rozszerzenie urządzenia przenośnego Usługi Active Directory Rights Management
Rozszerzenie urządzenia przenośnego usługi Usługi Active Directory Rights Management (AD RMS) można pobrać z Centrum pobierania Microsoft i zainstalować to rozszerzenie na podstawie istniejącego wdrożenia usług AD RMS. Dzięki temu użytkownicy mogą chronić i korzystać z poufnych danych, gdy ich urządzenie obsługuje najnowsze aplikacje obsługujące interfejs API. Na przykład użytkownicy mogą wykonywać następujące czynności na swoich urządzeniach przenośnych:
- Użyj aplikacji Azure Information Protection, aby korzystać z chronionych plików tekstowych w różnych formatach (w tym .txt, csv i .xml).
- Użyj aplikacji Azure Information Protection, aby korzystać z chronionych plików obrazów (w tym .jpg, .gif i .tif).
- Użyj aplikacji Azure Information Protection, aby otworzyć dowolny plik, który został objęty ochroną ogólną (format pfile).
- Użyj aplikacji Azure Information Protection, aby otworzyć plik pakietu Office (Word, Excel, PowerPoint), który jest kopią plików PDF (format pdf i ppdf).
- Użyj aplikacji Azure Information Protection, aby otworzyć chronione wiadomości e-mail (rpmsg) i chronione pliki PDF w programie Microsoft SharePoint.
- Przeglądarka plików PDF z obsługą usługi AIP umożliwia wyświetlanie międzyplatformowe lub otwieranie plików PDF chronionych przy użyciu dowolnej aplikacji obsługującej usługę AIP.
- Użyj wewnętrznie opracowanych aplikacji obsługujących usługę AIP, które zostały napisane przy użyciu zestawu MIP SDK.
Uwaga
Aplikację Azure Information Protection można pobrać ze strony usługi Microsoft Rights Management w witrynie internetowej firmy Microsoft. Aby uzyskać informacje o innych aplikacjach obsługiwanych za pomocą rozszerzenia urządzenia przenośnego, zobacz tabelę na stronie Aplikacje z tej dokumentacji. Aby uzyskać więcej informacji na temat różnych typów plików obsługiwanych przez usługę RMS, zobacz sekcję Obsługiwane typy plików i rozszerzenia nazw plików w przewodniku administratora aplikacji do udostępniania usługi Rights Management.
Ważne
Przed zainstalowaniem rozszerzenia urządzenia przenośnego pamiętaj o przeczytaniu i skonfigurowaniu wymagań wstępnych.
Aby uzyskać dodatkowe informacje, pobierz oficjalny dokument "Microsoft Azure Information Protection" i towarzyszące skrypty z Centrum pobierania Microsoft.
Wymagania wstępne dotyczące rozszerzenia urządzenia przenośnego usługi AD RMS
Przed zainstalowaniem rozszerzenia urządzenia przenośnego usług AD RMS upewnij się, że obowiązują następujące zależności.
| Wymaganie | Więcej informacji |
|---|---|
| Istniejące wdrożenie usług AD RMS w systemie Windows Server 2019, 2016, 2012 R2 lub 2012, które obejmuje następujące elementy: — Klaster usług AD RMS musi być dostępny z Internetu. — Usługi AD RMS muszą używać pełnej bazy danych opartej na programie Microsoft SQL Server na osobnym serwerze, a nie wewnętrzna baza danych systemu Windows, które są często używane do testowania na tym samym serwerze. — Konto, którego użyjesz do zainstalowania rozszerzenia urządzenia przenośnego, musi mieć uprawnienia administratora systemu dla wystąpienia programu SQL Server używanego dla usług AD RMS. — Serwery usług AD RMS muszą być skonfigurowane do używania protokołu SSL/TLS z prawidłowym certyfikatem x.509, który jest zaufany przez klientów urządzeń przenośnych. - Jeśli serwery usług AD RMS znajdują się za zaporą lub opublikowane przy użyciu zwrotnego serwera proxy, oprócz publikowania folderu /_wmcs w Internecie, należy również opublikować /my folder (na przykład: _https://RMSserver.contoso.com/my). |
