расширение мобильных устройств службы Active Directory Rights Management

  • Статья

Вы можете скачать расширение мобильного устройства службы Active Directory Rights Management (AD RMS) из Центра загрузки Майкрософт и установить это расширение поверх существующего развертывания AD RMS. Это позволяет пользователям защищать конфиденциальные данные и потреблять конфиденциальные данные, когда их устройство поддерживает последние приложения с поддержкой API. Например, пользователи могут выполнять следующие действия на своих мобильных устройствах:

  • Используйте приложение Azure Information Protection для использования защищенных текстовых файлов в различных форматах (включая TXT, CSV и XML).
  • Используйте приложение Azure Information Protection для использования защищенных файлов изображений (включая .jpg, GIF и .tif).
  • Используйте приложение Azure Information Protection, чтобы открыть любой файл, который был универсально защищен (PFILE-формат).
  • Используйте приложение Azure Information Protection для открытия файла Office (Word, Excel, PowerPoint), который является PDF-копией (формат PDF и PPDF).
  • Используйте приложение Azure Information Protection для открытия защищенных сообщений электронной почты (.rpmsg) и защищенных PDF-файлов в Microsoft SharePoint.
  • Используйте средство просмотра PDF с поддержкой AIP для кроссплатформенного просмотра или открытия PDF-файлов, защищенных с помощью любого приложения с поддержкой AIP.
  • Используйте внутренние разработанные приложения AIP с поддержкой AIP, написанные с помощью пакета SDK MIP.

Примечание.

Приложение Azure Information Protection можно скачать на странице Microsoft Rights Management веб-сайта Майкрософт. Сведения о других приложениях, поддерживаемых расширением мобильных устройств, см. в таблице на странице "Приложения" из этой документации. Дополнительные сведения о различных типах файлов, поддерживаемых RMS, см. в разделе "Поддерживаемые типы файлов и расширения имен файлов" руководства администратора приложения для управления доступом Rights Management.

Важно!

Перед установкой расширения мобильного устройства обязательно считывайте и настраивайте необходимые компоненты.

Для получения дополнительных сведений скачайте технический документ Microsoft Azure Information Protection и сопутствующие скрипты из Центра загрузки Майкрософт.

Предварительные требования для расширения мобильных устройств AD RMS

Перед установкой расширения мобильного устройства AD RMS убедитесь, что существуют следующие зависимости.

Требование Дополнительные сведения
Существующее развертывание AD RMS в Windows Server 2019, 2016, 2012 R2 или 2012, которое включает в себя следующее:

— Кластер AD RMS должен быть доступен из Интернета.

— AD RMS должен использовать полную базу данных на основе Microsoft SQL Server на отдельном сервере, а не внутренняя база данных Windows, которая часто используется для тестирования на одном сервере.

— Учетная запись, используемая для установки расширения мобильного устройства, должна иметь права sysadmin для экземпляра SQL Server, который вы используете для AD RMS.

— Серверы AD RMS должны быть настроены для использования SSL/TLS с допустимым сертификатом x.509, доверенным клиентами мобильных устройств.

— Если серверы AD RMS находятся за брандмауэром или публикуются с помощью обратного прокси-сервера, помимо публикации папки /_wmcs в Интернете, необходимо также опубликовать папку /my (например: _https://RMSserver.contoso.com/my).		 Дополнительные сведения о предварительных требованиях AD RMS и сведения о развертывании см. в разделе предварительных требований этой статьи.
AD FS, развернутый на сервере Windows Server:

— Ферма серверов AD FS должна быть доступна из Интернета (развернутые прокси-серверы федерации).

— Проверка подлинности на основе форм не поддерживается; Необходимо использовать встроенную проверку подлинности Windows

Важно: AD FS должен работать на другом компьютере под управлением AD RMS и расширения мобильных устройств.		 Документация по AD FS см . в руководстве по развертыванию Windows Server AD FS в библиотеке Windows Server.

Ad FS необходимо настроить для расширения мобильного устройства. Инструкции см. в разделе "Настройка AD FS" для расширения мобильных устройств AD RMS в этом разделе.
Мобильные устройства должны доверять PKI-сертификатам на сервере RMS (или серверах) При покупке сертификатов сервера из общедоступного ЦС, таких как VeriSign или Comodo, скорее всего, мобильные устройства будут доверять корневому ЦС для этих сертификатов, чтобы эти устройства доверяли сертификатам сервера без добавления конфигурации.

Однако если вы используете собственный внутренний ЦС для развертывания сертификатов сервера для RMS, необходимо выполнить дополнительные действия для установки корневого сертификата ЦС на мобильных устройствах. Если этого не сделать, мобильные устройства не смогут установить успешное подключение к серверу RMS.
Записи SRV в DNS Создайте одну или несколько записей SRV в домене или доменах компании:

1. Создание записи для каждого суффикса домена электронной почты, используемого пользователями

2. Создание записи для каждого полного доменного имени, используемого кластерами RMS для защиты содержимого, не включая имя кластера.

Эти записи должны быть разрешаемыми из любой сети, которая использует подключение мобильных устройств, которая включает интрасети, если мобильные устройства подключаются через интрасеть.

Когда пользователи предоставляют свой адрес электронной почты с мобильного устройства, суффикс домена используется для определения того, следует ли использовать инфраструктуру AD RMS или Azure AIP. При обнаружении записи SRV клиенты перенаправляются на сервер AD RMS, который отвечает на этот URL-адрес.

Когда пользователи используют защищенное содержимое с мобильным устройством, клиентское приложение ищет в DNS запись, которая соответствует полному доменному имени в URL-адресе кластера, защищенного содержимое (без имени кластера). Затем устройство направляется в кластер AD RMS, указанный в записи DNS, и получает лицензию на открытие содержимого. В большинстве случаев кластер RMS будет тем же кластером RMS, который защищен содержимым.

Сведения о том, как указать записи SRV, см . в разделе "Указание записей DNS SRV" для расширения мобильных устройств AD RMS в этом разделе.
Поддерживаемые клиенты, использующие приложения, разработанные с помощью пакета SDK MIP для этой платформы. Скачайте поддерживаемые приложения для устройств, которые вы используете, с помощью ссылок на странице скачивания Microsoft Azure Information Protection .

Настройка AD FS для расширения мобильных устройств AD RMS

Сначала необходимо настроить AD FS, а затем авторизовать приложение AIP для устройств, которые вы хотите использовать.

Шаг 1. Настройка AD FS

  • Вы можете запустить скрипт Windows PowerShell для автоматической настройки AD FS для поддержки расширения мобильных устройств AD RMS или вручную указать параметры конфигурации и значения:
    • Чтобы автоматически настроить AD FS для расширения мобильных устройств AD RMS, скопируйте и вставьте следующее в файл скрипта Windows PowerShell, а затем запустите его:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Чтобы вручную настроить AD FS для расширения мобильных устройств AD RMS, используйте следующие параметры:
Конфигурация значение
Доверие проверяющей стороны _api.rms.rest.com
Правило утверждения Хранилище атрибутов: Active Directory

Адреса электронной почты: адрес электронной почты

Имя участника-пользователя: имя участника-пользователя

Прокси-адрес: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Совет

Пошаговые инструкции по развертыванию AD RMS с AD FS см. в разделе "Развертывание службы Active Directory Rights Management с помощью службы федерации Active Directory (AD FS)".

Шаг 2. Авторизация приложений для устройств

  • Выполните следующую команду Windows PowerShell после замены переменных, чтобы добавить поддержку приложения Azure Information Protection . Обязательно выполните обе команды в указанном порядке:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Пример PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для клиента унифицированных меток Azure Information Protection выполните следующую команду Windows PowerShell, чтобы добавить поддержку клиента Azure Information Protection на устройствах:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Чтобы поддерживать ADFS в Windows 2016 и 2019 и ADRMS MDE для сторонних продуктов, выполните следующую команду Windows PowerShell:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Чтобы настроить клиент AIP в Windows, Mac, mobile и Office Mobile для использования защищенного содержимого HYOK или AD RMS с помощью AD FS в Windows Server 2012 R2 и более поздней версии, используйте следующее:

  • Для устройств Mac (с помощью приложения общего доступа RMS) выполните обе команды в указанном порядке:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для устройств iOS (с помощью приложения Azure Information Protection) выполните обе команды в указанном порядке:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для устройств Android (с помощью приложения Azure Information Protection) выполните обе команды в указанном порядке:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Выполните следующие команды PowerShell, чтобы добавить поддержку microsoft Приложение Office на устройствах:

  • Для Mac, iOS, устройств Android (обязательно выполните обе команды в указанном порядке):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Указание записей DNS SRV для расширения мобильных устройств AD RMS

Необходимо создать записи DNS SRV для каждого домена электронной почты, используемого пользователями. Если все пользователи используют дочерние домены из одного родительского домена, а все пользователи из этого непрерывного пространства имен используют один и тот же кластер RMS, вы можете использовать только одну запись SRV в родительском домене, а RMS найдет соответствующие записи DNS. Записи SRV имеют следующий формат: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Примечание.

Укажите 443 для <порта>. Хотя можно указать другой номер порта в DNS, устройства с помощью расширения мобильного устройства всегда будут использовать 443.

Например, если у вашей организации есть пользователи со следующими адресами электронной почты:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Если для _contoso.com нет других дочерних доменов, использующих другой кластер RMS, отличный от одного именованного _rmsserver.contoso.com, создайте две записи DNS SRV, имеющие следующие значения:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Если вы используете роль DNS-сервера в Windows Server, используйте следующие таблицы в качестве руководства по свойствам записи SRV в консоли диспетчера DNS:

Поле значение
Домен _tcp.contoso.com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел, предлагающий эту службу _rmsserver.contoso.com
Поле значение
Домен _tcp.fabrikam.com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел, предлагающий эту службу _rmsserver.contoso.com

Помимо этих записей DNS SRV для домена электронной почты необходимо создать другую запись DNS SRV в домене кластера RMS. Эта запись должна указывать полные доменные имена кластера RMS, который защищает содержимое. Каждый файл, защищенный RMS, содержит URL-адрес кластера, защищенного этим файлом. Мобильные устройства используют запись DNS SRV и полное доменное имя URL-адреса, указанное в записи, чтобы найти соответствующий кластер RMS, который может поддерживать мобильные устройства.

Например, если кластер RMS имеет значение _rmsserver.contoso.com, создайте запись DNS SRV со следующими значениями: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Если вы используете роль DNS-сервера в Windows Server, используйте следующую таблицу в качестве руководства по свойствам записи SRV в консоли диспетчера DNS:

Поле значение
Домен _tcp.contoso.com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел, предлагающий эту службу _rmsserver.contoso.com

Развертывание расширения мобильных устройств AD RMS

Перед установкой расширения мобильного устройства AD RMS убедитесь, что необходимые компоненты из предыдущего раздела установлены и что вы знаете URL-адрес сервера AD FS. После этого выполните описанные ниже действия.

  1. Скачайте расширение мобильного устройства AD RMS (ADRMS). MobileDeviceExtension.exe) из Центра загрузки Майкрософт.
  2. Запустите ADRMS. MobileDeviceExtension.exe, чтобы запустить мастер настройки расширения мобильных устройств службы Active Directory Rights Management. При появлении запроса введите URL-адрес сервера AD FS, настроенного ранее.
  3. Завершите работу мастера.

Запустите этот мастер на всех узлах в кластере RMS.

Если у вас есть прокси-сервер между кластером AD RMS и серверами AD FS, по умолчанию кластер AD RMS не сможет связаться с федеративной службой. В этом случае AD RMS не сможет проверить маркер, полученный от мобильного клиента, и отклонит запрос. Если у вас есть прокси-сервер, который блокирует эту связь, необходимо обновить файл web.config с веб-сайта расширения мобильных устройств AD RMS, чтобы AD RMS можно обойти прокси-сервер, когда он должен связаться с серверами AD FS.

Обновление параметров прокси-сервера для расширения мобильных устройств AD RMS

  1. Откройте файл конфигурации web.config, расположенный в папке \Program Files\службы Active Directory Rights Management extension\Web Service.

  2. Добавьте следующий узел в файл :

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Внесите следующие изменения и сохраните файл:

    • Замените <прокси-сервер> именем или адресом прокси-сервера.
    • Замените <порт номером порта> , который настроен для использования прокси-сервера.
    • Замените <URL-адрес AD FS URL-адресом> службы федерации. Не включайте префикс HTTP.

    Примечание.

    Дополнительные сведения о переопределении параметров прокси-сервера см . в документации по конфигурации прокси-сервера.

  4. Сбросите IIS, например, выполнив iisreset от имени администратора из командной строки.

Повторите эту процедуру на всех узлах в кластере RMS.

См. также

Узнайте больше о Azure Information Protection, обратитесь к другим клиентам AIP и с диспетчерами продуктов AIP с помощью группы yammer API.