Estensione di Active Directory Rights Management Services per dispositivi mobili

È possibile scaricare l'estensione del dispositivo mobile Active Directory Rights Management Services (AD RMS) dall'Area download Microsoft e installare questa estensione sopra una distribuzione AD RMS esistente. Ciò consente agli utenti di proteggere e utilizzare dati sensibili quando il dispositivo supporta le app abilitate per le API più recenti. Ad esempio, gli utenti possono eseguire le operazioni seguenti nei dispositivi mobili:

  • Usare l'app azure Information Protection per usare file di testo protetti in formati diversi,tra cui .txt, .csv e .xml.
  • Usare l'app azure Information Protection per usare file di immagine protetti (inclusi .jpg, .gif e tif).
  • Usare l'app Azure Information Protection per aprire qualsiasi file protetto in modo generico (formato con estensione pfile).
  • Usare l'app Azure Information Protection per aprire un file di Office (Word, Excel, PowerPoint) che è una copia PDF (formato .pdf e ppdf).
  • Usare l'app azure Information Protection per aprire i messaggi di posta elettronica protetti (con estensione rpmsg) e i file PDF protetti in Microsoft SharePoint.
  • Usa un visualizzatore PDF con riconoscimento dei dati AIP per la visualizzazione multipiattaforma o per aprire i file PDF protetti con qualsiasi applicazione con riconoscimento dei dati AIP.
  • Usare le app abilitate per AIP sviluppate internamente scritte tramite MIP SDK.

Nota

È possibile scaricare l'app Azure Information Protection dalla pagina Microsoft Rights Management del sito Web Microsoft. Per informazioni sulle altre app supportate con l'estensione del dispositivo mobile, vedere la tabella nella pagina Applicazioni di questa documentazione. Per altre informazioni sui diversi tipi di file supportati da RMS, vedere la sezione Tipi di file supportati e estensioni di file della guida dell'amministratore dell'applicazione Rights Management sharing.

Importante

Assicurarsi di leggere e configurare i prerequisiti prima di installare l'estensione del dispositivo mobile.

Per altre informazioni, scaricare il white paper "Microsoft Azure Information Protection" e gli script associati dall'Area download Microsoft.

Prerequisiti per l'estensione del dispositivo mobile AD RMS

Prima di installare l'estensione del dispositivo mobile AD RMS, assicurarsi che siano presenti le dipendenze seguenti.

Requisito Altre informazioni
Distribuzione di AD RMS esistente in Windows Server 2019, 2016, 2012 R2 o 2012, che include quanto segue:

- Il cluster AD RMS deve essere accessibile da Internet.

- AD RMS deve usare un database completo basato su Microsoft SQL Server in un server separato e non il Database interno di Windows spesso usato per il test nello stesso server.

- L'account che verrà usato per installare l'estensione del dispositivo mobile deve disporre dei diritti sysadmin per l'istanza di SQL Server in uso per AD RMS.

- I server AD RMS devono essere configurati per l'uso di SSL/TLS con un certificato x.509 valido considerato attendibile dai client dei dispositivi mobili.

- Se i server AD RMS si trovano dietro un firewall o pubblicati tramite un proxy inverso, oltre a pubblicare la cartella /_wmcs in Internet, è necessario pubblicare anche la cartella /my ,ad esempio: _https://RMSserver.contoso.com/my.
Per informazioni dettagliate sui prerequisiti e sulla distribuzione di AD RMS, vedere la sezione prerequisiti di questo articolo.
AD FS distribuito in Windows Server:

- La server farm di AD FS deve essere accessibile da Internet (i proxy server federativi sono stati distribuiti).

- L'autenticazione basata su form non è supportata; è necessario usare l'autenticazione integrata di Windows

Importante: AD FS deve eseguire un computer diverso dal computer che esegue AD RMS e l'estensione del dispositivo mobile.
Per la documentazione su AD FS, vedere la guida alla distribuzione di Windows Server AD FS nella libreria di Windows Server.

ADFS deve essere configurato per l'estensione per dispositivi mobili. Per istruzioni, vedere la sezione Configurazione di AD FS per l'estensione del dispositivo mobile AD RMS in questo argomento.
I dispositivi mobili devono considerare attendibili i certificati PKI nel server RMS (o server) Quando si acquistano i certificati server da una CA pubblica, ad esempio VeriSign o Comodo, è probabile che i dispositivi mobili considerino già attendibile la CA radice per questi certificati, in modo che questi dispositivi considerino attendibili i certificati del server senza alcuna configurazione aggiuntiva.