Aby uzyskać szczegółowe informacje na temat wymagań wstępnych i wdrażania usług AD RMS, zobacz sekcję wymagań wstępnych w tym artykule. |
| Usługi AD FS wdrożone w systemie Windows Server: — Farma serwerów usług AD FS musi być dostępna z Internetu (wdrożone serwery proxy serwera federacyjnego). - Uwierzytelnianie oparte na formularzach nie jest obsługiwane; Należy użyć zintegrowanego uwierzytelniania systemu Windows Ważne: usługi AD FS muszą mieć inny komputer z uruchomionym usługą AD RMS i rozszerzeniem urządzenia przenośnego. |
Aby uzyskać dokumentację dotyczącą usług AD FS, zobacz Przewodnik wdrażania usług AD FS systemu Windows Server w bibliotece systemu Windows Server. Usługi AD FS należy skonfigurować dla rozszerzenia urządzenia przenośnego. Aby uzyskać instrukcje, zobacz sekcję Konfigurowanie usług AD FS dla rozszerzenia urządzeń przenośnych usług AD RMS w tym temacie. |
| Urządzenia przenośne muszą ufać certyfikatom PKI na serwerze usługi RMS (lub serwerach) | W przypadku zakupu certyfikatów serwera z publicznego urzędu certyfikacji, takiego jak VeriSign lub Comodo, prawdopodobnie urządzenia przenośne będą już ufać głównemu urzędowi certyfikacji dla tych certyfikatów, aby te urządzenia ufały certyfikatom serwera bez dodawania konfiguracji. Jeśli jednak używasz własnego wewnętrznego urzędu certyfikacji do wdrażania certyfikatów serwera dla usługi RMS, należy wykonać dodatkowe kroki w celu zainstalowania certyfikatu głównego urzędu certyfikacji na urządzeniach przenośnych. Jeśli tego nie zrobisz, urządzenia przenośne nie będą mogły nawiązać pomyślnego połączenia z serwerem usługi RMS. |
| Rekordy SRV w systemie DNS | Utwórz co najmniej jeden rekord SRV w domenie lub domenach firmy: 1: Utwórz rekord dla każdego sufiksu domeny poczty e-mail, którego użytkownicy będą używać 2: Utwórz rekord dla każdej nazwy FQDN używanej przez klastry usługi RMS do ochrony zawartości, a nie w tym nazwy klastra Te rekordy muszą być rozpoznawane z dowolnej sieci używanej przez łączenie urządzeń przenośnych, która obejmuje intranet, jeśli urządzenia przenośne łączą się za pośrednictwem intranetu. Gdy użytkownicy podają swój adres e-mail z urządzenia przenośnego, sufiks domeny służy do identyfikowania, czy należy używać infrastruktury usług AD RMS, czy usługi Azure AIP. Po znalezieniu rekordu SRV klienci są przekierowywani do serwera usług AD RMS, który odpowiada na ten adres URL. Gdy użytkownicy używają chronionej zawartości z urządzeniem przenośnym, aplikacja kliencka wyszukuje w systemie DNS rekord zgodny z nazwą FQDN w adresie URL klastra, który chroni zawartość (bez nazwy klastra). Następnie urządzenie jest kierowane do klastra usług AD RMS określonego w rekordzie DNS i uzyskuje licencję, aby otworzyć zawartość. W większości przypadków klaster usługi RMS będzie tym samym klastrem usługi RMS, który chronił zawartość. Aby uzyskać informacje o sposobie określania rekordów SRV, zobacz sekcję Określanie rekordów SRV DNS dla rozszerzenia urządzenia przenośnego usług AD RMS w tym temacie. |
| Obsługiwani klienci korzystający z aplikacji opracowanych przy użyciu zestawu MIP SDK dla tej platformy. | Pobierz obsługiwane aplikacje dla urządzeń, których używasz, korzystając z linków na stronie pobierania usługi Microsoft Azure Information Protection . |
Konfigurowanie usług AD FS dla rozszerzenia urządzenia przenośnego usług AD RMS
Najpierw należy skonfigurować usługi AD FS, a następnie autoryzować aplikację AIP dla urządzeń, których chcesz użyć.
