AIP文檔保護開發(fā)記錄晃洒，參考自Azure 信息保護快速入門教程和Azure 信息保護開發(fā)人員指南

本文主要記錄官方文檔跳坑補充信息剥槐，遇到問題唱歧，查本文檔

AIP的使用

azure入口

https://portal.azure.com

注冊E5試用帳號

• 試用帳號申請成功后，等“Azure subscription is ready ”郵件粒竖，之后才能正常使用

激活保護并配置

注意：全局策略：打開“為用戶提供自定義權(quán)限選項”

安裝客戶端

AzInfoProtection.exe安裝失敗颅崩，轉(zhuǎn)用AzInfoProtectionScanner.exe安裝成功

安裝失敗可能是因為.net4.6.2安裝不完整造成，在vs2017安裝選項中會看到.net4.6.2默認部分未安裝

注意以下官方聲明：

Azure 信息保護客戶端不支持同一臺計算機上的多個 Office 版本温圆。 此客戶端也不支持在 Office 中的不同用戶帳戶之間切換
-- 摘自官方文檔

設(shè)置文檔權(quán)限

• 選擇文件--》右鍵--》分類與保護--》自定義保護權(quán)限
• 對于被保護文檔使用者挨摸，需要注冊AIP帳號，注冊地址為：https://aka.ms/rms-signup
  類似提示：我已使用 Microsoft Azure 信息保護對文件提供保護岁歉。若是首次使用得运，請參閱這些說明：https://aka.ms/rms-signup。

查看已保護文件

• office文件
  通過office2013及以上版本軟件查看
• 多用戶切換會導(dǎo)致受權(quán)用戶無法打開office文檔锅移，這時可嘗試以下操作：
  • 1.下載RMS Analyzer tool
  • 2.按以下步驟清除緩存:
    • a.刪除文件夾 %localappdata%\Microsoft\MSIPC 和 %localappdata%\Microsoft\MSDRM
    • b.刪除注冊表:
      HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
    • c.點擊RMS analyzer的“reset”按鈕重置本地的緩存

• 其他類型文件(txt\pdf\圖片)
  • 下載 Azure 信息保護查看器
    • Azure 信息保護查看器安裝的先解決條件：
      • 1.win7sp1,僅window7(更新win7至最新版即可)
      • 2..net framework4.5.1,(如果未安裝從這里下載)
      • 3.VC運行時熔掺，(如果未安裝從這里下載)
      • 如果報找不到AddDllDirectory在kernel32.dll入口點，請從這里下載patch
    • Azure 信息保護查看器的用戶切換
      • 官方提供的切換方式
        導(dǎo)航到 %localappdata%\Microsoft\MSIP 并刪除 TokenCache 文件
      • 變通方式
        可以用Azure 信息保護查看器打開一個無權(quán)的文件非剃，查看器會要求你切換用戶

重置本地AIP帳戶：

選擇任一文件--》右鍵--》分類與保護--》幫助與反饋--》重置設(shè)置

開發(fā)應(yīng)用程序

此處描述的是運行官方Demo AzureIP_Test的環(huán)境部署過程

安裝SDK

安裝AADRM PowerShell

下載并安裝WindowsAzureADRightsManagementAdministration_x64.exe

安裝MSOnline

以管理員身份運行PowerShell,并執(zhí)行以下語句：

install-Module MSOnline  

安裝過程中選擇[Y]

如果系統(tǒng)提示找不到install-Module置逻，請到官網(wǎng)下載對應(yīng)當(dāng)前操作系統(tǒng)版本的Windows Management Framework 5.0

獲取租戶 ID

• 操作步驟：
  • 以管理員身份運行 PowerShell。
  • 執(zhí)行Import-Module AADRM,導(dǎo)入 RMS 模塊
  • 執(zhí)行Connect-AadrmService –Verbose, 連接到服務(wù)
  • 執(zhí)行Enable-AADRM, 確保已啟用 RMS
  • 執(zhí)行Get-AadrmConfiguration, 獲取租戶 ID
  • 記錄 BPOSId（租戶 ID）备绽、LicensingIntranetDistributionPointUrl券坞、CertificationIntranetDistributionPointUrl值。 后續(xù)步驟中需要使用肺素。如下示例中粗體部分的字段值
  • 從服務(wù)斷開連接：Disconnect-AadrmService

BPOSId????????????????????????????????????????????????: (演示值)f3897b21-7d29-47f5-8a42-ab780d3ca758
RightsManagementServiceId??????????????: 61297ce8-a2c2-4631-9816-caa4a31b3217
LicensingIntranetDistributionPointUrl : (演示值)https://61297ce8-a2c2-4631-9816-caa4a31b3217.rms.ap.aadrm.com/_wmcs/licensing
LicensingExtranetDistributionPointUrl : https://61297ce8-a2c2-4631-9816-caa4a31b3217.rms.ap.aadrm.com/_wmcs/licensing
CertificationIntranetDistributionPointUrl : (演示值)https://61297ce8-a2c2-4631-9816-caa4a31b3217.rms.ap.aadrm.com/_wmcs/certification
CertificationExtranetDistributionPointUrl : https://61297ce8-a2c2-4631-9816-caa4a31b3217.rms.ap.aadrm.com/_wmcs/certification

創(chuàng)建服務(wù)主體

• 以管理員身份運行 PowerShell
• 執(zhí)行 Import-Module MSOnline
• 執(zhí)行 Connect-MsolService ,連接到在線服務(wù)
• 執(zhí)行 New-MsolServicePrincipal , 創(chuàng)建新服務(wù)主體
• 根據(jù)提示恨锚，輸入服務(wù)主體名稱(名稱不限，自己起)
• 記錄對稱密鑰和應(yīng)用程序主體ID 以供將來使用倍靡。如下示例中粗體部分的字段值

DisplayName: testPrincipal
The following symmetric key was created as one was not supplied (演示值)5GRfvwsmDtllIUacLubiknDh5pWJhuDgG8Zm0H1v+T8=

DisplayName????????????????: testPrincipal
ServicePrincipalNames : {bb6eb829-b4b5-4156-aea0-32088990de64}
ObjectId????????????????????????: 8ff2c193-083c-4037-9cac-01762ef7e1f8
AppPrincipalId???????????????: (演示值)bb6eb829-b4b5-4156-aea0-32088990de64
TrustedForDelegation????: False
AccountEnabled?????????????: True
...

添加注冊表項

非北美地區(qū)需要添加如下注冊表項

• 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC或HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC下新建ServiceLocation項
• 在ServiceLocation項下新增EnterpriseCertification項猴伶，其(默認)值為前面記錄下來的CertificationIntranetDistributionPointUrl的值
• 在ServiceLocation項下新增EnterprisePublishing項，其(默認)值為前面記錄下來的LicensingIntranetDistributionPointUrl的值
• 如下圖所示
  
  ServiceLocation.jpg

程序中可設(shè)置的權(quán)限項

AzureIP_test中列出的權(quán)限項和參考連接不完整塌西，準(zhǔn)確的權(quán)限項請參閱為 Azure Rights Management 配置使用權(quán)限

備注：程序代碼中未能找到對clientID的使用他挎，所以下面注冊應(yīng)用程序相關(guān)的部分應(yīng)該在本測試中不需要

注冊應(yīng)用程序

Azure Active Directory->應(yīng)用注冊->創(chuàng)建

為應(yīng)用程序添加權(quán)限

• Azure Active Directory->應(yīng)用注冊->【我的應(yīng)用】切換為【所有應(yīng)用】->選擇應(yīng)用->設(shè)置->所需權(quán)限->添加
• 應(yīng)包含權(quán)限
  • Windows Azure Active Directory
  • Microsoft Rights Management Services
  • Office 365 Management APIs

clientID

將注冊應(yīng)用程序所得到的application ID(作為client id)和redirectURL寫入配置文件

Set-RMSServerAuthentication

在程序調(diào)試不通時嘗試過該設(shè)置，不確認是否有效
安裝AzInfoProtectionScanner.exe后捡需，該cmd才有效

Set-RMSServerAuthentication -Key 5GRfvwsmDtllIUacLubiknDh5pWJhuDgG8Zm0H1v+T8= -AppPrincipalId bb6eb829-b4b5-4156-aea0-32088990de64 -BposTenantId f3897b21-7d29-47f5-8a42-ab780d3ca758