Installation et configuration du connecteur Microsoft Rights Management

*s’applique à: Azure Information Protection, Windows Server 2019, 2016, 2012 R2 et Windows Server 2012 *

Concerne : Client d’étiquetage unifié AIP et client classique

Notes

Pour fournir une expérience client unifiée et homogène, le client classique Azure Information Protection et la gestion des étiquettes dans le portail Azure sont dépréciés depuis le 31 mars 2021. Le client classique continue de fonctionner selon la configuration, mais aucun support n’est fourni, et les versions de maintenance ne sont plus publiées pour le client classique.

Nous vous recommandons de passer à l’étiquetage unifié et d’effectuer la mise à niveau vers le client d’étiquetage unifié. En savoir plus sur notre récent blog de dépréciation.

Utilisez les informations suivantes pour vous aider à installer et à configurer le connecteur Microsoft Rights Management (RMS). Ces procédures couvrent les étapes 1 à 4 de déploiement du connecteur Microsoft Rights Management.

Avant de commencer :

Installation du connecteur RMS

  1. Identifiez les ordinateurs (deux au minimum) pour exécuter le connecteur RMS. Ces ordinateurs doivent respecter la spécification minimale indiquée dans les conditions préalables.

    Notes

    installez un seul connecteur RMS (constitué de plusieurs serveurs pour la haute disponibilité) par locataire (Microsoft 365 locataire ou Azure AD locataire). Contrairement à Active Directory RMS, il est inutile d’installer un connecteur RMS dans chaque forêt.

  2. Téléchargez les fichiers sources du connecteur RMS à partir du Centre de téléchargement Microsoft.

    Pour installer le connecteur RMS, téléchargez RMSConnectorSetup.exe.

    En outre, si vous souhaitez utiliser l’outil de configuration de serveur pour le connecteur RMS, pour automatiser la configuration des paramètres du Registre sur vos serveurs locaux, téléchargez également GenConnectorConfig.ps1.

  3. Sur l’ordinateur sur lequel vous souhaitez installer le connecteur RMS, exécutez RMSConnectorSetup.exe avec des privilèges d’administrateur.

  4. Sur la page d’accueil du programme d’installation du connecteur Microsoft Rights Management, sélectionnez installer le connecteur microsoft Rights Management sur l’ordinateur, puis cliquez sur suivant.

  5. Lisez et acceptez les termes du contrat de licence End-User, puis cliquez sur suivant.

  6. Dans la page authentification , sélectionnez l’environnement Cloud qui correspond à votre solution. Par exemple, sélectionnez AzureCloud pour l’offre commerciale Azure. Dans le cas contraire, sélectionnez l’une des options suivantes :

    • AzureChinaCloud: Azure géré par 21ViaNet
    • AzureUSGovernment: Azure Government (Cloud de la communauté du secteur public élevé/DoD)
    • AzureUSGovernment2: Azure Government 2
    • AzureUSGovernment3: Azure Government 3
  7. Sélectionnez se connecter pour vous connecter à votre compte. Veillez à entrer les informations d’identification d’un compte disposant de privilèges suffisants pour configurer le connecteur RMS.

    Vous pouvez utiliser un compte possédant l’un des privilèges suivants :

    • administrateur général pour votre locataire: un compte d’administrateur général pour votre locataire Microsoft 365 ou Azure AD client.

    • Administrateur global Azure Rights Management: compte dans Azure Active Directory auquel a été attribué le rôle d’administrateur global Azure RMS.

    • Administrateur du connecteur Azure Rights Management: compte dans Azure Active Directory auquel des droits d’installation et d’administration du connecteur RMS ont été accordés pour votre organisation.

    le rôle d’administrateur général Azure Rights Management et le rôle d’administrateur du connecteur Azure Rights Management sont affectés aux comptes à l’aide de l’applet de commande Add-AipServiceRoleBasedAdministrator .

    Notes

    Si vous avez implémenté des contrôles d’intégration, assurez-vous que le compte que vous spécifiez est en mesure de protéger le contenu.

    Par exemple, si vous avez limité la possibilité de protéger du contenu pour le groupe « Département informatique », le compte spécifié ici doit être un membre de ce groupe. Si ce n’est pas le cas, le message d’erreur suivant s’affiche : la tentative de détection de l’emplacement du service d’administration et de l’organisation a échoué. Assurez-vous que le service Microsoft Rights Management est activé pour votre organisation.

