Présentation de la fonctionnalité IRM dans des déploiements hybrides Exchange 2010
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Les fonctionnalités de gestion des droits relatifs à l’information (IRM) contribuent à la prévention des fuites d’informations sensibles en offrant une protection persistante, en ligne et hors connexion, des messages électroniques et des pièces jointes. Exchange 2010 prend en charge la gestion des droits relatifs à l’information dans votre organisation locale et Exchange Online, dans Office 365 pour entreprises. Il y a cependant des différences entre les deux types de mises en œuvre et vous devez configurer les fonctionnalités IRM dans l’organisation Exchange Online avant que les utilisateurs de cette organisation puissent s’en servir.
La fonctionnalité IRM utilise les services AD RMS (Active Directory Rights Management Services), un composant de Windows Server 2008 R2. Les services AD RMS permettent de créer du contenu protégé par des droits tel que des messages électroniques et des pièces jointes et de contrôler la manière dont ce contenu est utilisé ainsi que ses destinataires. Les utilisateurs peuvent spécifier des modèles qui définissent la manière dont le contenu peut être utilisé. Ils peuvent, par exemple, spécifier que l’envoi d’un message électronique à d’autres destinataires n’est pas autorisé ou bien que les informations de ce message ne peuvent pas être copiées.
En savoir plus sur les fonctionnalités IRM dans Exchange 2010 sur : Présentation de la gestion des droits relatifs à l'information
En savoir plus sur les services AD RMS sur : Présentation des services AD RMS (Active Directory Rights Management Services)
En savoir plus sur la configuration des fonctionnalités IRM sur : Configurer la fonctionnalité IRM dans des déploiements hybrides Exchange 2010
IRM dans les déploiements hybrides
Exchange utilise des serveurs AD RMS dans la forêt Active Directory dans laquelle le serveur Exchange est installé. Pour vos serveurs Exchange 2010 locaux, le serveur AD RMS local est utilisé. Pour votre organisation Exchange Online, on utilise des serveurs AD RMS gérés dans les datacenters Microsoft Office 365. La configuration AD RMS utilisée par chaque organisation Exchange est indépendante de tout autre déploiement AD RMS.
La configuration AD RMS, et donc la configuration IRM, n’est pas automatiquement répliquée entre votre organisation Exchange locale et l’organisation Exchange Online. Tous les modèles AD RMS que vous avez définis ne sont pas automatiquement copiés dans l’organisation Exchange Online. Si vous souhaitez que les même modèles AD RMS soient disponibles dans l’organisation Exchange Online, vous devez effectuer une exportation manuelle de ces modèles depuis votre organisation locale et les appliquer à l’organisation en nuage. Voir la rubrique Configuration IRM dans des déploiements hybrides plus loin dans cette section.
Expérience de l’utilisateur
La configuration IRM appliquée à un utilisateur dépend de l’application cliente dont l’utilisateur se sert et de l’emplacement de sa boîte aux lettres. Le tableau suivant présente le serveur AD RMS dont un utilisateur se servira.
Serveur AD RMS actif
| Client | Boîte aux lettres locale | Boite aux lettres en nuage |
|---|---|---|
Outlook 2007 ou Outlook 2010 |
AD RMS local |
AD RMS local |
Outlook Web App |
AD RMS local |
Exchange Online AD RMS |
Périphérique ActiveSync |
AD RMS local |
Exchange Online AD RMS |
Selon la configuration AD RMS utilisée dans vos organisations locales et Exchange Online, il est possible qu’un utilisateur se servant d’Outlook 2007 et d’Outlook Web App puisse voir différents modèles AD RMS. C’est la raison pour laquelle nous vous recommandons d’utiliser les mêmes modèles dans vos organisations locales et Exchange Online.
Il ne devrait y avoir aucune différence au niveau de l'expérience de gestion des droits relatifs à l’information pour les utilisateurs clients d’Outlook, que leur boîte aux lettres se trouve dans l’organisation locale ou dans l’organisation Exchange Online.
Un utilisateur d’Outlook Web App dont la boîte aux lettres se trouve sur un serveur Exchange 2010 peut accéder aux messages protégés par des droits uniquement après avoir installé le complément de gestion des droits pour Internet Explorer. Ils ne peuvent répondre à des messages protégés par des droits ou en créer de nouveaux.
Un utilisateur d’Outlook Web App dont la boîte aux lettres se trouve dans Exchange Online peut accéder à des messages protégés par des droits sans logiciel supplémentaire. Il peut, en outre, répondre à des messages protégés par des droits et en créer de nouveaux.
Fonctionnalité du serveur
Les serveurs Exchange 2010 locaux utilisent l’agent de pré-licence AD RMS pour déchiffrer les messages protégés par des droits afin que les utilisateurs n’aient pas à fournir d’informations d’identification lorsqu’ils ouvrent ces messages. Le serveur Exchange 2010 local contacte le serveur AD RMS local pour vérifier les stratégies et droits d’utilisation et demander l’autorisation de déchiffrer le message.
L’organisation Exchange Online fournit différentes fonctionnalités IRM en supplément qui utilisent la technologie Exchange Online AD RMS. Ces fonctionnalités, telles que le déchiffrement des rapports de journal, permettent de mettre à disposition des services d’Exchange le contenu des messages protégés par des droits à des fins de traitement supplémentaire. Les contenus déchiffrés d’un message de journal, par exemple, peuvent être enregistrés avec le message initial protégé par des droits afin de faciliter la découverte. En outre, les modèles IRM peuvent être automatiquement appliqués aux messages à l’aide des règles de protection Outlook ou des règles de transport pour s’assurer de la conformité des messages par rapport aux stratégies des organisations en matière de protection des informations.
Configuration IRM dans des déploiements hybrides
L’IRM dans Exchange s’appuie sur la technologie AD RMS déployée dans la forêt Active Directory dans laquelle réside le serveur Exchange. La configuration d’AD RMS n’est pas automatiquement synchronisée entre l’organisation locale et l’organisation Exchange Online. Vous devez effectuer une exportation manuelle de la configuration AD RMS, connu en tant que domaine de publication approuvé, de votre serveur AD RMS local et importer cette configuration dans l’organisation Exchange Online. Le domaine de publication approuvé inclut la configuration AD RMS, y compris les modèles, dont l’organisation Exchange Online a besoin pour utiliser l’IRM.
Pour plus d’informations, voir : Considérations relatives au domaine de publication approuvé de la technologie AD RMS (peut-être en anglais)
Outre l’application de votre configuration AD RMS locale à l’organisation Exchange Online, vous devez vous assurer que vos serveurs AD RMS peuvent être contactés par les applications clientes Outlook et ActiveSync externes à votre réseau local. Vous devez procéder à cette vérification si vous souhaitez que ces clients accèdent aux messages protégés par des droits en dehors de votre réseau local.
Après avoir configuré votre réseau local et exporté les données de domaine de publication approuvé, vous devez configurer l’organisation Exchange Online en important les données de domaine de publication approuvé et en activant la fonctionnalité IRM.
.gif "Remarque") Remarque : |
|---|
| Chaque fois que vous modifiez votre configuration AD RMS locale, vous devez appliquer la nouvelle configuration manuellement à l’organisation Exchange Online. Pour cela, exportez les données de domaine de publication approuvé de votre serveur AD RMS local et importez-les dans l’organisation Exchange Online. |
Pour plus d’informations, voir : Configurer la fonctionnalité IRM dans des déploiements hybrides Exchange 2010
© 2010 Microsoft Corporation. Tous droits réservés.