Active Directory Rights Management Services Mobil Cihaz Uzantısı
Active Directory Rights Management Services (AD RMS) mobil cihaz uzantısını Microsoft İndirme Merkezi'nden indirebilir ve bu uzantıyı mevcut BIR AD RMS dağıtımının üzerine yükleyebilirsiniz. Bu, kullanıcıların cihazları en son API kullanan uygulamaları desteklediğinde hassas verileri korumalarına ve kullanmalarına olanak tanır. Örneğin, kullanıcılar mobil cihazlarında aşağıdakileri yapabilir:
- Korumalı metin dosyalarını farklı biçimlerde (.txt, .csv ve .xml dahil) kullanmak için Azure Information Protection uygulamasını kullanın.
- Korumalı görüntü dosyalarını (.jpg, .gif ve .tif dahil) kullanmak için Azure Information Protection uygulamasını kullanın.
- Genel olarak korunan herhangi bir dosyayı (.pfile biçimi) açmak için Azure Information Protection uygulamasını kullanın.
- Pdf kopyası (.pdf ve .ppdf biçimi) olan bir Office dosyasını (Word, Excel, PowerPoint) açmak için Azure Information Protection uygulamasını kullanın.
- Korumalı e-posta iletilerini (.rpmsg) ve korumalı PDF dosyalarını Microsoft SharePoint'te açmak için Azure Information Protection uygulamasını kullanın.
- Platformlar arası görüntüleme için veya AIP kullanan herhangi bir uygulamayla korunan PDF dosyalarını açmak için AIP özellikli bir PDF görüntüleyici kullanın.
- MIP SDK'sı kullanılarak yazılmış dahili olarak geliştirilmiş AIP özellikli uygulamalarınızı kullanın.
Dekont
Azure Information Protection uygulamasını Microsoft web sitesinin Microsoft Rights Management sayfasından indirebilirsiniz. Mobil cihaz uzantısıyla desteklenen diğer uygulamalar hakkında bilgi için bu belgedeki Uygulamalar sayfasındaki tabloya bakın. RMS'nin desteklediği farklı dosya türleri hakkında daha fazla bilgi için Rights Management özellikli paylaşım uygulaması yönetici kılavuzunun Desteklenen dosya türleri ve dosya adı uzantıları bölümüne bakın.
Önemli
Mobil cihaz uzantısını yüklemeden önce önkoşulları okuduğunuzdan ve yapılandırdığınızdan emin olun.
Ek bilgi için Microsoft İndirme Merkezi'nden "Microsoft Azure Information Protection" teknik incelemesini ve bunlara eşlik eden betikleri indirin.
AD RMS mobil cihaz uzantısı için önkoşullar
AD RMS mobil cihaz uzantısını yüklemeden önce aşağıdaki bağımlılıkların bulunduğundan emin olun.
| Gereksinim | Daha fazla bilgi |
|---|---|
| Windows Server 2019, 2016, 2012 R2 veya 2012'de aşağıdakiler içeren mevcut bir AD RMS dağıtımı: - AD RMS kümenize İnternet'ten erişilebilir olmalıdır. - AD RMS, aynı sunucuda test için kullanılan Windows İç Veritabanı değil, ayrı bir sunucuda tam bir Microsoft SQL Server tabanlı veritabanı kullanmalıdır. - Mobil cihaz uzantısını yüklemek için kullanacağınız hesap, AD RMS için kullandığınız SQL Server örneği için sysadmin haklarına sahip olmalıdır. - AD RMS sunucuları, mobil cihaz istemcileri tarafından güvenilen geçerli bir x.509 sertifikasıyla SSL/TLS kullanacak şekilde yapılandırılmalıdır. - AD RMS sunucuları bir güvenlik duvarının arkasındaysa veya ters ara sunucu kullanılarak yayımlanıyorsa, /_wmcs klasörünü İnternet'te yayımlamaya ek olarak , /my klasörünü de yayımlamanız gerekir (örneğin: _https://RMSserver.contoso.com/my). |
AD RMS önkoşulları ve dağıtım bilgileri hakkında ayrıntılı bilgi için bu makalenin önkoşullar bölümüne bakın. |
| Windows Server'ınız üzerinde dağıtılan AD FS: - AD FS sunucu grubunuzun İnternet'ten erişilebilir olması gerekir (federasyon sunucusu proxy'lerini dağıttınız). - Form tabanlı kimlik doğrulaması desteklenmez; Windows Tümleşik Kimlik Doğrulaması kullanmalısınız Önemli: AD FS, AD RMS çalıştıran bilgisayardan ve mobil cihaz uzantısından farklı bir bilgisayar çalıştırıyor olmalıdır. |
AD FS hakkında belgeler için Windows Server kitaplığındaki Windows Server AD FS Dağıtım Kılavuzu'na bakın. AD FS, mobil cihaz uzantısı için yapılandırılmalıdır. Yönergeler için bu konunun AD RMS mobil cihaz uzantısı için AD FS'yi yapılandırma bölümüne bakın. |
