Installation et configuration du connecteur Azure Rights ManagementInstalling and configuring the Azure Rights Management connector

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Utilisez les informations suivantes pour vous aider à installer et à configurer le connecteur Azure Rights Management (RMS).Use the following information to help you install and configure the Azure Rights Management (RMS) connector. Ces procédures couvrent les étapes 1 à 4 de Déploiement du connecteur Azure Rights Management.These procedures cover steps 1 though 4 from Deploying the Azure Rights Management connector.

Avant de commencer, vérifiez les conditions préalables pour ce déploiement.Before you begin, make sure that you have reviewed and checked the prerequisites for this deployment.

Installation du connecteur RMSInstalling the RMS connector

  1. Identifiez les ordinateurs (deux au minimum) qui exécuteront le connecteur RMS.Identify the computers (minimum of two) that will run the RMS connector. Ils doivent présenter les caractéristiques minimales indiquées dans les conditions préalables.They must meet the minimum specification listed in the prerequisites.

    Note

    Vous installez un seul connecteur RMS (constitué de plusieurs serveurs pour une haute disponibilité) par locataire (locataire Office 365 ou Azure AD).You install a single RMS connector (consisting of multiple servers for high availability) per tenant (Office 365 tenant or Azure AD tenant). puisque, contrairement à Active Directory RMS, il n'est pas nécessaire d'en installer un par forêt.Unlike Active Directory RMS, you do not have to install an RMS connector in each forest.

  2. Téléchargez les fichiers sources du connecteur RMS sur le Centre de téléchargement Microsoft.Download the source files for the RMS connector from the Microsoft Download Center.

    Pour installer le connecteur RMS, téléchargez le fichier RMSConnectorSetup.exe.To install the RMS connector, download RMSConnectorSetup.exe.

    De plus :In addition:

    • Si vous souhaitez configurer ultérieurement le connecteur à partir d'un ordinateur 32 bits, téléchargez également le fichier RMSConnectorAdminToolSetup_x86.exe.If you later want to configure the connector from a 32-bit computer, also download RMSConnectorAdminToolSetup_x86.exe.

    • Si vous voulez utiliser l'outil de configuration de serveur pour le connecteur RMS, afin d'automatiser la configuration des paramètres de registre sur vos serveurs locaux, téléchargez également le fichier GenConnectorConfig.ps1.If you want to use the server configuration tool for the RMS connector, to automate the configuration of registry settings on you on-premises servers, also download GenConnectorConfig.ps1.

  3. Sur l'ordinateur sur lequel vous souhaitez installer le connecteur RMS, exécutez le fichier RMSConnectorSetup.exe avec des privilèges d'administrateur.On the computer on which you want to install the RMS connector, run RMSConnectorSetup.exe with Administrator privileges.

  4. Dans la page d'accueil de la page Microsoft Rights Management Connector Setup, sélectionnez Installer le connecteur Microsoft Rights Management sur l'ordinateur, puis cliquez sur Suivant.On the Welcome page of the Microsoft Rights Management Connector Setup page, select Install Microsoft Rights Management connector on the computer, and then click Next.

  5. Lisez et acceptez les termes du contrat de licence du connecteur RMS, puis cliquez sur Suivant.Read and agree to the RMS connector license terms, and then click Next.

Pour continuer, saisissez un compte et un mot de passe pour configurer le connecteur RMS.To continue, enter an account and password to configure the RMS connector.

Saisie des informations d'identificationEntering credentials

Pour pouvoir configurer le connecteur RMS, vous devez saisir les identifiants d'un compte disposant des droits suffisants.Before you can configure the RMS connector, you must enter credentials for an account that has sufficient privileges to configure the RMS connector. Par exemple, vous pouvez taper admin@contoso.com, puis spécifier le mot de passe pour ce compte.For example, you might type admin@contoso.com and then specify the password for this account.

Ce compte ne doit pas requérir l’authentification multifacteur (MFA), car l’outil d’administration Microsoft Rights Management ne prend pas en charge l’authentification multifacteur pour ce compte.This account must not require multi-factor authentication (MFA) because the Microsoft Rights Management administration tool does not support MFA for this account.

