rozšíření služba AD RMS (Active Directory Rights Management Services) mobilních zařízení

  • Článek

Rozšíření mobilních zařízení služba AD RMS (Active Directory Rights Management Services) (AD RMS) si můžete stáhnout z webu Microsoft Download Center a nainstalovat ho nad stávající nasazení služby AD RMS. To umožňuje uživatelům chránit a využívat citlivá data, když jejich zařízení podporuje nejnovější aplikace podporující rozhraní API. Uživatelé můžou například na mobilních zařízeních dělat toto:

  • Pomocí aplikace Azure Information Protection můžete využívat chráněné textové soubory v různých formátech (včetně souborů .txt, .csv a .xml).
  • Pomocí aplikace Azure Information Protection můžete využívat chráněné soubory obrázků (včetně souborů .jpg, .gif a .tif).
  • Pomocí aplikace Azure Information Protection otevřete libovolný soubor, který je obecně chráněný (formát .pfile).
  • Pomocí aplikace Azure Information Protection otevřete soubor Office (Word, Excel, PowerPoint), který je kopií PDF (formát PDF a .ppdf).
  • Pomocí aplikace Azure Information Protection otevřete chráněné e-mailové zprávy (.rpmsg) a chráněné soubory PDF na Microsoft SharePointu.
  • K zobrazení na různých platformách nebo k otevření souborů PDF chráněných libovolnou aplikací podporujících AIP použijte prohlížeč AIP.
  • Používejte interně vyvinuté aplikace podporující AIP, které byly napsané pomocí sady MIP SDK.

Poznámka:

Aplikaci Azure Information Protection si můžete stáhnout ze stránky Microsoft Rights Management webu Microsoftu. Informace o dalších aplikacích podporovaných rozšířením mobilního zařízení najdete v tabulce na stránce Aplikace z této dokumentace. Další informace o různých typech souborů, které RMS podporuje, najdete v části Podporované typy souborů a přípony názvů souborů v příručce správce aplikace pro sdílení obsahu Rights Management.

Důležité

Před instalací rozšíření mobilního zařízení nezapomeňte přečíst a nakonfigurovat požadavky.

Další informace potřebujete stáhnout dokument white paper "Microsoft Azure Information Protection" a doprovodné skripty z webu Microsoft Download Center.

Požadavky pro rozšíření mobilních zařízení AD RMS

Před instalací rozšíření mobilních zařízení AD RMS se ujistěte, že jsou splněné následující závislosti.

Požadavek Více informací
Existující nasazení služby AD RMS ve Windows Serveru 2019, 2016, 2012 R2 nebo 2012, které zahrnuje následující:

– Váš cluster AD RMS musí být přístupný z internetu.

– SLUŽBA AD RMS musí používat úplnou databázi microsoft SQL Serveru na samostatném serveru, a ne Interní databáze Windows, která se často používá k testování na stejném serveru.

– Účet, který budete používat k instalaci rozšíření mobilního zařízení, musí mít oprávnění správce systému pro instanci SYSTÉMU SQL Server, kterou používáte pro SLUŽBU AD RMS.

– Servery SLUŽBY AD RMS musí být nakonfigurované tak, aby používaly protokol SSL/TLS s platným certifikátem x.509, který klienti mobilních zařízení důvěřují.

– Pokud jsou servery AD RMS za bránou firewall nebo publikovány pomocí reverzního proxy serveru, kromě publikování složky /_wmcs na internet, musíte také publikovat složku /my (například: _https://RMSserver.contoso.com/my).		 Podrobnosti o požadavcích a nasazení služby AD RMS najdete v části Požadavky tohoto článku.
Služba AD FS nasazená na Windows Serveru:

– Serverová farma služby AD FS musí být přístupná z internetu (nasadili jste proxy federačních serverů).

– Ověřování pomocí formulářů není podporováno; Musíte použít integrované ověřování systému Windows.

Důležité: Služba AD FS musí používat jiný počítač než počítač se službou AD RMS a rozšířením mobilního zařízení.		 Dokumentaci ke službě AD FS najdete v průvodci nasazením služby AD FS pro Windows Server v knihovně systému Windows Server.

Služba AD FS musí být nakonfigurovaná pro rozšíření mobilního zařízení. Pokyny najdete v části Konfigurace služby AD FS pro rozšíření mobilních zařízení SLUŽBY AD RMS v tomto tématu.
Mobilní zařízení musí důvěřovat certifikátům PKI na serveru RMS (nebo serverech). Při nákupu certifikátů serveru od veřejné certifikační autority, jako je VeriSign nebo Comodo, je pravděpodobné, že mobilní zařízení už budou důvěřovat kořenové certifikační autoritě pro tyto certifikáty, aby tato zařízení důvěřovala certifikátům serveru bez další konfigurace.

