Extension Appareils mobiles AD RMS (Active Directory Rights Management Services)Active Directory Rights Management Services Mobile Device Extension

S’applique à : Windows Server 2019, 2016, 2012 R2 et 2012Applies To: Windows Server 2019, 2016, 2012 R2, and 2012

Vous pouvez télécharger l’extension d’appareil mobile (AD RMS) services AD RMS (Active Directory Rights Management Services) à partir du Centre de téléchargement Microsoft et installer cette extension sur un déploiement de AD RMS existant.You can download the Active Directory Rights Management Services (AD RMS) mobile device extension from the Microsoft Download Center and install this extension on top of an existing AD RMS deployment. Cela permet aux utilisateurs de protéger et de consommer des données sensibles quand leur appareil prend en charge les dernières applications compatibles avec l’API.This lets users protect and consume sensitive data when their device supports the latest API-enlightened apps. Par exemple, les utilisateurs peuvent effectuer les opérations suivantes :For example, users can do the following:

  • Utilisez l’application Azure Information Protection pour consommer des fichiers texte protégés dans différents formats (y compris. txt,. csv et. Xml).Use the Azure Information Protection app to consume protected text files in different formats (including .txt, .csv, and .xml).
  • Utilisez l’application Azure Information Protection pour consommer des fichiers image protégés (y compris. jpg,. gif et. TIF).Use the Azure Information Protection app to consume protected image files (including .jpg, .gif, and .tif).
  • Utilisez l’application Azure Information Protection pour ouvrir un fichier qui a été protégé de façon générique (format. pfile).Use the Azure Information Protection app to open any file that has been generically protected (.pfile format).
  • Utilisez l’application Azure Information Protection pour ouvrir un fichier Office (Word, Excel, PowerPoint) qui est une copie PDF (format. pdf et. ppdf).Use the Azure Information Protection app to open an Office file (Word, Excel, PowerPoint) that is a PDF copy (.pdf and .ppdf format).
  • Utilisez l’application Azure Information Protection pour ouvrir des messages électroniques protégés (. rpmsg) et des fichiers PDF protégés sur Microsoft SharePoint.Use the Azure Information Protection app to open protected email messages (.rpmsg) and protected PDF files on Microsoft SharePoint.
  • Utilisez une visionneuse PDF à l’aide d’AIP pour l’affichage multiplateforme ou pour ouvrir des fichiers PDF protégés par des applications compatibles AIP.Use an AIP-enlightened PDF viewer for cross-platform viewing or to open PDF files that were protected with any AIP-enlightened application.
  • Utilisez vos applications développées en interne et compatibles AIP qui ont été écrites à l’aide du Kit de développement logiciel (SDK) MIP.Use your internally developed AIP-enlightened apps that were written by using the MIP SDK.

Notes

Vous pouvez télécharger l’application Azure Information Protection à partir de la page microsoft Rights Management du site Web Microsoft.You can download the Azure Information Protection app from the Microsoft Rights Management page of the Microsoft website. Pour plus d’informations sur les autres applications prises en charge avec l’extension d’appareil mobile, consultez le tableau dans la page applications de cette documentation.For information about other apps that are supported with the mobile device extension, see the table in the Applications page from this documentation. Pour plus d’informations sur les différents types de fichiers pris en charge par RMS, consultez la section types de fichiers et extensions de nom de fichier pris en charge dans le Guide de l’administrateur de l’application de partage Rights Management.For more information about the different file types that RMS supports, see the Supported file types and file name extensions section from the Rights Management sharing application administrator guide.

Important

Veillez à lire et à configurer les composants requis avant d’installer l’extension d’appareil mobile.Be sure to read and configure the prerequisites before you install the mobile device extension.

Pour plus d’informations, téléchargez le livre blanc « Microsoft Azure Information Protection » et les scripts qui l’accompagnent à partir du Centre de téléchargement Microsoft.For additional information, download the "Microsoft Azure Information Protection" white paper and accompanying scripts from the Microsoft Download Center.

Conditions préalables pour AD RMS extension d’appareil mobilePrerequisites for AD RMS mobile device extension

Avant d’installer l’extension de périphérique mobile AD RMS, assurez-vous que les dépendances suivantes sont en place.Before you install the AD RMS mobile device extension, make sure the following dependencies are in place.

