Active Directory Rights Management Services 모바일 디바이스 확장
Microsoft 다운로드 센터에서 AD RMS(Active Directory Rights Management Services) 모바일 장치 확장을 다운로드하고 기존 AD RMS 배포 위에 이 확장을 설치할 수 있습니다. 장치에서 최신 API 지원 앱을 사용하는 경우 사용자가 이 확장을 통해 중요한 데이터를 보호하고 사용할 수 있습니다. 예를 들어 사용자는 모바일 장치에서 다음을 수행할 수 있습니다.
- Azure Information Protection 앱을 사용하여 보호된 텍스트 파일을 다양한 형식으로 사용합니다(.txt, .csv, .xml 등).
- Azure Information Protection 앱을 사용하여 보호된 이미지 파일을 사용합니다(.jpg, .gif, .xml 등).
- Azure Information Protection 앱을 사용하여 일반적으로 보호된 모든 파일을 엽니다(.pfile 형식).
- Azure Information Protection 앱을 사용하여 PDF 복사본(.pdf 및 .ppdf 형식)인 Office 파일(Word, Excel, PowerPoint)을 엽니다.
- Azure Information Protection 앱을 사용하여 Microsoft SharePoint에서 보호된 이메일 메시지(.rpmsg) 및 보호된 PDF 파일을 엽니다.
- 플랫폼 간 보기 또는 AIP 지원 애플리케이션으로 보호된 PDF 파일을 열려면 AIP 지원 PDF 뷰어를 사용합니다.
- MIP SDK로 쓰여진 내부 개발 AIP 지원 앱을 사용합니다.
참고 항목
Microsoft 웹 사이트의 Microsoft Rights Management 페이지에서 Azure Information Protection 앱을 다운로드할 수 있습니다. 모바일 디바이스 확장에서 지원되는 다른 앱에 대한 자세한 내용은 이 설명서의 응용 프로그램 페이지에 있는 표를 참조하세요. RMS에서 지원하는 다양한 파일 형식에 대한 자세한 내용은 Rights Management 공유 응용 프로그램 관리자 가이드의 지원되는 파일 형식 및 파일 이름 확장명 섹션을 참조하세요.
Important
모바일 장치 확장을 설치하기 전에 필수 구성 요소를 읽고 구성해야 합니다.
자세한 내용을 보려면 Microsoft 다운로드 센터에서 "Microsoft Azure Information Protection" 백서 및 함께 제공되는 스크립트를 다운로드하세요.
AD RMS 모바일 장치 확장에 대한 필수 구성 요소
AD RMS 모바일 장치 확장을 설치하기 전에 다음의 종속성이 구현되어 있는지 확인합니다.
| 요건 | 자세한 정보 |
|---|---|
| Windows Server 2019, 2016, 2012 R2 또는 2012에 대한 기존 AD RMS 배포에는 다음이 포함됩니다. - AD RMS 클러스터는 인터넷에서 액세스할 수 있어야 합니다. - AD RMS는 동일한 서버의 테스트에 자주 사용되는 Windows 내부 데이터베이스가 아니라 별도의 서버에 있는 전체 Microsoft SQL Server 기반 데이터베이스를 사용해야 합니다. - 모바일 장치 확장을 설치하는 데 사용할 계정에는 AD RMS에 사용하는 SQL Server 인스턴스에 대한 sysadmin 권한이 있어야 합니다. - AD RMS 서버는 모바일 장치 클라이언트가 신뢰하는 유효한 x.509 인증서와 함께 SSL/TLS를 사용하도록 구성되어야 합니다. - AD RMS 서버가 방화벽 뒤에 있거나 역방향 프록시를 사용하여 게시된 경우 /_wmcs 폴더를 인터넷에 게시하는 것 외에도 /my 폴더(예: _https://RMSserver.contoso.com/my)도 게시해야 합니다. |
