AIP文檔保護(hù)開(kāi)發(fā)記錄，參考自Azure 信息保護(hù)快速入門(mén)教程和Azure 信息保護(hù)開(kāi)發(fā)人員指南

本文主要記錄官方文檔跳坑補(bǔ)充信息，遇到問(wèn)題，查本文檔

AIP的使用

azure入口

https://portal.azure.com

注冊(cè)E5試用帳號(hào)

• 試用帳號(hào)申請(qǐng)成功后，等“Azure subscription is ready ”郵件，之后才能正常使用

激活保護(hù)并配置

注意：全局策略：打開(kāi)“為用戶提供自定義權(quán)限選項(xiàng)”

安裝客戶端

AzInfoProtection.exe安裝失敗，轉(zhuǎn)用AzInfoProtectionScanner.exe安裝成功

安裝失敗可能是因?yàn)?net4.6.2安裝不完整造成，在vs2017安裝選項(xiàng)中會(huì)看到.net4.6.2默認(rèn)部分未安裝

注意以下官方聲明：

Azure 信息保護(hù)客戶端不支持同一臺(tái)計(jì)算機(jī)上的多個(gè) Office 版本。 此客戶端也不支持在 Office 中的不同用戶帳戶之間切換
-- 摘自官方文檔

設(shè)置文檔權(quán)限

• 選擇文件--》右鍵--》分類(lèi)與保護(hù)--》自定義保護(hù)權(quán)限
• 對(duì)于被保護(hù)文檔使用者，需要注冊(cè)AIP帳號(hào)，注冊(cè)地址為：https://aka.ms/rms-signup
  類(lèi)似提示：我已使用 Microsoft Azure 信息保護(hù)對(duì)文件提供保護(hù)。若是首次使用，請(qǐng)參閱這些說(shuō)明：https://aka.ms/rms-signup。

查看已保護(hù)文件

• office文件
  通過(guò)office2013及以上版本軟件查看
• 多用戶切換會(huì)導(dǎo)致受權(quán)用戶無(wú)法打開(kāi)office文檔，這時(shí)可嘗試以下操作：
  • 1.下載RMS Analyzer tool
  • 2.按以下步驟清除緩存:
    • a.刪除文件夾 %localappdata%\Microsoft\MSIPC 和 %localappdata%\Microsoft\MSDRM
    • b.刪除注冊(cè)表:
      HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
    • c.點(diǎn)擊RMS analyzer的“reset”按鈕重置本地的緩存

• 其他類(lèi)型文件(txt\pdf\圖片)
  • 下載 Azure 信息保護(hù)查看器
    • Azure 信息保護(hù)查看器安裝的先解決條件：
      • 1.win7sp1,僅window7(更新win7至最新版即可)
      • 2..net framework4.5.1,(如果未安裝從這里下載)
      • 3.VC運(yùn)行時(shí)，(如果未安裝從這里下載)
      • 如果報(bào)找不到AddDllDirectory在kernel32.dll入口點(diǎn)，請(qǐng)從這里下載patch
    • Azure 信息保護(hù)查看器的用戶切換
      • 官方提供的切換方式
        導(dǎo)航到 %localappdata%\Microsoft\MSIP 并刪除 TokenCache 文件
      • 變通方式
        可以用Azure 信息保護(hù)查看器打開(kāi)一個(gè)無(wú)權(quán)的文件，查看器會(huì)要求你切換用戶

重置本地AIP帳戶：

選擇任一文件--》右鍵--》分類(lèi)與保護(hù)--》幫助與反饋--》重置設(shè)置

開(kāi)發(fā)應(yīng)用程序

此處描述的是運(yùn)行官方Demo AzureIP_Test的環(huán)境部署過(guò)程

安裝SDK

安裝AADRM PowerShell

下載并安裝WindowsAzureADRightsManagementAdministration_x64.exe

安裝MSOnline

以管理員身份運(yùn)行PowerShell,并執(zhí)行以下語(yǔ)句：

install-Module MSOnline  

安裝過(guò)程中選擇[Y]

如果系統(tǒng)提示找不到install-Module，請(qǐng)到官網(wǎng)下載對(duì)應(yīng)當(dāng)前操作系統(tǒng)版本的Windows Management Framework 5.0

獲取租戶 ID

• 操作步驟：
  • 以管理員身份運(yùn)行 PowerShell。
  • 執(zhí)行Import-Module AADRM,導(dǎo)入 RMS 模塊
  • 執(zhí)行Connect-AadrmService –Verbose, 連接到服務(wù)
  • 執(zhí)行Enable-AADRM, 確保已啟用 RMS
  • 執(zhí)行Get-AadrmConfiguration, 獲取租戶 ID
  • 記錄 BPOSId（租戶 ID）、LicensingIntranetDistributionPointUrl、CertificationIntranetDistributionPointUrl值。 后續(xù)步驟中需要使用。如下示例中粗體部分的字段值
  • 從服務(wù)斷開(kāi)連接：Disconnect-AadrmService

BPOSId????????????????????????????????????????????????: (演示值)f3897b21-7d29-47f5-8a42-ab780d3ca758
RightsManagementServiceId??????????????: 61297ce8-a2c2-4631-9816-caa4a31b3217
LicensingIntranetDistributionPointUrl : (演示值)https://61297ce8-a2c2-4631-9816-caa4a31b3217.rms.ap.aadrm.com/_wmcs/licensing
LicensingExtranetDistributionPointUrl : https://61297ce8-a2c2-4631-9816-caa4a31b3217.rms.ap.aadrm.com/_wmcs/licensing
CertificationIntranetDistributionPointUrl : (演示值)https://61297ce8-a2c2-4631-9816-caa4a31b3217.rms.ap.aadrm.com/_wmcs/certification
CertificationExtranetDistributionPointUrl : https://61297ce8-a2c2-4631-9816-caa4a31b3217.rms.ap.aadrm.com/_wmcs/certification

創(chuàng)建服務(wù)主體

• 以管理員身份運(yùn)行 PowerShell
• 執(zhí)行 Import-Module MSOnline
• 執(zhí)行 Connect-MsolService ,連接到在線服務(wù)
• 執(zhí)行 New-MsolServicePrincipal , 創(chuàng)建新服務(wù)主體
• 根據(jù)提示，輸入服務(wù)主體名稱(chēng)(名稱(chēng)不限，自己起)
• 記錄對(duì)稱(chēng)密鑰和應(yīng)用程序主體ID 以供將來(lái)使用。如下示例中粗體部分的字段值

DisplayName: testPrincipal
The following symmetric key was created as one was not supplied (演示值)5GRfvwsmDtllIUacLubiknDh5pWJhuDgG8Zm0H1v+T8=

DisplayName????????????????: testPrincipal
ServicePrincipalNames : {bb6eb829-b4b5-4156-aea0-32088990de64}
ObjectId????????????????????????: 8ff2c193-083c-4037-9cac-01762ef7e1f8
AppPrincipalId???????????????: (演示值)bb6eb829-b4b5-4156-aea0-32088990de64
TrustedForDelegation????: False
AccountEnabled?????????????: True
...

添加注冊(cè)表項(xiàng)

非北美地區(qū)需要添加如下注冊(cè)表項(xiàng)

• 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC或HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC下新建ServiceLocation項(xiàng)
• 在ServiceLocation項(xiàng)下新增EnterpriseCertification項(xiàng)，其(默認(rèn))值為前面記錄下來(lái)的CertificationIntranetDistributionPointUrl的值
• 在ServiceLocation項(xiàng)下新增EnterprisePublishing項(xiàng)，其(默認(rèn))值為前面記錄下來(lái)的LicensingIntranetDistributionPointUrl的值
• 如下圖所示
  
  ServiceLocation.jpg

程序中可設(shè)置的權(quán)限項(xiàng)

AzureIP_test中列出的權(quán)限項(xiàng)和參考連接不完整，準(zhǔn)確的權(quán)限項(xiàng)請(qǐng)參閱為 Azure Rights Management 配置使用權(quán)限

備注：程序代碼中未能找到對(duì)clientID的使用，所以下面注冊(cè)應(yīng)用程序相關(guān)的部分應(yīng)該在本測(cè)試中不需要

注冊(cè)應(yīng)用程序

Azure Active Directory->應(yīng)用注冊(cè)->創(chuàng)建

為應(yīng)用程序添加權(quán)限

• Azure Active Directory->應(yīng)用注冊(cè)->【我的應(yīng)用】切換為【所有應(yīng)用】->選擇應(yīng)用->設(shè)置->所需權(quán)限->添加
• 應(yīng)包含權(quán)限
  • Windows Azure Active Directory
  • Microsoft Rights Management Services
  • Office 365 Management APIs

clientID

將注冊(cè)應(yīng)用程序所得到的application ID(作為client id)和redirectURL寫(xiě)入配置文件

Set-RMSServerAuthentication

在程序調(diào)試不通時(shí)嘗試過(guò)該設(shè)置，不確認(rèn)是否有效
安裝AzInfoProtectionScanner.exe后，該cmd才有效

Set-RMSServerAuthentication -Key 5GRfvwsmDtllIUacLubiknDh5pWJhuDgG8Zm0H1v+T8= -AppPrincipalId bb6eb829-b4b5-4156-aea0-32088990de64 -BposTenantId f3897b21-7d29-47f5-8a42-ab780d3ca758