    Conseil

    Pour exécuter le connecteur RMS avec des privilèges minimum, créez un compte dédié à cet effet, puis attribuez le rôle d’administrateur Azure RMS Connector. Pour plus d’informations, consultez créer un compte dédié pour le connecteur RMS.

  8. Exécutez les actions suivantes sur la dernière page de l'Assistant, puis cliquez sur Terminer :

    • S’il s’agit du premier connecteur installé, ne sélectionnez pas lancer la console administrateur du connecteur pour autoriser des serveurs à ce stade. Vous sélectionnerez cette option après avoir installé le deuxième (ou dernier) connecteur RMS. Au lieu de cela, exécutez à nouveau l’Assistant sur au moins un autre ordinateur. Vous devez installer au moins deux connecteurs.

    • Si vous avez installé votre deuxième (ou dernier) connecteur, sélectionnez lancer la console administrateur du connecteur pour autoriser les serveurs.

Pendant le processus d’installation du connecteur RMS, tous les logiciels requis sont validés et installés, Internet Information Services (IIS) est installé si ce n’est pas déjà fait et le logiciel du connecteur est installé et configuré. Azure RMS est également prêt pour la configuration en créant les éléments suivants :

  • Table vide des serveurs autorisés à utiliser le connecteur pour communiquer avec Azure RMS. Ajoutez des serveurs à cette table ultérieurement.

  • Ensemble de jetons de sécurité pour le connecteur, qui autorisent des opérations avec Azure RMS. Ces jetons sont téléchargés à partir d’Azure RMS et installés sur l’ordinateur local dans le Registre. Ils sont protégés à l’aide de l’API de protection des données (DPAPI) et des informations d’identification du compte du système Local.

Créer un compte dédié pour le connecteur RMS

Cette procédure décrit comment créer un compte dédié pour exécuter le connecteur Azure RMS avec le moins de privilèges possible, à utiliser lors de la connexion lors de l’installation du connecteur RMS.

  1. Si vous ne l’avez pas déjà fait, téléchargez et installez le module PowerShell AIPService. Pour plus d’informations, consultez installation du module PowerShell AIPService.

    démarrez Windows PowerShell avec la commande exécuter en tant qu’administrateur , puis connectez-vous au service de protection à l’aide de la commande Connecter-AipService :

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. Exécutez la commande Add-AipServiceRoleBasedAdministrator en utilisant un seul des paramètres suivants :

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    Par exemple, exécutez : Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Bien que ces commandes affectent le rôle d’administrateur de connecteur, vous pouvez également utiliser le rôle GlobalAdministrator à la place.

Vérification de votre installation

  • Pour vérifier si les services Web du connecteur RMS sont opérationnels:

    À partir d’un navigateur web, connectez-vous à http://<connectoraddress>/_wmcs/certification/servercertification.asmx, en remplaçant <connectoraddress> par l’adresse ou le nom du serveur qui a installé le connecteur RMS.

    Si la connexion fonctionne, la page ServerCertificationWebService apparaît.

  • Pour vérifier la capacité de l’utilisateur à lire ou modifier les documents protégés par RMS ou AIP:

    sur l’ordinateur du connecteur RMS, ouvrez le observateur d’événements et accédez au journal des Windows de l’Application. Rechercher une entrée à partir de la source du Connecteur Microsoft RMS , avec un niveau d' information.

    L’entrée doit avoir un message similaire à ce qui suit : The list of authorized accounts has been updated

    Capture d’écran d’un événement de connecteur RMS dans la observateur d’événements.

Si vous devez désinstaller le connecteur RMS, désinstallez-le via la page Paramètres système, ou en exécutant à nouveau l’Assistant et en sélectionnant l’option désinstaller.

Si vous rencontrez des problèmes pendant l’installation, consultez le journal d’installation : %LocalAppData%\Temp\Microsoft Rights Management connector_ <date and time> . log

Par exemple, votre journal d’installation peut ressembler à C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352. log

Autorisation des serveurs à utiliser le connecteur RMS

Une fois le connecteur RMS installé sur au moins deux ordinateurs, vous êtes prêt à autoriser les serveurs et les services voulus à utiliser le connecteur RMS. Par exemple, les serveurs exécutant Exchange Server 2013 ou SharePoint Server 2013.

Pour définir ces serveurs, exécutez l’outil d’administration du connecteur RMS et ajoutez des entrées à la liste des serveurs autorisés. Vous pouvez exécuter cet outil lors de la sélection de l'option Launch connector administration console to authorize servers à la fin de l'Assistant de configuration du connecteur Microsoft Rights Management, mais vous pouvez également l'exécuter séparément de l'Assistant.

Lorsque vous autorisez ces serveurs, tenez compte des considérations suivantes :

  • Les serveurs que vous ajoutez disposent de privilèges spéciaux. Tous les comptes que vous spécifiez pour le rôle Exchange Server dans la configuration du connecteur se voient attribuer le rôle super utilisateur dans Azure RMS, qui leur donne accès à tout le contenu de ce locataire RMS. La fonctionnalité de super utilisateur est automatiquement activée à ce stade, si nécessaire. Pour éviter le risque de sécurité lié à l’élévation de privilèges, veillez à spécifier uniquement les comptes utilisés par les serveurs Exchange de votre organisation. Tous les serveurs configurés comme serveurs SharePoint ou serveurs de fichiers utilisant l’infrastructure de classification des fichiers se voient accorder des privilèges d’utilisateur standard.

  • Vous pouvez ajouter plusieurs serveurs en tant qu’entrée unique en spécifiant un Active Directory groupe de distribution ou de sécurité, ou un compte de service utilisé par plusieurs serveurs. Lorsque vous utilisez cette configuration, le groupe de serveurs partage les mêmes certificats RMS et sont tous considérés comme les propriétaires du contenu qu’ils ont protégé. Pour réduire les coûts d’administration, nous vous recommandons d’utiliser cette configuration d’un groupe unique plutôt que des serveurs individuels pour autoriser les serveurs Exchange de votre organisation ou une batterie de serveurs SharePoint.

Sur la page serveurs autorisés à utiliser le connecteur , sélectionnez Ajouter.

Notes

l’autorisation de serveurs est la configuration équivalente dans Azure RMS à la configuration AD RMS de l’application manuelle de droits NTFS à fichier servercertification. asmx pour les comptes de service ou d’ordinateur serveur, et l’octroi manuel des droits de super utilisateur aux comptes de Exchange. L’application de droits NTFS à fichier ServerCertification. asmx n’est pas requise sur le connecteur.

Ajouter un serveur à la liste des serveurs autorisés

Sur la page Allow a server to utilize the connector, saisissez le nom de l'objet ou recherchez l'objet à autoriser.

Il est important d’autoriser l’objet adéquat. Pour qu’un serveur utilise le connecteur, le compte qui exécute le service local (par exemple, Exchange ou SharePoint) doit être sélectionné pour l’autorisation. Par exemple, si le service s’exécute comme un compte de service configuré, ajoutez le nom de ce compte de service à la liste. Si le service s’exécute en tant que système local, ajoutez le nom de l’objet ordinateur (par exemple, SERVERNAME$). Il est recommandé de créer un groupe qui contient ces comptes, puis de spécifier le groupe au lieu des noms de chaque serveur.

Pour plus d’informations sur les différents rôles de serveur consultez :

  • pour les serveurs qui exécutent Exchange: vous devez spécifier un groupe de sécurité et vous pouvez utiliser le groupe par défaut (serveurs Exchange) qui Exchange crée et gère automatiquement tous les serveurs Exchange de la forêt.

  • Pour les serveurs qui exécutent SharePoint:

    • Si un serveur SharePoint 2010 est configuré pour s’exécuter en tant que système local (il n’utilise pas un compte de service), créez manuellement un groupe de sécurité dans Active Directory Domain Services et ajoutez l’objet de nom d’ordinateur pour le serveur dans cette configuration à ce groupe.

    • Si un serveur SharePoint est configuré pour utiliser un compte de service (pratique recommandée pour SharePoint 2010 et seule option pour SharePoint 2016 et SharePoint 2013), procédez comme suit :

      1. Ajoutez le compte de service qui exécute le service SharePoint Central Administration pour que SharePoint puisse être configuré à partir de sa console d’administrateur.

