Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La définition de stratégies de révocation propres à l'organisation nécessite une analyse et une planification minutieuses, car, bien que l'implémentation de la révocation renforce la sécurité du contenu protégé, elle peut empêcher les utilisateurs d'accéder à ce contenu. Vous pouvez définir les stratégies de révocation pour le déploiement de RMS à partir du site Web d'administration.
Révocation tierce partie
Le service d'inscription Microsoft étant l'émetteur du certificat de licence serveur du serveur de certification racine pour le déploiement RMS, Microsoft peut révoquer le certificat. Toutefois, Microsoft ne révoque un certificat de licence serveur que sur décision de justice.
Outre le service d'inscription Microsoft, vous pouvez spécifier une tierce partie pouvant révoquer le certificat de licence serveur de votre serveur RMS. Cette tierce partie peut être une entité externe ou une paire de clés publiques ou privées que l'administrateur génère au nom de l'organisation. La clé privée de la tierce partie spécifiée peut signer une liste de révocation qui révoque le certificat de licence serveur. Cette tierce partie est spécifiée par sa clé publique lors du déploiement de RMS. Les modèles de stratégie des droits de votre serveur peuvent également être configurés de manière à permettre aux tierces parties de révoquer le contenu, les manifestes d'application, les licences et les certificats émis par votre installation RMS. Pour plus d'informations, consultez « Création et modification de modèles de stratégie des droits » plus loin dans cette même rubrique.
Important
Si vous décidez de générer votre propre paire de clés afin de révoquer le certificat de licence serveur du serveur de certification racine, veillez à la conserver en lieu sûr.
La révocation d'un certificat de licence serveur est une décision importante, car elle rend non valides l'ensemble des licences et des certificats émis par votre installation RMS. Pour plus d'informations sur la révocation des certificats de licence serveur, consultez la rubrique « Révocation de certificats de licence serveur » plus loin dans cette même rubrique.
Définition de l'entrée en vigueur des listes de révocation
Une fois qu'une révocation est requise pour une partie donnée du contenu protégé, toutes les listes de révocation enregistrées sur les ordinateurs clients sont utilisées et prennent effet si une condition spécifiée se vérifie. Par conséquent, implémentez la révocation avec précaution, car les listes de révocation qui sont enregistrées sur les ordinateurs clients peuvent être appliquées plus largement que vous ne le souhaitez. Pour plus d'informations sur la configuration de cette option, consultez « Création et modification de modèles de stratégie des droits » plus loin dans cette même rubrique.
Recherche du point d'équilibre entre la sécurité et l'utilisation
Lorsque vous spécifiez une stratégie de révocation dans un modèle de stratégie des droits, évaluez la nécessité de renforcer la sécurité des documents au regard du risque pour les utilisateurs de rencontrer des problèmes d'utilisation de contenu, comme l'illustre l'exemple ci-après.
Lors de la configuration d'une liste de révocation dans un modèle de stratégie des droits, vous devez également spécifier la fréquence de mise à jour de cette liste. Pour qu'un contenu publié à l'aide de ce modèle de stratégie des droits puisse être utilisé, une liste de révocation doit figurer sur l'ordinateur de l'utilisateur et la période écoulée depuis sa date de création ne doit pas être supérieure à la fréquence de mise à jour spécifiée. Par exemple, si la fréquence de mise à jour a pour valeur 10, la liste de révocation doit avoir été créée au cours des 10 derniers jours. Si aucune liste de révocation ne figure sur l'ordinateur client ou que la période écoulée depuis la date de création de la liste est supérieure à la fréquence de mise à jour, l'application compatible RMS obtient la liste de révocation la plus récente à partir de l'emplacement que vous avez spécifié dans la licence d'utilisation. Toutefois, un utilisateur qui n'est pas connecté au réseau peut ne pas être en mesure d'obtenir une liste de révocation à jour et, par conséquent, d'utiliser le contenu.
Les suggestions suivantes permettent de limiter ce problème :
- Spécifiez la fréquence de mise à jour d'une liste de révocation avec précaution et faites en sorte que les utilisateurs puissent toujours accéder facilement à une liste de révocation à jour.
- Mettez à disposition les listes de révocation à partir d'URL accessibles de l'intérieur et de l'extérieur du réseau d'entreprise.
- Utilisez Microsoft® Systems Management Server (SMS) ou une méthode similaire pour distribuer les copies mises à jour des listes de révocation à chaque ordinateur client selon une fréquence définie, par exemple chaque nuit.
- Ne mettez en place la révocation que pour les types de documents les plus sensibles.