共用方式為

Active Directory Rights Management Services 行動裝置延伸模組

  • 發行項

您可以從 Microsoft 下載中心 下載 Active Directory Rights Management Services (AD RMS) 行動裝置擴充 功能,並將此延伸模組安裝在現有的 AD RMS 部署之上。 這可讓使用者在裝置支援最新的 API 啟發式應用程式時保護及取用敏感性資料。 例如,使用者可以在其行動裝置上執行下列動作:

  • 使用 Azure 資訊保護 應用程式,以不同的格式取用受保護的文字檔(包括 .txt、.csv 和 .xml)。
  • 使用 Azure 資訊保護應用程式來取用受保護的影像檔案(包括 .jpg、.gif 和 .tif)。
  • 使用 Azure 資訊保護 應用程式開啟任何已一般保護的檔案(.pfile 格式)。
  • 使用 Azure 資訊保護應用程式開啟 Office 檔案(Word、Excel、PowerPoint)是 PDF 複本(.pdf 和 .ppdf 格式)。
  • 使用 Azure 資訊保護 應用程式,在 Microsoft SharePoint 上開啟受保護的電子郵件訊息 (.rpmsg) 和受保護的 PDF 檔案。
  • 使用啟用 AIP 的 PDF 檢視器進行跨平臺檢視,或開啟受任何 AIP 啟發式應用程式的 PDF 檔案。
  • 使用您使用 MIP SDK 撰寫的內部開發 AIP 型應用程式。

注意

您可以從 Microsoft 網站的 Microsoft Rights Management 頁面下載 Azure 資訊保護 應用程式 。 如需行動裝置擴充功能所支援之其他應用程式的相關資訊,請參閱本檔< 應用程式 >頁面中的表格。 如需 RMS 支援之不同檔案類型的詳細資訊,請參閱 Rights Management 共用應用程式系統管理員指南中的支援的檔案類型和副檔名 一節。

重要

安裝行動裝置擴充功能之前,請務必先閱讀並設定必要條件。

如需詳細資訊,請從 Microsoft 下載中心 下載「Microsoft Azure 資訊保護」白皮書和隨附的腳本。

AD RMS 行動裝置擴充功能的必要條件

安裝 AD RMS 行動裝置擴充功能之前,請確定下列相依性已就緒。

需求 其他相關資訊
Windows Server 2019、2016、2012 R2 或 2012 的現有 AD RMS 部署,其中包含下列專案:

- 您的 AD RMS 叢集必須可從網際網路存取。

- AD RMS 必須在個別伺服器上使用完整的 Microsoft SQL Server 資料庫,而不是經常用於在同一部伺服器上測試的Windows 內部資料庫。

- 您將用來安裝行動裝置擴充功能的帳戶,必須具有您用於 AD RMS 之 SQL Server 實例的系統管理員許可權。

- AD RMS 伺服器必須設定為使用 SSL/TLS 搭配行動裝置用戶端信任的有效 x.509 憑證。

- 如果 AD RMS 伺服器位於防火牆後方,或使用反向 Proxy 發佈,除了將 /_wmcs 資料夾發佈 至網際網路之外,您也必須發佈 /my 資料夾(例如: _ https://RMSserver.contoso.com/my )。 		如需 AD RMS 必要條件和部署資訊的詳細資訊,請參閱本文的必要條件一節。
部署在 Windows Server 上的 AD FS:

- 您的 AD FS 伺服器陣列必須可從網際網路存取(您已部署同盟伺服器 Proxy)。

- 不支援表單型驗證;您必須使用 Windows 整合式驗證

重要 事項:AD FS 必須執行與執行 AD RMS 的電腦和行動裝置擴充功能不同的電腦。		 如需 AD FS 的相關檔,請參閱 Windows Server 程式庫中的 Windows Server AD FS 部署指南

AD FS 必須針對行動裝置擴充功能進行設定。 如需指示,請參閱 本主題中的設定 AD RMS 行動裝置擴充 功能的 AD FS 一節。
行動裝置必須信任 RMS 伺服器上的 PKI 憑證(或伺服器) 當您從公用 CA 購買伺服器憑證,例如 VeriSign 或 Comodo 時,行動裝置可能已經信任這些憑證的根 CA,因此這些裝置會信任伺服器憑證,而不需要新增設定。

不過,如果您使用自己的內部 CA 來部署 RMS 的伺服器憑證,您必須採取其他步驟,在行動裝置上安裝根 CA 憑證。 如果沒有這樣做,行動裝置將無法與 RMS 伺服器建立成功的連線。
DNS 中的 SRV 記錄 在您的公司網域或網域中建立一或多個 SRV 記錄:

1:為使用者將使用的每個電子郵件網域尾碼建立記錄

2:為 RMS 叢集用來保護內容的每個 FQDN 建立記錄,不包括叢集名稱

如果行動裝置透過內部網路連線,這些記錄必須可從連線行動裝置使用的任何網路解析,包括內部網路。

當使用者從行動裝置提供電子郵件地址時,會使用網域尾碼來識別他們是否應該使用 AD RMS 基礎結構或 Azure AIP。 找到 SRV 記錄時,用戶端會重新導向至回應該 URL 的 AD RMS 伺服器。

當使用者使用行動裝置取用受保護的內容時,用戶端應用程式會在 DNS 中尋找符合受保護內容之叢集 URL 中 FQDN 的記錄(不含叢集名稱)。 然後,裝置會導向至 DNS 記錄中指定的 AD RMS 叢集,並取得開啟內容的授權。 在大部分情況下,RMS 叢集會是保護內容的相同 RMS 叢集。

如需如何指定 SRV 記錄的詳細資訊,請參閱 本主題中的<指定 AD RMS 行動裝置擴充 功能的 DNS SRV 記錄>一節。
支援用戶端使用此平臺的 MIP SDK 所開發的應用程式。 使用 Microsoft Azure 資訊保護 下載頁面上的連結 ,下載您所使用的裝置所支援的應用程式。

設定 AD RMS 行動裝置擴充功能的 AD FS

您必須先設定 AD FS,然後針對您想要使用的裝置授權 AIP 應用程式。

步驟 1:設定 AD FS

  • 您可以執行 Windows PowerShell 腳本來自動設定 AD FS 以支援 AD RMS 行動裝置擴充功能,也可以手動指定設定選項和值:
    • 若要自動設定 AD RMS 行動裝置擴充功能的 AD FS,請將下列內容複寫並貼到 Windows PowerShell 腳本檔案中,然後執行它:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • 若要手動設定 AD RMS 行動裝置擴充功能的 AD FS,請使用下列設定:
Configuration
信賴憑證者信任 _api.rms.rest.com
宣告規則 屬性存放區 :Active Directory

電子郵件地址 :電子郵件地址

User-Principal-Name :UPN

Proxy 位址 :_https://schemas.xmlsoap.org/claims/ProxyAddresses

提示

如需使用 AD FS 部署 AD RMS 範例的逐步指示,請參閱 使用 Active Directory 同盟服務 部署 Active Directory Rights Management Services。

步驟 2:授權裝置的應用程式

  • 取代變數以新增 Azure 資訊保護 應用程式的支援 之後,請執行下列 Windows PowerShell 命令。 請務必依顯示的循序執行這兩個命令:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Powershell 範例

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • 針對 Azure 資訊保護統一標籤用戶端 ,請執行下列 Windows PowerShell 命令,在您的裝置上新增 Azure 資訊保護 用戶端的支援:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • 若要針對協力廠商產品支援 Windows 2016 和 2019 ADRMS MDE 上的 ADFS,請執行下列 Windows PowerShell 命令:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

若要在 Windows、 Mac 、行動裝置版和 Office Mobile 設定 AIP 用戶端,以 Windows Server 2012 R2 和更新版本 上使用 AD FS 使用 AD FS 或 AD RMS 保護的內容 ,請使用下列專案:

  • 針對 Mac 裝置(使用 RMS 共用應用程式),請務必按照顯示的循序執行這兩個命令:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • 針對 iOS 裝置(使用 Azure 資訊保護 應用程式),請務必按照顯示的循序執行這兩個命令:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • 針對 Android 裝置(使用 Azure 資訊保護 應用程式),請務必按照顯示的循序執行這兩個命令:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

執行下列 PowerShell 命令,在您的裝置上新增 Microsoft Office 應用程式支援:

  • 針對 Mac、iOS、Android 裝置(請務必依顯示的循序執行這兩個命令):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

指定 AD RMS 行動裝置擴充功能的 DNS SRV 記錄

您必須為使用者所使用的每個電子郵件網域建立 DNS SRV 記錄。 如果您的所有使用者都使用單一父系網域中的子網域,而且來自這個連續命名空間的所有使用者使用相同的 RMS 叢集,則您只要在父網域中使用一個 SRV 記錄,RMS 就會找到適當的 DNS 記錄。 SRV 記錄的格式如下: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

