Déploiement du connecteur Azure Rights ManagementDeploying the Azure Rights Management connector

’applique à : Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Utilisez ces informations pour découvrir le connecteur Azure Rights Management et pour savoir comment le déployer correctement dans votre organisation.Use this information to learn about the Azure Rights Management connector, and then how to successfully deploy it for your organization. Ce connecteur assure la protection des données dans le cas des déploiements locaux existants qui utilisent Microsoft Exchange Server, SharePoint Server ou des serveurs de fichiers qui exécutent Windows Server et l’Infrastructure de classification des fichiers (ICF).This connector provides data protection for existing on-premises deployments that use Microsoft Exchange Server, SharePoint Server, or file servers that run Windows Server and File Classification Infrastructure (FCI).

Vue d'ensemble du connecteur Microsoft Rights ManagementOverview of the Microsoft Rights Management connector

Le connecteur Microsoft Rights Management (RMS) permet d'activer rapidement des serveurs locaux existants pour utiliser les services RMS avec le service Microsoft Rights Management (Azure RMS) basé sur le cloud.The Microsoft Rights Management (RMS) connector lets you quickly enable existing on-premises servers to use their Information Rights Management (IRM) functionality with the cloud-based Microsoft Rights Management service (Azure RMS). Cette fonctionnalité permet au service informatique et aux utilisateurs de protéger facilement des documents et des images à l'intérieur comme à l'extérieur de l'organisation, sans avoir à installer des infrastructures supplémentaires ou à établir des relations de confiance avec d'autres organisations.With this functionality, IT and users can easily protect documents and pictures both inside your organization and outside, without having to install additional infrastructure or establish trust relationships with other organizations.

Le connecteur RMS est un service à faible encombrement qui doit être installé en local sur des serveurs exécutant Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2.The RMS connector is a small-footprint service that you install on-premises, on servers that run Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2. Outre la possibilité d'exécuter le connecteur sur des ordinateurs physiques, vous pouvez l'exécuter sur des machines virtuelles, y compris des machines virtuelles Azure IaaS.In addition to running the connector on physical computers, you can also run it on virtual machines, including Azure IaaS VMs. Une fois déployé, le connecteur joue le rôle d’interface de communication (relais) entre les serveurs locaux et le service cloud, comme le montre l’illustration suivante.After you deploy the connector, it acts as a communications interface (a relay) between the on-premises servers and the cloud service, as shown in the following picture. Les flèches indiquent le sens dans lequel les connexions réseau sont démarrées.The arrows indicate the direction in which network connections are initiated.

Vue d’ensemble de l’architecture du connecteur RMS

Serveurs locaux pris en chargeOn-premises servers supported

Le connecteur RMS prend en charge les serveurs locaux suivants : Exchange Server, SharePoint Server, ainsi que les serveurs de fichiers exécutant Windows Server et utilisant l’infrastructure de classification des fichiers pour classer et appliquer des stratégies à des documents Office dans un dossier.The RMS connector supports the following on-premises servers: Exchange Server, SharePoint Server, and file servers that run Windows Server and use File Classification Infrastructure to classify and apply policies to Office documents in a folder.

Note

Si vous voulez protéger plusieurs types de fichiers (pas seulement les documents Office) à l’aide de l’Infrastructure de classification des fichiers, n’utilisez pas le connecteur RMS, mais des applets de commande AzureInformationProtection.If you want to protect multiple file types (not just Office documents) by using File Classification Infrastructure, do not use the RMS connector, but instead, use the AzureInformationProtection cmdlets.

Pour connaître les versions de ces serveurs locaux qui sont prises en charge par le connecteur RMS, consultez Serveurs locaux qui prennent en charge Azure RMS.For the versions of these on-premises servers that are supported by the RMS connector, see On-premises servers that support Azure RMS.

