služba AD RMS (Active Directory Rights Management Services) rozšíření pro mobilní zařízeníActive Directory Rights Management Services Mobile Device Extension

*Platí pro: Windows Server 2019, 2016, 2012 R2 a 2012 **Applies to: Windows Server 2019, 2016, 2012 R2, and 2012*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Rozšíření pro mobilní zařízení služba AD RMS (Active Directory Rights Management Services) (AD RMS) si můžete stáhnout z webu Microsoft Download Center a nainstalovat toto rozšíření nad stávající nasazení služby AD RMS.You can download the Active Directory Rights Management Services (AD RMS) mobile device extension from the Microsoft Download Center and install this extension on top of an existing AD RMS deployment. Díky tomu mohou uživatelé chránit a využívat citlivá data, když jejich zařízení podporuje nejnovější aplikace podporou API.This lets users protect and consume sensitive data when their device supports the latest API-enlightened apps. Uživatelé mohou například provést následující akce:For example, users can do the following:

  • Použijte aplikaci Azure Information Protection pro využívání chráněných textových souborů v různých formátech (včetně souborů. txt,. csv a. XML).Use the Azure Information Protection app to consume protected text files in different formats (including .txt, .csv, and .xml).
  • Pomocí aplikace Azure Information Protection můžete využívat chráněné soubory obrázků (včetně souborů. jpg,. gif a. tif).Use the Azure Information Protection app to consume protected image files (including .jpg, .gif, and .tif).
  • Pomocí aplikace Azure Information Protection otevřete libovolný soubor, který byl obecně chráněn (formát. pfile).Use the Azure Information Protection app to open any file that has been generically protected (.pfile format).
  • Pomocí aplikace Azure Information Protection otevřete soubor Office (Word, Excel, PowerPoint), který je kopií PDF (formát. PDF a. ppdf).Use the Azure Information Protection app to open an Office file (Word, Excel, PowerPoint) that is a PDF copy (.pdf and .ppdf format).
  • Použijte aplikaci Azure Information Protection k otevření chráněných e-mailových zpráv (. rpmsg) a chráněných souborů PDF na Microsoft SharePointu.Use the Azure Information Protection app to open protected email messages (.rpmsg) and protected PDF files on Microsoft SharePoint.
  • Použijte prohlížeč PDF AIP-podporou pro prohlížení více platforem nebo pro otevření souborů PDF, které byly chráněny pomocí jakékoli aplikace AIP-podporou.Use an AIP-enlightened PDF viewer for cross-platform viewing or to open PDF files that were protected with any AIP-enlightened application.
  • Používejte interně vyvinuté aplikace AIP-podporou, které jste napsali pomocí sady MIP SDK.Use your internally developed AIP-enlightened apps that were written by using the MIP SDK.

Poznámka

Aplikaci Azure Information Protection můžete stáhnout ze stránky microsoft Rights Management na webu Microsoftu.You can download the Azure Information Protection app from the Microsoft Rights Management page of the Microsoft website. Informace o dalších aplikacích, které jsou podporované pomocí rozšíření pro mobilní zařízení, najdete v této dokumentaci v tabulce na stránce aplikace .For information about other apps that are supported with the mobile device extension, see the table in the Applications page from this documentation. Další informace o různých typech souborů podporovaných službou RMS najdete v části podporované typy souborů a přípony názvů souborů v příručce pro správce aplikace pro sdílení Rights Management.For more information about the different file types that RMS supports, see the Supported file types and file name extensions section from the Rights Management sharing application administrator guide.

Důležité

Než nainstalujete rozšíření pro mobilní zařízení, nezapomeňte si přečíst a nakonfigurovat požadavky.Be sure to read and configure the prerequisites before you install the mobile device extension.

Pokud chcete získat další informace, Stáhněte si dokument white paper "Microsoft Azure Information Protection" a doprovodné skripty z webu Microsoft Download Center.For additional information, download the "Microsoft Azure Information Protection" white paper and accompanying scripts from the Microsoft Download Center.

Předpoklady pro rozšíření služby AD RMS pro mobilní zařízeníPrerequisites for AD RMS mobile device extension

Než nainstalujete rozšíření služby AD RMS pro mobilní zařízení, zajistěte, aby byly zavedeny následující závislosti.Before you install the AD RMS mobile device extension, make sure the following dependencies are in place.

PožadavekRequirement Další informaceMore information
Existující nasazení služby AD RMS na Windows serveru 2019, 2016, 2012 R2 nebo 2012, které zahrnuje následující:An existing AD RMS deployment on Windows Server 2019, 2016, 2012 R2, or 2012, that includes the following:

– Váš cluster služby AD RMS musí být dostupný z Internetu.- Your AD RMS cluster must be accessible from the Internet.

– Služba AD RMS musí používat úplnou Microsoft SQL Server databázi na samostatném serveru, a ne na interní databázi Windows, která se často používá pro testování na stejném serveru.- AD RMS must be using a full Microsoft SQL Server-based database on a separate server and not the Windows Internal Database that is often used for testing on the same server.

– Účet, který použijete k instalaci rozšíření pro mobilní zařízení, musí mít oprávnění sysadmin pro instanci SQL Server, kterou používáte pro službu AD RMS.- The account that you will use to install the mobile device extension must have sysadmin rights for the SQL Server instance that you're using for AD RMS.

-Servery AD RMS musí být nakonfigurované tak, aby používaly protokol SSL/TLS s platným certifikátem x. 509, který je důvěryhodný pro klienty mobilních zařízení.- The AD RMS servers must be configured to use SSL/TLS with a valid x.509 certificate that is trusted by the mobile device clients.

– Pokud jsou servery služby AD RMS za bránou firewall nebo publikovány pomocí reverzního proxy serveru, musíte kromě publikování složky /_wmcs na internetu také publikovat složku/můj (například: _https: / / rmsserver.contoso.com/my).- If the AD RMS servers are behind a firewall or published by using a reverse proxy, in addition to publishing the /_wmcs folder to the Internet, you must also publish the /my folder (for example: _https://RMSserver.contoso.com/my).
Podrobnosti o požadavcích a informacích o nasazení služby AD RMS najdete v části požadavky tohoto článku.For details about AD RMS prerequisites and deployment information, see the prerequisites section of this article.
AD FS nasazené na Windows serveru:AD FS deployed on your Windows Server:

-Vaše AD FS serverová farma musí být přístupná z Internetu (nasadili jste proxy federačních serverů).- Your AD FS server farm must be accessible from the Internet (you have deployed federation server proxies).

-Ověřování pomocí formulářů se nepodporuje. je nutné použít integrované ověřování systému Windows.- Forms-based authentication is not supported; you must use Windows Integrated Authentication

Důležité: AD FS musí používat jiný počítač než počítač se službou AD RMS a rozšířením pro mobilní zařízení.Important: AD FS must be running a different computer from the computer running AD RMS and the mobile device extension.
Dokumentaci k AD FS najdete v Průvodci nasazením AD FS serveru Windows v knihovně Windows serveru.For documentation about AD FS, see the Windows Server AD FS Deployment Guide in the Windows Server library.

AD FS musí být nakonfigurované pro rozšíření pro mobilní zařízení.AD FS must be configured for the mobile device extension. Pokyny najdete v části konfigurace AD FS pro rozšíření služby AD RMS pro mobilní zařízení v tomto tématu.For instructions, see the Configuring AD FS for the AD RMS mobile device extension section in this topic.
Mobilní zařízení musí důvěřovat certifikátům PKI na serveru RMS (nebo serverech).Mobile devices must trust the PKI certificates on the RMS server (or servers) Když si koupíte certifikáty serveru od veřejné certifikační autority, jako je například VeriSign nebo Comodo, je pravděpodobný, že mobilní zařízení budou pro tyto certifikáty důvěřovat kořenové certifikační autoritě, aby tato zařízení důvěřovala certifikátům serveru bez nutnosti Přidání konfigurace.When you purchase your server certificates from a public CA, such as VeriSign or Comodo, it's likely that mobile devices will already trust the root CA for these certificates, so that these devices will trust the server certificates without addition configuration.

Pokud však k nasazení certifikátů serveru pro službu RMS používáte vlastní interní certifikační autoritu, musíte provést další kroky k instalaci certifikátu kořenové certifikační autority na mobilní zařízení.However, if you use your own internal CA to deploy the server certificates for RMS, you must take additional steps to install the root CA certificate on the mobile devices. Pokud to neuděláte, mobilní zařízení nebudou moct navázat úspěšné připojení k serveru RMS.If don't do this, mobile devices will not be able to establish a successful connection with the RMS server.
Záznamy SRV v DNSSRV records in DNS Vytvořte jeden nebo více záznamů SRV ve vaší doméně nebo doménách společnosti:Create one or more SRV records in your company domain or domains:

1: vytvořte záznam pro každou příponu e-mailové domény, kterou budou uživatelé používat.1: Create a record for each email domain suffix that users will use

2: vytvořte záznam pro každý plně kvalifikovaný název domény používaný clustery služby RMS k ochraně obsahu, včetně názvu clusteru.2: Create a record for every FQDN used by your RMS clusters to protect content, not including the cluster name

Tyto záznamy musí být přeložitelný z jakékoli sítě, kterou používají připojení mobilních zařízení, což zahrnuje intranet, pokud se vaše mobilní zařízení připojují prostřednictvím intranetu.These records must be resolvable from any network that the connecting mobile devices use, which includes the intranet if your mobile devices connect via the intranet.

Když uživatelé zadají svou e-mailovou adresu ze svého mobilního zařízení, použije se k určení, jestli mají používat infrastrukturu AD RMS nebo Azure AIP.When users supply their email address from their mobile device, the domain suffix is used to identify whether they should use an AD RMS infrastructure or Azure AIP. Po nalezení záznamu SRV budou klienti přesměrováni na server služby AD RMS, který odpovídá na tuto adresu URL.When the SRV record is found, clients are redirected to the AD RMS server that responds to that URL.

Když uživatelé používají chráněný obsah pomocí mobilního zařízení, vyhledá klientská aplikace službu DNS pro záznam, který odpovídá plně kvalifikovanému názvu domény v adrese URL clusteru, který chráněný obsah (bez názvu clusteru).When users consume protected content with a mobile device, the client application looks in DNS for a record that matches the FQDN in the URL of the cluster that protected the content (without the cluster name). Zařízení se pak přesměruje na cluster AD RMS zadaný v záznamu DNS a získá licenci k otevření obsahu.The device is then directed to the AD RMS cluster specified in the DNS record and acquires a license to open the content. Ve většině případů bude cluster RMS stejný cluster RMS, který obsah chránil.In most cases, the RMS cluster will be the same RMS cluster that protected the content.

Informace o tom, jak zadat záznamy SRV, najdete v části určení záznamů SRV služby DNS pro rozšíření služby AD RMS pro mobilní zařízení v tomto tématu.For information about how to specify the SRV records, see the Specifying the DNS SRV records for the AD RMS mobile device extension section in this topic.
Podporovaní klienti pomocí aplikací, které jsou vyvíjeny pomocí sady MIP SDK pro tuto platformu.Supported clients using applications that are developed by using the MIP SDK for this platform. Stáhněte si podporované aplikace pro zařízení, která používáte, pomocí odkazů na stránce pro stažení Microsoft Azure Information Protection .Download the supported apps for the devices that you use by using the links on the Microsoft Azure Information Protection download page.

Konfigurace AD FS pro rozšíření služby AD RMS pro mobilní zařízeníConfiguring AD FS for the AD RMS mobile device extension

Nejdřív musíte nakonfigurovat AD FS a potom autorizovat aplikaci AIP pro zařízení, která chcete použít.You must first configure AD FS, and then authorize the AIP app for the devices that you want to use.

Krok 1: Konfigurace AD FSStep 1: To configure AD FS

  • Můžete buď spustit skript prostředí Windows PowerShell, který automaticky nakonfiguruje AD FS pro podporu rozšíření služby AD RMS pro mobilní zařízení, nebo můžete ručně zadat možnosti a hodnoty konfigurace:You can either run a Windows PowerShell script to automatically configure AD FS to support the AD RMS mobile device extension, or you can manually specify the configuration options and values:
    • Pokud chcete automaticky nakonfigurovat AD FS rozšíření služby AD RMS pro mobilní zařízení, zkopírujte a vložte následující do souboru skriptu Windows PowerShellu a pak ho spusťte:To automatically configure AD FS for the AD RMS mobile device extension, copy and paste the following into a Windows PowerShell script file, and then run it:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Pokud chcete ručně nakonfigurovat AD FS rozšíření služby AD RMS pro mobilní zařízení, použijte Tato nastavení:To manually configure AD FS for the AD RMS mobile device extension, use these settings:
KonfiguraceConfiguration HodnotaValue
Vztah důvěryhodnosti předávající stranyRelying Party Trust _api. RMS. REST. com_api.rms.rest.com
Pravidlo deklarace identityClaim rule Úložiště atributů: Služba Active DirectoryAttribute store: Active Directory

E-mailové adresy: e-mailová adresaE-mail addresses: E-mail-address

Hlavní název uživatele: UPNUser-Principal-Name: UPN

Adresa proxy serveru: _https: / /schemas.xmlSOAP.org/claims/proxyAddressesProxy-Address: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Tip

Podrobné pokyny pro ukázkové nasazení služby AD RMS s AD FS najdete v tématu nasazení služba AD RMS (Active Directory Rights Management Services) pomocí Active Directory Federation Services (AD FS).For step-by-step instructions for an example deployment of AD RMS with AD FS, see Deploying Active Directory Rights Management Services with Active Directory Federation Services.

Krok 2: autorizace aplikací pro vaše zařízeníStep 2: Authorize apps for your devices

  • Po nahrazení proměnných pro přidání podpory aplikace Azure Information Protection spusťte následující příkaz prostředí Windows PowerShell.Run the following Windows PowerShell command after replacing the variables to add support for the Azure Information Protection app. Nezapomeňte spustit oba příkazy v uvedeném pořadí:Make sure to run both commands in the order shown:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Příklad PowerShelluPowershell Example

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • U klienta Azure Information Protection Unified labeling použijte následující příkaz prostředí Windows PowerShell, který přidá podporu klienta Azure Information Protection na vaše zařízení:For the Azure Information Protection unified labeling client, run the following Windows PowerShell command to add support for the Azure Information Protection client on your devices:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Pro podporu služby ADFS ve Windows 2016 a 2019 a ADRMS MDE pro produkty třetích stran spusťte následující příkaz Windows PowerShellu:To support ADFS on Windows 2016 and 2019 and ADRMS MDE for third party products, run the following Windows PowerShell command:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Pokud chcete nakonfigurovat klienta AIP na Windows, Macu, Mobile a Office Mobile pro využívání obsahu chráněného HYOK nebo AD RMS pomocí AD FS v systému Windows Server 2012 R2 a novějším, použijte následující:To configure the AIP client on Windows, Mac, mobile and Office Mobile for consuming HYOK or AD RMS protected content with AD FS on Windows Server 2012 R2 and newer, use the following:

  • V případě zařízení Mac (pomocí aplikace Sdílení RMS) nezapomeňte spustit oba příkazy v uvedeném pořadí:For Mac devices (using the RMS sharing app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • V případě zařízení se systémem iOS (pomocí aplikace Azure Information Protection) nezapomeňte spustit oba příkazy v uvedeném pořadí:For iOS devices (using the Azure Information Protection app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • U zařízení s Androidem (pomocí aplikace Azure Information Protection) nezapomeňte spustit oba příkazy v uvedeném pořadí:For Android devices (using the Azure Information Protection app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Pokud chcete přidat podporu pro systém Microsoft Office aplikace na vaše zařízení, spusťte následující příkazy PowerShellu:Run the following PowerShell commands to add support for Microsoft Office apps on your devices:

  • V případě zařízení se systémem Mac, iOS a Androidem (nezapomeňte spustit oba příkazy v uvedeném pořadí):For Mac, iOS, Android devices (make sure to run both commands in the order shown):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Určení záznamů SRV služby DNS pro rozšíření služby AD RMS pro mobilní zařízeníSpecifying the DNS SRV records for the AD RMS mobile device extension

Je nutné vytvořit záznamy SRV služby DNS pro každou e-mailovou doménu, kterou uživatelé používají.You must create DNS SRV records for each email domain that your users use. Pokud všichni uživatelé používají podřízené domény z jedné nadřazené domény a všichni uživatelé z tohoto souvislého oboru názvů používají stejný cluster RMS, můžete použít pouze jeden záznam SRV v nadřazené doméně a služba RMS bude vyhledat příslušné záznamy DNS.If all your users use child domains from a single parent domain, and all users from this contiguous namespace use the same RMS cluster, you can use just one SRV record in the parent domain, and RMS will find the appropriate DNS records. Záznamy SRV mají následující formát: _rmsdisco. _HTTP. _tcp.The SRV records have the following format: _rmsdisco._http._tcp. <emailsuffix><portnumber><RMSClusterFQDN>

Poznámka

Zadejte 443 pro <portnumber> .Specify 443 for the <portnumber>. I když můžete v DNS zadat jiné číslo portu, zařízení, která používají rozšíření pro mobilní zařízení, budou vždycky používat 443.Although can you specify a different port number in DNS, devices using the mobile device extension will always use 443.

Pokud má vaše organizace například uživatele s následujícími e-mailovými adresami:For example, if your organization has users with the following email addresses:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com Pokud nejsou k dispozici žádné další podřízené domény pro _contoso. com, které používají jiný cluster služby RMS než server s názvem _rmsserver. contoso. com, vytvořte dva záznamy SRV služby DNS, které mají tyto hodnoty:_user@fabrikam.com If there are no other child domains for _contoso.com that use a different RMS cluster than the one named _rmsserver.contoso.com, create two DNS SRV records that have these values:
  • _rmsdisco _rmsdisco._HTTP _rmsdisco._HTTP._tcp. contoso. com 443 _rmsserver. contoso. com_rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco _rmsdisco._HTTP _rmsdisco._HTTP._tcp. fabrikam. com 443 _rmsserver. contoso. com_rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Pokud používáte roli Server DNS v systému Windows Server, jako vodítko pro vlastnosti záznamu SRV v konzole Správce DNS použijte následující tabulky:If you use the DNS Server role on Windows Server, use the following tables as a guide for the SRV record properties in the DNS Manager console:

PoleField HodnotaValue
DoménaDomain _tcp. contoso. com_tcp.contoso.com
SlužbaService _rmsdisco_rmsdisco
ProtokolProtocol _http_http
PrioritaPriority 00
HmotnostWeight 00
Číslo portuPort number 443443
Hostitel nabízející tuto službuHost offering this service _rmsserver. contoso. com_rmsserver.contoso.com
PoleField HodnotaValue
DoménaDomain _tcp. fabrikam. com_tcp.fabrikam.com
SlužbaService _rmsdisco_rmsdisco
ProtokolProtocol _http_http
PrioritaPriority 00
HmotnostWeight 00
Číslo portuPort number 443443
Hostitel nabízející tuto službuHost offering this service _rmsserver. contoso. com_rmsserver.contoso.com

Kromě těchto záznamů SRV služby DNS pro vaši e-mailovou doménu musíte vytvořit jiný záznam SRV služby DNS v doméně clusteru RMS.In addition to these DNS SRV records for your email domain, you must create another DNS SRV record in the RMS cluster domain. Tento záznam musí určovat plně kvalifikované názvy domén vašeho clusteru RMS, které chrání obsah.This record must specify the FQDNs of your RMS cluster that protects content. Každý soubor, který je chráněný službou RMS, zahrnuje adresu URL clusteru, který tento soubor chránil.Every file that is protected by RMS includes a URL to the cluster that protected that file. Mobilní zařízení používají záznam SRV služby DNS a plně kvalifikovaný název domény adresy URL zadaný v záznamu k nalezení odpovídajícího clusteru služby RMS, který může podporovat mobilní zařízení.Mobile devices use the DNS SRV record and the URL FQDN specified in the record to find the corresponding RMS cluster that can support mobile devices.

Pokud je váš cluster RMS například _rmsserver. contoso. com, vytvořte záznam SRV služby DNS, který má následující hodnoty: _rmsdisco. _HTTP. _tcp. contoso. com 443 _rmsserver. contoso. com.For example, if your RMS cluster is _rmsserver.contoso.com, create a DNS SRV record that has the following values: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Pokud používáte roli Server DNS v systému Windows Server, použijte jako vodítko pro vlastnosti záznamu SRV v konzole Správce DNS následující tabulku:If you use the DNS Server role on Windows Server, use the following table as a guide for the SRV record properties in the DNS Manager console:

PoleField HodnotaValue
DoménaDomain _tcp. contoso. com_tcp.contoso.com
SlužbaService _rmsdisco_rmsdisco
ProtokolProtocol _http_http
PrioritaPriority 00
HmotnostWeight 00
Číslo portuPort number 443443
Hostitel nabízející tuto službuHost offering this service _rmsserver. contoso. com_rmsserver.contoso.com

