Active Directory Rights Management Services Mobile Device Extension

  • Artikel

U kunt de ad RMS-extensie (Active Directory Rights Management Services) voor mobiele apparaten downloaden vanuit het Microsoft Downloadcentrum en deze extensie installeren boven op een bestaande AD RMS-implementatie. Hiermee kunnen gebruikers gevoelige gegevens beveiligen en gebruiken wanneer hun apparaat de nieuwste apps met API-functionaliteit ondersteunt. Gebruikers kunnen bijvoorbeeld het volgende doen op hun mobiele apparaten:

  • Gebruik de Azure Information Protection-app om beveiligde tekstbestanden in verschillende indelingen te gebruiken (inclusief .txt, .csv en .xml).
  • Gebruik de Azure Information Protection-app om beveiligde afbeeldingsbestanden te gebruiken (inclusief .jpg, .gif en .tif).
  • Gebruik de Azure Information Protection-app om een bestand te openen dat algemeen is beveiligd (.pfile-indeling).
  • Gebruik de Azure Information Protection-app om een Office-bestand (Word, Excel, PowerPoint) te openen dat een PDF-kopie (.pdf- en .ppdf-indeling) is.
  • Gebruik de Azure Information Protection-app om beveiligde e-mailberichten (.rpmsg) en beveiligde PDF-bestanden op Microsoft SharePoint te openen.
  • Gebruik een PDF-viewer met AIP-functionaliteit voor platformoverschrijdende weergave of om PDF-bestanden te openen die zijn beveiligd met een toepassing met AIP-functionaliteit.
  • Gebruik uw intern ontwikkelde apps met AIP-functionaliteit die zijn geschreven met behulp van de MIP SDK.

Notitie

U kunt de Azure Information Protection-app downloaden van de Microsoft Rights Management-pagina van de Microsoft-website. Zie de tabel op de pagina Toepassingen in deze documentatie voor informatie over andere apps die worden ondersteund met de extensie voor mobiele apparaten. Zie de sectie Ondersteunde bestandstypen en bestandsnaamextensies in de beheerdershandleiding van de Rights Management-toepassing voor delen voor meer informatie over de verschillende bestandstypen die door RMS worden ondersteund.

Belangrijk

Lees en configureer de vereisten voordat u de extensie voor mobiele apparaten installeert.

Download het technische document 'Microsoft Azure Information Protection' en de bijbehorende scripts uit het Microsoft Downloadcentrum voor meer informatie.

Vereisten voor de extensie voor mobiele AD RMS-apparaten

Voordat u de extensie voor mobiele AD RMS-apparaten installeert, moet u ervoor zorgen dat de volgende afhankelijkheden aanwezig zijn.

Vereiste Meer informatie
Een bestaande AD RMS-implementatie in Windows Server 2019, 2016, 2012 R2 of 2012, die het volgende omvat:

- Uw AD RMS-cluster moet toegankelijk zijn vanaf internet.

- AD RMS moet een volledige Microsoft SQL Server-database op een afzonderlijke server gebruiken en niet de Windows Interne database die vaak wordt gebruikt voor het testen op dezelfde server.

- Het account dat u gebruikt om de extensie voor mobiele apparaten te installeren, moet sysadmin-rechten hebben voor het SQL Server-exemplaar dat u voor AD RMS gebruikt.

- De AD RMS-servers moeten worden geconfigureerd voor het gebruik van SSL/TLS met een geldig x.509-certificaat dat wordt vertrouwd door de clients van mobiele apparaten.

- Als de AD RMS-servers zich achter een firewall bevinden of zijn gepubliceerd met behulp van een omgekeerde proxy, moet u naast het publiceren van de map /_wmcs op internet ook de map /my publiceren (bijvoorbeeld: _https://RMSserver.contoso.com/my).		 Zie de sectie vereisten van dit artikel voor meer informatie over ad RMS-vereisten en implementatiegegevens.
AD FS geïmplementeerd op uw Windows Server:

- Uw AD FS-serverfarm moet toegankelijk zijn vanaf internet (u hebt federatieserverproxy's geïmplementeerd).

- Verificatie op basis van formulieren wordt niet ondersteund; u moet geïntegreerde Windows-verificatie gebruiken

Belangrijk: AD FS moet een andere computer uitvoeren dan de computer met AD RMS en de extensie voor mobiele apparaten.		 Zie de Windows Server AD FS-implementatiehandleiding in de Windows Server-bibliotheek voor documentatie over AD FS.

AD FS moet worden geconfigureerd voor de extensie voor mobiele apparaten. Zie de sectie AD FS configureren voor de ad RMS-extensie voor mobiele apparaten in dit onderwerp voor instructies.
Mobiele apparaten moeten de PKI-certificaten vertrouwen op de RMS-server (of -servers) Wanneer u uw servercertificaten aanschaft bij een openbare CERTIFICERINGsinstantie, zoals VeriSign of Comodo, is het waarschijnlijk dat mobiele apparaten de basis-CA voor deze certificaten al vertrouwen, zodat deze apparaten de servercertificaten zonder extra configuratie vertrouwen.

Als u echter uw eigen interne CA gebruikt om de servercertificaten voor RMS te implementeren, moet u aanvullende stappen uitvoeren om het basis-CA-certificaat op de mobiele apparaten te installeren. Als u dit niet doet, kunnen mobiele apparaten geen verbinding tot stand brengen met de RMS-server.
SRV-records in DNS Maak een of meer SRV-records in uw bedrijfsdomein of -domeinen:

1: Maak een record voor elk e-maildomeinachtervoegsel dat gebruikers gebruiken

2: Maak een record voor elke FQDN die wordt gebruikt door uw RMS-clusters om inhoud te beveiligen, niet inclusief de clusternaam

Deze records moeten kunnen worden omgezet vanuit elk netwerk dat wordt gebruikt door het verbinden van mobiele apparaten, waaronder het intranet als uw mobiele apparaten verbinding maken via het intranet.

Wanneer gebruikers hun e-mailadres van hun mobiele apparaat opgeven, wordt het domeinachtervoegsel gebruikt om te bepalen of ze een AD RMS-infrastructuur of Azure AIP moeten gebruiken. Wanneer de SRV-record wordt gevonden, worden clients omgeleid naar de AD RMS-server die op die URL reageert.

Wanneer gebruikers beveiligde inhoud met een mobiel apparaat gebruiken, zoekt de clienttoepassing in DNS naar een record die overeenkomt met de FQDN in de URL van het cluster dat de inhoud heeft beveiligd (zonder de clusternaam). Het apparaat wordt vervolgens omgeleid naar het AD RMS-cluster dat is opgegeven in de DNS-record en krijgt een licentie om de inhoud te openen. In de meeste gevallen is het RMS-cluster hetzelfde RMS-cluster dat de inhoud heeft beveiligd.

Zie voor meer informatie over het opgeven van de SRV-records het opgeven van de DNS SRV-records voor de ad RMS-extensie voor mobiele apparaten in dit onderwerp.
Ondersteunde clients die toepassingen gebruiken die zijn ontwikkeld met behulp van de MIP SDK voor dit platform. Download de ondersteunde apps voor de apparaten die u gebruikt met behulp van de koppelingen op de downloadpagina van Microsoft Azure Information Protection .

AD FS configureren voor de extensie voor mobiele AD RMS-apparaten

U moet eerst AD FS configureren en vervolgens de AIP-app autoriseren voor de apparaten die u wilt gebruiken.

Stap 1: AD FS configureren

  • U kunt een Windows PowerShell-script uitvoeren om AD FS automatisch te configureren ter ondersteuning van de extensie voor mobiele AD RMS-apparaten, of u kunt handmatig de configuratieopties en -waarden opgeven:
    • Als u AD FS automatisch wilt configureren voor de extensie voor mobiele AD RMS-apparaten, kopieert en plakt u het volgende in een Windows PowerShell-scriptbestand en voert u het uit:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Als u AD FS handmatig wilt configureren voor de extensie voor mobiele AD RMS-apparaten, gebruikt u deze instellingen:
Configuratie Value
Vertrouwensrelatie relying party _api.rms.rest.com
Claimregel Kenmerkarchief: Active Directory

E-mailadressen: E-mailadres

User-Principal-Name: UPN

Proxyadres: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Fooi

Zie Active Directory Rights Management Services implementeren met Active Directory Federation Services voor stapsgewijze instructies voor een voorbeeldimplementatie van AD RMS met AD FS.

Stap 2: Apps autoriseren voor uw apparaten

  • Voer de volgende Windows PowerShell-opdracht uit nadat u de variabelen hebt vervangen om ondersteuning voor de Azure Information Protection-app toe te voegen. Zorg ervoor dat u beide opdrachten uitvoert in de weergegeven volgorde:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

PowerShell-voorbeeld

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Voer voor de geïntegreerde Azure Information Protection-labelclient de volgende Windows PowerShell-opdracht uit om ondersteuning toe te voegen voor de Azure Information Protection-client op uw apparaten:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Voer de volgende Windows PowerShell-opdracht uit om ADFS te ondersteunen in Windows 2016 en 2019 en ADRMS MDE voor producten van derden:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Als u de AIP-client op Windows, Mac, Mobile en Office Mobile wilt configureren voor het gebruik van HYOK- of AD RMS-beveiligde inhoud met AD FS op Windows Server 2012 R2 en hoger, gebruikt u het volgende:

  • Voor Mac-apparaten (met de RMS-app voor delen) moet u beide opdrachten uitvoeren in de weergegeven volgorde:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Voor iOS-apparaten (met behulp van de Azure Information Protection-app) moet u beide opdrachten uitvoeren in de weergegeven volgorde:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Voor Android-apparaten (met behulp van de Azure Information Protection-app) moet u beide opdrachten uitvoeren in de weergegeven volgorde:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Voer de volgende PowerShell-opdrachten uit om ondersteuning voor Microsoft-Office-app s toe te voegen op uw apparaten:

  • Voor Mac-, iOS-, Android-apparaten (zorg ervoor dat u beide opdrachten uitvoert in de weergegeven volgorde):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

De DNS SRV-records opgeven voor de ad RMS-extensie voor mobiele apparaten

U moet DNS SRV-records maken voor elk e-maildomein dat uw gebruikers gebruiken. Als al uw gebruikers onderliggende domeinen van één bovenliggend domein gebruiken en alle gebruikers uit deze aaneengesloten naamruimte hetzelfde RMS-cluster gebruiken, kunt u slechts één SRV-record in het bovenliggende domein gebruiken en vindt RMS de juiste DNS-records. De SRV-records hebben de volgende indeling: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Notitie

Geef 443 op voor het <poortnummer>. Hoewel u een ander poortnummer in DNS kunt opgeven, gebruiken apparaten met de extensie voor mobiele apparaten altijd 443.

Als uw organisatie bijvoorbeeld gebruikers heeft met de volgende e-mailadressen:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Als er geen andere onderliggende domeinen zijn voor _contoso.com die een ander RMS-cluster gebruiken dan het cluster met de naam _rmsserver.contoso.com, maakt u twee DNS SRV-records met deze waarden:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Als u de dns-serverfunctie in Windows Server gebruikt, gebruikt u de volgende tabellen als richtlijn voor de eigenschappen van de SRV-record in de DNS Manager-console:

Veld Waarde
Domain _tcp.contoso.com
Onderhoud _rmsdisco
Protocol _http
Prioriteit 0
Gewicht 0
Poortnummer 443
Host die deze service aanbiedt _rmsserver.contoso.com
Veld Waarde
Domain _tcp.fabrikam.com
Onderhoud _rmsdisco
Protocol _http
Prioriteit 0
Gewicht 0
Poortnummer 443
Host die deze service aanbiedt _rmsserver.contoso.com

Naast deze DNS SRV-records voor uw e-maildomein, moet u een andere DNS SRV-record maken in het RMS-clusterdomein. Deze record moet de FQDN's van uw RMS-cluster opgeven waarmee inhoud wordt beschermd. Elk bestand dat door RMS wordt beveiligd, bevat een URL naar het cluster dat dat bestand heeft beveiligd. Mobiele apparaten gebruiken de DNS SRV-record en de URL-FQDN die in de record zijn opgegeven om het bijbehorende RMS-cluster te vinden dat mobiele apparaten kan ondersteunen.

Als uw RMS-cluster bijvoorbeeld _rmsserver.contoso.com is, maakt u een DNS SRV-record met de volgende waarden: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Als u de dns-serverfunctie op Windows Server gebruikt, gebruikt u de volgende tabel als richtlijn voor de eigenschappen van de SRV-record in de DNS Manager-console:

Veld Waarde
Domain _tcp.contoso.com
Onderhoud _rmsdisco
Protocol _http
Prioriteit 0
Gewicht 0
Poortnummer 443
Host die deze service aanbiedt _rmsserver.contoso.com

De ad RMS-extensie voor mobiele apparaten implementeren

Voordat u de ad RMS-extensie voor mobiele apparaten installeert, moet u ervoor zorgen dat de vereisten uit de vorige sectie aanwezig zijn en dat u de URL van uw AD FS-server kent. Ga daarna als volgt te werk:

  1. Download de AD RMS-extensie voor mobiele apparaten (ADRMS). MobileDeviceExtension.exe) vanuit het Microsoft Downloadcentrum.
  2. Voer ADRMS uit . MobileDeviceExtension.exe om de installatiewizard voor de mobiele apparaatextensie van Active Directory Rights Management Services te starten. Wanneer u hierom wordt gevraagd, voert u de URL in van de AD FS-server die u eerder hebt geconfigureerd.
  3. Voltooi de wizard.

Voer deze wizard uit op alle knooppunten in uw RMS-cluster.

Als u een proxyserver hebt tussen het AD RMS-cluster en de AD FS-servers, kan uw AD RMS-cluster standaard geen contact opnemen met de federatieve service. Als dit gebeurt, kan AD RMS het token dat is ontvangen van de mobiele client niet verifiëren en wordt de aanvraag geweigerd. Als u een proxyserver hebt die deze communicatie blokkeert, moet u het web.config-bestand bijwerken vanaf de website van de ad RMS-extensie voor mobiele apparaten, zodat AD RMS de proxyserver kan omzeilen wanneer deze contact moet opnemen met de AD FS-servers.

Proxy-instellingen voor de ad RMS-extensie voor mobiele apparaten bijwerken

  1. Open het bestand web.config dat zich in \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service bevindt.

  2. Voeg het volgende knooppunt toe aan het bestand:

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Breng de volgende wijzigingen aan en sla het bestand op:

    • Vervang <de proxyserver> door de naam of het adres van uw proxyserver.
    • Vervang <de poort> door het poortnummer dat de proxyserver is geconfigureerd voor gebruik.
    • Vervang <de URL> van AD FS door de URL van de federation-service. Neem het HTTP-voorvoegsel niet op.

    Notitie

    Zie de documentatie voor proxyconfiguratie voor meer informatie over het overschrijven van de proxy-instellingen.

  4. Stel IIS bijvoorbeeld opnieuw in door iisreset uit te voeren als beheerder vanaf een opdrachtprompt.

Herhaal deze procedure op alle knooppunten in uw RMS-cluster.

Zie ook

Meer informatie over Azure Information Protection, contact maken met andere AIP-klanten en met AIP-productmanagers met behulp van de API yammer-groep.