| Mobil cihazların RMS sunucusundaki (veya sunuculardaki) PKI sertifikalarına güvenmesi gerekir | Sunucu sertifikalarınızı VeriSign veya Comodo gibi bir genel CA'dan satın aldığınızda, mobil cihazların bu sertifikalar için kök CA'ya zaten güvenmesi ve bu cihazların ek yapılandırma olmadan sunucu sertifikalarına güvenmesi olasıdır. Bununla birlikte, RMS için sunucu sertifikalarını dağıtmak için kendi iç CA'nızı kullanırsanız, kök CA sertifikasını mobil cihazlara yüklemek için ek adımlar uygulamanız gerekir. Bunu yapmazsanız, mobil cihazlar RMS sunucusuyla başarılı bir bağlantı kuramaz. |
| DNS'de SRV kayıtları | Şirket etki alanınızda veya etki alanlarınızda bir veya daha fazla SRV kaydı oluşturun: 1: Kullanıcıların kullanacağı her e-posta etki alanı soneki için bir kayıt oluşturma 2: RMS kümelerinizin içeriği korumak için kullandığı her FQDN için küme adı dahil olmak üzere bir kayıt oluşturma Bu kayıtlar, mobil cihazlarınız intranet üzerinden bağlanırsa intraneti içeren, bağlanan mobil cihazların kullandığı herhangi bir ağdan çözümlenebilir olmalıdır. Kullanıcılar e-posta adreslerini mobil cihazlarından sağladığında, ad RMS altyapısı mı yoksa Azure AIP mi kullanması gerektiğini belirlemek için etki alanı soneki kullanılır. SRV kaydı bulunduğunda, istemciler bu URL'ye yanıt veren AD RMS sunucusuna yönlendirilir. Kullanıcılar korumalı içeriği bir mobil cihazla tükettiğinde istemci uygulaması, içeriği koruyan kümenin URL'sindeki FQDN ile eşleşen bir kayıt (küme adı olmadan) için DNS'de arar. Cihaz daha sonra DNS kaydında belirtilen AD RMS kümesine yönlendirilir ve içeriği açmak için bir lisans alır. Çoğu durumda, RMS kümesi içeriği koruyan RMS kümesiyle aynı olur. SRV kayıtlarını belirtme hakkında bilgi için bu konudaki AD RMS mobil cihaz uzantısı için DNS SRV kayıtlarını belirtme bölümüne bakın. |
| Bu platform için MIP SDK'sı kullanılarak geliştirilen uygulamaları kullanan desteklenen istemciler. | Microsoft Azure Information Protection indirme sayfasındaki bağlantıları kullanarak kullandığınız cihazlar için desteklenen uygulamaları indirin. |
AD RMS mobil cihaz uzantısı için AD FS'yi yapılandırma
Önce AD FS'yi yapılandırmanız ve ardından kullanmak istediğiniz cihazlar için AIP uygulamasını yetkilendirmeniz gerekir.
1. Adım: AD FS'yi yapılandırmak için
- AD FS'yi AD RMS mobil cihaz uzantısını destekleyecek şekilde otomatik olarak yapılandırmak için bir Windows PowerShell betiği çalıştırabilir veya yapılandırma seçeneklerini ve değerlerini el ile belirtebilirsiniz:
- AD RMS mobil cihaz uzantısı için AD FS'yi otomatik olarak yapılandırmak için, aşağıdakileri kopyalayıp bir Windows PowerShell betik dosyasına yapıştırın ve ardından çalıştırın:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server
# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring Microsoft Rights Management Mobile Device Extension "
# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
=> issue(claim = c);
"@
# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@
# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules $AuthorizationRules
Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
- AD RMS mobil cihaz uzantısı için AD FS'yi el ile yapılandırmak için şu ayarları kullanın:
| Yapılandırma | Değer |
|---|---|
| Bağlı Olan Taraf Güveni | _api.rms.rest.com |
| Talep kuralı | Öznitelik deposu: Active Directory E-posta adresleri: E-posta adresi Kullanıcı Asıl Adı: UPN Ara Sunucu Adresi: _https://schemas.xmlsoap.org/claims/ProxyAddresses |
Bahşiş
AD RMS'nin AD FS ile örnek dağıtımına yönelik adım adım yönergeler için bkz. Active Directory Rights Management Services'ı Active Directory Federasyon Hizmetleri (AD FS) ile dağıtma.
2. Adım: Cihazlarınız için uygulamaları yetkilendirme
- Azure Information Protection uygulaması için destek eklemek üzere değişkenleri değiştirdikten sonra aşağıdaki Windows PowerShell komutunu çalıştırın. Her iki komutu da gösterilen sırayla çalıştırdığınızdan emin olun:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
PowerShell Örneği
Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Azure Information Protection birleşik etiketleme istemcisi için, cihazlarınızda Azure Information Protection istemcisi için destek eklemek üzere aşağıdaki Windows PowerShell komutunu çalıştırın:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
- Üçüncü taraf ürünler için Windows 2016 ve 2019 ve ADRMS MDE'de ADFS'yi desteklemek için aşağıdaki Windows PowerShell komutunu çalıştırın:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Windows Server 2012 R2 ve daha yeni sürümlerde AD FS ile HYOK veya AD RMS korumalı içerik kullanmak üzere Windows, Mac, mobil ve Office Mobile'da AIP istemcisini yapılandırmak için aşağıdakileri kullanın:
- Mac cihazları için (RMS sharing uygulamasını kullanarak) her iki komutu da gösterilen sırayla çalıştırdığınızdan emin olun:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- iOS cihazları için (Azure Information Protection uygulamasını kullanarak) her iki komutu da gösterilen sırayla çalıştırdığınızdan emin olun:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Android cihazlar için (Azure Information Protection uygulamasını kullanarak) her iki komutu da gösterilen sırayla çalıştırdığınızdan emin olun:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Cihazlarınızda Microsoft Office uygulaması desteği eklemek için aşağıdaki PowerShell komutlarını çalıştırın:
- Mac, iOS, Android cihazlar için (her iki komutu da gösterilen sırayla çalıştırdığınızdan emin olun):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"
Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
AD RMS mobil cihaz uzantısı için DNS SRV kayıtlarını belirtme
Kullanıcılarınızın kullandığı her e-posta etki alanı için DNS SRV kayıtları oluşturmanız gerekir. Tüm kullanıcılarınız tek bir üst etki alanındaki alt etki alanlarını kullanıyorsa ve bu bitişik ad alanındaki tüm kullanıcılar aynı RMS kümesini kullanıyorsa, üst etki alanında yalnızca bir SRV kaydı kullanabilirsiniz ve RMS uygun DNS kayıtlarını bulur.
SRV kayıtları aşağıdaki biçime sahiptir: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>
Dekont
Bağlantı noktası numarası> için <443 belirtin. DNS'de farklı bir bağlantı noktası numarası belirtebilseniz de, mobil cihaz uzantısını kullanan cihazlar her zaman 443 kullanır.
Örneğin, kuruluşunuzun aşağıdaki e-posta adreslerine sahip kullanıcıları varsa:
- _user@contoso.com
- _user@sales.contoso.com
- _user@fabrikam.com _contoso.com için _rmsserver.contoso.com adlı kümeden farklı bir RMS kümesi kullanan başka alt etki alanı yoksa, şu değerlere sahip iki DNS SRV kaydı oluşturun:
- _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
- _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com
Windows Server'da DNS Sunucusu rolünü kullanıyorsanız, DNS Yöneticisi konsolunda SRV kayıt özellikleri için kılavuz olarak aşağıdaki tabloları kullanın:
| Alan | Değer |
|---|---|
| Domain | _tcp.contoso.com |
| Service | _rmsdisco |
| Protokol | _http |
| Öncelik | 0 |
| Weight | 0 |
| Bağlantı noktası numarası | 443 |
| Bu hizmeti sunan konak | _rmsserver.contoso.com |
| Alan | Değer |
|---|---|
| Domain | _tcp.fabrikam.com |
| Service | _rmsdisco |
| Protokol | _http |
| Öncelik | 0 |
| Weight | 0 |
| Bağlantı noktası numarası | 443 |
| Bu hizmeti sunan konak | _rmsserver.contoso.com |
E-posta etki alanınız için bu DNS SRV kayıtlarına ek olarak, RMS kümesi etki alanında başka bir DNS SRV kaydı oluşturmanız gerekir. Bu kayıt, RMS kümenizin içeriği koruyan FQDN'lerini belirtmelidir. RMS tarafından korunan her dosya, bu dosyayı koruyan kümenin URL'sini içerir. Mobil cihazlar, mobil cihazları destekleyebilecek ilgili RMS kümesini bulmak için kayıtta belirtilen DNS SRV kaydını ve URL FQDN'sini kullanır.
Örneğin, RMS kümeniz _rmsserver.contoso.com ise, şu değerlere sahip bir DNS SRV kaydı oluşturun: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
Windows Server'da DNS Sunucusu rolünü kullanıyorsanız, DNS Yöneticisi konsolunda SRV kayıt özellikleri için kılavuz olarak aşağıdaki tabloyu kullanın:
| Alan | Değer |
|---|---|
| Domain | _tcp.contoso.com |
| Service | _rmsdisco |
| Protokol | _http |
| Öncelik | 0 |
| Weight | 0 |
| Bağlantı noktası numarası | 443 |
| Bu hizmeti sunan konak | _rmsserver.contoso.com |
AD RMS mobil cihaz uzantısını dağıtma
AD RMS mobil cihaz uzantısını yüklemeden önce, önceki bölümde yer alan önkoşulların yerine getirildiğinden ve AD FS sunucunuzun URL'sini bildiğinizden emin olun. Ardından şunları yapın:
- AD RMS mobil cihaz uzantısını (ADRMS) indirin. MobileDeviceExtension.exe) öğesini Microsoft İndirme Merkezi'nden alın.
- ADRMS'i çalıştırın . Active Directory Rights Management Services Mobil Cihaz Uzantısı Kurulum Sihirbazı'nı başlatmak için MobileDeviceExtension.exe . İstendiğinde, daha önce yapılandırdığınız AD FS sunucusunun URL'sini girin.
- Sihirbazı tamamlayın.
Rms kümenizdeki tüm düğümlerde bu sihirbazı çalıştırın.
AD RMS kümesi ile AD FS sunucuları arasında bir proxy sunucunuz varsa, varsayılan olarak AD RMS kümeniz federasyon hizmetine başvuramaz. Bu durumda AD RMS, mobil istemciden alınan belirteci doğrulayamaz ve isteği reddeder. Bu iletişimi engelleyen ara sunucunuz varsa AD RMS mobil cihaz uzantısı web sitesinden web.config dosyasını güncelleştirmeniz gerekir; böylece AD RMS, AD FS sunucularına başvurması gerektiğinde ara sunucuyu atlayabilir.
AD RMS mobil cihaz uzantısı için ara sunucu ayarlarını güncelleştirme
\Program Files\Active Directory Rights Management Services Mobil Cihaz Uzantısı\Web Hizmeti'nde bulunan web.config dosyasını açın.
Dosyaya aşağıdaki düğümü ekleyin:
<system.net> <defaultProxy> <proxy proxyaddress="http://<proxy server>:<port>" bypassonlocal="true" /> <bypasslist> <add address="<AD FS URL>" /> </bypasslist> </defaultProxy> <system.net>Aşağıdaki değişiklikleri yapın ve dosyayı kaydedin:
- proxy-server değerini proxy sunucunuzun> adı veya adresiyle değiştirin<.
- Bağlantı noktasını>, ara sunucunun kullanmak üzere yapılandırıldığı bağlantı noktası numarasıyla değiştirin<.
- AD FS URL'sini> federasyon hizmetinin URL'si ile değiştirin<. HTTP ön ekini eklemeyin.
Dekont
Ara sunucu ayarlarını geçersiz kılma hakkında daha fazla bilgi edinmek için Ara Sunucu Yapılandırması belgelerine bakın.
Iisreset'i bir komut isteminden yönetici olarak çalıştırarak IIS'yi sıfırlayın.
RMS kümenizdeki tüm düğümlerde bu yordamı yineleyin.
Ayrıca bkz:
Azure Information Protection hakkında daha fazla bilgi edinin, api yammer grubunu kullanarak diğer AIP müşterileri ve AIP ürün yöneticileriyle iletişim kurun.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin