Расширение служб Active Directory Rights Management для мобильных устройств

*Область применения: Windows Server 2019, 2016, 2012 R2 и 2012 *

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Вы можете скачать расширение службы Active Directory Rights Management (AD RMS) для мобильных устройств из центра загрузки Майкрософт и установить это расширение поверх существующего развертывания AD RMS. Это позволяет пользователям защищать и использовать конфиденциальные данные, когда их устройства поддерживают новейшие приложения API-поддержкой. Например, пользователи могут выполнять следующие действия:

  • Используйте приложение Azure Information Protection для использования защищенных текстовых файлов в различных форматах (включая txt, CSV и XML).
  • Используйте приложение Azure Information Protection для использования файлов защищенных изображений (включая jpg, GIF и TIF).
  • Используйте приложение Azure Information Protection, чтобы открыть любой файл с универсальной защитой (PFILE Format).
  • Используйте приложение Azure Information Protection, чтобы открыть файл Office (Word, Excel, PowerPoint), который является PDF-копией (формат PDF и ppdf).
  • Используйте приложение Azure Information Protection, чтобы открыть защищенные сообщения электронной почты (rpmsg) и защищенные PDF-файлы в Microsoft SharePoint.
  • Используйте средство поддержкой PDF Viewer для межплатформенного просмотра или для открытия файлов PDF, которые были защищены с помощью любого приложения с АДМИНИСТРАТИВным поддержкой.
  • Используйте приложения, разработанные внутри поддержкой, которые были написаны с помощью пакета SDK для MIP.

Примечание

Приложение Azure Information Protection можно загрузить на странице microsoft Rights Management веб-сайта Майкрософт. Сведения о других приложениях, поддерживаемых расширением мобильных устройств, см. в таблице на странице приложений в этой документации. Дополнительные сведения о различных типах файлов, поддерживаемых RMS, см. в разделе Поддерживаемые типы файлов и расширения имен файлов статьи администратор приложения Rights Managementного доступа.

Важно!

Перед установкой расширения для мобильных устройств обязательно прочтите и настройте необходимые компоненты.

Для получения дополнительных сведений загрузите Технический документ "Microsoft Azure Information Protection" и сопутствующие сценарии из центра загрузки Майкрософт.

Необходимые условия для расширения AD RMS для мобильных устройств

Перед установкой расширения AD RMS мобильных устройств убедитесь в наличии следующих зависимостей.

Требование Дополнительные сведения
Существующее развертывание AD RMS в Windows Server 2019, 2016, 2012 R2 или 2012, которое включает в себя следующее:

-Ваш кластер AD RMS должен быть доступен через Интернет.

-AD RMS должны использовать полную базу данных на основе Microsoft SQL Server на отдельном сервере, а не внутреннюю базу данных Windows, которая часто используется для тестирования на том же сервере.

— Учетная запись, которая будет использоваться для установки расширения мобильного устройства, должна иметь права sysadmin для экземпляра SQL Server, который используется для AD RMS.

— AD RMS серверы должны быть настроены для использования SSL/TLS с действительным сертификатом x. 509, который является доверенным для клиентов мобильных устройств.

— Если AD RMS серверы находятся за брандмауэром или опубликованы с помощью обратных прокси-серверов, помимо публикации папки /_wmcs в Интернете, необходимо также опубликовать папку/My (например, _https: / / RMSserver.contoso.com/My).
Дополнительные сведения о AD RMS предварительных требованиях и сведениях о развертывании см. в разделе "предварительные требования" этой статьи.
AD FS, развернутые на сервере Windows Server:

— Ферма серверов AD FS должна быть доступна из Интернета (вы развернули прокси-серверы федерации).

— Проверка подлинности на основе форм не поддерживается; необходимо использовать встроенную проверку подлинности Windows

Важно. AD FS должен работать на компьютере, отличном от компьютера с AD RMS и расширением мобильного устройства.
Документацию по AD FS см. в руководстве по развертыванию Windows server AD FS в библиотеке Windows Server.

AD FS должны быть настроены для расширения для мобильных устройств. Инструкции см. в разделе настройка AD FS для расширения "AD RMS мобильного устройства" этой статьи.
Мобильные устройства должны доверять PKI-сертификатам на сервере RMS (или серверах). При покупке сертификатов сервера из общедоступного центра сертификации, например VeriSign или Comodo, скорее всего, мобильные устройства уже будут доверять корневому ЦС для этих сертификатов, чтобы эти устройства доверяли сертификатам сервера без дополнительных настроек.

Однако при использовании собственного внутреннего ЦС для развертывания сертификатов сервера для RMS необходимо выполнить дополнительные действия по установке сертификата корневого ЦС на мобильных устройствах. Если этого не сделать, то мобильные устройства не смогут установить успешное подключение к серверу RMS.
Записи SRV в DNS Создайте одну или несколько записей SRV в домене или доменах компании:

1: Создайте запись для каждого суффикса домена электронной почты, который будут использовать пользователи.

2. Создайте запись для каждого полного доменного имени, используемого кластерами RMS для защиты содержимого, не включая имя кластера.

Эти записи должны быть разрешены из любой сети, используемой для подключения мобильных устройств, которая включает интрасеть, если мобильные устройства подключаются через интрасеть.

Когда пользователи получают свой адрес электронной почты с мобильного устройства, суффикс домена используется для указания того, следует ли использовать AD RMSную инфраструктуру или АДМИНИСТРАТИВную среду Azure. Когда запись SRV обнаруживается, клиенты перенаправляются на сервер AD RMS, который отвечает на этот URL-адрес.

Когда пользователи используют защищенное содержимое с мобильным устройством, клиентское приложение ищет в DNS запись, совпадающую с полным доменным именем в URL-адресе кластера, который защищает содержимое (без имени кластера). Затем это устройство направляется в кластер AD RMS, указанный в записи DNS, и получает лицензию для открытия контента. В большинстве случаев этот кластер RMS совпадает с кластером RMS, который защитил контент.

Сведения о том, как указать записи SRV, см. в разделе Указание записей DNS SRV для расширения AD RMS мобильного устройства этой статьи.
Поддерживаемые клиенты используют приложения, разработанные с помощью пакета SDK MIP для этой платформы. Скачайте Поддерживаемые приложения для используемых устройств, используя ссылки на странице загрузки Microsoft Azure Information Protection .

Настройка AD FS для расширения AD RMS для мобильных устройств

Сначала необходимо настроить AD FS, а затем авторизовать приложение с АДМИНИСТРАТИВным использованием для устройств, которые вы хотите использовать.

Шаг 1. Настройка AD FS

  • Вы можете запустить скрипт Windows PowerShell, чтобы автоматически настроить AD FS для поддержки расширения AD RMS для мобильных устройств, или вручную задать параметры конфигурации и значения.
    • Чтобы автоматически настроить AD FS для расширения AD RMS мобильных устройств, скопируйте и вставьте следующий текст в файл сценария Windows PowerShell, а затем запустите его:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Чтобы вручную настроить AD FS для расширения AD RMS мобильных устройств, используйте следующие параметры:
Конфигурация Значение
Отношение доверия с проверяющей стороной _api. RMS. RESTful. com
Правило утверждения Хранилище атрибутов: Active Directory

Адреса электронной почты: Электронная почта — адрес

Имя участника-пользователя: UPN

Прокси-адрес: _https: / /schemas.xmlSOAP.org/Claims/proxyAddresses

Совет

Пошаговые инструкции для примера развертывания AD RMS с AD FS см. в разделе deploying службы Active Directory Rights Management with службы федерации Active Directory (AD FS).

Шаг 2. Авторизация приложений для устройств

  • Выполните следующую команду Windows PowerShell после замены переменных, чтобы добавить поддержку для приложения Azure Information Protection . Обязательно выполните обе команды в указанном порядке:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Пример PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для Azure Information Protection клиента единой метки выполните следующую команду Windows PowerShell, чтобы добавить поддержку для клиента Azure Information Protection на устройствах:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Для поддержки ADFS в Windows 2016 и 2019 и ADRMS MDE для сторонних продуктов выполните следующую команду Windows PowerShell:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Чтобы настроить клиент АДМИНИСТРАТИВной установки в Windows, Mac, Mobile и Office mobile для использования HYOK или AD RMS защищенного содержимого с AD FS в Windows Server 2012 R2 и более поздних версий, используйте следующую команду:

  • Для устройств Mac (с помощью RMS-доступ приложения) обязательно выполните обе команды в указанном порядке:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для устройств iOS (с помощью Azure Information Protection приложения) обязательно выполните обе команды в указанном порядке:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Для устройств Android (с помощью Azure Information Protection приложения) обязательно выполните обе команды в указанном порядке:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Выполните следующие команды PowerShell, чтобы добавить поддержку Microsoft Office приложений на устройствах:

  • Для устройств Mac, iOS и Android (убедитесь, что обе команды выполняются в указанном порядке):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Указание записей SRV DNS для расширения AD RMS мобильных устройств

Вы должны создать записи SRV DNS для каждого домена электронной почты, используемого вашими пользователями. Если все пользователи используют дочерние домены из одного родительского домена и все пользователи из этого непрерывного пространства имен используют один кластер RMS, то можно использовать только одну запись SRV в родительском домене и RMS найдет соответствующие записи DNS. Записи SRV имеют следующий формат: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Примечание

Укажите 443 для <portnumber> . Хотя можно указать другой номер порта в DNS, устройства, использующие расширение мобильного устройства, всегда будут использовать 443.

