Active Directory Rights Management Services mobileszköz-bővítmény
Az Active Directory Rights Management Services (AD RMS) mobileszköz-bővítményét letöltheti a Microsoft letöltőközpontból , és telepítheti ezt a bővítményt egy meglévő AD RMS-telepítésre. Ez lehetővé teszi a felhasználók számára a bizalmas adatok védelmét és használatát, ha eszközük támogatja a legújabb API-kompatibilis alkalmazásokat. A felhasználók például a következőket tehetik a mobileszközökön:
- Az Azure Information Protection alkalmazással különböző formátumban (például .txt, .csv és .xml) használhat védett szövegfájlokat.
- Az Azure Information Protection alkalmazással védett képfájlokat (például .jpg, .gif és .tif) használhat.
- Az Azure Information Protection alkalmazással megnyithatja az általános védelemmel ellátott fájlokat (.pfile formátum).
- Az Azure Information Protection alkalmazással megnyithat egy PDF-másolatként (.pdf és .ppdf formátumú) készült Office-fájlt (Word, Excel, PowerPoint).
- Az Azure Information Protection alkalmazással védett e-maileket (.rpmsg) és védett PDF-fájlokat nyithat meg a Microsoft SharePointon.
- Platformfüggetlen megtekintéshez vagy bármely AIP-kompatibilis alkalmazással védett PDF-fájlok megnyitásához használjon AIP-kompatibilis PDF-megjelenítőt.
- Használja a mip SDK-val írt, belső fejlesztésű AIP-kompatibilis alkalmazásait.
Megjegyzés:
Az Azure Information Protection alkalmazást a Microsoft webhelyÉnek Microsoft Rights Management oldaláról töltheti le. A mobileszköz-bővítménnyel támogatott egyéb alkalmazásokkal kapcsolatos további információkért tekintse meg a jelen dokumentáció Alkalmazások lapján található táblázatot. Az RMS által támogatott különböző fájltípusokról további információt a Rights Management megosztóalkalmazás rendszergazdai útmutatójának Támogatott fájltípusok és fájlnévkiterjesztések szakaszában talál.
Fontos
A mobileszköz-bővítmény telepítése előtt mindenképpen olvassa el és konfigurálja az előfeltételeket.
További információkért töltse le a "Microsoft Azure Information Protection" tanulmányt és a hozzá tartozó szkripteket a Microsoft Letöltőközpontból.
Az AD RMS mobileszköz-bővítmény előfeltételei
Az AD RMS mobileszköz-bővítmény telepítése előtt győződjön meg arról, hogy a következő függőségek vannak érvényben.
| Requirement | További információ |
|---|---|
| Meglévő AD RMS-telepítés Windows Server 2019, 2016, 2012 R2 vagy 2012 rendszeren, amely a következőket tartalmazza: – Az AD RMS-fürtnek elérhetőnek kell lennie az internetről. - Az AD RMS-nek egy teljes Microsoft SQL Server-alapú adatbázist kell használnia egy külön kiszolgálón, és nem azt a belső Windows-adatbázis, amelyet gyakran használnak ugyanazon a kiszolgálón való teszteléshez. – A mobileszköz-bővítmény telepítéséhez használt fióknak sysadmin-jogosultságokkal kell rendelkeznie az AD RMS-hez használt SQL Server-példányhoz. – Az AD RMS-kiszolgálókat úgy kell konfigurálni, hogy a mobileszköz-ügyfelek által megbízhatónak számító érvényes x.509-tanúsítvánnyal rendelkező SSL/TLS protokollt használják. - Ha az AD RMS-kiszolgálók tűzfal mögött vannak, vagy fordított proxyval vannak közzétéve, a /_wmcs mappa interneten való közzététele mellett a /my mappát is közzé kell tennie (például: _https://RMSserver.contoso.com/my). |
Az AD RMS előfeltételeivel és az üzembe helyezéssel kapcsolatos információkért tekintse meg a cikk előfeltételek szakaszát. |
| A Windows Serveren üzembe helyezett AD FS: - Az AD FS-kiszolgálófarmnak elérhetőnek kell lennie az internetről (összevonási kiszolgálóproxykat telepített). - Az űrlapalapú hitelesítés nem támogatott; Windows integrált hitelesítést kell használnia Fontos: Az AD FS-nek az AD RMS-t és a mobileszköz-bővítményt futtató számítógéptől eltérő számítógépet kell futtatnia. |
Az AD FS-sel kapcsolatos dokumentációt a Windows Server AD FS telepítési útmutatójában találja a Windows Server-kódtárban. Az AD FS-t konfigurálni kell a mobileszköz-bővítményhez. Útmutatásért tekintse meg az AD FS konfigurálása az AD RMS mobileszköz-bővítményhez című szakaszát ebben a témakörben. |
| A mobileszközöknek megbízhatónak kell lenniük az RMS-kiszolgálón (vagy kiszolgálókon) található PKI-tanúsítványokban | Amikor nyilvános hitelesítésszolgáltatótól (például VeriSigntől vagy Comodotól) vásárolja meg a kiszolgálótanúsítványokat, valószínű, hogy a mobileszközök már megbíznak a legfelső szintű hitelesítésszolgáltatóban ezeknél a tanúsítványoknál, így ezek az eszközök további konfiguráció nélkül megbízhatók lesznek a kiszolgálótanúsítványokban. Ha azonban saját belső hitelesítésszolgáltatót használ az RMS kiszolgálótanúsítványainak üzembe helyezéséhez, további lépéseket kell tennie a legfelső szintű hitelesítésszolgáltatói tanúsítvány mobileszközökre való telepítéséhez. Ha ezt nem teszi meg, a mobileszközök nem fognak tudni sikeres kapcsolatot létesíteni az RMS-kiszolgálóval. |
| SRV-rekordok a DNS-ben | Hozzon létre egy vagy több SRV rekordot a vállalati tartományában vagy tartományaiban: 1: Hozzon létre egy rekordot minden olyan e-mail-tartomány utótaghoz, amelyet a felhasználók használni fognak 2: Hozzon létre egy rekordot minden olyan teljes tartománynévhez, amelyet az RMS-fürtök használnak a tartalom védelmére, a fürt nevét nem beleértve Ezeknek a rekordoknak feloldhatónak kell lenniük minden olyan hálózatról, amelyet a csatlakozó mobileszközök használnak, beleértve az intranetet is, ha a mobileszközök az intraneten keresztül csatlakoznak. Amikor a felhasználók megadják az e-mail-címüket a mobileszközükről, a tartomány utótagja határozza meg, hogy AD RMS-infrastruktúrát vagy Azure AIP-t kell-e használniuk. Az SRV rekord megtalálásakor a rendszer átirányítja az ügyfeleket az adott URL-címre válaszoló AD RMS-kiszolgálóra. Amikor a felhasználók mobileszközzel használnak védett tartalmat, az ügyfélalkalmazás dns-ben keres egy olyan rekordot, amely megfelel a tartalom védelmét biztosító fürt URL-címében szereplő teljes tartománynévnek (a fürt neve nélkül). Az eszköz ezután a DNS-rekordban megadott AD RMS-fürtre lesz irányítva, és beszerez egy licencet a tartalom megnyitásához. A legtöbb esetben az RMS-fürt ugyanaz az RMS-fürt lesz, amely a tartalmat védi. Az SRV-rekordok megadásáról a jelen témakör az AD RMS mobileszköz-bővítményszakasz DNS SRV-rekordjainak megadása című szakaszában olvashat. |
| Támogatott ügyfelek a platformHOZ készült MIP SDK használatával fejlesztett alkalmazásokat használva. | Töltse le a támogatott alkalmazásokat a használt eszközökhöz a Microsoft Azure Information Protection letöltési oldalán található hivatkozások használatával. |
Az AD FS konfigurálása az AD RMS mobileszköz-bővítményhez
Először konfigurálnia kell az AD FS-t, majd engedélyeznie kell az AIP-alkalmazást a használni kívánt eszközökhöz.
1. lépés: Az AD FS konfigurálása
- Futtathat Windows PowerShell-szkriptet az AD FS automatikus konfigurálásához az AD RMS mobileszköz-bővítmény támogatásához, vagy manuálisan is megadhatja a konfigurációs beállításokat és értékeket:
- Az AD FS automatikus konfigurálásához az AD RMS mobileszköz-bővítményhez másolja és illessze be a következőket egy Windows PowerShell-szkriptfájlba, majd futtassa:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server
# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring Microsoft Rights Management Mobile Device Extension "
# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
=> issue(claim = c);
"@
# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@
# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules $AuthorizationRules
Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
- Ha manuálisan szeretné konfigurálni az AD FS-t az AD RMS mobileszköz-bővítményéhez, használja az alábbi beállításokat:
| Konfigurálás | Érték |
|---|---|
| Függő entitás megbízhatósága | _api.rms.rest.com |
| Jogcímszabály | Attribútumtároló: Active Directory E-mail címek: E-mail-cím Felhasználónév: UPN Proxy-cím: _https://schemas.xmlsoap.org/claims/ProxyAddresses |
Tipp.
Az AD RMS AD FS-sel való üzembe helyezésére vonatkozó részletes útmutatásért lásd: Active Directory Rights Management Services üzembe helyezése Active Directory összevonási szolgáltatások (AD FS).
2. lépés: Alkalmazások engedélyezése az eszközökhöz
- Futtassa a következő Windows PowerShell-parancsot a változók lecserélése után, hogy támogatást adjon az Azure Information Protection alkalmazáshoz. Győződjön meg arról, hogy mindkét parancsot az alábbi sorrendben futtatja:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Példa PowerShell-lel
Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Az Azure Information Protection egyesített címkézési ügyfélprogramjához futtassa a következő Windows PowerShell-parancsot az Azure Information Protection-ügyfél támogatásának hozzáadásához az eszközein:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
- Az ADFS windows 2016-os és 2019-es és ADRMS MDE külső termékekhez való támogatásához futtassa a következő Windows PowerShell-parancsot:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Ha az AIP-ügyfelet Windows, Mac, Mobile és Office Mobilerendszeren szeretné konfigurálni a HYOK- vagy AD RMS-védelemmel védett tartalmak Windows Server 2012 R2 és újabb rendszereken futó AD FS-sel való használatához, használja az alábbiakat:
- Mac-eszközök esetén (az RMS megosztóalkalmazás használatával) mindenképpen futtassa mindkét parancsot az alábbi sorrendben:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- iOS-eszközök esetén (az Azure Information Protection alkalmazás használatával) mindenképpen futtassa mindkét parancsot az alábbi sorrendben:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Android-eszközök esetén (az Azure Information Protection alkalmazással) győződjön meg arról, hogy mindkét parancsot az alábbi sorrendben futtatja:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Futtassa az alábbi PowerShell-parancsokat a Microsoft Office-app támogatásának hozzáadásához az eszközein:
- Mac, iOS és Android rendszerű eszközök esetén (mindenképpen futtassa mindkét parancsot a megjelenített sorrendben):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"
Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Az AD RMS mobileszköz-bővítmény DNS SRV-rekordjainak megadása
A felhasználók által használt e-mail-tartományokhoz DNS SRV-rekordokat kell létrehoznia. Ha az összes felhasználó egyetlen szülőtartomány gyermektartományait használja, és az egybefüggő névtér összes felhasználója ugyanazt az RMS-fürtöt használja, a szülőtartományban csak egy SRV rekordot használhat, az RMS pedig megtalálja a megfelelő DNS-rekordokat.
Az SRV rekordok formátuma a következő: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>
Megjegyzés:
Adja meg a 443-at a <portnumberhez>. Bár megadhat egy másik portszámot a DNS-ben, a mobileszköz-bővítményt használó eszközök mindig a 443-at használják.
Ha például a szervezet a következő e-mail-címmel rendelkező felhasználókkal rendelkezik:
- _user@contoso.com
- _user@sales.contoso.com
- _user@fabrikam.com Ha a _contoso.com nincs olyan gyermektartománya, amely a _rmsserver.contoso.com nevűtől eltérő RMS-fürtöt használ, hozzon létre két olyan DNS SRV-rekordot, amelyek az alábbi értékekkel rendelkeznek:
- _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
- _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com
Ha a DNS-kiszolgálói szerepkört Windows Serveren használja, a DNS Manager-konzol SRV rekordtulajdonságainak útmutatójaként használja az alábbi táblázatokat:
| Mező | Érték |
|---|---|
| Tartomány | _tcp.contoso.com |
| Szolgáltatás | _rmsdisco |
| Protokoll | _http |
| Prioritás | 0 |
| Súly | 0 |
| Portszám | 443 |
| A szolgáltatást kínáló gazdagép | _rmsserver.contoso.com |
| Mező | Érték |
|---|---|
| Tartomány | _tcp.fabrikam.com |
| Szolgáltatás | _rmsdisco |
| Protokoll | _http |
| Prioritás | 0 |
| Súly | 0 |
| Portszám | 443 |
| A szolgáltatást kínáló gazdagép | _rmsserver.contoso.com |
A levelezési tartományhoz tartozó DNS SRV-rekordok mellett egy másik DNS SRV rekordot is létre kell hoznia az RMS-fürttartományban. Ennek a rekordnak meg kell adnia az RMS-fürt tartalomvédelemmel kapcsolatos teljes tartományneveit. Az RMS által védett minden fájl tartalmaz egy URL-címet a fájlt védett fürtnek. A mobileszközök a DNS SRV rekordot és a rekordban megadott URL-címtartományt használják a megfelelő RMS-fürt megkereséséhez, amely támogatja a mobileszközöket.
