Share via

Extensão de dispositivo móvel do Ative Directory Rights Management Services

  • Artigo

Pode transferir a extensão de dispositivo móvel do Ative Directory Rights Management Services (AD RMS) a partir do Centro de Transferências da Microsoft e instalar esta extensão sobre uma implementação existente do AD RMS. Isso permite que os usuários protejam e consumam dados confidenciais quando seus dispositivos suportam os aplicativos habilitados para API mais recentes. Por exemplo, os usuários podem fazer o seguinte em seus dispositivos móveis:

  • Use o aplicativo Proteção de Informações do Azure para consumir arquivos de texto protegidos em diferentes formatos (incluindo .txt, .csv e .xml).
  • Use o aplicativo Proteção de Informações do Azure para consumir arquivos de imagem protegidos (incluindo .jpg, .gif e .tif).
  • Use o aplicativo Proteção de Informações do Azure para abrir qualquer arquivo que tenha sido protegido genericamente (formato .pfile).
  • Use o aplicativo Proteção de Informações do Azure para abrir um arquivo do Office (Word, Excel, PowerPoint) que seja uma cópia PDF (formato .pdf e .ppdf).
  • Use o aplicativo Proteção de Informações do Azure para abrir mensagens de email protegidas (.rpmsg) e arquivos PDF protegidos no Microsoft SharePoint.
  • Use um visualizador de PDF habilitado para AIP para visualização entre plataformas ou para abrir arquivos PDF que foram protegidos com qualquer aplicativo habilitado para AIP.
  • Use seus aplicativos habilitados para AIP desenvolvidos internamente que foram escritos usando o MIP SDK.

Nota

Você pode baixar o aplicativo Proteção de Informações do Azure na página Microsoft Rights Management do site da Microsoft . Para obter informações sobre outros aplicativos compatíveis com a extensão de dispositivo móvel, consulte a tabela na página Aplicativos desta documentação. Para obter mais informações sobre os diferentes tipos de ficheiro suportados pelo RMS, consulte a secção Tipos de ficheiro suportados e extensões de nome de ficheiro do Guia do administrador da aplicação de partilha Rights Management.

Importante

Certifique-se de ler e configurar os pré-requisitos antes de instalar a extensão do dispositivo móvel.

Para obter informações adicionais, baixe o white paper "Proteção de Informações do Microsoft Azure" e os scripts que o acompanham no Centro de Download da Microsoft.

Pré-requisitos para a extensão de dispositivo móvel AD RMS

Antes de instalar a extensão de dispositivo móvel AD RMS, verifique se as seguintes dependências estão instaladas.

Necessidade Mais informações
Uma implantação existente do AD RMS no Windows Server 2019, 2016, 2012 R2 ou 2012, que inclui o seguinte:

- O cluster AD RMS deve estar acessível a partir da Internet.

- O AD RMS deve estar usando um banco de dados completo baseado no Microsoft SQL Server em um servidor separado e não o Banco de Dados Interno do Windows que é frequentemente usado para testes no mesmo servidor.

- A conta que você usará para instalar a extensão de dispositivo móvel deve ter direitos sysadmin para a instância do SQL Server que você está usando para o AD RMS.

- Os servidores AD RMS devem ser configurados para usar SSL/TLS com um certificado x.509 válido que seja confiável pelos clientes de dispositivos móveis.

- Se os servidores AD RMS estiverem protegidos por um firewall ou publicados usando um proxy reverso, além de publicar a pasta /_wmcs na Internet, você também deverá publicar a pasta /my (por exemplo: _https://RMSserver.contoso.com/my).		 Para obter detalhes sobre os pré-requisitos do AD RMS e informações de implantação, consulte a seção de pré-requisitos deste artigo.
AD FS implantado no seu Windows Server:

- Seu farm de servidores AD FS deve estar acessível pela Internet (você implantou proxies de servidor de federação).

- A autenticação baseada em formulários não é suportada; você deve usar a Autenticação Integrada do Windows

Importante: O AD FS deve estar executando um computador diferente do computador que executa o AD RMS e a extensão do dispositivo móvel.		 Para obter documentação sobre o AD FS, consulte o Guia de Implantação do AD FS do Windows Server na biblioteca do Windows Server.

O AD FS deve ser configurado para a extensão de dispositivo móvel. Para obter instruções, consulte a seção Configurando o AD FS para a extensão de dispositivo móvel AD RMS neste tópico.
Os dispositivos móveis devem confiar nos certificados PKI no servidor (ou servidores) RMS Quando você compra seus certificados de servidor de uma CA pública, como VeriSign ou Comodo, é provável que os dispositivos móveis já confiem na CA raiz para esses certificados, de modo que esses dispositivos confiem nos certificados do servidor sem configuração adicional.