Например, если в организации имеются пользователи со следующими адресами электронной почты:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com Если отсутствуют другие дочерние домены для _contoso. com, которые используют другой кластер RMS, отличный от кластера с именем _rmsserver. contoso. com, создайте две записи DNS SRV, имеющие следующие значения:
  • _rmsdisco _rmsdisco._http _rmsdisco._http._tcp. contoso. com 443 _rmsserver. contoso. com
  • _rmsdisco _rmsdisco._http _rmsdisco._http._tcp. fabrikam. com 443 _rmsserver. contoso. com

Если вы используете роль DNS-сервера в Windows Server, используйте следующие таблицы в качестве руководство по свойствам SRV-записей в консоли диспетчера DNS:

Поле Значение
Домен _tcp. contoso. com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел этой службы _rmsserver. contoso. com
Поле Значение
Домен _tcp. fabrikam. com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел этой службы _rmsserver. contoso. com

Помимо этих DNS-записей SRV для домена электронной почты, необходимо создать другую запись DNS SRV в домене кластера RMS. Эта запись должна указывать полные доменные имена кластера RMS, который защищает содержимое. Каждый файл, защищенный RMS, включает URL-адрес кластера, защитившего этот файл. Мобильные устройства используют запись SRV DNS и полное доменное имя URL-адреса, указанное в записи, для поиска соответствующего кластера RMS, который может поддерживать мобильные устройства.

Например, если кластером RMS является _rmsserver. contoso. com, создайте DNS-запись SRV со следующими значениями: _rmsdisco. _http. _tcp. contoso. com 443 _rmsserver. contoso. com .

При использовании роли DNS-сервера в Windows Server используйте следующую таблицу в качестве указания по свойствам SRV-записей в консоли диспетчера DNS.

Поле Значение
Домен _tcp. contoso. com
Служба _rmsdisco
Протокол _http
Приоритет 0
Вес 0
Номер порта 443
Узел этой службы _rmsserver. contoso. com

Развертывание расширения AD RMS для мобильных устройств

Перед установкой расширения AD RMS для мобильных устройств убедитесь, что выполнены необходимые условия из предыдущего раздела и вы знаете URL-адрес сервера AD FS. После этого выполните описанные ниже действия.

  1. Скачайте расширение AD RMS Mobile Device (ADRMS.MobileDeviceExtension.exe) из центра загрузки Майкрософт.
  2. Запустите ADRMS.MobileDeviceExtension.exe , чтобы запустить мастер установки расширения мобильного устройства службы Active Directory Rights Management. При появлении запроса введите URL-адрес сервера AD FS, настроенный ранее.
  3. Завершите работу мастера.

Запустите этот мастер на всех узлах кластера RMS.

При наличии прокси-сервера между кластером AD RMS и серверами AD FS по умолчанию кластер AD RMS не сможет связаться со службой федерации. В этом случае AD RMS не сможет проверить маркер, полученный от мобильного клиента, и отклонит запрос. Если у вас есть прокси-сервер, блокирующий это взаимодействие, необходимо обновить файл web.config на веб-сайте AD RMS расширения мобильных устройств, чтобы AD RMS мог обходить прокси-сервер при необходимости подключения к серверам AD FS.

Идет обновление параметров прокси-сервера для расширения AD RMS мобильных устройств

  1. Откройте файл web.config, который находится в папке \Program Филес\активе Directory Rights Management Services Mobile Device Екстенсион\веб Service.

  2. Добавьте в файл следующий узел:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. Внесите следующие изменения, а затем сохраните файл:

    • Замените на <proxy-server> имя или адрес прокси-сервера.
    • Замените <port> номером порта, для использования которого настроен прокси-сервер.
    • Замените на <AD FS URL> URL-адрес службы федерации. Не включайте префикс HTTP.

    Примечание

    Дополнительные сведения о переопределении параметров прокси-сервера см. в документации по настройке прокси- сервера.

  4. Сбросьте IIS, например, запустив iisreset от имени администратора из командной строки.

Повторите эту процедуру для всех узлов в кластере RMS.

См. также:

Узнайте больше о Azure Information Protection, о контактах с другими клиентами с АДМИНИСТРАТИВным членством, а также с АДМИНИСТРАТИВными менеджерами продуктов с помощью группы API Yammer.