Extensão para dispositivos móveis do Active Directory Rights Management Services

  • Artigo

Você pode baixar a extensão para dispositivos móveis do Active Directory Rights Management Services (AD RMS) no Centro de Download da Microsoft e instalar essa extensão sobre uma implantação existente do AD RMS. Isso permite que os usuários protejam e consumam dados confidenciais em dispositivos compatíveis com os aplicativos mais recentes habilitados para API. Por exemplo, usuários podem fazer o seguinte em seus dispositivos móveis:

  • Usar o aplicativo Proteção de Informações do Azure para consumir arquivos de texto protegidos em diferentes formatos (incluindo .txt, .csv e .xml).
  • Usar o aplicativo Proteção de Informações do Azure para consumir arquivos de imagem protegidos (incluindo .jpg, .gif e .tif).
  • Usar o aplicativo Proteção de Informações do Azure para abrir arquivos que tenham sido protegidos genericamente (formato .pfile).
  • Usar o aplicativo Proteção de Informações do Azure para abrir um arquivo do Office (Word, Excel, PowerPoint) que seja uma cópia em PDF (formato .pdf e .ppdf).
  • Usar o aplicativo Proteção de Informações do Azure para abrir mensagens de email protegidas (.rpmsg) e arquivos PDF protegidos no Microsoft SharePoint.
  • Usar um visualizador de PDF habilitado para AIP para visualização em todas as plataformas ou para abrir arquivos PDF protegidos com aplicativos habilitados para AIP.
  • Usar seus aplicativos desenvolvidos internamente habilitados para AIP que foram gravados usando o MIP SDK.

Observação

Você pode baixar o aplicativo Proteção de Informações do Azure na página Microsoft Rights Management do site da Microsoft. Para obter informações sobre outros aplicativos compatíveis com a extensão para dispositivos móveis, veja a tabela na página Aplicativos desta documentação. Para mais informações sobre os diferentes tipos de arquivos compatíveis com o RMS, veja a seção Tipos de arquivos e extensões de nome de arquivo compatíveis no guia do administrador do aplicativo de compartilhamento do Rights Management.

Importante

Leia e configure os pré-requisitos antes de instalar a extensão para dispositivos móveis.

Para mais informações, baixe o white paper "Proteção de Informações do Microsoft Azure" e os scripts que o acompanham no Centro de Download da Microsoft.

Pré-requisitos para a extensão para dispositivos móveis do AD RMS

Antes de instalar a extensão para dispositivos móveis do AD RMS, verifique se as seguintes dependências estão em vigor.

Requisito Mais informações
Uma implantação existente do AD RMS no Windows Server 2019, 2016, 2012 R2 ou 2012, que inclui o seguinte:

- O cluster do AD RMS deve poder ser acessado a partir da Internet.

- O AD RMS deve estar usando um banco de dados completo baseado no Microsoft SQL Server em um servidor separado, diferente do Banco de Dados Interno do Windows, que é frequentemente usado para testes no mesmo servidor.

- A conta que você usará para instalar a extensão para dispositivos móveis deve ter direitos sysadmin para a instância do SQL Server que você está usando para o AD RMS.

- Os servidores AD RMS devem ser configurados para usar SSL/TLS com um certificado x.509 válido confiável para os clientes de dispositivos móveis.

- Se os servidores AD RMS estiverem protegidos por um firewall ou tiverem sido publicados usando um proxy reverso, além de publicar a pasta /_wmcs na Internet, você também deve publicar a pasta /my (por exemplo: _https://RMSserver.contoso.com/my).		 Para saber mais detalhes sobre os pré-requisitos do AD RMS e informações sobre implantação, veja a seção de pré-requisitos deste artigo.
AD FS implantado no Windows Server:

- Seu farm de servidores AD FS deve poder ser acessado pela Internet (você implantou proxies de servidor de federação).

- A autenticação baseada em formulários não é compatível. A Autenticação Integrada do Windows deve ser usada

Importante: o AD FS estar sendo executado uma máquina diferente da que executa o AD RMS e a extensão para dispositivos móveis.		 Para obter a documentação sobre o AD FS, veja o Guia de Implantação do AD FS do Windows Server na biblioteca do Windows Server.

O AD FS deve ser configurado para a extensão para dispositivos móveis. Para obter instruções, veja a seção Configurar o AD FS para a extensão para dispositivos móveis do AD RMS neste tópico.
Os dispositivos móveis devem confiar nos certificados PKI no servidor (ou servidores) RMS Ao comprar seus certificados de servidor de uma autoridade de certificação pública, como VeriSign ou Comodo, é provável que os dispositivos móveis já confiem na autoridade de certificação raiz para esses certificados, de modo que esses dispositivos confiem nos certificados de servidor sem precisar de configuração adicional.

No entanto, ao usar sua própria autoridade de certificação interna para implantar os certificados de servidor para o RMS, você deve executar etapas adicionais para instalar o certificado de autoridade de certificação raiz nos dispositivos móveis. Se não fizer isso, os dispositivos móveis não poderão estabelecer uma conexão com o servidor RMS.
Registros SRV no DNS Crie um ou mais registros SRV no domínio ou domínios da sua empresa:

1: Criar um registro para cada sufixo de domínio de email que os usuários usarão

2: Criar um registro para cada FQDN usado pelos clusters do RMS para proteger o conteúdo, não incluindo o nome do cluster

Esses registros devem ser possíveis de resolver a partir de redes que os dispositivos móveis de conexão usem, o que inclui a intranet se seus dispositivos móveis a usarem como conexão.

Quando os usuários fornecem os endereços de email de seus dispositivos móveis, o sufixo de domínio é usado para identificar se eles devem usar uma infraestrutura do AD RMS ou o Azure AIP. Quando o registro SRV é encontrado, os clientes são redirecionados para o servidor AD RMS que responde a essa URL.

Quando os usuários consomem conteúdo protegido em um dispositivo móvel, o aplicativo cliente procura no DNS um registro que corresponda ao FQDN na URL do cluster que protegeu o conteúdo (sem o nome do cluster). Em seguida, o dispositivo é direcionado para o cluster AD RMS especificado no registro DNS e obtém uma licença para abrir o conteúdo. Na maioria dos casos, o cluster RMS será o mesmo cluster RMS que protegeu o conteúdo.

Para mais informações sobre como especificar os registros SRV, consulte a seção Especificar os registros SRV DNS para a extensão para dispositivos móveis do AD RMS neste tópico.
Clientes compatíveis usando aplicativos desenvolvidos pelo SDK MIP para esta plataforma. Baixe os aplicativos com compatíveis com os dispositivos que você usa por meio dos links na página de download da Proteção de Informações do Microsoft Azure.

Configurar o AD FS para a extensão para dispositivos móveis do AD RMS

Você deve primeiro configurar o AD FS e, em seguida, autorizar o aplicativo AIP para os dispositivos que deseja usar.

Etapa 1: Para configurar o AD FS

  • Você pode executar um script do Windows PowerShell para configurar automaticamente o AD FS para compatibilidade com a extensão para dispositivos móveis do AD RMS ou especificar manualmente as opções e os valores de configuração:
    • Para configurar automaticamente o AD FS para a extensão para dispositivos móveis do AD RMS, copie e cole o seguinte em um arquivo de script do Windows PowerShell e execute-o:
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server

# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring  Microsoft Rights Management Mobile Device Extension "

# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
 => issue(claim = c);

@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
 => issue(claim = c);
"@

# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
 => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@

# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules  $AuthorizationRules

Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
  • Para configurar manualmente o AD FS para a extensão para dispositivos móveis do AD RMS, use estas configurações:
Configuração Valor
Confiança de terceiros _api.rms.rest.com
Regra de declaração Armazenamento de atributos:Active Directory

Endereços de email: Endereço de email

Nome principal do usuário: UPN

Endereço de proxy: _https://schemas.xmlsoap.org/claims/ProxyAddresses

Dica

Para obter instruções passo a passo de um exemplo de implantação do AD RMS com AD FS, veja Implantar o Active Directory Rights Management Services com os Serviços de Federação do Active Directory.

Etapa 2: autorizar aplicativos para seus dispositivos

  • Execute o seguinte comando do Windows PowerShell depois de substituir as variáveis de compatibilidade com o aplicativo Proteção de Informações do Azure. Execute ambos os comandos na ordem mostrada:
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Exemplo de PowerShell

Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Para o cliente de rotulagem unificada da Proteção de Informações do Azure, execute o seguinte comando do Windows PowerShell para compatibilidade com a Proteção de Informações do Azure em seus dispositivos:
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
  • Para compatibilidade com o ADFS no Windows 2016 e 2019 e o ADRMS MDE para produtos de terceiros, execute o seguinte comando do Windows PowerShell:
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT") 
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Para configurar o cliente AIP no Windows, Mac, celular e Office Mobile para consumir conteúdo protegido pelo HYOK ou AD RMS com AD FS no Windows Server 2012 R2 e versões mais recentes, use o seguinte:

  • Dispositivos Mac (usando o aplicativo de compartilhamento RMS) devem executar ambos os comandos na ordem mostrada:
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Dispositivos iOS (usando o aplicativo Proteção de Informações do Azure) devem executar os dois comandos na ordem mostrada:
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
  • Dispositivos Android (usando o aplicativo Proteção de Informações do Azure) devem executar os dois comandos na ordem mostrada:
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")

Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Execute os seguintes comandos do PowerShell para compatibilidade com aplicativos do Microsoft Office em seus dispositivos:

  • Dispositivos Mac, iOS e Android (devem executar ambos os comandos na ordem mostrada):
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")

Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"

Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"

Especificar os registros SRV DNS para a extensão para dispositivos móveis do AD RMS

Você deve criar registros SRV DNS para cada domínio de email usado por seus usuários. Se todos os usuários usarem domínios filho de um único domínio pai e todos os usuários desse namespace contíguo usarem o mesmo cluster RMS, você poderá usar apenas um registro SRV no domínio pai e o RMS encontrará os registros DNS apropriados. Os registros SRV têm o seguinte formato: _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>

Observação

Especifique 443 para o <número da porta>. Embora não seja possível especificar um número de porta diferente no DNS, os dispositivos que usam a extensão para dispositivos móveis sempre usarão a porta 443.

