Ekstensi Perangkat Seluler Layanan Active Directory Rights Management
Anda dapat mengunduh ekstensi perangkat seluler Layanan Active Directory Rights Management (AD RMS) dari Pusat Unduhan Microsoft dan menginstal ekstensi ini di atas penyebaran AD RMS yang ada. Ini memungkinkan pengguna melindungi dan menggunakan data sensitif saat perangkat mereka mendukung aplikasi tercerahkan API terbaru. Misalnya, pengguna dapat melakukan hal berikut di perangkat seluler mereka:
- Gunakan aplikasi Perlindungan Informasi Azure untuk menggunakan file teks yang dilindungi dalam format yang berbeda (termasuk .txt, .csv, dan .xml).
- Gunakan aplikasi Perlindungan Informasi Azure untuk menggunakan file gambar yang dilindungi (termasuk .jpg, .gif, dan .tif).
- Gunakan aplikasi Perlindungan Informasi Azure untuk membuka file apa pun yang telah dilindungi secara generis (format.pfile).
- Gunakan aplikasi Perlindungan Informasi Azure untuk membuka file Office (Word, Excel, PowerPoint) yang merupakan salinan PDF (format .pdf dan .ppdf).
- Gunakan aplikasi Perlindungan Informasi Azure untuk membuka pesan email yang dilindungi (.rpmsg) dan file PDF yang dilindungi di Microsoft SharePoint.
- Gunakan penampil PDF yang tercerahkan AIP untuk melihat lintas platform atau untuk membuka file PDF yang dilindungi dengan aplikasi yang tercerahkan AIP.
- Gunakan aplikasi tercerahkan AIP yang dikembangkan secara internal yang ditulis dengan menggunakan MIP SDK.
Catatan
Anda dapat mengunduh aplikasi Perlindungan Informasi Azure dari halaman Manajemen Hak Microsoft dari situs web Microsoft. Untuk informasi tentang aplikasi lain yang didukung dengan ekstensi perangkat seluler, lihat tabel di halaman Aplikasi dari dokumentasi ini. Untuk informasi selengkapnya tentang berbagai jenis file yang didukung RMS, lihat bagian Jenis file yang didukung dan ekstensi nama file dari panduan administrator aplikasi berbagi Manajemen Hak.
Penting
Pastikan untuk membaca dan mengonfigurasi prasyarat sebelum Anda menginstal ekstensi perangkat seluler.
Untuk informasi tambahan, unduh laporan resmi "Perlindungan Informasi Microsoft Azure" dan skrip yang menyertainya dari Pusat Unduhan Microsoft.
Prasyarat untuk ekstensi perangkat seluler AD RMS
Sebelum Anda menginstal ekstensi perangkat seluler AD RMS, pastikan dependensi berikut diberlakukan.
| Persyaratan | Informasi selengkapnya |
|---|---|
| Penyebaran AD RMS yang ada di Windows Server 2019, 2016, 2012 R2, atau 2012, yang mencakup hal berikut: - Kluster AD RMS Anda harus dapat diakses dari Internet. - AD RMS harus menggunakan database penuh berbasis Microsoft SQL Server pada server terpisah dan bukan Database Internal Windows yang sering digunakan untuk pengujian di server yang sama. - Akun yang akan Anda gunakan untuk menginstal ekstensi perangkat seluler harus memiliki hak sysadmin untuk instans SQL Server yang Anda gunakan untuk AD RMS. - Server AD RMS harus dikonfigurasi untuk menggunakan SSL/TLS dengan sertifikat x.509 yang valid yang dipercaya oleh klien perangkat seluler. - Jika server AD RMS berada di belakang firewall atau diterbitkan dengan menggunakan proksi terbalik, selain menerbitkan folder /_wmcs ke Internet, Anda juga harus menerbitkan folder /my (misalnya: _https://RMSserver.contoso.com/my). |
Untuk detail tentang prasyarat dan informasi penyebaran AD RMS, lihat bagian prasyarat di artikel ini. |
| Layanan Federasi Direktori Aktif yang disebarkan di Windows Server Anda: - Farm server Layanan Federasi Direktori Aktif Anda harus dapat diakses dari Internet (Anda telah menyebarkan proksi server federasi). - Autentikasi berbasis formulir tidak didukung; Anda harus menggunakan Autentikasi Terintegrasi Windows Penting: Layanan Federasi Direktori Aktif harus menjalankan komputer yang berbeda dari komputer yang menjalankan AD RMS dan ekstensi perangkat seluler. |
Untuk dokumentasi tentang Layanan Federasi Direktori Aktif, lihat Panduan Penyebaran Layanan Federasi Direktori Aktif Windows Server di pustaka Windows Server. Layanan Federasi Direktori Aktif harus dikonfigurasi untuk ekstensi perangkat seluler. Untuk petunjuknya, lihat bagian Mengonfigurasi Layanan Federasi Direktori Aktif untuk ekstensi perangkat seluler AD RMS dalam topik ini. |
| Perangkat seluler harus mempercayai sertifikat PKI di server RMS (atau server) | Saat Anda membeli sertifikat server dari CA publik, seperti VeriSign atau Comodo, kemungkinan perangkat seluler sudah akan mempercayai OS akar untuk sertifikat ini, sehingga perangkat ini akan mempercayai sertifikat server tanpa konfigurasi tambahan. Namun, jika Anda menggunakan CA internal Anda sendiri untuk menyebarkan sertifikat server untuk RMS, Anda harus mengambil langkah tambahan untuk menginstal sertifikat OS akar di perangkat seluler. Jika tidak melakukan ini, perangkat seluler tidak akan dapat membuat koneksi yang berhasil dengan server RMS. |
| Catatan SRV di DNS | Buat satu atau beberapa catatan SRV di domain atau domain perusahaan Anda: 1: Buat catatan untuk setiap akhiran domain email yang akan digunakan pengguna 2: Buat catatan untuk setiap FQDN yang digunakan oleh kluster RMS Anda untuk melindungi konten, tidak termasuk nama kluster Rekaman ini harus dapat diselesaikan dari jaringan apa pun yang digunakan perangkat seluler yang menghubungkan, yang mencakup intranet jika perangkat seluler Anda terhubung melalui intranet. Saat pengguna memberikan alamat email mereka dari perangkat seluler mereka, akhiran domain digunakan untuk mengidentifikasi apakah mereka harus menggunakan infrastruktur AD RMS atau Azure AIP. Ketika catatan SRV ditemukan, klien dialihkan ke server AD RMS yang merespons URL tersebut. Saat pengguna menggunakan konten yang dilindungi dengan perangkat seluler, aplikasi klien mencari di DNS untuk rekaman yang cocok dengan FQDN di URL kluster yang melindungi konten (tanpa nama kluster). Perangkat kemudian diarahkan ke kluster AD RMS yang ditentukan dalam catatan DNS dan memperoleh lisensi untuk membuka konten. Dalam kebanyakan kasus, kluster RMS akan menjadi kluster RMS yang sama yang melindungi konten. Untuk informasi tentang cara menentukan catatan SRV, lihat bagian Menentukan catatan DNS SRV untuk ekstensi perangkat seluler AD RMS dalam topik ini. |
| Klien yang didukung menggunakan aplikasi yang dikembangkan dengan menggunakan MIP SDK untuk platform ini. | Unduh aplikasi yang didukung untuk perangkat yang Anda gunakan dengan menggunakan tautan di halaman unduhan Perlindungan Informasi Microsoft Azure. |
Mengonfigurasi Layanan Federasi Direktori Aktif untuk ekstensi perangkat seluler AD RMS
Anda harus terlebih dahulu mengonfigurasi Layanan Federasi Direktori Aktif, lalu mengotorisasi aplikasi AIP untuk perangkat yang ingin Anda gunakan.
Langkah 1: Untuk mengonfigurasi Layanan Federasi Direktori Aktif
- Anda dapat menjalankan skrip Windows PowerShell untuk mengonfigurasi AD FS secara otomatis untuk mendukung ekstensi perangkat seluler AD RMS, atau Anda dapat menentukan opsi dan nilai konfigurasi secara manual:
- Untuk mengonfigurasi Ad FS secara otomatis untuk ekstensi perangkat seluler AD RMS, salin dan tempel yang berikut ini ke dalam file skrip Windows PowerShell, lalu jalankan:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server
# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring Microsoft Rights Management Mobile Device Extension "
# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
=> issue(claim = c);
"@
# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@
# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules $AuthorizationRules
Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
- Untuk mengonfigurasi AD FS secara manual untuk ekstensi perangkat seluler AD RMS, gunakan pengaturan berikut:
| Konfigurasi | Nilai |
|---|---|
| Kepercayaan Pihak yang Mengandalkan | _api.rms.rest.com |
| Aturan klaim | Penyimpanan atribut: Direktori Aktif Alamat email: Alamat email User-Principal-Name: UPN Alamat Proksi: _https://schemas.xmlsoap.org/claims/ProxyAddresses |
Tip
Untuk instruksi langkah demi langkah untuk contoh penyebaran AD RMS dengan Layanan Federasi Direktori Aktif, lihat Menyebarkan Layanan Active Directory Rights Management dengan Layanan Federasi Direktori Aktif.
Langkah 2: Mengotorisasi aplikasi untuk perangkat Anda
- Jalankan perintah Windows PowerShell berikut setelah mengganti variabel untuk menambahkan dukungan untuk aplikasi Perlindungan Informasi Azure. Pastikan untuk menjalankan kedua perintah dalam urutan yang ditampilkan:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Contoh Powershell
Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Untuk klien pelabelan terpadu Perlindungan Informasi Azure, jalankan perintah Windows PowerShell berikut ini untuk menambahkan dukungan untuk klien Perlindungan Informasi Azure di perangkat Anda:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
- Untuk mendukung ADFS pada Windows 2016 dan 2019 dan ADRMS MDE untuk produk pihak ketiga, jalankan perintah Windows PowerShell berikut:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Untuk mengonfigurasi klien AIP di Windows, Mac, seluler, dan Office Mobile untuk menggunakan konten yang dilindungi HYOK atau AD RMS dengan LAYANAN Federasi Direktori Aktif di Windows Server 2012 R2 dan yang lebih baru, gunakan hal berikut:
- Untuk perangkat Mac (menggunakan app berbagi RMS), pastikan untuk menjalankan kedua perintah dalam urutan yang ditampilkan:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Untuk perangkat iOS (menggunakan aplikasi Perlindungan Informasi Azure), pastikan untuk menjalankan kedua perintah dalam urutan yang ditampilkan:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Untuk perangkat Android (menggunakan aplikasi Perlindungan Informasi Azure), pastikan untuk menjalankan kedua perintah dalam urutan yang ditampilkan:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Jalankan perintah PowerShell berikut untuk menambahkan dukungan untuk Microsoft aplikasi Office di perangkat Anda:
- Untuk perangkat Mac, iOS, Android (pastikan untuk menjalankan kedua perintah dalam urutan yang ditampilkan):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"
Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Menentukan catatan DNS SRV untuk ekstensi perangkat seluler AD RMS
Anda harus membuat catatan DNS SRV untuk setiap domain email yang digunakan pengguna Anda. Jika semua pengguna Anda menggunakan domain turunan dari domain induk tunggal, dan semua pengguna dari namespace layanan yang berdampingan ini menggunakan kluster RMS yang sama, Anda hanya dapat menggunakan satu catatan SRV di domain induk, dan RMS akan menemukan catatan DNS yang sesuai.
Catatan SRV memiliki format berikut: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>
Catatan
Tentukan 443 untuk <nomor port>. Meskipun Anda dapat menentukan nomor port yang berbeda di DNS, perangkat yang menggunakan ekstensi perangkat seluler akan selalu menggunakan 443.
Misalnya, jika organisasi Anda memiliki pengguna dengan alamat email berikut:
- _user@contoso.com
- _user@sales.contoso.com
- _user@fabrikam.com Jika tidak ada domain anak lain untuk _contoso.com yang menggunakan kluster RMS yang berbeda dari yang bernama _rmsserver.contoso.com, buat dua catatan DNS SRV yang memiliki nilai ini:
- _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
- _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com
Jika Anda menggunakan peran Server DNS di Windows Server, gunakan tabel berikut ini sebagai panduan untuk properti rekaman SRV di konsol DNS Manager:
| Bidang | Nilai |
|---|---|
| Domain | _tcp.contoso.com |
| Layanan | _rmsdisco |
| Protokol | _http |
| Prioritas | 0 |
| Beban | 0 |
| Nomor port | 443 |
| Host menawarkan layanan ini | _rmsserver.contoso.com |
| Bidang | Nilai |
|---|---|
| Domain | _tcp.fabrikam.com |
| Layanan | _rmsdisco |
| Protokol | _http |
| Prioritas | 0 |
| Beban | 0 |
| Nomor port | 443 |
| Host menawarkan layanan ini | _rmsserver.contoso.com |
Selain catatan DNS SRV ini untuk domain email Anda, Anda harus membuat catatan DNS SRV lain di domain kluster RMS. Rekaman ini harus menentukan FQDN kluster RMS Anda yang melindungi konten. Setiap file yang dilindungi oleh RMS menyertakan URL ke kluster yang melindungi file tersebut. Perangkat seluler menggunakan catatan DNS SRV dan URL FQDN yang ditentukan dalam catatan untuk menemukan kluster RMS terkait yang dapat mendukung perangkat seluler.
Misalnya, jika kluster RMS Anda adalah _rmsserver.contoso.com, buat catatan DNS SRV yang memiliki nilai berikut: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
Jika Anda menggunakan peran Server DNS di Windows Server, gunakan tabel berikut ini sebagai panduan untuk properti rekaman SRV di konsol DNS Manager:
| Bidang | Nilai |
|---|---|
| Domain | _tcp.contoso.com |
| Layanan | _rmsdisco |
| Protokol | _http |
| Prioritas | 0 |
| Beban | 0 |
| Nomor port | 443 |
| Host menawarkan layanan ini | _rmsserver.contoso.com |
Menyebarkan ekstensi perangkat seluler AD RMS
Sebelum Anda menginstal ekstensi perangkat seluler AD RMS, pastikan prasyarat dari bagian sebelumnya sudah ada, dan Anda mengetahui URL server LAYANAN Federasi Direktori Aktif Anda. Lalu, lakukan hal berikut:
- Unduh ekstensi perangkat seluler AD RMS (ADRMS. MobileDeviceExtension.exe) dari Pusat Unduhan Microsoft.
- Jalankan ADRMS. MobileDeviceExtension.exe untuk memulai Wizard Penyetelan Ekstensi Perangkat Seluler Layanan Active Directory Rights Management. Saat diminta, masukkan URL server Layanan Federasi Direktori Aktif yang Anda konfigurasi sebelumnya.
- Selesaikan wizard.
Jalankan wizard ini pada semua simpul di kluster RMS Anda.
Jika Anda memiliki server proksi antara kluster AD RMS dan server LAYANAN Federasi Direktori Aktif, secara default, kluster AD RMS Anda tidak akan dapat menghubungi layanan federasi. Ketika ini terjadi, AD RMS tidak akan dapat memverifikasi token yang diterima dari klien seluler dan akan menolak permintaan. Jika Anda memiliki server proksi yang memblokir komunikasi ini, Anda harus memperbarui file web.config dari situs web ekstensi perangkat seluler AD RMS, sehingga AD RMS dapat melewati server proksi saat perlu menghubungi server LAYANAN Federasi Direktori Aktif.
Memperbarui pengaturan proksi untuk ekstensi perangkat seluler AD RMS
Buka file web.config yang terletak di \Program Files\Layanan Active Directory Rights Management Mobile Device Extension\Web Service.
Tambahkan simpul berikut ke file:
<system.net> <defaultProxy> <proxy proxyaddress="http://<proxy server>:<port>" bypassonlocal="true" /> <bypasslist> <add address="<AD FS URL>" /> </bypasslist> </defaultProxy> <system.net>Buat perubahan berikut, lalu simpan file:
- Ganti <proxy-server> dengan nama atau alamat server proksi Anda.
- Ganti <port> dengan nomor port yang dikonfigurasi server proksi untuk digunakan.
- Ganti <URL> LAYANAN Federasi Direktori Aktif dengan URL layanan federasi. Jangan sertakan awalan HTTP.
Catatan
Untuk mempelajari selengkapnya tentang mengesampingkan pengaturan proksi, lihat Dokumentasi Konfigurasi Proksi.
Reset IIS, misalnya, dengan menjalankan iisreset sebagai administrator dari prompt perintah.
Ulangi prosedur ini pada semua simpul di kluster RMS Anda.
Lihat Juga
Cari tahu selengkapnya tentang Perlindungan Informasi Azure, lakukan kontak dengan pelanggan AIP lainnya, dan dengan manajer produk AIP menggunakan grup YAMMER API.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk