Active Directory Rights Management Services extensión de dispositivo móvil

Se aplica a: Windows Server 2019, 2016, 2012 R2 y 2012

Relevante para:cliente de etiquetado unificado AIP y cliente clásico

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.

El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.

Todos los clientes del cliente clásico de Azure Information Protection actuales deben migrar Microsoft Information Protection la plataforma unificada de etiquetado y actualizar al cliente de etiquetado unificado. Más información en nuestro blog de migración.

Puede descargar la extensión de dispositivo móvil Active Directory Rights Management Services (AD RMS) desde el Centro de descarga de Microsoft e instalar esta extensión en la parte superior de una implementación de AD RMS existente. Esto permite a los usuarios proteger y consumir datos confidenciales cuando su dispositivo admite las aplicaciones más recientes ilustradas por la API. Por ejemplo, los usuarios pueden hacer lo siguiente:

  • Use la aplicación Azure Information Protection para usar archivos de texto protegidos en diferentes formatos (incluidos .txt, .csv y .xml).
  • Use la aplicación Azure Information Protection para usar archivos de imagen protegidos (incluidos .jpg, .gif y .tif).
  • Use la aplicación Azure Information Protection para abrir cualquier archivo que se haya protegido genéricamente (formato .pfile).
  • Use la aplicación Azure Information Protection para abrir un archivo Office (Word, Excel, PowerPoint) que sea una copia de PDF (formato .pdf y .ppdf).
  • Use la aplicación Azure Information Protection para abrir mensajes de correo electrónico protegidos (.rpmsg) y archivos PDF protegidos en Microsoft SharePoint.
  • Use un visor de PDF iluminado por AIP para ver entre plataformas o para abrir archivos PDF protegidos con cualquier aplicación ilustrada con AIP.
  • Use las aplicaciones ilustradas con AIP desarrolladas internamente que se escribieron con el SDK de MIP.

Nota

Puede descargar la aplicación Azure Information Protection desde la página de Microsoft Rights Management del sitio web de Microsoft. Para obtener información sobre otras aplicaciones compatibles con la extensión de dispositivo móvil, vea la tabla en la página Aplicaciones de esta documentación. Para obtener más información sobre los diferentes tipos de archivo compatibles con RMS, vea la sección Tipos de archivo admitidos y extensiones de nombre de archivo de la guía del administrador de aplicaciones compartidas de Rights Management.

Importante

Asegúrese de leer y configurar los requisitos previos antes de instalar la extensión del dispositivo móvil.

Para obtener más información, descargue las notas del Microsoft Azure de protección de la información y los scripts adjuntos desde el Centro de descarga de Microsoft.

Requisitos previos para la extensión de dispositivo móvil de AD RMS

Antes de instalar la extensión de dispositivo móvil de AD RMS, asegúrese de que las siguientes dependencias están en su lugar.

Requisito Más información
Una implementación de AD RMS existente en Windows Server 2019, 2016, 2012 R2 o 2012, que incluye lo siguiente:

- El clúster de AD RMS debe ser accesible desde Internet.

- AD RMS debe usar una base de datos completa basada en Microsoft SQL Server en un servidor independiente y no el Windows Internal Database que se usa a menudo para las pruebas en el mismo servidor.

- La cuenta que usará para instalar la extensión de dispositivo móvil debe tener derechos sysadmin para la SQL Server que usa para AD RMS.

- Los servidores AD RMS deben configurarse para usar SSL/TLS con un certificado x.509 válido de confianza para los clientes de dispositivos móviles.

- Si los servidores AD RMS están detrás de un firewall o se publican mediante un proxy inverso, además de publicar la carpeta /_wmcs en Internet, también debe publicar la carpeta /my (por ejemplo: _ ).
Para obtener más información sobre los requisitos previos de AD RMS y la información de implementación, vea la sección de requisitos previos de este artículo.
AD FS implementado en su Windows servidor:

- La granja de servidores de AD FS debe ser accesible desde Internet (ha implementado servidores proxy de servidor de federación).

- La autenticación basada en formularios no es compatible; debe usar Windows autenticación integrada

Importante:AD FS debe estar ejecutando un equipo diferente del equipo que ejecuta AD RMS y la extensión del dispositivo móvil.
Para obtener documentación sobre AD FS, vea la guía Windows Server AD implementación de FS en la biblioteca Windows Servidor.

AD FS debe configurarse para la extensión del dispositivo móvil. Para obtener instrucciones, vea la sección Configurar AD FS para la extensión de dispositivo móvil de AD RMS en este tema.
Los dispositivos móviles deben confiar en los certificados PKI en el servidor RMS (o servidores) Al comprar los certificados de servidor de una entidad de certificación pública, como VeriSign o Comodo, es probable que los dispositivos móviles ya confíen en la ca raíz para estos certificados, de modo que estos dispositivos confíen en los certificados del servidor sin configuración adicional.

Sin embargo, si usa su propia ca interna para implementar los certificados de servidor para RMS, debe seguir pasos adicionales para instalar el certificado de CA raíz en los dispositivos móviles. Si no lo hace, los dispositivos móviles no podrán establecer una conexión correcta con el servidor RMS.
Registros SRV en DNS Cree uno o varios registros SRV en el dominio o dominios de su empresa:

1: Crear un registro para cada sufijo de dominio de correo electrónico que usarán los usuarios

2: Crear un registro para cada FQDN usado por los clústeres de RMS para proteger el contenido, sin incluir el nombre del clúster

Estos registros deben resolverse desde cualquier red que usen los dispositivos móviles de conexión, que incluye la intranet si los dispositivos móviles se conectan a través de la intranet.

Cuando los usuarios suministran su dirección de correo electrónico desde su dispositivo móvil, el sufijo de dominio se usa para identificar si deben usar una infraestructura de AD RMS o Azure AIP. Cuando se encuentra el registro SRV, los clientes se redirigen al servidor AD RMS que responde a esa dirección URL.

Cuando los usuarios consumen contenido protegido con un dispositivo móvil, la aplicación cliente busca en DNS un registro que coincida con el FQDN en la dirección URL del clúster que protegió el contenido (sin el nombre del clúster). A continuación, el dispositivo se dirige al clúster de AD RMS especificado en el registro DNS y adquiere una licencia para abrir el contenido. En la mayoría de los casos, el clúster RMS será el mismo clúster RMS que protegió el contenido.

Para obtener información sobre cómo especificar los registros SRV, vea la sección Especificar los registros SRV DNS para la extensión de dispositivo móvil AD RMS en este tema.
Clientes admitidos que usan aplicaciones desarrolladas mediante el SDK de MIP para esta plataforma. Descargue las aplicaciones compatibles para los dispositivos que usa mediante los vínculos de la Microsoft Azure de descarga de Information Protection.

Configuración de AD FS para la extensión de dispositivo móvil de AD RMS

Primero debe configurar AD FS y, después, autorizar la aplicación AIP para los dispositivos que desea usar.

Paso 1: Para configurar AD FS

  • Puede ejecutar un script Windows PowerShell para configurar automáticamente AD FS para admitir la extensión de dispositivo móvil de AD RMS, o bien puede especificar manualmente las opciones de configuración y los valores:
    • Para configurar automáticamente AD FS para la extensión de dispositivo móvil de AD RMS, copie y pegue lo siguiente en un archivo de script Windows PowerShell y, a continuación, ejecutarlo:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Para configurar manualmente AD FS para la extensión de dispositivo móvil de AD RMS, use esta configuración:
Configuración Valor
Confianza de usuario de confianza _api.rms.rest.com
Regla de reclamación Almacén de atributos:Active Directory

Direcciones de correo electrónico:dirección de correo electrónico

User-Principal-Name: UPN

Proxy-Address: _

Sugerencia

Para obtener instrucciones paso a paso para una implementación de ejemplo de AD RMS con AD FS, vea Implementar Active Directory Rights Management Services con servicios de federación de Active Directory.

Paso 2: Autorizar aplicaciones para sus dispositivos

  • Ejecute el siguiente comando Windows PowerShell después de reemplazar las variables para agregar compatibilidad con la aplicación Azure Information Protection. Asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Ejemplo de Powershell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para el cliente de etiquetado unificado de Azure Information Protection,ejecute el siguiente comando Windows PowerShell para agregar compatibilidad con el cliente de Azure Information Protection en sus dispositivos:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Para admitir ADFS en Windows 2016 y 2019 y MDE DE ADRMS para productos de terceros, ejecute el siguiente comando Windows PowerShell datos:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Para configurar el cliente AIP en Windows,Mac,mobile y Office Mobile para consumir contenido protegido de HYOK o AD RMS con AD FS en Windows Server 2012 R2y versiones posteriores, use lo siguiente:

  • Para dispositivos Mac (con la aplicación de uso compartido RMS), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para dispositivos iOS (con la aplicación Azure Information Protection), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para dispositivos Android (con la aplicación Azure Information Protection), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Ejecute los siguientes comandos de PowerShell para agregar compatibilidad con Microsoft Office aplicaciones en sus dispositivos:

  • Para Mac, iOS, dispositivos Android (asegúrese de ejecutar ambos comandos en el orden que se muestra):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Especificar los registros SRV DNS para la extensión de dispositivo móvil de AD RMS

Debe crear registros SRV DNS para cada dominio de correo electrónico que usen los usuarios. Si todos los usuarios usan dominios secundarios de un único dominio primario y todos los usuarios de este espacio de nombres contiguo usan el mismo clúster de RMS, puede usar un solo registro SRV en el dominio primario y RMS encontrará los registros DNS adecuados. Los registros SRV tienen el siguiente formato: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Nota

Especifique 443 para el < número de > portabilidad. Aunque puede especificar un número de puerto diferente en DNS, los dispositivos que usen la extensión de dispositivo móvil siempre usarán 443.

Por ejemplo, si su organización tiene usuarios con las siguientes direcciones de correo electrónico:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com Si no hay otros dominios secundarios para _contoso.com que usen un clúster RMS diferente al denominado _rmsserver.contoso.com, cree dos registros SRV DNS que tengan estos valores:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Si usa el rol servidor DNS en Windows Server, use las tablas siguientes como guía para las propiedades de registro SRV en la consola del Administrador DNS:

Campo Valor
Dominio _tcp.contoso.com
Servicio _rmsdisco
Protocolo _http
Prioridad 0
Grosor 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com
Campo Valor
Dominio _tcp.fabrikam.com
Servicio _rmsdisco
Protocolo _http
Prioridad 0
Grosor 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com

Además de estos registros SRV DNS para su dominio de correo electrónico, debe crear otro registro SRV DNS en el dominio de clúster RMS. Este registro debe especificar los FQDN del clúster de RMS que protege el contenido. Todos los archivos protegidos por RMS incluyen una dirección URL para el clúster que protegió ese archivo. Los dispositivos móviles usan el registro SRV DNS y el FQDN de dirección URL especificados en el registro para buscar el clúster RMS correspondiente que puede admitir dispositivos móviles.

Por ejemplo, si el clúster RMS es _rmsserver.contoso.com, cree un registro SRV DNS que tenga los siguientes valores: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Si usa el rol servidor DNS en Windows Server, use la tabla siguiente como guía para las propiedades de registro SRV en la consola del Administrador DNS:

Campo Valor
Dominio _tcp.contoso.com
Servicio _rmsdisco
Protocolo _http
Prioridad 0
Grosor 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com

Implementar la extensión de dispositivo móvil de AD RMS

Antes de instalar la extensión de dispositivo móvil de AD RMS, asegúrese de que los requisitos previos de la sección anterior están en su lugar y de que conoce la dirección URL del servidor de AD FS. A continuación, haga lo siguiente:

  1. Descargue la extensión de dispositivo móvil AD RMS (ADRMS.MobileDeviceExtension.exe) desde el Centro de descarga de Microsoft.
  2. Ejecute ADRMS.MobileDeviceExtension.exe para iniciar el Asistente Active Directory Rights Management Services configuración de extensión de dispositivo móvil. Cuando se le solicite, escriba la dirección URL del servidor de AD FS que configuró anteriormente.
  3. Complete el asistente.

Ejecute este asistente en todos los nodos del clúster de RMS.

Si tiene un servidor proxy entre el clúster de AD RMS y los servidores de AD FS, de forma predeterminada, el clúster de AD RMS no podrá ponerse en contacto con el servicio federado. Cuando esto suceda, AD RMS no podrá comprobar el token recibido del cliente móvil y rechazará la solicitud. Si tiene un servidor proxy que bloquea esta comunicación, debe actualizar el archivo web.config desde el sitio web de extensión de dispositivo móvil de AD RMS para que AD RMS pueda omitir el servidor proxy cuando necesite ponerse en contacto con los servidores ad FS.

Actualización de la configuración de proxy para la extensión de dispositivo móvil de AD RMS

  1. Abra el web.config que se encuentra en \Archivos de programa\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Agregue el siguiente nodo al archivo:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. Realice los siguientes cambios y guarde el archivo:

    • Reemplace < el servidor proxy por el nombre o la dirección del servidor > proxy.
    • Reemplace < el puerto por el número de puerto que el servidor proxy está configurado para > usar.
    • Reemplace < la dirección URL de AD FS por la dirección URL del servicio de > federación. No incluya el prefijo HTTP.

    Nota

    Para obtener más información sobre cómo invalidar la configuración del proxy, vea Documentación de configuración de proxy.

  4. Restablezca IIS, por ejemplo, ejecutando iisreset como administrador desde un símbolo del sistema.

Repita este procedimiento en todos los nodos del clúster RMS.

Vea también

Más información sobre Azure Information Protection, póngase en contacto con otros clientes de AIP y con los jefes de producto de AIP con el grupo de yammer de la API.