Extensão de dispositivo móvel de gestão de direitos de diretório ativoActive Directory Rights Management Services Mobile Device Extension

Aplica-se a: Windows Server 2019, 2016, 2012 R2 e 2012Applies To: Windows Server 2019, 2016, 2012 R2, and 2012

Você pode baixar a extensão do dispositivo móvel Ative Directory Rights Management Services (AD RMS) a partir do Microsoft Download Center e instalar esta extensão em cima de uma implementação AD RMS existente.You can download the Active Directory Rights Management Services (AD RMS) mobile device extension from the Microsoft Download Center and install this extension on top of an existing AD RMS deployment. Isto permite que os utilizadores protejam e consumam dados sensíveis quando o seu dispositivo suporta as mais recentes aplicações iluminadas pela API.This lets users protect and consume sensitive data when their device supports the latest API-enlightened apps. Por exemplo, os utilizadores podem fazer o seguinte:For example, users can do the following:

  • Utilize a aplicação Azure Information Protection para consumir ficheiros de texto protegidos em diferentes formatos (incluindo .txt, .csv e .xml).Use the Azure Information Protection app to consume protected text files in different formats (including .txt, .csv, and .xml).
  • Utilize a aplicação Azure Information Protection para consumir ficheiros de imagem protegidos (incluindo .jpg, .gif e .tif).Use the Azure Information Protection app to consume protected image files (including .jpg, .gif, and .tif).
  • Utilize a aplicação Azure Information Protection para abrir qualquer ficheiro que tenha sido protegido genericamente (.pfile formato).Use the Azure Information Protection app to open any file that has been generically protected (.pfile format).
  • Utilize a aplicação Azure Information Protection para abrir um ficheiro do Office (Word, Excel, PowerPoint) que é uma cópia PDF (formato.pdf e .ppdf).Use the Azure Information Protection app to open an Office file (Word, Excel, PowerPoint) that is a PDF copy (.pdf and .ppdf format).
  • Utilize a aplicação Azure Information Protection para abrir mensagens de correio de e-mail protegidas (.rpmsg) e ficheiros PDF protegidos no Microsoft SharePoint.Use the Azure Information Protection app to open protected email messages (.rpmsg) and protected PDF files on Microsoft SharePoint.
  • Utilize um visualizador PDF iluminado pela AIP para visualização de plataformas cruzadas ou para abrir ficheiros PDF protegidos com qualquer aplicação iluminada por AIP.Use an AIP-enlightened PDF viewer for cross-platform viewing or to open PDF files that were protected with any AIP-enlightened application.
  • Utilize as suas aplicações iluminadas pela AIP internamente que foram escritas utilizando o MIP SDK.Use your internally developed AIP-enlightened apps that were written by using the MIP SDK.

Nota

Pode descarregar a aplicação Azure Information Protection a partir da página microsoft Rights Management do website da Microsoft.You can download the Azure Information Protection app from the Microsoft Rights Management page of the Microsoft website. Para obter informações sobre outras aplicações suportadas com a extensão do dispositivo móvel, consulte a tabela na página aplicações a partir desta documentação.For information about other apps that are supported with the mobile device extension, see the table in the Applications page from this documentation. Para obter mais informações sobre os diferentes tipos de ficheiros que o RMS suporta, consulte os tipos de ficheiros suportados e a secção de extensões de nome de ficheiros do guia de administrador de aplicação de partilha de direitos.For more information about the different file types that RMS supports, see the Supported file types and file name extensions section from the Rights Management sharing application administrator guide.

Importante

Certifique-se de que lê e configura os pré-requisitos antes de instalar a extensão do dispositivo móvel.Be sure to read and configure the prerequisites before you install the mobile device extension.

Para obter informações adicionais, descarregue o livro branco "Microsoft Azure Information Protection" e acompanhe scripts do Microsoft Download Center.For additional information, download the "Microsoft Azure Information Protection" white paper and accompanying scripts from the Microsoft Download Center.

