Active Directory Rights Management Services-Mobilgeräteerweiterung

  • Artikel

Sie können die Active Directory Rights Management Services (AD RMS)-Erweiterung für mobile Geräte aus dem Microsoft Download Center herunterladen und diese Erweiterung zusätzlich zu einer bestehenden AD RMS-Bereitstellung installieren. So können Benutzer sensible Daten schützen und nutzen, wenn ihr Gerät die neuesten API-erweiterten Anwendungen unterstützt. Benutzer können beispielsweise folgendes auf ihren mobilen Geräten ausführen:

  • Verwenden Sie die Azure Information Protection-App, um geschützte Textdateien in verschiedenen Formaten (einschließlich .txt, .csv und .xml) zu verwenden.
  • Verwenden Sie die Azure Information Protection-App, um geschützte Bilddateien (einschließlich .jpg, .gif und .tif) zu verwenden.
  • Verwenden Sie die Azure Information Protection App, um jede Datei zu öffnen, die generisch geschützt wurde (.pfile Format).
  • Verwenden Sie die Azure Information Protection-App, um eine Office Datei (Word, Excel, PowerPoint) zu öffnen, die eine PDF-Kopie (.pdf- und PPDF-Format) ist.
  • Verwenden Sie die Azure Information Protection-App, um geschützte E-Mail-Nachrichten (.rpmsg) und geschützte PDF-Dateien in Microsoft SharePoint zu öffnen.
  • Verwenden Sie einen AIP-aufgeklärten PDF-Viewer für die plattformübergreifende Anzeige oder zum Öffnen von PDF-Dateien, die mit jeder AIP-aufgeklärten Anwendung geschützt wurden.
  • Verwenden Sie Ihre intern entwickelten AIP-erweiterten Anwendungen, die mit dem MIP SDK geschrieben wurden.

Hinweis

Sie können die Azure Information Protection-App von der Seite Microsoft Rights Management auf der Microsoft-Website herunterladen. Informationen über andere Anwendungen, die von der Erweiterung für mobile Geräte unterstützt werden, finden Sie in der Tabelle auf der Seite Anwendungen in dieser Dokumentation. Weitere Informationen zu den verschiedenen Dateitypen, die RMS unterstützt, finden Sie im Abschnitt Unterstützte Dateitypen und Dateinamenerweiterungen im Administratorhandbuch der Rights Management-Freigabeanwendung.

Wichtig

Achten Sie darauf, die Voraussetzungen zu lesen und zu konfigurieren, bevor Sie die Erweiterung mobiler Geräte installieren.

Weitere Informationen finden Sie im Whitepaper "Microsoft Azure Information Protection" und den dazugehörigen Skripten, die Sie im Microsoft Download Center herunterladen können.

Voraussetzungen für die AD RMS-Mobilgeräteerweiterung

Bevor Sie die AD RMS-Mobilgeräteerweiterung installieren, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind.

Anforderung Weitere Informationen
Eine vorhandene AD RMS-Bereitstellung auf Windows Server 2019, 2016, 2012 R2 oder 2012, die folgendes enthält:

- Ihr AD RMS-Cluster muss über das Internet zugänglich sein.

- AD RMS muss eine vollständige Microsoft SQL Server-Datenbank auf einem separaten Server und nicht die interne Windows-Datenbank verwenden, die häufig zum Testen auf dem gleichen Server verwendet wird.

- Das Konto, das Sie zum Installieren der Mobilen Geräteerweiterung verwenden, muss sysadmin-Rechte für die SQL Server Instanz haben, die Sie für AD RMS verwenden.

- Die AD RMS-Server müssen für die Verwendung von SSL/TLS mit einem gültigen x.509-Zertifikat konfiguriert sein, dem die Clients der mobilen Geräte vertrauen.

- Wenn sich die AD RMS-Server hinter einer Firewall befinden oder über einen Reverse-Proxy veröffentlicht werden, müssen Sie zusätzlich zur Veröffentlichung des Ordners /_wmcs im Internet auch den Ordner /my veröffentlichen (zum Beispiel: _https://RMSserver.contoso.com/my).		 Ausführliche Informationen zu AD RMS-Voraussetzungen und Bereitstellungsinformationen finden Sie im Abschnitt "Voraussetzungen" dieses Artikels.
AD FS, das auf Ihrem Windows Server bereitgestellt wurde:

- Ihre AD FS-Serverfarm muss über das Internet zugänglich sein (Sie haben Verbundserver-Proxies bereitgestellt).

- Die formularbasierte Authentifizierung wird nicht unterstützt; Sie müssen die in Windows integrierte Authentifizierung verwenden.

Wichtig: AD FS muss auf einem anderen Computer ausgeführt werden als der Computer, auf dem AD RMS und die Erweiterung für mobile Geräte ausgeführt werden.		 Dokumentation zu AD FS finden Sie im Windows Server AD FS-Bereitstellungshandbuch in der Windows Serverbibliothek.

AD FS muss für die Mobilgeräteerweiterung konfiguriert werden. Anweisungen finden Sie im Abschnitt Konfiguration von AD FS für die AD RMS-Erweiterung für mobile Geräte in diesem Thema.
Mobile Geräte müssen den PKI-Zertifikaten auf dem RMS-Server (oder Servern) vertrauen. Wenn Sie Ihre Serverzertifikate aus einer öffentlichen Zertifizierungsstelle erwerben, z. B. VeriSign oder Comodo, ist es wahrscheinlich, dass mobile Geräte bereits der Stammzertifizierungsstelle für diese Zertifikate vertrauen, sodass diese Geräte den Serverzertifikaten ohne zusätzliche Konfiguration vertrauen.

Wenn Sie jedoch ihre eigene interne CA verwenden, um die Serverzertifikate für RMS bereitzustellen, müssen Sie zusätzliche Schritte zum Installieren des Stammzertifikats für die Zertifizierungsstelle auf mobilen Geräten ausführen. Wenn dies nicht der Fall ist, können mobile Geräte keine erfolgreiche Verbindung mit dem RMS-Server herstellen.
SRV-Einträge in DNS Erstellen Sie einen oder mehrere SRV-Einträge in der Domäne oder den Domänen Ihres Unternehmens:

1: Erstellen Sie einen Eintrag für jedes von den Benutzern verwende E-Mail-Domänensuffix.

2: Erstellen Sie einen Eintrag für jede FQDN, die von Ihren RMS-Clustern zum Schutz von Inhalten verwendet, ausgenommen des Clusternamens.

Diese Datensätze müssen von jedem Netzwerk aufgelöst werden, das die Verbindung von mobilen Geräten verwendet, einschließlich des Intranets, wenn Ihre mobilen Geräte über das Intranet verbinden.

Wenn Benutzer ihre E-Mail-Adresse auf ihrem mobilen Gerät eingeben, wird das Domänensuffix verwendet, um festzustellen, ob sie eine RMS-Infrastruktur oder Azure AIP verwenden sollten. Wenn der SRV-Eintrag gefunden wird, werden Clients zu dem AD RMS-Server umgeleitet, der auf diese URL antwortet.

Wenn Benutzer geschützte Inhalte auf einem mobilen Gerät öffnen, sucht die Clientanwendung im DNS nach einem Eintrag, der zum FQDN in der URL des Clusters passt, der die Inhalte (ohne Clustername) schützt. Das Gerät wird dann an den im DNS-Eintrag angegebenen AD RMS-Cluster weitergeleitet und erhält eine Lizenz zum Öffnen des Inhalts. In den meisten Fällen handelt es sich beim RMS-Cluster um denselben RMS-Cluster, der den Inhalt geschützt hat.

Informationen zum Angeben der SRV-Einträge finden Sie im Abschnitt Angeben der DNS SRV-Einträge für die AD RMS Mobile Device Extension in diesem Thema.
Unterstützte Clients mithilfe von Anwendungen, die mithilfe des MIP SDK für diese Plattform entwickelt werden. Laden Sie die unterstützten Apps für die von Ihnen verwendeten Geräte herunter, indem Sie die Links auf der Microsoft Azure Information Protection Download-Seite verwenden.

Konfigurieren von AD FS für die AD RMS-Mobilgeräteerweiterung

Sie müssen zuerst AD FS konfigurieren und dann die AIP-App für die Geräte autorisieren, die Sie verwenden möchten.

