Extensión para dispositivos móviles de Active Directory Rights Management Services

Puede descargar la extensión de dispositivo móvil de Active Directory Rights Management Services (AD RMS) desde el Centro de descarga de Microsoft e instalar esta extensión sobre una implementación de AD RMS existente. Esto permite a los usuarios proteger y consumir datos confidenciales cuando su dispositivo admite las aplicaciones habilitadas para la API más recientes. Por ejemplo, los usuarios pueden hacer lo siguiente en sus dispositivos móviles:

  • Use la aplicación Azure Information Protection para consumir archivos de texto protegidos en diferentes formatos (incluidos .txt, .csv y .xml).
  • Use la aplicación Azure Information Protection para consumir archivos de imagen protegidos (incluidos .jpg, .gif y .tif).
  • Use la aplicación azure Information Protection para abrir cualquier archivo que se haya protegido genéricamente (formato .pfile).
  • Use la aplicación azure Information Protection para abrir un archivo de Office (Word, Excel, PowerPoint) que sea una copia pdf (.pdf y formato .ppdf).
  • Use la aplicación Azure Information Protection para abrir mensajes de correo electrónico protegidos (.rpmsg) y archivos PDF protegidos en Microsoft SharePoint.
  • Use un visor de PDF optimizado para AIP para la visualización multiplataforma o para abrir archivos PDF protegidos con cualquier aplicación habilitada para AIP.
  • Use las aplicaciones habilitadas para AIP desarrolladas internamente que se escribieron mediante el SDK de MIP.

Nota:

Puede descargar la aplicación Azure Information Protection desde la página Microsoft Rights Management del sitio web de Microsoft. Para obtener información sobre otras aplicaciones compatibles con la extensión de dispositivo móvil, consulte la tabla de la página Aplicaciones de esta documentación. Para obtener más información sobre los diferentes tipos de archivo que admite RMS, consulte la sección Tipos de archivo admitidos y extensiones de nombre de archivo de la guía del administrador de aplicaciones rights Management sharing.

Importante

Asegúrese de leer y configurar los requisitos previos antes de instalar la extensión de dispositivo móvil.

Para obtener más información, descargue las notas del producto "Microsoft Azure Information Protection" y los scripts complementarios del Centro de descarga de Microsoft.

Requisitos previos para la extensión de dispositivo móvil de AD RMS

Antes de instalar la extensión de dispositivo móvil de AD RMS, asegúrese de que están implementadas las siguientes dependencias.

Requisito Más información
Una implementación de AD RMS existente en Windows Server 2019, 2016, 2012 R2 o 2012, que incluye lo siguiente:

- El clúster de AD RMS debe ser accesible desde Internet.

- AD RMS debe usar una base de datos completa basada en Microsoft SQL Server en un servidor independiente y no la Windows Internal Database que se usa a menudo para realizar pruebas en el mismo servidor.

- La cuenta que usará para instalar la extensión de dispositivo móvil debe tener derechos sysadmin para la instancia de SQL Server que usa para AD RMS.

- Los servidores de AD RMS deben configurarse para usar SSL/TLS con un certificado x.509 válido de confianza para los clientes de dispositivos móviles.

- Si los servidores de AD RMS están detrás de un firewall o se publican mediante un proxy inverso, además de publicar la carpeta /_wmcs en Internet, también debe publicar la carpeta /my (por ejemplo: _https://RMSserver.contoso.com/my).
Para más información sobre los requisitos previos de AD RMS e información de implementación, consulte la sección requisitos previos de este artículo.
AD FS implementado en Windows Server:

- La granja de servidores de AD FS debe ser accesible desde Internet (ha implementado servidores proxy de servidor de federación).

- No se admite la autenticación basada en formularios; Debe usar la autenticación integrada de Windows.

Importante: AD FS debe ejecutar un equipo diferente del equipo que ejecuta AD RMS y la extensión de dispositivo móvil.
Para obtener documentación sobre AD FS, consulte la guía de implementación de Windows Server AD FS en la biblioteca de Windows Server.

AD FS debe configurarse para la extensión para dispositivos móviles. Para obtener instrucciones, consulte la sección Configuring AD FS for the AD RMS mobile device extension (Configuración de AD FS para la extensión de dispositivo móvil de AD RMS ) de este tema.
Los dispositivos móviles deben confiar en los certificados PKI en el servidor RMS (o servidores) Al adquirir los certificados de servidor de una ENTIDAD de certificación pública, como VeriSign o Comodo, es probable que los dispositivos móviles ya confíen en la CA raíz de estos certificados, de modo que estos dispositivos confíen en los certificados de servidor sin necesidad de agregar la configuración.

Sin embargo, si usa su propia entidad de certificación interna para implementar los certificados de servidor para RMS, debe realizar pasos adicionales para instalar el certificado de CA raíz en los dispositivos móviles. Si no lo hace, los dispositivos móviles no podrán establecer una conexión correcta con el servidor RMS.
Registros de servidor DNS Cree uno o más registros de servidor en los dominios de la empresa:

1: Crear un registro para cada sufijo de dominio de correo electrónico que los usuarios usarán

2: Cree un registro para cada FQDN que usen los clústeres de RMS para proteger el contenido, sin incluir el nombre del clúster.

Estos registros deben poder resolverse desde cualquier red que usen los dispositivos móviles que se conectan, lo que incluye la intranet si los dispositivos móviles se conectan a través de la intranet.

Cuando los usuarios proporcionan su dirección de correo electrónico desde su dispositivo móvil, el sufijo de dominio se usa para identificar si deben usar una infraestructura de AD RMS o Azure AIP. Cuando se encuentra el registro de servidor, los clientes se redirigen al servidor de AD RMS que responde a esa dirección URL.

Cuando los usuarios consumen contenido protegido con un dispositivo móvil, la aplicación cliente busca en DNS un registro que coincida con el FQDN en la dirección URL del clúster que protegió el contenido (sin el nombre del clúster). A continuación, el dispositivo se dirige al clúster de AD RMS especificado en el registro de DNS y adquiere una licencia para abrir el contenido. En la mayoría de los casos, el clúster de RMS será el mismo clúster que protegió el contenido.

Para obtener información sobre cómo especificar los registros SRV, consulte la sección Especificación de los registros SRV de DNS para la extensión de dispositivo móvil de AD RMS de este tema.
Clientes admitidos que usan aplicaciones desarrolladas mediante el SDK de MIP para esta plataforma. Descargue las aplicaciones admitidas para los dispositivos que use mediante los vínculos de la página de descarga de Microsoft Azure Information Protection.

Configurar AD FS para la extensión para dispositivos móviles de AD RMS

Primero debe configurar AD FS y, a continuación, autorizar la aplicación de AIP para los dispositivos que desea usar.

Paso 1: Para configurar AD FS

  • Puede ejecutar un script de Windows PowerShell para configurar automáticamente AD FS de modo que admita la extensión para dispositivos móviles de AD RMS, o bien puede especificar manualmente los valores y las opciones de configuración:
    • Para configurar automáticamente AD FS para la extensión de dispositivo móvil de AD RMS, copie y pegue lo siguiente en un archivo de script de Windows PowerShell y, a continuación, ejecútelo:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Para configurar manualmente AD FS para la extensión de dispositivo móvil de AD RMS, use estas opciones:
Configuración Valor
Relación de confianza para usuario autenticado _api.rms.rest.com
Regla de notificación Almacén de atributos: Active Directory

Direcciones de correo electrónico: dirección de correo electrónico

Nombre principal de usuario: UPN

Dirección de proxy: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Sugerencia

Para obtener instrucciones paso a paso para obtener un ejemplo de implementación de AD RMS con AD FS, consulte Implementación de Active Directory Rights Management Services con Servicios de federación de Active Directory (AD FS).

Paso 2: Autorización de aplicaciones para los dispositivos

  • Ejecute el siguiente comando Windows PowerShell después de reemplazar las variables para agregar compatibilidad con la aplicación de Azure Information Protection. Asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Ejemplo de PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para el cliente de etiquetado unificado de Azure Information Protection, ejecute el siguiente comando Windows PowerShell para agregar compatibilidad con el cliente de Azure Information Protection en los dispositivos:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Para admitir ADFS en Windows 2016 y 2019 y ADRMS MDE para productos de terceros, ejecute el siguiente comando Windows PowerShell:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Para configurar el cliente de AIP en Windows, Mac, mobile y Office Mobile para consumir contenido protegido de HYOK o AD RMS con AD FS en Windows Server 2012 R2 y versiones más recientes, use lo siguiente:

  • En el caso de los dispositivos Mac (mediante la aplicación RMS sharing), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • En el caso de los dispositivos iOS (mediante la aplicación azure Information Protection), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • En el caso de los dispositivos Android (mediante la aplicación Azure Information Protection), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Ejecute los siguientes comandos de PowerShell para agregar compatibilidad con las aplicaciones de Microsoft Office en los dispositivos:

  • En el caso de los dispositivos Mac, iOS y Android (asegúrese de ejecutar ambos comandos en el orden que se muestra):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Especificación de los registros SRV de DNS para la extensión de dispositivo móvil de AD RMS

Debe crear registros de servidor DNS para cada dominio de correo electrónico que usen los usuarios. Si todos los usuarios usan dominios secundarios de un solo dominio primario y todos los usuarios de este espacio de nombres contiguo usan el mismo clúster de RMS, puede usar un solo registro de servidor en el dominio primario, y RMS encontrará los registros de DNS apropiados. Los registros SRV tienen el siguiente formato: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Nota:

Especifique 443 para el <número de> puerto. Aunque puede especificar un número de puerto diferente en DNS, los dispositivos que usen la extensión de dispositivo móvil siempre usarán 443.