Pré-requisitos para extensão de dispositivo móvel AD RMSPrerequisites for AD RMS mobile device extension

Antes de instalar a extensão do dispositivo móvel AD RMS, certifique-se de que existem as seguintes dependências.Before you install the AD RMS mobile device extension, make sure the following dependencies are in place.

RequisitoRequirement Mais informaçõesMore information
Uma implementação AD RMS existente no Windows Server 2019, 2016, 2012 R2 ou 2012, que inclui o seguinte:An existing AD RMS deployment on Windows Server 2019, 2016, 2012 R2, or 2012, that includes the following:

- O seu cluster AD RMS deve estar acessível a partir da Internet.- Your AD RMS cluster must be accessible from the Internet.

- O AD RMS deve estar a utilizar uma base de dados completa baseada no Servidor MICROSOFT SQL num servidor separado e não na Base de Dados Interna do Windows que é frequentemente utilizada para testes no mesmo servidor.- AD RMS must be using a full Microsoft SQL Server-based database on a separate server and not the Windows Internal Database that is often used for testing on the same server.

- A conta que utilizará para instalar a extensão do dispositivo móvel deve ter direitos de sysadmin para a instância do SQL Server que está a utilizar para AD RMS.- The account that you will use to install the mobile device extension must have sysadmin rights for the SQL Server instance that you're using for AD RMS.

- Os servidores AD RMS devem ser configurados para utilizar O SSL/TLS com um certificado x.509 válido que seja fidedigno pelos clientes do dispositivo móvel.- The AD RMS servers must be configured to use SSL/TLS with a valid x.509 certificate that is trusted by the mobile device clients.

- Se os servidores AD RMS estiverem por detrás de uma firewall ou publicados utilizando um representante inverso, para além de publicar a pasta /_wmcs na Internet, deve também publicar a /minha pasta (por exemplo: _https: / / RMSserver.contoso.com/my).- If the AD RMS servers are behind a firewall or published by using a reverse proxy, in addition to publishing the /_wmcs folder to the Internet, you must also publish the /my folder (for example: _https://RMSserver.contoso.com/my).
Para mais informações sobre pré-requisitos de RMS da AD e informações de implantação, consulte a secção de pré-requisitos deste artigo.For details about AD RMS prerequisites and deployment information, see the prerequisites section of this article.
AD FS implantado no seu Servidor Windows:AD FS deployed on your Windows Server:

- A sua exploração de servidores AD FS deve estar acessível a partir da Internet (implementou proxies de servidores da federação).- Your AD FS server farm must be accessible from the Internet (you have deployed federation server proxies).

- A autenticação baseada em formulários não é suportada; tem de utilizar a autenticação integrada do Windows- Forms-based authentication is not supported; you must use Windows Integrated Authentication

Importante: O AD FS deve estar a executar um computador diferente do computador que executa o AD RMS e a extensão do dispositivo móvel.Important: AD FS must be running a different computer from the computer running AD RMS and the mobile device extension.
Para obter documentação sobre O FS AD, consulte o Guia de Implementação do Windows Server AD FS na biblioteca do Servidor do Windows.For documentation about AD FS, see the Windows Server AD FS Deployment Guide in the Windows Server library.

O AD FS deve ser configurado para a extensão do dispositivo móvel.AD FS must be configured for the mobile device extension. Para obter instruções, consulte o AD FS configurante para a secção de extensão do dispositivo móvel AD RMS neste tópico.For instructions, see the Configuring AD FS for the AD RMS mobile device extension section in this topic.
Os dispositivos móveis devem confiar nos certificados PKI no servidor RMS (ou servidores)Mobile devices must trust the PKI certificates on the RMS server (or servers) Quando compra os certificados do seu servidor a partir de um CA público, como o VeriSign ou comodo, é provável que os dispositivos móveis já confiem na raiz ca para estes certificados, para que estes dispositivos confiem nos certificados do servidor sem configuração de adição.When you purchase your server certificates from a public CA, such as VeriSign or Comodo, it's likely that mobile devices will already trust the root CA for these certificates, so that these devices will trust the server certificates without addition configuration.