Nasazení rozšíření služby AD RMS pro mobilní zařízeníDeploying the AD RMS mobile device extension

Než nainstalujete rozšíření služby AD RMS pro mobilní zařízení, ujistěte se, že jsou splněné požadavky z předchozí části a že znáte adresu URL serveru AD FS.Before you install the AD RMS mobile device extension, make sure that the prerequisites from the preceding section are in place, and that you know the URL of your AD FS server. Potom udělejte následující:Then do the following:

  1. Stáhněte si rozšíření služby AD RMS pro mobilní zařízení (ADRMS.MobileDeviceExtension.exe) z webu Microsoft Download Center.Download the AD RMS mobile device extension (ADRMS.MobileDeviceExtension.exe) from the Microsoft Download Center.
  2. Spusťte ADRMS.MobileDeviceExtension.exe a spusťte Průvodce instalací rozšíření pro mobilní zařízení služba AD RMS (Active Directory Rights Management Services).Run ADRMS.MobileDeviceExtension.exe to start the Active Directory Rights Management Services Mobile Device Extension Setup Wizard. Po zobrazení výzvy zadejte adresu URL serveru AD FS, který jste nakonfigurovali dříve.When prompted, enter the URL of the AD FS server that you configured previously.
  3. Dokončete průvodce.Complete the wizard.

Spusťte tohoto průvodce na všech uzlech v clusteru RMS.Run this wizard on all the nodes in your RMS cluster.

Pokud máte proxy server mezi clusterem služby AD RMS a AD FS servery, cluster služby AD RMS se ve výchozím nastavení nebude moct spojit se službou federované služby.If you have a proxy server between the AD RMS cluster and the AD FS servers, by default, your AD RMS cluster will not be able to contact the federated service. Pokud k tomu dojde, služba AD RMS nebude moct ověřit token, který se obdrží od mobilního klienta, a žádost odmítne.When this happens, AD RMS will be unable to verify the token that is received from the mobile client and will reject the request. Pokud máte proxy server, které tuto komunikaci blokují, musíte aktualizovat web.config soubor z webu rozšíření služby AD RMS pro mobilní zařízení, aby služba AD RMS mohla obejít proxy server, pokud potřebuje kontaktovat servery AD FS.If you have proxy server that blocks this communication, you must update the web.config file from the AD RMS mobile device extension website, so that AD RMS can bypass the proxy server when it needs to contact the AD FS servers.

Aktualizuje se nastavení proxy serveru pro rozšíření služby AD RMS pro mobilní zařízení.Updating proxy settings for the AD RMS mobile device extension

  1. Otevřete web.config soubor, který je umístěný ve složce \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service.Open the web.config file that is located in \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Přidejte do souboru následující uzel:Add the following node to the file:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. Proveďte následující změny a pak soubor uložte:Make the following changes, and then save the file:

    • Nahraďte <proxy-server> názvem nebo adresou vašeho proxy server.Replace <proxy-server> with the name or address of your proxy server.
    • Nahraďte <port> číslem portu, který má proxy server nakonfigurované na použití.Replace <port> with the port number that the proxy server is configured to use.
    • Nahraďte <AD FS URL> adresou URL služby FS (Federation Service).Replace <AD FS URL> with the URL of the federation service. Nezahrnujte předponu HTTP.Do not include the HTTP prefix.

    Poznámka

    Další informace o přepsání nastavení proxy serveru najdete v tématu dokumentace ke konfiguraci proxy serveru .To learn more about overriding the proxy settings, see Proxy Configuration documentation.

  4. Resetování služby IIS, například spuštěním příkazu iisreset jako správce z příkazového řádku.Reset IIS, for example, by running iisreset as an administrator from a command prompt.

Tento postup opakujte na všech uzlech v clusteru RMS.Repeat this procedure on all the nodes in your RMS cluster.

Viz takéSee Also

Přečtěte si další informace o Azure Information Protection, kontaktujte s dalšími zákazníky AIP a pomocí skupiny AIP pro správu produktů pomocí API Yammeru.Find out more about Azure Information Protection, make contact with other AIP customers, and with AIP product managers using the API yammer group.