Prise en charge des scénarios hybridesSupport for hybrid scenarios

Vous pouvez utiliser ce connecteur RMS même si certains de vos utilisateurs se connectent à des services en ligne dans le cadre d’un scénario hybride.You can use the RMS connector even if some of your users are connecting to online services, in a hybrid scenario. Par exemple, les boîtes aux lettres de certains utilisateurs utilisent Exchange Online et celles d'autres utilisateurs utilisent Exchange Server.For example, some users' mailboxes use Exchange Online and some users' mailboxes use Exchange Server. Après installation du connecteur RMS, tous les utilisateurs peuvent protéger et consommer des courriers électroniques et pièces jointes à l'aide d'Azure RMS, et la protection des informations fonctionne de façon transparente entre les deux configurations de déploiement.After you install the RMS connector, all users can protect and consume emails and attachments by using Azure RMS, and information protection works seamlessly between the two deployment configurations.

Prise en charge des clés gérées par le client (BYOK)Support for customer-managed keys (BYOK)

Si vous gérez votre propre clé de locataire pour Azure RMS (scénario BYOK, Bring You Own Key), le connecteur RMS et les serveurs locaux qui l’utilisent n’accèdent pas au module de sécurité matériel (HSM) qui contient votre clé de locataire.If you manage your own tenant key for Azure RMS (the bring your own key, or BYOK scenario), the RMS connector and the on-premises servers that use it do not access the hardware security module (HSM) that contains your tenant key. En effet, toutes les opérations de chiffrement qui utilisent la clé de locataire sont effectuées dans Azure RMS et non en local.This is because all cryptographic operations that use the tenant key are performed in Azure RMS, and not on-premises.

Si vous voulez découvrir plus en détail ce scénario dans lequel vous gérez votre clé de locataire, consultez Planification et implémentation de votre clé de locataire Azure Rights Management.If you want to learn more about this scenario where you manage your tenant key, see Planning and implementing your Azure Rights Management tenant key.

Conditions requises pour l'installation du connecteur RMSPrerequisites for the RMS connector

Avant d'installer le connecteur RMS, assurez-vous que les conditions requises suivantes sont remplies.Before you install the RMS connector, make sure that the following requirements are in place.

Condition requiseRequirement Plus d'informationsMore information
Service Rights Management (RMS) activéThe Rights Management (RMS) service is activated Activation d’Azure Rights ManagementActivating Azure Rights Management
Synchronisation des annuaires entre vos forêts Active Directory locales et Azure Active DirectoryDirectory synchronization between your on-premises Active Directory forests and Azure Active Directory Une fois RMS activé, Azure Active Directory doit être configuré pour travailler avec les utilisateurs et les groupes de votre base de données Active Directory.After RMS is activated, Azure Active Directory must be configured to work with the users and groups in your Active Directory database.

Important : vous devez effectuer cette étape de synchronisation des annuaires pour que le connecteur RMS fonctionne, même pour un réseau de test.Important: You must do this directory synchronization step for the RMS connector to work, even for a test network. Même si vous pouvez utiliser Office 365 et Azure Active Directory avec des comptes crées manuellement dans Azure Active Directory, ce connecteur nécessite que les comptes Azure Active Directory soient synchronisés avec les services de domaine Active Directory. La synchronisation manuelle des mots de passe n'est pas suffisante.Although you can use Office 365 and Azure Active Directory by using accounts that you manually create in Azure Active Directory, this connector requires that the accounts in Azure Active Directory are synchronized with Active Directory Domain Services; manual password synchronization is not sufficient.

Pour plus d'informations, consultez les ressources suivantes :For more information, see the following resources:

Intégration de vos identités locales à Azure Active DirectoryIntegrating your on-premises identities with Azure Active Directory

Comparaison des outils d’intégration d’annuaire d’identités hybridesHybrid Identity directory integration tools comparison
Facultatif mais recommandé :Optional but recommended:

Activation de la fédération entre l'annuaire Active Directory local et Azure Active DirectoryEnable federation between your on-premises Active Directory and Azure Active Directory
Vous pouvez activer la fédération des identités entre votre annuaire local et Azure Active Directory.You can enable identity federation between your on-premises directory and Azure Active Directory. Cette configuration offre une expérience utilisateur plus homogène grâce à une authentification unique au service RMS.This configuration enables a more seamless user experience by using single sign-on to the RMS service. Sans l'authentification unique, les utilisateurs sont invités à saisir leurs identifiants pour pouvoir utiliser des contenus protégés par des droits.Without single sign on, users are prompted for their credentials before they can use rights-protected content.

