Partager via

Extension d’appareils mobiles des services Active Directory Rights Management

  • Article

Vous pouvez télécharger l’extension d’appareil mobile services AD RMS (Active Directory Rights Management Services) à partir du Centre de téléchargement Microsoft et installer cette extension en plus d’un déploiement AD RMS existant. Cela permet aux utilisateurs de protéger et de consommer des données sensibles quand leur appareil prend en charge les dernières applications optimisées pour API. Par exemple, les utilisateurs peuvent effectuer les opérations suivantes sur leurs appareils mobiles :

  • Utiliser l’application Azure Information Protection pour consommer des fichiers texte protégés dans différents formats (notamment .txt, .csv et .xml).
  • Utiliser l’application Azure Information Protection pour consommer des fichiers image protégés (notamment .jpg, .gif et .tif).
  • Utiliser l’application Azure Information Protection pour ouvrir un fichier qui a été protégé génériquement (format .pfile).
  • Utiliser l’application Azure Information Protection pour ouvrir un fichier Office (Word, Excel, PowerPoint) qui est une copie PDF (format .pdf et .ppdf).
  • Utiliser l’application Azure Information Protection pour ouvrir des e-mails protégés (.rpmsg) et des fichiers PDF protégés sur Microsoft SharePoint.
  • Utiliser une visionneuse PDF optimisée pour AIP pour un affichage multiplateforme ou pour ouvrir des fichiers PDF protégés par n'importe quelle application compatible AIP.
  • Utiliser vos applications optimisées pour AIP développées en interne et écrites à l'aide du Kit de développement logiciel (SDK) RMS.

Remarque

Vous pouvez télécharger l’application Azure Information Protection à partir de la page Microsoft Rights Management du site web de Microsoft. Pour plus d’informations sur les autres applications prises en charge avec l’extension d’appareil mobile, consultez le tableau de la page Applications de cette documentation. Pour plus d'informations sur les différents types de fichiers pris en charge par RMS, consultez la section Types de fichiers pris en charge et extensions de nom de fichier dans le guide de l'administrateur de l'application de partage Rights Management.

Important

Veillez à lire et configurer les prérequis avant d’installer l’extension d’appareil mobile.

Pour plus d’informations, téléchargez le livre blanc « Microsoft Azure Information Protection » et les scripts connexes à partir du Centre de téléchargement Microsoft.

Prérequis pour l’extension d’appareil mobile AD RMS

Avant d’installer l’extension d’appareil mobile AD RMS, vérifiez que les dépendances suivantes sont en place.

Condition requise Plus d’informations
Un déploiement AD RMS existant sur Windows Server 2019, 2016, 2012 R2 ou 2012, qui inclut les éléments suivants :

- Votre groupement AD RMS doit être accessible depuis Internet.

- AD RMS doit utiliser une base de données complète basée sur Microsoft SQL Server sur un serveur distinct et non la base de données interne Windows qui est souvent utilisée pour les tests sur le même serveur.

- Le compte que vous utiliserez pour installer l’extension d’appareil mobile doit disposer de droits d’aministrateur système pour l’instance SQL Server que vous utilisez pour AD RMS.

- Les serveurs AD RMS doivent être configurés pour utiliser SSL/TLS avec un certificat x.509 valide approuvé par les clients d’appareils mobiles.

- Si les serveurs AD RMS se trouvent derrière un pare-feu ou publiés à l’aide d’un proxy inverse, en plus de publier le dossier /_wmcs sur Internet, vous devez également publier le/mon dossier (par exemple : _https://RMSserver.contoso.com/my).		 Pour plus d’informations sur les prérequis AD RMS et les informations de déploiement, consultez la section prérequis de cet article.
AD FS déployé sur votre Windows Server :

- Votre batterie de serveurs AD FS doit être accessible depuis Internet (vous avez déployé des serveurs proxy de fédération).

- L’authentification basée sur les formulaires n’est pas prise en charge ; vous devez utiliser l’authentification intégrée Windows

Important : AD FS doit exécuter un ordinateur différent de celui exécutant AD RMS et l'extension d’appareil mobile.		 Pour plus d’informations sur AD FS, consultez le Guide de déploiement Windows Server AD FS dans la bibliothèque Windows Server.

AD FS doit être configuré pour l’extension d’appareil mobile. Pour obtenir des instructions, consultez la section Configuration d’AD FS pour l’extension d’appareil mobile AD RMS dans cette rubrique.
Les appareils mobiles doivent approuver les certificats PKI sur le serveur RMS (ou les serveurs) Lorsque vous achetez vos certificats de serveur auprès d’une autorité de certification publique, comme VeriSign ou Comodo, il est probable que les appareils mobiles approuvent déjà l’autorité de certification racine pour ces certificats, afin que ces appareils approuvent les certificats de serveur sans configuration supplémentaire.

Toutefois, si vous utilisez votre propre autorité de certification interne pour déployer les certificats de serveur pour RMS, vous devez effectuer des étapes supplémentaires pour installer le certificat d’autorité de certification racine sur les appareils mobiles. Si ce n’est pas le cas, les appareils mobiles ne pourront pas établir une connexion réussie avec le serveur RMS.
Enregistrements SRV dans DNS Créez un ou plusieurs enregistrements SRV dans le ou les domaines de votre entreprise :

1 : Créez un enregistrement pour chaque suffixe de domaine de messagerie que les utilisateurs utiliseront

2 : Créez un enregistrement pour chaque nom de domaine complet utilisé par vos groupements RMS pour protéger le contenu, sans inclure le nom du groupement

Ces enregistrements doivent pouvoir être résolus à partir de n'importe quel réseau utilisé par les appareils mobiles qui se connectent, ce qui inclut l'intranet si vos appareils mobiles se connectent via l'intranet.

Lorsque les utilisateurs fournissent leur adresse e-mail à partir de leur appareil mobile, le suffixe de domaine est utilisé pour identifier s’ils doivent utiliser une infrastructure AD RMS ou Azure AIP. Lorsque l’enregistrement SRV est trouvé, les clients sont redirigés vers le serveur AD RMS qui répond à cette URL.

Lorsque les utilisateurs consomment du contenu protégé avec un appareil mobile, l’application cliente recherche dans DNS un enregistrement qui correspond au nom de domaine complet dans l’URL du groupement qui a protégé le contenu (sans le nom du groupement). L’appareil est ensuite dirigé vers le groupement AD RMS spécifié dans l’enregistrement DNS et acquiert une licence pour ouvrir le contenu. Dans la plupart des cas, le groupement RMS est le même groupement RMS qui a protégé le contenu.

Pour plus d’informations sur la façon de spécifier les enregistrements SRV, consultez la section Spécification des enregistrements SRV DNS pour l’extension d’appareil mobile AD RMS dans cette rubrique.
Clients pris en charge utilisant des applications développées à l’aide du SDK MIP pour cette plate-forme. Téléchargez les applications prises en charge pour les appareils que vous utilisez à l’aide des liens sur la page de téléchargement de Microsoft Azure Information Protection.

Configuration d’AD FS pour l’extension d’appareil mobile AD RMS

Vous devez d’abord configurer AD FS, puis autoriser l’application AIP pour les appareils que vous souhaitez utiliser.

Étape 1 : Pour configurer AD FS

  • Vous pouvez exécuter un script Windows PowerShell pour configurer automatiquement AD FS afin de prendre en charge l’extension d’appareil mobile AD RMS, ou vous pouvez spécifier manuellement les options de configuration et les valeurs :
    • Pour configurer automatiquement AD FS pour l’extension d’appareil mobile AD RMS, copiez et collez les éléments suivants dans un fichier de script Windows PowerShell, puis exécutez-le :
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Pour configurer manuellement AD FS pour l’extension d’appareil mobile AD RMS, utilisez ces paramètres :
Configuration Valeur
Approbation de partie de confiance _api.rms.rest.com
Règle de revendication Magasin d’attributs : Active Directory

Adresses e-mail : Adresse e-mail

Nom d’utilisateur principal : UPN

Adresse proxy : _https://schemas.xmlsoap.org/claims/ProxyAddresses

Conseil

Pour obtenir des instructions pas à pas pour un exemple de déploiement d'AD RMS avec AD FS, consultez Déploiement des services AD RMS (Active Directory Rights Management Services) avec les services de fédération Active Directory (AD FS).

Étape 2 : Autorisation des applications pour vos appareils

  • Exécutez la commande Windows PowerShell suivante après avoir remplacé les variables pour ajouter la prise en charge de l’application Azure Information Protection. Veillez à exécuter les deux commandes dans l’ordre indiqué :
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Exemple PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Pour le client d’étiquetage unifié Azure Information Protection, exécutez la commande Windows PowerShell suivante pour ajouter la prise en charge du client Azure Information Protection sur vos appareils :
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Pour prendre en charge ADFS sur Windows 2016 et 2019 et ADRMS MDE pour les produits tiers, exécutez la commande Windows PowerShell suivante :
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Pour configurer le client AIP sur Windows, Mac, mobile et Office Mobile pour consommer du contenu protégé HYOK ou AD RMS avec AD FS sur Windows Server 2012 R2 et versions ultérieures, utilisez les éléments suivants :

  • Pour les appareils Mac (à l’aide de l’application de partage RMS), veillez à exécuter les deux commandes dans l’ordre indiqué :
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Pour les appareils iOS (à l’aide de l’application Azure Information Protection), veillez à exécuter les deux commandes dans l’ordre indiqué :
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Pour les appareils Android (à l’aide de l’application Azure Information Protection), veillez à exécuter les deux commandes dans l’ordre indiqué :
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Exécutez les commandes PowerShell suivantes pour ajouter la prise en charge des applications Microsoft Office sur vos appareils :

  • Pour Mac, iOS, appareils Android (veillez à exécuter les deux commandes dans l’ordre indiqué) :
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Spécification des enregistrements SRV DNS pour l’extension d’appareil mobile AD RMS

Vous devez créer des enregistrements SRV DNS pour chaque domaine de messagerie que vos utilisateurs utilisent. Si tous vos utilisateurs utilisent des domaines enfants d'un seul domaine parent et que tous les utilisateurs de cet espace de noms contigu utilisent le même groupement RMS, vous pouvez utiliser un seul enregistrement SRV dans le domaine parent et RMS trouvera les enregistrements DNS appropriés. Les enregistrements SRV ont le format suivant : _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Remarque

Spécifiez 443 pour le <numéro de port>. Bien que vous puissiez spécifier un autre numéro de port dans DNS, les appareils utilisant l’extension d’appareil mobile utilisent toujours 443.

