注释
从 2025 年 5 月 30 日开始,我们将停用适用于 MacOS 的 RMS 共享应用和适用于 iOS 和 Android 的 Azure 信息保护应用,并将于 2026 年 5 月 30 日结束。 相反,我们建议在其他生产力应用中打开受保护的非 Office 文件。
有关详细信息,请参阅博客文章公告 Azure 信息保护移动查看器和 RMS 共享应用的停用通知。
可以从 Microsoft下载中心 下载 Active Directory Rights Management Services (AD RMS) 移动设备扩展,并在现有 AD RMS 部署的基础上安装此扩展。 这允许用户在设备支持最新的 API 启发式应用时保护和使用敏感数据。 例如,用户可以在其移动设备上执行以下作:
- 使用 Azure 信息保护应用以不同的格式(包括 .txt、.csv和 .xml)使用受保护的文本文件。
- 使用 Azure 信息保护应用使用受保护的映像文件(包括 .jpg、.gif和.tif)。
- 使用 Azure 信息保护应用打开已通用保护的任何文件(.pfile 格式)。
- 使用 Azure 信息保护应用打开作为 PDF 副本(.pdf 和 .ppdf 格式)的 Office 文件(Word、Excel、PowerPoint)。
- 使用 Azure 信息保护应用在 Microsoft SharePoint 上打开受保护的电子邮件(.rpmsg)和受保护的 PDF 文件。
- 使用支持 AIP 的 PDF 查看器以实现跨平台查看,或打开受任何支持 AIP 的应用程序保护的 PDF 文件。
- 使用使用 MIP SDK 编写的内部开发的 AIP 启发式应用。
注释
可以从 Microsoft网站的Microsoft权限管理 页下载 Azure 信息保护应用。 有关移动设备扩展支持的其他应用的信息,请参阅本文档的“ 应用程序” 页中的表。 有关 RMS 支持的不同文件类型的详细信息,请参阅 Rights Management 共享应用程序管理员指南中的 “支持的文件类型和文件扩展名 ”部分。
重要
在安装移动设备扩展之前,请务必读取和配置先决条件。
有关其他信息,请从 Microsoft下载中心下载“Microsoft Azure 信息保护”白皮书和随附的脚本。
AD RMS 移动设备扩展的先决条件
在安装 AD RMS 移动设备扩展之前,请确保已准备好以下依赖项。
| 要求 | 详细信息 |
|---|---|
| Windows Server 2019、2016、2012 R2 或 2012 上的现有 AD RMS 部署,其中包括以下内容: - AD RMS 群集必须可从 Internet 访问。 - AD RMS 必须在单独的服务器上使用基于 SQL Server 的完整Microsoft数据库,而不是通常用于在同一服务器上进行测试的 Windows 内部数据库。 - 用于安装移动设备扩展的帐户必须具有用于 AD RMS 的 SQL Server 实例的 sysadmin 权限。 - 必须将 AD RMS 服务器配置为将 SSL/TLS 与移动设备客户端信任的有效 x.509 证书一起使用。 - 如果 AD RMS 服务器位于防火墙后面或使用反向代理发布,除了将 /_wmcs 文件夹发布到 Internet 之外,还必须发布 /my 文件夹(例如: _https://RMSserver.contoso.com/my)。 |
有关 AD RMS 先决条件和部署信息的详细信息,请参阅本文的先决条件部分。 |
| 部署在 Windows Server 上的 AD FS 服务: - AD FS 服务器场必须可从 Internet 访问(已部署联合服务器代理)。 - 不支持基于窗体的身份验证;必须使用 Windows 集成身份验证 重要:AD FS 必须在与运行 AD RMS 和移动设备扩展的计算机不同的计算机上运行。 |
有关 AD FS 的文档,请参阅 Windows Server 库中的 Windows Server AD FS 部署指南 。 必须为移动设备扩展配置 AD FS。 有关说明,请参阅本主题中的 “为 AD RMS 移动设备扩展配置 AD FS ”部分。 |
| 移动设备必须信任 RMS 服务器上的 PKI 证书(或服务器) | 从公共 CA(如 VeriSign 或 Comodo)购买服务器证书时,移动设备可能已经信任这些证书的根 CA,因此这些设备将信任服务器证书,而无需添加配置。 但是,如果使用自己的内部 CA 为 RMS 部署服务器证书,则必须采取其他步骤在移动设备上安装根 CA 证书。 如果不这样做,移动设备将无法与 RMS 服务器建立成功的连接。 |
| DNS 中的 SRV 记录 | 在你的公司域中创建一个或多个 SRV 记录: 1:为用户将使用的每个电子邮件域后缀创建记录 2:为 RMS 群集用于保护内容的每个 FQDN 创建记录,不包括群集名称 这些记录必须可从连接移动设备使用的任何网络解析,包括 Intranet(如果移动设备通过 Intranet 进行连接)。 当用户从移动设备提供其电子邮件地址时,域后缀用于确定他们是否应使用 AD RMS 基础结构或 Azure AIP。 找到 SRV 记录后,客户端将重定向到 AD RMS 服务器,该服务器会对该 URL 做出响应。 当用户使用移动设备的受保护内容时,客户端应用程序在 DNS 中查找与保护内容的群集 URL 中的 FQDN 匹配的记录(没有群集名称)。 然后,设备将定向到 DNS 记录中指定的 AD RMS 群集,并获取用于打开内容的许可证。 在大多数情况下,负责保护内容的 RMS 群集将是同一个 RMS 群集。 有关如何指定 SRV 记录的信息,请参阅本主题中的“ 为 AD RMS 移动设备扩展”部分指定 DNS SRV 记录 。 |
| 在该平台上使用 MIP SDK 开发的应用程序所支持的客户端。 | 使用 Microsoft Azure 信息保护 下载页上的链接下载所用设备的受支持应用。 |
为 AD RMS 移动设备扩展配置 AD FS
必须先配置 AD FS,然后为要使用的设备授权 AIP 应用。
步骤 1:配置 AD FS
- 可以运行 Windows PowerShell 脚本来自动配置 AD FS 以支持 AD RMS 移动设备扩展,也可以手动指定配置选项和值:
- 若要为 AD RMS 移动设备扩展自动配置 AD FS,请将以下内容复制并粘贴到 Windows PowerShell 脚本文件中,然后运行它:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server
# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring Microsoft Rights Management Mobile Device Extension "
# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
=> issue(claim = c);
"@
# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@
# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules $AuthorizationRules
Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
- 若要为 AD RMS 移动设备扩展手动配置 AD FS,请使用以下设置:
| 配置 | 价值 |
|---|---|
| 依赖方信任 | _api.rms.rest.com |
| 声明规则 |
属性存储:Active Directory 电子邮件地址:电子邮件地址 用户主体名称:UPN 代理地址: _https://schemas.xmlsoap.org/claims/ProxyAddresses |
小窍门
有关使用 AD FS 部署 AD RMS 的示例分步说明,请参阅 使用 Active Directory 联合身份验证服务部署 Active Directory Rights Management Services。
步骤 2:为设备授权应用
- 替换变量以添加对 Azure 信息保护 应用的支持后,运行以下 Windows PowerShell 命令。 请确保按照所示的顺序运行这两个命令:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Powershell 示例
Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- 对于 Azure 信息保护统一标记客户端,请运行以下 Windows PowerShell 命令,在设备上添加对 Azure 信息保护客户端的支持:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
- 若要为第三方产品在 Windows 2016 和 2019 和 ADRMS MDE 上支持 ADFS,请运行以下 Windows PowerShell 命令:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
若要在 Windows、Mac、移动设备及 Office Mobile 上配置 AIP 客户端,以通过 Windows Server 2012 R2 及更新版本上的 AD FS 访问 HYOK 或 AD RMS 保护的内容,请使用以下内容:
- 对于 Mac 设备(使用 RMS 共享应用),请确保按显示的顺序运行这两个命令:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- 对于 iOS 设备(使用 Azure 信息保护应用),请确保按照所示的顺序运行这两个命令:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- 对于 Android 设备(使用 Azure 信息保护应用),请确保按照所示的顺序运行这两个命令:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
运行以下 PowerShell 命令,在设备上添加对 Microsoft Office 应用的支持:
- 对于 Mac、iOS、Android 设备(请确保按显示的顺序运行这两个命令):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"
Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
指定 AD RMS 移动设备扩展的 DNS SRV 记录
必须为用户使用的每个电子邮件域创建 DNS SRV 记录。 如果所有用户都使用单个父域中的子域,并且来自此连续命名空间的所有用户都使用相同的 RMS 群集,则可以在父域中只使用一条 SRV 记录,RMS 将找到相应的 DNS 记录。