Krok 1. Aby skonfigurować usługi AD FS
- Możesz uruchomić skrypt programu Windows PowerShell, aby automatycznie skonfigurować usługi AD FS do obsługi rozszerzenia urządzenia przenośnego usług AD RMS lub ręcznie określić opcje konfiguracji i wartości:
- Aby automatycznie skonfigurować usługi AD FS dla rozszerzenia urządzenia przenośnego usług AD RMS, skopiuj i wklej następujące polecenie do pliku skryptu programu Windows PowerShell, a następnie uruchom go:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server
# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring Microsoft Rights Management Mobile Device Extension "
# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
=> issue(claim = c);
"@
# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@
# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules $AuthorizationRules
Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
- Aby ręcznie skonfigurować usługi AD FS dla rozszerzenia urządzenia przenośnego usług AD RMS, użyj następujących ustawień:
| Konfiguracja | Wartość |
|---|---|
| Zaufanie jednostki uzależnionej | _api.rms.rest.com |
| Reguła oświadczenia | Magazyn atrybutów: Active Directory Adresy e-mail: adres e-mail Główna nazwa użytkownika: nazwa UPN Adres serwera proxy: _https://schemas.xmlsoap.org/claims/ProxyAddresses |
Napiwek
Aby uzyskać instrukcje krok po kroku dotyczące przykładowego wdrożenia usług AD RMS z usługami AD FS, zobacz Wdrażanie Usługi Active Directory Rights Management za pomocą usług Active Directory Federation Services.
Krok 2. Autoryzowanie aplikacji dla urządzeń
- Uruchom następujące polecenie programu Windows PowerShell po zastąpieniu zmiennych, aby dodać obsługę aplikacji Azure Information Protection . Pamiętaj, aby uruchomić oba polecenia w podanej kolejności:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Przykład programu PowerShell
Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- W przypadku klienta ujednoliconego etykietowania usługi Azure Information Protection uruchom następujące polecenie programu Windows PowerShell, aby dodać obsługę klienta usługi Azure Information Protection na urządzeniach:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
- Aby obsługiwać usługi ADFS w systemach Windows 2016 i 2019 i ADRMS MDE dla produktów innych firm, uruchom następujące polecenie programu Windows PowerShell:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Aby skonfigurować klienta usługi AIP w systemach Windows, Mac, mobile i Office Mobile do korzystania z zawartości chronionej przez usługę HYOK lub AD RMS z usługami AD FS w systemie Windows Server 2012 R2 i nowszych, użyj następujących funkcji:
- W przypadku urządzeń Mac (przy użyciu aplikacji RMS sharing) upewnij się, że uruchom oba polecenia w podanej kolejności:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- W przypadku urządzeń z systemem iOS (przy użyciu aplikacji Azure Information Protection) upewnij się, że uruchom oba polecenia w podanej kolejności:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- W przypadku urządzeń z systemem Android (przy użyciu aplikacji Azure Information Protection) upewnij się, że uruchom oba polecenia w podanej kolejności:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Uruchom następujące polecenia programu PowerShell, aby dodać obsługę aplikacja pakietu Office firmy Microsoft na urządzeniach:
- W przypadku komputerów Mac, iOS, Android (upewnij się, że uruchomiono oba polecenia w podanej kolejności):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"
Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Określanie rekordów SRV SYSTEMU DNS dla rozszerzenia urządzenia przenośnego usługi AD RMS
Należy utworzyć rekordy SRV SYSTEMU DNS dla każdej domeny poczty e-mail używanej przez użytkowników. Jeśli wszyscy użytkownicy używają domen podrzędnych z jednej domeny nadrzędnej, a wszyscy użytkownicy z tej ciągłej przestrzeni nazw używają tego samego klastra usługi RMS, możesz użyć tylko jednego rekordu SRV w domenie nadrzędnej, a usługi RMS znajdą odpowiednie rekordy DNS.
Rekordy SRV mają następujący format: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>
Uwaga
Określ wartość 443 dla <numeru> portu. Chociaż można określić inny numer portu w systemie DNS, urządzenia korzystające z rozszerzenia urządzenia przenośnego będą zawsze używać wartości 443.
Jeśli na przykład organizacja ma użytkowników z następującymi adresami e-mail:
- _user@contoso.com
- _user@sales.contoso.com
- _user@fabrikam.com Jeśli nie ma żadnych innych domen podrzędnych dla _contoso.com, które używają innego klastra USŁUGI RMS niż ten o nazwie _rmsserver.contoso.com, utwórz dwa rekordy SRV DNS, które mają następujące wartości:
- _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
- _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com
Jeśli używasz roli serwera DNS w systemie Windows Server, użyj poniższych tabel jako przewodnika dla właściwości rekordu SRV w konsoli Menedżera DNS:
| Pole | Wartość |
|---|---|
| Domain | _tcp.contoso.com |
| Service | _rmsdisco |
| Protokół | _http |
| Priorytet | 0 |
| Weight | 0 |
| Numer portu | 443 |
| Host oferujący tę usługę | _rmsserver.contoso.com |
| Pole | Wartość |
|---|---|
| Domain | _tcp.fabrikam.com |
| Service | _rmsdisco |
| Protokół | _http |
| Priorytet | 0 |
| Weight | 0 |
| Numer portu | 443 |
| Host oferujący tę usługę | _rmsserver.contoso.com |
Oprócz tych rekordów SRV DNS dla domeny poczty e-mail należy utworzyć inny rekord SRV DNS w domenie klastra usługi RMS. Ten rekord musi określać nazwy FQDN klastra usługi RMS, które chroni zawartość. Każdy plik chroniony przez usługę RMS zawiera adres URL klastra, który chronił ten plik. Urządzenia przenośne używają rekordu SRV DNS i nazwy FQDN adresu URL określonego w rekordzie, aby znaleźć odpowiedni klaster usługi RMS, który może obsługiwać urządzenia przenośne.