Pokud ale k nasazení certifikátů serveru pro SLUŽBU RMS používáte vlastní interní certifikační autoritu, musíte provést další kroky k instalaci certifikátu kořenové certifikační autority na mobilní zařízení. Pokud to neuděláte, mobilní zařízení nebudou moct navázat úspěšné připojení k serveru RMS.
Záznamy SRV v DNS Vytvořte jeden nebo více záznamů SRV v doméně nebo doménách vaší společnosti:

1: Vytvoření záznamu pro každou příponu e-mailové domény, kterou budou uživatelé používat

2: Vytvořte záznam pro každý plně kvalifikovaný název domény používaný vašimi clustery RMS k ochraně obsahu, a to bez názvu clusteru.

Tyto záznamy musí být přeložitelné z jakékoli sítě, kterou používají připojující se mobilní zařízení, včetně intranetu, pokud se vaše mobilní zařízení připojují přes intranet.

Když uživatelé zadají svoji e-mailovou adresu ze svého mobilního zařízení, přípona domény se použije k identifikaci, jestli mají používat infrastrukturu AD RMS nebo Azure AIP. Po nalezení záznamu SRV se klienti přesměrují na server SLUŽBY AD RMS, který na tuto adresu URL odpoví.

Když uživatelé využívají chráněný obsah s mobilním zařízením, klientská aplikace hledá v DNS záznam, který odpovídá plně kvalifikovanému názvu domény v adrese URL clusteru, který obsah chránil (bez názvu clusteru). Zařízení se pak nasměruje do clusteru AD RMS určeného v záznamu DNS a získá licenci k otevření obsahu. Ve většině případů bude cluster RMS stejný cluster RMS, který chránil obsah.

Informace o tom, jak zadat záznamy SRV, naleznete v části Zadání záznamů DNS SRV pro rozšíření mobilního zařízení služby AD RMS v tomto tématu.
Podporovaní klienti používající aplikace vyvinuté pomocí sady MIP SDK pro tuto platformu. Stáhněte si podporované aplikace pro zařízení, která používáte, pomocí odkazů na stránce pro stažení služby Microsoft Azure Information Protection .

Konfigurace služby AD FS pro rozšíření mobilních zařízení AD RMS

Nejprve musíte nakonfigurovat službu AD FS a pak autorizovat aplikaci AIP pro zařízení, která chcete použít.

Krok 1: Konfigurace služby AD FS

  • Můžete spustit skript Prostředí Windows PowerShell, který automaticky nakonfiguruje službu AD FS tak, aby podporovala rozšíření mobilních zařízení SLUŽBY AD RMS, nebo můžete ručně zadat možnosti a hodnoty konfigurace:
    • Pokud chcete službu AD FS pro rozšíření mobilního zařízení AD RMS automaticky nakonfigurovat, zkopírujte a vložte následující kód do souboru skriptu Windows PowerShellu a spusťte ho:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Pokud chcete ručně nakonfigurovat službu AD FS pro rozšíření mobilního zařízení AD RMS, použijte tato nastavení:
Konfigurace Hodnota
Vztah důvěryhodnosti předávající strany _api.rms.rest.com
Pravidlo deklarace identity Úložiště atributů: Active Directory

E-mailové adresy: E-mailová adresa

Hlavní název uživatele: hlavní název uživatele (UPN)

Proxy adresa: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Tip

Podrobné pokyny pro ukázkové nasazení služby AD RMS se službou AD FS najdete v tématu Nasazení služba AD RMS (Active Directory Rights Management Services) s Active Directory Federation Services (AD FS).

Krok 2: Autorizace aplikací pro vaše zařízení

  • Po nahrazení proměnných přidejte podporu aplikace Azure Information Protection spuštěním následujícího příkazu Windows PowerShellu. Nezapomeňte spustit oba příkazy v uvedeném pořadí:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Příklad PowerShellu

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Pro klienta sjednoceného popisování služby Azure Information Protection spusťte následující příkaz Windows PowerShellu, který na vašich zařízeních přidá podporu klienta služby Azure Information Protection:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Pokud chcete podporovat ADFS ve Windows 2016 a 2019 a ADRMS MDE pro produkty třetích stran, spusťte následující příkaz Windows PowerShellu:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Pokud chcete nakonfigurovat klienta AIP ve Windows, Macu, mobilním zařízení a Office Mobile pro využívání obsahu chráněného HYOK nebo AD RMS se službou AD FS ve Windows Serveru 2012 R2 a novějším, použijte následující:

  • Pro zařízení Mac (pomocí aplikace sdílení RMS) nezapomeňte spustit oba příkazy v uvedeném pořadí:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • U zařízení s iOSem (pomocí aplikace Azure Information Protection) nezapomeňte spustit oba příkazy v uvedeném pořadí:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • U zařízení s Androidem (pomocí aplikace Azure Information Protection) nezapomeňte spustit oba příkazy v uvedeném pořadí:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Spuštěním následujících příkazů PowerShellu přidejte podporu systém Microsoft Office aplikací na vašich zařízeních:

  • Pro Mac, iOS, Zařízení s Androidem (nezapomeňte spustit oba příkazy v uvedeném pořadí):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Zadání záznamů DNS SRV pro rozšíření mobilního zařízení AD RMS

Pro každou e-mailovou doménu, kterou uživatelé používají, musíte vytvořit záznamy DNS SRV. Pokud všichni vaši uživatelé používají podřízené domény z jedné nadřazené domény a všichni uživatelé z tohoto souvislého oboru názvů používají stejný cluster RMS, můžete použít pouze jeden záznam SRV v nadřazené doméně a služba RMS najde příslušné záznamy DNS. Záznamy SRV mají následující formát: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Poznámka:

Zadejte hodnotu 443 pro <číslo> portu. I když můžete v DNS zadat jiné číslo portu, zařízení používající rozšíření mobilního zařízení budou vždy používat hodnotu 443.