Tuttavia, se si usa la propria CA interna per distribuire i certificati server per RMS, è necessario eseguire passaggi aggiuntivi per installare il certificato CA radice nei dispositivi mobili. In caso contrario, i dispositivi mobili non saranno in grado di stabilire una connessione corretta con il server RMS.
Record SRV in DNS Creare uno o più record SRV nel dominio o nei domini aziendali:

1: Creare un record per ogni suffisso di dominio di posta elettronica che gli utenti useranno

2: Creare un record per ogni FQDN usato dai cluster RMS per proteggere il contenuto, senza includere il nome del cluster

Questi record devono essere risolvibili da qualsiasi rete usata dai dispositivi mobili che si connettono ai dispositivi mobili, che include la Intranet se i dispositivi mobili si connettono tramite intranet.

Quando gli utenti specificano l'indirizzo di posta elettronica dal dispositivo mobile, il suffisso di dominio viene usato per identificare se devono usare un'infrastruttura AD RMS o Azure AIP. Quando il record SRV viene trovato, i client vengono reindirizzati al server AD RMS che risponde a tale URL.

Quando gli utenti usano contenuto protetto con un dispositivo mobile, l'applicazione client cerca in DNS un record che corrisponde al nome di dominio completo nell'URL del cluster che ha protetto il contenuto (senza il nome del cluster). Il dispositivo viene quindi indirizzato al cluster AD RMS specificato nel record DNS e acquisisce una licenza per aprire il contenuto. Nella maggior parte dei casi, il cluster RMS sarà lo stesso che ha protetto il contenuto.

Per informazioni su come specificare i record SRV, vedere la sezione Specifica dei record SRV DNS per l'estensione del dispositivo mobile AD RMS in questo argomento.
Client supportati che usano applicazioni sviluppate usando MIP SDK per questa piattaforma. Scaricare le app supportate per i dispositivi usati usando i collegamenti nella pagina di download di Microsoft Azure Information Protection.

Configurare ADFS per l'estensione AD RMS per dispositivi mobili

È prima necessario configurare AD FS e quindi autorizzare l'app AIP per i dispositivi da usare.

Passaggio 1: Per configurare AD FS

  • È possibile eseguire uno script di Windows PowerShell per configurare automaticamente ADFS in modo da supportare l'estensione AD RMS per dispositivi mobili oppure specificare manualmente le opzioni e i valori di configurazione:
    • Per configurare automaticamente AD FS per l'estensione del dispositivo mobile AD RMS, copiare e incollare quanto segue in un file di script Windows PowerShell e quindi eseguirlo:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Per configurare manualmente AD FS per l'estensione del dispositivo mobile AD RMS, usare queste impostazioni:
Configuration Valore
Attendibilità relying party _api.rms.rest.com
Regola attestazione Archivio attributi: Active Directory

Indirizzi di posta elettronica: indirizzo di posta elettronica

User-Principal-Name: UPN

Indirizzo proxy: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Suggerimento

Per istruzioni dettagliate per una distribuzione di esempio di AD RMS con AD FS, vedere Distribuzione di Active Directory Rights Management Services con Active Directory Federation Services.

Passaggio 2: Autorizzare le app per i dispositivi

  • Eseguire il comando Windows PowerShell seguente dopo aver sostituito le variabili per aggiungere il supporto per l'app azure Information Protection. Assicurarsi di eseguire entrambi i comandi nell'ordine indicato:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Esempio di PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Per il client di etichettatura unificata di Azure Information Protection, eseguire il comando Windows PowerShell seguente per aggiungere il supporto per il client Information Protection di Azure nei dispositivi:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Per supportare ADFS in Windows 2016 e 2019 e ADRMS MDE per prodotti di terze parti, eseguire il comando Windows PowerShell seguente:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Per configurare il client AIP in Windows, Mac, Mobile e Office Mobile per l'utilizzo di contenuto protetto HYOK o AD RMS con AD FS in Windows Server 2012 R2 e versioni successive, usare quanto segue:

  • Per i dispositivi Mac (usando l'app RMS sharing), assicurarsi di eseguire entrambi i comandi nell'ordine indicato:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Per i dispositivi iOS (usando l'app Azure Information Protection), assicurarsi di eseguire entrambi i comandi nell'ordine indicato:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Per i dispositivi Android (usando l'app Azure Information Protection), assicurarsi di eseguire entrambi i comandi nell'ordine indicato:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Eseguire i comandi di PowerShell seguenti per aggiungere il supporto per le app di Microsoft Office nei dispositivi:

  • Per i dispositivi Mac, iOS, Android (assicurarsi di eseguire entrambi i comandi nell'ordine indicato):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Specificare il record DNS SRV per l'estensione AD RMS per dispositivi mobili

È necessario creare record DNS SRV per ogni dominio di posta elettronica che si vuole venga usato dagli utenti. Se tutti gli utenti usano domini figlio di un singolo dominio padre e tutti gli utenti di questo spazio dei nomi contiguo usano lo stesso cluster RMS, è possibile usare un solo record SRV nel dominio padre. RMS troverà i record DNS appropriati. I record SRV hanno il formato seguente: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Nota

Specificare 443 per il <numero porta>. Sebbene sia possibile specificare un numero di porta diverso in DNS, i dispositivi che usano l'estensione del dispositivo mobile useranno sempre 443.

