Active Directory Rights Management Services 디바이스 확장

:Windows 서버 2019, 2016, 2012 R2 및 2012에 적용됩니다.

관련성: AIP 통합 레이블링 클라이언트 및 클래식 클라이언트

참고 사항

통합되고 간소화된 고객 환경을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트 및 레이블 관리는 2021년 3월 31일현재 사용되지 않습니다. 클래식 클라이언트에 대한 추가 지원은 제공되지 않고 유지 관리 버전은 더 이상 릴리스되지 않습니다.

클래식 클라이언트는 공식적으로 사용 중지되어 2022년 3월 31일 작동이 중지됩니다.

현재 모든 Azure Information Protection 클래식 클라이언트 고객은 통합 레이블 Microsoft Information Protection 플랫폼으로 마이그레이션하고 통합 레이블링 클라이언트로 업그레이드해야 합니다. 마이그레이션 블로그 에서자세히 알아보기

Microsoft 다운로드 센터에서 AD RMS(Active Directory Rights Management Services) 모바일 장치 확장을 다운로드하고 기존 AD RMS 배포 위에 이 확장을 설치할 수 있습니다. 이렇게 하면 사용자가 디바이스가 최신 API에서 각인된 앱을 지원할 때 중요한 데이터를 보호하고 사용할 수 있습니다. 예를 들어 사용자는 다음을 할 수 있습니다.

  • Azure Information Protection 앱을 사용하여 보호된 텍스트 파일을 다양한 형식(.txt, .csv 및 .xml.
  • Azure Information Protection 앱을 사용하여 보호된 이미지 파일(.jpg, .gif 및 .tif 포함)을 사용하세요.
  • Azure Information Protection 앱을 사용하여 일반적으로 보호된 모든 파일(.pfile 형식)을 니다.
  • Azure Information Protection 앱을 사용하여 PDF Office(Word, Excel, PowerPoint) 파일(.pdf 및 .ppdf 형식)을 니다.
  • Azure Information Protection 앱을 사용하여 Microsoft 웹에서 보호된 전자 메일 메시지(.rpmsg)와 보호된 PDF 파일을 SharePoint.
  • 플랫폼 간 보기를 위해 AIP를 밝히는 PDF 뷰어를 사용하거나 AIP를 통해 보호된 PDF 파일을 열 수 있습니다.
  • MIP SDK를사용하여 작성된 내부적으로 개발된 AIP-enlightened 앱을 사용하세요.

참고 사항

Microsoft 웹 사이트의 Microsoft 권한 관리 페이지에서 Azure Information Protection 앱을 다운로드할 수 있습니다. 모바일 디바이스 확장에서 지원되는 다른 앱에 대한 자세한 내용은 이 설명서의 애플리케이션 페이지의 표를 참조하세요. RMS에서 지원하는 다양한 파일 형식에 대한 자세한 내용은 권한 관리 공유 애플리케이션 관리자 가이드의 지원되는 파일 형식 및 파일 이름 확장 섹션을 참조하세요.

중요

모바일 디바이스 확장을 설치하기 전에 반드시 필요한 구성을 읽고 구성해야 합니다.

자세한 내용은 Microsoft 다운로드 센터에서 "Microsoft Azure 정보 보호" 백서 및 첨부 스크립트를 다운로드합니다.

AD RMS 모바일 디바이스 확장에 대한 전제

AD RMS 모바일 디바이스 확장을 설치하기 전에 다음 종속성이 있는지 확인합니다.

요구 사항 자세한 정보
서버 2019, 2016, 2012 R2 또는 2012에 대한 기존 AD RM Windows S 배포에는 다음이 포함됩니다.

- 인터넷에서 AD RMS 클러스터에 액세스할 수 있어야 합니다.

- AD RMS는 동일한 Microsoft SQL Server 테스트에 자주 사용되는 데이터베이스가 아닌 별도의 Windows 내부 데이터베이스 전체 데이터베이스를 사용해야 합니다.

- 모바일 디바이스 확장을 설치하는 데 사용할 계정에는 AD RMS에 사용 SQL Server 인스턴스에 대한 sysadmin 권리가 있어야 합니다.

- AD RMS 서버는 모바일 디바이스 클라이언트에서 신뢰할 수 있는 유효한 x.509 인증서와 함께 SSL/TLS를 사용하도록 구성해야 합니다.

- AD RMS 서버가 방화벽 뒤에 있는 경우 또는 역방향 프록시를 사용하여 게시하는 경우 /_wmcs 폴더를 인터넷에 게시하는 것 외에도 /my 폴더(예: _ )를 게시해야 합니다.
AD RMS의 전제 사항 및 배포 정보에 대한 자세한 내용은 이 문서의 구성 구성 사항 섹션을 참조하세요.
서버에 배포된 AD FS Windows:

- AD FS 서버 팜은 인터넷에서 액세스할 수 있어야 합니다(페더연맹 서버 proxies를 배포했습니다).

- 양식 기반 인증은 지원되지 않습니다. 통합 인증을 Windows 있어야 합니다.

중요:AD FS는 AD RMS 및 모바일 디바이스 확장을 실행하는 컴퓨터와 다른 컴퓨터를 실행해야 합니다.
AD FS에 대한 설명서는 Windows Server AD 서버 라이브러리의 Windows FS 배포 가이드를 참조하세요.

모바일 디바이스 확장에 대해 AD FS를 구성해야 합니다. 지침은 이 항목의 AD RMS 모바일 디바이스 확장에 대한 AD FS 구성 섹션을 참조하세요.
모바일 디바이스는 RMS 서버(또는 서버)에서 PKI 인증서를 신뢰해야 합니다. VeriSign 또는 Comodo와 같은 공용 CA에서 서버 인증서를 구입하면 모바일 디바이스가 이러한 인증서에 대한 루트 CA를 이미 신뢰하여 이러한 디바이스가 추가 구성 없이 서버 인증서를 신뢰할 가능성이 있습니다.

그러나 자체 내부 CA를 사용하여 RMS에 대한 서버 인증서를 배포하는 경우 모바일 디바이스에 루트 CA 인증서를 설치하는 추가 단계를 수행해야 합니다. 이렇게 하지 않는 경우 모바일 디바이스는 RMS 서버와 성공적으로 연결을 설정할 수 없습니다.
DNS의 SRV 레코드 회사 도메인 또는 도메인에서 하나 이상의 SRV 레코드를 만들 수 있습니다.

1: 사용자가 사용할 각 전자 메일 도메인 접미사에 대한 레코드 만들기

2: 클러스터 이름을 포함하지 않는 콘텐츠를 보호하기 위해 RMS 클러스터에서 사용하는 모든 FQDN에 대한 레코드 만들기

이러한 레코드는 연결 모바일 디바이스가 사용하는 모든 네트워크에서 확인할 수 있어야 합니다. 여기에는 모바일 디바이스가 인트라넷을 통해 연결하는 경우 인트라넷이 포함됩니다.

사용자가 모바일 장치에서 전자 메일 주소를 제공하면 도메인 접미사는 AD RMS 인프라 또는 Azure AIP를 사용할지 여부를 식별하는 데 사용됩니다. SRV 레코드가 발견될 때 클라이언트는 해당 URL에 응답하는 AD RMS 서버로 리디렉션됩니다.

사용자가 모바일 디바이스로 보호된 콘텐츠를 사용하는 경우 클라이언트 애플리케이션은 콘텐츠를 보호한 클러스터 URL의 FQDN과 일치하는 레코드(클러스터 이름 없이)에 대해 DNS에 표시됩니다. 그런 다음 디바이스는 DNS 레코드에 지정된 AD RMS 클러스터로 연결되어 콘텐츠를 열 수 있는 라이선스를 획득합니다. 대부분의 경우 RMS 클러스터는 콘텐츠를 보호한 동일한 RMS 클러스터입니다.

SRV 레코드를 지정하는 방법에 대한 자세한 내용은 이 항목의 AD RMS 모바일 디바이스 확장에 대한 DNS SRV 레코드 지정 섹션을 참조하세요.
이 플랫폼에 MIP SDK를 사용하여 개발된 애플리케이션을 사용하는 지원되는 클라이언트입니다. 정보 보호 다운로드 페이지의 링크를 사용하여 사용하는 디바이스에 대해 지원되는 Microsoft Azure 다운로드합니다.