Por exemplo, se sua organização tiver usuários com os seguintes endereços de email:

  • _user@contoso.com
    • _user@sales.contoso.com
    • _user@fabrikam.com Se não houver outros domínios filho para _contoso.com que usem um cluster RMS diferente de _rmsserver.contoso.com, crie dois registros SRV DNS com estes valores:
  • _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
  • _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com

Se você usar a função de servidor do DNS no Windows Server, use as seguintes tabelas como um guia sobre como especificar as propriedades do registro SRV no console de gerenciamento do DNS:

Campo Valor
Domínio _tcp.contoso.com
Serviço _rmsdisco
Protocolo _http
Prioridade 0
Peso 0
Número da porta 443
Host que oferece esse serviço _rmsserver.contoso.com
Campo Valor
Domínio _tcp.fabrikam.com
Serviço _rmsdisco
Protocolo _http
Prioridade 0
Peso 0
Número da porta 443
Host que oferece esse serviço _rmsserver.contoso.com

Além desses registros SRV DNS para seu domínio de email, você deve criar outro registro SRV DNS no domínio de cluster RMS. Esse registro deve especificar os FQDNs do cluster RMS que protege o conteúdo. Cada arquivo protegido pelo RMS inclui uma URL para o cluster que protegeu o arquivo. Os dispositivos móveis usam o registro SRV DNS e o FQDN de URL especificado no registro para localizar o cluster RMS correspondente compatível com dispositivos móveis.

Por exemplo, se o cluster RMS for _rmsserver.contoso.com, crie um registro SRV DNS com os seguintes valores: _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com

Se você usar a função de servidor do DNS no Windows Server, use a seguinte tabela como um guia sobre como especificar as propriedades do registro SRV no console de gerenciamento do DNS:

Campo Valor
Domínio _tcp.contoso.com
Serviço _rmsdisco
Protocolo _http
Prioridade 0
Peso 0
Número da porta 443
Host que oferece esse serviço _rmsserver.contoso.com

Implantar a extensão para dispositivos móveis do AD RMS

Antes de instalar a extensão para dispositivos móveis do AD RMS, verifique se os pré-requisitos da seção anterior estão em vigor e se você sabe a URL do servidor AD FS. Em seguida, faça isso:

  1. Baixe a extensão para dispositivos móveis do AD RMS (ADRMS.MobileDeviceExtension.exe) no Centro de Download da Microsoft.
  2. Execute o ADRMS.MobileDeviceExtension.exe para iniciar o Assistente de Configuração da Extensão para Dispositivos Móveis do Active Directory Rights Management Services. Quando solicitado, insira a URL do servidor AD FS configurada anteriormente.
  3. Conclua o assistente.

Execute o assistente em todos os nós do cluster RMS.

Se tiver um servidor proxy entre o cluster AD RMS e os servidores AD FS, como padrão, seu cluster AD RMS não poderá contatar o serviço federado. Quando isso acontecer, o AD RMS não poderá verificar o token recebido do cliente móvel e rejeitará a solicitação. Se tiver um servidor proxy que bloqueie essa comunicação, você deve atualizar o arquivo web.config do site de extensão para dispositivos móveis do AD RMS, para que o AD RMS possa ignorar o servidor proxy quando precisar entrar em contato com os servidores do AD FS.

Atualizar configurações de proxy para a extensão para dispositivos móveis do AD RMS

  1. Abra o arquivo web.config localizado em \Arquivos de Programas\Active Directory Rights Management Services Mobile Device Extension\Web Service.

  2. Adicione o seguinte nó ao arquivo:

       <system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://<proxy server>:<port>"
                bypassonlocal="true"
        />
        <bypasslist>
            <add address="<AD FS URL>" />
        </bypasslist>
    </defaultProxy>
<system.net>

  3. Faça as seguintes alterações e salve o arquivo:

    • Substitua o <servidor proxy> pelo nome ou endereço do seu servidor proxy.
    • Substitua a <porta> pelo número da porta que o servidor proxy está configurado para usar.
    • Substitua a <URL do AD FS> pela URL do serviço de federação. Não inclua o prefixo HTTP.

    Observação

    Para saber mais sobre como substituir as configurações de proxy, veja a documentação de Configuração de Proxy.

  4. Redefina o IIS, por exemplo, executando iisreset como administrador em um prompt de comando.

Repita o procedimento em todos os nós.

Confira também

Saiba mais sobre a Proteção de Informações do Azure. Entre em contato com outros clientes AIP e gerentes de produto AIP usando o API yammer group.