Le connecteur applique également des restrictions de caractères à ce mot de passe.The connector also has some character restrictions for this password. Vous ne pouvez pas utiliser un mot de passe qui comporte les caractères suivants : « et commercial » (&) ; crochet ouvrant ([) ; crochet fermant (]) ; guillemet droit (") ; et apostrophe (').You cannot use a password that has any of the following characters: Ampersand ( & ); left angle bracket ( [ ); right angle bracket ( ] ); straight quotation ( " ); and apostrophe ( ' ). Si votre mot de passe contient l’un de ces caractères, l’authentification échoue pour le connecteur RMS, et vous voyez le message d’erreur Cette combinaison de nom d’utilisateur et mot de passe n’est pas correcte, même si vous pouvez vous connecter à l’aide de ce compte et de ce mot de passe pour d’autres scénarios.If your password has any of these characters, authentication fails for the RMS connector and you see the error message That user name and password combination is not correct, even though you can successfully sign in using this account and password for other scenarios. Si ce scénario s’applique à votre mot de passe, utilisez un autre compte dont le mot de passe ne contient aucun de ces caractères spéciaux ou redéfinissez votre mot de passe de façon à ce qu’il n’en contienne pas.If scenario applies to your password, either use a different account with a password that does not have any of these special characters, or reset your password so it doesn't have any of these special characters.

En outre, si vous avez implémenté des contrôles d’intégration, vérifiez que le compte spécifié peut protéger le contenu.In addition, if you have implemented onboarding controls, make sure that the account you specify is able to protect content. Par exemple, si vous avez limité la possibilité de protéger du contenu pour le groupe « Département informatique », le compte que vous spécifiez ici doit être un membre de ce groupe.For example, if you restricted the ability to protect content to the "IT department" group, the account that you specify here must be a member of that group. Si ce n’est pas le cas, le message d’erreur suivant s’affiche : Échec de la tentative de détection de l’emplacement du service d’administration et de l’organisation. Vérifiez que le service Microsoft Rights Management est activé pour votre organisation.If not, you see the error message: The attempt to discover the location of the administration service and organization failed. Make sure Microsoft Rights Management service is enabled for your organization.

Vous pouvez utiliser un compte possédant l'un des privilèges suivants :You can use an account that has one of the following privileges:

  • Administrateur général pour votre client : compte d’administrateur général pour votre client Office 365 ou Azure AD.Global administrator for your tenant: An account that is a global administrator for your Office 365 tenant or Azure AD tenant.

  • Administrateur général Azure Rights Management : compte dans Azure Active Directory auquel a été affecté le rôle d’administrateur général Azure RMS.Azure Rights Management global administrator: An account in Azure Active Directory that has been assigned the Azure RMS global administrator role.

  • Administrateur du connecteur Azure Rights Management : compte dans Azure Active Directory disposant de droits permettant d’installer et d’administrer le connecteur RMS pour votre organisation.Azure Rights Management connector administrator: An account in Azure Active Directory that has been granted rights to install and administer the RMS connector for your organization.

    Note

    Le rôle d’administrateur général Azure Rights Management et le rôle d’administrateur du connecteur Azure Rights Management sont affectés aux comptes à l’aide de l’applet de commande Azure RMS Add-AadrmRoleBasedAdministrator.The Azure Rights Management global administrator role and Azure Rights Management connector administrator role are assigned to accounts by using the Azure RMS Add-AadrmRoleBasedAdministrator cmdlet.

    Pour exécuter le connecteur RMS avec des privilèges minimum, créez un compte dédié à cet effet, auquel vous affectez ensuite le rôle d’administrateur du connecteur Azure RMS en procédant comme suit :To run the RMS connector with least privileges, create a dedicated account for this purpose that you then assign the Azure RMS connector administrator role by doing the following:

    1. Si ce n’est déjà fait, téléchargez et installez Windows PowerShell pour Rights Management.If you haven't already done so, download and install Windows PowerShell for Rights Management. Pour plus d’informations, consultez Installation de Windows PowerShell pour Azure Rights Management.For more information, see Installing Windows PowerShell for Azure Rights Management.

