Active Directory Rights Management サービス モバイル デバイス拡張機能

Microsoft ダウンロード センターから Active Directory Rights Management サービス (AD RMS) モバイル デバイス拡張機能をダウンロードし、この拡張機能を既存の AD RMS デプロイの上にインストールできます。 これにより、デバイスで最新の API 対応アプリがサポートされていると、ユーザーは機密データを保護したり使用したりできるようになります。 たとえば、ユーザーはモバイル デバイスで次の操作を行うことができます。

  • Azure Information Protection アプリを使用して、さまざまな形式 (.txt、.csv、.xml など) の保護されたテキスト ファイルを使用する。
  • Azure Information Protection アプリを使用して、保護された画像ファイル (.jpg、.gif、.tif など) を使用する。
  • Azure Information Protection アプリを使用して、一般的に保護されている任意のファイル (.pfile 形式) を開く。
  • Azure Information Protection アプリを使用して、PDF コピーである Office ファイル (Word、Excel、PowerPoint) (.pdf および .ppdf 形式) を開く。
  • Azure Information Protection アプリを使用して、保護された電子メール メッセージ (.rpmsg) や保護された PDF ファイルを Microsoft SharePoint で開く。
  • クロスプラットフォーム表示のための AIP 対応 PDF ビューアーを使用して、任意の AIP 対応アプリケーションで保護された PDF ファイルを開く。
  • MIP SDK を使用して記述された社内開発の AIP 対応アプリを使用する。

Note

Azure Information Protection アプリは、Microsoft Web サイトの Microsoft Rights Management ページからダウンロードできます。 モバイル デバイス拡張機能でサポートされているその他のアプリについては、このドキュメントの「アプリケーション」ページにある表を参照してください。 RMS でサポートされているさまざまなファイルの種類の詳細については、Rights Management 共有アプリケーション管理者ガイドのサポートされているファイルの種類とファイル名拡張子に関するセクションを参照してください。

重要

モバイル デバイス拡張機能をインストールする前に、必ず前提条件を確認して構成してください。

追加情報を入手するには、Microsoft ダウンロード センターから "Microsoft Azure Information Protection" ホワイト ペーパーと付属のスクリプトをダウンロードしてください。

AD RMS モバイル デバイス拡張機能の前提条件

AD RMS モバイル デバイス拡張機能をインストールする前に、次の依存関係が満たされていることを確認してください。

要件 詳細情報
次のものが含まれている、Windows Server 2019、2016、2012 R2、または 2012 上の既存の AD RMS デプロイ。

- AD RMS クラスターは、インターネットからアクセス可能である必要があります。

- AD RMS は、同じサーバー上でのテストに使用されることが多い Windows Internal Database ではなく、個別のサーバー上の完全な Microsoft SQL Server ベースのデータベースを使用している必要があります。

- モバイル デバイス拡張機能をインストールするために使用するアカウントには、AD RMS に使用している SQL Server インスタンスに対する sysadmin 権限が必要です。

- AD RMS サーバーは、モバイル デバイス クライアントによって信頼されている有効な x.509 証明書を含む SSL/TLS を使用するように構成されている必要があります。

- AD RMS サーバーがファイアウォールの背後にあるか、またはリバース プロキシを使用して公開されている場合は、インターネットへの /_wmcs フォルダーの公開に加えて、/my フォルダーも公開する必要があります (例: _https://RMSserver.contoso.com/my)。
AD RMS の前提条件とデプロイに関する情報の詳細については、この記事の前提条件のセクションを参照してください。
Windows Server 上にデプロイされている AD FS:

- AD FS サーバー ファームは、インターネットからアクセス可能である必要があります (フェデレーション サーバー プロキシをデプロイしている場合)。

- フォーム ベースの認証はサポートされていません。Windows 統合認証を使用する必要がある

重要: AD FS は、AD RMS およびモバイル デバイス拡張機能が実行されているコンピューターとは別のコンピューターを実行している必要があります。
AD FS に関するドキュメントについては、Windows Server ライブラリ内の Windows Server AD FS デプロイ ガイドを参照してください。

AD FS は、モバイル デバイス拡張機能用に構成する必要があります。 手順については、このトピックの「AD RMS モバイル デバイス拡張機能用の AD FS の構成」セクションを参照してください。
モバイル デバイスは、RMS サーバー上の PKI 証明書を信頼している必要があります。 VeriSign や Comodo などのパブリック CA からサーバー証明書を購入した場合は、モバイル デバイスが既にこれらの証明書のルート CA を信頼しており、これらのデバイスが追加の構成なしでサーバー証明書を信頼するようになっている可能性があります。

ただし、独自の内部 CA を使用して RMS のサーバー証明書をデプロイする場合は、モバイル デバイスにルート CA 証明書をインストールするための追加の手順を実行する必要があります。 これを行わないと、モバイル デバイスは RMS サーバーとの正常な接続を確立できません。
DNS の SRV レコード 社内に 1 つ以上の SRV レコードを作成メインまたは実行メイン。

1: ユーザーが使用する電子メール ドメイン サフィックスごとに 1 つのレコードを作成する

2: コンテンツを保護するために RMS クラスターによって使用される (クラスター名を含まない) FQDN ごとに 1 つのレコードを作成する

これらのレコードは、接続しているモバイル デバイスで使用するすべてのネットワークから解決可能である必要があります。モバイル デバイスがイントラネット経由で接続する場合は、イントラネットも含まれます。

ユーザーがモバイル デバイスから電子メール アドレスを指定するときは、ドメイン サフィックスを使用して、AD RMS インフラストラクチャまたは Azure AIP のどちらを使用する必要があるかを識別します。 SRV レコードが見つかると、クライアントはその URL に応答する AD RMS サーバーにリダイレクトされます。

モバイル デバイスでユーザーが保護されたコンテンツを使用すると、クライアント アプリケーションは、そのコンテンツを保護したクラスターの URL 内の FQDN (クラスター名はなし) に一致するレコードを DNS で探します。 その後、デバイスは DNS レコードで指定された AD RMS クラスターに転送され、コンテンツを開くライセンスを取得します。 ほとんどの場合、RMS クラスターはコンテンツを保護したのと同じ RMS クラスターになります。

SRV レコードを指定する方法については、このトピックの「AD RMS モバイル デバイス拡張機能用の DNS SRV レコードの指定」セクションを参照してください。
このプラットフォーム用の MIP SDK を使用して開発されたアプリケーションを使用しているサポートされるクライアント。 Microsoft Azure Information Protection のダウンロード ページ上のリンクを使用して、使用するデバイスでサポートされているアプリをダウンロードします。

AD RMS モバイル デバイス拡張機能用の AD FS の構成

まず AD FS を構成してから、使用するデバイスの AIP アプリを認可する必要があります。

手順 1: AD FS を構成するには

  • Windows PowerShell スクリプトを実行して、AD RMS モバイル デバイス拡張機能をサポートするように AD FS を自動的に構成するか、構成オプションと値を手動で指定できます。
    • AD RMS モバイル デバイス拡張機能用の AD FS を自動的に構成するには、次のコードをコピーして Windows PowerShell スクリプト ファイルに貼り付けた後、それを実行します。
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • AD RMS モバイル デバイス拡張機能用の AD FS を手動で構成するには、次の設定を使用します。
Configuration Value
証明書利用者の信頼 _api.rms.rest.com
要求規則 [属性ストア] : Active Directory

電子メール アドレス: 電子メール アドレス

ユーザー プリンシパル名: UPN

プロキシ アドレス: _https://schemas.xmlsoap.org/claims/ProxyAddresses

ヒント

AD FS を使用して AD RMS をデプロイする例の詳細な手順については、Active Directory フェデレーション サービスを使用した Active Directory Rights Management サービスのデプロイに関するページを参照してください。

手順 2: デバイスのアプリを認可する

  • Azure Information Protection アプリのサポートを追加するには、変数を置き換えた後、次の Windows PowerShell コマンドを実行します。 必ず両方のコマンドを示されている順序で実行してください。
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Powershell の例

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Azure Information Protection 統合ラベル付けクライアントの場合、デバイスに Azure Information Protection クライアントのサポートを追加するには、次の Windows PowerShell コマンドを実行します。
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Windows 2016 および 2019 上の ADFS やサードパーティ製品向けの ADRMS MDE をサポートするには、次の Windows PowerShell コマンドを実行します。
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Windows Server 2012 R2 以降の AD FSHYOK または AD RMS によって保護されたコンテンツを使用するために WindowsMac、モバイル、Office Mobile 上の AIP クライアントを構成するには、次のコマンドを使用します。

  • Mac デバイス (RMS 共有アプリを使用) の場合は、必ず両方のコマンドを示されている順序で実行してください。
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • iOS デバイス (Azure Information Protection アプリを使用) の場合は、必ず両方のコマンドを示されている順序で実行してください。
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Android デバイス (Azure Information Protection アプリを使用) の場合は、必ず両方のコマンドを示されている順序で実行してください。
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

デバイスに Microsoft Office アプリのサポートを追加するには、次の PowerShell コマンドを実行します。

  • Mac、iOS、Android デバイスの場合 (必ず両方のコマンドを示されている順序で実行してください):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"
Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

AD RMS モバイル デバイス拡張機能用の DNS SRV レコードの指定

ユーザーが使用する各電子メールの DNS SRV レコードメイン作成する必要があります。 すべてのユーザーが単一の親ドメインの子メインを使用し、この連続する名前空間のすべてのユーザーが同じ RMS クラスターを使用する場合は、親ドメイン で 1 つの SRV レコードのみを使用でき、RMS は適切な DNS レコードを検索します。 SRV レコードの形式は _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN> です。

Note

<portnumber> には 443 を指定します。 DNS で別のポート番号を指定することもできますが、モバイル デバイス拡張機能を使用するデバイスでは常に 443 を使用します。

たとえば、組織に次のメール アドレスを持つユーザーが含まれている場合です。

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com _rmsserver.contoso.com という名前とは別の RMS クラスターを使用する _contoso.com の子ドメインが他に存在しない場合は、次の値を持つ 2 つの DNS SRV レコードを作成します。
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Windows Server で DNS サーバー ロールを使用する場合は、DNS マネージャー コンソールの SRV レコード プロパティのガイドとして次の表を使用してください。

フィールド
Domain _tcp.contoso.com
Service _rmsdisco
Protocol _http
Priority 0
Weight 0
ポート番号 443
このサービスを提供しているホスト _rmsserver.contoso.com
フィールド
Domain _tcp.fabrikam.com
Service _rmsdisco
Protocol _http
Priority 0
Weight 0
ポート番号 443
このサービスを提供しているホスト _rmsserver.contoso.com

電子メール ドメイン用のこれらの DNS SRV レコードに加えて、RMS クラスター ドメインでもう 1 つの DNS SRV レコードを作成する必要があります。 このレコードでは、コンテンツを保護する RMS クラスターの FQDN を指定する必要があります。 RMS によって保護されるすべてのファイルには、そのファイルを保護したクラスターへの URL が含まれています。 モバイル デバイスは、DNS SRV レコードとレコードで指定された URL FQDN を使用して、モバイル デバイスをサポートできる対応する RMS クラスターを見つけます。

たとえば、RMS クラスターが _rmsserver.contoso.com である場合は、_rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com という値を持つ DNS SRV レコードを作成します。

Windows Server で DNS サーバー ロールを使用する場合は、DNS マネージャー コンソールの SRV レコード プロパティのガイドとして次の表を使用してください。

フィールド
Domain _tcp.contoso.com
Service _rmsdisco
Protocol _http
Priority 0
Weight 0
ポート番号 443
このサービスを提供しているホスト _rmsserver.contoso.com

AD RMS モバイル デバイス拡張機能の展開

AD RMS モバイル デバイス拡張機能をインストールする前に、前のセクションの前提条件が満たされており、AD FS サーバーの URL がわかっていることを確認してください。 次に、次を実行します。

  1. Microsoft ダウンロード センターから AD RMS モバイル デバイス拡張機能 (ADRMS.MobileDeviceExtension.exe) をダウンロードします。
  2. ADRMS.MobileDeviceExtension.exe を実行して、Active Directory Rights Management サービス モバイル デバイス拡張機能セットアップ ウィザードを開始します。 メッセージが表示されたら、前に構成した AD FS サーバーの URL を入力します。
  3. ウィザードの完了。

RMS クラスター内のすべてのノードでこのウィザードを実行します。

AD RMS クラスターと AD FS サーバーの間にプロキシ サーバーが存在する場合、既定では、AD RMS クラスターはフェデレーション サービスに接続できません。 この状態が発生すると、AD RMS はモバイル クライアントから受信されたトークンを検証できなくなるため、要求を拒否します。 この通信をブロックするプロキシ サーバーが存在する場合は、AD RMS モバイル デバイス拡張機能 Web サイトの web.config ファイルを更新して、AD FS サーバーに接続する必要があるときは AD RMS がプロキシ サーバーをバイパスできるようにする必要があります。

AD RMS モバイル デバイス拡張機能用のプロキシ設定の更新

  1. \Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service にある web.config ファイルを開きます。

  2. このファイルに次のノードを追加します。

       <system.net>
        <defaultProxy>
            <proxy  proxyaddress="http://<proxy server>:<port>"
                    bypassonlocal="true"
            />
            <bypasslist>
                <add address="<AD FS URL>" />
            </bypasslist>
        </defaultProxy>
    <system.net>
    
  3. 次の変更を行った後、ファイルを保存します。

    • <proxy-server> をプロキシ サーバーの名前またはアドレスに置き換えます。
    • <port> を、プロキシ サーバーで使用するように構成されているポート番号に置き換えます。
    • <AD FS URL> をフェデレーション サービスの URL に置き換えます。 HTTP プレフィックスは含めないでください。

    Note

    プロキシ設定のオーバーライドの詳細については、「プロキシの構成」のドキュメントを参照してください。

  4. IIS をリセットします。たとえば、コマンド プロンプトから管理者として iisreset を実行します。

この手順を RMS クラスター内のすべてのノードで繰り返します。

参照

API yammer グループを使用すると、Azure Information Protection の詳細を確認したり、AIP の他のお客様や AIP 製品マネージャーと連絡を取ったりすることができます。