SRV 记录采用以下格式: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>
注释
为 <端口编号>指定 443。 虽然可以在 DNS 中指定其他端口号,但使用移动设备扩展的设备将始终使用 443。
例如,如果你的组织具有具有以下电子邮件地址的用户:
- _user@contoso.com
- _user@sales.contoso.com
- _user@fabrikam.com 如果 _contoso.com 没有使用与命名 _rmsserver.contoso.com 不同的 RMS 群集的其他子域,请创建两个具有以下值的 DNS SRV 记录:
- _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
- _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com
如果在 Windows Server 上使用 DNS 服务器角色,请使用下表作为 DNS 管理器控制台中 SRV 记录属性的指南:
| 领域 | 价值 |
|---|---|
| 域名 | _tcp.contoso.com |
| 服务 | _rmsdisco |
| 协议 | _http |
| 优先度 | 0 |
| 重量 | 0 |
| 端口号 | 443 |
| 提供此服务的主机 | _rmsserver.contoso.com |
| 领域 | 价值 |
|---|---|
| 域名 | _tcp.fabrikam.com |
| 服务 | _rmsdisco |
| 协议 | _http |
| 优先度 | 0 |
| 重量 | 0 |
| 端口号 | 443 |
| 提供此服务的主机 | _rmsserver.contoso.com |
除了电子邮件域的这些 DNS SRV 记录之外,还必须在 RMS 群集域中创建另一条 DNS SRV 记录。 此记录必须指定用于保护内容的 RMS 服务器集群的 FQDN。 受 RMS 保护的每个文件都包含保护该文件的群集的 URL。 移动设备使用记录中指定的 DNS SRV 记录和 URL FQDN 来查找可支持移动设备的相应 RMS 群集。
例如,如果 RMS 群集为 _rmsserver.contoso.com,请创建具有以下值的 DNS SRV 记录: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
如果在 Windows Server 上使用 DNS 服务器角色,请使用下表作为 DNS 管理器控制台中 SRV 记录属性的指南:
| 领域 | 价值 |
|---|---|
| 域名 | _tcp.contoso.com |
| 服务 | _rmsdisco |
| 协议 | _http |
| 优先度 | 0 |
| 重量 | 0 |
| 端口号 | 443 |
| 提供此服务的主机 | _rmsserver.contoso.com |
部署 AD RMS 移动设备扩展
在安装 AD RMS 移动设备扩展之前,请确保前面部分中的先决条件已到位,并且你知道 AD FS 服务器的 URL。 然后执行以下操作:
- 从Microsoft下载中心下载 AD RMS 移动设备扩展(ADRMS.MobileDeviceExtension.exe)。
- 运行 ADRMS.MobileDeviceExtension.exe 以启动 Active Directory Rights Management Services 移动设备扩展安装向导。 出现提示时,输入前面配置的 AD FS 服务器的 URL。
- 完成安装向导。
在 RMS 群集中的所有节点上运行此向导。
如果 AD RMS 群集与 AD FS 服务器之间存在代理服务器,则默认情况下,AD RMS 群集将无法联系联合服务。 发生这种情况时,AD RMS 将无法验证从移动客户端收到的令牌,并且将拒绝请求。 如果你有阻止此通信的代理服务器,则必须从 AD RMS 移动设备扩展网站更新 web.config 文件,这样 AD RMS 才能在需要联系 AD FS 服务器时绕过代理服务器。
更新 AD RMS 移动设备扩展的代理设置
打开位于 \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service 中的 web.config 文件。
将以下节点添加到该文件:
<system.net> <defaultProxy> <proxy proxyaddress="http://<proxy server>:<port>" bypassonlocal="true" /> <bypasslist> <add address="<AD FS URL>" /> </bypasslist> </defaultProxy> <system.net>进行以下更改,然后保存该文件:
- 将代理服务器<替换为>代理服务器的名称或地址。
- 将<端口替换为代理服务器配置为使用的>端口号。
- 将 <AD FS URL> 替换为联合身份验证服务的 URL。 不要包含 HTTP 前缀。
注释
若要详细了解如何替代代理设置,请参阅 “代理配置” 文档。
例如,通过命令提示符以管理员身份运行 iisreset 来重置 IIS。
在 RMS 群集中的所有节点上重复此过程。