Jeśli na przykład klaster usługi RMS to _rmsserver.contoso.com, utwórz rekord SRV DNS o następujących wartościach: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
Jeśli używasz roli serwera DNS w systemie Windows Server, użyj poniższej tabeli jako przewodnika dla właściwości rekordu SRV w konsoli Menedżera DNS:
| Pole | Wartość |
|---|---|
| Domain | _tcp.contoso.com |
| Service | _rmsdisco |
| Protokół | _http |
| Priorytet | 0 |
| Weight | 0 |
| Numer portu | 443 |
| Host oferujący tę usługę | _rmsserver.contoso.com |
Wdrażanie rozszerzenia urządzenia przenośnego usług AD RMS
Przed zainstalowaniem rozszerzenia urządzenia przenośnego usług AD RMS upewnij się, że zostały spełnione wymagania wstępne z poprzedniej sekcji i że znasz adres URL serwera usług AD FS. Następnie wykonaj poniższe czynności:
- Pobierz rozszerzenie urządzenia przenośnego usługi AD RMS (ADRMS). MobileDeviceExtension.exe) z Centrum pobierania Microsoft.
- Uruchom polecenie ADRMS. MobileDeviceExtension.exe, aby uruchomić Kreatora instalacji rozszerzenia urządzenia przenośnego Usługi Active Directory Rights Management. Po wyświetleniu monitu wprowadź adres URL skonfigurowanego wcześniej serwera usług AD FS.
- Wykonaj kroki kreatora.
Uruchom tego kreatora na wszystkich węzłach w klastrze usługi RMS.
Jeśli masz serwer proxy między klastrem usług AD RMS i serwerami usług AD FS, domyślnie klaster usług AD RMS nie będzie mógł skontaktować się z usługą federacyjną. W takim przypadku usługi AD RMS nie będą mogły zweryfikować tokenu otrzymanego od klienta mobilnego i odrzuci żądanie. Jeśli masz serwer proxy, który blokuje tę komunikację, należy zaktualizować plik web.config z witryny sieci Web rozszerzenia urządzenia przenośnego usług AD RMS, aby usługi AD RMS mogły pominąć serwer proxy, gdy musi skontaktować się z serwerami usług AD FS.
Aktualizowanie ustawień serwera proxy dla rozszerzenia urządzenia przenośnego usług AD RMS
Otwórz plik web.config, który znajduje się w folderze \Program Files\Usługi Active Directory Rights Management Mobile Device Extension\Web Service.
Dodaj następujący węzeł do pliku:
<system.net> <defaultProxy> <proxy proxyaddress="http://<proxy server>:<port>" bypassonlocal="true" /> <bypasslist> <add address="<AD FS URL>" /> </bypasslist> </defaultProxy> <system.net>Wprowadź następujące zmiany, a następnie zapisz plik:
- Zastąp serwer <proxy> nazwą lub adresem serwera proxy.
- Zastąp <port> numerem portu skonfigurowanym do użycia przez serwer proxy.
- Zastąp <adres URL usług AD FS adresem URL> usługi federacyjnej. Nie dołączaj prefiksu HTTP.
Uwaga
Aby dowiedzieć się więcej na temat zastępowania ustawień serwera proxy, zobacz Dokumentację konfiguracji serwera proxy.
Zresetuj usługi IIS, na przykład, uruchamiając polecenie iisreset jako administrator w wierszu polecenia.
Powtórz tę procedurę we wszystkich węzłach w klastrze usługi RMS.
Zobacz też
Dowiedz się więcej na temat usługi Azure Information Protection, skontaktuj się z innymi klientami usługi AIP i menedżerami produktów usługi AIP przy użyciu grupy yammer interfejsu API.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla