Configuration de la Gestion des droits relatifs à l’information (IRM) pour utiliser un serveur AD RMS local

Exchange Online
 

Sapplique à :Exchange Online

Dernière rubrique modifiée :2016-12-09

La Gestion des droits relatifs à l'information (IRM, Information Rights Management) dans Exchange Online utilise les services AD RMS (Active Directory Rights Management Services), une technologie de protection des informations de Windows Server 2008 et versions ultérieures. La protection IRM permet d'appliquer un modèle de stratégie de droits AD RMS à un message électronique. Les droits d’utilisation sont liés au message lui-même ; ainsi la protection est assurée en ligne comme hors connexion, et à l’intérieur ou à l’extérieur du pare-feu de votre organisation.

Cette rubrique décrit la configuration de la gestion des droits relatifs à l'information de manière à utiliser un serveur AD RMS. Pour en savoir plus sur la manière d’accomplir la même tâche à l’aide de Microsoft Azure Rights Management, consultez la rubrique Configurer IRM pour utiliser Azure Rights Management.

Pour en savoir plus sur la Gestion des droits relatifs à l'information dans Exchange Online, consultez la rubrique Gestion des droits relatifs à l'information (IRM) dans Exchange Online.

ConseilConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection

La première étape consiste à exporter un domaine de publication approuvé vers un fichier XML local à partir du serveur AD RMS local. Le domaine de publication approuvé contient les paramètres suivants requis pour utiliser les fonctionnalités RMS :

  • le certificat de licence serveur (SLC) utilisé pour signer et chiffrer les certificats et licences ;

  • les URL utilisées pour les licences et les publications ;

  • les modèles de stratégie de droits AD RMS créés avec le SLC spécifique au domaine de publication approuvé.

Quand vous importez le domaine de publication approuvé, il est stocké et protégé dans Exchange Online.

  1. Ouvrez la console Active Directory Rights Management Services et développez le cluster AD RMS.

  2. Dans l'arborescence de la console, développez Stratégies d'approbation, puis cliquez sur Domaines de publication approuvés.

  3. Dans le volet des résultats, sélectionnez le certificat du domaine à exporter.

  4. Dans le volet Actions, cliquez sur Exporter le domaine de publication approuvé.

  5. Dans la zone Fichier de domaine de publication, cliquez sur Enregistrer sous pour enregistrer le fichier dans un emplacement spécifique sur l'ordinateur local. Entrez un nom de fichier et assurez-vous de spécifier l'extension de fichier .xml, puis cliquez sur Enregistrer.

  6. Dans les zones Mot de passe et Confirmer le mot de passe, entrez un mot de passe fort qui sera utilisé pour chiffrer le fichier de domaine de publication approuvé. Vous devrez spécifier ce mot de passe lors de l'importation du domaine de publication approuvé vers votre système de messagerie en nuage.

Après avoir exporté le domaine de publication approuvé vers un fichier XML, vous devez l'importer dans Exchange Online. Quand un domaine de publication approuvé est importé, les modèles AD RMS de votre organisation sont également importés. Quand le premier domaine de publication approuvé est importé, il devient le domaine de publication approuvé par défaut de votre organisation en nuage. Si vous importez un autre domaine de publication approuvé, vous pouvez utiliser le commutateur Par défaut pour le définir en tant que domaine de publication approuvé par défaut disponible aux utilisateurs.

Pour importer le domaine de publication approuvé, exécutez la commande suivante dans Windows PowerShell :

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path <path to exported TPD file> -ReadCount 0)) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

Vous pouvez obtenir les valeurs des paramètres ExtranetLicensingUrl et IntranetLicensingUrl dans la console Active Directory Rights Management Services. Sélectionnez le cluster AD RMS dans l'arborescence de la console. Les URL des licences s'affichent dans le volet des résultats. Ces URL sont utilisées par les clients de messagerie quand le contenu doit être déchiffré et quand Exchange Online doit déterminer quel domaine de publication approuvé il convient d'utiliser.

Quand vous utilisez cette commande, vous êtes invité à saisir un mot de passe. Entrez le mot de passe que vous avez spécifié lors de l'exportation du domaine de publication approuvé à partir de votre serveur AD RMS.

Par exemple; la commande suivante importe le domaine de publication approuvé appelé « Exported TPD », à l'aide du fichier XML exporté à partir de votre serveur AD RMS et enregistré sur l'ordinateur de votre compte d'administrateur. Le paramètre Nom est utilisé pour spécifier un nom pour le domaine de publication approuvé.

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\ExportTPD.xml -ReadCount 0)) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Pour plus d'informations sur la syntaxe et les paramètres, consultez la rubrique Import-RMSTrustedPublishingDomain.

Pour vérifier que le domaine de publication a bien été importé, exécutez la cmdlet Get-RMSTrustedPublishingDomain pour récupérer les domaines de publication approuvés dans votre organisation Exchange Online. Pour plus de détails, consultez les exemples de la rubrique Get-RMSTrustedPublishingDomain.

Après avoir importé le domaine de publication approuvé, vous devez vous assurer qu'un modèle de stratégie de droits AD RMS est distribué. Un modèle distribué est visible aux utilisateurs d'Outlook Web App, qui peuvent ensuite l'appliquer à un message électronique.

Pour renvoyer une liste de tous les modèles du domaine de publication approuvé par défaut, exécutez la commande suivante :

Get-RMSTemplate -Type All | fl

Si la valeur du paramètre Type est Archived, le modèle n'est pas visible aux utilisateurs. Seuls les modèles distribués dans le domaine de publication approuvé par défaut sont disponibles dans Outlook Web App.

Pour distribuer un modèle, exécutez la commande suivante :

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Par exemple, la commande suivante importe le modèle « Propriétaire ».

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques Get-RMSTemplate et Set-RMSTemplate.

Modèle Ne pas transférer

Quand vous importez le domaine de publication approuvé par défaut de votre organisation locale dans Exchange Online, un modèle de stratégie de droits AD RMS nommé Ne pas transférer est importé. C'est le modèle distribué par défaut quand vous importez le domaine de publication approuvé par défaut. Vous ne pouvez pas utiliser la cmdlet Set-RMSTemplate pour modifier le modèle Ne pas transférer.

Quand ce modèle est appliqué à un message, seuls les destinataires peuvent lire le message. De plus, les destinataires ne peuvent pas effectuer les opérations suivantes :

  • transférer le message à une autre personne ;

  • copier le contenu du message ;

  • imprimer le message.

ImportantImportant :
Le modèle Ne pas transférer ne peut pas empêcher qu'un message soit copié avec un programme de capture d'écran tiers, pris en photo, ou simplement copié à la main par les utilisateurs.

Vous pouvez créer des modèles de stratégie de droits AD RMS supplémentaires sur le serveur AD RMS de votre organisation locale pour répondre aux exigences de protection IRM. Si vous créez des modèles de stratégie de droits AD RMS supplémentaires, vous devez de nouveau exporter le domaine de publication approuvé à partir du serveur AD RMS local et l'actualiser dans l'organisation de messagerie en nuage.

Pour vérifier qu’un modèle de stratégie de droits AD RMS a été distribué correctement, exécutez la cmdlet Get-RMSTemplate pour vérifier les propriétés du modèle. Pour plus de détails, consultez les exemples de la rubrique Get-RMSTemplate.

Après avoir importé le domaine de publication approuvé et distribué un modèle de stratégie de droits AD RMS, exécutez la commande suivante pour activer la Gestion des droits relatifs à l'information dans votre organisation de messagerie en nuage.

Set-IRMConfiguration -InternalLicensingEnabled $true

Pour plus d'informations sur la syntaxe et les paramètres, consultez la rubrique Set-IRMConfiguration.

Pour vérifier que l'IRM a bien été activée, exécutez la cmdlet Get-IRMConfiguration pour vérifier la configuration IRM dans l'organisation Exchange Online.

Pour vérifier que vous avez correctement importé le domaine de publication approuvé et activé la fonctionnalité IRM, procédez comme suit :

  • Exécutez la cmdlet Test-IRMConfiguration pour tester la fonctionnalité IRM. Pour plus d'informations, consultez « Exemple 1 » dans la rubrique Test-IRMConfiguration.

  • Rédigez un nouveau message dans Outlook Web App et protégez-le à l'aide de la fonctionnalité IRM en sélectionnant Définir les autorisations dans le menu étendu (Icône Options supplémentaires).

 
Afficher: