Active Directory Rights Management Services mobil cihaz uzantısı

*Uygulama hedefi: Windows Server 2019, 2016, 2012 R2 ve 2012 *

İlgili: AIP birleştirilmiş etiketleme istemcisi ve klasik istemci

Not

Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure portalındaki Azure Information Protection Klasik istemci ve etiket yönetimi 31 Mart 2021 itibarıyla kullanım dışıdır . Klasik istemci yapılandırıldığı şekilde çalışmaya devam ederken, başka bir destek sağlanmaz ve artık klasik istemci için bakım sürümleri yayınlanmayacaktır.

Birleşik etiketlemeye geçiş yapmanızı ve Birleşik etiketleme istemcisineyükseltmenizi öneririz. Son kullanımdan kaldırma blogumuzhakkında daha fazla bilgi edinin.

Active Directory Rights Management Services (AD RMS) mobil cihaz uzantısını Microsoft Indirme merkezi ' nden indirebilir ve bu uzantıyı mevcut bir AD RMS dağıtımının üzerine yükleyebilirsiniz. Bu, kullanıcıların cihazları en son API kullanan uygulamaları desteklediğinde hassas verileri korumasına ve kullanmasına olanak sağlar. Örneğin, kullanıcılar şunları yapabilir:

  • Korunan metin dosyalarını farklı biçimlerde (. txt,. csv ve. xml dahil) kullanmak için Azure Information Protection uygulamasını kullanın.
  • Korunan görüntü dosyalarını (. jpg,. gif ve. tif dahil) kullanmak için Azure Information Protection uygulamasını kullanın.
  • Genel korumalı (. Pfile biçimi) herhangi bir dosyayı açmak için Azure Information Protection uygulamasını kullanın.
  • PDF kopyası (. PDF ve. ppdf biçimi) olan bir Office dosyasını (Word, Excel, PowerPoint) açmak için Azure Information Protection uygulamasını kullanın.
  • Korumalı e-posta iletilerini (. rpmsg) ve korumalı PDF dosyalarını Microsoft SharePoint üzerinde açmak için Azure Information Protection uygulamasını kullanın.
  • Platformlar arası görüntüleme için veya AıP kullanan herhangi bir uygulamayla korunan PDF dosyalarını açmak için AıP kullanan bir PDF görüntüleyici kullanın.
  • MıP SDKkullanılarak yazılmış, dahili olarak GELIŞTIRILEN ve IP kullanan uygulamaları kullanın.

Not

Azure Information Protection uygulamasını Microsoft Web sitesinin microsoft Rights Management sayfasından indirebilirsiniz. Mobil cihaz uzantısıyla desteklenen diğer uygulamalar hakkında daha fazla bilgi için, bu belgelerden uygulamalar sayfasındaki tabloya bakın. RMS 'nin desteklediği farklı dosya türleri hakkında daha fazla bilgi için, Rights Management paylaşım uygulaması Yönetici Kılavuzu ' ndan Desteklenen dosya türleri ve dosya adı uzantıları bölümüne bakın.

Önemli

Mobil cihaz uzantısını yüklemeden önce önkoşulları okuduğunuzdan ve yapılandırmadığınızdan emin olun.

Daha fazla bilgi için, Microsoft Indirme merkezi'nden "Microsoft Azure Information Protection" teknik incelemesini ve eşlik eden betikleri indirin.

AD RMS mobil cihaz uzantısı önkoşulları

AD RMS mobil cihaz uzantısını yüklemeden önce aşağıdaki bağımlılıkların yerinde olduğundan emin olun.

Gereksinim Daha fazla bilgi
Windows Server 2019, 2016, 2012 R2 veya 2012 üzerinde şunları içeren mevcut bir AD RMS dağıtımı:

-AD RMS kümenizin Internet 'ten erişilebilir olması gerekir.

-AD RMS, aynı sunucuda test için kullanılan Windows Iç veritabanı değil, ayrı bir sunucuda tam Microsoft SQL Server tabanlı bir veritabanı kullanıyor olmalıdır.

-Mobil cihaz uzantısını yüklemek için kullanacağınız hesabın, AD RMS için kullandığınız SQL Server örneği için sysadmin haklarına sahip olması gerekir.

-AD RMS sunucularının, mobil cihaz istemcileri tarafından güvenilen geçerli bir x. 509.440 sertifikasıyla SSL/TLS kullanacak şekilde yapılandırılması gerekir.

-AD RMS sunucuları bir güvenlik duvarının arkasındaysa veya ters proxy kullanılarak yayımladıysanız, /_wmcs klasörünü Internet 'te yayımlamaya ek olarak,/sorunum klasörünü de yayımlamanız gerekir (örneğin: _HTTPS: / / RMSserver.contoso.com/My).
AD RMS Önkoşulları ve dağıtım bilgileri hakkında daha fazla bilgi için bu makalenin Önkoşullar bölümüne bakın.
AD FS Windows Server 'a dağıtıldı:

-AD FS sunucusu grubunuz Internet 'ten erişilebilir olmalıdır (Federasyon sunucusu proxy 'leri dağıttıysanız).

-Form tabanlı kimlik doğrulaması desteklenmez; Windows tümleşik kimlik doğrulaması kullanmanız gerekir

Önemli: AD FS, AD RMS ve mobil cihaz uzantısı çalıştıran bilgisayardan farklı bir bilgisayar çalıştırıyor olmalıdır.
AD FS hakkındaki belgeler için Windows Server kitaplığı 'nda Windows server AD FS dağıtım kılavuzu ' na bakın.

Mobil cihaz uzantısı için AD FS yapılandırılması gerekir. Yönergeler için, bu konudaki AD RMS mobil cihaz uzantısı için AD FS yapılandırma bölümüne bakın.
Mobil cihazların RMS sunucusundaki (veya sunucularındaki) PKI sertifikalarına güvenmesi gerekir Sunucu sertifikalarınızı VeriSign veya Comodo gibi genel bir CA 'dan satın aldığınızda, bu cihazların ek yapılandırma olmadan sunucu sertifikalarına güvenmesi için mobil cihazların bu sertifikaların kök CA 'sına zaten güveneceği olasıdır.

Ancak, RMS için sunucu sertifikalarını dağıtmak üzere kendi iç SERTIFIKA yetkilinizi kullanırsanız, kök CA sertifikasını mobil cihazlara yüklemek için ek adımlar gerçekleştirmeniz gerekir. Bunu yapmazsanız, mobil cihazlar RMS sunucusuyla başarılı bir bağlantı oluşturamayacak.
DNS 'de SRV kayıtları Şirket etki alanı veya etki alanlarında bir veya daha fazla SRV kaydı oluşturun:

1: kullanıcıların kullanacağı her bir e-posta etki alanı soneki için bir kayıt oluşturun

2: RMS kümeleriniz tarafından, küme adını dahil değil içeriği korumak için kullanılan her FQDN için bir kayıt oluşturun

Bu kayıtlar, bağlanan mobil cihazların kullandığı herhangi bir ağdan çözümlenebilmelidir, bu da mobil cihazlarınız Intranet aracılığıyla bağlanıyorsa intranet 'i içerir.

Kullanıcılar kendi e-posta adreslerini mobil cihazlarından sunduklarında, etki alanı son eki, bir AD RMS altyapısı mı yoksa Azure AıP mi kullanılacağını belirlemek için kullanılır. SRV kaydı bulunduğunda, istemciler bu URL 'ye yanıt veren AD RMS sunucusuna yeniden yönlendirilir.

Kullanıcılar bir mobil cihazla korunan içeriği tükettiği zaman, istemci uygulaması, içeriği koruyan kümenin URL 'sindeki FQDN ile eşleşen bir kayıt için DNS 'e bakar (küme adı olmadan). Daha sonra cihaz, DNS kaydında belirtilen AD RMS kümesine yönlendirilir ve içeriği açmak için bir lisans alır. Çoğu durumda, RMS kümesi, içeriği koruyan RMS kümesi olacaktır.

SRV kayıtlarının nasıl belirtileceği hakkında daha fazla bilgi için, bu konudaki AD RMS mobil cihaz uzantısı IÇIN DNS SRV kayıtlarını belirtme bölümüne bakın.
Bu platform için MıP SDK kullanılarak geliştirilen uygulamaları kullanan desteklenen istemciler. Microsoft Azure Information Protection indirme sayfasındaki bağlantıları kullanarak kullandığınız cihazlar için desteklenen uygulamaları indirin.

AD RMS mobil cihaz uzantısı için AD FS yapılandırma

Önce AD FS yapılandırmalı ve ardından kullanmak istediğiniz cihazlar için AıP uygulamasını yetkilendirmelisiniz.

1. Adım: AD FS yapılandırmak Için

  • AD RMS mobil cihaz uzantısını desteklemek için AD FS otomatik olarak yapılandırmak üzere bir Windows PowerShell betiği çalıştırabilir veya yapılandırma seçeneklerini ve değerlerini el ile belirtebilirsiniz:
    • AD RMS mobil cihaz uzantısı için AD FS otomatik olarak yapılandırmak için, aşağıdakileri kopyalayıp bir Windows PowerShell betik dosyasına yapıştırın ve çalıştırın:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • AD RMS mobil cihaz uzantısı için AD FS el ile yapılandırmak için şu ayarları kullanın:
Yapılandırma Değer
Bağlı olan taraf güveni _api. RMS. Rest. com
Talep kuralı Öznitelik deposu: Active Directory

E-posta adresleri: e-posta adresi

Kullanıcı-asıl-adı: UPN

Proxy-adres: _https: / /schemas.xmlsoap.org/Claims/proxyAddresses

İpucu

AD FS AD RMS örnek bir dağıtımına yönelik adım adım yönergeler için, bkz. Active Directory Rights Management Services dağıtma Active Directory Federasyon Hizmetleri (AD FS).

2. Adım: cihazlarınıza yönelik uygulamaları yetkilendirme

  • Azure Information Protection uygulaması için destek eklemek üzere değişkenleri değiştirdikten sonra aşağıdaki Windows PowerShell komutunu çalıştırın. Her iki komutu da gösterilen sırayla çalıştırmayı unutmayın:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

PowerShell örneği

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Azure Information Protection Birleşik etiketleme istemcisi için, cihazlarınıza Azure Information Protection istemci desteği eklemek Için aşağıdaki Windows PowerShell komutunu çalıştırın:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Windows 2016 ve 2019 üzerinde ADFS 'yi ve üçüncü taraf ürünleri Için ADRMS MDE 'Yi desteklemek için aşağıdaki Windows PowerShell komutunu çalıştırın:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Windows Server 2012 R2 ve daha yeni bir sürümü AD FS ile AD RMS kullanmak için Windows, Mac, mobil ve Office Mobile 'da AIP istemcisini yapılandırmak için, aşağıdakileri kullanın:

  • Mac cihazlar için (RMS sharing uygulamasını kullanarak) her iki komutu da gösterilen sırayla çalıştırdığınızdan emin olun:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • İOS cihazlarında (Azure Information Protection uygulamasını kullanarak) her iki komutu da gösterilen sırayla çalıştırmayı unutmayın:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Android cihazlarda (Azure Information Protection uygulamasını kullanarak) her iki komutu da gösterilen sırayla çalıştırmayı unutmayın:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Cihazlarınızda Microsoft Office uygulamalar için destek eklemek üzere aşağıdaki PowerShell komutlarını çalıştırın:

  • Mac, iOS, Android cihazlar için (her iki komutu da gösterilen sırayla çalıştırdığınızdan emin olun):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

AD RMS mobil cihaz uzantısı için DNS SRV kayıtlarını belirtme

Kullanıcılarınızın kullandığı her bir e-posta etki alanı için DNS SRV kayıtları oluşturmalısınız. Tüm kullanıcılarınız tek bir üst etki alanından alt etki alanları kullanıyorsa ve bu bitişik ad alanındaki tüm kullanıcılar aynı RMS kümesini kullanıyorsa, üst etki alanında yalnızca bir SRV kaydı kullanabilirsiniz ve RMS uygun DNS kayıtlarını bulur. SRV kayıtları aşağıdaki biçimdedir: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Not

İçin 443 belirtin <portnumber> . , DNS 'de farklı bir bağlantı noktası numarası belirtebilse de, mobil cihaz uzantısını kullanan cihazlar her zaman 443 kullanır.

Örneğin, kuruluşunuzda şu e-posta adreslerine sahip kullanıcılar varsa:

  • _user@contoso.com
  • _user@sales.contoso.com
  • _user@fabrikam.com _Contoso. com için _rmsserver. contoso. com adlı farklı bir RMS kümesi kullanan başka bir alt etki alanı yoksa, bu değerlere sahip iki DNS SRV kaydı oluşturun:
  • _rmsdisco _rmsdisco._HTTP _rmsdisco._HTTP._tcp. contoso. com 443 _rmsserver. contoso. com
  • _rmsdisco _rmsdisco._HTTP _rmsdisco._HTTP._tcp. fabrikam. com 443 _rmsserver. contoso. com

Windows Server 'da DNS sunucusu rolünü kullanıyorsanız, DNS Yöneticisi konsolundaki SRV kaydı özellikleri için bir kılavuz olarak aşağıdaki tabloları kullanın:

Alan Değer
Etki alanı _tcp. contoso. com
Hizmet _rmsdisco
Protokol _http
Öncelik 0
Ağırlık 0
Bağlantı noktası numarası 443
Bu hizmeti sunan konak _rmsserver. contoso. com
Alan Değer
Etki alanı _tcp. fabrikam. com
Hizmet _rmsdisco
Protokol _http
Öncelik 0
Ağırlık 0
Bağlantı noktası numarası 443
Bu hizmeti sunan konak _rmsserver. contoso. com

E-posta etki alanınız için bu DNS SRV kayıtlarına ek olarak, RMS küme etki alanında başka bir DNS SRV kaydı oluşturmanız gerekir. Bu kayıt, RMS kümenizin içeriğini koruyan FQDN 'leri belirtmelidir. RMS tarafından korunan her dosya, bu dosyayı koruyan kümeye bir URL içerir. Mobil cihazlar, mobil cihazları destekleyebilen ilgili RMS kümesini bulmak için DNS SRV kaydını ve kayıt içinde belirtilen URL FQDN 'sini kullanır.

Örneğin, RMS kümeniz _rmsserver. contoso. com ise, aşağıdaki değerlere sahıp bır DNS SRV kaydı oluşturun: _rmsdisco. _HTTP. _tcp. contoso. com 443 _rmsserver. contoso. com

Windows Server 'da DNS sunucusu rolünü kullanıyorsanız, DNS Yöneticisi konsolundaki SRV kaydı özellikleri için bir kılavuz olarak aşağıdaki tabloyu kullanın:

Alan Değer
Etki alanı _tcp. contoso. com
Hizmet _rmsdisco
Protokol _http
Öncelik 0
Ağırlık 0
Bağlantı noktası numarası 443
Bu hizmeti sunan konak _rmsserver. contoso. com

AD RMS mobil cihaz uzantısını dağıtma

AD RMS mobil cihaz uzantısını yüklemeden önce, yukarıdaki bölümden gelen önkoşulların yerinde olduğundan ve AD FS sunucunuzun URL 'sini bildiğinize emin olun. Ardından şunları yapın:

  1. AD RMS mobil cihaz uzantısı 'nı (ADRMS.MobileDeviceExtension.exe) Microsoft Indirme Merkezi ' nden indirin.
  2. Active Directory Rights Management Services mobil cihaz uzantısı Kurulum Sihirbazı 'Nı başlatmak için ADRMS.MobileDeviceExtension.exe çalıştırın. İstendiğinde, daha önce yapılandırdığınız AD FS sunucusunun URL 'sini girin.
  3. Sihirbazı tamamlayın.

Bu Sihirbazı RMS kümenizdeki tüm düğümlerde çalıştırın.

AD RMS kümesi ve AD FS sunucuları arasında bir ara sunucunuz varsa, varsayılan olarak AD RMS kümeniz federe hizmetle iletişim kuramayacak. Bu durumda AD RMS, mobil istemciden alınan belirteci doğrulayamayacak ve isteği reddedecektir. Bu iletişimi engelleyen ara sunucu varsa, AD RMS AD FS sunucularıyla iletişim kurabilmesi gerektiğinde proxy sunucusunu atlayabilmesi için, web.config dosyayı AD RMS mobil cihaz uzantısı Web sitesinden güncelleştirmeniz gerekir.

AD RMS mobil cihaz uzantısı için ara sunucu ayarları güncelleştiriliyor

  1. \Program Files\Active Directory Rights Management Services mobil cihaz Extension\Web Service dizininde bulunan web.config dosyasını açın.

  2. Aşağıdaki düğümü dosyasına ekleyin:

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. Aşağıdaki değişiklikleri yapın ve dosyayı kaydedin:

    • <proxy-server>Proxy sunucunuzun adı veya adresiyle değiştirin.
    • <port>Proxy sunucusunun kullanmak üzere yapılandırıldığı bağlantı noktası numarasıyla değiştirin.
    • <AD FS URL>Federasyon HIZMETININ URL 'siyle değiştirin. HTTP önekini eklemeyin.

    Not

    Proxy ayarlarını geçersiz kılma hakkında daha fazla bilgi için bkz. proxy yapılandırması belgeleri.

  4. Örneğin, komut isteminden IISReset komutunu yönetici olarak çalıştırarak IIS 'yi sıfırlayın.

Bu yordamı RMS kümenizdeki tüm düğümlerde yineleyin.

Ayrıca Bkz.

Azure Information Protection hakkında daha fazla bilgi edinin, diğer AıP müşterileri ile ve API Yammer grubunukullanarak AIP ürün yöneticileriyle iletişim kurun.