Pour plus d'informations sur la configuration de la fédération par le biais des services AD FS (Active Directory Federation Services) entre les services de domaine Active Directory et Azure Active Directory, consultez la rubrique Liste de contrôle : Utiliser AD FS pour mettre en œuvre et gérer l'authentification unique dans la bibliothèque Windows Server.For instructions to configure federation by using Active Directory Federation Services (AD FS) between Active Directory Domain Services and Azure Active Directory, see the Checklist: Use AD FS to implement and manage single sign-on in the Windows Server library.
Au moins deux ordinateurs membres sur lesquels installer le connecteur RMS :A minimum of two member computers on which to install the RMS connector:

- Un ordinateur 64 bits virtuel ou physique exécutant l’un des systèmes d’exploitation suivants : Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2.- A 64-bit physical or virtual computer running one of the following operating systems: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2.

- 1 Go de RAM minimum.- At least 1 GB of RAM.

- 64 Go d’espace disque minimum.- A minimum of 64 GB of disk space.

- Au moins une interface réseau.- At least one network interface.

- Un accès à Internet par le biais d’un pare-feu (ou proxy web) qui ne nécessite pas d’authentification.- Access to the Internet via a firewall (or web proxy) that does not require authentication.

- Un emplacement au sein d’une forêt ou d’un domaine qui approuve les autres forêts de l’organisation contenant les installations des serveurs Exchange ou SharePoint à utiliser avec le connecteur RMS.- Must be in a forest or domain that trusts other forests in the organization that contain installations of Exchange or SharePoint servers that you want to use with the RMS connector.
Pour une tolérance de panne et une haute disponibilité, vous devez installer le connecteur RMS sur un minimum de deux ordinateurs.For fault tolerance and high availability, you must install the RMS connector on a minimum of two computers.

Conseil : si vous utilisez Outlook Web Access ou des appareils mobiles qui utilisent Exchange ActiveSync IRM et qu’il est essentiel de maintenir l’accès aux messages électroniques et pièces jointes protégés par Azure RMS, nous vous recommandons de déployer un groupe de serveurs de connecteur faisant l’objet d’un équilibrage de charge pour garantir une haute disponibilité.Tip: If you are using Outlook Web Access or mobile devices that use Exchange ActiveSync IRM and it is critical that you maintain access to emails and attachments that are protected by Azure RMS, we recommend that you deploy a load-balanced group of connector servers to ensure high availability.

Vous n'avez pas besoin de serveurs dédiés pour exécuter le connecteur, mais vous devez l'installer sur un ordinateur différent des serveurs qui utiliseront le connecteur.You do not need dedicated servers to run the connector but you must install it on a separate computer from the servers that will use the connector.

Important : n’installez pas le connecteur sur un ordinateur qui exécute Exchange Server, SharePoint Server ou un serveur de fichiers configuré pour l’infrastructure de classification des fichiers si vous voulez utiliser la fonctionnalité depuis ces services avec Azure RMS.Important: Do not install the connector on a computer that runs Exchange Server, SharePoint Server, or a file server that is configured for file classification infrastructure if you want to use the functionality from these services with Azure RMS. En outre, n'installez pas ce connecteur sur un contrôleur de domaine.Also, do not install this connector on a domain controller.

Procédure de déploiement du connecteur RMSSteps to deploy the RMS connector

Sachant que le connecteur ne vérifie pas automatiquement toutes les conditions préalables nécessaires à la réussite d’un déploiement, assurez-vous qu’elles sont réunies avant de commencer.The connector does not automatically check all the prerequistes that it needs for a successful deployment, so make sure that these are in place before you start. À cet effet, vous devez installer le connecteur, le configurer et configurer ensuite les serveurs appelés à utiliser le connecteur.The deployment requires you to install the connector, configure the connector, and then configure the servers that you want to use the connector.

Étapes suivantesNext steps

Accédez à l’étape 1 : Installation et configuration du connecteur Azure Rights Management.Go to Step 1: Installing and configuring the Azure Rights Management connector.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.