Gestion des droits relatifs à l’information dans Exchange 2016Information Rights Management in Exchange 2016

Résumé: Découvrez comment les administrateurs peuvent utiliser Information Rights Management (IRM) dans Exchange 2016 afin d’empêcher la divulgation d’informations sensibles.Summary: Learn how administrators can use Information Rights Management (IRM) in Exchange 2016 to help prevent the disclosure of sensitive information.

Les e-mails sont utilisés quotidiennement pour échanger des informations sensibles, telles que des informations ou des rapports confidentiels. Puisqu'il est maintenant possible d'accéder à ses e-mails de n'importe quel endroit du monde, les boîtes aux lettres se sont transformées en référentiels contenant de gros volumes d'informations potentiellement sensibles. En conséquence, la fuite d'informations peut représenter une sérieuse menace pour les entreprises. Pour contribuer à la prévention de ce problème, Exchange 2016 inclut des fonctions de Gestion des droits relatifs à l'information (IRM) qui offrent une protection persistante, en ligne et hors connexion, pour les messages électroniques et les pièces jointes. Ces fonctionnalités IRM restent sensiblement identiques à celles d'Exchange 2013.Every day, people use email to exchange sensitive information, such as confidential information or reports. Because email is accessible from just about anywhere, mailboxes have transformed into repositories that contain large amounts of potentially sensitive information. As a result, information leakage can be a serious threat to organizations. To help prevent information leakage, Exchange 2016 includes Information Rights Management (IRM) features, which provide persistent online and offline protection for email messages and attachments. These IRM features are basically unchanged from Exchange 2013.

Qu’est-ce que la fuite d’informations ?What is information leakage?

La fuite d'informations est la divulgation d'informations sensibles à des utilisateurs non autorisés. La fuite d'informations peut s'avérer onéreuse pour une organisation et avoir un large retentissement sur son activité, son personnel, ses clients et ses partenaires. Pour éviter toute violation des réglementations applicables, les organisations doivent se protéger contre les fuites d'information intentionnelles ou accidentelles.Information leakage is the disclosure of sensitive information to unauthorized users. Information leakage can be costly for an organization, and can have a wide-ranging impact on the organization's business, employees, customers, and partners. To avoid violating any applicable regulations, organizations need to protect themselves against accidental or intentional information leakage.

Une fuite d'informations peut avoir un certain nombre de conséquences :These are some consequences that can result from information leakage:

  • Dommages financiers: l’organisation peut provoquer une perte d’activité, amendes ou la couverture de support négatif.Financial damage: The organization might incur a loss of business, fines, or adverse media coverage.

  • Crédibilité ou d’image: e-mails perdue peuvent être une source de gêne pour l’expéditeur et l’organisation.Damage to image and credibility: Leaked email messages can potentially be a source of embarrassment for the sender and the organization.

  • La perte d’un avantage concurrentiel: il s’agit d’une des conséquences plus graves. La divulgation des plans de fusion et d’acquisition stratégique peut entraîner des pertes de mise en majuscule le chiffre d’affaires ou les parts de marché pour l’organisation. Autres contre les menaces envers avantage concurrentiel incluent la perte d’informations de recherche, les données analytiques et autres droits de propriété intellectuelle.Loss of competitive advantage: This is one of the most serious consequences. The disclosure of strategic business or merger and acquisition plans can lead to losses in revenue or market capitalization for the organization. Other threats to competitive advantage include the loss of research information, analytical data, and other intellectual property.

Solutions traditionnelles de prévention des fuites d'informationsTraditional solutions to information leakage

Bien que les solutions traditionnelles de prévention de la fuite d'informations offrent une protection contre l'accès initial aux données, elles ne fournissent pas une protection constante. Le tableau suivant décrit plusieurs de ces solutions traditionnelles.Although traditional solutions to information leakage may protect the initial access to data, they often don't provide constant protection. This table describes some traditional solutions to information leakage.

SolutionSolution DescriptionDescription LimitesLimitations
Protocole TLS (Transport Layer Security)Transport Layer Security (TLS)
Le protocole TLS est un protocole Internet normalisé de chiffrement des communications réseau. Dans un environnement de messagerie, le protocole TLS permet de chiffrer les échanges entre serveurs et entre clients et serveurs.TLS is an Internet standard protocol that's used to encrypt network communications. In a messaging environment, TLS is used to encrypt server/server and client/server communications.
Par défaut, Exchange utilise le protocole TLS pour tous les transferts internes de messages. Le TLS opportuniste est également activé par défaut pour les sessions SMTP avec des hôtes externes (le chiffrement TLS est testé en premier, mais s'il n'est pas disponible, les communications non chiffrées sont autorisées). Il est également possible de configurer la sécurité de domaine en intégrant le mécanisme Mutual TLS pour les organisations externes.By default, Exchange uses TLS for all internal message transfers. Opportunistic TLS is also enabled by default for SMTP sessions with external hosts (TLS encryption is tried first, but if it isn't available, unencrypted communication is allowed). You can also configure domain security to enforce mutual TLS with external organizations.
Le protocole TLS protège uniquement la session SMTP entre deux hôtes SMTP. En d'autres termes, TLS protège les informations en mouvement, mais ne protège pas l'information au niveau du message ni dans ses autres aspects. À moins d'utiliser une autre méthode de chiffrement, les messages contenus dans les boîtes aux lettres des expéditeurs et des destinataires restent sans protection.TLS only protects the SMTP session between two SMTP hosts. In other words, TLS protects information in motion, and it doesn't provide protection at the message-level or for information at rest. Unless the messages are encrypted using another method, messages in sender and recipient mailboxes remain unprotected.
Pour les e-mails envoyés à des destinataires extérieurs à l'organisation, le protocole TLS ne peut être exigé que pour le premier saut. Lorsqu'un hôte SMTP distant reçoit le message, il peut le relayer à un autre hôte SMTP via une session non chiffrée.For email sent outside the organization, you can require TLS only for the first hop. After a remote SMTP host receives the message, it can relay it to another SMTP host over an unencrypted session.
Puisque le protocole TLS est un mécanisme de la couche transport qui est utilisé dans le flux de messagerie, il ne permet pas de contrôler ce que le destinataire fait avec le message.Because TLS is a transport layer technology that's used in mail flow, it can't provide control over what the recipient does with the message.
Cryptage des messagesMessage encryption
Les utilisateurs peuvent utiliser des technologies de chiffrement des messages telles que S/MIME.Users can use technologies such as S/MIME to encrypt messages.
Les utilisateurs décident si un message doit être chiffré ou non.Users decide whether a message gets encrypted.
Le déploiement d'une infrastructure à clé publique (PKI) avec sa charge connexe de gestion des certificats des utilisateurs et la protection des clés privées entraîne des coûts supplémentaires.There are additional costs of a public key infrastructure (PKI) deployment, with the accompanying overhead of certificate management for users and protection of private keys.
Une fois qu'un message est déchiffré, il n'est pas possible de contrôler ce que le destinataire peut faire avec les informations. Les informations déchiffrées peuvent être copiées, imprimées ou transférées. Par défaut, les pièces jointes enregistrées ne sont pas protégées.After a message is decrypted, there's no control over what the recipient can do with the information. Decrypted information can be copied, printed, or forwarded. By default, saved attachments aren't protected.
Les serveurs de messagerie ne peuvent pas ouvrir et inspecter les messages qui sont chiffrés par le protocole S/MIME. Par conséquent, ils ne peuvent pas mettre en œuvre de stratégies de messagerie, analyser les messages pour détecter la présence de virus ou effectuer d'autres actions qui nécessitent un accès au contenu des messages.Messaging servers can't open and inspect messages that are encrypted by S/MIME. Therefore, the messaging servers can't enforce messaging policies, scan messages for viruses, or take other actions that require access to the content in messages.

Enfin, les solutions traditionnelles manquent souvent d'outils de mise en œuvre des principes de protection des informations personnelles permettant d'appliquer les stratégies de messagerie destinées à empêcher les fuites d'informations de manière uniforme. Par exemple, un utilisateur marque un message comme Confidentiel et Ne pas transférer. Une fois le message remis au destinataire, l'expéditeur ou l'organisation ne dispose plus d'aucun moyen de contrôler le message. Le destinataire peut transférer le message volontairement ou accidentellement (en utilisant des fonctions telles que les règles de transfert automatique) à des comptes de messagerie externes, ce qui expose votre organisation à des risques de fuites d'informations importantes.Finally, traditional solutions often lack enforcement tools that apply uniform messaging policies to prevent information leakage. For example, a user marks a message with Company Confidential and Do Not Forward. After the message is delivered to the recipient, the sender or the organization no longer has control over the message. The recipient can willfully or accidentally forward the message (using features such as automatic forwarding rules) to external email accounts, which subjects your organization to substantial information leakage risks.

IRM dans ExchangeIRM in Exchange

L'IRM dans Exchange contribue à éviter la fuite d'informations grâce aux fonctionnalités suivantes :IRM in Exchange helps prevent information leakage by offering these features:

  • Empêcher un destinataire autorisé d'un contenu protégé par IRM de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller ce contenu.Prevent an authorized recipient of IRM-protected content from forwarding, modifying, printing, faxing, saving, or cutting and pasting the content.

  • Protéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du message.Protect supported attachment file formats with the same level of protection as the message.

  • Prendre en charge l'expiration des messages et pièces jointes protégés par IRM pour qu'ils ne puissent plus être consultés après la période spécifiée.Support expiration of IRM-protected messages and attachments so they can no longer be viewed after the specified period.

  • Empêcher la copie d'un contenu protégé par IRM à l'aide de l'Outil Capture d'écran dans Windows.Prevent IRM-protected content from being copied using the Snipping Tool inWindows.

Toutefois, l'IRM dans Exchange n'empêche pas la divulgation d'informations si les méthodes suivantes sont utilisées :However, IRM in Exchange can't prevent the disclosure of information by using these methods:

  • Programmes de capture d'écran tiers.Third-party screen capture programs.

  • Photographie du contenu protégé par IRM qui s'affiche à l'écran.Photographing IRM-protected content that's displayed on the screen.

  • Mémorisation des informations ou leur transcription manuelle par les utilisateurs.Users remembering or manually transcribing the information.

L'IRM utilise les Services AD RMS (Active Directory Rights Management Services), une technologie de protection des informations dans Windows Server qui fait appel à des certificats ou licences XrML (eXtensible Rights Markup Language) pour certifier les ordinateurs et les utilisateurs, et pour protéger le contenu. Lorsqu'un document ou un message est protégé par les services AD RMS, une licence XrML contenant les droits d'accès au contenu par les utilisateurs est jointe à ce contenu. Pour accéder au contenu protégé par IRM, les applications activées pour AD RMS doivent se procurer une licence d'utilisation pour l'utilisateur autorisé depuis le serveur AD RMS. Les applications Office, telles que Word, Excel, PowerPoint et Outlook, sont activées pour RMS et peuvent être utilisées pour créer et consommer du contenu protégé.IRM uses Active Directory Rights Management Services (AD RMS), an information protection technology in Windows Server that uses extensible rights markup language (XrML)-based certificates and licenses to certify computers and users, and to protect content. When a document or message is protected using AD RMS, an XrML license containing the rights that authorized users have to the content is attached. To access IRM-protected content, AD RMS-enabled applications must procure a use license for the authorized user from the AD RMS server. Office applications, such as Word, Excel, PowerPoint and Outlook are RMS-enabled and can be used to create and consume protected content.

Note

L'agent de pré-licence Exchange joint une licence d'utilisation aux messages protégés par le serveur AD RMS dans votre organisation. Pour plus d'informations, reportez-vous à la section Pré-licence, plus loin dans cette rubrique.The Exchange Prelicense Agent attaches a use license to messages that are protected by the AD RMS server in your organization. For more information, see the Prelicensing section later in this topic.

Pour en savoir plus sur les Services AD RMS (Active Directory Rights Management Services), reportez-vous à Services AD RMS (Active Directory Rights Management Services).To learn more about Active Directory Rights Management Services, see Active Directory Rights Management Services.

Modèles de stratégie de droits des Services AD RMS (Active Directory Rights Management Services)Active Directory Rights Management Services rights policy templates

Les serveurs AD RMS fournissent un service web utilisé pour énumérer et acquérir les modèles de stratégie de droits XrML qui vous permettent d'appliquer la protection IRM aux messages. En appliquant le modèle de stratégie de droits approprié, vous pouvez contrôler si un destinataire est autorisé à répondre au message, répondre à tous, transférer le message, en extraire des informations, l'enregistrer ou l'imprimer.AD RMS servers provide a Web service that's used to enumerate and acquire the XrML-based rights policy templates that you use to apply IRM protection to messages. By applying the appropriate rights policy template, you can control whether a recipient is allowed to reply to, reply to all, forward, extract information from, save, or print the message.

Par défaut, Exchange est livré avec le modèle Ne pas transférer. Lorsque ce modèle est appliqué à un message, seuls les destinataires du message peuvent le déchiffrer. Les destinataires ne peuvent pas transférer le message, en copier le contenu ou l'imprimer. Vous pouvez créer des modèles RMS supplémentaires sur les serveurs AD RMS de votre organisation pour répondre à vos besoins.By default, Exchange ships with the Do Not Forward template. When this template is applied to a message, only the recipients addressed in the message can decrypt the message. The recipients can't forward the message, copy content from the message, or print the message. You can create additional RMS templates on the AD RMS servers in your organization to meet your requirements.

Pour plus d'informations sur les modèles de stratégie de droits, consultez les considérations relatives aux modèles de stratégie AD RMS.For more information about rights policy templates, see AD RMS Policy Template Considerations.

Pour plus d'informations sur la création des modèles de stratégie de droits AD RMS, consultez le guide détaillé sur la création et le déploiement de modèles de stratégie de droits AD RMS.For more information about creating AD RMS rights policy templates, see AD RMS Rights Policy Templates Deployment Step-by-Step Guide.

Application de la protection IRM aux messagesApply IRM protection to messages

Par défaut, une organisation Exchange est activée pour l'IRM. Cependant, pour appliquer la protection IRM aux messages, vous devez utiliser au moins l'une des méthodes suivantes :By default, an Exchange organization is enabled for IRM, but to apply IRM protection to messages, you need to use one or more of these methods:

  • Manuellement par les utilisateurs dans Outlook: les utilisateurs peuvent Protégez-le des messages dans Outlook à l’aide de modèles de stratégie des droits AD RMS sont à leur disposition. Ce processus utilise la fonctionnalité IRM dans Outlook, pas Exchange. Pour plus d’informations sur l’utilisation d’IRM dans Outlook, voir Introduction à l’utilisation d’IRM pour les messages électroniques.Manually by users in Outlook: Users can IRM-protect messages in Outlook by using the AD RMS rights policy templates that are available to them. This process uses the IRM functionality in Outlook, not Exchange. For more information about using IRM in Outlook, see Introduction to using IRM for email messages.

  • Manuellement par les utilisateurs d’Outlook sur le web: lorsqu’un administrateur Active la fonctionnalité IRM dans Outlook sur le web (anciennement appelé Outlook Web App), les utilisateurs peuvent IRM protéger les messages qu’ils envoient et afficher les messages protégés par IRM qu’ils reçoivent. Pour plus d’informations sur IRM dans Outlook sur le web, voir Understanding IRM dans Outlook Web App.Manually by users in Outlook on the web: When an administrator enables IRM in Outlook on the web (formerly known as Outlook Web App), users can IRM-protect messages that they send, and view IRM-protected messages that they receive. For more information about IRM in Outlook on the web, see Understanding IRM in Outlook Web App.

  • Manuellement par les utilisateurs d’Exchange ActiveSync: lorsqu’un administrateur Active IRM dans des utilisateurs Exchange ActiveSync permettre afficher, y répondre, pour transférer et créer des messages protégés par IRM sur des appareils ActiveSync. Pour plus d’informations, voir Understanding Information Rights Management in Exchange ActiveSync.Manually by users in Exchange ActiveSync: When an administrator enables IRM in Exchange ActiveSync users can view, reply to, forward, and create IRM-protected messages on ActiveSync devices. For more information, see Understanding Information Rights Management in Exchange ActiveSync.

  • Automatiquement dans Outlook: les administrateurs peuvent créer des règles de protection d’Outlook pour Protégez-le automatiquement les messages. Règles de protection d’Outlook sont automatiquement déployés sur les clients Outlook et la protection IRM est appliquée par Outlook lorsque l’utilisateur compose un message. Pour plus d’informations, voir Understanding Outlook Protection Rules.Automatically in Outlook: Administrators can create Outlook protection rules to automatically IRM-protect messages. Outlook protection rules are automatically deployed to Outlook clients, and IRM-protection is applied by Outlook when the user is composing a message. For more information, see Understanding Outlook Protection Rules.

  • Automatiquement sur les serveurs de boîtes aux lettres: administrateurs peuvent créer des règles de flux (également connu sous les règles de transport) messagerie automatiquement les messages Protégez-le qui correspondent aux conditions spécifiées. Pour plus d’informations, voir Understanding Transport Protection Rules.Automatically on Mailbox servers: Administrators can create mail flow rules (also known as transport rules) to automatically IRM-protect messages that match specified conditions. For more information, see Understanding Transport Protection Rules.

    Note

    La protection IRM n'est pas appliquée à nouveau aux messages qui sont déjà protégés par IRM. Par exemple, si un utilisateur active la protection IRM d'un message dans Outlook ou Outlook sur le web, une règle de protection de transport n'appliquera pas cette protection au même message.IRM protection isn't applied again to messages that are already IRM-protected. For example, if a user IRM-protects a message in Outlook or Outlook on the web, a transport protection rule won't apply IRM protection to the same message.

Scénarios pour la protection IRMScenarios for IRM protection

Ce tableau décrit les scénarios d'envoi des messages et indique si la protection IRM est disponible.This table describes the scenarios for sending messages, and whether IRM protection is available.

ScénarioScenario L'envoi de messages protégés par IRM est-il pris en charge ?Is sending IRM-Protected messages supported? Configuration requiseRequirements
Envoi de messages au sein de la même organisation Exchange locale.Sending messages within the same on-premises Exchange organization
OuiYes
Pour plus d'informations sur la configuration requise, reportez-vous à la section Configuration requise pour la gestion des droits relatifs à l'information (IRM) plus loin dans cette rubrique.For the requirements, see the IRM requirements section later in this topic.
Envoi de messages entre différentes forêts Active Directory dans une organisation locale.Sending messages between different Active Directory forests in an on-premises organization.
OuiYes
Pour plus d'informations sur la configuration requise, consultez la rubrique relative à la configuration d'AD RMS pour l'intégrer avec Exchange Server 2010 dans plusieurs forêts.For the requirements, see Configuring AD RMS to Integrate with Exchange Server 2010 Across Multiple Forests.
Envoi de messages entre une organisation Exchange locale et une organisation Office 365 dans un déploiement hybride.Sending messages between an on-premises Exchange organization and an Office 365 organization in a hybrid deployment.
OuiYes
Pour plus d'informations, consultez la rubrique IRM in Exchange 2013 Hybrid Deployments.For more information, see IRM in Exchange 2013 Hybrid Deployments.
Envoi de messages à des destinataires externes.Sending messages to external recipients
NonNo
Exchange n'inclut pas de solution permettant l'envoi de messages protégés par IRM à des destinataires externes dans des organisations non fédérées. Pour créer une approbation fédérée entre deux forêts Active Directory à l'aide des Services ADFS (Active Directory Federation Services), reportez-vous à la rubrique Présentation des stratégies d'approbation AD RMS. Exchange doesn't include a solution for sending IRM-protected messages to external recipients in non-federated organizations. To create a federated trust between two Active Directory forests by using Active Directory Federation Services (AD FS), see Understanding AD RMS Trust Policies.

Déchiffrement des messages protégés par IRM pour mettre en œuvre les stratégies de messagerieDecrypt IRM-protected messages to enforce messaging policies

Pour mettre en œuvre les stratégies de messagerie et à des fins de conformité réglementaire, Exchange a besoin d'accéder au contenu des messages chiffrés. Pour satisfaire les exigences de découverte électronique afférentes aux litiges, audits réglementaires ou enquêtes internes, un auditeur désigné doit aussi être en mesure de rechercher les messages chiffrés. Pour faciliter ces tâches, Exchange inclut les fonctionnalités de déchiffrement suivantes :To enforce messaging policies and for regulatory compliance, Exchange needs access to the content of encrypted messages. To meet eDiscovery requirements due to litigation, regulatory audits, or internal investigations, a designated auditor must also be able to search encrypted messages. To help with these tasks, Exchange includes the following decryption features:

  • Le déchiffrement du transport: permet d’accéder au contenu de message par les agents de transport qui sont installés sur des serveurs Exchange. Pour plus d’informations, voir Understanding Transport déchiffrement.Transport decryption: Allows access to message content by the transport agents that are installed on Exchange servers. For more information, see Understanding Transport Decryption.

  • Déchiffrement du rapport de journal: permet la journalisation standard ou premium enregistrer une copie du texte en clair des messages protégés par IRM dans les rapports de journal. Pour plus d’informations, voir Activer le déchiffrement du rapport de journal.Journal report decryption: Allows standard or premium journaling to save a clear-text copy of IRM-protected messages in journal reports. For more information, see Enable journal report decryption.

  • Déchiffrement IRM pour la recherche Exchange: service de recherche Exchange permet d’indexer le contenu dans les messages protégés par IRM. Lorsqu’un gestionnaire de découverte effectue une recherche de découverte électronique locale, les messages protégés par IRM qui ont été indexés sont renvoyés dans les résultats de recherche. Pour plus d’informations, voir Configurer l’IRM pour la recherche Exchange et In-Place eDiscovery.IRM decryption for Exchange Search: Allows Exchange Search to index content in IRM-protected messages. When a discovery manager performs an In-Place eDiscovery search, IRM-protected messages that have been indexed are returned in the search results. For more information, see Configure IRM for Exchange Search and In-Place eDiscovery.

Pour activer ces fonctionnalités de déchiffrement, vous devez ajouter la boîte aux lettres de fédération (une boîte aux lettres système créée par Exchange), au groupe de super utilisateurs sur le serveur AD RMS. Pour obtenir des instructions, consultez la rubrique Add Federated Delivery Mailbox to AD RMS Super Users.To enable these decryption features, you need to add the Federation mailbox (a system mailbox that's created by Exchange), to the Super Users group on the AD RMS server. For instructions, see Add Federated Delivery Mailbox to AD RMS Super Users.

Pré-licencePrelicensing

Pour permettre aux utilisateurs autorisés d'afficher les messages et pièces jointes protégés par IRM, Exchange joint automatiquement une pré-licence aux messages protégés. Ainsi, le client n'a pas besoin de revenir plusieurs fois au serveur AD RMS pour récupérer une licence d'utilisation et autorise la consultation hors ligne des messages protégés par IRM. Le service de pré-licence permet également aux utilisateurs d'afficher les messages protégés par IRM dans Outlook sur le web. Lorsque vous activez les fonctionnalités IRM, la pré-licence est activée par défaut.To allow authorized users to view IRM-protected messages and attachments, Exchange automatically attaches a prelicense to protected messages. This prevents the client from making repeated trips to the AD RMS server to retrieve a use license, and enables offline viewing of IRM-protected messages. Prelicensing also allows users to view IRM-protected messages in Outlook on the web. When you enable IRM features, prelicensing is enabled by default.

Agents IRMIRM agents

Utilisation des fonctionnalités IRM utilisent les agents de transport intégrée qui existent dans le service de Transport sur les serveurs de boîtes aux lettres. La plupart des agents de transport intégrées est invisibles et impossibles par les cmdlets de gestion des agent de transport dans Exchange Management Shell (*- TransportAgent).IRM features use the built-in transport agents that exist in the Transport service on Mailbox servers. Most of the built-in transport agents are invisible and unmanageable by the transport agent management cmdlets in the Exchange Management Shell (*-TransportAgent).

Les agents de transport intégrés qui sont associés à l'IRM sont décrits dans ce tableau :The built-in transport agents that are associated with IRM are described in this table:

Nom de l'agentAgent name Gérable ?Manageable? Événement SMTP ou du catégoriseurSMTP or categorizer event DescriptionDescription
Agent de déchiffrement du rapport de journalJournal Report Decryption Agent
NonNo
OnCategorizedMessageOnCategorizedMessage
Fournit une copie en texte clair des messages protégés par IRM qui sont joints à des états de journal.Provides a clear-text copy of the IRM-protected messages that are attached to journal reports.
Agent de pré-licencePrelicense Agent
NonNo
OnRoutedMessageOnRoutedMessage
Joint une pré-licence aux messages protégés par IRM.Attaches a prelicense to IRM-protected messages.
Agent de déchiffrement RMSRMS Decryption Agent
NonNo
OnSubmittedMessage,OnSubmittedMessage,
Déchiffre les messages protégés par IRM pour autoriser l'accès au contenu du message par des agents de transport.Decrypts IRM-protected messages to allow access to the message content by transport agents.
Agent de chiffrement RMSRMS Encryption Agent
NonNo
OnRoutedMessageOnRoutedMessage
Applique la protection IRM aux messages marqués par l'agent de transport et chiffre à nouveau les messages déchiffrés au cours du transport.Applies IRM protection to messages flagged by the transport agent and re-encrypts transport decrypted messages.
Agent de déchiffrement de protocole RMSRMS Protocol Decryption Agent
NonNo
OnEndOfDataOnEndOfData
Déchiffre les messages protégés par IRM pour autoriser l'accès au contenu du message par des agents de transport.Decrypts IRM-protected messages to allow access to the message content by transport agents.
Agent de règles de transportTransport Rule Agent
OuiYes
OnRoutedMessageOnRoutedMessage
Marque les messages répondant aux conditions d'une règle de protection de transport comme devant recevoir une protection IRM par l'agent de chiffrement RMS.Flags messages that match the conditions in a transport protection rule to be IRM-protected by the RMS Encryption agent.

Pour plus d'informations sur les agents de transport, consultez la rubrique Transport Agents.For more information about transport agents, see Transport Agents.

Configuration requise pour la gestion des droits relatifs à l'information (IRM)IRM requirements

Par défaut, une organisation Exchange prend en charge l'IRM. Pour réellement implémenter l'IRM dans votre organisation Exchange 2016, votre déploiement doit répondre aux conditions décrites dans ce tableau.By default, an Exchange organization is enabled for IRM. To actually implement IRM in your Exchange 2016 organization, your deployment must meet the requirements that are described in this table.

ServeurServer Configuration requiseRequirements
Cluster AD RMSAD RMS cluster
Cluster AD RMS est le terme utilisé pour tout déploiement AD RMS, y compris un seul serveur AD RMS. AD RMS est un service Web, afin que vous n’avez pas besoin de configurer un cluster de basculement Windows Server. Pour une haute disponibilité et l’équilibrage de charge, vous pouvez déployer plusieurs serveurs AD RMS du cluster et utiliser l’équilibrage de charge réseau.AD RMS cluster is the term that's used for any AD RMS deployment, including a single AD RMS server. AD RMS is a Web service, so you don't need to set up a Windows Server failover cluster. For high availability and load-balancing, you can deploy multiple AD RMS servers in the cluster and use network load balancing (NLB).
Point de connexion de service: AD RMS prenant en charge les applications comme Exchange utilisent le point de connexion de service qui est enregistré dans Active Directory pour découvrir un cluster AD RMS et URL. Il est le point de connexion qu’un seul service pour AD RMS dans une forêt Active Directory. Vous pouvez inscrire le point de connexion de service lors de l’installation de AD RMS, ou lorsque le programme d’installation est terminée.Service connection point: AD RMS-aware applications like Exchange use the service connection point that's registered in Active Directory to discover an AD RMS cluster and URLs. There's only one service connection point for AD RMS in an Active Directory forest. You can register the service connection point during AD RMS Setup, or after setup is complete.
Autorisations: lire et exécuter les autorisations pour le pipeline de certification du serveur AD RMS (le ServerCertification.asmx au niveau du fichier \inetpub\wwwroot\_wmcs\certification\) doit être affecté à ces entités de sécurité :Permissions: Read and Execute permissions to the AD RMS server certification pipeline (the ServerCertification.asmx file at \inetpub\wwwroot\_wmcs\certification\) must be assigned to these security principals:
• Le groupe de serveurs Exchange ou les serveurs Exchange.• The Exchange Servers group or individual Exchange servers.
• Le groupe AD RMS Service sur les serveurs AD RMS.• The AD RMS Service group on AD RMS servers.
Pour plus de détails, reportez-vous à l'article relatif à la définition d'autorisations dans le pipeline de certification de serveur AD RMS.For details, see Set Permissions on the AD RMS Server Certification Pipeline.
Super utilisateurs de AD RMS: pour activer le déchiffrement du transport, déchiffrement du rapport de journal, IRM dans Outlook sur le web et le déchiffrement IRM pour la recherche Exchange, vous devez ajouter la boîte aux lettres de fédération au groupe de Super utilisateurs sur le serveur AD RMS. Pour plus d’informations, voir Ajouter fédérés boîte aux lettres à AD RMS Super utilisateurs.AD RMS super users: To enable transport decryption, journal report decryption, IRM in Outlook on the web, and IRM decryption for Exchange Search, you need to add the Federation mailbox to the Super Users group on the AD RMS server. For details, see Add Federated Delivery Mailbox to AD RMS Super Users.
ExchangeExchange
Exchange 2010 ou version ultérieure est requis.Exchange 2010 or later is required.
Un environnement de production ne prend pas en charge l'installation d'AD RMS et d'Exchange sur le même serveur.In a production environment, installing AD RMS and Exchange on the same server isn't supported.
OutlookOutlook
Les modèles AD RMS de protection des messages sont disponibles dans Outlook 2007 ou version ultérieure.AD RMS templates for protecting messages are available in Outlook 2007 or later.
Les règles de protection Outlook dans Exchange nécessitent Outlook 2010 ou version ultérieure.Outlook protection rules in Exchange require Outlook 2010 or later,
Exchange ActiveSyncExchange ActiveSync
L'IRM est disponible sur les appareils et les applications mobiles qui prennent en charge la version de protocole Exchange ActiveSync 14.1 ou ultérieure et la balise RightsManagementInformation incluse (les deux étant compris dans le Service Pack 1 Exchange 2010). Les utilisateurs disposant d'appareils pris en charge peuvent utiliser ActiveSync pour afficher, transférer et créer des messages protégés par IRM, ainsi qu'y répondre, sans avoir à se connecter à un ordinateur pour activer l'appareil pour la fonctionnalité. Pour plus d'informations, reportez-vous à la rubrique Understanding Information Rights Management in Exchange ActiveSync. IRM is available on mobile applications and devices that support Exchange ActiveSync protocol version 14.1 or later, and the included RightsManagementInformation tag (both introduced in Exchange 2010 Service Pack 1). Users with supported devices can use ActiveSync to view, reply to, forward, and create IRM-protected messages without connecting to a computer to activate the device for IRM. For more information, see Understanding Information Rights Management in Exchange ActiveSync.

Les fonctionnalités IRM d'Exchange prennent en charge les formats de fichiers Office. Vous pouvez étendre la protection IRM à d'autres formats de fichiers en déployant des protections personnalisées. Pour plus d'informations, consultez la section relative aux partenaires pour le contrôle et la protection des informations sur la page Partenaires Microsoft.Exchange IRM features support Office file formats. You can extend IRM protection to other file formats by deploying custom protectors. For more information about custom protectors, see Information Protection and Control Partners in Microsoft partners.

Configuration et essai de l'IRMConfigure and test IRM

L'Environnement de ligne de commande Exchange Management Shell permet de configurer les fonctionnalités IRM dans Exchange. Pour en savoir plus sur les procédures, reportez-vous à la rubrique Managing Rights Protection.You use the Exchange Management Shell to configure IRM features in Exchange. For procedures, see Managing Rights Protection.

Après avoir installé et configuré un serveur de boîte aux lettres, vous pouvez utiliser la cmdlet Test-IRMConfiguration pour tester de bout en bout votre déploiement IRM. La cmdlet effectue les tests suivants :After you install and configure a Mailbox server, you can use the Test-IRMConfiguration cmdlet to perform end-to-end tests of your IRM deployment. The cmdlet performs these tests:

  • Elle inspecte la configuration IRM de votre organisation Exchange.Inspects IRM configuration for your Exchange organization.

  • Elle contrôle les informations relatives à la version et aux correctifs du serveur AD RMS.Checks the AD RMS server for version and hotfix information.

  • Elle vérifie s'il est possible d'activer un serveur Exchange pour RMS en récupérant le certificat de compte de droits (RAC) et le certificat de licence client.Verifies whether an Exchange server can be activated for RMS by retrieving a Rights Account Certificate (RAC) and client licensor certificate.

  • Elle acquiert des modèles de stratégie de droits AD RMS à partir du serveur AD RMS.Acquires AD RMS rights policy templates from the AD RMS server.

  • Elle vérifie que l'expéditeur spécifié peut envoyer des messages protégés par IRM.Verifies that the specified sender can send IRM-protected messages.

  • Elle récupère une licence d'utilisation de super utilisateur pour le destinataire spécifié.Retrieves a Super User use license for the specified recipient.

  • Elle acquiert une pré-licence pour le destinataire spécifié.Acquires a prelicense for the specified recipient.

Pour plus d'informations, consultez la rubrique Test-IRMConfiguration.For more information, see Test-IRMConfiguration.

Étendre Rights Management avec le connecteur Rights ManagementExtend Rights Management with the Rights Management connector

Le Connecteur Azure Rights Management (connecteur RMS) est une application facultative qui améliore la protection des données de votre serveur Exchange en utilisant des services de Gestion des droits Azure (Azure RMS) informatiques. Une fois que vous avez installé le connecteur RMS, il protège en continu les données au cours de la durée de vie des informations. Comme ces services sont personnalisables, vous pouvez définir le niveau de protection dont vous avez besoin. Par exemple, vous pouvez limiter l'accès d'utilisateurs spécifiques à des courriers électroniques ou définir des droits d'affichage seul pour certains messages.The Azure Rights Management connector connector (RMS connector) is an optional application that enhances data protection for your Exchange server by employing the cloud-based Azure Rights Management (Azure RMS) service. Once you install the RMS connector, it provides continuous data protection during the lifetime of the information. And, because these services are customizable, you can define the level of protection that you need. For example, you can limit email message access to specific users, or set view-only rights for certain messages.

Pour en savoir plus sur le connecteur RMS et son installation, consultez la rubrique Déploiement du connecteur Azure Rights Management.To learn more about the RMS connector and how to install it, see Deploying the Azure Rights Management connector.