本快速入門將示範如何使用 MIP SDK 實作 Active Directory Rights Management Server (AD RMS) 的支援。
備註
本快速入門中概述的步驟僅適用於適用於 C# 或 C++ 的檔案 SDK,以及僅適用於 C++ 的保護 SDK。
先決條件
如果您還沒有,請務必:
- 完成快速入門:先建置入門 Visual Studio 解決方案的用戶端 應用程式初始化 (C++), 以建置入門 Visual Studio 解決方案。
- 完成 快速入門:列出敏感度標籤 (C++) 或 快速入門:列出敏感度標籤 (C#)
- 使用 行動裝置延伸模組部署 AD RMS。
- 或者,請確定已發佈 AD RMS MDE 的 DNS SRV 記錄 。
服務發現
MIP SDK 會自動探索 或 FileEngineProtectionEngine的內部部署服務端點,當未明確提供服務 URL 時。 它會使用透過 UPN 或郵件位址尾碼或使用 UPN 或郵件位址尾碼提供的FileEngineSettingsProtectionEngineSettings使用者身分識別。 它會先在網域階層中搜尋 MDE 的 _rmsdisco 記錄。 如需該程式的詳細資訊,請檢閱指定 AD RMS 行動裝置延伸模組的 DNS SRV 記錄。 如果找不到該 DNS SRV 記錄,則預設為 Microsoft Purview 資訊保護服務作為服務位置。
在 C# 中設定檔案 SDK 以使用 AD RMS
如果您的應用程式使用 Active Directory 驗證程式庫 (ADAL) 和 C# 上的檔案 SDK,則需要進行兩個次要變更。
FileEngineSettings物件和AuthenticationContext建構函式必須更新,才能與 AD RMS 和 Active Directory 同盟服務 (ADFS) 搭配運作。
如果您已部署行動裝置延伸模組 DNS SRV 記錄,並計劃傳入使用者主體名稱或電子郵件地址,請遵循使用身分識別的指示。
更新檔案引擎設定,以搭配身分識別使用 AD RMS
如果 MDE 的 DNS SRV 記錄已發佈,且 Microsoft.InformationProtection.Identity 已作為引擎設定的一部分提供,則唯一需要的程式碼變更是將 設定 FileEngineSettings.ProtectionOnlyEngine = true。 必須設定此屬性,因為 AD RMS 保護端點不支援標籤 (原則) 作業。
// Configure FileEngineSettings as protection only engine.
var engineSettings = new FileEngineSettings("", authDelegate, "", "en-US")
{
// Provide the identity for service discovery.
Identity = identity,
// Set ProtectionOnlyEngine to true for AD RMS as labeling isn't supported
ProtectionOnlyEngine = true
};
更新驗證委派
如果您在 .NET 應用程式中使用 ADAL, Microsoft.InformationProtection.AuthDelegate 您必須變更實作以停用授權單位驗證。 在建構函式中設定validateAuthorityAuthenticationContext為 false,以停用授權單位驗證。
AuthenticationContext authContext = new AuthenticationContext(authority, false, tokenCache);
在 C++ 中設定檔案 SDK 以使用 AD RMS
如果您已部署行動裝置延伸模組 DNS SRV 記錄,並計劃傳入使用者主體名稱或電子郵件地址,請遵循使用身分識別的指示。
更新 FileEngine::Settings 以搭配身分識別使用 AD RMS
如果 MDE 的 DNS SRV 記錄已發佈,並在 mip::Identity 中 FileEngine::Settings提供,則唯一的動作是將引擎設定為僅限保護的引擎。
FileEngine::Settings engineSettings(mip::Identity(mUsername), "");
engineSettings.SetProtectionOnlyEngine = true;
在 C++ 中設定保護 SDK 以使用 AD RMS
如果您已部署行動裝置延伸模組 DNS SRV 記錄,並計劃傳入使用者主體名稱或電子郵件地址,請遵循使用身分識別的指示。
設定 ProtectionEngine::Settings 以搭配身分識別使用 AD RMS
如果已發佈行動裝置延伸模組的 DNS SRV 記錄,且 中提供的 ProtectionEngine::Settings身分識別,則不需要額外的程式碼變更即可使用 AD RMS。 服務探索會尋找 AD RMS 端點,並將其用於保護作業。
ProtectionEngine::Settings engineSettings(mip::Identity(mUsername), authDelegate, "");
移除或註解標籤參考
如果您從其中一個快速入門指南建置應用程式,您會發現您的應用程式具有 或 engine->ListSensitivityLabels();形式的fileEngine.SensitivityLabels標籤參考。 因為應用程式已設定為僅保護,所以必須註解或移除這些程式碼區塊,因為執行它們會導致例外狀況。
後續步驟
現在您已進行變更以支援 AD RMS,您的應用程式可以使用 AD RMS 服務作為保護提供者來執行任何僅限保護的作業。