Se ad esempio l'organizzazione ha utenti con gli indirizzi di posta elettronica seguenti:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com Se non sono presenti altri domini figlio per _contoso.com che usano un cluster RMS diverso da quello denominato _rmsserver.contoso.com, creare due record SRV DNS con questi valori:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Se si usa il ruolo Server DNS in Windows Server, usare le tabelle seguenti come guida per le proprietà del record SRV nella console di Gestione DNS:

Campo Valore
Dominio _tcp.contoso.com
Servizio _rmsdisco
Protocollo _http
Priorità 0
Peso 0
Numero porta 443
Host che offre questo servizio _rmsserver.contoso.com
Campo Valore
Dominio _tcp.fabrikam.com
Servizio _rmsdisco
Protocollo _http
Priorità 0
Peso 0
Numero porta 443
Host che offre questo servizio _rmsserver.contoso.com

Oltre a questi record SRV DNS per il dominio di posta elettronica, è necessario creare un altro record SRV DNS nel dominio del cluster RMS. Questo record deve specificare gli FQDN del cluster RMS che protegge il contenuto. Ogni file protetto con RMS include un URL del cluster che lo ha protetto. I dispositivi mobili usano il record DNS SRV e il nome FQDN dell'URL specificato nel record per trovare il cluster RMS in grado di supportarli.

Ad esempio, se il cluster RMS è _rmsserver.contoso.com, creare un record SRV DNS con i valori seguenti: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Se si usa il ruolo server DNS in Windows Server, usare la tabella seguente come guida per le proprietà dei record SRV nella console di Gestione DNS:

Campo Valore
Dominio _tcp.contoso.com
Servizio _rmsdisco
Protocollo _http
Priorità 0
Peso 0
Numero porta 443
Host che offre questo servizio _rmsserver.contoso.com

Distribuire l'estensione AD RMS per dispositivi mobili

Prima di installare l'estensione del dispositivo mobile AD RMS, assicurarsi che i prerequisiti della sezione precedente siano presenti e che l'URL del server AD FS sia presente. Eseguire quindi le operazioni seguenti:

  1. Scaricare l'estensione del dispositivo mobile AD RMS (ADRMS.MobileDeviceExtension.exe) dall'Area download Microsoft.
  2. Eseguire ADRMS.MobileDeviceExtension.exe per avviare l'installazione guidata dell'estensione del dispositivo mobile Active Directory Rights Management Services. Quando richiesto, immettere l'URL del server ADFS configurato in precedenza.
  3. Completare la procedura guidata.

Eseguire questa procedura guidata in tutti i nodi del cluster RMS.

Se si dispone di un server proxy tra il cluster AD RMS e i server AD FS, per impostazione predefinita, il cluster AD RMS non sarà in grado di contattare il servizio federato. In questo caso, AD RMS non sarà in grado di verificare il token ricevuto dal client mobile e rifiuterà la richiesta. Se si dispone di un server proxy che blocca questa comunicazione, è necessario aggiornare il file web.config dal sito Web dell'estensione del dispositivo mobile AD RMS, in modo che AD RMS possa ignorare il server proxy quando deve contattare i server AD FS.

Aggiornamento delle impostazioni proxy per l'estensione del dispositivo mobile AD RMS

  1. Aprire il file web.config che si trova in \Programmi\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Aggiungere il nodo seguente al file:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. Apportare le modifiche seguenti e quindi salvare il file:

    • Sostituire <proxy-server> con il nome o l'indirizzo del server proxy.
    • Sostituire <la porta con il numero di porta> che il server proxy è configurato per l'uso.
    • Sostituire <l'URL> di AD FS con l'URL del servizio federativo. Non includere il prefisso HTTP.

    Nota

    Per altre informazioni sull'override delle impostazioni proxy, vedere Documentazione sulla configurazione proxy .

  4. Reimpostare IIS, ad esempio, eseguendo iisreset come amministratore da un prompt dei comandi.

Ripetere questa procedura su tutti i nodi del cluster RMS.

Vedere anche

Altre informazioni su Azure Information Protection, contattare altri clienti di AIP e i responsabili dei prodotti AIP usando il gruppo di yammer API.