No entanto, se utilizar o seu próprio CA interno para implantar os certificados de servidor para RMS, deve tomar medidas adicionais para instalar o certificado de CA raiz nos dispositivos móveis.However, if you use your own internal CA to deploy the server certificates for RMS, you must take additional steps to install the root CA certificate on the mobile devices. Se não o fizerem, os dispositivos móveis não serão capazes de estabelecer uma ligação bem sucedida com o servidor RMS.If don't do this, mobile devices will not be able to establish a successful connection with the RMS server.
Registos SRV em DNSSRV records in DNS Crie um ou mais registos SRV no domínio ou domínio da sua empresa:Create one or more SRV records in your company domain or domains:

1: Criar um registo para cada sufixo de domínio de e-mail que os utilizadores irão utilizar1: Create a record for each email domain suffix that users will use

2: Criar um registo para cada FQDN utilizado pelos seus clusters RMS para proteger o conteúdo, sem incluir o nome do cluster2: Create a record for every FQDN used by your RMS clusters to protect content, not including the cluster name

Estes registos devem ser resolúveis a partir de qualquer rede que os dispositivos móveis de ligação utilizem, o que inclui a intranet se os seus dispositivos móveis se ligarem através da intranet.These records must be resolvable from any network that the connecting mobile devices use, which includes the intranet if your mobile devices connect via the intranet.

Quando os utilizadores fornecem o seu endereço de e-mail a partir do seu dispositivo móvel, o sufixo de domínio é usado para identificar se devem usar uma infraestrutura AD RMS ou Azure AIP.When users supply their email address from their mobile device, the domain suffix is used to identify whether they should use an AD RMS infrastructure or Azure AIP. Quando o registo SRV é encontrado, os clientes são redirecionados para o servidor RMS AD que responde a esse URL.When the SRV record is found, clients are redirected to the AD RMS server that responds to that URL.

Quando os utilizadores consomem conteúdo protegido com um dispositivo móvel, a aplicação do cliente procura em DNS um registo que corresponda ao FQDN no URL do cluster que protegia o conteúdo (sem o nome do cluster).When users consume protected content with a mobile device, the client application looks in DNS for a record that matches the FQDN in the URL of the cluster that protected the content (without the cluster name). O dispositivo é então direcionado para o cluster AD RMS especificado no registo DNS e adquire uma licença para abrir o conteúdo.The device is then directed to the AD RMS cluster specified in the DNS record and acquires a license to open the content. Na maioria dos casos, o cluster RMS será o mesmo cluster RMS que protegeu o conteúdo.In most cases, the RMS cluster will be the same RMS cluster that protected the content.

Para obter informações sobre como especificar os registos SRV, consulte os registos DE ESPECIFICAÇÃO DO DNS SRV para a secção de extensão do dispositivo móvel AD RMS neste tópico.For information about how to specify the SRV records, see the Specifying the DNS SRV records for the AD RMS mobile device extension section in this topic.
Clientes apoiados que utilizam aplicações que são desenvolvidas utilizando o MIP SDK para esta plataforma.Supported clients using applications that are developed by using the MIP SDK for this platform. Descarregue as aplicações suportadas para os dispositivos que utiliza utilizando os links na página de descarregamento do Microsoft Azure Information Protection.Download the supported apps for the devices that you use by using the links on the Microsoft Azure Information Protection download page.

Configuração AD FS para a extensão do dispositivo móvel AD RMSConfiguring AD FS for the AD RMS mobile device extension

Primeiro, tem de configurar a AD FS e, em seguida, autorizar a aplicação AIP para os dispositivos que pretende utilizar.You must first configure AD FS, and then authorize the AIP app for the devices that you want to use.

Passo 1: Configurar ad FSStep 1: To configure AD FS

  • Pode executar um script Windows PowerShell para configurar automaticamente O FS AD para suportar a extensão do dispositivo móvel AD RMS, ou pode especificar manualmente as opções e valores de configuração:You can either run a Windows PowerShell script to automatically configure AD FS to support the AD RMS mobile device extension, or you can manually specify the configuration options and values:
    • Para configurar automaticamente o AD FS para a extensão do dispositivo móvel AD RMS, copie e cole o seguinte num ficheiro de scripts Windows PowerShell e, em seguida, execute-o:To automatically configure AD FS for the AD RMS mobile device extension, copy and paste the following into a Windows PowerShell script file, and then run it:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Para configurar manualmente O FS AD para a extensão do dispositivo móvel AD RMS, utilize estas definições:To manually configure AD FS for the AD RMS mobile device extension, use these settings:
ConfiguraçãoConfiguration ValorValue
Confiança do Partido ConfiandoRelying Party Trust _api.rms.rest.com_api.rms.rest.com
Regra de reclamaçãoClaim rule Loja de atributos: Diretório AtivoAttribute store: Active Directory

Endereços de e-mail: Endereço de e-mailE-mail addresses: E-mail-address

Nome principal do utilizador: UPNUser-Principal-Name: UPN

Endereço de procuração: _https: / /schemas.xmlsoap.org/claims/ProxyAddressesProxy-Address: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Dica

Para obter instruções passo a passo para uma colocação por exemplo de AD RMS com AD FS, consulte implementar serviços de gestão de direitos de diretório ativo com serviços da Federação de Diretórios Ativos.For step-by-step instructions for an example deployment of AD RMS with AD FS, see Deploying Active Directory Rights Management Services with Active Directory Federation Services.

Passo 2: Autorizar aplicativos para os seus dispositivosStep 2: Authorize apps for your devices

  • Executar o seguinte comando Windows PowerShell depois de substituir as variáveis para adicionar suporte para a aplicação Azure Information Protection.Run the following Windows PowerShell command after replacing the variables to add support for the Azure Information Protection app. Certifique-se de executar ambos os comandos na ordem mostrada:Make sure to run both commands in the order shown:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Exemplo de PowershellPowershell Example

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para o cliente de rotulagem unificada Azure Information Protection, executar o seguinte comando Windows PowerShell para adicionar suporte ao cliente Azure Information Protection nos seus dispositivos:For the Azure Information Protection unified labeling client, run the following Windows PowerShell command to add support for the Azure Information Protection client on your devices:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Para suportar o ADFS no Windows 2016 e 2019 e O MDE ADRMS para produtos de terceiros, executar o seguinte comando Windows PowerShell:To support ADFS on Windows 2016 and 2019 and ADRMS MDE for third party products, run the following Windows PowerShell command:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Para configurar o cliente AIP no Windows, Mac, mobile e Office Mobile para consumir conteúdo protegido HYOK ou AD RMS com AD FS no Windows Server 2012 R2 e mais recentes, utilize o seguinte:To configure the AIP client on Windows, Mac, mobile and Office Mobile for consuming HYOK or AD RMS protected content with AD FS on Windows Server 2012 R2 and newer, use the following:

  • Para dispositivos Mac (utilizando a aplicação de partilha RMS), certifique-se de executar ambos os comandos na ordem mostrada:For Mac devices (using the RMS sharing app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para dispositivos iOS (utilizando a aplicação Azure Information Protection), certifique-se de executar ambos os comandos na ordem mostrada:For iOS devices (using the Azure Information Protection app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para dispositivos Android (utilizando a aplicação Azure Information Protection), certifique-se de executar ambos os comandos na ordem mostrada:For Android devices (using the Azure Information Protection app), make sure to run both commands in the order shown:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Executar os seguintes comandos PowerShell para adicionar suporte para aplicações do Microsoft Office nos seus dispositivos:Run the following PowerShell commands to add support for Microsoft Office apps on your devices:

  • Para dispositivos Mac, iOS, Android (certifique-se de executar ambos os comandos na ordem mostrada):For Mac, iOS, Android devices (make sure to run both commands in the order shown):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Especificando os registos DNS SRV para a extensão do dispositivo móvel AD RMSSpecifying the DNS SRV records for the AD RMS mobile device extension

Tem de criar registos DNS SRV para cada domínio de e-mail que os seus utilizadores utilizam.You must create DNS SRV records for each email domain that your users use. Se todos os seus utilizadores utilizarem domínios infantis a partir de um único domínio parental, e todos os utilizadores deste espaço contíguo utilizarem o mesmo cluster RMS, pode utilizar apenas um registo SRV no domínio dos pais, e o RMS encontrará os registos DNS apropriados.If all your users use child domains from a single parent domain, and all users from this contiguous namespace use the same RMS cluster, you can use just one SRV record in the parent domain, and RMS will find the appropriate DNS records. Os registos SRV têm o seguinte formato: _rmsdisco._http._tcp.The SRV records have the following format: _rmsdisco._http._tcp. <emailsuffix><portnumber><RMSClusterFQDN>

Nota

Especificar 443 para o <portnumber> .Specify 443 for the <portnumber>. Embora se possa especificar um número de porta diferente em DNS, os dispositivos que utilizam a extensão do dispositivo móvel utilizarão sempre o 443.Although can you specify a different port number in DNS, devices using the mobile device extension will always use 443.

Por exemplo, se a sua organização tiver utilizadores com os seguintes endereços de e-mail:For example, if your organization has users with the following email addresses:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com Se não existirem outros domínios infantis para _contoso.com que utilizem um cluster RMS diferente daquele que o chamado _rmsserver.contoso.com, crie dois registos DNS SRV que tenham estes valores:_user@fabrikam.com If there are no other child domains for _contoso.com that use a different RMS cluster than the one named _rmsserver.contoso.com, create two DNS SRV records that have these values:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com_rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com_rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Se utilizar a função DNS Server no Windows Server, utilize as seguintes tabelas como guia para as propriedades de gravação SRV na consola DNS Manager:If you use the DNS Server role on Windows Server, use the following tables as a guide for the SRV record properties in the DNS Manager console:

CampoField ValorValue
DomínioDomain _tcp.contoso.com_tcp.contoso.com
ServiçoService _rmsdisco_rmsdisco
ProtocoloProtocol _http_http
PrioridadePriority 00
PesoWeight 00
Número da portaPort number 443443
Anfitrião que oferece este serviçoHost offering this service _rmsserver.contoso.com_rmsserver.contoso.com
CampoField ValorValue
DomínioDomain _tcp.fabrikam.com_tcp.fabrikam.com
ServiçoService _rmsdisco_rmsdisco
ProtocoloProtocol _http_http
PrioridadePriority 00
PesoWeight 00
Número da portaPort number 443443
Anfitrião que oferece este serviçoHost offering this service _rmsserver.contoso.com_rmsserver.contoso.com

Além destes registos DNS SRV para o seu domínio de e-mail, deve criar outro registo DNS SRV no domínio do cluster RMS.In addition to these DNS SRV records for your email domain, you must create another DNS SRV record in the RMS cluster domain. Este registo deve especificar as FQDNs do seu cluster RMS que protegem o conteúdo.This record must specify the FQDNs of your RMS cluster that protects content. Todos os ficheiros protegidos pelo RMS incluem um URL ao cluster que protegia esse ficheiro.Every file that is protected by RMS includes a URL to the cluster that protected that file. Os dispositivos móveis utilizam o registo DNS SRV e o URL FQDN especificado no registo para encontrar o cluster RMS correspondente que pode suportar dispositivos móveis.Mobile devices use the DNS SRV record and the URL FQDN specified in the record to find the corresponding RMS cluster that can support mobile devices.

Por exemplo, se o seu cluster RMS for _rmsserver.contoso.com, crie um registo DNS SRV que tenha os seguintes valores: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.comFor example, if your RMS cluster is _rmsserver.contoso.com, create a DNS SRV record that has the following values: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Se utilizar a função DNS Server no Windows Server, utilize a seguinte tabela como guia para as propriedades de gravação SRV na consola DNS Manager:If you use the DNS Server role on Windows Server, use the following table as a guide for the SRV record properties in the DNS Manager console:

CampoField ValorValue
DomínioDomain _tcp.contoso.com_tcp.contoso.com
ServiçoService _rmsdisco_rmsdisco
ProtocoloProtocol _http_http
PrioridadePriority 00
PesoWeight 00
Número da portaPort number 443443
Anfitrião que oferece este serviçoHost offering this service _rmsserver.contoso.com_rmsserver.contoso.com

Implantação da extensão do dispositivo móvel AD RMSDeploying the AD RMS mobile device extension

Antes de instalar a extensão do dispositivo móvel AD RMS, certifique-se de que os pré-requisitos da secção anterior estão no lugar e que conhece o URL do seu servidor AD FS.Before you install the AD RMS mobile device extension, make sure that the prerequisites from the preceding section are in place, and that you know the URL of your AD FS server. Em seguida, faça o seguinte:Then do the following:

  1. Descarregue a extensão do dispositivo móvel AD RMS (ADRMS.MobileDeviceExtension.exe) do Microsoft Download Center.Download the AD RMS mobile device extension (ADRMS.MobileDeviceExtension.exe) from the Microsoft Download Center.
  2. Executar ADRMS.MobileDeviceExtension.exe para iniciar o Assistente de Configuração de Extensão de Dispositivo Móvel dos Serviços de Gestão de Direitos do Diretório Ativo.Run ADRMS.MobileDeviceExtension.exe to start the Active Directory Rights Management Services Mobile Device Extension Setup Wizard. Quando solicitado, introduza o URL do servidor AD FS que configuraste anteriormente.When prompted, enter the URL of the AD FS server that you configured previously.
  3. Conclua o assistente.Complete the wizard.

Coloque este assistente em todos os nós do seu cluster RMS.Run this wizard on all the nodes in your RMS cluster.

Se tiver um servidor proxy entre o cluster AD RMS e os servidores AD FS, por padrão, o seu cluster AD RMS não poderá entrar em contacto com o serviço federado.If you have a proxy server between the AD RMS cluster and the AD FS servers, by default, your AD RMS cluster will not be able to contact the federated service. Quando isso acontecer, a AD RMS não poderá verificar o token que é recebido do cliente móvel e rejeitará o pedido.When this happens, AD RMS will be unable to verify the token that is received from the mobile client and will reject the request. Se tiver um servidor proxy que bloqueie esta comunicação, tem de atualizar o ficheiro web.config a partir do website de extensão de dispositivos móveis AD RMS, para que o AD RMS possa contornar o servidor proxy quando necessitar de contactar os servidores AD FS.If you have proxy server that blocks this communication, you must update the web.config file from the AD RMS mobile device extension website, so that AD RMS can bypass the proxy server when it needs to contact the AD FS servers.

Atualizar as definições de procuração para a extensão do dispositivo móvel AD RMSUpdating proxy settings for the AD RMS mobile device extension

  1. Abra o ficheiro web.config que está localizado em \Program Files\Ative Directory Rights Management Services Mobile Device Extension\Web Service.Open the web.config file that is located in \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Adicione o seguinte nó ao ficheiro:Add the following node to the file:

   <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>
  1. Faça as seguintes alterações e guarde o ficheiro:Make the following changes, and then save the file:
  • <proxy-server>Substitua-o pelo nome ou endereço do seu servidor proxy.Replace <proxy-server> with the name or address of your proxy server.

  • <port>Substitua-o pelo número de porta que o servidor proxy está configurado para utilizar.Replace <port> with the port number that the proxy server is configured to use.

  • <AD FS URL>Substitua-o pelo URL do serviço da federação.Replace <AD FS URL> with the URL of the federation service. Não inclua o prefixo HTTP.Do not include the HTTP prefix.

    Nota

    Para saber mais sobre a sobreposição das definições de procuração, consulte a documentação de Configuração proxy.To learn more about overriding the proxy settings, see Proxy Configuration documentation.

  1. Reinicie o IIS, por exemplo, executando o iisreset como administrador a partir de uma solicitação de comando.Reset IIS, for example, by running iisreset as an administrator from a command prompt.

Repita este procedimento em todos os nós do seu cluster RMS.Repeat this procedure on all the nodes in your RMS cluster.

Consulte tambémSee Also

Saiba mais sobre a Azure Information Protection, entre em contacto com outros clientes da AIP e com os gestores de produtos AIP utilizando o grupo API yammer.Find out more about Azure Information Protection, make contact with other AIP customers, and with AIP product managers using the API yammer group.

""