      Démarrez Windows PowerShell avec la commande Exécuter en tant qu'administrateur, et connectez-vous au service Azure RMS à l'aide de la commande Connect-AadrmService:Start Windows PowerShell with the Run as administrator command, and connect to the Azure RMS service by using the Connect-AadrmService command:

      Connect-AadrmService                   //provide Office 365 tenant administrator or Azure RMS global administrator credentials
      
    2. Puis exécutez la commande Add-AadrmRoleBasedAdministrator, en utilisant un seul des paramètres suivants :Then run the Add-AadrmRoleBasedAdministrator command, using just one of the following parameters:

      Add-AadrmRoleBasedAdministrator -EmailAddress <email address> -Role "ConnectorAdministrator"
      
      Add-AadrmRoleBasedAdministrator -ObjectId <object id> -Role "ConnectorAdministrator"
      
      Add-AadrmRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role "ConnectorAdministrator"
      

      Par exemple, tapez : Add-AadrmRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"For example, type: Add-AadrmRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"

      Même si ces commandes affectent le rôle d’administrateur du connecteur, vous pouvez également utiliser le rôle GlobalAdministrator ici aussi.Although these commands assign the connector administrator role, you could also use the GlobalAdministrator role here, as well.

Au cours du processus d'installation du connecteur RMS, tous les logiciels requis sont validés et installés, les services Internet (IIS) sont installés s'ils ne l'étaient pas déjà et le logiciel du connecteur est installé et configuré.During the RMS connector installation process, all prerequisite software is validated and installed, Internet Information Services (IIS) is installed if not already present, and the connector software is installed and configured. De plus, Azure RMS est préparé pour la configuration via la création des éléments suivants :In addition, Azure RMS is prepared for configuration by creating the following:

  • Table vide des pour les serveurs autorisés à utiliser le connecteur pour communiquer avec Azure RMS.An empty table of servers that are authorized to use the connector to communicate with Azure RMS. Vous ajoutez des serveurs à cette table par la suite.You add servers to this table later.

  • Ensemble de jetons de sécurité pour le connecteur, qui autorisent des opérations avec Azure RMS.A set of security tokens for the connector, which authorize operations with Azure RMS. Ces jetons sont téléchargés à partir d'Azure RMS et installés dans le Registre de l'ordinateur local.These tokens are downloaded from Azure RMS and installed on the local computer in the registry. Ils sont protégés à l'aide de l'API de protection de données (DPAPI) et des informations d'identification du compte système Local.They are protected by using the data protection application programming interface (DPAPI) and the Local System account credentials.

Exécutez les actions suivantes sur la dernière page de l'Assistant, puis cliquez sur Terminer :On the final page of the wizard, do the following, and then click Finish:

  • S'il s'agit du premier connecteur installé, ne sélectionnez pas l'option Lancer la console Administrateur du connecteur pour autoriser des serveurs à ce stade.If this is the first connector that you have installed, do not select Launch connector administrator console to authorize servers at this time. Vous sélectionnerez cette option une fois que vous aurez installé la deuxième (ou dernière) instance du connecteur RMS.You will select this option after you have installed your second (or final) RMS connector. ‎À la place, exécutez à nouveau l'Assistant sur au moins un autre ordinateur.Instead, run the wizard again on at least one other computer. Notez que vous devez procéder à deux installations minimum.You must install a minimum of two connectors.

  • S'il s'agit de la deuxième (ou dernière) instance du connecteur, sélectionnez Lancer la console Administrateur du connecteur pour autoriser des serveurs.If you have installed your second (or final) connector, select Launch connector administrator console to authorize servers.

Conseil

À ce stade, vous pouvez réaliser un test de vérification pour vous assurer que les services Web du connecteur RMS sont opérationnels :At this point, there is a verification test that you can perform to test whether the web services for the RMS connector are operational:

  • Dans un navigateur web, accédez à l’URL http://<adresse_connecteur>/_wmcs/certification/servercertification.asmx, en remplaçant <adresse_connecteur> par l’adresse ou le nom du serveur sur lequel le connecteur RMS est installé.From a web browser, connect to http://<connectoraddress>/_wmcs/certification/servercertification.asmx, replacing <connectoraddress> with the server address or name that has the RMS connector installed. Si la connexion fonctionne, la page ServerCertificationWebService apparaît.A successful connection displays a ServerCertificationWebService page.

Si vous avez besoin de désinstaller le connecteur RMS, exécutez à nouveau l'Assistant et sélectionnez l'option Désinstaller.If you need to uninstall the RMS connector, run the wizard again and select the uninstall option.

Si vous rencontrez des problèmes lors de l’installation, vérifiez le journal d’installation : %LocalAppData%\Temp\Microsoft Rights Management connector_<date et heure>.logIf you experience any problems during the installation, check the installation log: %LocalAppData%\Temp\Microsoft Rights Management connector_<date and time>.log

Par exemple, le nom de votre journal d’installation peut être similaire à C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.logAs an example, your install log might look similar to C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Définition des serveurs autorisés à utiliser le connecteur RMSAuthorizing servers to use the RMS connector

Dès lors que le connecteur RMS est installé sur au moins deux ordinateurs, vous êtes en mesure d'autoriser les serveurs et les services souhaités à utiliser le connecteur RMS.When you have installed the RMS connector on at least two computers, you are ready to authorize the servers and services that you want to use the RMS connector. Par exemple, les serveurs exécutant Exchange Server 2013 ou SharePoint Server 2013.For example, servers running Exchange Server 2013 or SharePoint Server 2013.

Pour définir ces serveurs, exécutez l'outil d'administration du connecteur RMS, puis ajoutez des entrées à la liste des serveurs autorisés.To define these servers, run the RMS connector administration tool and add entries to the list of allowed servers. Vous pouvez exécuter cet outil lors de la sélection de l'option Lancer la console Administrateur du connecteur pour autoriser des serveurs à la fin de l'Assistant de configuration du connecteur Microsoft Rights Management, mais vous pouvez également l'exécuter séparément de l'Assistant.You can run this tool when you select Launch connector administration console to authorize servers at the end of the Microsoft Rights Management connector Setup wizard, or you can run it separately from the wizard.

Prenez en compte les considérations suivantes lors de la définition des serveurs :When you authorize these servers, be aware of the following considerations:

  • Les serveurs ajoutés reçoivent des privilèges particuliers.Servers that you add are granted special privileges. Tous les comptes que vous spécifiez pour le rôle serveur Exchange dans la configuration du connecteur reçoivent le rôle super utilisateur dans Azure RMS, ce qui leur donne accès à tout le contenu de ce locataire RMS.All accounts that you specify for the Exchange Server role in the connector configuration are granted the super user role in Azure RMS, which gives them access to all content for this RMS tenant. La fonctionnalité de super utilisateur est automatiquement activée à ce stade, si nécessaire.The super user feature is automatically enabled at this point, if necessary. Pour éviter le risque de sécurité lié à l'élévation de privilèges, veillez à spécifier uniquement les comptes utilisés par les serveurs Exchange de votre organisation.To avoid the security risk of elevation of privileges, be careful to specify only the accounts that are used by your organization’s Exchange servers. Tous les serveurs configurés comme serveurs SharePoint ou serveurs de fichiers utilisant l'infrastructure de classification des fichiers (ICF) reçoivent des privilèges d’utilisateur standard.All servers configured as SharePoint servers or file servers that use FCI are granted regular user privileges.

  • Vous pouvez ajouter plusieurs serveurs sous la forme d'une entrée unique en spécifiant un groupe de distribution ou de sécurité Active Directory ou un compte de service utilisé par plus d'un serveur.You can add multiple servers as a single entry by specifying an Active Directory security or distribution group, or a service account that is used by more than one server. Quand vous utilisez cette configuration, le groupe de serveurs partage les mêmes certificats RMS et ils sont tous considérés comme étant propriétaires de l’ensemble du contenu protégé par un des serveurs.When you use this configuration, the group of servers shares the same RMS certificates and are all be considered owners for content that any of them have protected. Pour minimiser la charge administrative, nous vous conseillons d'adopter cette configuration de groupe unique plutôt que de serveurs multiples pour autoriser les serveurs Exchange ou la batterie de serveurs SharePoint de votre organisation.To minimize administrative overheads, we recommend that you use this configuration of a single group rather than individual servers to authorize your organization’s Exchange servers or a SharePoint server farm.

