Расширение служб Active Directory Rights Management для мобильных устройств

Вы можете скачать расширение мобильного устройства Служб active Directory Rights Management (AD RMS) из Центра загрузки Майкрософт и установить это расширение на основе существующего развертывания AD RMS. Это позволяет пользователям защищать и использовать конфиденциальные данные, когда их устройство поддерживает последние приложения с поддержкой API. Например, пользователи могут выполнять следующие действия на своих мобильных устройствах:

  • Используйте приложение Azure Information Protection для использования защищенных текстовых файлов в разных форматах (включая .txt, .csv и .xml).
  • Используйте приложение Azure Information Protection для использования защищенных файлов изображений (включая .jpg, .gif и ТИФ).
  • Используйте приложение Azure Information Protection, чтобы открыть любой файл, защищенный универсальным образом (PFILE-формат).
  • Используйте приложение Azure Information Protection, чтобы открыть файл Office (Word, Excel, PowerPoint), который является pdf-копией (формат .pdf и PPDF).
  • Используйте приложение Azure Information Protection для открытия защищенных сообщений электронной почты (RPMSG) и защищенных PDF-файлов в Microsoft SharePoint.
  • Используйте средство просмотра PDF с поддержкой AIP для кроссплатформенного просмотра или открытия PDF-файлов, защищенных с помощью любого приложения с поддержкой AIP.
  • Используйте внутренне разработанные приложения с поддержкой AIP, написанные с помощью пакета SDK для MIP.

Примечание

Приложение Azure Information Protection можно скачать на странице Microsoft Rights Management веб-сайта Майкрософт. Сведения о других приложениях, поддерживаемых расширением мобильных устройств, см. в таблице на странице "Приложения" этой документации. Дополнительные сведения о различных типах файлов, поддерживаемых RMS, см. в разделе "Поддерживаемые типы файлов и расширения имен файлов " руководства администратора приложения для управления доступом Rights Management.

Важно!

Перед установкой расширения мобильного устройства обязательно прочитайте и настройте необходимые компоненты.

Дополнительные сведения см. в техническом документе "Microsoft Azure Information Protection" и сопутствующих сценариях из Центра загрузки Майкрософт.

Предварительные требования для расширения мобильных устройств AD RMS

Перед установкой расширения мобильного устройства AD RMS убедитесь, что установлены следующие зависимости.

Требование Дополнительные сведения
Существующее развертывание AD RMS в Windows Server 2019, 2016, 2012 R2 или 2012, которое включает в себя следующее:

— Кластер AD RMS должен быть доступен из Интернета.

— AD RMS должна использовать полную базу данных на основе Microsoft SQL Server на отдельном сервере, а не внутренняя база данных Windows, который часто используется для тестирования на одном сервере.

— Учетная запись, используемая для установки расширения мобильного устройства, должна иметь права системного администратора для экземпляра SQL Server, который вы используете для AD RMS.

— Серверы AD RMS должны быть настроены для использования SSL/TLS с действительным сертификатом x.509, доверенным клиентами мобильных устройств.

— Если серверы AD RMS находятся за брандмауэром или публикуются с помощью обратного прокси-сервера, помимо публикации папки /_wmcs в Интернете, необходимо также опубликовать папку /my (например: _https://RMSserver.contoso.com/my).
Дополнительные сведения о предварительных требованиях и развертывании AD RMS см. в разделе предварительных требований этой статьи.
AD FS, развернутые на сервере Windows Server:

— Ферма серверов AD FS должна быть доступна из Интернета (развернутые прокси-серверы федерации).

— Проверка подлинности на основе форм не поддерживается; Необходимо использовать встроенную проверку подлинности Windows.

Важно! AD FS должен работать на другом компьютере с AD RMS и расширением мобильного устройства.
Документацию по AD FS см. в руководстве по развертыванию Windows Server AD FS в библиотеке Windows Server.

AD FS должны быть настроены для расширения для мобильных устройств. Инструкции см. в разделе "Настройка AD FS для расширения мобильных устройств AD RMS " в этом разделе.
Мобильные устройства должны доверять PKI-сертификатам на сервере RMS (или серверах) При покупке сертификатов сервера из общедоступного ЦС, таких как VeriSign или Comodo, скорее всего, мобильные устройства будут доверять корневому ЦС для этих сертификатов, чтобы эти устройства доверяли сертификатам сервера без дополнительных настроек.

Однако если для развертывания сертификатов сервера для RMS используется собственный внутренний ЦС, необходимо выполнить дополнительные действия по установке сертификата корневого ЦС на мобильных устройствах. Если этого не сделать, мобильные устройства не смогут установить успешное подключение к серверу RMS.
Записи SRV в DNS Создайте одну или несколько записей SRV в домене или доменах компании:

1. Создание записи для каждого суффикса домена электронной почты, который будут использовать пользователи

2. Создайте запись для каждого полного доменного имени, используемого кластерами RMS для защиты содержимого, не включая имя кластера.

Эти записи должны быть разрешаемыми из любой сети, используемой подключенными мобильными устройствами, которая включает в себя интрасеть, если мобильные устройства подключаются через интрасеть.

Когда пользователи предоставляют свой адрес электронной почты с мобильного устройства, суффикс домена используется для определения того, следует ли использовать инфраструктуру AD RMS или Azure AIP. Когда запись SRV обнаруживается, клиенты перенаправляются на сервер AD RMS, который отвечает на этот URL-адрес.

Когда пользователи используют защищенное содержимое с помощью мобильного устройства, клиентское приложение ищет в DNS запись, соответствующую полному доменному имени в URL-адресе кластера, который защищен содержимым (без имени кластера). Затем это устройство направляется в кластер AD RMS, указанный в записи DNS, и получает лицензию для открытия контента. В большинстве случаев этот кластер RMS совпадает с кластером RMS, который защитил контент.

Сведения об указании записей SRV см. в разделе "Указание записей DNS SRV" для расширения мобильных устройств AD RMS в этом разделе.
Поддерживаемые клиенты, использующие приложения, разработанные с помощью пакета SDK MIP для этой платформы. Скачайте поддерживаемые приложения для устройств, которые вы используете, с помощью ссылок на странице скачивания Microsoft Azure Information Protection.

Настройка AD FS для расширения AD RMS для мобильных устройств

Сначала необходимо настроить AD FS, а затем авторизовать приложение AIP для устройств, которые вы хотите использовать.

Шаг 1. Настройка AD FS

  • Вы можете запустить скрипт Windows PowerShell, чтобы автоматически настроить AD FS для поддержки расширения AD RMS для мобильных устройств, или вручную задать параметры конфигурации и значения.
    • Чтобы автоматически настроить AD FS для расширения мобильного устройства AD RMS, скопируйте и вставьте следующий код в файл скрипта Windows PowerShell, а затем запустите его:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Чтобы вручную настроить AD FS для расширения мобильного устройства AD RMS, используйте следующие параметры:
Конфигурация Значение
Доверие проверяющей стороны _api.rms.rest.com
Правило утверждения Хранилище атрибутов — Active Directory.

Адреса электронной почты: адрес электронной почты

Имя участника-пользователя: имя участника-пользователя

Прокси-адрес: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Совет

Пошаговые инструкции по развертыванию AD RMS с помощью AD FS см. в статье "Развертывание служб Active Directory Rights Management с помощью службы федерации Active Directory (AD FS)".

Шаг 2. Авторизация приложений для устройств

  • Выполните следующую команду Windows PowerShell после замены переменных, чтобы добавить поддержку приложения Azure Information Protection. Обязательно выполните обе команды в указанном порядке:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Пример PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для клиента унифицированных меток Azure Information Protection выполните следующую команду Windows PowerShell, чтобы добавить поддержку клиента Azure Information Protection на устройствах:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Чтобы поддерживать ADFS в Windows 2016 и 2019 и ADRMS MDE для сторонних продуктов, выполните следующую команду Windows PowerShell:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Чтобы настроить клиент AIP в Windows, Mac, mobile и Office Mobile для использования защищенного содержимого HYOK или AD RMS с ad FS на Windows Server 2012 R2 и более новых версий, используйте следующее:

  • Для устройств Mac (с помощью приложения для управления доступом RMS) выполните обе команды в указанном порядке:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для устройств iOS (с помощью приложения Azure Information Protection) выполните обе команды в указанном порядке:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для устройств Android (с помощью приложения Azure Information Protection) выполните обе команды в указанном порядке:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Выполните следующие команды PowerShell, чтобы добавить поддержку приложений Microsoft Office на устройствах:

  • Для Mac, iOS, устройств Android (обе команды должны выполняться в указанном порядке):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Указание записей DNS SRV для расширения мобильного устройства AD RMS

Вы должны создать записи SRV DNS для каждого домена электронной почты, используемого вашими пользователями. Если все пользователи используют дочерние домены из одного родительского домена и все пользователи из этого непрерывного пространства имен используют один кластер RMS, то можно использовать только одну запись SRV в родительском домене и RMS найдет соответствующие записи DNS. Записи SRV имеют следующий формат: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Примечание

Укажите значение 443 для <номера> порта. Хотя можно указать другой номер порта в DNS, устройства, использующие расширение мобильного устройства, всегда будут использовать 443.