Por ejemplo, si su empresa tiene usuarios con las siguientes direcciones de correo electrónico:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com Si no hay ningún otro dominio secundario para _contoso.com que use un clúster de RMS diferente al denominado _rmsserver.contoso.com, cree dos registros SRV de DNS que tengan estos valores:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Si usa el rol servidor DNS en Windows Server, use las siguientes tablas como guía para las propiedades del registro SRV en la consola del Administrador de DNS:

Campo Value
Domain _tcp.contoso.com
Servicio _rmsdisco
Protocolo _http
Prioridad 0
Peso 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com
Campo Value
Domain _tcp.fabrikam.com
Servicio _rmsdisco
Protocolo _http
Prioridad 0
Peso 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com

Además de estos registros SRV de DNS para el dominio de correo electrónico, debe crear otro registro SRV dns en el dominio del clúster de RMS. Este registro debe especificar los FQDN del clúster de RMS que protege el contenido. Todos los archivos protegidos por RMS incluyen la dirección URL del clúster que protege dichos archivos. Los dispositivos móviles usan el registro de servidor DNS y el FQDN de la dirección URL especificado en el registro para encontrar el clúster de RMS que puede admitir dispositivos móviles.

Por ejemplo, si el clúster de RMS es _rmsserver.contoso.com, cree un registro SRV de DNS que tenga los siguientes valores: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Si usa el rol servidor DNS en Windows Server, use la tabla siguiente como guía para las propiedades del registro SRV en la consola del Administrador de DNS:

Campo Value
Domain _tcp.contoso.com
Servicio _rmsdisco
Protocolo _http
Prioridad 0
Peso 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com

Implementar la extensión para dispositivos móviles de AD RMS

Antes de instalar la extensión de dispositivo móvil de AD RMS, asegúrese de que se cumplen los requisitos previos de la sección anterior y de que conoce la dirección URL del servidor de AD FS. A continuación, haga lo siguiente:

  1. Descargue la extensión de dispositivo móvil de AD RMS (ADRMS.MobileDeviceExtension.exe) desde el Centro de descarga de Microsoft.
  2. Ejecute ADRMS.MobileDeviceExtension.exe para iniciar el Asistente para la instalación de la extensión de dispositivos móviles de Active Directory Rights Management Services. Cuando se le solicite, escriba la dirección URL del servidor de AD FS que configuró anteriormente.
  3. Finalice el asistente.

Ejecute este asistente en todos los nodos del clúster de RMS.

Si tiene un servidor proxy entre el clúster de AD RMS y los servidores de AD FS, de forma predeterminada, el clúster de AD RMS no podrá ponerse en contacto con el servicio federado. Cuando esto sucede, AD RMS no podrá comprobar el token que se recibe del cliente móvil y rechazará la solicitud. Si tiene un servidor proxy que bloquea esta comunicación, debe actualizar el archivo web.config desde el sitio web de extensión de dispositivo móvil de AD RMS, para que AD RMS pueda omitir el servidor proxy cuando necesite ponerse en contacto con los servidores de AD FS.

Actualización de la configuración de proxy para la extensión de dispositivo móvil de AD RMS

  1. Abra el archivo web.config que se encuentra en \Archivos de programa\Extensión de dispositivo móvil de Active Directory Rights Management Services\Servicio web.

  2. Agregue el siguiente nodo al archivo:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. Realice los siguientes cambios y guarde el archivo:

    • Reemplace <proxy-server> por el nombre o la dirección del servidor proxy.
    • Reemplace port> por <el número de puerto que el servidor proxy está configurado para usar.
    • Reemplace <la dirección URL> de AD FS por la dirección URL del servicio de federación. No incluya el prefijo HTTP.

    Nota:

    Para más información sobre cómo invalidar la configuración del proxy, consulte la documentación de configuración de proxy .

  4. Restablezca IIS, por ejemplo, ejecutando iisreset como administrador desde un símbolo del sistema.

Repita este procedimiento en todos los nodos del clúster de RMS.

Consulte también

Obtenga más información sobre Azure Information Protection, póngase en contacto con otros clientes de AIP y con los administradores de productos de AIP mediante el grupo de yammer de API.