AD RMS 필수 구성 요소 및 배포 정보에 대한 자세한 내용은 이 문서의 필수 구성 요소 섹션을 참조하세요. |
| Windows 서버에 배포된 AD FS: - 인터넷에서 AD FS 서버 팜에 액세스할 수 있어야 합니다(페더레이션 서버 프록시를 배포한 경우). - 양식 기반 인증은 지원되지 않습니다. Windows 통합 인증을 사용해야 합니다. 중요: AD FS는 AD RMS 및 모바일 장치 확장을 실행하는 컴퓨터와 다른 컴퓨터를 실행해야 합니다. |
AD FS에 대한 설명서는 Windows Server 라이브러리의 Windows Server AD FS Deployment Guide(Windows Server AD FS 배포 가이드)를 참조하세요. 모바일 디바이스 확장에 대해 AD FS를 구성해야 합니다. 자세한 내용은 이 항목의 AD RMS 모바일 장치 확장에 대한 AD FS 구성 섹션을 참조하세요. |
| 모바일 장치는 RMS 서버(또는 서버)에서 PKI 인증서를 신뢰해야 합니다. | VeriSign 또는 Comodo와 같은 공용 CA에서 서버 인증서를 구입하는 경우 모바일 장치는 이미 이러한 인증서에 대한 루트 CA를 신뢰하므로 이러한 장치는 추가 구성 없이 서버 인증서를 신뢰합니다. 그러나 자체 내부 CA를 사용하여 RMS용 서버 인증서를 배포하는 경우 모바일 장치에 루트 CA 인증서를 설치하기 위한 추가 단계를 수행해야 합니다. 이렇게 하지 않으면 모바일 장치가 RMS 서버와의 성공적인 연결을 설정할 수 없습니다. |
| DNS의 SRV 레코드 | 회사에서 하나 이상의 SRV 레코드를 만듭니다기본기본 1: 사용자가 사용할 각 전자 메일에 대한 레코드 만들기기본 접미사 2: 클러스터 이름을 포함하지 않고 콘텐츠를 보호하기 위해 RMS 클러스터에서 사용하는 모든 FQDN에 대한 레코드 만들기 이러한 레코드는 연결 모바일 장치가 사용하는 모든 네트워크에서 확인할 수 있어야 합니다. 여기에는 모바일 장치가 인트라넷을 통해 연결하는 경우 인트라넷이 포함됩니다. 사용자가 모바일 장치에서 이메일 주소를 제공하는 경우 AD RMS 인프라 또는 Azure AIP를 사용해야 하는지를 식별하기 위해 도메인 접미사를 사용합니다. SRV 레코드가 발견되면 클라이언트는 해당 URL에 응답하는 AD RMS 서버로 리디렉션됩니다. 사용자가 모바일 장치에서 보호된 콘텐츠를 사용하는 경우 클라이언트 응용 프로그램은 DNS에서 (클러스터 이름이 없는) 콘텐츠를 보호한 클러스터의 URL에 있는 FQDN과 일치하는 레코드를 찾습니다. 그런 다음 디바이스가 DNS 레코드에 지정된 AD RMS 클러스터로 이동되고 콘텐츠를 여는 라이선스를 획득합니다. 대부분의 경우 RMS 클러스터는 콘텐츠를 보호한 동일한 RMS 클러스터가 됩니다. SRV 레코드를 지정하는 방법에 대한 자세한 내용은 이 항목의 AD RMS 모바일 장치 확장 섹션에 대한 DNS SRV 레코드 지정 섹션을 참조하세요. |
| 이 플랫폼에 MIP SDK를 사용하여 개발된 애플리케이션을 사용하는 지원되는 클라이언트입니다. | Microsoft Azure Information Protection 다운로드 페이지의 링크를 사용하여 사용하는 장치에 대해 지원되는 앱을 다운로드합니다. |
AD RMS 모바일 디바이스 확장에 대한 AD FS 구성
먼저 AD FS를 구성한 다음 사용하려는 장치에 대한 AIP 앱에 권한을 부여해야 합니다.
1단계: AD FS를 구성하려면
- Windows PowerShell 스크립트를 실행하여 AD RMS 모바일 디바이스 확장을 지원하도록 AD FS를 자동으로 구성하거나 구성 옵션 및 값을 수동으로 지정할 수 있습니다.
- AD RMS 모바일 장치 확장에 대한 AD FS를 자동으로 구성하려면 다음을 복사하여 Windows PowerShell 스크립트 파일에 붙여넣은 다음 실행합니다.
