Rights Management Service 用戶端部署注意事項
Rights Management Service 用戶端 (RMS 用戶端) 第 2 版也稱為 MSIPC 用戶端。 它是 Windows 電腦的軟體,可與內部部署或雲端中的 Microsoft Rights Management 服務通訊,以協助保護資訊在應用程式與裝置、組織界限內或超出這些受管理界限時,存取和使用資訊。
RMS 用戶端可作為 選擇性下載 ,可透過認可並接受其授權合約,與協力廠商軟體自由散發,讓用戶端可以保護及取用 Rights Management 服務所保護的內容。
轉散發 RMS 用戶端
RMS 用戶端可以自由地轉散發,並與其他應用程式和 IT 解決方案搭配使用。 如果您是應用程式開發人員或解決方案提供者,而且想要重新發佈 RMS 用戶端,您有兩個選項:
建議:在應用程式安裝中內嵌 RMS 用戶端安裝程式,並以無訊息模式執行它( 下一節詳述的 /quiet 參數)。
讓 RMS 用戶端成為應用程式的必要條件。 使用此選項時,您可能需要為使用者提供其他指示,讓他們使用用戶端取得、安裝及更新電腦,才能使用您的應用程式。
安裝 RMS 用戶端
RMS 用戶端包含在名為 setup_msipc_ < arch.exe > 的安裝程式可執行檔中,其中 < arch > 是 x86 (適用于 32 位用戶端電腦)或 x64(適用于 64 位用戶端電腦)。 64 位 (x64) 安裝程式套件會安裝 32 位執行時間可執行檔,以便與在 64 位作業系統安裝上執行的 32 位應用程式相容,以及支援內建 64 位應用程式的 64 位執行時間可執行檔。 32 位 (x86) 安裝程式不會在 64 位 Windows 安裝上執行。
注意
您必須擁有更高的許可權才能安裝 RMS 用戶端,例如本機電腦上管理員istrators 群組的成員。
您可以使用下列任一安裝方法來安裝 RMS 用戶端:
無訊息模式。 您可以使用 /quiet 參數作為命令列選項的一部分,以無訊息方式在電腦上安裝 RMS 用戶端。 下列範例顯示 64 位用戶端電腦上 RMS 用戶端的無訊息模式安裝:
setup_msipc_x64.exe /quiet
互動式模式。 或者,您可以使用 RMS 用戶端安裝精靈所提供的 GUI 型安裝程式來安裝 RMS 用戶端。 若要以互動方式安裝,請在本機電腦上複製或下載的資料夾中按兩下 RMS 用戶端安裝程式套件 ( setup_msipc_ < arch.exe > )。
RMS 用戶端的相關問題和解答
下一節包含有關 RMS 用戶端的常見問題及其解答。
哪些作業系統支援 RMS 用戶端?
Windows Server 2012 和更新版本以及 Windows 8.1 和更新版本都支援 RMS 用戶端。
哪些處理器或平臺支援 RMS 用戶端?
x86 和 x64 運算平臺支援 RMS 用戶端。
安裝 RMS 用戶端的位置?
根據預設,RMS 用戶端會安裝在 %ProgramFiles%\Active Directory Rights Management Services 用戶端 2 中。 <次要版本號碼 > 。
哪些檔案與 RMS 用戶端軟體相關聯?
下列檔案會安裝為 RMS 用戶端軟體的一部分:
Msipc.dll
Ipcsecproc.dll
Ipcsecproc_ssp.dll
MSIPCEvents.man
除了這些檔案之外,RMS 用戶端也會以 44 種語言安裝多語系使用者介面 (MUI) 支援檔案。 若要確認支援的語言,請執行 RMS 用戶端安裝,並在安裝完成時,檢閱預設路徑下多語系支援資料夾的內容。
安裝支援的作業系統時,預設是否包含 RMS 用戶端?
否。 此版本的 RMS 用戶端隨附為選擇性下載,可個別安裝在執行受支援 Microsoft Windows 作業系統版本的電腦上。
RMS 用戶端是否由 Microsoft Update 自動更新?
如果您使用無訊息安裝選項安裝此 RMS 用戶端,RMS 用戶端會繼承您目前的 Microsoft Update 設定。 如果您使用 GUI 型安裝程式安裝 RMS 用戶端,RMS 用戶端安裝精靈會提示您啟用 Microsoft Update。
RMS 用戶端設定
下一節包含 RMS 用戶端的設定資訊。 如果您有使用 RMS 用戶端的應用程式或服務有問題,這項資訊可能會很有説明。
注意
某些設定取決於啟用 RMS 的應用程式是以用戶端模式應用程式執行(例如 Microsoft Word 和 Outlook,或 Azure 資訊保護用戶端搭配 Windows 檔案總管),還是伺服器模式應用程式(例如 SharePoint 和 Exchange)。 在下表中,這些設定會分別識別為 用戶端模式 和 伺服器模式 。
RMS 用戶端在用戶端電腦上儲存授權的位置
RMS 用戶端會將授權儲存在本機磁片上,也會在 Windows 登錄中快取一些資訊。
描述 | 用戶端模式路徑 | 伺服器模式路徑 |
---|---|---|
授權存放區位置 | %localappdata%\Microsoft\MSIPC | %allusersprofile%\Microsoft\MSIPC\Server\ < SID> |
範本存放區位置 | %localappdata%\Microsoft\MSIPC\Templates | %allusersprofile%\Microsoft\MSIPC\Server\ < SID> |
登錄位置 | HKEY_CURRENT_USER \Software \Classes \Local Settings \Software \Microsoft \MSIPC |
HKEY_CURRENT_USER \Software \Microsoft \MSIPC \Server \<SID> |
注意
<SID > 是伺服器應用程式執行所在的帳戶的安全識別碼 (SID)。 例如,如果應用程式是在內建網路服務帳戶下執行,請將 SID > 取代 < 為該帳戶已知 SID 的值(S-1-5-20)。
RMS 用戶端的 Windows 登錄設定
您可以使用 Windows 登錄機碼來設定或修改某些 RMS 用戶端組態。 例如,身為與 AD RMS 伺服器通訊之 RMS 覺察型應用程式的系統管理員,根據用戶端電腦在 Active Directory 拓撲中的目前位置,您可能想要更新企業服務位置(覆寫目前選取發行的 AD RMS 伺服器)。 或者,您可能想要在用戶端電腦上啟用 RMS 追蹤,以協助針對啟用 RMS 的應用程式問題進行疑難排解。 使用下表來識別您可以針對 RMS 用戶端變更的登錄設定。
Task | 設定 |
---|---|
如果用戶端是 1.03102.0221 版或更新版本: 控制應用程式資料收集 |
重要 :為了遵守使用者隱私權,身為系統管理員,必須先要求使用者同意,才能啟用資料收集。 如果您啟用資料收集,表示同意透過網際網路將資料傳送給 Microsoft。 Microsoft 會使用此資料來提供及改善 Microsoft 產品和服務的品質、安全性和完整性。 例如,Microsoft 會分析效能和可靠性,例如您使用的功能、功能回應速度、裝置效能、使用者介面互動的速度,以及您產品遇到的任何問題。 資料也包含軟體設定的相關資訊,例如您目前正在執行的軟體,以及 IP 位址。 針對 1.0.3356 版或更新版本: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC REG_DWORD:DiagnosticAvailability 針對 1.0.3356 之前的版本: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC REG_DWORD:DiagnosticState 值 :使用環境屬性 IPC_EI_DATA_COLLECTION_ENABLED 為 0,1 表示停用,2 表示已啟用 注意 :如果您的 32 位 MSIPC 型應用程式是在 64 位版本的 Windows 上執行,位置會HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC。 |
僅限 AD RMS: 更新用戶端電腦的企業服務位置 |
更新下列登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification REG_SZ:default Value : < HTTP 或 HTTPs > :// RMS_Cluster_Name/_wmcs /Certification HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing REG_SZ:default 值 : < HTTP 或 HTTPs > :// RMS_Cluster_Name/_wmcs /Licensing |
啟用和停用追蹤 | 更新下列登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC REG_DWORD:追蹤 值 :1 以啟用追蹤,0 表示停用追蹤(預設值) |
若要變更天數的頻率以重新整理範本 | 如果未設定 TemplateUpdateFrequencyInSeconds 值,下列登錄值會指定使用者電腦上範本重新整理的頻率。 如果未設定這些值,則使用 RMS 用戶端的應用程式預設重新整理間隔為 1.0.1784.0 版,下載範本為 1 天。 舊版每 7 天有一個預設值。 用戶端模式 : HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC REG_DWORD:TemplateUpdateFrequency 值 :整數值,指定下載之間的天數(最小值為 1)。 伺服器模式 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\ < SID> REG_DWORD:TemplateUpdateFrequency 值 :整數值,指定下載之間的天數(最小值為 1)。 |
若要以秒為單位變更頻率以重新整理範本 重要:如果指定此設定,則會忽略以天為單位重新整理範本的值。 指定一個或另一個,而不是兩者。 |
下列登錄值會指定範本在使用者電腦上重新整理的頻率。 如果未設定此值或要變更天數頻率的值(TemplateUpdateFrequency),則使用 RMS 用戶端 (1.0.1784.0 版) 下載範本的應用程式預設重新整理間隔為 1 天。 舊版每 7 天有一個預設值。 用戶端模式 : HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC REG_DWORD:TemplateUpdateFrequencyInSeconds 值 :整數值,指定下載之間的秒數(最小值為 1)。 伺服器模式 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\ < SID> REG_DWORD:TemplateUpdateFrequencyInSeconds 值 :整數值,指定下載之間的秒數(最小值為 1)。 |
僅限 AD RMS: 在下一個發佈要求中立即下載範本 |
在測試和評估期間,您可能會希望 RMS 用戶端儘快下載範本。 針對此設定,請移除下列登錄機碼,然後 RMS 用戶端在下一個發佈要求中立即下載範本,而不是等待 TemplateUpdateFrequency 登錄設定所指定的時間: HKEY_CURRENT_USER\Software\Classes\Local 設定\Software\Microsoft\MSIPC\ < Server Name > \Template 注意 : < 伺服器名稱 > 可以同時具有外部 (corprights.contoso.com) 和內部 (corprights) URL,因此有兩個不同的專案。 |
僅限 AD RMS: 啟用同盟驗證的支援 |
如果 RMS 用戶端電腦使用同盟信任連線到 AD RMS 叢集,您必須設定同盟主領域。 HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation REG_SZ:FederationHomeRealm 值 :此登錄專案的值是同盟服務的統一資源識別項(URI),例如 <http://TreyADFS.trey.net/adfs/services/trust> 。注意 :請務必為此值指定 HTTP 而非 HTTPs。 此外,如果您的 32 位 MSIPC 型應用程式是在 64 位版本的 Windows 上執行,位置會HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation。 如需設定範例,請參閱 使用 Active Directory 同盟服務 部署 Active Directory Rights Management Services。 |
僅限 AD RMS: 支援需要表單式驗證才能輸入使用者輸入的合作夥伴同盟伺服器 |
根據預設,RMS 用戶端會以無訊息模式運作,不需要使用者輸入。 不過,夥伴同盟伺服器可能會設定為需要使用者輸入,例如藉由表單型驗證。 在此情況下,您必須將 RMS 用戶端設定為忽略無訊息模式,讓同盟驗證表單出現在瀏覽器視窗中,並升級使用者進行驗證。 HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation REG_DWORD:EnableBrowser 注意 :如果同盟伺服器設定為使用表單型驗證,則需要此金鑰。 如果同盟伺服器設定為使用整合式Windows 驗證,則不需要此金鑰。 |
僅限 AD RMS: 封鎖 ILS 服務耗用量 |
根據預設,RMS 用戶端會啟用使用 ILS 服務所保護的內容,但您可以設定用戶端來封鎖此服務,方法是設定下列登錄機碼。 如果此登錄機碼設定為封鎖 ILS 服務,則任何嘗試開啟及取用 ILS 服務所保護的內容都會傳回下列錯誤: HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY) HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC REG_DWORD: DisablePassportCertification 值 :1 以封鎖 ILS 耗用量,0 表示允許 ILS 耗用量 (預設值) |
管理 RMS 用戶端的範本發佈
範本可讓使用者和系統管理員輕鬆地快速套用 Rights Management 保護,而 RMS 用戶端會自動從其 RMS 伺服器或服務下載範本。 如果您將範本放在下列資料夾位置,RMS 用戶端不會從預設位置下載任何範本,而是下載您放入此資料夾的範本。 RMS 用戶端可能會繼續從其他可用的 RMS 伺服器下載範本。
用戶端模式 :%localappdata%\Microsoft\MSIPC\UnmanagedTemplates
伺服器模式 : %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\ < SID>
當您使用此資料夾時,除了範本應該由 RMS 伺服器或服務發出,而且它們必須具有 .xml 副檔名之外,不需要特殊命名慣例。 例如,Contoso-Confidential.xml 或 Contoso-ReadOnly.xml 是有效的名稱。
僅限 AD RMS:限制 RMS 用戶端使用受信任的 AD RMS 伺服器
RMS 用戶端只能使用特定的受信任 AD RMS 伺服器,方法是對本機電腦上的 Windows 登錄進行下列變更。
啟用限制 RMS 用戶端只使用受信任的 AD RMS 伺服器
HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\
REG_DWORD:AllowTrustedServersOnly
值 :如果指定了非零值,RMS 用戶端只會信任在 TrustedServers 清單和 Azure Rights Management 服務中設定的指定伺服器。
將成員新增至受信任的 AD RMS 伺服器清單
HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\
REG_SZ: < URL_or_HostName>
值 :此登錄機碼位置中的字串值可以是 DNS 功能變數名稱格式(例如, adrms.contoso.com )或信任 AD RMS 伺服器的完整 URL(例如 ,
https://adrms.contoso.com
。 如果指定的 URL 開頭 為 HTTPs:// ,RMS 用戶端會使用 SSL 或 TLS 來連絡指定的 AD RMS 伺服器。
RMS 服務探索
RMS 服務探索可讓 RMS 用戶端在保護內容之前,先檢查要與哪個 RMS 伺服器或服務通訊。 當 RMS 用戶端取用受保護的內容時,也會發生服務探索,但這類探索不太可能發生,因為附加至內容的原則包含慣用的 RMS 伺服器或服務。 只有當這些來源失敗時,用戶端才會執行服務探索。
若要執行服務探索,RMS 用戶端會檢查下列各項:
本機電腦上的 Windows 登錄:如果在登錄中設定服務探索設定,則會先嘗試這些設定。
根據預設,這些設定不會在登錄中設定,但系統管理員可以將這些設定設定為 AD RMS,如下一 節 所述。 系統管理員通常會在從 AD RMS 移轉至 Azure 資訊保護期間 ,為 Azure Rights Management 服務設定這些設定。
Active Directory 網域服務:已加入網域的電腦會查詢 Active Directory 以取得服務連接點 (SCP)。
如果 SCP 註冊為下一節 所述 ,AD RMS 伺服器的 URL 會傳回至要使用的 RMS 用戶端。
Azure Rights Management 探索服務 :RMS 用戶端會連線到
https://discover.aadrm.com
,這會提示使用者進行驗證。驗證成功時,會使用驗證的使用者名稱(和網域)來識別要使用的 Azure 資訊保護租使用者。 要用於該使用者帳戶的 Azure 資訊保護 URL 會傳回給 RMS 用戶端。 URL 的格式如下: HTTPs:// < YourTenantURL > /_wmcs/licensing
例如:5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
<YourTenantURL > 的格式如下: {GUID}.rms.[Region].aadrm.com 。您可以在執行 Get-AipServiceConfiguration Cmdlet 時識別 RightsManagementServiceId 值來尋找此值。
注意
此服務探索流程有四個重要的例外狀況:
行動裝置最適合使用雲端服務,因此預設會使用 Azure Rights Management 服務的服務探索 ( https://discover.aadrm.com )。 若要覆寫此預設值,讓行動裝置使用 AD RMS 而非 Azure Rights Management 服務,請在 DNS 中指定 SRV 記錄,並安裝行動裝置擴充功能,如 Active Directory Rights Management Services 行動裝置延伸模組 中所述 。
當 Azure 資訊保護 標籤叫用 Rights Management 服務時,不會執行服務探索。 相反地,URL 會直接在 Azure 資訊保護 原則中設定的標籤設定中指定。
當使用者從Office 應用程式lication 起始登入時,會使用驗證的使用者名稱(和網域)來識別要使用的 Azure 資訊保護租使用者。 在此情況下,不需要登錄設定,而且不會檢查 SCP。
當您設定 Office 隨選即用傳統型應用程式的 DNS 重新 導向時,RMS 用戶端會拒絕存取先前找到的 AD RMS 叢集,以尋找 Azure Rights Management 服務。 此拒絕動作會觸發用戶端尋找 SRV 記錄,以將用戶端重新導向至租使用者的 Azure Rights Management 服務。 此 SRV 記錄也可讓 Exchange Online 解密受 AD RMS 叢集保護的電子郵件。
僅限 AD RMS:使用 Active Directory 啟用伺服器端服務探索
如果您的帳戶具有足夠的許可權(AD RMS 伺服器的 Enterprise 管理員 和本機系統管理員),您可以在安裝 AD RMS 根叢集伺服器時自動註冊服務連接點 (SCP)。 如果樹系中已經有 SCP,您必須先刪除現有的 SCP,才能註冊新的 SCP。
您可以使用下列程式,在安裝 AD RMS 之後註冊和刪除 SCP。 開始之前,請確定您的帳戶具有 AD RMS 伺服器所需的許可權(企業管理員和本機系統管理員)。
在 Active Directory 中登錄 SCP 以啟用 AD RMS 服務探索
在 AD RMS 伺服器上開啟 Active Directory Management Services 主控台:
針對 Windows Server 2012 R2 或 Windows Server 2012,在 [伺服器管理員] 中,選取 [工具 > Active Directory Rights Management Services]。
針對 [Windows Server 2008 R2],選取 [ 開始 > 管理員工具 > Active Directory Rights Management Services]。
在 AD RMS 主控台中,以滑鼠右鍵按一下 AD RMS 叢集,然後按一下 [ 內容 ]。
按一下 [SCP ] 索引 標籤。
選取 [ 變更 SCP] 核取方塊。
選取 [ 將 SCP 設定為目前的認證叢集 ] 選項,然後按一下 [ 確定 ]。
使用 Windows 登錄啟用用戶端服務探索
除了使用 SCP 或 SCP 不存在的地方,您也可以在用戶端電腦上設定登錄,讓 RMS 用戶端可以找到其 AD RMS 伺服器。
若要使用 Windows 登錄啟用用戶端 AD RMS 服務探索
開啟 Windows 登錄編輯器 Regedit.exe:
- 在用戶端電腦的 [執行] 視窗中,輸入 regedit ,然後按 Enter 以開啟登錄編輯程式。
在登錄編輯程式中,流覽至 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC ]。
注意
如果您在 64 位電腦上執行 32 位應用程式,請流覽至 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC
若要建立 ServiceLocation 子機碼,請以滑鼠右鍵按一下 MSIPC ,指向 [ 新增 ],按一下 [金鑰 ],然後輸入 ServiceLocation 。
若要建立 EnterpriseCertification 子機碼,請以滑鼠右鍵按一下 [ServiceLocation ],指向 [ 新增 ],按一下 [金鑰 ],然後輸入 EnterpriseCertification 。
若要設定企業認證 URL,請按兩下 EnterpriseCertification 子機碼下的 [預設值] 值。 出現 [ 編輯字串 ] 對話方塊時,針對 [值] 資料 輸入
<http or https>://<AD RMS_cluster_name>/_wmcs/Certification
,然後按一下 [ 確定 ]。若要建立 EnterprisePublishing 子機碼,請以滑鼠右鍵按一下 ServiceLocation ,指向 [ 新增 ],按一下 [金鑰 ],然後輸入
EnterprisePublishing
。若要設定企業發佈 URL,請在 EnterprisePublishing 子機碼下 按兩下 [預設值 ]。 出現 [ 編輯字串 ] 對話方塊時,針對 [值] 資料 輸入
<http or https>://<AD RMS_cluster_name>/_wmcs/Licensing
,然後按一下 [ 確定 ]。關閉登錄編輯器。
如果 RMS 用戶端無法藉由查詢 Active Directory 而找不到 SCP,且未在登錄中指定,AD RMS 的服務探索呼叫就會失敗。
重新導向授權伺服器流量
在某些情況下,您可能需要在服務探索期間重新導向流量,例如,當合併兩個組織且一個組織中的舊授權伺服器已淘汰,且用戶端必須重新導向至新的授權伺服器時。 或者,您可以從 AD RMS 移轉至 Azure RMS。 若要啟用授權重新導向,請使用下列程序。
若要使用 Windows 登錄啟用 RMS 授權重新導向
開啟 Windows 登錄編輯器 Regedit.exe。
在 [登錄編輯程式] 中,流覽至下列其中一項:
x64 平臺上的 64 位 Office 版本:HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation
x64 平臺上的 32 位 Office 版本:HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation
以滑鼠右鍵按一下 Servicelocation ,按一下 [ 新增 ],按一下 [金鑰],然後輸入 LicensingRedirection,以建立 LicensingRedirection 子機碼 。
若要設定授權重新導向,請以滑鼠右鍵按一下 LicensingRedirection 子機碼,選取 [新增 ],然後選取 [ 字串] 值 。 針對 [ 名稱 ],指定先前的伺服器授權 URL,而 [ 值 ] 指定新的伺服器授權 URL。
例如,若要將授權從 Contoso.com 的伺服器重新導向至 Fabrikam.com 的伺服器,您可能要輸入下列值:
名稱:
https://contoso.com/_wmcs/licensing
值:
https://fabrikam.com/_wmcs/licensing
注意
如果舊的授權伺服器同時指定內部網路和外部網路 URL,則必須針對 LicensingRedirection 金鑰下的 這兩個 URL 設定新的名稱和值對應。
針對需要重新導向的所有伺服器重複上一個步驟。
關閉登錄編輯程式。