Par exemple, si votre organisation dispose d’utilisateurs avec les adresses e-mail suivantes :

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com S’il n’existe aucun autre domaine enfant pour _contoso.com qui utilisent un groupement RMS différent de celui nommé _rmsserver.contoso.com, créez deux enregistrements SRV DNS qui ont ces valeurs :
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Si vous utilisez le rôle serveur DNS sur Windows Server, utilisez les tableaux suivants comme guide pour les propriétés d’enregistrement SRV dans la console du Manager DNS :

Champ Valeur
Domain _tcp.contoso.com
Service _rmsdisco
Protocol _http
Priorité 0
Poids 0
Numéro de port 443
Hôte offrant ce service _rmsserver.contoso.com
Champ Valeur
Domain _tcp.fabrikam.com
Service _rmsdisco
Protocol _http
Priorité 0
Poids 0
Numéro de port 443
Hôte offrant ce service _rmsserver.contoso.com

En plus de ces enregistrements SRV DNS pour votre domaine de messagerie, vous devez créer un autre enregistrement DNS SRV dans le domaine du groupement RMS. Cet enregistrement doit spécifier les noms de domaine complets de votre groupement RMS qui protège le contenu. Chaque fichier protégé par RMS inclut une URL vers le groupement qui a protégé ce fichier. Les appareils mobiles utilisent l’enregistrement SRV DNS et le nom de domaine complet d’URL spécifiés dans l’enregistrement pour rechercher le groupement RMS correspondant qui peut prendre en charge les appareils mobiles.

Par exemple, si votre groupement RMS est _rmsserver.contoso.com, créez un enregistrement DNS SRV qui a les valeurs suivantes : _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Si vous utilisez le rôle serveur DNS sur Windows Server, utilisez le tableau suivant comme guide pour les propriétés d’enregistrement SRV dans la console du Manager DNS :

Champ Valeur
Domain _tcp.contoso.com
Service _rmsdisco
Protocol _http
Priorité 0
Poids 0
Numéro de port 443
Hôte offrant ce service _rmsserver.contoso.com

Déploiement de l'extension d'appareil mobile AD RMS

Avant d’installer l’extension d’appareil mobile AD RMS, vérifiez que les prérequis de la section précédente sont en place et que vous connaissez l’URL de votre serveur AD FS. Faites ensuite ce qui suit :

  1. Téléchargez l’extension d’appareil mobile AD RMS (ADRMS.MobileDeviceExtension.exe) à partir du Centre de téléchargement Microsoft.
  2. Exécutez ADRMS. MobileDeviceExtension.exe pour démarrer l’assistant d’installation de l’extension d’appareil mobile des services AD RMS (Active Directory Rights Management Services). Lorsque vous y êtes invité, entrez l’URL du serveur AD FS que vous avez configuré précédemment.
  3. Suivez les instructions de l’Assistant.

Exécutez cet Assistant sur tous les nœuds de votre groupement RMS.

Si vous disposez d’un serveur proxy entre le groupement AD RMS et les serveurs AD FS, par défaut, votre groupement AD RMS ne pourra pas contacter le service fédéré. Lorsque cela se produit, AD RMS ne peut pas vérifier le jeton reçu du client mobile et rejettera la demande. Si vous avez un serveur proxy qui bloque cette communication, vous devez mettre à jour le fichier web.config à partir du site web d’extension d’appareil mobile AD RMS, afin que AD RMS puisse contourner le serveur proxy lorsqu’il doit contacter les serveurs AD FS.

Mise à jour des paramètres de proxy pour l’extension d’appareil mobile AD RMS

  1. Ouvrez le fichier web.config situé dans \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Ajoutez le nœud suivant au fichier :

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Apportez les changements suivants au fichier, puis enregistrez-le :

    • Remplacez <proxy-server> par le nom ou l’adresse de votre serveur proxy.
    • Remplacez <port> par le numéro de port que le serveur proxy est configuré pour utiliser.
    • Remplacez <AD FS URL> par l’URL du service de fédération. N’incluez pas le préfixe HTTP.

    Remarque

    Pour en savoir plus sur la substitution des paramètres de proxy, consultez la documentation Configuration du proxy.

  4. Réinitialisez IIS, par exemple, en exécutant iisreset en tant qu’administrateur à partir d’une invite de commandes.

Répétez cette procédure sur tous les nœuds de votre groupement RMS.

Voir aussi

Pour en savoir plus sur Azure Information Protection, contactez d’autres clients AIP et des responsables de produits AIP à l’aide du le groupe Yammer d’API.