Pokud má vaše organizace například uživatele s následujícími e-mailovými adresami:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Pokud pro _contoso.com neexistují žádné další podřízené domény, které používají jiný cluster RMS než ten s názvem _rmsserver.contoso.com, vytvořte dva záznamy DNS SRV, které mají tyto hodnoty:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Pokud ve Windows Serveru používáte roli server DNS, použijte následující tabulky jako vodítko pro vlastnosti záznamu SRV v konzole Správce DNS:

Pole Hodnota
Doména _tcp.contoso.com
Service _rmsdisco
Protokol _http
Priorita 0
Hmotnost 0
Číslo portu 443
Hostitel nabízející tuto službu _rmsserver.contoso.com
Pole Hodnota
Doména _tcp.fabrikam.com
Service _rmsdisco
Protokol _http
Priorita 0
Hmotnost 0
Číslo portu 443
Hostitel nabízející tuto službu _rmsserver.contoso.com

Kromě těchto záznamů DNS SRV pro vaši e-mailovou doménu musíte vytvořit další záznam SRV DNS v doméně clusteru RMS. Tento záznam musí určovat plně kvalifikované názvy domén vašeho clusteru RMS, které chrání obsah. Každý soubor chráněný službou RMS obsahuje adresu URL clusteru, který tento soubor chránil. Mobilní zařízení používají záznam DNS SRV a plně kvalifikovaný název domény ADRESY URL zadané v záznamu k vyhledání odpovídajícího clusteru RMS, který může podporovat mobilní zařízení.

Pokud je například váš cluster RMS _rmsserver.contoso.com, vytvořte záznam SRV DNS s následujícími hodnotami: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Pokud ve Windows Serveru používáte roli server DNS, použijte následující tabulku jako vodítko pro vlastnosti záznamů SRV v konzole Správce DNS:

Pole Hodnota
Doména _tcp.contoso.com
Service _rmsdisco
Protokol _http
Priorita 0
Hmotnost 0
Číslo portu 443
Hostitel nabízející tuto službu _rmsserver.contoso.com

Nasazení rozšíření pro mobilní zařízení AD RMS

Před instalací rozšíření mobilních zařízení AD RMS se ujistěte, že jsou splněné požadavky z předchozí části a že znáte adresu URL serveru SLUŽBY AD FS. Potom udělejte následující:

  1. Stáhněte si rozšíření mobilních zařízení SLUŽBY AD RMS (ADRMS). MobileDeviceExtension.exe) z webu Microsoft Download Center.
  2. Spusťte ADRMS. MobileDeviceExtension.exe spustí průvodce instalací rozšíření mobilního zařízení služba AD RMS (Active Directory Rights Management Services). Po zobrazení výzvy zadejte adresu URL serveru služby AD FS, který jste nakonfigurovali dříve.
  3. Dokončete práci v průvodci.

Spusťte tohoto průvodce na všech uzlech v clusteru RMS.

Pokud máte proxy server mezi clusterem SLUŽBY AD RMS a servery služby AD FS, nebude váš cluster AD RMS ve výchozím nastavení moct kontaktovat federovanou službu. V takovém případě služba AD RMS nebude moct ověřit token přijatý z mobilního klienta a žádost odmítne. Pokud máte proxy server, který blokuje tuto komunikaci, musíte aktualizovat soubor web.config z webu rozšíření mobilního zařízení SLUŽBY AD RMS, aby služba AD RMS mohl obejít proxy server, když potřebuje kontaktovat servery SLUŽBY AD FS.

Aktualizace nastavení proxy serveru pro rozšíření mobilních zařízení AD RMS

  1. Otevřete soubor web.config, který se nachází ve složce \Program Files\služba AD RMS (Active Directory Rights Management Services) Rozšíření mobilního zařízení\Webová služba.

  2. Do souboru přidejte následující uzel:

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Proveďte následující změny a pak soubor uložte:

    • Proxy server> nahraďte <názvem nebo adresou vašeho proxy serveru.
    • Nahraďte <port> číslem portu, které má proxy server použít.
    • Nahraďte <adresu URL služby AD FS adresou URL> federační služby. Nezahrnujte předponu HTTP.

    Poznámka:

    Další informace o přepsání nastavení proxy serveru najdete v dokumentaci ke konfiguraci proxy serveru.

  4. Resetujte službu IIS, například spuštěním iisreset jako správce z příkazového řádku.

Tento postup opakujte na všech uzlech v clusteru RMS.

Viz také

Přečtěte si další informace o službě Azure Information Protection, kontaktujte ostatní zákazníky AIP a s produktovými manažery AIP pomocí skupiny yammeru rozhraní API.