No entanto, se você usar sua própria autoridade de certificação interna para implantar os certificados de servidor para o RMS, deverá executar etapas adicionais para instalar o certificado de autoridade de certificação raiz nos dispositivos móveis. Se não o fizer, os dispositivos móveis não conseguirão estabelecer uma ligação bem-sucedida com o servidor RMS.
Registos SRV no DNS Crie um ou mais registos SRV no(s) domínio(s) da sua empresa:

1: Crie um registro para cada sufixo de domínio de e-mail que os usuários usarão

2: Crie um registo para cada FQDN utilizado pelos clusters RMS para proteger o conteúdo, não incluindo o nome do cluster

Estes registos devem poder ser resolvidos a partir de qualquer rede utilizada pelos dispositivos móveis que ligam, o que inclui a intranet se os seus dispositivos móveis se ligarem através da intranet.

Quando os usuários fornecem seu endereço de email de seu dispositivo móvel, o sufixo de domínio é usado para identificar se eles devem usar uma infraestrutura do AD RMS ou do Azure AIP. Quando o registro SRV é encontrado, os clientes são redirecionados para o servidor AD RMS que responde a essa URL.

Quando os usuários consomem conteúdo protegido com um dispositivo móvel, o aplicativo cliente procura no DNS um registro que corresponda ao FQDN na URL do cluster que protegeu o conteúdo (sem o nome do cluster). O dispositivo é então direcionado para o cluster AD RMS especificado no registro DNS e adquire uma licença para abrir o conteúdo. Na maioria dos casos, o cluster RMS será o mesmo cluster RMS que protegeu o conteúdo.

Para obter informações sobre como especificar os registros SRV, consulte a seção Especificando os registros SRV DNS para a extensão de dispositivo móvel AD RMS neste tópico.
Clientes suportados usando aplicativos que são desenvolvidos usando o MIP SDK para esta plataforma. Baixe os aplicativos com suporte para os dispositivos que você usa usando os links na página de download da Proteção de Informações do Microsoft Azure.

Configurar o AD FS para a extensão de dispositivo móvel AD RMS

Você deve primeiro configurar o AD FS e, em seguida, autorizar o aplicativo AIP para os dispositivos que deseja usar.

Etapa 1: Para configurar o AD FS

  • Você pode executar um script do Windows PowerShell para configurar automaticamente o AD FS para dar suporte à extensão de dispositivo móvel AD RMS ou pode especificar manualmente as opções e os valores de configuração:
    • Para configurar automaticamente o AD FS para a extensão de dispositivo móvel AD RMS, copie e cole o seguinte em um arquivo de script do Windows PowerShell e execute-o:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Para configurar manualmente o AD FS para a extensão de dispositivo móvel AD RMS, utilize estas definições:
Configuração Valor
Confiança da Terceira Parte Confiável _api.rms.rest.com
Regra de reclamação Repositório de atributos: Ative Directory

Endereços de e-mail: Endereço de e-mail

Nome do Usuário-Principal: UPN

Endereço proxy: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Gorjeta

Para obter instruções passo a passo para um exemplo de implantação do AD RMS com AD FS, consulte Implantando o Ative Directory Rights Management Services com os Serviços de Federação do Ative Directory.

Etapa 2: autorizar aplicativos para seus dispositivos

  • Execute o seguinte comando do Windows PowerShell depois de substituir as variáveis para adicionar suporte ao aplicativo Proteção de Informações do Azure. Certifique-se de executar ambos os comandos na ordem mostrada:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Exemplo do Powershell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para o cliente de rotulagem unificada do Azure Information Protection, execute o seguinte comando do Windows PowerShell para adicionar suporte ao cliente do Azure Information Protection em seus dispositivos:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Para oferecer suporte ao ADFS no Windows 2016 e 2019 e ao ADRMS MDE para produtos de terceiros, execute o seguinte comando do Windows PowerShell:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Para configurar o cliente AIP no Windows, Mac, dispositivos móveis e Office Mobile para consumir conteúdo protegido por HYOK ou AD RMS com AD FS no Windows Server 2012 R2 e versões mais recentes, use o seguinte:

  • Para dispositivos Mac (utilizando a aplicação de partilha RMS), certifique-se de que executa ambos os comandos pela ordem apresentada:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para dispositivos iOS (usando o aplicativo Proteção de Informações do Azure), execute ambos os comandos na ordem mostrada:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para dispositivos Android (usando o aplicativo Proteção de Informações do Azure), execute ambos os comandos na ordem mostrada:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Execute os seguintes comandos do PowerShell para adicionar suporte para aplicativos do Microsoft Office em seus dispositivos:

  • Para dispositivos Mac, iOS e Android (certifique-se de executar ambos os comandos na ordem mostrada):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Especificando os registros SRV DNS para a extensão de dispositivo móvel AD RMS

Você deve criar registros SRV DNS para cada domínio de email usado pelos usuários. Se todos os usuários usarem domínios filho de um único domínio pai e todos os usuários desse namespace contíguo usarem o mesmo cluster RMS, você poderá usar apenas um registro SRV no domínio pai e o RMS encontrará os registros DNS apropriados. Os registos SRV têm o seguinte formato: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Nota

Especifique 443 para o número> da <porta. Embora você possa especificar um número de porta diferente no DNS, os dispositivos que usam a extensão de dispositivo móvel sempre usarão 443.

Por exemplo, se sua organização tiver usuários com os seguintes endereços de email:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Se não houver outros domínios filho para _contoso.com que usem um cluster RMS diferente do chamado _rmsserver.contoso.com, crie dois registros SRV DNS com estes valores:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Se você usar a função Servidor DNS no Windows Server, use as tabelas a seguir como um guia para as propriedades do registro SRV no console do Gerenciador DNS:

Campo Valor
Domínio _tcp.contoso.com
Service _rmsdisco
Protocolo _http
Prioridade 0
Espessura 0
Número da porta 443
Anfitrião que oferece este serviço _rmsserver.contoso.com
Campo Valor
Domínio _tcp.fabrikam.com
Service _rmsdisco
Protocolo _http
Prioridade 0
Espessura 0
Número da porta 443
Anfitrião que oferece este serviço _rmsserver.contoso.com

Além desses registros SRV DNS para seu domínio de email, você deve criar outro registro SRV DNS no domínio de cluster RMS. Esse registro deve especificar os FQDNs do cluster RMS que protegem o conteúdo. Cada ficheiro protegido pelo RMS inclui um URL para o cluster que protegeu esse ficheiro. Os dispositivos móveis usam o registro SRV DNS e o FQDN de URL especificado no registro para localizar o cluster RMS correspondente que pode suportar dispositivos móveis.

Por exemplo, se o cluster RMS for _rmsserver.contoso.com, crie um registro SRV DNS com os seguintes valores: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Se você usar a função Servidor DNS no Windows Server, use a tabela a seguir como um guia para as propriedades do registro SRV no console do Gerenciador DNS:

Campo Valor
Domínio _tcp.contoso.com
Service _rmsdisco
Protocolo _http
Prioridade 0
Espessura 0
Número da porta 443
Anfitrião que oferece este serviço _rmsserver.contoso.com

Implantando a extensão de dispositivo móvel AD RMS

Antes de instalar a extensão de dispositivo móvel AD RMS, verifique se os pré-requisitos da seção anterior estão em vigor e se você sabe a URL do servidor AD FS. Em seguida, faça o seguinte:

  1. Baixe a extensão de dispositivo móvel AD RMS (ADRMS. MobileDeviceExtension.exe) do Centro de Download da Microsoft.
  2. Execute o ADRMS. MobileDeviceExtension.exe para iniciar o Assistente de Configuração da Extensão de Dispositivo Móvel do Ative Directory Rights Management Services. Quando solicitado, insira a URL do servidor AD FS que você configurou anteriormente.
  3. Conclua o assistente.

Execute este assistente em todos os nós do cluster RMS.

Se você tiver um servidor proxy entre o cluster AD RMS e os servidores AD FS, por padrão, o cluster AD RMS não poderá entrar em contato com o serviço federado. Quando isso acontecer, o AD RMS não poderá verificar o token recebido do cliente móvel e rejeitará a solicitação. Se você tiver um servidor proxy que bloqueie essa comunicação, deverá atualizar o arquivo web.config do site de extensão de dispositivo móvel do AD RMS, para que o AD RMS possa ignorar o servidor proxy quando precisar entrar em contato com os servidores AD FS.

Atualizar definições de proxy para a extensão de dispositivo móvel AD RMS

  1. Abra o arquivo web.config localizado em \Arquivos de Programas\Ative Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Adicione o seguinte nó ao arquivo:

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Faça as seguintes alterações e salve o arquivo:

    • Substitua <o servidor> proxy pelo nome ou endereço do servidor proxy.
    • Substitua <a porta pelo número da porta> que o servidor proxy está configurado para usar.
    • Substitua <AD FS URL pela URL> do serviço de federação. Não inclua o prefixo HTTP.

    Nota

    Para saber mais sobre como substituir as configurações de proxy, consulte a documentação de configuração de proxy.

  4. Redefina o IIS, por exemplo, executando iisreset como administrador em um prompt de comando.

Repita este procedimento em todos os nós do cluster RMS.

Consulte Também

Saiba mais sobre a Proteção de Informações do Azure, entre em contato com outros clientes do AIP e com gerentes de produto do AIP usando o grupo do yammer da API.