      2. Ajoutez le compte qui est configuré pour le pool d’applications SharePoint.

      Conseil

      Si ces deux comptes sont différents, envisagez de créer un groupe unique contenant les deux comptes pour réduire les coûts d’administration.

  • Pour les serveurs de fichiers qui utilisent infrastructure de classification des fichiers, les services associés s’exécutent en tant que compte système local. vous devez donc autoriser le compte d’ordinateur pour les serveurs de fichiers (par exemple, NomServeur $) ou un groupe qui contient ces comptes d’ordinateur.

Une fois que tous les serveurs sont ajoutés, cliquez sur Fermer.

Si ce n’est pas déjà fait, vous devez maintenant configurer l’équilibrage de charge pour les serveurs qui ont installé le connecteur RMS et envisager d’utiliser le protocole HTTPS pour les connexions entre ces serveurs et les serveurs que vous venez d’autoriser.

Configuration de l’équilibrage de charge et de la haute disponibilité

Après avoir installé la deuxième instance ou la dernière instance du connecteur RMS, définissez un nom de serveur d’URL de connecteur et configurez un système d’équilibrage de charge.

Le nom de serveur URL du connecteur peut être n’importe quel nom figurant sous un espace de noms que vous contrôlez. Par exemple, vous pouvez créer une entrée dans votre système DNS pour rmsconnector.contoso.com et configurer cette entrée pour utiliser une adresse IP dans votre système d’équilibrage de charge. Il n’existe aucune exigence particulière pour ce nom, et il ne doit pas être configuré sur les serveurs de connecteur eux-mêmes. ce nom ne doit pas être résolu sur internet, sauf si vos serveurs Exchange et SharePoint doivent communiquer avec le connecteur via internet.

Important

Nous recommandons de ne pas modifier ce nom après avoir configuré les serveurs Exchange ou SharePoint de manière à utiliser le connecteur, sans quoi vous devriez alors supprimer ces serveurs de toutes les configurations IRM et ensuite les reconfigurer.

Une fois le nom créé dans le système DNS et configuré pour une adresse IP, configurez l’équilibrage de charge pour cette adresse qui dirige le trafic vers les serveurs du connecteur. Pour ce faire, vous pouvez utiliser n’importe quel équilibreur de charge basé sur l’IP, qui inclut la fonctionnalité d’équilibrage de charge réseau (NLB) dans Windows Server. Pour plus d’informations, consultez le Guide de déploiement de l’équilibrage de charge.

Utilisez les paramètres suivants pour configurer le cluster d’équilibrage de charge réseau :

  • Ports: 80 (pour http) ou 443 (pour HTTPS)

    Pour en savoir plus sur le choix du protocole HTTP ou HTTPS, consultez la section suivante.

  • Affinité: aucune

  • Méthode de distribution: égale

Ce nom que vous définissez pour le système à équilibrage de charge (pour les serveurs exécutant le service du connecteur RMS) est le nom du connecteur RMS de votre organisation que vous utilisez ultérieurement, lorsque vous configurez les serveurs locaux de manière à utiliser Azure RMS.

Configuration du connecteur RMS de manière à utiliser HTTPS

Notes

Cette étape de configuration est facultative mais recommandée pour renforcer la sécurité.

Bien que l’utilisation de SSL ou TLS soit facultative pour le connecteur RMS, nous vous la recommandons pour tous les services sécurisés sensibles basés sur HTTP. Cette configuration permet d’authentifier les serveurs exécutant le connecteur sur vos serveurs Exchange et SharePoint utilisant le connecteur. De plus, toutes les données envoyées depuis ces serveurs au connecteur sont chiffrées.

Pour permettre au connecteur RMS d’utiliser TLS, sur chaque serveur qui exécute le connecteur RMS, installez un certificat d’authentification de serveur qui contient le nom que vous utilisez pour le connecteur. Par exemple, si le nom de connecteur RMS défini dans votre système DNS est rmsconnector.contoso.com, déployez un certificat d'authentification de serveur incluant le nom commun rmsconnector.contoso.com dans le sujet du certificat. Vous pouvez également spécifier rmsconnector.contoso.com dans le nom alternatif du certificat comme valeur DNS. Il n’est pas nécessaire d’inclure le nom du serveur dans le certificat. Ensuite, dans IIS, reliez ce certificat au site web par défaut.

Si vous utilisez l’option HTTPS, assurez-vous que tous les serveurs qui exécutent le connecteur disposent d’un certificat d’authentification de serveur valide lié à une autorité de certification racine à laquelle vos serveurs Exchange et SharePoint peuvent faire confiance. De plus, si l’autorité de certification (CA) qui a émis les certificats pour les serveurs du connecteur publie une liste de révocation de certificats (CRL), les serveurs Exchange et SharePoint doivent être en mesure de la télécharger.

Conseil

Vous pouvez utiliser les informations et les ressources suivantes pour vous aider à demander et installer un certificat d’authentification de serveur et lier ce certificat au site web par défaut dans IIS :

  • Si vous utilisez Active Directory les services de certificats (AD CS) et une autorité de certification d’entreprise pour déployer ces certificats d’authentification de serveur, vous pouvez dupliquer puis utiliser le modèle de certificat de serveur Web. Ce modèle utilise l'option Fourni dans la demande pour le nom du sujet du certificat, ce qui signifie que vous pouvez fournir le nom de domaine complet du nom du connecteur RMS pour le nom du sujet du certificat ou le nom alternatif du sujet pour votre demande de certificat.

  • Si vous utilisez une autorité de certification autonome ou achetez ce certificat auprès d’une autre entreprise, consultez Configuration des certificats de serveur Internet (IIS 7) dans la bibliothèque de documentation serveur Web (IIS) sur TechNet.

  • Pour configurer IIS afin d’utiliser le certificat, consultez Ajouter une liaison à un site (IIS 7) dans la bibliothèque de documentation du serveur Web (IIS) sur TechNet.

Configuration du connecteur RMS pour un serveur proxy web

Si vos serveurs de connecteur sont installés sur un réseau qui ne dispose pas d’une connectivité Internet directe et requiert la configuration manuelle d’un serveur proxy Web pour l’accès Internet sortant, vous devez configurer le registre sur ces serveurs pour le connecteur RMS.

Pour configurer le connecteur RMS de manière à utiliser un serveur proxy web

  1. Sur chaque serveur exécutant le connecteur RMS, ouvrez un éditeur de Registre, tel que Regedit.

  2. Accédez à l'emplacement HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector.

  3. Ajoutez la valeur de chaîne ProxyAddress , puis définissez les données de cette valeur sur http://<MyProxyDomainOrIPaddress>:<MyProxyPort>

    Par exemple : http://proxyserver.contoso.com:8080

  4. Fermez l’éditeur de Registre, puis redémarrez le serveur ou exécutez une commande IISReset pour redémarrer IIS.

Installation de l’outil d’administration de connecteur RMS sur les ordinateurs d’administration

Vous pouvez exécuter l’outil d’administration de connecteur RMS à partir d’un ordinateur sur lequel le connecteur RMS n’est pas installé, si cet ordinateur satisfait aux exigences suivantes :

  • un ordinateur physique ou virtuel exécutant Windows Server 2019, 2016, 2012 ou Windows Server 2012 R2 (toutes éditions), Windows 10, Windows 8.1 Windows 8.

  • Au moins 1 Go de RAM.

  • Au moins 64 Go d’espace disque.

  • Au moins une interface réseau.

  • Accès à Internet via un pare-feu (ou un proxy Web).

  • .NET 4.7.2

Pour installer l’outil d’administration du connecteur RMS, exécutez le fichier suivant pour un ordinateur 64 bits : RMSConnectorSetup.exe

Si vous n’avez pas encore téléchargé ces fichiers, vous pouvez le faire à partir du Centre de téléchargement Microsoft.

Pour plus d’informations, consultez Configuration requise pour le connecteur RMS.

Mise à jour de l’installation du connecteur RMS

L' installation automatique d’une nouvelle version du connecteur RMS désinstalle automatiquement toutes les versions antérieures et installe le .net 4.7.2 requis. Si vous rencontrez des problèmes, suivez les instructions ci-dessous pour désinstaller manuellement une version précédente et installer .NET 4.7.2.

  1. Sur votre ordinateur de connecteur RMS, utilisez la page des paramètres des fonctionnalités des applications & pour désinstaller le Connecteur Microsoft Rights Management.

    Sur les systèmes hérités, vous pouvez trouver des options de non-installation dans le panneau de configuration > page programmes et fonctionnalités .

    Parcourez l’Assistant pour désinstaller le connecteur Microsoft Rights Management, en sélectionnant Terminer à la fin.

  2. Vérifiez que .NET 4.7.2 est installé sur votre ordinateur. pour plus d’informations, consultez comment : déterminer les versions de .NET Framework installées.

    Si nécessaire, téléchargez et installez .NET version 4.7.2.

    Redémarrez votre ordinateur lorsque vous y êtes invité, puis poursuivez l' installation de la nouvelle version du connecteur RMS.

Appliquer TLS 1,2 pour le connecteur Azure RMS

Microsoft désactivera les anciens protocoles TLS non sécurisés, y compris TLS 1,0 et TLS 1,1 sur les services RMS par défaut le 1er mars 2022. Pour préparer cette désapprobation, vous pouvez désactiver la prise en charge de ces anciens protocoles sur vos serveurs de connecteur RMS et vous assurer que le système continue à fonctionner comme prévu.

Cette section décrit les étapes permettant de désactiver le protocole TLS (Transport Layer Security) 1,0 et 1,1 sur les serveurs du connecteur RMS et de forcer l’utilisation de TLS 1,2.

Désactivez TLS 1,0 et 1,1 et forcez l’utilisation de TLS 1,2

  1. Assurez-vous que le .NET Framework sur l’ordinateur du connecteur RMS est de version 4.7.2. Pour plus d’informations, consultez .NET Framework version 4.7.2.

  2. Téléchargez et installez la dernière version disponible du connecteur RMS. Pour plus d’informations, consultez installation du connecteur RMS.

  3. Redémarrez vos serveurs de connecteur RMS et testez la fonctionnalité du connecteur RMS. Par exemple, assurez-vous que les utilisateurs RMS locaux sont en mesure de lire leurs documents chiffrés.

Pour plus d'informations, consultez les pages suivantes :

Vérifier l’utilisation de TLS 1,2 (avancé)

Cette procédure fournit un exemple de vérification de l’utilisation de TLS 1,2 et nécessite une connaissance préalable de Fiddler.

  1. Téléchargez et installez Fiddler sur votre ordinateur du connecteur RMS.

  2. Ouvrez Fiddler, puis ouvrez les outils d’administration du connecteur Microsoft RMS.

  3. Sélectionnez se connecter, même si vous n’êtes pas obligé de vous connecter pour terminer la vérification.

  4. Dans la fenêtre Fiddler à gauche, recherchez le processus msconnectoradmin . Ce processus doit tenter d’établir une connexion sécurisée avec Discover.aadrm.com.

    Par exemple :

    Capture d’écran de Fiddler montrant le processus msconnectoradmin tentant d’établir une connexion sécurisée avec Discover point addr. dot com.

  5. Dans la fenêtre Fiddler sur la droite, sélectionnez l’onglet Inspectors , puis affichez les onglets de vue de texte pour la demande et la réponse.

    Dans ces onglets, Notez que la communication s’effectue à l’aide de TLS 1,2. Par exemple :

    Capture d’écran d’une fenêtre Fiddler montrant le TLS 1,2 utilisé.

Forcer manuellement l’utilisation de TLS 1,2

Si vous devez forcer manuellement l’utilisation de TLS 1,2, en désactivant l’utilisation de toutes les versions antérieures, exécutez le script PowerShell suivant sur votre ordinateur de connecteur RMS.

Attention

L’utilisation du script dans cette section désactive la communication pré-TLS 1,2 sur une base par ordinateur. Si d’autres services sur l’ordinateur requièrent TLS 1,0 ou 1,2, ce script risque de perturber les fonctionnalités de ces services.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

Étapes suivantes

Maintenant que le connecteur RMS est installé et configuré, vous êtes en mesure de configurer vos serveurs locaux de manière à l’utiliser. Accédez à Configuration des serveurs pour le connecteur Microsoft Rights Management.