共用方式為


快速入門:Active Directory Rights Management Server (AD RMS) 保護

本快速入門將示範如何使用 MIP SDK 實作 Active Directory Rights Management Server (AD RMS) 的支援。

注意

本快速入門中所述的步驟僅適用于適用于 C# 的檔案 SDK 或 C++ 和適用于 C++ 的保護 SDK。

必要條件

如果您尚未這麼做,請務必:

服務探索

SDK 會使用 UPN 或郵寄地址尾碼,根據 mip::Identity 提供的 FileEngineSettingsProtectionEngineSettings 進行服務探索。 它會先搜尋網域階層中的 MDE _rmsdisco記錄。 如需該程式的詳細資訊,請檢閱 指定 AD RMS 行動裝置擴充 功能的 DNS SRV 記錄。 如果找不到該 DNS SRV 記錄,則會預設為 Azure 資訊保護服務作為服務位置。

在 C# 中設定檔案 SDK 以使用 AD RMS

如果您的應用程式使用 Active Directory 驗證程式庫 (ADAL) 和 C# 上的檔案 SDK,則需要兩個次要變更。 FileEngineSettings物件和 AuthenticationContext 建構函式必須更新為使用 AD RMS 和 Active Directory 同盟服務 (ADFS) 運作。

如果您已部署行動裝置擴充功能 DNS SRV 記錄,並計畫傳入使用者主體名稱或電子郵件地址, 請遵循使用身分 識別的指示。

更新檔案引擎設定以搭配身分識別使用 AD RMS

如果已發行 MDE 的 DNS SRV 記錄,並且 Microsoft.InformationProtection.Identity 已作為引擎設定的一部分提供,則唯一必要的程式碼變更是設定 FileEngineSettings.ProtectionOnlyEngine = true 。 AD RMS 保護端點不支援此屬性設定為標籤(原則)作業。

// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
     // Provide the identity for service discovery.
     Identity = identity,
     // Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
     ProtectionOnlyEngine = true
};

更新驗證委派

如果您在 .NET 應用程式中使用 ADAL,則必須變更 Microsoft.InformationProtection.AuthDelegate 實作以停用授權單位驗證。 將建構函式中的 設定 validateAuthority 為 false AuthenticationContext 停用授權單位驗證。

AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);

在 C++ 中設定檔案 SDK 以使用 AD RMS

如果您已部署行動裝置擴充功能 DNS SRV 記錄,並計畫傳入使用者主體名稱或電子郵件地址, 請遵循使用身分 識別的指示。

更新 FileEngine::設定以搭配身分識別使用 AD RMS

如果 MDE 的 DNS SRV 記錄已發佈並在 mip::IdentityFileEngine::Settings 提供,則唯一的動作是將引擎設定為僅限保護的引擎。

FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;

在 C++ 中設定保護 SDK 以使用 AD RMS

如果您已部署行動裝置擴充功能 DNS SRV 記錄,並計畫傳入使用者主體名稱或電子郵件地址, 請遵循使用身分 識別的指示。

將 ProtectionEngine::設定 設定為搭配身分識別使用 AD RMS

如果已發佈行動裝置擴充功能的 DNS SRV 記錄,以及 中 ProtectionEngine::Settings 提供的身分識別,則不需要額外的程式碼變更,才能使用 AD RMS。 服務探索會尋找 AD RMS 端點,並將其用於保護作業。

ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");

移除或批註標籤參考

如果您從其中一個快速入門手冊建置應用程式,您會發現您的應用程式具有 或 engine->ListSensitivityLabels(); 格式 fileEngine.SensitivityLabels 的標籤參考。 由於應用程式只設定為保護,因此這些程式碼區塊必須標記為批註或移除,因為執行程式碼會造成例外狀況。

後續步驟

既然您已進行支援 AD RMS 的變更,您的應用程式可以使用 AD RMS 服務作為保護提供者來執行任何僅限保護的作業。