注意

針對 < portnumber > 指定 443。 雖然您可以在 DNS 中指定不同的埠號碼,但使用行動裝置擴充功能的裝置一律會使用 443。

例如,如果您的組織有具有下列電子郵件地址的使用者:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com 如果 _contoso.com 沒有其他子域使用與名為 _rmsserver.contoso.com 不同的 RMS 叢集,請建立兩個具有這些值的 DNS SRV 記錄:
  • _rmsdisco._HTTP._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._HTTP._tcp.fabrikam.com 443 _rmsserver.contoso.com

如果您在 Windows Server 上使用 DNS 伺服器角色,請使用下表作為 DNS 管理員主控台中 SRV 記錄屬性的指南:

欄位
網域 _tcp.contoso.com
服務 _rmsdisco
通訊協定 _HTTP
優先順序 0
Weight 0
連接埠號碼 443
提供這項服務的主機 _rmsserver.contoso.com
欄位
網域 _tcp.fabrikam.com
服務 _rmsdisco
通訊協定 _HTTP
優先順序 0
Weight 0
連接埠號碼 443
提供這項服務的主機 _rmsserver.contoso.com

除了電子郵件網域的這些 DNS SRV 記錄之外,您必須在 RMS 叢集網域中建立另一個 DNS SRV 記錄。 此記錄必須指定保護內容的 RMS 叢集 FQDN。 RMS 保護的每個檔案都包含保護該檔案之叢集的 URL。 行動裝置會使用記錄中指定的 DNS SRV 記錄和 URL FQDN 來尋找可支援行動裝置的對應 RMS 叢集。

例如,如果您的 RMS 叢集是 _rmsserver.contoso.com ,請建立具有下列值的 DNS SRV 記錄: _rmsdisco._HTTP._tcp.contoso.com 443 _rmsserver.contoso.com

如果您在 Windows Server 上使用 DNS 伺服器角色,請使用下表作為 DNS 管理員主控台中 SRV 記錄屬性的指南:

欄位
網域 _tcp.contoso.com
服務 _rmsdisco
通訊協定 _HTTP
優先順序 0
Weight 0
連接埠號碼 443
提供這項服務的主機 _rmsserver.contoso.com

部署 AD RMS 行動裝置擴充功能

安裝 AD RMS 行動裝置擴充功能之前,請確定上一節的必要條件已就緒,而且您知道 AD FS 伺服器的 URL。 然後執行以下動作:

  1. 下載 AD RMS 行動裝置擴充功能 (ADRMS.來自 Microsoft 下載中心的 MobileDeviceExtension.exe。
  2. 執行 ADRMS。MobileDeviceExtension.exe 啟動 Active Directory Rights Management Services 行動裝置延伸模組安裝精靈。 出現提示時,請輸入您先前設定之 AD FS 伺服器的 URL。
  3. 完成精靈。

在 RMS 叢集中的所有節點上執行此精靈。

如果 AD RMS 叢集與 AD FS 伺服器之間有 Proxy 伺服器,根據預設,您的 AD RMS 叢集將無法連絡同盟服務。 發生這種情況時,AD RMS 將無法驗證從行動用戶端收到的權杖,而且會拒絕要求。 如果您有封鎖此通訊的 Proxy 伺服器,您必須從 AD RMS 行動裝置擴充功能網站更新 web.config 檔案,如此 AD RMS 才能在需要連絡 AD FS 伺服器時略過 Proxy 伺服器。

更新 AD RMS 行動裝置擴充功能的 Proxy 設定

  1. 開啟位於 \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service 中的 web.config 檔案。

  2. 將下列 節點新增至 檔案:

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. 進行下列變更,然後儲存檔案:

    • 以 Proxy 伺服器的名稱或位址取代 < Proxy-server > 。
    • 將埠 > 取代 < 為 Proxy 伺服器設定為使用的埠號碼。
    • 將 AD FS URL > 取代 < 為同盟服務的 URL。 請勿包含 HTTP 前置詞。

    注意

    若要深入瞭解如何覆寫 Proxy 設定,請參閱 Proxy 組態 檔。

  4. 例如,從命令提示字元以系統管理員身分執行 iisreset 來重設 IIS。

在 RMS 叢集中的所有節點上重複此程式。

另請參閱

深入瞭解 Azure 資訊保護、與其他 AIP 客戶連絡,以及使用 API yammer 群組 AIP 產品經理聯繫。