Condition requiseRequirement Informations complémentairesMore information
Un déploiement de AD RMS existant sur Windows Server 2019, 2016, 2012 R2 ou 2012, qui comprend les éléments suivants :An existing AD RMS deployment on Windows Server 2019, 2016, 2012 R2, or 2012, that includes the following:

-Votre cluster AD RMS doit être accessible à partir d’Internet.- Your AD RMS cluster must be accessible from the Internet.

-AD RMS devez utiliser une base de données Microsoft SQL Server complète sur un serveur distinct, et non sur la base de données interne Windows qui est souvent utilisée pour le test sur le même serveur.- AD RMS must be using a full Microsoft SQL Server-based database on a separate server and not the Windows Internal Database that is often used for testing on the same server.

-Le compte que vous allez utiliser pour installer l’extension d’appareil mobile doit disposer des droits d’administrateur système pour l’instance de SQL Server que vous utilisez pour AD RMS.- The account that you will use to install the mobile device extension must have sysadmin rights for the SQL Server instance that you're using for AD RMS.

-Les serveurs AD RMS doivent être configurés pour utiliser SSL/TLS avec un certificat x. 509 valide qui est approuvé par les clients de périphériques mobiles.- The AD RMS servers must be configured to use SSL/TLS with a valid x.509 certificate that is trusted by the mobile device clients.

-Si les serveurs AD RMS se trouvent derrière un pare-feu ou publiés à l’aide d’un proxy inverse, en plus de la publication du dossier /_wmcs sur Internet, vous devez également publier le dossier/My (par exemple : _https : / / RMSserver.contoso.com/my).- If the AD RMS servers are behind a firewall or published by using a reverse proxy, in addition to publishing the /_wmcs folder to the Internet, you must also publish the /my folder (for example: _https://RMSserver.contoso.com/my).
Pour plus d’informations sur les conditions préalables et les informations de déploiement de AD RMS, consultez la section conditions préalables de cet article.For details about AD RMS prerequisites and deployment information, see the prerequisites section of this article.
AD FS déployé sur votre serveur Windows :AD FS deployed on your Windows Server:

-Votre batterie de serveurs AD FS doit être accessible à partir d’Internet (vous avez déployé des serveurs proxys de Fédération).- Your AD FS server farm must be accessible from the Internet (you have deployed federation server proxies).

-L’authentification basée sur les formulaires n’est pas prise en charge. vous devez utiliser l’authentification intégrée de Windows- Forms-based authentication is not supported; you must use Windows Integrated Authentication

Important: AD FS devez exécuter un ordinateur différent de l’ordinateur exécutant AD RMS et l’extension d’appareil mobile.Important: AD FS must be running a different computer from the computer running AD RMS and the mobile device extension.
Pour obtenir de la documentation sur AD FS, consultez le Guide de déploiement de Windows server AD FS dans la bibliothèque Windows Server.For documentation about AD FS, see the Windows Server AD FS Deployment Guide in the Windows Server library.

Les services AD FS doivent être configurés pour l'extension Appareils mobiles.AD FS must be configured for the mobile device extension. Pour obtenir des instructions, voir la section configuration de AD FS pour l’extension de périphérique mobile AD RMS de cette rubrique.For instructions, see the Configuring AD FS for the AD RMS mobile device extension section in this topic.
Les appareils mobiles doivent approuver les certificats PKI sur le ou les serveurs RMS.Mobile devices must trust the PKI certificates on the RMS server (or servers) Lorsque vous achetez vos certificats de serveur auprès d’une autorité de certification publique, telle que VeriSign ou Comodo, il est probable que les appareils mobiles approuvent déjà l’autorité de certification racine pour ces certificats, afin que ces appareils approuvent les certificats de serveur sans configuration supplémentaire.When you purchase your server certificates from a public CA, such as VeriSign or Comodo, it's likely that mobile devices will already trust the root CA for these certificates, so that these devices will trust the server certificates without addition configuration.

Toutefois, si vous utilisez votre propre autorité de certification interne pour déployer les certificats de serveur pour RMS, vous devez prendre des mesures supplémentaires pour installer le certificat d’autorité de certification racine sur les périphériques mobiles.However, if you use your own internal CA to deploy the server certificates for RMS, you must take additional steps to install the root CA certificate on the mobile devices. Si vous ne le faites pas, les périphériques mobiles ne seront pas en mesure d’établir une connexion avec le serveur RMS.If don't do this, mobile devices will not be able to establish a successful connection with the RMS server.
Enregistrements SRV dans DNSSRV records in DNS Créez un ou plusieurs enregistrements SRV dans le ou les domaines de votre entreprise :Create one or more SRV records in your company domain or domains:

1 : créer un enregistrement pour chaque suffixe de domaine de messagerie qui sera utilisé par les utilisateurs1: Create a record for each email domain suffix that users will use

2 : créer un enregistrement pour chaque nom de domaine complet utilisé par vos clusters RMS pour protéger du contenu, à l’exclusion du nom du cluster2: Create a record for every FQDN used by your RMS clusters to protect content, not including the cluster name

Ces enregistrements doivent pouvoir être résolus à partir de tout réseau utilisé par les périphériques mobiles qui se connectent, y compris l’intranet si vos appareils mobiles se connectent via l’intranet.These records must be resolvable from any network that the connecting mobile devices use, which includes the intranet if your mobile devices connect via the intranet.

Lorsque les utilisateurs fournissent leur adresse de messagerie à partir de leur appareil mobile, le suffixe de domaine est utilisé pour déterminer s’ils doivent utiliser une infrastructure AD RMS ou Azure AIP.When users supply their email address from their mobile device, the domain suffix is used to identify whether they should use an AD RMS infrastructure or Azure AIP. Quand l'enregistrement SRV est trouvé, les clients sont redirigés vers le serveur AD RMS qui répond à cette URL.When the SRV record is found, clients are redirected to the AD RMS server that responds to that URL.

Quand les utilisateurs consomment du contenu protégé avec un appareil mobile, l’application cliente recherche dans DNS un enregistrement qui correspond au nom de domaine complet dans l’URL du cluster qui a protégé le contenu (sans le nom du cluster).When users consume protected content with a mobile device, the client application looks in DNS for a record that matches the FQDN in the URL of the cluster that protected the content (without the cluster name). L'appareil est ensuite dirigé vers le cluster AD RMS spécifié dans l'enregistrement DNS et obtient une licence pour ouvrir le contenu.The device is then directed to the AD RMS cluster specified in the DNS record and acquires a license to open the content. Dans la plupart des cas, le cluster RMS sera le même cluster RMS qui a protégé le contenu.In most cases, the RMS cluster will be the same RMS cluster that protected the content.

Pour plus d’informations sur la façon de spécifier les enregistrements SRV, consultez la section spécification des enregistrements SRV DNS pour l’extension de périphérique mobile AD RMS dans cette rubrique.For information about how to specify the SRV records, see the Specifying the DNS SRV records for the AD RMS mobile device extension section in this topic.
Clients pris en charge qui utilisent des applications développées à l’aide du kit de développement logiciel (SDK) MIP pour cette plateforme.Supported clients using applications that are developed by using the MIP SDK for this platform. Téléchargez les applications prises en charge pour les appareils que vous utilisez à l’aide des liens de la page de téléchargement Microsoft Azure information protection .Download the supported apps for the devices that you use by using the links on the Microsoft Azure Information Protection download page.

Configuration des services AD FS pour l'extension Appareils mobiles AD RMSConfiguring AD FS for the AD RMS mobile device extension

Vous devez d’abord configurer AD FS, puis autoriser l’application AIP pour les appareils que vous souhaitez utiliser.You must first configure AD FS, and then authorize the AIP app for the devices that you want to use.

Étape 1 : configurer AD FSStep 1: To configure AD FS

  • Vous pouvez exécuter un script Windows PowerShell pour configurer automatiquement les services AD FS pour prendre en charge l'extension Appareils mobiles AD RMS, ou vous pouvez spécifier manuellement les valeurs et options de configuration :You can either run a Windows PowerShell script to automatically configure AD FS to support the AD RMS mobile device extension, or you can manually specify the configuration options and values:
    • Pour configurer automatiquement AD FS pour l’extension d’appareil mobile AD RMS, copiez et collez le code suivant dans un fichier de script Windows PowerShell, puis exécutez-le :To automatically configure AD FS for the AD RMS mobile device extension, copy and paste the following into a Windows PowerShell script file, and then run it:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Pour configurer manuellement AD FS pour l’extension d’appareil mobile AD RMS, utilisez les paramètres suivants :To manually configure AD FS for the AD RMS mobile device extension, use these settings:
ConfigurationConfiguration ValeurValue
Approbation de partie de confianceRelying Party Trust _api. RMS. Rest. com_api.rms.rest.com
Règle de revendicationClaim rule Magasin d’attributs : Active DirectoryAttribute store: Active Directory

