Dela via

Active Directory Rights Management Services Mobile Device Extension

  • Artikel

Du kan ladda ned ad RMS-tillägget (Active Directory Rights Management Services) från Microsoft Download Center och installera det här tillägget ovanpå en befintlig AD RMS-distribution. På så sätt kan användarna skydda och använda känsliga data när deras enhet stöder de senaste API-upplysta apparna. Användarna kan till exempel göra följande på sina mobila enheter:

  • Använd Azure Information Protection-appen för att använda skyddade textfiler i olika format (inklusive .txt, .csv och .xml).
  • Använd Azure Information Protection-appen för att använda skyddade bildfiler (inklusive .jpg, .gif och .tif).
  • Använd Azure Information Protection-appen för att öppna alla filer som har skyddats allmänt (.pfile-format).
  • Använd Azure Information Protection-appen för att öppna en Office-fil (Word, Excel, PowerPoint) som är en PDF-kopia (.pdf- och .ppdf-format).
  • Använd Azure Information Protection-appen för att öppna skyddade e-postmeddelanden (.rpmsg) och skyddade PDF-filer på Microsoft SharePoint.
  • Använd ett AIP-upplyst PDF-visningsprogram för plattformsoberoende visning eller för att öppna PDF-filer som har skyddats med AIP-upplysta program.
  • Använd dina internt utvecklade AIP-upplysta appar som har skrivits med hjälp av MIP SDK.

Kommentar

Du kan ladda ned Azure Information Protection-appen från Microsoft Rights Management-sidan på Microsofts webbplats. Information om andra appar som stöds med tillägget för mobila enheter finns i tabellen på sidan Program i den här dokumentationen. Mer information om de olika filtyper som RMS stöder finns i avsnittet Filtyper och filnamnstillägg som stöds i administratörsguiden för delningsapplikationen för Rights Management.

Viktigt!

Läs och konfigurera förutsättningarna innan du installerar tillägget för mobila enheter.

Mer information finns i vitboken "Microsoft Azure Information Protection" och tillhörande skript från Microsoft Download Center.

Krav för AD RMS-tillägg för mobila enheter

Innan du installerar tillägget för mobila AD RMS-enheter kontrollerar du att följande beroenden finns på plats.

Krav Mer information
En befintlig AD RMS-distribution på Windows Server 2019, 2016, 2012 R2 eller 2012, som innehåller följande:

– DITT AD RMS-kluster måste vara tillgängligt från Internet.

– AD RMS måste använda en fullständig Microsoft SQL Server-baserad databas på en separat server och inte den Intern Windows-databas som ofta används för testning på samma server.

– Det konto som du ska använda för att installera tillägget för mobila enheter måste ha sysadmin-rättigheter för SQL Server-instansen som du använder för AD RMS.

– AD RMS-servrarna måste konfigureras för att använda SSL/TLS med ett giltigt x.509-certifikat som är betrott av mobila enhetsklienter.

– Om AD RMS-servrarna finns bakom en brandvägg eller publiceras med hjälp av en omvänd proxy, förutom att publicera mappen /_wmcs till Internet, måste du också publicera mappen /my (till exempel: _https://RMSserver.contoso.com/my).		 Mer information om krav för AD RMS och distributionsinformation finns i avsnittet om förhandskrav i den här artikeln.
AD FS distribueras på din Windows Server:

– AD FS-servergruppen måste vara tillgänglig från Internet (du har distribuerat federationsserverproxy).

– Formulärbaserad autentisering stöds inte. du måste använda Windows-integrerad autentisering

Viktigt: AD FS måste köra en annan dator än den dator som kör AD RMS och tillägget för mobila enheter.		 Dokumentation om AD FS finns i distributionsguiden för Windows Server AD FS i Windows Server-biblioteket.

AD FS måste konfigureras för tillägget för mobila enheter. Anvisningar finns i avsnittet Konfigurera AD FS för AD RMS-tillägget för mobila enheter i det här avsnittet.
Mobila enheter måste lita på PKI-certifikaten på RMS-servern (eller servrarna) När du köper dina servercertifikat från en offentlig certifikatutfärdare, till exempel VeriSign eller Comodo, är det troligt att mobila enheter redan litar på rotcertifikatutfärdare för dessa certifikat, så att dessa enheter litar på servercertifikaten utan tilläggskonfiguration.