Ha például az RMS-fürt _rmsserver.contoso.com, hozzon létre egy DNS SRV rekordot, amely a következő értékeket tartalmazza: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
Ha a DNS Server szerepkört használja a Windows Serveren, a DNS Manager konzol SRV rekordtulajdonságainak útmutatójaként használja az alábbi táblázatot:
| Mező | Érték |
|---|---|
| Tartomány | _tcp.contoso.com |
| Szolgáltatás | _rmsdisco |
| Protokoll | _http |
| Prioritás | 0 |
| Súly | 0 |
| Portszám | 443 |
| A szolgáltatást kínáló gazdagép | _rmsserver.contoso.com |
Az AD RMS mobileszköz-bővítmény üzembe helyezése
Az AD RMS mobileszköz-bővítmény telepítése előtt győződjön meg arról, hogy az előző szakaszban szereplő előfeltételek teljesülnek, és ismeri az AD FS-kiszolgáló URL-címét. Ezután tegye a következőket:
- Töltse le az AD RMS mobileszköz-bővítményt (ADRMS). MobileDeviceExtension.exe) a Microsoft Letöltőközpontból.
- Futtassa az ADRMS-t. MobileDeviceExtension.exe az Active Directory Rights Management Services mobileszköz-bővítmény telepítővarázslójának elindításához. Amikor a rendszer kéri, adja meg a korábban konfigurált AD FS-kiszolgáló URL-címét.
- Végezze el a varázsló lépéseit.
Futtassa ezt a varázslót az RMS-fürt összes csomópontján.
Ha proxykiszolgálója van az AD RMS-fürt és az AD FS-kiszolgálók között, alapértelmezés szerint az AD RMS-fürt nem tud kapcsolatba lépni az összevont szolgáltatással. Ha ez történik, az AD RMS nem tudja ellenőrizni a mobilügyféltől kapott jogkivonatot, és elutasítja a kérést. Ha van proxykiszolgálója, amely blokkolja ezt a kommunikációt, frissítenie kell a web.config fájlt az AD RMS mobileszköz-bővítmény webhelyéről, hogy az AD RMS megkerülhesse a proxykiszolgálót, amikor kapcsolatba kell lépnie az AD FS-kiszolgálókkal.
Az AD RMS mobileszköz-bővítmény proxybeállításainak frissítése
Nyissa meg a web.config fájlt, amely a \Program Files\Active Directory Rights Management Services mobileszköz-bővítmény\Web Service fájlban található.
Adja hozzá a következő csomópontot a fájlhoz:
<system.net> <defaultProxy> <proxy proxyaddress="http://<proxy server>:<port>" bypassonlocal="true" /> <bypasslist> <add address="<AD FS URL>" /> </bypasslist> </defaultProxy> <system.net>Végezze el a következő módosításokat, majd mentse a fájlt:
- Cserélje le <a proxykiszolgálót> a proxykiszolgáló nevére vagy címére.
- Cserélje le <a portot> arra a portszámra, amelyre a proxykiszolgáló konfigurálva van.
- Cserélje le <az AD FS URL-címét> az összevonási szolgáltatás URL-címére. Ne tartalmazza a HTTP-előtagot.
Megjegyzés:
A proxybeállítások felülírásáról további információt a Proxykonfiguráció dokumentációjában talál.
Az IIS alaphelyzetbe állításához például futtassa az iisresetet rendszergazdaként egy parancssorból.
Ismételje meg ezt az eljárást az RMS-fürt összes csomópontján.
Kapcsolódó információk
További információ az Azure Information Protectionről, kapcsolatfelvétel más AIP-ügyfelekkel és az AIP-termékmenedzserekkel az API Yammer-csoport használatával.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: