Condividi tramite


Estensione del dispositivo mobile di Active Directory Rights Management Services

È possibile scaricare l'estensione per dispositivi mobili Active Directory Rights Management Services (AD RMS) dall'Area download Microsoft e installare questa estensione sopra una distribuzione di AD RMS esistente. In questo modo gli utenti proteggono e usano dati sensibili quando il dispositivo supporta le app abilitate per le API più recenti. Ad esempio, gli utenti possono eseguire le operazioni seguenti nei dispositivi mobili:

  • Usare l'app Azure Information Protection per usare i file di testo protetti in formati diversi ,inclusi .txt, .csv e .xml.
  • Usare l'app Azure Information Protection per usare i file di immagine protetti (inclusi .jpg, gif e tif).
  • Usare l'app Azure Information Protection per aprire qualsiasi file protetto in modo generico (formato con estensione pfile).
  • Usare l'app Azure Information Protection per aprire un file di Office (Word, Excel, PowerPoint) che è una copia PDF (formato pdf e ppdf).
  • Usare l'app Azure Information Protection per aprire i messaggi di posta elettronica protetti (con estensione rpmsg) e i file PDF protetti in Microsoft SharePoint.
  • Usa un visualizzatore PDF con riconoscimento AIP per la visualizzazione multipiattaforma o per aprire i file PDF protetti con qualsiasi applicazione con riconoscimento dei dati AIP.
  • Usare le app abilitate per AIP sviluppate internamente scritte con MIP SDK.

Nota

È possibile scaricare l'app Azure Information Protection dalla pagina Microsoft Rights Management del sito Web Microsoft. Per informazioni su altre app supportate con l'estensione del dispositivo mobile, vedere la tabella nella pagina Applicazioni di questa documentazione. Per altre informazioni sui diversi tipi di file supportati da RMS, vedere la sezione Tipi di file e estensioni di file supportati nella guida dell'amministratore dell'applicazione Rights Management sharing.

Importante

Assicurarsi di leggere e configurare i prerequisiti prima di installare l'estensione del dispositivo mobile.

Per altre informazioni, scaricare il white paper "Microsoft Azure Information Protection" e gli script di accompagnamento dall'Area download Microsoft.

Prerequisiti per l'estensione del dispositivo mobile AD RMS

Prima di installare l'estensione del dispositivo mobile AD RMS, verificare che siano presenti le dipendenze seguenti.

Requisito Altre informazioni
Una distribuzione di AD RMS esistente in Windows Server 2019, 2016, 2012 R2 o 2012, che include quanto segue:

- Il cluster AD RMS deve essere accessibile da Internet.

- AD RMS deve usare un database completo basato su Microsoft SQL Server in un server separato e non il Database interno di Windows usato spesso per i test nello stesso server.

- L'account che verrà usato per installare l'estensione del dispositivo mobile deve disporre dei diritti sysadmin per l'istanza di SQL Server in uso per AD RMS.

- I server AD RMS devono essere configurati per l'uso di SSL/TLS con un certificato x.509 valido considerato attendibile dai client di dispositivi mobili.

- Se i server AD RMS si trovano dietro un firewall o pubblicati tramite un proxy inverso, oltre a pubblicare la cartella /_wmcs in Internet, è necessario pubblicare anche la cartella /my (ad esempio: _https://RMSserver.contoso.com/my).
Per informazioni dettagliate sui prerequisiti e sulla distribuzione di AD RMS, vedere la sezione prerequisiti di questo articolo.
AD FS distribuito in Windows Server:

- La server farm di AD FS deve essere accessibile da Internet (sono stati distribuiti proxy server federativi).

- L'autenticazione basata su form non è supportata; è necessario usare l'autenticazione integrata di Windows

Importante: AD FS deve eseguire un computer diverso dal computer che esegue AD RMS e l'estensione del dispositivo mobile.
Per la documentazione su AD FS, vedere la Guida alla distribuzione di AD FS di Windows Server nella libreria di Windows Server.

AD FS deve essere configurato per l'estensione del dispositivo mobile. Per istruzioni, vedere la sezione Configurazione di AD FS per l'estensione del dispositivo mobile AD RMS in questo argomento.
I dispositivi mobili devono considerare attendibili i certificati PKI nel server RMS (o nei server) Quando si acquistano i certificati server da una CA pubblica, ad esempio VeriSign o Comodo, è probabile che i dispositivi mobili considerino già attendibile la CA radice per questi certificati, in modo che questi dispositivi considerino attendibili i certificati server senza alcuna configurazione aggiuntiva.

Tuttavia, se si usa una CA interna personalizzata per distribuire i certificati server per RMS, è necessario eseguire passaggi aggiuntivi per installare il certificato CA radice nei dispositivi mobili. In caso contrario, i dispositivi mobili non saranno in grado di stabilire una connessione corretta con il server RMS.
Record SRV in DNS Creare uno o più record SRV nel dominio o nei domini aziendali:

1: Creare un record per ogni suffisso di dominio di posta elettronica che gli utenti useranno

2: Creare un record per ogni FQDN usato dai cluster RMS per proteggere il contenuto, non incluso il nome del cluster

Questi record devono essere risolvibili da qualsiasi rete usata dai dispositivi mobili connessi, che include la Intranet se i dispositivi mobili si connettono tramite intranet.

Quando gli utenti forniscono l'indirizzo di posta elettronica dal dispositivo mobile, il suffisso di dominio viene usato per identificare se devono usare un'infrastruttura AD RMS o Azure AIP. Quando viene trovato il record SRV, i client vengono reindirizzati al server AD RMS che risponde a tale URL.

Quando gli utenti usano contenuto protetto con un dispositivo mobile, l'applicazione client cerca in DNS un record corrispondente al nome di dominio completo nell'URL del cluster che ha protetto il contenuto (senza il nome del cluster). Il dispositivo viene quindi indirizzato al cluster AD RMS specificato nel record DNS e acquisisce una licenza per aprire il contenuto. Nella maggior parte dei casi, il cluster RMS sarà lo stesso cluster RMS che ha protetto il contenuto.

Per informazioni su come specificare i record SRV, vedere la sezione Specifica dei record SRV DNS per l'estensione del dispositivo mobile AD RMS in questo argomento.
Client supportati che usano applicazioni sviluppate usando MIP SDK per questa piattaforma. Scaricare le app supportate per i dispositivi usati usando i collegamenti nella pagina di download di Microsoft Azure Information Protection .

Configurazione di AD FS per l'estensione del dispositivo mobile AD RMS

Devi prima configurare AD FS e quindi autorizzare l'app AIP per i dispositivi che vuoi usare.

Passaggio 1: Per configurare AD FS

  • È possibile eseguire uno script di Windows PowerShell per configurare automaticamente AD FS per supportare l'estensione del dispositivo mobile AD RMS oppure specificare manualmente le opzioni e i valori di configurazione:
    • Per configurare automaticamente AD FS per l'estensione del dispositivo mobile AD RMS, copiare e incollare quanto segue in un file script di Windows PowerShell e quindi eseguirlo:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Per configurare manualmente AD FS per l'estensione del dispositivo mobile AD RMS, usare queste impostazioni:
Configurazione valore
Attendibilità relying party _api.rms.rest.com
Regola attestazione Archivio attributi: Active Directory

Indirizzi di posta elettronica: indirizzo di posta elettronica

User-Principal-Name: UPN

Indirizzo proxy: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Suggerimento

Per istruzioni dettagliate per una distribuzione di esempio di AD RMS con AD FS, vedere Distribuzione di Active Directory Rights Management Services con Active Directory Federation Services.

Passaggio 2: Autorizzare le app per i dispositivi

  • Eseguire il comando di Windows PowerShell seguente dopo aver sostituito le variabili per aggiungere il supporto per l'app Azure Information Protection . Assicurarsi di eseguire entrambi i comandi nell'ordine indicato:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Esempio di PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Per il client di etichettatura unificata di Azure Information Protection, eseguire il comando di Windows PowerShell seguente per aggiungere il supporto per il client Azure Information Protection nei dispositivi:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Per supportare ADFS in Windows 2016 e 2019 e ADRMS MDE per prodotti di terze parti, eseguire il comando di Windows PowerShell seguente:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Per configurare il client AIP in Windows, Mac, mobile e Office Mobile per l'utilizzo di contenuti protetti HYOK o AD RMS con AD FS in Windows Server 2012 R2 e versioni successive, usare quanto segue:

  • Per i dispositivi Mac (usando l'app RMS sharing), assicurarsi di eseguire entrambi i comandi nell'ordine indicato:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Per i dispositivi iOS (usando l'app Azure Information Protection), assicurarsi di eseguire entrambi i comandi nell'ordine indicato:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Per i dispositivi Android (usando l'app Azure Information Protection), assicurarsi di eseguire entrambi i comandi nell'ordine indicato:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Eseguire i comandi di PowerShell seguenti per aggiungere il supporto per Microsoft app Office s nei dispositivi:

  • Per Mac, iOS, dispositivi Android (assicurarsi di eseguire entrambi i comandi nell'ordine indicato):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"
Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Specifica dei record SRV DNS per l'estensione del dispositivo mobile AD RMS

È necessario creare record SRV DNS per ogni dominio di posta elettronica usato dagli utenti. Se tutti gli utenti usano domini figlio da un singolo dominio padre e tutti gli utenti di questo spazio dei nomi contiguo usano lo stesso cluster RMS, è possibile usare un solo record SRV nel dominio padre e RMS troverà i record DNS appropriati. I record SRV hanno il formato seguente: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Nota

Specificare 443 per il <numero> di porta. Sebbene sia possibile specificare un numero di porta diverso in DNS, i dispositivi che usano l'estensione del dispositivo mobile useranno sempre 443.

Ad esempio, se l'organizzazione ha utenti con gli indirizzi di posta elettronica seguenti:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Se non sono presenti altri domini figlio per _contoso.com che usano un cluster RMS diverso da quello denominato _rmsserver.contoso.com, creare due record SRV DNS con questi valori:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Se si usa il ruolo Server DNS in Windows Server, usare le tabelle seguenti come guida per le proprietà del record SRV nella console di Gestione DNS:

Campo Valore
Dominio _tcp.contoso.com
Servizioo _rmsdisco
Protocollo _http
Priorità 0
Peso 0
Numero di porta 443
Host che offre questo servizio _rmsserver.contoso.com
Campo Valore
Dominio _tcp.fabrikam.com
Servizioo _rmsdisco
Protocollo _http
Priorità 0
Peso 0
Numero di porta 443
Host che offre questo servizio _rmsserver.contoso.com

Oltre a questi record SRV DNS per il dominio di posta elettronica, è necessario creare un altro record SRV DNS nel dominio del cluster RMS. Questo record deve specificare i nomi di dominio completi del cluster RMS che protegge il contenuto. Ogni file protetto da RMS include un URL del cluster che ha protetto tale file. I dispositivi mobili usano il record SRV DNS e l'FQDN URL specificato nel record per trovare il cluster RMS corrispondente in grado di supportare i dispositivi mobili.

Ad esempio, se il cluster RMS è _rmsserver.contoso.com, creare un record SRV DNS con i valori seguenti: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Se si usa il ruolo Server DNS in Windows Server, usare la tabella seguente come guida per le proprietà del record SRV nella console di Gestione DNS:

Campo Valore
Dominio _tcp.contoso.com
Servizioo _rmsdisco
Protocollo _http
Priorità 0
Peso 0
Numero di porta 443
Host che offre questo servizio _rmsserver.contoso.com

Distribuzione dell'estensione del dispositivo mobile AD RMS

Prima di installare l'estensione del dispositivo mobile AD RMS, assicurarsi che siano presenti i prerequisiti della sezione precedente e che si conosca l'URL del server AD FS. Eseguire quindi le operazioni seguenti:

  1. Scaricare l'estensione del dispositivo mobile AD RMS (ADRMS). MobileDeviceExtension.exe) dall'Area download Microsoft.
  2. Eseguire ADRMS. MobileDeviceExtension.exe per avviare l'Installazione guidata dell'estensione del dispositivo mobile di Active Directory Rights Management Services. Quando richiesto, immettere l'URL del server AD FS configurato in precedenza.
  3. Completare la procedura guidata.

Eseguire questa procedura guidata in tutti i nodi del cluster RMS.

Se si dispone di un server proxy tra il cluster AD RMS e i server AD FS, per impostazione predefinita, il cluster AD RMS non sarà in grado di contattare il servizio federato. In questo caso, AD RMS non sarà in grado di verificare il token ricevuto dal client mobile e rifiuterà la richiesta. Se si dispone di un server proxy che blocca questa comunicazione, è necessario aggiornare il file web.config dal sito Web dell'estensione del dispositivo mobile AD RMS, in modo che AD RMS possa ignorare il server proxy quando deve contattare i server AD FS.

Aggiornamento delle impostazioni proxy per l'estensione del dispositivo mobile AD RMS

  1. Aprire il file web.config che si trova in \Programmi\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Aggiungere il nodo seguente al file :

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. Apportare le modifiche seguenti e quindi salvare il file:

    • Sostituire <proxy-server> con il nome o l'indirizzo del server proxy.
    • Sostituire <la porta> con il numero di porta che il server proxy è configurato per l'uso.
    • Sostituire <l'URL> di AD FS con l'URL del servizio federativo. Non includere il prefisso HTTP.

    Nota

    Per altre informazioni sull'override delle impostazioni proxy, vedere la documentazione relativa alla configurazione del proxy.

  4. Reimpostare IIS, ad esempio, eseguendo iisreset come amministratore da un prompt dei comandi.

Ripetere questa procedura in tutti i nodi del cluster RMS.

Vedi anche

Altre informazioni su Azure Information Protection, contattare altri clienti AIP e i product manager AIP usando il gruppo DI API yammer.