# This Script Configures the Microsoft Rights Management Mobile Device Extension and Claims used in the ADFS Server
# Check if Microsoft Rights Management Mobile Device Extension is configured on the Server
$CheckifConfigured = Get-AdfsRelyingPartyTrust -Identifier "api.rms.rest.com"
if ($CheckifConfigured)
{
Write-Host "api.rms.rest.com Identifer used for Microsoft Rights Management Mobile Device Extension is already configured on this Server"
Write-Host $CheckifConfigured
}
else
{
Write-Host "Configuring Microsoft Rights Management Mobile Device Extension "
# TransformaRules used by Microsoft Rights Management Mobile Device Extension
# Claims: E-mail, UPN and ProxyAddresses
$TransformRules = @"
@RuleTemplate = "LdapClaims"
@RuleName = "Jwt Token"
c:[Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
"http://schemas.xmlsoap.org/claims/ProxyAddresses"), query =
";mail,userPrincipalName,proxyAddresses;{0}", param = c.Value);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]
=> issue(claim = c);
@RuleTemplate = "PassThroughClaims"
@RuleName = "JWT pass through Proxy addresses"
c:[Type == "http://schemas.xmlsoap.org/claims/ProxyAddresses"]
=> issue(claim = c);
"@
# AuthorizationRules used by Microsoft Rights Management Mobile Device Extension
# Allow All users
$AuthorizationRules = @"
@RuleTemplate = "AllowAllAuthzRule"
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit",
Value = "true");
"@
# Add a Relying Part Truest with Name -"Microsoft Rights Management Mobile Device Extension" Identifier "api.rms.rest.com"
Add-ADFSRelyingPartyTrust -Name "Microsoft Rights Management Mobile Device Extension" -Identifier "api.rms.rest.com" -IssuanceTransformRules $TransformRules -IssuanceAuthorizationRules $AuthorizationRules
Write-Host "Microsoft Rights Management Mobile Device Extension Configured"
}
- AD RMS 모바일 장치 확장에 대한 AD FS를 수동으로 구성하려면 다음 설정을 사용합니다.
| Configuration | 값 |
|---|---|
| 신뢰 당사자 트러스트 | _api.rms.rest.com |
| 클레임 규칙 | 특성 저장소: Active Directory 이메일 주소: 이메일 주소 사용자 계정 이름: UPN 프록시 주소: _https://schemas.xmlsoap.org/claims/ProxyAddresses |
팁
AD FS를 사용하여 AD RMS를 배포하는 예제에 대한 단계별 지침은 Deploying Active Directory Rights Management Services with Active Directory Federation Services(Active Directory Federation Services 사용하여 Active Directory Rights Management Services 배포)를 참조하세요.
2단계: 장치에 대한 앱 권한 부여
- 변수를 바꾼 후 다음 Windows PowerShell 명령을 실행하여 Azure Information Protection 앱에 대한 지원을 추가합니다. 표시된 순서대로 두 명령을 모두 실행해야 합니다.
Add-AdfsClient -Name "R<your application name> " -ClientId "<YOUR CLIENT ID >" -RedirectUri @("<YOUR REDIRECT URI >")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '<YOUR CLIENT ID>' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Powershell 예제
Add-AdfsClient -Name "Fabrikam application for MIP" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.fabrikam.MIPAPP://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Azure Information Protection unified labeling client(Azure Information Protection 통합 레이블 지정 클라이언트)의 경우 다음 Windows PowerShell 명령을 실행하여 장치에서 Azure Information Protection 클라이언트에 대한 지원을 추가합니다.
Add-AdfsClient -Name "Azure Information Protection Client" -ClientId "c00e9d32-3c8d-4a7d-832b-029040e7db99" -RedirectUri @("com.microsoft.azip://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier "c00e9d32-3c8d-4a7d-832b-029040e7db99" -ServerRoleIdentifier api.rms.rest.com -ScopeName "openid"
- Windows 2016 및 2019의 ADFS와 타사 제품의 ADRMS MDE를 지원하려면 다음 Windows PowerShell 명령을 실행합니다.
Add-AdfsClient -Name "YOUR APP" -ClientId 'YOUR CLIENT ID' -RedirectUri @("YOUR REDIRECT")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'YOUR CLIENT ID' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
Windows Server 2012 R2 이상에서 AD FS로 HYOK 또는 AD RMS로 보호된 콘텐츠를 사용하기 위해 Windows, Mac, 모바일 및 Office Mobile에서 AIP 클라이언트를 구성하려면 다음을 사용합니다.
- Mac 장치(RMS 공유 앱 사용)의 경우 다음 순서대로 두 명령을 실행해야 합니다.
Add-AdfsClient -Name "RMS Sharing App for macOS" -ClientId "96731E97-2204-4D74-BEA5-75DCA53566C3" -RedirectUri @("com.microsoft.rms-sharing-for-osx://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '96731E97-2204-4D74-BEA5-75DCA53566C3' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- iOS 장치(Azure Information Protection 앱 사용)의 경우 다음 순서대로 두 명령을 실행해야 합니다.
Add-AdfsClient -Name "Azure Information Protection app for iOS" -ClientId "9D7590FB-9536-4D87-B5AA-FAA863DCC3AB" -RedirectUri @("com.microsoft.rms-sharing-for-ios://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier '9D7590FB-9536-4D87-B5AA-FAA863DCC3AB' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
- Android 장치(Azure Information Protection 앱 사용)의 경우 다음 순서대로 두 명령을 모두 실행해야 합니다.
Add-AdfsClient -Name "Azure Information Protection app for Android" -ClientId "ECAD3080-3AE9-4782-B763-2DF1B1373B3A" -RedirectUri @("com.microsoft.rms-sharing-for-android://authorize")
Grant-AdfsApplicationPermission -ClientRoleIdentifier 'ECAD3080-3AE9-4782-B763-2DF1B1373B3A' -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
다음 PowerShell 명령을 실행하여 장치에서 Microsoft Office 앱에 대한 지원을 추가합니다.
- Mac, iOS, Android 장치의 경우 다음 순서대로 두 명령을 모두 실행해야 합니다.
Add-AdfsClient –Name "Office for Mac and Office Mobile" –ClientId "d3590ed6-52b3-4102-aeff-aad2292ab01c" –RedirectUri @("urn:ietf:wg:oauth:2.0:oob")
Set-AdfsClient -TargetClientId d3590ed6-52b3-4102-aeff-aad2292ab01c -RedirectUri "urn:ietf:wg:oauth:2.0:oob","launch-word://com.microsoft.Office.Word","launch-excel://com.microsoft.Office.Excel","launch-ppt://com.microsoft.Office.Powerpoint"
Grant-AdfsApplicationPermission -ClientRoleIdentifier d3590ed6-52b3-4102-aeff-aad2292ab01c -ServerRoleIdentifier api.rms.rest.com -ScopeNames "openid"
AD RMS 모바일 디바이스 확장에 대한 DNS SRV 레코드 지정
사용자가 사용하는 기본 각 전자 메일에 대한 DNS SRV 레코드를 만들어야 합니다. 모든 사용자가 한기본 부모 do기본s를 사용하고 이 연속 네임스페이스의 모든 사용자가 동일한 RMS 클러스터를 사용하는 경우 부모 do기본 하나의 SRV 레코드만 사용할 수 있으며 RMS는 적절한 DNS 레코드를 찾습니다.
SRV 레코드는 다음 형식을 사용합니다. _rmsdisco._http._tcp.<emailsuffix> <portnumber> <RMSClusterFQDN>
참고 항목
<>portnumber에 443을 지정합니다. DNS에서 다른 포트 번호를 지정할 수 있지만 모바일 장치 확장을 사용하는 장치는 항상 443을 사용합니다.
예를 들어 조직에 다음 전자 메일 주소가 있는 사용자가 있는 경우:
- _user@contoso.com
- _user@sales.contoso.com
- _user@fabrikam.com인 사용자가 있고 rmsserver.contoso.com 클러스터가 아닌 다른 RMS 클러스터를 사용하는 contoso.com의 다른 하위 도메인이 없는 경우 다음 값을 가진 DNS SRV 레코드 2개를 만듭니다.
- _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
- _rmsdisco._http._tcp.fabrikam.com 443 _rmsserver.contoso.com
Windows Server에서 DNS 서버 역할을 사용하는 경우 DNS 관리자 콘솔의 SRV 레코드 속성에 대한 가이드로 다음 표를 사용합니다.
| 필드 | 값 |
|---|---|
| 도메인 | _tcp.contoso.com |
| 서비스 | _rmsdisco |
| 프로토콜 | _http |
| 우선 순위 | 0 |
| 가중치 | 0 |
| 포트 번호 | 443 |
| 이 서비스를 제공하는 호스트 | _rmsserver.contoso.com |
| 필드 | 값 |
|---|---|
| 도메인 | _tcp.fabrikam.com |
| 서비스 | _rmsdisco |
| 프로토콜 | _http |
| 우선 순위 | 0 |
| 가중치 | 0 |
| 포트 번호 | 443 |
| 이 서비스를 제공하는 호스트 | _rmsserver.contoso.com |
이메일 도메인에 대한 이러한 DNS SRV 레코드 외에도 RMS 클러스터 도메인에 다른 DNS SRV 레코드를 만들어야 합니다. 이 레코드는 콘텐츠를 보호하는 RMS 클러스터의 FQDN을 지정해야 합니다. RMS로 보호되는 모든 파일에는 해당 파일을 보호하는 클러스터에 대한 URL이 포함됩니다. 모바일 디바이스는 DNS SRV 레코드 및 레코드에 지정된 URL FQDN을 사용하여 모바일 디바이스를 지원할 수 있는 해당 RMS 클러스터를 찾습니다.
예를 들어 RMS 클러스터가 rmsserver.contoso.com이면 다음 값을 가진 DNS SRV 레코드를 만듭니다. _rmsdisco._http._tcp.contoso.com 443 _rmsserver.contoso.com
Windows Server에서 DNS 서버 역할을 사용하는 경우 DNS 관리자 콘솔의 SRV 레코드 속성에 대한 가이드로 다음 표를 사용합니다.
| 필드 | 값 |
|---|---|
| 도메인 | _tcp.contoso.com |
| 서비스 | _rmsdisco |
| 프로토콜 | _http |
| 우선 순위 | 0 |
| 가중치 | 0 |
| 포트 번호 | 443 |
| 이 서비스를 제공하는 호스트 | _rmsserver.contoso.com |
AD RMS 모바일 디바이스 확장 배포
AD RMS 모바일 장치 확장을 설치하기 전에 이전 섹션의 필수 조건이 구현되어 있고 AD FS 서버의 URL을 알고 있어야 합니다. 그런 다음 아래 작업을 수행합니다.
- Microsoft 다운로드 센터에서 AD RMS 모바일 장치 확장(ADRMS.MobileDeviceExtension.exe)을 다운로드합니다.
- ADRMS.MobileDeviceExtension.exe를 실행하여 Active Directory Rights Management Services 모바일 장치 확장 설치 마법사를 시작합니다. 메시지가 표시되면 이전에 구성한 AD FS 서버의 URL을 입력합니다.
- 마법사를 완료합니다.
RMS 클러스터의 모든 노드에서 이 마법사를 실행합니다.
AD RMS 클러스터와 AD FS 서버 사이에 프록시 서버가 있는 경우 기본적으로 AD RMS 클러스터는 페더레이션된 서비스에 연결할 수 없습니다. 이 경우 AD RMS는 모바일 클라이언트에서 받은 토큰을 확인할 수 없으며 요청을 거부합니다. 이 통신을 차단하는 프록시 서버가 있는 경우 AD RMS가 AD FS 서버에 연결해야 할 때 프록시 서버를 우회할 수 있도록 AD RMS 모바일 장치 확장 웹 사이트에서 web.config 파일을 업데이트해야 합니다.
AD RMS 모바일 장치 확장에 대한 프록시 설정 업데이트
\Program Files\Active Directory Rights Management Services Mobile Device Extension\Web Service에 있는 web.config 파일을 엽니다.
파일에 다음 노드를 추가합니다.
<system.net> <defaultProxy> <proxy proxyaddress="http://<proxy server>:<port>" bypassonlocal="true" /> <bypasslist> <add address="<AD FS URL>" /> </bypasslist> </defaultProxy> <system.net>파일을 다음과 같이 변경한 후 저장합니다.
- <프록시 서버>를 프록시 서버의 이름 또는 주소로 바꿉니다.
- <포트>를 프록시 서버가 사용하도록 구성된 포트 번호로 바꿉니다.
- <AD FS URL>을 페더레이션 서비스의 URL로 바꿉니다. HTTP 접두사를 포함하지 마십시오.
참고 항목
프록시 설정을 재정의하는 방법에 대한 자세한 내용은 프록시 구성 설명서를 참조하세요.
예를 들어 명령 프롬프트에서 iisreset을 관리자로 실행하여 IIS를 다시 설정합니다.
RMS 클러스터의 모든 노드에서 이 과정을 반복합니다.
참고 항목
Azure Information Protection 대해 자세히 알아보고, 다른 AIP 사용자 및 API Yammer 그룹을 사용하여 AIP 제품 관리자와 연락하세요.