Men om du använder din egen interna certifikatutfärdare för att distribuera servercertifikaten för RMS måste du vidta ytterligare åtgärder för att installera rotcertifikatutfärdarcertifikatutfärdarcertifikatet på de mobila enheterna. Om inte kan mobila enheter inte upprätta en lyckad anslutning till RMS-servern.
SRV-poster i DNS Skapa en eller flera SRV-poster i företagets domän eller domäner:

1: Skapa en post för varje e-postdomänsuffix som användarna ska använda

2: Skapa en post för varje FQDN som används av dina RMS-kluster för att skydda innehåll, exklusive klusternamnet

Dessa poster måste kunna matchas från alla nätverk som ansluter mobila enheter använder, vilket inkluderar intranätet om dina mobila enheter ansluter via intranätet.

När användarna anger sin e-postadress från sin mobila enhet används domänsuffixet för att identifiera om de ska använda en AD RMS-infrastruktur eller Azure AIP. När SRV-posten hittas omdirigeras klienterna till AD RMS-servern som svarar på url:en.

När användare använder skyddat innehåll med en mobil enhet söker klientprogrammet i DNS efter en post som matchar FQDN i URL:en för klustret som skyddade innehållet (utan klusternamnet). Enheten dirigeras sedan till AD RMS-klustret som anges i DNS-posten och hämtar en licens för att öppna innehållet. I de flesta fall är RMS-klustret samma RMS-kluster som skyddade innehållet.

Information om hur du anger SRV-poster finns i avsnittet Ange DNS SRV-poster för AD RMS-tillägget för mobila enheter i det här avsnittet.
Klienter som stöds med program som har utvecklats med hjälp av MIP SDK för den här plattformen. Ladda ned de appar som stöds för de enheter som du använder med hjälp av länkarna på nedladdningssidan för Microsoft Azure Information Protection .

Konfigurera AD FS för AD RMS-tillägget för mobila enheter

Du måste först konfigurera AD FS och sedan auktorisera AIP-appen för de enheter som du vill använda.

Steg 1: Konfigurera AD FS

  • Du kan antingen köra ett Windows PowerShell-skript för att automatiskt konfigurera AD FS för att stödja AD RMS-tillägget för mobila enheter, eller så kan du ange konfigurationsalternativ och värden manuellt:
    • Om du vill konfigurera AD FS automatiskt för AD RMS-tillägget för mobila enheter kopierar du och klistrar in följande i en Windows PowerShell-skriptfil och kör det sedan:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Om du vill konfigurera AD FS manuellt för AD RMS-tillägget för mobila enheter använder du följande inställningar:
Konfiguration Value
Förlitande partsförtroende _api.rms.rest.com
Anspråksregel Attributarkiv: Active Directory

E-postadresser: E-postadress

Användarens huvudnamn: UPN

Proxyadress: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Dricks

Stegvisa instruktioner för en exempeldistribution av AD RMS med AD FS finns i Distribuera Active Directory Rights Management Services med Active Directory Federation Services (AD FS).

Steg 2: Auktorisera appar för dina enheter

  • Kör följande Windows PowerShell-kommando när du har ersatt variablerna för att lägga till stöd för Azure Information Protection-appen . Se till att köra båda kommandona i den ordning som visas:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

PowerShell-exempel

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Kör följande Windows PowerShell-kommando för azure informationsskyddsklienten för enhetlig etikettering för att lägga till stöd för Azure Information Protection-klienten på dina enheter:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Kör följande Windows PowerShell-kommando för att stödja ADFS i Windows 2016 och 2019 och ADRMS MDE för produkter från tredje part:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Använd följande för att konfigurera AIP-klienten på Windows, Mac, Mobile och Office Mobile för användning av HYOK- eller AD RMS-skyddat innehåll med AD FS på Windows Server 2012 R2 och senare:

  • För Mac-enheter (med rms-delningsappen) ska du köra båda kommandona i den ordning som visas:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • För iOS-enheter (med hjälp av Azure Information Protection-appen) ska du köra båda kommandona i den ordning som visas:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • För Android-enheter (med hjälp av Azure Information Protection-appen) ska du köra båda kommandona i den ordning som visas:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Kör följande PowerShell-kommandon för att lägga till stöd för Microsoft Office-appen på dina enheter:

  • För Mac, iOS, Android-enheter (se till att köra båda kommandona i den ordning som visas):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Ange DNS SRV-posterna för AD RMS-tillägget för mobila enheter

Du måste skapa DNS SRV-poster för varje e-postdomän som användarna använder. Om alla dina användare använder underordnade domäner från en enda överordnad domän och alla användare från det här sammanhängande namnområdet använder samma RMS-kluster kan du bara använda en SRV-post i den överordnade domänen och RMS hittar lämpliga DNS-poster. SRV-posterna har följande format: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Kommentar

Ange 443 för <portnumret>. Även om du kan ange ett annat portnummer i DNS använder enheter som använder tillägget för mobila enheter alltid 443.

