이 빠른 시작에서는 MIP SDK를 사용하여 AD RMS(Active Directory Rights Management Server)에 대한 지원을 구현하는 방법을 보여 줍니다.
비고
이 빠른 시작에 설명된 단계는 C# 또는 C++용 파일 SDK 및 C++용 보호 SDK에만 적용됩니다.
필수 조건
이미 하지 않았다면, 반드시 다음을 수행하세요:
- 빠른 시작 완료: 먼저 시작 Visual Studio 솔루션을 빌드하는 클라이언트 애플리케이션 초기화(C++) .
- 전체 빠른 시작: 민감도 레이블 나열(C++) 또는 빠른 시작: 민감도 레이블 나열(C#)
- 모바일 디바이스 확장을 사용하여 AD RMS를 배포합니다.
- 필요에 따라 AD RMS MDE에 대한 DNS SRV 레코드 가 게시되었는지 확인합니다.
서비스 검색
MIP SDK는 서비스 URL이 명시적으로 제공되지 않은 경우 또는 FileEngine해당 서비스에 대한 ProtectionEngine 온-프레미스 서비스 엔드포인트를 자동으로 검색합니다. UPN 또는 메일 주소 접미사를 통해 FileEngineSettings 또는 ProtectionEngineSettings 사용하여 제공된 사용자 ID를 사용합니다. 먼저 도메인 계층에서 MDE에 대한 _rmsdisco 레코드를 검색합니다. 해당 프로세스에 대한 자세한 내용은 AD RMS 모바일 디바이스 확장에 대한 DNS SRV 레코드 지정을 검토하세요. DNS SRV 레코드를 찾을 수 없으면 기본적으로 Microsoft Purview Information Protection 서비스가 서비스 위치로 사용됩니다.
AD RMS를 사용하도록 C#에서 파일 SDK 구성
애플리케이션이 ADAL(Active Directory 인증 라이브러리)과 C#의 파일 SDK를 사용하는 경우 두 가지 사소한 변경이 필요합니다.
FileEngineSettings AD RMS 및 AuthenticationContext ADFS(Active Directory Federations Services)를 사용하여 작동하도록 개체 및 생성자를 업데이트해야 합니다.
모바일 디바이스 확장 DNS SRV 레코드를 배포하고 사용자 계정 이름 또는 전자 메일 주소를 전달하려는 경우 ID 사용에 대한 지침을 따릅니다.
ID와 함께 AD RMS를 사용하도록 파일 엔진 설정 업데이트
MDE에 대한 DNS SRV 레코드가 게시되고 Microsoft.InformationProtection.Identity가 엔진 설정의 일부로 제공된 경우, 필요한 유일한 코드 변경은 FileEngineSettings.ProtectionOnlyEngine = true을 설정하는 것입니다. 이 속성은 AD RMS 보호 엔드포인트에 대해 레이블 지정(정책) 작업이 지원되지 않으므로 설정해야 합니다.
// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
// Provide the identity for service discovery.
Identity = identity,
// Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
ProtectionOnlyEngine = true
};
인증 대리자 업데이트
.NET 애플리케이션에서 ADAL을 사용하는 경우 인증 기관 유효성 검사를 사용하지 않도록 구현을 변경 Microsoft.InformationProtection.AuthDelegate 해야 합니다.
validateAuthority를 생성자에서 AuthenticationContext를 false로 설정하여 권한 유효성 검사를 비활성화합니다.
AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);
AD RMS를 사용하도록 C++에서 파일 SDK 구성
모바일 디바이스 확장 DNS SRV 레코드를 배포하고 사용자 계정 이름 또는 전자 메일 주소를 전달하려는 경우 ID 사용에 대한 지침을 따릅니다.
ID와 함께 AD RMS를 사용하도록 FileEngine::Settings 업데이트
MDE에 대한 DNS SRV 레코드가 게시되었고 mip::Identity이(가) FileEngine::Settings에서 제공된 경우, 유일한 작업은 엔진을 보호 전용 엔진으로 설정하는 것입니다.
FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;
AD RMS를 사용하도록 C++에서 보호 SDK 구성
모바일 디바이스 확장 DNS SRV 레코드를 배포하고 사용자 계정 이름 또는 전자 메일 주소를 전달하려는 경우 ID 사용에 대한 지침을 따릅니다.
Identity를 사용하여 AD RMS를 사용하도록 ProtectionEngine::Settings를 설정하세요.
모바일 디바이스 확장에 대한 DNS SRV 레코드가 게시되고 ID가 ProtectionEngine::Settings제공된 경우 AD RMS를 사용하기 위해 추가 코드 변경이 필요하지 않습니다. 서비스 검색은 AD RMS 엔드포인트를 찾아 보호 작업에 사용합니다.
ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");
레이블 참조 제거 또는 주석 지정
빠른 시작 가이드 중 하나에 따라 애플리케이션을 빌드하면, 애플리케이션에 fileEngine.SensitivityLabels 또는 engine->ListSensitivityLabels(); 형식의 레이블이 참조되고 있음을 알 수 있습니다. 애플리케이션이 보호로만 설정되었으므로 이러한 코드 블록을 주석 처리하거나 제거해야 합니다. 실행하면 예외가 발생합니다.
다음 단계
이제 AD RMS를 지원하기 위해 변경했으므로 애플리케이션은 AD RMS 서비스를 보호 공급자로 사용하여 보호 전용 작업을 수행할 수 있습니다.