Adresses de messagerie: adresse de messagerieE-mail addresses: E-mail-address

User-principal-name: UPNUser-Principal-Name: UPN

Adresse proxy: _https : / /schemas.xmlSOAP.org/claims/proxyAddressesProxy-Address: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Conseil

Pour obtenir des instructions pas à pas pour un exemple de déploiement de AD RMS avec AD FS, consultez déploiement de services AD RMS (Active Directory Rights Management Services) avec services ADFS.For step-by-step instructions for an example deployment of AD RMS with AD FS, see Deploying Active Directory Rights Management Services with Active Directory Federation Services.

Étape 2 : autoriser les applications pour vos appareilsStep 2: Authorize apps for your devices

  • Exécutez la commande Windows PowerShell suivante après avoir remplacé les variables pour ajouter la prise en charge de l’application Azure information protection .Run the following Windows PowerShell command after replacing the variables to add support for the Azure Information Protection app. Veillez à exécuter les deux commandes dans l’ordre indiqué :Make sure to run both commands in the order shown:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Exemple PowerShellPowershell Example

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Pour le client d’étiquetage unifié Azure information protection, exécutez la commande Windows PowerShell suivante pour ajouter la prise en charge du client Azure information protection sur vos appareils :For the Azure Information Protection unified labeling client, run the following Windows PowerShell command to add support for the Azure Information Protection client on your devices:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Pour prendre en charge ADFS sur Windows 2016 et 2019 et ADRMS MDE pour les produits tiers, exécutez la commande Windows PowerShell suivante :To support ADFS on Windows 2016 and 2019 and ADRMS MDE for third party products, run the following Windows PowerShell command:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Pour configurer le client AIP sur Windows, Mac, mobile et Office Mobile afin de consommer du contenu hyok ou AD RMS protégé avec AD FS sur Windows Server 2012 R2 et versions ultérieures, utilisez les éléments suivants :To configure the AIP client on Windows, Mac, mobile and Office Mobile for consuming HYOK or AD RMS protected content with AD FS on Windows Server 2012 R2 and newer, use the following:

  • Pour les appareils Mac (à l’aide de l’application partage RMS), veillez à exécuter les deux commandes dans l’ordre indiqué :For Mac devices (using the RMS sharing app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Pour les appareils iOS (à l’aide de l’application Azure Information Protection), veillez à exécuter les deux commandes dans l’ordre indiqué :For iOS devices (using the Azure Information Protection app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Pour les appareils Android (à l’aide de l’application Azure Information Protection), veillez à exécuter les deux commandes dans l’ordre indiqué :For Android devices (using the Azure Information Protection app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Exécutez les commandes PowerShell suivantes pour ajouter la prise en charge de Microsoft Office apps sur vos appareils :Run the following PowerShell commands to add support for Microsoft Office apps on your devices:

  • Pour les appareils Mac, iOS et Android (veillez à exécuter les deux commandes dans l’ordre indiqué) :For Mac, iOS, Android devices (make sure to run both commands in the order shown):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Spécification des enregistrements SRV DNS pour l’extension d’appareil mobile AD RMSSpecifying the DNS SRV records for the AD RMS mobile device extension

Vous devez créer des enregistrements SRV DNS pour chaque domaine de messagerie employé par les utilisateurs.You must create DNS SRV records for each email domain that your users use. Si tous vos utilisateurs emploient des domaines enfants depuis un domaine parent unique et que tous les utilisateurs de cet espace de noms contigu emploient le même cluster RMS, vous pouvez utiliser un seul enregistrement SRV dans le domaine parent et RMS trouvera les enregistrements DNS appropriés.If all your users use child domains from a single parent domain, and all users from this contiguous namespace use the same RMS cluster, you can use just one SRV record in the parent domain, and RMS will find the appropriate DNS records. Les enregistrements SRV ont le format suivant : _rmsdisco. _http. _tcp.The SRV records have the following format: _rmsdisco._http._tcp. <emailsuffix><portnumber><RMSClusterFQDN>

Notes

Spécifiez 443 pour <portnumber> .Specify 443 for the <portnumber>. Bien que vous puissiez spécifier un numéro de port différent dans DNS, les appareils qui utilisent l’extension d’appareil mobile utilisent toujours 443.Although can you specify a different port number in DNS, devices using the mobile device extension will always use 443.

Par exemple, si votre organisation a des utilisateurs avec les adresses de messagerie suivantes :For example, if your organization has users with the following email addresses:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.comS’il n’existe aucun autre domaine enfant pour _contoso. com qui utilise un cluster RMS différent de celui nommé _rmsserver. contoso. com, créez deux enregistrements SRV DNS qui ont les valeurs suivantes :_user@fabrikam.com If there are no other child domains for _contoso.com that use a different RMS cluster than the one named _rmsserver.contoso.com, create two DNS SRV records that have these values:
  • _rmsdisco. _http. _tcp. contoso. com 443 _rmsserver. contoso. com_rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco. _http. _tcp. fabrikam. com 443 _rmsserver. contoso. com_rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Si vous utilisez le rôle serveur DNS sur Windows Server, utilisez les tableaux suivants comme guide pour les propriétés de l’enregistrement SRV dans la console du Gestionnaire DNS :If you use the DNS Server role on Windows Server, use the following tables as a guide for the SRV record properties in the DNS Manager console:

ChampField ValeurValue
DomaineDomain _tcp. contoso. com_tcp.contoso.com
ServiceService _rmsdisco_rmsdisco
ProtocolProtocol _http_http
PriorityPriority 00
PoidsWeight 00
Numéro de portPort number 443443
Hôte offrant ce serviceHost offering this service _rmsserver. contoso. com_rmsserver.contoso.com
ChampField ValeurValue
DomaineDomain _tcp. fabrikam. com_tcp.fabrikam.com
ServiceService _rmsdisco_rmsdisco
ProtocolProtocol _http_http
PriorityPriority 00
PoidsWeight 00
Numéro de portPort number 443443
Hôte offrant ce serviceHost offering this service _rmsserver. contoso. com_rmsserver.contoso.com

En plus de ces enregistrements SRV DNS pour votre domaine de messagerie, vous devez créer un autre enregistrement DNS SRV dans le domaine de cluster RMS.In addition to these DNS SRV records for your email domain, you must create another DNS SRV record in the RMS cluster domain. Cet enregistrement doit spécifier les noms de domaine complets de votre cluster RMS qui protègent le contenu.This record must specify the FQDNs of your RMS cluster that protects content. Chaque fichier qui est protégé par RMS inclut une URL vers le cluster qui a protégé ce fichier.Every file that is protected by RMS includes a URL to the cluster that protected that file. Les appareils mobiles utilisent l'enregistrement SRV DNS et le nom de domaine complet de l'URL spécifié dans l'enregistrement pour trouver le cluster RMS correspondant qui peut prendre en charge des appareils mobiles.Mobile devices use the DNS SRV record and the URL FQDN specified in the record to find the corresponding RMS cluster that can support mobile devices.

Par exemple, si votre cluster RMS est _rmsserver. contoso. com, créez un enregistrement SRV DNS qui a les valeurs suivantes : _rmsdisco. _http. _tcp. contoso. com 443 _rmsserver. contoso. comFor example, if your RMS cluster is _rmsserver.contoso.com, create a DNS SRV record that has the following values: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Si vous utilisez le rôle serveur DNS sur Windows Server, utilisez le tableau suivant comme guide pour les propriétés de l’enregistrement SRV dans la console du Gestionnaire DNS :If you use the DNS Server role on Windows Server, use the following table as a guide for the SRV record properties in the DNS Manager console:

ChampField ValeurValue
DomaineDomain _tcp. contoso. com_tcp.contoso.com
ServiceService _rmsdisco_rmsdisco
ProtocolProtocol _http_http
PriorityPriority 00
PoidsWeight 00
Numéro de portPort number 443443
Hôte offrant ce serviceHost offering this service _rmsserver. contoso. com_rmsserver.contoso.com

