Active Directory Rights Management Services モバイル デバイス拡張機能Active Directory Rights Management Services Mobile Device Extension

*適用対象: Windows Server 2019、2016、2012 R2、および 2012 **Applies to: Windows Server 2019, 2016, 2012 R2, and 2012*

*関連する内容:AIP の統合ラベル付けクライアントとクラシック クライアント**Relevant for: AIP unified labeling client and classic client*

Active Directory Rights Management サービス (AD RMS) モバイルデバイス拡張機能を Microsoft ダウンロードセンター からダウンロードし、この拡張機能を既存の AD RMS 展開の上にインストールすることができます。You can download the Active Directory Rights Management Services (AD RMS) mobile device extension from the Microsoft Download Center and install this extension on top of an existing AD RMS deployment. これにより、デバイスが最新の API 対応アプリをサポートしているときに、ユーザーが機微なデータを保護および使用できるようになります。This lets users protect and consume sensitive data when their device supports the latest API-enlightened apps. たとえば、ユーザーは次の操作を実行できます。For example, users can do the following:

  • Azure Information Protection アプリを使用して、さまざまな形式 (.txt、.csv、.xml など) で保護されたテキストファイルを使用します。Use the Azure Information Protection app to consume protected text files in different formats (including .txt, .csv, and .xml).
  • Azure Information Protection アプリを使用して、保護されたイメージファイル (.jpg、.gif、.tif など) を使用します。Use the Azure Information Protection app to consume protected image files (including .jpg, .gif, and .tif).
  • Azure Information Protection アプリを使用して、一般的に保護されているファイル (. pfile 形式) を開きます。Use the Azure Information Protection app to open any file that has been generically protected (.pfile format).
  • Azure Information Protection アプリを使用して、PDF コピー (.pdf および ppdf 形式) である Office ファイル (Word、Excel、PowerPoint) を開きます。Use the Azure Information Protection app to open an Office file (Word, Excel, PowerPoint) that is a PDF copy (.pdf and .ppdf format).
  • 保護された電子メールメッセージ (...) と保護された PDF ファイルを Microsoft SharePoint で開くには、Azure Information Protection アプリを使用します。Use the Azure Information Protection app to open protected email messages (.rpmsg) and protected PDF files on Microsoft SharePoint.
  • クロスプラットフォームでの表示や、AIP 対応アプリケーションで保護された PDF ファイルを開くには、AIP-対応 PDF ビューアーを使用します。Use an AIP-enlightened PDF viewer for cross-platform viewing or to open PDF files that were protected with any AIP-enlightened application.
  • MIP SDKを使用して作成された、社内で開発された AIP-対応アプリを使用します。Use your internally developed AIP-enlightened apps that were written by using the MIP SDK.

注意

Azure Information Protection アプリは、Microsoft web サイトの microsoft Rights Management のページからダウンロードできます。You can download the Azure Information Protection app from the Microsoft Rights Management page of the Microsoft website. モバイルデバイス拡張機能でサポートされているその他のアプリの詳細については、このドキュメントの「 アプリケーション 」ページにある表を参照してください。For information about other apps that are supported with the mobile device extension, see the table in the Applications page from this documentation. RMS がサポートするさまざまなファイルの種類の詳細については、「Rights Management 共有アプリケーション管理者ガイド」の「 サポートされているファイルの種類とファイル名拡張子 」セクションを参照してください。For more information about the different file types that RMS supports, see the Supported file types and file name extensions section from the Rights Management sharing application administrator guide.

重要

モバイルデバイス拡張機能をインストールする前に、必ず前提条件を読んで構成してください。Be sure to read and configure the prerequisites before you install the mobile device extension.

詳細については、 Microsoft ダウンロードセンターから「Microsoft Azure Information Protection」ホワイトペーパーと付随するスクリプトをダウンロードしてください。For additional information, download the "Microsoft Azure Information Protection" white paper and accompanying scripts from the Microsoft Download Center.

AD RMS モバイルデバイス拡張機能の前提条件Prerequisites for AD RMS mobile device extension

AD RMS モバイルデバイス拡張機能をインストールする前に、次の依存関係が配置されていることを確認してください。Before you install the AD RMS mobile device extension, make sure the following dependencies are in place.

要件Requirement 詳細情報More information
Windows Server 2019、2016、2012 R2、または2012における既存の AD RMS の展開には、次のものが含まれます。An existing AD RMS deployment on Windows Server 2019, 2016, 2012 R2, or 2012, that includes the following:

-AD RMS クラスターには、インターネットからアクセスできる必要があります。- Your AD RMS cluster must be accessible from the Internet.

-AD RMS は、同じサーバー上でのテストによく使用される Windows Internal Database ではなく、別のサーバー上の完全な Microsoft SQL Server ベースのデータベースを使用する必要があります。- AD RMS must be using a full Microsoft SQL Server-based database on a separate server and not the Windows Internal Database that is often used for testing on the same server.

-モバイルデバイス拡張機能のインストールに使用するアカウントには、AD RMS に使用している SQL Server インスタンスに対する sysadmin 権限が必要です。- The account that you will use to install the mobile device extension must have sysadmin rights for the SQL Server instance that you're using for AD RMS.

-AD RMS サーバーは、モバイルデバイスクライアントによって信頼されている有効な x.509 証明書で SSL/TLS を使用するように構成されている必要があります。- The AD RMS servers must be configured to use SSL/TLS with a valid x.509 certificate that is trusted by the mobile device clients.

-AD RMS サーバーがファイアウォールの内側にある場合、またはリバースプロキシを使用して公開されている場合は、 /_wmcs フォルダーをインターネットに発行するだけでなく、/マイフォルダーも発行する必要があります (例: _https: / / RMSserver.contoso.com/my)。- If the AD RMS servers are behind a firewall or published by using a reverse proxy, in addition to publishing the /_wmcs folder to the Internet, you must also publish the /my folder (for example: _https://RMSserver.contoso.com/my).
AD RMS の前提条件と展開情報の詳細については、この記事の「前提条件」セクションを参照してください。For details about AD RMS prerequisites and deployment information, see the prerequisites section of this article.
AD FS Windows Server に展開されます。AD FS deployed on your Windows Server:

-AD FS サーバーファームは、インターネット (フェデレーションサーバープロキシを展開済み) からアクセスできる必要があります。- Your AD FS server farm must be accessible from the Internet (you have deployed federation server proxies).

-フォームベースの認証はサポートされていません。Windows 統合認証を使用する必要があります。- Forms-based authentication is not supported; you must use Windows Integrated Authentication

重要: AD FS は、AD RMS を実行しているコンピューターとモバイルデバイスの拡張機能とは別のコンピューターを実行している必要があります。Important: AD FS must be running a different computer from the computer running AD RMS and the mobile device extension.
AD FS に関するドキュメントについては、windows server ライブラリの Windows server AD FS 展開ガイド を参照してください。For documentation about AD FS, see the Windows Server AD FS Deployment Guide in the Windows Server library.

AD FS をモバイル デバイス拡張機能用に構成する必要があります。AD FS must be configured for the mobile device extension. 手順については、このトピックの「 AD RMS モバイルデバイス拡張機能の AD FS の構成 」セクションを参照してください。For instructions, see the Configuring AD FS for the AD RMS mobile device extension section in this topic.
モバイルデバイスは、RMS サーバー (またはサーバー) の PKI 証明書を信頼する必要があります。Mobile devices must trust the PKI certificates on the RMS server (or servers) VeriSign や Comodo などのパブリック CA からサーバー証明書を購入する場合、モバイルデバイスでは、これらの証明書のルート CA が既に信頼されている可能性があります。これにより、これらのデバイスは、追加の構成なしにサーバー証明書を信頼できるようになります。When you purchase your server certificates from a public CA, such as VeriSign or Comodo, it's likely that mobile devices will already trust the root CA for these certificates, so that these devices will trust the server certificates without addition configuration.

ただし、独自の内部 CA を使用して RMS 用のサーバー証明書を展開する場合は、追加の手順を実行して、ルート CA 証明書をモバイルデバイスにインストールする必要があります。However, if you use your own internal CA to deploy the server certificates for RMS, you must take additional steps to install the root CA certificate on the mobile devices. そうしないと、モバイルデバイスは RMS サーバーとの接続を正常に確立できなくなります。If don't do this, mobile devices will not be able to establish a successful connection with the RMS server.
DNS の SRV レコードSRV records in DNS 会社のドメインに 1 つ以上の SRV レコードを作成します。Create one or more SRV records in your company domain or domains:

1: ユーザーが使用する電子メールドメインサフィックスごとにレコードを作成します。1: Create a record for each email domain suffix that users will use

2: RMS クラスターで使用されるすべての FQDN のレコードを作成し、クラスター名を含めずにコンテンツを保護します。2: Create a record for every FQDN used by your RMS clusters to protect content, not including the cluster name

これらのレコードは、接続しているモバイルデバイスが使用するすべてのネットワークから解決できる必要があります。これには、モバイルデバイスがイントラネット経由で接続されている場合、イントラネットが含まれます。These records must be resolvable from any network that the connecting mobile devices use, which includes the intranet if your mobile devices connect via the intranet.

ユーザーがモバイルデバイスから電子メールアドレスを入力すると、ドメインサフィックスを使用して、AD RMS インフラストラクチャと Azure AIP のどちらを使用する必要があるかを識別します。When users supply their email address from their mobile device, the domain suffix is used to identify whether they should use an AD RMS infrastructure or Azure AIP. SRV レコードが見つかると、クライアントはその URL に応答する AD RMS サーバーにリダイレクトされます。When the SRV record is found, clients are redirected to the AD RMS server that responds to that URL.

ユーザーが保護されたコンテンツをモバイルデバイスで使用すると、クライアントアプリケーションは、コンテンツを保護したクラスターの URL (クラスター名なし) の FQDN に一致するレコードを DNS で検索します。When users consume protected content with a mobile device, the client application looks in DNS for a record that matches the FQDN in the URL of the cluster that protected the content (without the cluster name). その後、デバイスは DNS レコードで指定された AD RMS クラスターに送られて、コンテンツを開くためのライセンスを取得します。The device is then directed to the AD RMS cluster specified in the DNS record and acquires a license to open the content. ほとんどの場合、RMS クラスターはコンテンツを保護したものと同じ RMS クラスターです。In most cases, the RMS cluster will be the same RMS cluster that protected the content.

SRV レコードを指定する方法の詳細については、このトピックの「 AD RMS モバイルデバイス拡張機能の DNS SRV レコードの指定 」セクションを参照してください。For information about how to specify the SRV records, see the Specifying the DNS SRV records for the AD RMS mobile device extension section in this topic.
このプラットフォーム用の MIP SDK を使用して開発されたアプリケーションを使用している、サポートされているクライアント。Supported clients using applications that are developed by using the MIP SDK for this platform. Microsoft Azure Information Protectionのダウンロードページにあるリンクを使用して、使用するデバイスのサポートされているアプリをダウンロードします。Download the supported apps for the devices that you use by using the links on the Microsoft Azure Information Protection download page.

AD RMS モバイル デバイス拡張機能用の AD FS の構成Configuring AD FS for the AD RMS mobile device extension

最初に AD FS を構成してから、使用するデバイスに対して AIP アプリを承認する必要があります。You must first configure AD FS, and then authorize the AIP app for the devices that you want to use.

手順 1: AD FS を構成するにはStep 1: To configure AD FS

  • Windows PowerShell スクリプトを実行して AD RMS モバイル デバイス拡張機能をサポートするための AD FS を自動的に構成するか、または構成オプションと値を手動で指定することができます。You can either run a Windows PowerShell script to automatically configure AD FS to support the AD RMS mobile device extension, or you can manually specify the configuration options and values:
    • AD RMS モバイルデバイス拡張機能の AD FS を自動的に構成するには、次のファイルをコピーして Windows PowerShell スクリプトファイルに貼り付けてから実行します。To automatically configure AD FS for the AD RMS mobile device extension, copy and paste the following into a Windows PowerShell script file, and then run it:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • AD RMS モバイルデバイス拡張機能の AD FS を手動で構成するには、次の設定を使用します。To manually configure AD FS for the AD RMS mobile device extension, use these settings:
構成Configuration ValueValue
証明書利用者の信頼Relying Party Trust _api します。_api.rms.rest.com
要求規則Claim rule 属性ストア: Active DirectoryAttribute store: Active Directory

電子メールアドレス: 電子メールアドレスE-mail addresses: E-mail-address

ユーザープリンシパル名: UPNUser-Principal-Name: UPN

プロキシアドレス: _https: / /schemas.xmlsoap.org/claims/ProxyAddressesProxy-Address: _https://schemas.xmlsoap.org/claims/ProxyAddresses

ヒント

AD FS を使用した AD RMS の展開例の詳細な手順については、「 Active Directory フェデレーションサービス (AD FS) で Active Directory Rights Management サービスを展開する」を参照してください。For step-by-step instructions for an example deployment of AD RMS with AD FS, see Deploying Active Directory Rights Management Services with Active Directory Federation Services.

手順 2: デバイスのアプリを承認するStep 2: Authorize apps for your devices

  • 変数を置き換えた後、次の Windows PowerShell コマンドを実行して、 Azure Information Protection アプリのサポートを追加します。Run the following Windows PowerShell command after replacing the variables to add support for the Azure Information Protection app. 次に示す順序で両方のコマンドを実行してください。Make sure to run both commands in the order shown:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Powershell の例Powershell Example

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Azure Information Protection 統合された ラベル付けクライアント の場合は、次の Windows PowerShell コマンドを実行して、デバイスに Azure Information Protection クライアントのサポートを追加します。For the Azure Information Protection unified labeling client, run the following Windows PowerShell command to add support for the Azure Information Protection client on your devices:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Windows 2016 および2019での ADFS とサードパーティ製品用の ADRMS MDE をサポートするには、次の windows PowerShell コマンドを実行します。To support ADFS on Windows 2016 and 2019 and ADRMS MDE for third party products, run the following Windows PowerShell command:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Windows、Mac、モバイル、および windows Server 2012 R2 以降の AD FS保護されたコンテンツ を使用する AD RMS ために、 windowsMac、mobile、および Office mobile で AIP クライアントを構成するには、次のようにします。To configure the AIP client on Windows, Mac, mobile and Office Mobile for consuming HYOK or AD RMS protected content with AD FS on Windows Server 2012 R2 and newer, use the following:

  • (RMS 共有アプリを使用して) Mac デバイスの場合は、次に示す順序で両方のコマンドを実行してください。For Mac devices (using the RMS sharing app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • (Azure Information Protection アプリを使用して) iOS デバイスの場合は、次に示す順序で両方のコマンドを実行してください。For iOS devices (using the Azure Information Protection app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • (Azure Information Protection アプリを使用して) Android デバイスの場合は、次に示す順序で両方のコマンドを実行してください。For Android devices (using the Azure Information Protection app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

デバイスに Microsoft Office アプリのサポートを追加するには、次の PowerShell コマンドを実行します。Run the following PowerShell commands to add support for Microsoft Office apps on your devices:

  • Mac、iOS、Android デバイスの場合は、次の順序で両方のコマンドを実行してください。For Mac, iOS, Android devices (make sure to run both commands in the order shown):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

AD RMS モバイルデバイス拡張機能の DNS SRV レコードの指定Specifying the DNS SRV records for the AD RMS mobile device extension

ユーザーが使用する各電子メール ドメインに対して DNS SRV レコードを作成する必要があります。You must create DNS SRV records for each email domain that your users use. すべてのユーザーが 1 つの親ドメインからの子ドメインを使用し、この連続する名前空間のすべてのユーザーが同じ RMS クラスターを使用する場合は、親ドメインの SRV レコードを 1 つだけ使用すれば済みます。RMS が、適切な DNS レコードを検索します。If all your users use child domains from a single parent domain, and all users from this contiguous namespace use the same RMS cluster, you can use just one SRV record in the parent domain, and RMS will find the appropriate DNS records. SRV レコードの形式は次のとおりです: _rmsdisco _tcp。The SRV records have the following format: _rmsdisco._http._tcp. <emailsuffix><portnumber><RMSClusterFQDN>

注意

に443を指定し <portnumber> ます。Specify 443 for the <portnumber>. DNS で別のポート番号を指定することもできますが、モバイルデバイス拡張機能を使用するデバイスでは常に443が使用されます。Although can you specify a different port number in DNS, devices using the mobile device extension will always use 443.

たとえば、組織に次の電子メール アドレスを使用するユーザーがいて、For example, if your organization has users with the following email addresses:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com _Rmsserver の名前とは異なる RMS クラスターを使用する _contoso .com の子ドメインが他にない場合は、次の値を持つ2つの DNS SRV レコードを作成します。_user@fabrikam.com If there are no other child domains for _contoso.com that use a different RMS cluster than the one named _rmsserver.contoso.com, create two DNS SRV records that have these values:
  • _rmsdisco _rmsdisco._http _rmsdisco._http._tcp. contoso .com 443 _rmsserver_rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco _rmsdisco._http _rmsdisco._http._tcp. fabrikam. com 443 _rmsserver_rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Windows Server で DNS サーバーの役割を使用する場合は、DNS マネージャーコンソールで SRV レコードのプロパティを確認するために、次の表を参考にしてください。If you use the DNS Server role on Windows Server, use the following tables as a guide for the SRV record properties in the DNS Manager console:

フィールドField Value
DomainDomain _tcp. contoso .com_tcp.contoso.com
サービスService _rmsdisco_rmsdisco
ProtocolProtocol _http_http
PriorityPriority 00
WeightWeight 00
ポート番号Port number 443443
このサービスを提供しているホストHost offering this service _rmsserver. contoso .com_rmsserver.contoso.com
フィールドField Value
DomainDomain _tcp. fabrikam .com_tcp.fabrikam.com
サービスService _rmsdisco_rmsdisco
ProtocolProtocol _http_http
PriorityPriority 00
WeightWeight 00
ポート番号Port number 443443
このサービスを提供しているホストHost offering this service _rmsserver. contoso .com_rmsserver.contoso.com

電子メールドメインの DNS SRV レコードに加えて、RMS クラスタードメインに別の DNS SRV レコードを作成する必要があります。In addition to these DNS SRV records for your email domain, you must create another DNS SRV record in the RMS cluster domain. このレコードには、コンテンツを保護する RMS クラスターの Fqdn を指定する必要があります。This record must specify the FQDNs of your RMS cluster that protects content. RMS で保護されているすべてのファイルには、そのファイルを保護したクラスターへの URL が含まれます。Every file that is protected by RMS includes a URL to the cluster that protected that file. モバイル デバイスは、DNS SRV レコードと、レコードで指定されている URL FQDN を使用して、モバイル デバイスをサポートできる対応する RMS クラスターを探します。Mobile devices use the DNS SRV record and the URL FQDN specified in the record to find the corresponding RMS cluster that can support mobile devices.

たとえば、RMS クラスターが _rmsserver の場合は、次の値を持つ DNS SRV レコードを作成します。 _rmsdisco 443 _rmsserver という値が指定されていることを確認します。For example, if your RMS cluster is _rmsserver.contoso.com, create a DNS SRV record that has the following values: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Windows Server で DNS サーバーの役割を使用する場合は、DNS マネージャーコンソールで SRV レコードのプロパティのガイドとして次の表を参照してください。If you use the DNS Server role on Windows Server, use the following table as a guide for the SRV record properties in the DNS Manager console:

フィールドField Value
DomainDomain _tcp. contoso .com_tcp.contoso.com
サービスService _rmsdisco_rmsdisco
ProtocolProtocol _http_http
PriorityPriority 00
WeightWeight 00
ポート番号Port number 443443
このサービスを提供しているホストHost offering this service _rmsserver. contoso .com_rmsserver.contoso.com

AD RMS モバイル デバイス拡張機能の展開Deploying the AD RMS mobile device extension

AD RMS モバイルデバイス拡張機能をインストールする前に、前のセクションの前提条件が満たされていることと、AD FS サーバーの URL がわかっていることを確認してください。Before you install the AD RMS mobile device extension, make sure that the prerequisites from the preceding section are in place, and that you know the URL of your AD FS server. 次に、次を実行します。Then do the following:

  1. Microsoft ダウンロードセンターから AD RMS モバイルデバイス拡張機能 (ADRMS.MobileDeviceExtension.exe) をダウンロードします。Download the AD RMS mobile device extension (ADRMS.MobileDeviceExtension.exe) from the Microsoft Download Center.
  2. ADRMS.MobileDeviceExtension.exe を実行して、モバイルデバイス拡張機能のセットアップウィザード Active Directory Rights Management サービスを開始します。Run ADRMS.MobileDeviceExtension.exe to start the Active Directory Rights Management Services Mobile Device Extension Setup Wizard. メッセージが表示されたら、以前に構成した AD FS サーバーの URL を入力します。When prompted, enter the URL of the AD FS server that you configured previously.
  3. ウィザードを完了します。Complete the wizard.

RMS クラスター内のすべてのノードで、このウィザードを実行します。Run this wizard on all the nodes in your RMS cluster.

AD RMS クラスターと AD FS サーバーの間にプロキシサーバーがある場合、既定では、AD RMS クラスターはフェデレーションサービスに接続できません。If you have a proxy server between the AD RMS cluster and the AD FS servers, by default, your AD RMS cluster will not be able to contact the federated service. この場合、AD RMS はモバイルクライアントから受信したトークンを検証できず、要求を拒否します。When this happens, AD RMS will be unable to verify the token that is received from the mobile client and will reject the request. この通信をブロックするプロキシサーバーがある場合は、AD RMS が AD FS サーバーに接続する必要があるときにプロキシサーバーをバイパスできるように、AD RMS mobile device extension web サイトから web.config ファイルを更新する必要があります。If you have proxy server that blocks this communication, you must update the web.config file from the AD RMS mobile device extension website, so that AD RMS can bypass the proxy server when it needs to contact the AD FS servers.

AD RMS モバイルデバイス拡張機能のプロキシ設定を更新していますUpdating proxy settings for the AD RMS mobile device extension

  1. Files\Active Directory Rights Management Services Mobile Device Extension\Web Service にある web.config ファイルを開きます。Open the web.config file that is located in \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. 次のノードをファイルに追加します。Add the following node to the file:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. 次の変更を行い、ファイルを保存します。Make the following changes, and then save the file:

    • <proxy-server>をプロキシサーバーの名前またはアドレスに置き換えます。Replace <proxy-server> with the name or address of your proxy server.
    • を、 <port> プロキシサーバーが使用するように構成されているポート番号に置き換えます。Replace <port> with the port number that the proxy server is configured to use.
    • <AD FS URL>をフェデレーションサービスの URL に置き換えます。Replace <AD FS URL> with the URL of the federation service. HTTP プレフィックスを含めないでください。Do not include the HTTP prefix.

    注意

    プロキシ設定の上書きの詳細については、 プロキシ構成 のドキュメントを参照してください。To learn more about overriding the proxy settings, see Proxy Configuration documentation.

  4. たとえば、コマンドプロンプトから管理者として iisreset を実行して、IIS をリセットします。Reset IIS, for example, by running iisreset as an administrator from a command prompt.

RMS クラスター内のすべてのノードで、この手順を繰り返します。Repeat this procedure on all the nodes in your RMS cluster.

参照See Also

Azure Information Protection の詳細を確認し、他の AIP のお客様と連絡をとって、AIP 製品マネージャーと API yammer グループを使用します。Find out more about Azure Information Protection, make contact with other AIP customers, and with AIP product managers using the API yammer group.