Например, если в организации имеются пользователи со следующими адресами электронной почты:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com Если для _contoso.com нет других дочерних доменов, использующих кластер RMS, отличный от одного именованного _rmsserver.contoso.com, создайте две записи DNS SRV со следующими значениями:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Если вы используете роль DNS-сервера в Windows Server, используйте следующие таблицы в качестве руководства по свойствам записи SRV в консоли диспетчера DNS:

Поле Значение
Домен _tcp.contoso.com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел этой службы _rmsserver.contoso.com
Поле Значение
Домен _tcp.fabrikam.com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел этой службы _rmsserver.contoso.com

Помимо этих записей SRV DNS для домена электронной почты, необходимо создать в домене кластера RMS еще одну запись DNS SRV. Эта запись должна указывать полные доменные имена кластера RMS, защищающего содержимое. Каждый файл, защищенный RMS, включает URL-адрес кластера, защитившего этот файл. Мобильные устройства используют запись SRV DNS и полное доменное имя URL-адреса, указанное в записи, для поиска соответствующего кластера RMS, который может поддерживать мобильные устройства.

Например, если кластер RMS имеет значение _rmsserver.contoso.com, создайте запись SRV DNS со следующими значениями: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Если вы используете роль DNS-сервера в Windows Server, используйте следующую таблицу в качестве руководства по свойствам записи SRV в консоли диспетчера DNS:

Поле Значение
Домен _tcp.contoso.com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел этой службы _rmsserver.contoso.com

Развертывание расширения AD RMS для мобильных устройств

Перед установкой расширения мобильного устройства AD RMS убедитесь, что необходимые компоненты из предыдущего раздела установлены и что вы знаете URL-адрес сервера AD FS. После этого выполните описанные ниже действия.

  1. Скачайте расширение мобильного устройства AD RMS (ADRMS.MobileDeviceExtension.exe) из Центра загрузки Майкрософт.
  2. Запустите ADRMS.MobileDeviceExtension.exe , чтобы запустить мастер настройки расширения мобильных устройств служб Active Directory Rights Management Services. При появлении запроса введите URL-адрес сервера AD FS, настроенный ранее.
  3. Завершите работу мастера.

Запустите этот мастер на всех узлах кластера RMS.

Если у вас есть прокси-сервер между кластером AD RMS и серверами AD FS, по умолчанию кластер AD RMS не сможет связаться с федеративной службой. В этом случае СЛУЖБА AD RMS не сможет проверить маркер, полученный от мобильного клиента, и отклонит запрос. Если у вас есть прокси-сервер, который блокирует этот обмен данными, необходимо обновить файл web.config с веб-сайта расширения мобильных устройств AD RMS, чтобы служба AD RMS может обойти прокси-сервер, когда он должен связаться с серверами AD FS.

Обновление параметров прокси-сервера для расширения мобильных устройств AD RMS

  1. Откройте файл web.config, расположенный в папке \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Добавьте в файл следующий узел:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. Внесите следующие изменения и сохраните файл:

    • Замените <прокси-сервер> именем или адресом прокси-сервера.
    • Замените <порт> номером порта, который настроен для использования прокси-сервером.
    • Замените <URL-адрес AD FS URL URL-адресом> службы федерации. Не включайте префикс HTTP.

    Примечание

    Дополнительные сведения о переопределении параметров прокси-сервера см. в документации по настройке прокси-сервера .

  4. Сбросьте IIS, например, запустив iisreset от имени администратора из командной строки.

Повторите эту процедуру на всех узлах в кластере RMS.

См. также:

Узнайте больше об Azure Information Protection, свяжитесь с другими клиентами AIP и с менеджерами по продуктам AIP с помощью группы yammer API.