17、深入了解Azure Rights Management Services：配置、模板与管理

最新推荐文章于 2025-10-12 14:10:50 发布

tree8

最新推荐文章于 2025-10-12 14:10:50 发布

阅读量30

点赞数

CC 4.0 BY-SA版权

分类专栏： PowerShell玩转Azure 文章标签： Azure RMS PowerShell AADRM

本文链接：https://blog.youkuaiyun.com/tree8/article/details/153179915

PowerShell玩转Azure 专栏收录该内容

18 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

深入了解Azure Rights Management Services：配置、模板与管理

1. Azure RMS概述与准备

Azure Rights Management Services（Azure RMS）虽是云服务，但能与本地服务器（如Exchange Server、SharePoint Server和文件服务器）集成，这种集成通过Azure RMS连接器实现，使本地服务能与Azure RMS通信。在继续操作前，需确保有Azure RMS订阅，若没有，可在此处订阅Office 365 Enterprise E3试用版获取。

2. Azure RMS与PowerShell

Azure RMS有自己的PowerShell模块Azure Active Directory Rights Management（AADRM），可从这里下载的Azure Rights Management Administration Tool中获取。AADRM PowerShell模块要求至少PowerShell v2.0和.NET Framework 4.5，运行Windows 8.0或Windows Server 2012无需额外步骤，且需要Microsoft Online Services Sign - in Assistant，与Azure AD模块类似。当前AADRM模块版本为2.2.0.0，可通过以下命令检查：

Import-Module AADRM
(Get-Module aadrm).Version

要通过PowerShell管理Azure RMS，需连接到Azure RMS，使用 Connect-AadrmService cmdlet，传递的凭据应为Azure RMS管理员之一，示例如下：

Connect-AadrmService -Credential (Get-Credential admin@<YOUR_TENANT>.onmicrosoft.com)

可使用 Disconnect-AadrmService cmdlet断开连接。连接后，可使用 Get-AadrmConfiguration cmdlet查看Azure RMS租户配置：

Get-AadrmConfiguration

以下是部分配置示例：
| 属性 | 值 |
| ---- | ---- |
| BPOSId | 7b0d20e9 - f930 - 7777 - 8888 - e8572a9caf93 |
| RightsManagementServiceId | 284fd103 - dd93 - 3333 - 4444 - bca2ba2e66c9 |
| LicensingIntranetDistributionPointUrl | https:// 284fd103 - dd93 - 3333 - 4444 - bca2ba2e66c9.rms.eu.aadrm.com/_wmcs/licensing |
| FunctionalState | Enabled |

Azure RMS与本地服务集成，还能与Windows Server File Classification Infrastructure（FCI）集成，通过Azure RMS连接器实现。若不知Azure RMS是否已激活，可使用 Get-Aadrm cmdlet，激活用 Enable-Aadrm cmdlet，停用用 Disable-Aadrm cmdlet，示例如下：

If((Get-Aadrm) -eq 'Disabled')
{
    Enable-Aadrm
}
Else
{
    "Azure RMS is already enabled."
}

3. 跨平台支持与限制

Azure RMS跨平台，支持不同操作系统，可用PowerShell限制其在各平台的功能。要使Azure RMS在移动设备上工作，需确保MSIPCv3平台启用，可使用 Get-AadrmIPCv3Service cmdlet检查，若禁用，使用 Enable-AadrmIPCv3Service cmdlet启用：

Enable-AadrmIPCv3Service

默认情况下，Azure RMS对所有设备平台都启用，可使用 Get-AadrmDevicePlatform cmdlet和 -All 参数查看所有平台状态，也可指定参数查看特定平台状态，示例如下：

Get-AadrmDevicePlatform -All

若要启用或禁用特定平台支持，使用 Enable-AadrmDevicePlatform 和 Disable-AadrmDevicePlatform cmdlet，示例如下，禁用Android和Windows Store支持：

Disable-AadrmDevicePlatform -WindowsStore -Android

4. 权限策略模板操作

RMS模板定义文档保护方式和用户权限。可在Azure门户或通过PowerShell管理和配置模板，从PowerShell可使用以下命令获取模板配置和管理的cmdlet列表：

Get-Command -Module AADRM -Noun *Template* | Select Name

创建策略模板使用 Add-AadrmTemplate cmdlet，其参数如下：
- -Names ：为模板指定名称，可针对多个区域设置ID定义多个名称。
- -ContentExpirationOption ：指定模板保护内容的过期选项（Never、OnDate、AfterDays）。
- -ContentExpirationDate ：若过期选项为OnDate，指定内容过期日期。
- -ContentValidityDuration ：若过期选项为AfterDays，指定内容保护生效后的有效天数。
- -Descriptions ：为模板指定描述，可针对多个区域设置ID定义多个描述。
- -LicenseValidityDuration ：指定受保护内容获取使用许可证后离线可用天数，设为0表示始终需要互联网连接，默认30天，可通过 Set-AadrmMaxUseLicenseValidityTime cmdlet更改。
- -Status ：指定模板状态（Archived或Published），默认存档。
- -RightsDefinitions ：指定用户或组访问模板保护内容的权限列表，使用 New-AadrmRightsDefinition cmdlet创建权限定义对象，可用权限如下表：
| 权限 | 描述 |
| ---- | ---- |
| VIEW | 多数应用解释为允许在屏幕上显示数据 |
| EDIT | 多数应用解释为允许修改文档内容并保存 |
| DOCEDIT | 多数应用解释为允许修改文档内容 |
| EXTRACT | 多数应用解释为允许将内容复制到剪贴板或以未加密形式提取内容 |
| VIEWRIGHTSDATA | 应用解释为允许查看文档策略 |
| EDITRIGHTSDATA | 应用解释为允许修改文档策略 |
| OBJMODEL | 多数应用解释为允许以编程方式访问文档（如使用宏） |
| EXPORT | 多数应用解释为允许以未加密形式保存文件（如保存为不支持保护的其他文件格式） |
| PRINT | 多数应用解释为允许打印文档 |
| OWNER | 用户对文档拥有所有权限，包括移除保护的能力 |
- -ScopedIdentities ：指定可查看和选择模板的用户或组，即部门模板，应用需支持部门模板，否则需将 -EnableInLegacyApps 参数设为true。
- -EnableInLegacyApps ：允许不支持部门模板的应用访问模板，设为false则无人能从这些应用中查看或选择模板。

以下是创建只读策略模板的示例：

#Define Policy Template Names (English & French)
$Names = @{}
$Names[1033] = "Company123 - Confidential Content"
$Names[1036] = "Company123 - Content Confedential"

#Define Policy Template Descriptions (English & French)
$Descriptions = @{}
$Descriptions[1033] = "The content protected by this template is read-only"
$Descriptions[1036] = "Le contenu protégé par ce modèle est en lecture seule"

#Rights Definitions
$RD1 = New-AadrmRightsDefinition –EmailAddress engineering@company123.com -Rights "VIEW","EXPORT"
$RD2 = New-AadrmRightsDefinition –EmailAddress Sherif.Talaat@company123.com -Rights "OWNER"

#Creating Policy Template
Add-AadrmTemplate -Name $Names -Descriptions $Descriptions -RightsDefinitions $RD1,$RD2 - ContentExpirationOption AfterDays -ContentValidityDuration 14 -LicenseValidityDuration 0

创建的模板默认未发布，可使用 Set-AadrmTemplateProperty cmdlet更改模板属性，如将状态改为发布：

Set-AadrmTemplateProperty -TemplateId 5d538fc3 - 95a6 - 4f69 - 88f0 - 551a64c35c48 -Status Published

可使用 Get-AadrmTemplate cmdlet列出所有模板， Remove-AadrmTemplate cmdlet删除模板， Get-AadrmTemplateProperty cmdlet列出模板属性，示例如下：

Get-AadrmTemplateProperty -TemplateId 5d538fc3 - 95a6 - 4f69 - 88f0 - 551a64c35c48 -Status -Name

还可使用 Export-AadrmTemplate 和 Import-AadrmTemplate cmdlet导出和导入模板，示例如下：

#Export All Azure RMS Templates
$Templates = Get-AadrmTemplate
ForEach($t in $Templates)
{
    Export-AadrmTemplate -TemplateId $t.TemplateId -Path ("C:\AzureRMS\Templates\" + $t.Names[0].Value + ".xml")
}

#Import Azure RMS Template
Import-AadrmTemplate -Path 'C:\AzureRMS\Templates\Company123 - Content Confedential.xml'

5. Azure RMS超级用户

Azure RMS超级用户功能允许授权人员和服务访问、检查受保护内容，移除或更改应用的保护。常见使用场景包括反恶意软件产品检查文件、Exchange Server为搜索操作索引邮箱、审计人员或法律部门访问特定文档。默认超级用户功能未启用，也无用户被分配此角色，若为Exchange Server配置权限管理连接器，该功能会自动启用。

可使用 Get-AadrmSuperUserFeature cmdlet确定超级用户功能状态，使用 Enable-AadrmSuperUserFeature cmdlet启用， Disable-AadrmSuperUserFeature cmdlet禁用，示例如下：

Enable-AadrmSuperUserFeature

启用后，使用 Add-AadrmSuperUser cmdlet添加用户到超级用户列表，仅支持添加单个用户，示例如下：

Add-AadrmSuperUser -EmailAddress admin@company123.com

使用 Remove-AadrmSuperUser cmdlet移除用户， Get-AadrmSuperUser cmdlet获取超级用户列表。使用超级用户功能需谨慎，应尽量减少用户数量。

6. 配置Azure RMS基于角色的管理员

Azure RMS允许委派RMS组件管理任务，默认有两个基于角色的管理角色：
- RMS Global Administrator：分配到此角色的用户和组对Azure RMS租户拥有完全管理权限。
- RMS Connector Administrator：分配到此角色的用户和组有权安装和管理组织的RMS连接器。

使用 Add-AadrmRoleBasedAdministrator cmdlet授予用户管理权限，使用 -Role 参数指定角色类型（GlobalAdministrator或ConnectorAdministrator），使用 -EmailAddress 参数指定用户电子邮件地址，若要授予组管理权限，将 -EmailAddress 参数替换为 -SecurityGroupDisplayName 参数，示例如下：

Add-AadrmRoleBasedAdministrator -Role GlobalAdministrator -EmailAddress admin@company123.com

可使用 Get-AadrmRoleBasedAdministrator cmdlet列出所有基于角色的管理员， Remove-AadrmRoleBasedAdministrator cmdlet移除管理员。

7. Azure RMS使用日志记录

授予用户管理或超级用户权限时，跟踪这些权限的使用情况很重要，日志记录是重要方式之一。Azure RMS使用Azure存储保存日志，操作前需确保有Azure存储账户，且与Azure RMS租户位于同一位置。

使用 Set-AadrmUsageLogStorageAccount cmdlet定义日志存储设置，示例如下：

$AccessKey = ConvertTo-SecureString "<Storage_Account_Access_Key>" -AsPlainText -Force
Set-AadrmUsageLogStorageAccount -AccessKey $AccessKey -StorageAccount "<Storage_Account_Name>"

设置日志存储账户后，使用 Enable-AadrmUsageLogFeature cmdlet启用使用日志功能：

Enable-AadrmUsageLogFeature

综上所述，通过以上步骤和操作，可全面管理和配置Azure Rights Management Services，确保数据的安全和合规使用。在实际操作中，需根据具体需求和场景灵活运用这些功能和命令。

深入了解Azure Rights Management Services：配置、模板与管理

8. 总结与最佳实践

在管理和配置 Azure Rights Management Services (Azure RMS) 时，遵循一些最佳实践能确保系统的安全性和高效性。

模板管理 ：定期备份模板，使用 Export-AadrmTemplate 命令将模板导出为 XML 文件，以防意外删除。创建模板时，明确其用途和适用范围，合理设置过期选项和权限，避免过度授权。
超级用户管理 ：超级用户功能强大，但风险也高。仅在必要时启用，严格控制超级用户数量，定期审查超级用户列表，及时移除不再需要此权限的用户。
角色委派 ：合理分配基于角色的管理权限，根据用户职责授予相应角色，避免权限滥用。定期审计管理员操作，确保其符合组织规定。
日志记录 ：启用使用日志记录功能，及时发现异常操作。定期查看日志，分析用户行为，及时调整权限策略。

9. 常见问题及解决方法

在使用 Azure RMS 过程中，可能会遇到一些常见问题，以下是部分问题及解决方法：

问题	可能原因	解决方法
无法连接到 Azure RMS 服务	网络问题、凭据错误	检查网络连接，确保凭据正确，可使用 `Connect-AadrmService` 命令重新连接
模板无法发布	模板配置错误、权限不足	检查模板属性，确保状态设置为 `Published` ，确认用户有足够权限
移动设备无法使用 Azure RMS	MSIPCv3 服务未启用、设备平台不支持	使用 `Enable-AadrmIPCv3Service` 启用服务，检查设备平台状态，使用 `Get-AadrmDevicePlatform` 命令

10. 未来趋势与展望

随着云计算和数据安全需求的不断增长，Azure RMS 也将不断发展和完善。未来可能会有以下趋势：

增强的跨平台支持 ：支持更多操作系统和设备类型，满足不同用户的需求。
智能化权限管理 ：利用人工智能和机器学习技术，实现更智能的权限分配和管理，提高安全性和效率。
与其他安全服务集成 ：与 Azure 其他安全服务（如 Azure Defender）深度集成，提供更全面的安全解决方案。

11. 流程图总结

下面是一个简单的 mermaid 流程图，总结了配置和管理 Azure RMS 的主要步骤：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(检查 Azure RMS 订阅):::process
    B --> C(安装 AADRM PowerShell 模块):::process
    C --> D(连接到 Azure RMS 服务):::process
    D --> E{检查 RMS 状态}:::decision
    E -->|未激活| F(激活 Azure RMS):::process
    E -->|已激活| G(查看租户配置):::process
    F --> G
    G --> H(配置跨平台支持):::process
    H --> I(创建和管理模板):::process
    I --> J(启用超级用户功能):::process
    J --> K(配置基于角色的管理员):::process
    K --> L(启用使用日志记录):::process
    L --> M([结束]):::startend

这个流程图展示了从开始检查订阅到最终完成 Azure RMS 配置和管理的主要步骤，帮助用户更清晰地理解整个过程。

通过以上内容，我们对 Azure Rights Management Services 有了全面的了解，包括其基本概念、配置方法、模板管理、超级用户功能、基于角色的管理以及使用日志记录等方面。同时，我们也探讨了最佳实践、常见问题解决方法和未来趋势。希望这些信息能帮助读者更好地使用和管理 Azure RMS，保障数据安全。