Déploiement de l'extension Appareils mobiles AD RMSDeploying the AD RMS mobile device extension

Avant d’installer l’extension d’appareil mobile AD RMS, assurez-vous que les conditions préalables de la section précédente sont en place et que vous connaissez l’URL de votre serveur de AD FS.Before you install the AD RMS mobile device extension, make sure that the prerequisites from the preceding section are in place, and that you know the URL of your AD FS server. Faites ensuite ce qui suit :Then do the following:

  1. Téléchargez le AD RMS l’extension d’appareil mobile (ADRMS.MobileDeviceExtension.exe) à partir du centre de téléchargement Microsoft.Download the AD RMS mobile device extension (ADRMS.MobileDeviceExtension.exe) from the Microsoft Download Center.
  2. Exécutez ADRMS.MobileDeviceExtension.exe pour démarrer l’Assistant Installation d’une extension de périphérique mobile services AD RMS (Active Directory Rights Management Services).Run ADRMS.MobileDeviceExtension.exe to start the Active Directory Rights Management Services Mobile Device Extension Setup Wizard. Quand vous y êtes invité, entrez l'URL du serveur AD FS que vous avez configuré précédemment.When prompted, enter the URL of the AD FS server that you configured previously.
  3. Effectuez toutes les étapes de l'Assistant.Complete the wizard.

Exécutez cet Assistant sur tous les nœuds de votre cluster RMS.Run this wizard on all the nodes in your RMS cluster.

Si vous avez un serveur proxy entre le cluster AD RMS et les serveurs AD FS, par défaut, votre cluster AD RMS ne pourra pas contacter le service fédéré.If you have a proxy server between the AD RMS cluster and the AD FS servers, by default, your AD RMS cluster will not be able to contact the federated service. Dans ce cas, AD RMS ne peut pas vérifier le jeton reçu du client mobile et rejette la demande.When this happens, AD RMS will be unable to verify the token that is received from the mobile client and will reject the request. Si vous avez un serveur proxy qui bloque cette communication, vous devez mettre à jour le fichier web.config à partir du site Web d’extension de périphérique mobile AD RMS, afin que AD RMS puisse contourner le serveur proxy lorsqu’il doit contacter les serveurs AD FS.If you have proxy server that blocks this communication, you must update the web.config file from the AD RMS mobile device extension website, so that AD RMS can bypass the proxy server when it needs to contact the AD FS servers.

Mise à jour des paramètres de proxy pour l’extension d’appareil mobile AD RMSUpdating proxy settings for the AD RMS mobile device extension

  1. Ouvrez le fichier web.config qui se trouve dans \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web service.Open the web.config file that is located in \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Ajoutez le nœud suivant au fichier :Add the following node to the file:

   <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>
  1. Apportez les modifications suivantes, puis enregistrez le fichier :Make the following changes, and then save the file:
  • Remplacez <proxy-server> par le nom ou l’adresse de votre serveur proxy.Replace <proxy-server> with the name or address of your proxy server.

  • Remplacez <port> par le numéro de port que le serveur proxy est configuré pour utiliser.Replace <port> with the port number that the proxy server is configured to use.

  • Remplacez <AD FS URL> par l’URL du service de Fédération.Replace <AD FS URL> with the URL of the federation service. N’incluez pas le préfixe HTTP.Do not include the HTTP prefix.

    Notes

    Pour en savoir plus sur le remplacement des paramètres de proxy, consultez la documentation sur la configuration du proxy .To learn more about overriding the proxy settings, see Proxy Configuration documentation.

  1. Réinitialisez IIS, par exemple, en exécutant IISReset en tant qu’administrateur à partir d’une invite de commandes.Reset IIS, for example, by running iisreset as an administrator from a command prompt.

Répétez cette procédure sur tous les nœuds de votre cluster RMS.Repeat this procedure on all the nodes in your RMS cluster.

Voir aussiSee Also

Pour en savoir plus sur les Azure Information Protection, contactez les autres clients AIP et les responsables de produit AIP à l’aide du groupe Yammer d’API.Find out more about Azure Information Protection, make contact with other AIP customers, and with AIP product managers using the API yammer group.

""