 1.0.3356 版或更新版本:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD:DiagnosticAvailability

若為 1.0.3356 之前的版本:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticState

:0 表示應用程式定義 (預設) ,方法是使用環境屬性 IPC_EI_DATA_COLLECTION_ENABLED,1 表示停用,2 表示已啟用

注意:如果在 64 位元版本的 Windows 上執行 32 位元的 MSIPC 應用程式,位置會在 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC。
僅限 AD RMS:

更新用戶端電腦的企業服務位置
更新下列登錄機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ:default

Value: < HTTP 或 HTTPs > ://RMS_Cluster_Name/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ:default

: < HTTP 或 HTTPs > ://RMS_Cluster_Name/_wmcs/Licensing
啟用和停用追蹤 更新下列登錄機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD: Trace

:1 以啟用追蹤,0 表示停用追蹤 (預設)
變更以天為單位的頻率來重新整理範本 如果未設定 TemplateUpdateFrequencyInSeconds 值,下列登錄值會指定使用者電腦上範本重新整理的頻率。 如果未設定這些值,則使用 RMS 用戶端的應用程式預設重新整理間隔 (1.0.1784.0 版) 下載範本為 1 天。 先前的版本具有每 7 天的預設值。

用戶端模式

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequency

:整數值,指定下載之間至少 1) (1 天的天數。

伺服器模式

<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\SID>
REG_DWORD: TemplateUpdateFrequency

:整數值,指定下載之間至少 1) (1 天的天數。
變更以秒為單位的頻率來重新整理範本

重要:如指定此設定,則會忽略重新整理範本的值 (天)。 指定一個或另一個,而不是兩者。
下列登錄值會指定範本在使用者的電腦上重新整理的頻率。 如果未設定此值或變更以天為單位之頻率 (TemplateUpdateFrequency) 的值,則使用 RMS 用戶端 (版本 1.0.1784.0) 下載範本之應用程式的預設重新整理間隔為 1 天。 先前的版本具有每 7 天的預設值。

用戶端模式

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyInSeconds

:整數值,指定下載之間的最小 1) 秒數 (1 秒數。

伺服器模式

<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\SID>
REG_DWORD: TemplateUpdateFrequencyInSeconds

:整數值,指定下載之間的最小 1) 秒數 (1 秒數。
僅限 AD RMS:

在下次發佈要求時立即下載範本
在測試和評估期間,您可能想要 RMS 用戶端盡快下載範本。 若要進行此設定,請移除下列登錄機碼,RMS 用戶端將在下次發佈要求時立即下載範本,而不會等到 TemplateUpdateFrequency 登錄設定所指定的時間:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<伺服器名稱> \範本

注意: <伺服器名稱> 可以同時有外部 (corprights.contoso.com) 和內部 (公司) URL,因此有兩個不同的專案。
僅限 AD RMS:

啟用同盟驗證的支援
如果 RMS 用戶端電腦使用同盟信任連接至 AD RMS 叢集,您必須設定同盟主領域。

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ: FederationHomeRealm

:此登錄專案的值是同盟服務的統一資源識別項 (URI) (,例如, <http://TreyADFS.trey.net/adfs/services/trust>) 。

注意:對於此值,請務必指定 http,而非 https。 此外,如果在 64 位元版本的 Windows 上執行 32 位元的 MSIPC 應用程式,位置會在 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation。 如需範例組態,請參閱 使用 Active Directory Federation Services 部署 Active Directory Rights Management Services
僅限 AD RMS:

支援需要使用者輸入進行表單型驗證的夥伴同盟伺服器
根據預設,RMS 用戶端會以無訊息模式運作,因此不需要使用者輸入。 不過,夥伴同盟伺服器可能會設定為需要使用者輸入,例如藉由表單型驗證。 在此情況下,您必須設定 RMS 用戶端忽略無訊息模式,讓同盟驗證表單出現在瀏覽器視窗,並升級使用者進行驗證。

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD: EnableBrowser

注意:如果同盟伺服器已設定為使用表單型驗證,則需要此金鑰。 如果同盟伺服器已設定為使用整合式 Windows 驗證,則不需要此金鑰。
僅限 AD RMS:

封鎖 ILS 服務耗用量
根據預設,RMS 用戶端會啟用 ILS 服務所保護的取用內容,但您可以設定下列登錄機碼,將用戶端設定為封鎖這項服務。 如果此登錄機碼設定為封鎖 ILS 服務,只要嘗試開啟並取用由 ILS 服務保護的內容,就會傳回下列錯誤:
HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: DisablePassportCertification

:1 以封鎖 ILS 耗用量,0 允許 ILS 耗用量 (預設)

管理 RMS 用戶端的範本散發

範本讓使用者和系統管理員能夠輕鬆快速地套用 Rights Management 保護,並且使 RMS 用戶端可以自動從其 RMS 伺服器或服務下載範本。 若您將範本置於下列資料夾位置,RMS 用戶端就不會從預設位置下載任何範本,反而會下載您置於此資料夾的範本。 RMS 用戶端可能會繼續從其他可用的 RMS 伺服器下載範本。

用戶端模式: %localappdata%\Microsoft\MSIPC\UnmanagedTemplates

伺服器模式: %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\< SID >

當您使用此資料夾時,除了範本應該由 RMS 伺服器或服務發出,而且它們必須具有.xml副檔名之外,不需要特殊命名慣例。 例如,Contoso Confidential.xml 或 Contoso ReadOnly.xml 是有效的名稱。

僅限 AD RMS:限制 RMS 用戶端使用信任的 AD RMS 伺服器

RMS 用戶端可以限制為只使用特定信任的 AD RMS 伺服器,方法為對本機電腦上的 Windows 登錄進行下列變更。

啟用將 RMS 用戶端限制為僅使用信任的 AD RMS 伺服器

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_DWORD:AllowTrustedServersOnly

    :如果指定了非零值,RMS 用戶端只會信任在 TrustedServers 清單中設定的指定伺服器,以及 Azure Rights Management 服務。

將成員加入至信任的 AD RMS 伺服器的清單

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_SZ:< URL_or_HostName >

    :此登錄機碼位置中的字串值可以是 DNS 功能變數名稱格式 (例如, adrms.contoso.com) 或信任 AD RMS 伺服器的完整 URL (,例如 https://adrms.contoso.com ,) 。 若指定的 URL 開頭為 https://,則 RMS 用戶端會使用 SSL 或 TLS 來連絡指定的 AD RMS 伺服器。

RMS 服務探索

RMS 服務探索可讓 RMS 用戶端在保護內容之前,檢查要與哪一個 RMS 伺服器或服務通訊。 RMS 用戶端取用保護內容時,也可能會發生服務探索,但是很少發生,原因是附加至內容的原則包含慣用的 RMS 伺服器或服務。 只有在這些來源不成功時,用戶端才會執行服務探索。

若要執行服務探索,RMS 用戶端會檢查下列情況:

  1. 本機電腦上的Windows登錄:如果在登錄中設定服務探索設定,則會先嘗試這些設定。

    根據預設,這些設定不會在登錄中設定,但管理員可為 AD RMS 加以設定,如下列章節所述。 管理員通常會在 AD RMS 至 Azure 資訊保護的移轉程序期間,設定 Azure Rights Management 服務的這些設定。

  2. Active Directory Domain Services:已加入網域的電腦會查詢 Active Directory,以取得服務連線點 (SCP)。

    如果已依照下列章節所述登錄 SCP,則 AD RMS 伺服器的 URL 會傳回給 RMS 用戶端,供其使用。

  3. Azure Rights Management 探索服務:RMS 用戶端連線到 https://discover.aadrm.com,它會提示使用者進行驗證。

    驗證成功時,驗證的使用者名稱 (及網域) 會用來識別要使用的 Azure 資訊保護租用戶。 該使用者帳戶所要使用的 Azure 資訊保護 URL 會傳回至 RMS 用戶端。 URL 的格式如下:HTTPs://< YourTenantURL >/_wmcs/licensing

    例如:5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    < YourTenantURL >的格式如下:{GUID}.rms.[Region].aadrm.com。您可以在執行Get-AipServiceConfiguration Cmdlet 時識別RightsManagementServiceId值來找到此值。

注意

此服務探索流程有四個重要例外:

  • 行動裝置最適合使用雲端服務,因此預設會針對 Azure Rights Management 服務使用服務探索 (https://discover.aadrm.com) 。 若要覆寫此預設值,以便行動裝置能使用 AD RMS,而不使用 Azure Rights Management 服務,請在 DNS 中指定 SRV 記錄,並安裝行動裝置延伸模組,如 Active Directory Rights Management Services 行動裝置延伸模組中所述。

  • Azure 資訊保護標籤叫用 Rights Management 服務時,即不會執行服務探索。 相反地,URL 會直接在 Azure 資訊保護原則中所設定的標籤設定中指定。

  • 使用者起始從 Office 應用程式登入時,驗證的使用者名稱 (及網域) 會用來識別要使用的 Azure 資訊保護租用戶。 在此情況下,不需要登錄設定,且不會檢查 SCP。

  • 當您已針對 Office 隨選即用傳統型應用程式設定 DNS 重新導向時,RMS 用戶端會拒絕存取先前找到的 AD RMS 叢集,藉以尋找 Azure 版權管理服務。 這個拒絕動作會觸發用戶端尋找 SRV 記錄,而此記錄可將用戶端重新導向至您租用戶的 Azure Rights Management 服務。 此 SRV 記錄還可讓 Exchange Online 解密受 AD RMS 叢集保護的電子郵件。

僅限 AD RMS:使用 Active Directory 啟用伺服器端服務探索

如果您的帳戶有足夠的許可權 (Enterprise AD RMS 伺服器管理員和本機系統管理員) ,您可以在安裝 AD RMS 根叢集伺服器時,自動 (SCP) 註冊服務連接點。 如果 SCP 已存在於樹系中,您必須先刪除現有的 SCP,才能註冊新的 SCP。

在安裝 AD RMS 之後,您可以使用下列程序,登錄並刪除 SCP。 在開始之前,請確定您的帳戶具有必要的權限 (AD RMS 伺服器的 Enterprise Admins 和本機系統管理員)。

在 Active Directory 中登錄 SCP 以啟用 AD RMS 服務探索

  1. 在 AD RMS 伺服器開啟 Active Directory Management Service 主控台:

    • 針對 Windows Server 2012 R2 或 Windows Server 2012,在 [伺服器管理員] 中,選取 [工具>Active Directory Rights Management Services]。

    • 針對 Windows Server 2008 R2,選取 [啟動>系統管理工具>Active Directory Rights Management Services]。

  2. 在 AD RMS 主控台中,以滑鼠右鍵按一下 AD RMS 叢集,然後按一下 [ 內容]。

  3. 按一下 [SCP] 索引標籤。

  4. 選取 [變更 SCP] 核取方塊。

  5. 選取 [設定 SCP 為目前的憑證叢集] 選項,然後再按一下 [確定]

使用 Windows 登錄啟用用戶端服務探索

作為使用 SCP 或 SCP 不存在時的替代方案,您可以在用戶端電腦上設定登錄,讓 RMS 用戶端可以找出其 AD RMS 伺服器。

使用 Windows 登錄啟用用戶端 AD RMS 服務探索

  1. 開啟 Windows 登錄編輯程式 Regedit.exe:

    • 在用戶端電腦的 [執行] 視窗中,輸入 regedit,然後按 Enter 鍵以開啟登錄編輯器。
  2. 在登錄編輯器中,瀏覽至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC

    注意

    如果您在 64 位元的電腦上執行 32 位元的應用程式,請瀏覽至 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. 若要建立 ServiceLocation 子機碼,請以滑鼠右鍵按一下 [MSIPC]、指向 [新增]、按一下 [機碼],然後輸入 [ServiceLocation]。

  4. 若要建立 EnterpriseCertification 子機碼,請以滑鼠右鍵按一下 [ServiceLocation]、指向 [新增]、按一下 [機碼],然後輸入 [EnterpriseCertification]。

  5. 若要設定企業憑證授權 URL,請按兩下 EnterpriseCertification 子機碼下的 [(預設)] 值。 出現 [編輯字串] 對話方塊時,請為 [數值資料] 鍵入 <http or https>://<AD RMS_cluster_name>/_wmcs/Certification,然後按一下 [確定]

  6. 若要建立 EnterprisePublishing 子機碼,請以滑鼠右鍵按一下 [ServiceLocation]、指向 [新增]、按一下 [機碼],然後輸入 EnterprisePublishing

  7. 若要設定企業發佈 URL,請按兩下 EnterprisePublishing子機碼下的 [(預設)] 值。 出現 [編輯字串] 對話方塊時,請為 [數值資料] 鍵入 <http or https>://<AD RMS_cluster_name>/_wmcs/Licensing,然後按一下 [確定]

  8. 關閉登錄編輯器。

若 RMS 用戶端無法透過查詢 Active Directory 找到 SCP,且未在登錄中予以指定,則 AD RMS 的服務探索呼叫將會失敗。

重新導向授權伺服器流量

在某些情況下,您可能需要在服務探索期間重新導向流量,例如,當兩個組織合併,而且某個組織中的舊授權伺服器已停用,因此用戶端需要重新導向至新的授權伺服器時。 或者,從 AD RMS 移轉至 Azure RMS。 若要啟用授權重新導向,請使用下列程序。

使用 Windows 登錄啟用 RMS 授權重新導向

  1. 開啟 Windows 登錄編輯程式 Regedit.exe。

  2. 在登錄編輯器中,瀏覽至下列其中一項:

    • x64 平台上的 64 位元版本 Office︰HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • x64 平台上的 32 位元版本 Office︰HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. 建立一個 LicensingRedirection 子機碼,方法為以滑鼠右鍵按一下 [Servicelocation]、指向 [新增]、按一下 [機碼],然後輸入 [LicensingRedirection]。

  4. 若要設定授權重新導向,請以滑鼠右鍵按一下 [LicensingRedirection] 子機碼,選取 [新增],然後選取 [字串值]。 對於 [名稱],請指定先前伺服器授權 URL,對於 [值],請指定新的伺服器授權 URL。

    例如,若要將授權從 Contoso.com 的伺服器重新導向至 Fabrikam.com 的伺服器,您可能要輸入下列值:

    名稱https://contoso.com/_wmcs/licensing

    https://fabrikam.com/_wmcs/licensing

    注意

    如果舊授權伺服器同時指定了內部網路和外部網路 URL,則必須在 LicensingRedirection 機碼下,對這兩個 URL 設定新的名稱和值對應。

  5. 針對需要重新導向的所有伺服器重複上一個步驟。

  6. 關閉 [登錄編輯程式]。