Schritt 1: So konfigurieren Sie AD FS

  • Sie können entweder ein Windows PowerShell-Skript ausführen, um AD FS automatisch so zu konfigurieren, dass AD RMS-Mobilgeräteerweiterung unterstützt wird, oder Sie können die Konfigurationsoptionen und -werte manuell angeben:
    • Zum automatischen Konfigurieren von AD FS für die AD RMS-Erweiterung für mobile Geräte kopieren und einfügen Sie folgendes in eine Windows PowerShell Skriptdatei, und führen Sie sie dann aus:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Verwenden Sie die folgenden Einstellungen, um AD FS für die AD RMS-Mobile-Geräteerweiterung manuell zu konfigurieren:
Configuration Wert
Vertrauensstellung der vertrauenden Seite: _api.rms.rest.com
Anspruchsregel Attributspeicher: Active Directory

E-Mail-Adressen: E-Mail Adresse

Benutzerprinzipalname (User Principal Name): UPN

Proxy-Address: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Tipp

Eine schrittweise Anleitung für eine beispielhafte Bereitstellung von AD RMS mit AD FS finden Sie unter Bereitstellung von Active Directory Rights Management Services mit Active Directory Federation Services.

Schritt 2: Autorisieren von Apps für Ihre Geräte

  • Führen Sie den folgenden Windows PowerShell-Befehl aus, nachdem Sie die Variablen ersetzt haben, um Unterstützung für die Anwendung Azure Information Protection hinzuzufügen. Stellen Sie sicher, dass beide Befehle in der angezeigten Reihenfolge ausgeführt werden:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

PowerShell-Beispiel

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Führen Sie für den Azure Information Protection Unified Labeling Client den folgenden Windows PowerShell-Befehl aus, um Unterstützung für den Azure Information Protection-Client auf Ihren Geräten hinzuzufügen:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Um ADFS auf Windows 2016 und 2019 und ADRMS MDE für Produkte von Drittanbietern zu unterstützen, führen Sie den folgenden Windows PowerShell-Befehl aus:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

So konfigurieren Sie den AIP-Client auf Windows, Mac, Mobile und Office Mobile für die Nutzung von HYOK oder AD RMS-geschützten Inhalten mit AD FS auf Windows Server 2012 R2 und neuer:

  • Stellen Sie für Mac-Geräte (mit der RMS-Freigabe-App) sicher, dass beide Befehle in der angezeigten Reihenfolge ausgeführt werden:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Stellen Sie für iOS-Geräte (mit der Azure Information Protection-App) sicher, dass beide Befehle in der angezeigten Reihenfolge ausgeführt werden:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Bei Android-Geräten (die die Azure Information Protection-App verwenden) müssen Sie beide Befehle in der angegebenen Reihenfolge ausführen:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Führen Sie die folgenden PowerShell-Befehle aus, um Unterstützung für Microsoft Office Apps auf Ihren Geräten hinzuzufügen:

  • Für Mac, iOS, Android-Geräte (stellen Sie sicher, dass beide Befehle in der angezeigten Reihenfolge ausgeführt werden):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Angeben der DNS-SRV-Einträge für die AD RMS-Mobilgeräteerweiterung

Sie müssen DNS-SRV-Einträge für jede von Ihren Benutzern verwendete E-Mail-Domäne erstellen. Wenn alle Ihre Benutzer untergeordnete Domänen einer einzigen übergeordneten Domäne verwenden und alle Benutzer aus diesem zusammenhängenden Namespace denselben RMS-Cluster verwenden, genügt ein einziger SRV-Eintrag in der übergeordneten Domäne, damit RMS die entsprechenden DNS-Einträge findet. Die SRV-Einträge haben folgendes Format: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Hinweis

Geben Sie 443 für die <Portnummer> an. Obwohl Sie eine andere Portnummer in DNS angeben können, verwenden Geräte mit der Erweiterung mobiler Geräte immer 443.

Wenn Ihre Organisation beispielsweise Benutzer mit den folgenden E-Mail-Adressen hat:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Wenn es keine weiteren untergeordneten Domänen für _contoso.com gibt, die einen anderen RMS-Cluster als rmsserver.contoso.com verwenden, erstellen Sie zwei DNS-SRV-Einträge, die die folgenden Werte aufweisen:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Wenn Sie die DNS-Server-Rolle auf Windows Server verwenden, verwenden Sie die folgenden Tabellen als Leitfaden für die SRV-Eintragseigenschaften in der DNS Manager-Konsole:

Feld Wert
Domäne _tcp.contoso.com
Dienst _rmsdisco
Protokoll _http
Priorität 0
Weight 0
Portnummer 443
Host, der diesen Dienst anbietet _rmsserver.contoso.com
Feld Wert
Domäne _tcp.fabrikam.com
Dienst _rmsdisco
Protokoll _http
Priorität 0
Weight 0
Portnummer 443
Host, der diesen Dienst anbietet _rmsserver.contoso.com

Zusätzlich zu diesen DNS-SRV-Einträgen für Ihre E-Mail-Domänen müssen Sie einen weiteren DNS-SRV-Eintrag in den RMS-Benutzerdomänen erstellen. Dieser Eintrag muss die FQDNs Ihres RMS-Clusters enthalten, der Inhalte schützt. Jede Datei, die durch RMS geschützt ist, enthält eine URL zum Cluster, der diese Datei geschützt hat. Mobile Geräte verwenden den DNS-SRV-Eintrag und den im Eintrag angegebenen URL-FQDN, um den entsprechenden RMS-Cluster zu finden, der mobile Geräte unterstützen kann.

Wenn Ihr RMS-Cluster beispielsweise _rmsserver.contoso.com lautet, erstellen Sie einen DNS-SRV-Eintrag mit den folgenden Werten: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Wenn Sie die DNS-Server-Rolle auf Windows Server verwenden, verwenden Sie die folgende Tabelle als Leitfaden für die SRV-Eintragseigenschaften in der DNS-Manager-Konsole:

Feld Wert
Domäne _tcp.contoso.com
Dienst _rmsdisco
Protokoll _http
Priorität 0
Weight 0
Portnummer 443
Host, der diesen Dienst anbietet _rmsserver.contoso.com

Bereitstellen AD RMS-Mobilgeräteerweiterung

Bevor Sie die AD RMS-Mobilgeräteerweiterung installieren, stellen Sie sicher, dass die in den vorigen Abschnitten genannten Voraussetzungen erfüllt sind und dass Sie die URL Ihres AD FS-Servers kennen. Gehen Sie wie folgt vor:

  1. Laden Sie die AD RMS-Mobile-Geräteerweiterung (ADRMS.MobileDeviceExtension.exe) aus dem Microsoft Download Center herunter.
  2. Führen Sie ADRMS.MobileDeviceExtension.exe aus, um den Setup-Assistenten für die Active Directory Rights Management Services Mobile Device Extension zu starten. Geben Sie, wenn Sie dazu aufgefordert werden, die URL des AD FS-Servers ein, den Sie zuvor konfiguriert haben.
  3. Schließen Sie den Assistenten ab.

Führen Sie diesen Assistenten auf allen Knoten in Ihrem RMS-Cluster aus.

Wenn Sie über einen Proxyserver zwischen dem AD RMS-Cluster und den AD FS-Servern verfügen, kann Ihr AD RMS-Cluster nicht an den Verbunddienst wenden. Wenn dies geschieht, kann AD RMS das Token, das vom mobilen Client empfangen wird, nicht überprüfen und die Anforderung ablehnen. Wenn Sie über Proxyserver verfügen, der diese Kommunikation blockiert, müssen Sie die web.config Datei aus der AD RMS-Website für mobile Geräteerweiterung aktualisieren, sodass AD RMS den Proxyserver umgehen kann, wenn er sich an die AD FS-Server wenden muss.

Aktualisieren von Proxyeinstellungen für die AD RMS-Mobile-Geräteerweiterung

  1. Öffnen Sie die Datei web.config, die sich in \Programme\Active Directory Rights Management Services Mobile Device Extension\Web Service befindet.

  2. Fügen Sie den folgenden Knoten in die Datei ein:

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Nehmen Sie die folgenden Änderungen vor, und speichern Sie die Datei:

    • Ersetzen Sie <proxy-server> durch den Namen oder die Adresse Ihres Proxyservers.
    • Ersetzen Sie <Port> durch die Portnummer, für die der Proxyserver konfiguriert ist.
    • Ersetzen Sie <AD FS URL> durch die URL des Föderationsdienstes. Fügen Sie das HTTP-Präfix nicht ein.

    Hinweis

    Weitere Informationen zum Überschreiben der Proxy-Einstellungen finden Sie in der Dokumentation Proxy-Konfiguration.

  4. Setzen Sie den IIS zurück, indem Sie z. B. iisreset als Administrator von einer Eingabeaufforderung aus ausführen.

Wiederholen Sie diesen Vorgang auf allen Knoten in Ihrem RMS-Cluster.

Weitere Informationen

Erfahren Sie mehr über Azure Information Protection, treten Sie in Kontakt mit anderen AIP-Kunden und mit AIP-Produktmanagern über die API-Yammer-Gruppe.