Compartir a través de

Extensión de dispositivo móvil de Active Directory Rights Management Services

  • Artículo

Puede descargar la extensión de dispositivo móvil de Active Directory Rights Management Services (AD RMS) desde el Centro de descarga de Microsoft e instalar esta extensión encima de una implementación de AD RMS existente. Esto permite a los usuarios proteger y consumir datos confidenciales cuando su dispositivo admite las aplicaciones habilitadas para API más recientes. Por ejemplo, los usuarios pueden hacer lo siguiente en sus dispositivos móviles:

  • Usar la aplicación Azure Information Protection con el fin de consumir archivos de texto protegidos en formatos diferentes (incluidos .txt, .csv y .xml).
  • Usar la aplicación Azure Information Protection con el fin de consumir archivos de imagen protegidos (incluidos .jpg, .gif y .tif).
  • Usar la aplicación Azure Information Protection para abrir cualquier archivo protegido genéricamente (formato .pfile).
  • Usar la aplicación Azure Information Protection para abrir un archivo de Office (Word, Excel, PowerPoint) que es una copia de PDF (formato .pdf y .ppdf).
  • Usar la aplicación Azure Information Protection para abrir mensajes de correo electrónico protegidos (.rpmsg) y archivos PDF protegidos en Microsoft SharePoint.
  • Usar un visor de PDF optimizado para AIP para la visualización multiplataforma o para abrir archivos PDF protegidos con cualquier aplicación habilitada para AIP.
  • Usar aplicaciones habilitadas para AIP desarrolladas internamente que se hayan escrito con el SDK de MIP.

Nota:

Puede descargar la aplicación Azure Information Protection desde la página Microsoft Rights Management del sitio web de Microsoft. Para obtener información sobre otras aplicaciones compatibles con la extensión de dispositivo móvil, consulte la tabla de la página Aplicaciones de esta documentación. Para obtener más información sobre los distintos tipos de archivo que admite RMS, consulte la sección Tipos de archivo y extensiones de nombre de archivo compatibles de la Guía del administrador de la aplicación para uso compartido de Rights Management.

Importante

Asegúrese de leer y configurar los requisitos previos antes de instalar la extensión de dispositivo móvil.

Para obtener más información, descargue las notas del producto "Microsoft Azure Information Protection" y los scripts complementarios del Centro de descarga de Microsoft.

Requisitos previos para la extensión de dispositivo móvil de AD RMS

Antes de instalar la extensión de dispositivo móvil de AD RMS, asegúrese de que se han implementado las siguientes dependencias.

Requisito Más información
Una implementación de AD RMS existente en Windows Server 2019, 2016, 2012 R2 o 2012, que incluye lo siguiente:

- El clúster de AD RMS debe ser accesible desde Internet.

- AD RMS debe usar una base de datos completa basada en Microsoft SQL Server en un servidor independiente y no en Windows Internal Database que a menudo se usa para realizar pruebas en el mismo servidor.

- La cuenta que usará para instalar la extensión de dispositivo móvil debe tener derechos sysadmin para la instancia de SQL Server que usa para AD RMS.

- Los servidores de AD RMS deben configurarse para usar SSL/TLS con un certificado x.509 válido de confianza para los clientes de dispositivos móviles.

- Si los servidores de AD RMS están detrás de un firewall o se publican mediante un proxy inverso, además de publicar la carpeta /_wmcs en Internet, también debe publicar la carpeta /my (por ejemplo: _https://RMSserver.contoso.com/my).		 Para obtener más información sobre los requisitos previos y la implementación de AD RMS, consulte la sección requisitos previos de este artículo.
AD FS implementado en Windows Server:

- La granja de servidores de AD FS debe ser accesible desde Internet (ha implementado servidores proxy de servidor de federación).

- No se admite la autenticación basada en formularios; Debe usar la autenticación integrada de Windows

Importante: AD FS debe ejecutar un equipo diferente del equipo que ejecuta AD RMS y la extensión de dispositivo móvil.		 Para obtener documentación sobre AD FS, consulte la Guía de implementación de Windows Server AD FS en la biblioteca de Windows Server.

AD FS debe configurarse para la extensión de dispositivo móvil. Para obtener instrucciones, consulte la sección Configuración de AD FS para la extensión de dispositivo móvil de AD RMS en este tema.
Los dispositivos móviles deben confiar en los certificados PKI en el servidor RMS (o servidores) Al adquirir los certificados de servidor de una entidad emisora de certificados pública, como VeriSign o Comodo, es probable que los dispositivos móviles ya confíen en la entidad de certificación raíz para estos certificados, de modo que estos dispositivos confiarán en los certificados de servidor sin necesidad de agregar la configuración.

Sin embargo, si usa su propia entidad de certificación interna para implementar los certificados de servidor para RMS, debe realizar pasos adicionales para instalar el certificado de entidad de certificación raíz en los dispositivos móviles. Si no lo hace, los dispositivos móviles no podrán establecer una conexión correcta con el servidor RMS.
Registros SRV en DNS Cree uno o varios registros SRV en el dominio o dominios de la empresa:

1: Cree un registro para cada sufijo de dominio de correo electrónico que usarán los usuarios

2: Cree un registro para cada FQDN usado por los clústeres de RMS para proteger el contenido, sin incluir el nombre del clúster

Estos registros deben poder resolverse desde cualquier red que usen los dispositivos móviles que se conectan, lo que incluye la intranet si los dispositivos móviles se conectan a través de la intranet.

Cuando los usuarios proporcionan su dirección de correo electrónico desde su dispositivo móvil, el sufijo de dominio se usa para identificar si deben usar una infraestructura de AD RMS o Azure AIP. Cuando se encuentra el registro SRV, los clientes se redirigen al servidor de AD RMS que responde a esa dirección URL.

Cuando los usuarios consumen contenido protegido con un dispositivo móvil, la aplicación cliente busca en DNS un registro que coincida con el FQDN en la dirección URL del clúster que protegió el contenido (sin el nombre del clúster). A continuación, el dispositivo se dirige al clúster de AD RMS especificado en el registro DNS y adquiere una licencia para abrir el contenido. En la mayoría de los casos, el clúster de RMS será el mismo clúster de RMS que protegió el contenido.

Para obtener información sobre cómo especificar los registros SRV, consulte la sección Especificación de los registros SRV de DNS para la extensión de dispositivo móvil de AD RMS de este tema.
Clientes admitidos que usan aplicaciones desarrolladas mediante el SDK de MIP para esta plataforma. Descargue las aplicaciones admitidas para los dispositivos que use mediante los vínculos de la página de descarga de Microsoft Azure Information Protection.

Configuración de AD FS para la extensión de dispositivo móvil de AD RMS

Primero debe configurar AD FS y, a continuación, autorizar la aplicación de AIP para los dispositivos que desea usar.

Paso 1: Para configurar AD FS

  • Puede ejecutar un script de Windows PowerShell para configurar automáticamente AD FS para admitir la extensión de dispositivo móvil de AD RMS, o bien puede especificar manualmente las opciones y valores de configuración:
    • Para configurar automáticamente AD FS para la extensión de dispositivo móvil de AD RMS, copie y pegue lo siguiente en un archivo de script de Windows PowerShell y, a continuación, ejecútelo:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Para configurar manualmente AD FS para la extensión de dispositivo móvil de AD RMS, use estas opciones:
Configuración Valor
Relación de confianza para usuario autenticado _api.rms.rest.com
Regla de notificaciones Almacén de atributos: Active Directory

Direcciones de correo electrónico: dirección de correo electrónico

User-Principal-Name: UPN

Dirección del proxy: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Sugerencia

Para obtener instrucciones paso a paso de un ejemplo de implementación de AD RMS con AD FS, consulte Implementación de Active Directory Rights Management Services con Servicios de federación de Active Directory (AD FS).

Paso 2: Autorización de aplicaciones para los dispositivos

  • Ejecute el siguiente comando de Windows PowerShell después de reemplazar las variables para agregar compatibilidad con la aplicación Azure Information Protection. Asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Ejemplo de PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para el cliente de etiquetado unificado de Azure Information Protection, ejecute el siguiente comando de Windows PowerShell para agregar compatibilidad con el cliente de Azure Information Protection en los dispositivos:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Para admitir ADFS en Windows 2016 y 2019 y ADRMS MDE para productos de terceros, ejecute el siguiente comando de Windows PowerShell:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Para configurar el cliente de AIP en Windows, Mac, móvil y Office Mobile para consumir contenido protegido HYOK o AD RMS con AD FS en Windows Server 2012 R2 y versiones posteriores, use lo siguiente:

  • En el caso de los dispositivos Mac (mediante la aplicación RMS sharing), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • En el caso de los dispositivos iOS (mediante la aplicación Azure Information Protection), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • En el caso de los dispositivos Android (mediante la aplicación Azure Information Protection), asegúrese de ejecutar ambos comandos en el orden que se muestra:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Ejecute los siguientes comandos de PowerShell para agregar compatibilidad con aplicaciones de Microsoft Office en los dispositivos:

  • Para dispositivos Mac, iOS y Android (asegúrese de ejecutar ambos comandos en el orden que se muestra):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Especificación de los registros SRV de DNS para la extensión de dispositivo móvil de AD RMS

Debe crear registros SRV de DNS para cada dominio de correo electrónico que usen los usuarios. Si todos los usuarios usan dominios secundarios de un solo dominio primario y todos los usuarios de este espacio de nombres contiguo usan el mismo clúster de RMS, puede usar solo un registro SRV en el dominio primario y RMS encontrará los registros DNS adecuados. Los registros SRV tienen el formato siguiente: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Nota:

Especifique 443 para <portnumber>. Aunque puede especificar un número de puerto diferente en DNS, los dispositivos que usen la extensión de dispositivo móvil siempre usarán 443.

Por ejemplo, si su organización tiene usuarios con las siguientes direcciones de correo electrónico:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Si no hay ningún otro dominio secundario para _contoso.com que use un clúster RMS diferente al denominado _rmsserver.contoso.com, cree dos registros SRV de DNS que tengan estos valores:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Si usa el rol servidor DNS en Windows Server, use las tablas siguientes como guía para las propiedades del registro SRV en la consola del Administrador DNS:

Campo Value
Dominio _tcp.contoso.com
Service _rmsdisco
Protocolo _http
Prioridad 0
Peso 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com
Campo Value
Dominio _tcp.fabrikam.com
Service _rmsdisco
Protocolo _http
Prioridad 0
Peso 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com

Además de estos registros SRV de DNS para el dominio de correo electrónico, debe crear otro registro SRV de DNS en el dominio de clúster de RMS. Este registro debe especificar los FQDN del clúster de RMS que protege el contenido. Cada archivo protegido por RMS incluye una dirección URL al clúster que protegió ese archivo. Los dispositivos móviles usan el registro SRV de DNS y el FQDN de dirección URL especificados en el registro para buscar el clúster RMS correspondiente que puede admitir dispositivos móviles.

Por ejemplo, si el clúster de RMS es _rmsserver.contoso.com, cree un registro SRV de DNS que tenga los siguientes valores: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Si usa el rol servidor DNS en Windows Server, use la tabla siguiente como guía para las propiedades del registro SRV en la consola del Administrador DNS:

Campo Value
Dominio _tcp.contoso.com
Service _rmsdisco
Protocolo _http
Prioridad 0
Peso 0
Número de puerto 443
Host que ofrece este servicio _rmsserver.contoso.com

Implementación de la extensión para dispositivos móviles de AD RMS

Antes de instalar la extensión de dispositivo móvil de AD RMS, asegúrese de que los requisitos previos de la sección anterior están en vigor y que conoce la dirección URL del servidor de AD FS. A continuación, haga lo siguiente:

  1. Descargue la extensión de dispositivo móvil de AD RMS (ADRMS.MobileDeviceExtension.exe) desde el Centro de descarga de Microsoft.
  2. Ejecute ADRMS.MobileDeviceExtension.exe para iniciar el Asistente para la instalación de la extensión de dispositivos móviles de Active Directory Rights Management Services. Cuando se le solicite, escriba la dirección URL del servidor de AD FS que configuró anteriormente.
  3. Finalice el asistente.

Ejecute este asistente en todos los nodos del clúster de RMS.

Si tiene un servidor proxy entre el clúster de AD RMS y los servidores de AD FS, de forma predeterminada, el clúster de AD RMS no podrá ponerse en contacto con el servicio federado. Cuando esto sucede, AD RMS no podrá comprobar el token que se recibe del cliente móvil y rechazará la solicitud. Si tiene un servidor proxy que bloquea esta comunicación, debe actualizar el archivo web.config desde el sitio web de extensión de dispositivo móvil de AD RMS, de modo que AD RMS pueda omitir el servidor proxy cuando necesite ponerse en contacto con los servidores de AD FS.

Actualización de la configuración del proxy para la extensión de dispositivo móvil de AD RMS

  1. Abra el archivo web.config que se encuentra en \Archivos de programa\Extensión de dispositivo móvil de Active Directory Rights Management Services\Servicio web.

  2. Agregue el siguiente nodo al archivo :

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Realice los siguientes cambios y guarde el archivo:

    • Reemplace <proxy-server> por el nombre o la dirección del servidor proxy.
    • Reemplace <puerto> por el mismo número de puerto que el servidor proxy está configurado para usar.
    • Reemplace la <dirección URL de AD FS> por la dirección URL del servicio de federación. No incluya el prefijo HTTP.

    Nota:

    Para más información sobre cómo invalidar la configuración del proxy, consulte la documentación sobre Configuración de proxy.

  4. Restablezca IIS, por ejemplo, ejecutando iisreset como administrador desde un símbolo del sistema.

Repita este procedimiento en todos los nodos del clúster de RMS.

Consulte también

Obtenga más información sobre Azure Information Protection, póngase en contacto con otros clientes de AIP y con administradores de productos de AIP mediante el grupo de la API yammer.