Om din organisation till exempel har användare med följande e-postadresser:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Om det inte finns några andra underordnade domäner för _contoso.com som använder ett annat RMS-kluster än det som heter _rmsserver.contoso.com skapar du två DNS SRV-poster som har följande värden:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Om du använder DNS-serverrollen på Windows Server använder du följande tabeller som en guide för SRV-postegenskaperna i DNS Manager-konsolen:

Fält Värde
Domain _tcp.contoso.com
Tjänst _rmsdisco
Protokoll _http
Prioritet 0
Grovlek 0
Portnummer 443
Värd som erbjuder den här tjänsten _rmsserver.contoso.com
Fält Värde
Domain _tcp.fabrikam.com
Tjänst _rmsdisco
Protokoll _http
Prioritet 0
Grovlek 0
Portnummer 443
Värd som erbjuder den här tjänsten _rmsserver.contoso.com

Förutom dessa DNS SRV-poster för din e-postdomän måste du skapa en annan DNS SRV-post i RMS-klusterdomänen. Den här posten måste ange FQDN för rms-klustret som skyddar innehåll. Varje fil som skyddas av RMS innehåller en URL till klustret som skyddade filen. Mobila enheter använder DNS SRV-posten och det URL-FQDN som anges i posten för att hitta motsvarande RMS-kluster som har stöd för mobila enheter.

Om RMS-klustret till exempel är _rmsserver.contoso.com skapar du en DNS SRV-post med följande värden: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Om du använder DNS Server-rollen på Windows Server använder du följande tabell som en guide för SRV-postegenskaperna i DNS Manager-konsolen:

Fält Värde
Domain _tcp.contoso.com
Tjänst _rmsdisco
Protokoll _http
Prioritet 0
Grovlek 0
Portnummer 443
Värd som erbjuder den här tjänsten _rmsserver.contoso.com

Distribuera AD RMS-tillägget för mobila enheter

Innan du installerar AD RMS-tillägget för mobila enheter kontrollerar du att kraven från föregående avsnitt är på plats och att du känner till URL:en för AD FS-servern. Gör något av följande:

  1. Ladda ned AD RMS-tillägget för mobila enheter (ADRMS). MobileDeviceExtension.exe) från Microsoft Download Center.
  2. Kör ADRMS. MobileDeviceExtension.exe för att starta installationsguiden för Active Directory Rights Management Services Mobile Device Extension. När du uppmanas till det anger du URL:en för DEN AD FS-server som du konfigurerade tidigare.
  3. Slutför guiden.

Kör den här guiden på alla noder i RMS-klustret.

Om du har en proxyserver mellan AD RMS-klustret och AD FS-servrarna kan AD RMS-klustret som standard inte kontakta den federerade tjänsten. När detta händer kan AD RMS inte verifiera den token som tas emot från mobilklienten och avvisar begäran. Om du har en proxyserver som blockerar den här kommunikationen måste du uppdatera web.config-filen från ad RMS-webbplatsen för mobilenhetstillägget så att AD RMS kan kringgå proxyservern när den behöver kontakta AD FS-servrarna.

Uppdatera proxyinställningar för AD RMS-tillägget för mobila enheter

  1. Öppna filen web.config som finns i \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Lägg till följande nod i filen:

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Gör följande ändringar och spara sedan filen:

    • Ersätt <proxyservern> med namnet eller adressen för proxyservern.
    • Ersätt <porten> med det portnummer som proxyservern är konfigurerad att använda.
    • Ersätt <AD FS-URL:en> med URL:en för federationstjänsten. Inkludera inte HTTP-prefixet.

    Kommentar

    Mer information om hur du åsidosätter proxyinställningarna finns i Dokumentation om proxykonfiguration .

  4. Återställ till exempel IIS genom att köra iisreset som administratör från en kommandotolk.

Upprepa den här proceduren på alla noder i RMS-klustret.

Se även

Läs mer om Azure Information Protection, kontakta andra AIP-kunder och AIP-produktansvariga med hjälp av API yammer-gruppen.