Déploiement du connecteur Microsoft Rights Management

Utilisez ces informations pour en savoir plus sur le connecteur Microsoft Rights Management, puis sur la façon de le déployer correctement pour votre organisation. Ce connecteur fournit une protection des données pour les déploiements locaux existants qui utilisent Microsoft Exchange Server, SharePoint Server ou des serveurs de fichiers qui exécutent Windows Server et l’infrastructure de classification de fichiers (FCI).

Vue d'ensemble du connecteur Microsoft Rights Management

Le connecteur Microsoft Rights Management (RMS) permet d'activer rapidement des serveurs locaux existants pour utiliser les services RMS avec le service Microsoft Rights Management (Azure RMS) basé sur le cloud. Cette fonctionnalité permet au service informatique et aux utilisateurs de protéger facilement des documents et des images à l'intérieur comme à l'extérieur de l'organisation, sans avoir à installer des infrastructures supplémentaires ou à établir des relations de confiance avec d'autres organisations.

Le connecteur RMS est un service à faible encombrement que vous installez localement, sur les serveurs qui exécutent Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012. Outre la possibilité d'exécuter le connecteur sur des ordinateurs physiques, vous pouvez l'exécuter sur des machines virtuelles, y compris des machines virtuelles Azure IaaS. Une fois déployé, le connecteur joue le rôle d’interface de communication (relais) entre les serveurs locaux et le service cloud, comme le montre l’illustration suivante. Les flèches indiquent le sens dans lequel les connexions réseau sont démarrées.

Vue d’ensemble de l’architecture du connecteur RMS

Serveurs locaux pris en charge

Le connecteur RMS prend en charge les serveurs locaux suivants : Exchange Server, SharePoint Server, ainsi que les serveurs de fichiers exécutant Windows Server et utilisant l’infrastructure de classification des fichiers pour classer et appliquer des stratégies à des documents Office dans un dossier.

Notes

Si vous voulez protéger plusieurs types de fichiers (pas seulement les documents Office) à l’aide de l’Infrastructure de classification des fichiers, n’utilisez pas le connecteur RMS, mais des applets de commande AzureInformationProtection.

Pour connaître les versions de ces serveurs locaux qui sont prises en charge par le connecteur RMS, consultez Serveurs locaux qui prennent en charge Azure RMS.

Prise en charge des scénarios hybrides

Vous pouvez utiliser ce connecteur RMS même si certains de vos utilisateurs se connectent à des services en ligne dans le cadre d’un scénario hybride. Par exemple, les boîtes aux lettres de certains utilisateurs utilisent Exchange Online et celles d'autres utilisateurs utilisent Exchange Server. Après installation du connecteur RMS, tous les utilisateurs peuvent protéger et consommer des courriers électroniques et pièces jointes à l'aide d'Azure RMS, et la protection des informations fonctionne de façon transparente entre les deux configurations de déploiement.

Prise en charge des clés gérées par le client (BYOK)

Si vous gérez votre propre clé de locataire pour Azure RMS (scénario BYOK, Bring You Own Key), le connecteur RMS et les serveurs locaux qui l’utilisent n’accèdent pas au module de sécurité matériel (HSM) qui contient votre clé de locataire. En effet, toutes les opérations de chiffrement qui utilisent la clé de locataire sont effectuées dans Azure RMS et non en local.

Si vous voulez découvrir plus en détail ce scénario dans lequel vous gérez votre clé de locataire, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.

Conditions requises pour l'installation du connecteur RMS

Avant d'installer le connecteur RMS, assurez-vous que les conditions requises suivantes sont remplies.

Condition requise Informations complémentaires
Le service de protection est activé Activation du service de protection à partir d’Azure Information Protection
Synchronisation des annuaires entre vos forêts Active Directory locales et Azure Active Directory Une fois RMS activé, Azure Active Directory doit être configuré pour travailler avec les utilisateurs et les groupes de votre base de données Active Directory.

Important : vous devez effectuer cette étape de synchronisation des annuaires pour que le connecteur RMS fonctionne, même pour un réseau de test. Bien que vous puissiez utiliser Microsoft 365 et Azure Active Directory à l’aide de comptes que vous créez manuellement dans Azure Active Directory, ce connecteur nécessite que les comptes dans Azure Active Directory soient synchronisés avec services de domaine Active Directory ; la synchronisation manuelle des mots de passe n’est pas suffisante.

Pour plus d’informations, consultez les ressources suivantes :

- Intégrer des domaines Active Directory local à Azure Active Directory

- Comparaison des outils d’intégration d’annuaires d’identité hybride
Au moins deux ordinateurs membres sur lesquels installer le connecteur RMS :

- Ordinateur physique ou virtuel 64 bits exécutant l’un des systèmes d’exploitation suivants : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012.

- 1 Go de RAM minimum.

- 64 Go d’espace disque minimum.

- Au moins une interface réseau.

- Accès à Internet via un pare-feu (ou un proxy web) qui ne nécessite pas d’authentification.

- Un emplacement au sein d’une forêt ou d’un domaine qui approuve les autres forêts de l’organisation contenant les installations des serveurs Exchange ou SharePoint à utiliser avec le connecteur RMS.

- .NET 4.7.2 installé. Selon votre système, vous devrez peut-être le télécharger et l’installer séparément.
Pour une tolérance de panne et une haute disponibilité, vous devez installer le connecteur RMS sur un minimum de deux ordinateurs.

Conseil : si vous utilisez Outlook Web Access ou des appareils mobiles qui utilisent Exchange ActiveSync IRM et qu’il est essentiel de maintenir l’accès aux messages électroniques et pièces jointes protégés par Azure RMS, nous vous recommandons de déployer un groupe de serveurs de connecteur faisant l’objet d’un équilibrage de charge pour garantir une haute disponibilité.

Vous n'avez pas besoin de serveurs dédiés pour exécuter le connecteur, mais vous devez l'installer sur un ordinateur différent des serveurs qui utiliseront le connecteur.

Important : n’installez pas le connecteur sur un ordinateur qui exécute Exchange Server, SharePoint Server ou un serveur de fichiers configuré pour l’infrastructure de classification des fichiers si vous voulez utiliser la fonctionnalité depuis ces services avec Azure RMS. En outre, n'installez pas ce connecteur sur un contrôleur de domaine.

Si vous avez des charges de travail de serveur que vous souhaitez utiliser avec le connecteur RMS, mais que leurs serveurs se trouvent dans des domaines qui ne sont pas approuvés par le domaine depuis lequel vous souhaitez exécuter le connecteur, vous pouvez installer des serveurs supplémentaires pour le connecteur RMS dans ces domaines non approuvés ou dans d’autres domaines de leur forêt.

Le nombre de serveurs de connecteur que vous pouvez exécuter pour votre organisation n’est pas limité et tous les serveurs de connecteur installés dans une organisation partagent la même configuration. Toutefois, pour configurer le connecteur pour autoriser des serveurs, vous devez être en mesure de rechercher le serveur ou les comptes de service que vous souhaitez autoriser, ce qui signifie que vous devez exécuter l’outil d’administration RMS dans une forêt depuis laquelle vous pouvez rechercher ces comptes.
TLS version 1.2 Pour plus d’informations, consultez Appliquer TLS 1.2 pour le connecteur Azure RMS.

Procédure de déploiement du connecteur RMS

Étant donné que le connecteur ne vérifie pas automatiquement toutes les conditions préalables nécessaires à la réussite d’un déploiement, assurez-vous qu’elles sont réunies avant de commencer. À cet effet, vous devez installer le connecteur, le configurer et configurer ensuite les serveurs appelés à utiliser le connecteur.

Étapes suivantes

Accédez à Étape 1 : Installation et configuration du connecteur Microsoft Rights Management.