Active Directory Rights Management Services 行動裝置擴充功能

您可以從 Microsoft 下載中心 下載 Active Directory Rights Management Services (AD RMS) 行動裝置擴充功能,並將此擴充功能安裝在現有的 AD RMS 部署之上。 這可讓使用者在裝置支援最新的 API 啟用應用程式時保護及取用敏感性資料。 例如,使用者可以在其行動裝置上執行下列動作:

  • 使用 Azure 資訊保護 應用程式,以不同的格式取用受保護的文字檔, (包括.txt、.csv和.xml) 。
  • 使用 Azure 資訊保護 應用程式取用受保護的映射檔, (包括.jpg、.gif和 .tif) 。
  • 使用 Azure 資訊保護 應用程式開啟任何一般受保護 (.pfile 格式) 的檔案。
  • 使用 Azure 資訊保護 應用程式開啟 Office 檔案, (Word、Excel、PowerPoint) 為 PDF 複本 (.pdf 和 .ppdf 格式) 。
  • 使用 Azure 資訊保護 應用程式,在 Microsoft SharePoint 上開啟受保護的電子郵件訊息 (.rpmsg) 及受保護的 PDF 檔案。
  • 使用已啟用 AIP 的 PDF 檢視器進行跨平臺檢視,或開啟受任何 AIP 啟發式應用程式保護的 PDF 檔案。
  • 使用使用 MIP SDK所撰寫的內部開發 AIP 啟發式應用程式。

注意

您可以從Microsoft 網站的 Microsoft Rights Management頁面下載 Azure 資訊保護 應用程式。 如需行動裝置擴充功能所支援之其他應用程式的相關資訊,請參閱本檔之 應用程式 頁面中的表格。 如需 RMS 支援之不同檔案類型的詳細資訊,請參閱 Rights Management 共用應用程式管理員指南中的 支援檔案類型和副檔名 一節。

重要

安裝行動裝置擴充功能之前,請務必先讀取並設定必要條件。

如需詳細資訊,請從Microsoft 下載中心下載「Microsoft Azure 資訊保護」白皮書和隨附的腳本。

AD RMS 行動裝置擴充功能的必要條件

安裝 AD RMS 行動裝置擴充功能之前,請確定下列相依性已就緒。

需求 更多資訊
Windows Server 2019、2016、2012 R2 或 2012 上現有的 AD RMS 部署,其中包含下列專案:

- 您的 AD RMS 叢集必須可從網際網路存取。

- AD RMS 必須在個別伺服器上使用完整的 Microsoft SQL Server 型資料庫,而不是經常用於在相同伺服器上測試的Windows 內部資料庫。

- 您將用來安裝行動裝置擴充功能的帳戶,必須具有您用於 AD RMS 之SQL Server實例的系統管理員許可權。

- AD RMS 伺服器必須設定為使用 SSL/TLS 搭配行動裝置用戶端信任的有效 x.509 憑證。

- 如果 AD RMS 伺服器位於防火牆後方或使用反向 Proxy 發佈,除了將/_wmcs資料夾發佈至網際網路之外,您也必須發佈 /my 資料夾 (例如:_ https://RMSserver.contoso.com/my) 。
如需 AD RMS 必要條件和部署資訊的詳細資訊,請參閱本文的必要條件一節。
部署在 Windows Server 上的 AD FS:

- 您的 AD FS 伺服器陣列必須可從您已部署同盟伺服器 Proxy) 的網際網路 (存取。

- 不支援表單型驗證;您必須使用 Windows 整合式驗證

重要:AD FS 必須執行與執行 AD RMS 的電腦和行動裝置擴充功能不同的電腦。
如需 AD FS 的相關檔,請參閱 Windows Server 程式庫中的 Windows Server AD FS 部署指南

必須為行動裝置擴充功能設定 AD FS。 如需指示,請參閱本主題中的 設定 AD RMS 行動裝置擴充功能的 AD FS 一節。
行動裝置必須信任 RMS 伺服器上的 PKI 憑證 (或伺服器) 當您從公用 CA 購買伺服器憑證,例如 VeriSign 或 Comodo 時,行動裝置可能已經信任這些憑證的根 CA,因此這些裝置將信任伺服器憑證而不需新增設定。

不過,如果您使用自己的內部 CA 來部署 RMS 的伺服器憑證,則必須採取額外的步驟,在行動裝置上安裝根 CA 憑證。 如果沒有這麼做,行動裝置將無法與 RMS 伺服器建立成功的連線。
DNS 中的 SRV 記錄 在您公司的一或多個網域中建立一或多筆 SRV 記錄:

1:為使用者將使用的每個電子郵件網域尾碼建立記錄

2:為 RMS 叢集用來保護內容的每個 FQDN 建立記錄,不包括叢集名稱

如果您的行動裝置透過內部網路連線,這些記錄必須可從連線的行動裝置使用的任何網路進行解析,包括內部網路。

當使用者從其行動裝置提供電子郵件地址時,會使用網域尾碼來識別他們是否應該使用 AD RMS 基礎結構或 Azure AIP。 找到 SRV 記錄時,就會將用戶端重新導向至回應該 URL 的 AD RMS 伺服器。

當使用者使用行動裝置取用受保護的內容時,用戶端應用程式會在 DNS 中尋找符合叢集 URL 中 FQDN 的記錄,該記錄會保護內容 (,而不需叢集名稱) 。 接著,裝置會導向至 DNS 記錄中指定的 AD RMS 叢集,並取得開啟內容的授權。 在大部分情況下,RMS 叢集將會是保護內容的相同 RMS 叢集。

For information about how to specify the SRV records, see the Specifying the DNS SRV records for the AD RMS mobile device extension section in this topic.
支援用戶端使用此平臺的 MIP SDK 所開發的應用程式。 使用Microsoft Azure 資訊保護下載頁面上的連結,下載您所使用裝置的支援應用程式。

為 AD RMS 行動裝置擴充功能設定 AD FS

您必須先設定 AD FS,然後授權您想要使用之裝置的 AIP 應用程式。

步驟 1:設定 AD FS

  • 您可以執行 Windows PowerShell 指令碼來自動設定 AD FS,以支援 AD RMS 行動裝置擴充功能,或者您可以手動指定設定選項和值:
    • 若要自動設定 AD RMS 行動裝置擴充功能的 AD FS,請將下列內容複寫並貼到Windows PowerShell腳本檔案中,然後執行它:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • 若要手動設定 AD RMS 行動裝置擴充功能的 AD FS,請使用下列設定:
Configuration
信賴憑證者信任 _api.rms.rest.com
宣告規則 屬性存放區:Active Directory

電子郵件地址:電子郵件地址

使用者主體名稱:UPN

Proxy 位址:_https://schemas.xmlsoap.org/claims/ProxyAddresses

秘訣

如需使用 AD FS 部署 AD RMS 範例的逐步指示,請參閱使用 Active Directory 同盟服務 部署 Active Directory Rights Management Services

步驟 2:授權裝置的應用程式

  • 在取代變數以新增Azure 資訊保護應用程式的支援之後,執行下列Windows PowerShell命令。 請務必依顯示的循序執行這兩個命令:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Powershell 範例

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • 針對Azure 資訊保護統一標籤用戶端,請執行下列 Windows PowerShell 命令,在您的裝置上新增 Azure 資訊保護 用戶端的支援:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • 若要針對協力廠商產品在Windows 2016 和 2019 和ADRMS MDE上支援 ADFS,請執行下列Windows PowerShell命令:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

若要在WindowsMac、行動裝置版和Office Mobile上設定 AIP 用戶端,以在Windows Server 2012 R2 和更新版本上使用 AD FS取用 HYOK 或 AD RMS 保護的內容,請使用下列內容:

  • 針對使用 RMS 共用應用程式) (Mac 裝置,請務必依顯示的循序執行這兩個命令:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • 對於使用 Azure 資訊保護 應用程式) 的 iOS 裝置 (,請務必依顯示的循序執行這兩個命令:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • 針對使用 Azure 資訊保護 應用程式) 的 Android 裝置 (,請務必依顯示的循序執行這兩個命令:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

執行下列 PowerShell 命令,在您的裝置上新增 Microsoft Office 應用程式的支援:

  • 針對 Mac、iOS、Android 裝置 (請務必依顯示的循序執行這兩個命令) :
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

指定 AD RMS 行動裝置擴充功能的 DNS SRV 記錄

您必須為您的使用者使用的每個電子郵件網域建立 DNS SRV 記錄。 如果您的使用者使用單一父網域的子網域,而且這個連續的命名空間中的所有使用者使用相同的 RMS 叢集,您可以在父網域中,只使用一筆 SRV 記錄,RMS 就會尋找適當的 DNS 記錄。 SRV 記錄的格式如下: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

注意

針對 < portnumber > 指定 443。 雖然您可以在 DNS 中指定不同的埠號碼,但使用行動裝置擴充功能的裝置一律會使用 443。

例如,如果您的組織有下列電子郵件地址的使用者:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com 如果 _contoso.com 沒有使用與名為 _rmsserver.contoso.com 不同 RMS 叢集的其他子域,請建立兩個具有這些值的 DNS SRV 記錄:
  • _rmsdisco._HTTP._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._HTTP._tcp.fabrikam.com 443 _rmsserver.contoso.com

如果您在 Windows Server 上使用 DNS 伺服器角色,請使用下表作為 DNS Manager 主控台中 SRV 記錄屬性的指南:

欄位
網域 _tcp.contoso.com
服務 _rmsdisco
通訊協定 _http
優先順序 0
Weight 0
連接埠號碼 443
提供這項服務的主機 _rmsserver.contoso.com
欄位
網域 _tcp.fabrikam.com
服務 _rmsdisco
通訊協定 _http
優先順序 0
Weight 0
連接埠號碼 443
提供這項服務的主機 _rmsserver.contoso.com

除了電子郵件網域的這些 DNS SRV 記錄之外,您必須在 RMS 叢集網域中建立另一個 DNS SRV 記錄。 此記錄必須指定可保護內容的 RMS 叢集 FQDN。 受 RMS 保護的每個檔案都包含保護該檔案之叢集的 URL。 行動裝置使用 DNS SRV 記錄,以及記錄中指定的 URL FQDN 尋找可支援行動裝置的對應 RMS 叢集。

例如,如果您的 RMS 叢集是 _rmsserver.contoso.com,請建立具有下列值的 DNS SRV 記錄: _rmsdisco._HTTP._tcp.contoso.com 443 _rmsserver.contoso.com

如果您在 Windows Server 上使用 DNS 伺服器角色,請使用下表作為 DNS 管理員主控台中 SRV 記錄屬性的指南:

欄位
網域 _tcp.contoso.com
服務 _rmsdisco
通訊協定 _http
優先順序 0
Weight 0
連接埠號碼 443
提供這項服務的主機 _rmsserver.contoso.com

部署 AD RMS 行動裝置擴充功能

安裝 AD RMS 行動裝置擴充功能之前,請確定上一節的必要條件已就緒,而且您知道 AD FS 伺服器的 URL。 然後執行以下動作:

  1. 從 Microsoft 下載中心下載 AD RMS 行動裝置擴充功能 (ADRMS.MobileDeviceExtension.exe) 。
  2. 執行 ADRMS.MobileDeviceExtension.exe 以啟動 Active Directory Rights Management Services 行動裝置延伸模組安裝精靈。 出現提示時,輸入您先前設定之 AD FS 伺服器的 URL。
  3. 完成精靈。

在您的 RMS 叢集的所有節點上執行此精靈。

如果 AD RMS 叢集與 AD FS 伺服器之間有 Proxy 伺服器,則您的 AD RMS 叢集預設將無法連絡同盟服務。 發生這種情況時,AD RMS 將無法驗證從行動用戶端收到的權杖,並拒絕要求。 如果您有封鎖此通訊的 Proxy 伺服器,您必須從 AD RMS 行動裝置擴充功能網站更新web.config檔案,讓 AD RMS 可以在需要連絡 AD FS 伺服器時略過 Proxy 伺服器。

更新 AD RMS 行動裝置擴充功能的 Proxy 設定

  1. 開啟位於 \Program Files\Active Directory Rights Management Services 行動裝置延伸模組\Web Service中的web.config檔案。

  2. 將下列節點新增至 檔案:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. 進行下列變更,然後儲存檔案:

    • 以 Proxy 伺服器的名稱或位址取代 < Proxy 伺服器 > 。
    • 將埠 > 取代 < 為 Proxy 伺服器設定為使用的埠號碼。
    • 以同盟服務的 URL 取代 < AD FS URL > 。 請勿包含 HTTP 前置詞。

    注意

    若要深入瞭解覆寫 Proxy 設定,請參閱 Proxy 組態 檔。

  4. 例如,從命令提示字元以系統管理員身分執行 iisreset 來重設 IIS。

在 RMS 叢集中的所有節點上重複此程式。

另請參閱

深入瞭解 Azure 資訊保護、與其他 AIP 客戶連絡,以及使用API yammer 群組與 AIP 產品經理連絡。