AD RMS 모바일 디바이스 확장에 대한 AD FS 구성

먼저 AD FS를 구성한 다음 사용할 디바이스에 대한 AIP 앱을 승인해야 합니다.

1단계: AD FS를 구성하기 위해

  • AD RMS 모바일 Windows PowerShell 지원하도록 AD FS를 자동으로 구성하도록 설정 스크립트를 실행하거나 구성 옵션 및 값을 수동으로 지정할 수 있습니다.
    • AD RMS 모바일 디바이스 확장에 대한 AD FS를 자동으로 구성하려면 다음을 복사하여 Windows PowerShell 스크립트 파일에 붙여넣은 다음 실행합니다.
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • AD RMS 모바일 디바이스 확장에 대한 AD FS를 수동으로 구성하려면 다음 설정을 사용합니다.
구성
신뢰 파티 트러스트 _api.rms.rest.com
클레임 규칙 특성 저장소: Active Directory

전자 메일 주소: 전자 메일 주소

사용자-사용자 이름: UPN

프록시 주소: _

AD FS를 통해 AD RMS를 배포하는 예제에 대한 단계별 지침은 Active Directory Federation Services를Active Directory Rights Management Services 배포를 참조하세요.

2단계: 디바이스에 대한 앱 권한을 승인합니다.

  • 변수를 Windows PowerShell Azure Information Protection 앱에 대한 지원을 추가한 후 다음 Windows PowerShell 명령을 실행합니다. 표시된 순서대로 두 명령을 모두 실행해야 합니다.
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Powershell 예제

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Azure Information Protection통합 레이블링 클라이언트의 경우 다음 Windows PowerShell 명령을 실행하여 디바이스에서 Azure Information Protection 클라이언트에 대한 지원을 추가합니다.
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • 타사 제품에 대해 2016 Windows 및 2019 및 2019ADRMS MDE에서 ADFS를 지원하기 위해 다음 Windows PowerShell 명령을 실행합니다.
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

AD FS를 사용하여 HYOK 또는AD RMS를 Windows, Mac,모바일 및 Office 모바일에서 AIP 클라이언트를 구성하는 Windows Server 2012 다음을 사용하세요.

  • Mac 디바이스(RMS 공유 앱 사용)의 경우 표시된 순서대로 두 명령을 실행해야 합니다.
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • iOS 디바이스(Azure Information Protection 앱 사용)의 경우 표시된 순서대로 두 명령을 실행해야 합니다.
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Android 디바이스(Azure Information Protection 앱 사용)의 경우 표시된 순서대로 두 명령을 실행해야 합니다.
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

다음 PowerShell 명령을 실행하여 디바이스에서 Microsoft Office 대한 지원을 추가합니다.

  • Mac의 경우 iOS, Android 디바이스(표시된 순서대로 두 명령을 모두 실행해야 합니다.
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

AD RMS 모바일 디바이스 확장에 대한 DNS SRV 레코드 지정

사용자가 사용하는 각 전자 메일 도메인에 대해 DNS SRV 레코드를 만들어야 합니다. 모든 사용자가 단일 부모 도메인의 자식 도메인을 사용하고 이 연속 네임스페이스의 모든 사용자가 동일한 RMS 클러스터를 사용하는 경우 부모 도메인에서 하나의 SRV 레코드만 사용할 수 있으며 RMS는 적절한 DNS 레코드를 찾을 수 있습니다. SRV 레코드에는 다음과 같은 형식이 있습니다. _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

참고 사항

portnumber 에 대해 443을 <> 지정합니다. DNS에서 다른 포트 번호를 지정할 수 있습니다. 모바일 장치 확장을 사용하는 디바이스는 항상 443을 사용합니다.

예를 들어 조직에 다음 전자 메일 주소가 있는 사용자가 있는 경우

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com _contoso.com RMS 클러스터와 다른 RMS 클러스터를 사용하는 _rmsserver.contoso.com 다른 자식 도메인이 없는 경우 이러한 값이 있는 두 개의 DNS SRV 레코드를 만드면 됩니다.
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

서버의 DNS 서버 역할을 Windows DNS Manager 콘솔의 SRV 레코드 속성에 대한 가이드로 다음 표를 사용합니다.

필드
도메인 _tcp.contoso.com
서비스 _rmsdisco
프로토콜 _http
우선 순위 0
무게 0
포트 번호 443
이 서비스를 제공하는 호스트 _rmsserver.contoso.com
필드
도메인 _tcp.fabrikam.com
서비스 _rmsdisco
프로토콜 _http
우선 순위 0
무게 0
포트 번호 443
이 서비스를 제공하는 호스트 _rmsserver.contoso.com

전자 메일 도메인에 대한 이러한 DNS SRV 레코드 외에도 RMS 클러스터 도메인에 다른 DNS SRV 레코드를 만들어야 합니다. 이 레코드는 콘텐츠를 보호하는 RMS 클러스터의 FQDNS를 지정해야 합니다. RMS로 보호되는 모든 파일에는 해당 파일을 보호하는 클러스터에 대한 URL이 포함됩니다. 모바일 디바이스는 DNS SRV 레코드 및 레코드에 지정된 URL FQDN을 사용하여 모바일 디바이스를 지원할 수 있는 해당 RMS 클러스터를 찾습니다.

예를 들어 RMS 클러스터가 _rmsserver.contoso.com경우 _rmsdisco.http._tcp.contoso.com 443 _rmsserver.contoso.com

서버의 DNS 서버 역할을 Windows DNS Manager 콘솔의 SRV 레코드 속성에 대한 가이드로 다음 표를 사용하세요.

필드
도메인 _tcp.contoso.com
서비스 _rmsdisco
프로토콜 _http
우선 순위 0
무게 0
포트 번호 443
이 서비스를 제공하는 호스트 _rmsserver.contoso.com

AD RMS 모바일 디바이스 확장 배포

AD RMS 모바일 디바이스 확장을 설치하기 전에 이전 섹션의 전제 구성이 있는지, AD FS 서버의 URL을 알고 있는지 확인합니다. 그런 다음 다음을 합니다.

  1. Microsoft 다운로드 센터에서 AD RMS 모바일 ADRMS.MobileDeviceExtension.exe 확장을 다운로드합니다.
  2. 모바일 ADRMS.MobileDeviceExtension.exe 설정 마법사를 Active Directory Rights Management Services 실행합니다. 메시지가 표시되면 이전에 구성한 AD FS 서버의 URL을 입력합니다.
  3. 마법사를 완료합니다.

RMS 클러스터의 모든 노드에서 이 마법사를 실행합니다.

AD RMS 클러스터와 AD FS 서버 간에 프록시 서버가 있는 경우 기본적으로 AD RMS 클러스터는 페더링된 서비스에 문의할 수 없습니다. 이 경우 AD RMS는 모바일 클라이언트에서 수신된 토큰을 확인할 수 없습니다. 요청을 거부합니다. 이 통신을 차단하는 프록시 서버가 있는 경우 AD RMS 모바일 web.config 확장 웹 사이트에서 해당 파일을 업데이트해야 하여 AD RMS가 AD FS 서버에 문의해야 할 때 프록시 서버를 무시할 수 있습니다.

AD RMS 모바일 디바이스 확장에 대한 프록시 설정 업데이트

  1. \Program files\web.config\Active Directory Rights Management Services 디바이스 확장\Web Service에 있는파일 열기

  2. 파일에 다음 노드를 추가합니다.

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. 다음을 변경한 다음 파일을 저장합니다.

    • 프록시 서버를 프록시 <> 서버의 이름 또는 주소로 바 대체합니다.
    • 포트를 프록시 서버가 사용하도록 구성된 포트 <> 번호로 바 대체합니다.
    • AD FS URL을 페더전 서비스의 <> URL로 바 대체합니다. HTTP 도두사는 포함하지 않습니다.

    참고 사항

    프록시 설정을 재배치하는 방법을 자세히 알아보하려면 프록시 구성 설명서를 참조하세요.

  4. 예를 들어 명령 프롬프트에서 관리자로 iisreset을 실행하여 IIS를 다시 설정합니다.

RMS 클러스터의 모든 노드에서 이 절차를 반복합니다.

또한 참조

Azure Information Protection에 대한 자세한 내용은 API yammer그룹을 사용하여 다른 AIP 고객과 연락하고 AIP 제품 관리자에게 문의하세요.