Sur la page Serveurs autorisés à utiliser le connecteur, cliquez sur Ajouter.On the Servers allowed to utilize the connector page, click Add.

Note

Autoriser des serveurs dans Azure RMS équivaut à la configuration AD RMS qui consiste à appliquer manuellement des droits NTFS à ServerCertification.asmx pour les comptes d’ordinateur de service ou de serveur et à accorder manuellement des droits de super utilisateur aux comptes Exchange.Authorizing servers is the equivalent configuration in Azure RMS to the AD RMS configuration of manually applying NTFS rights to ServerCertification.asmx for the service or server computer accounts, and manually granting user super rights to the Exchange accounts. L’application de droits NTFS à ServerCertification.asmx n’est pas nécessaire sur le connecteur.Applying NTFS rights to ServerCertification.asmx is not required on the connector.

Ajout d'un serveur à la liste des serveurs autorisésAdd a server to the list of allowed servers

Sur la page Autoriser un serveur à utiliser le connecteur, saisissez le nom de l'objet ou recherchez l'objet à autoriser.On the Allow a server to utilize the connector page, enter the name of the object, or browse to identify the object to authorize.

Il est important d'autoriser l'objet adéquat.It is important that you authorize the correct object. Pour qu'un serveur utilise le connecteur, le compte qui exécute le service local (par exemple, Exchange ou SharePoint) doit être sélectionné pour autorisation.For a server to use the connector, the account that runs the on-premises service (for example, Exchange or SharePoint) must be selected for authorization. Par exemple, si le service est exécuté en tant que compte de service configuré, ajoutez le nom de ce compte de service à la liste.For example, if the service is running as a configured service account, add the name of that service account to the list. Si le service est exécuté en tant que système local, ajoutez le nom de l'objet d'ordinateur (par exemple, NOMSERVEUR$).If the service is running as Local System, add the name of the computer object (for example, SERVERNAME$). Il est préférable de créer un groupe contenant ces comptes afin de spécifier ce groupe plutôt que des noms de serveurs individuels.As a best practice, create a group that contains these accounts and specify the group instead of individual server names.

Voici quelques informations relatives aux différents rôles de serveur :More information about the different server roles:

  • Pour les serveurs exécutant Exchange : vous devez spécifier un groupe de sécurité. Notez que vous pouvez utiliser le groupe par défaut (Serveurs Exchange) créé et mis à jour automatiquement par Exchange, regroupant tous les serveurs Exchange de la forêt.For servers that run Exchange: You must specify a security group and you can use the default group (Exchange Servers) that Exchange automatically creates and maintains of all Exchange servers in the forest.

  • Pour les serveurs exécutant SharePoint :For servers that run SharePoint:

    • Si un serveur SharePoint 2010 est configuré pour s'exécuter en tant que système Local (il n'utilise pas de compte de service), créez manuellement un groupe de sécurité dans les services de domaine Active Directory, puis ajoutez l'objet de nom d'ordinateur pour le serveur dans cette configuration à ce groupe.If a SharePoint 2010 server is configured to run as Local System (it's not using a service account), manually create a security group in Active Directory Domain Services, and add the computer name object for the server in this configuration to this group.

    • Si un serveur SharePoint est configuré pour utiliser un compte de service (pratique recommandée pour SharePoint 2010 et seule option pour SharePoint 2016 et SharePoint 2013), procédez comme suit :If a SharePoint server is configured to use a service account (the recommended practice for SharePoint 2010 and the only option for SharePoint 2016 and SharePoint 2013), do the following:

      1. Ajoutez le compte de service exécutant le service Administration centrale de SharePoint pour que SharePoint soit configuré à partir de sa console Administrateur.Add the service account that runs the SharePoint Central Administration service to enable SharePoint to be configured from its administrator console.

      2. Ajoutez le compte configuré pour le pool d'applications SharePoint.Add the account that is configured for the SharePoint App Pool.

      Conseil

      S'il s'agit de deux comptes différents, pensez à créer un groupe unique les réunissant, afin de minimiser la charge administrative.If these two accounts are different, consider creating a single group that contains both accounts to minimize the administrative overheads.

  • Pour les serveurs de fichiers utilisant l'infrastructure de classification des fichiers, les services associés s'exécutent en tant que compte de système local. Vous devez donc autoriser les comptes d'ordinateur des serveurs de fichiers (par exemple, NOMSERVEUR$) ou un groupe réunissant ces comptes d'ordinateur.For file servers that use File Classification Infrastructure, the associated services run as the Local System account, so you must authorize the computer account for the file servers (for example, SERVERNAME$) or a group that contains those computer accounts.

Une fois que tous les serveurs sont ajoutés, cliquez sur Fermer.When you have finished adding servers to the list, click Close.

Si vous ne l'avez pas déjà fait, vous devez à présent configurer l'équilibrage de charge pour les serveurs disposant du connecteur RMS installé, et déterminer si vous souhaitez utiliser le protocole HTTPS pour les connexions entre ces serveurs et les serveurs que vous venez d'autoriser.If you haven’t already done so, you must now configure load balancing for the servers that have the RMS connector installed, and consider whether to use HTTPS for the connections between these servers and the servers that you have just authorized.

Configuration de l'équilibrage de charge et de la haute disponibilitéConfiguring load balancing and high availability

Une fois la deuxième (ou dernière) instance du connecteur RMS installée, vous devez définir un nom de serveur URL pour le connecteur et configurer un système d'équilibrage de charge.After you have installed the second or final instance of the RMS connector, define a connector URL server name and configure a load balancing system.

Le nom de serveur URL du connecteur peut être n'importe quel nom défini dans un espace de noms que vous contrôlez.The connector URL server name can be any name under a namespace that you control. Par exemple, vous pourriez créer une entrée dans votre système DNS pour rmsconnector.contoso.com et configurer cette entrée pour utiliser une adresse IP dans votre système d’équilibrage de charge.For example, you could create an entry in your DNS system for rmsconnector.contoso.com and configure this entry to use an IP address in your load balancing system. Il n'y a pas de conditions requises particulières pour ce nom, et il n'est pas nécessaire de le configurer sur les serveurs de connecteur eux-mêmes.There are no special requirements for this name and it doesn’t need to be configured on the connector servers themselves. Il n'est pas non plus nécessaire que ce nom apparaisse sur Internet, sauf si vos serveurs Exchange et SharePoint sont amenés à communiquer avec le connecteur via Internet.Unless your Exchange and SharePoint servers are going to be communicating with the connector over the Internet, this name doesn’t have to resolve on the Internet.

Important

Nous vous conseillons de ne pas modifier ce nom une fois les serveurs Exchange ou SharePoint configurés pour utiliser le connecteur, car vous devriez alors supprimer ces serveurs de l'ensemble des configurations de gestion des droits relatifs à l'information pour ensuite les reconfigurer.We recommend that you don’t change this name after you have configured Exchange or SharePoint servers to use the connector, because you have to then clear these servers of all IRM configurations and then reconfigure them.

Une fois le nom créé dans le système DNS et associé à une adresse IP, configurez l'équilibrage de charge pour cette adresse, afin de rediriger le trafic vers les serveurs du connecteur.After the name is created in DNS and is configured for an IP address, configure load balancing for that address, which directs traffic to the connector servers. Vous pouvez utiliser n'importe quel programme d'équilibrage de charge basé sur une adresse IP, notamment la fonctionnalité Équilibrage de la charge réseau (NLB) de Windows Server.You can use any IP-based load balancer for this purpose, which includes the Network Load Balancing (NLB) feature in Windows Server. Pour plus d’informations, consultez le guide de déploiement de l’équilibrage de charge.For more information, see Load Balancing Deployment Guide.

Utilisez les paramètres suivants pour configurer le cluster NLB :Use the following settings to configure the NLB cluster:

  • Ports : 80 (HTTP) ou 443 (HTTPS)Ports: 80 (for HTTP) or 443 (for HTTPS)

    Pour plus d'informations sur le choix du protocole HTTP ou du protocole HTTPS, consultez la section suivante.For more information about whether to use HTTP or HTTPS, see the next section.

  • Affinité : AucuneAffinity: None

  • Méthode de distribution : ÉgalDistribution method: Equal

Ce nom que vous définissez pour le système d'équilibrage de charge (pour les serveurs exécutant le service de connecteur RMS) est le nom du connecteur RMS de votre organisation que vous utilisez par la suite afin de configurer les serveurs locaux pour qu’ils utilisent Azure RMS.This name that you define for the load-balanced system (for the servers running the RMS connector service) is your organization’s RMS connector name that you use later, when you configure the on-premises servers to use Azure RMS.

Configuration du connecteur RMS pour le protocole HTTPSConfiguring the RMS connector to use HTTPS

Note

Cette étape de configuration est facultative, mais recommandée pour plus de sécurité.This configuration step is optional, but recommended for additional security.

Bien que l'utilisation de TLS ou de SSL soit facultative pour le connecteur RMS, nous la conseillons pour tout service lié à la sécurité basé sur le protocole HTTP.Although the use of TLS or SSL is optional for the RMS connector, we recommend it for any HTTP-based security-sensitive service. Cette configuration authentifie les serveurs exécutant le connecteur sur vos serveurs Exchange et SharePoint qui utilisent le connecteur.This configuration authenticates the servers running the connector to your Exchange and SharePoint servers that use the connector. De plus, toutes les données envoyées depuis ces serveurs au connecteur sont chiffrées.In addition, all data that is sent from these servers to the connector is encrypted.

Pour que le connecteur RMS utilise TLS, installez un certificat d'authentification de serveur contenant le nom utilisé pour le connecteur RMS sur chacun des serveurs qui l'exécutent.To enable the RMS connector to use TLS, on each server that runs the RMS connector, install a server authentication certificate that contains the name that you use for the connector. Par exemple, si le nom de connecteur RMS défini dans votre système DNS est rmsconnector.contoso.com, déployez un certificat d’authentification de serveur incluant le nom commun rmsconnector.contoso.com dans le sujet du certificat.For example, if your RMS connector name that you defined in DNS is rmsconnector.contoso.com, deploy a server authentication certificate that contains rmsconnector.contoso.com in the certificate subject as the common name. Vous pouvez aussi spécifier rmsconnector.contoso.com dans le nom alternatif du certificat comme valeur DNS.Or, specify rmsconnector.contoso.com in the certificate alternative name as the DNS value. Le certificat n'a pas besoin d'inclure le nom du serveur.The certificate does not have to include the name of the server. Dans IIS, reliez ensuite ce certificat au site Web par défaut.Then in IIS, bind this certificate to the Default Web Site.

Si vous utilisez l'option HTTPS, assurez-vous que tous les serveurs exécutant le connecteur disposent d'un certificat d'authentification de serveur valide lié à l'autorité de certification racine reconnue par vos serveurs Exchange et SharePoint.If you use the HTTPS option, ensure that all servers that run the connector have a valid server authentication certificate that chains to a root CA that your Exchange and SharePoint servers trust. Par ailleurs, si l'autorité de certification qui a établi les certificats pour les serveurs du connecteur publie une liste de révocation de certificats, les serveurs Exchange et SharePoint doivent pouvoir la télécharger.In addition, if the certification authority (CA) that issued the certificates for the connector servers publishes a certificate revocation list (CRL), the Exchange and SharePoint servers must be able to download this CRL.

Conseil

Vous pouvez utiliser les informations et ressources suivantes pour vous aider à demander et à installer un certificat d'authentification de serveur, puis à relier ce certificat au site Web par défaut dans IIS :You can use the following information and resources to help you request and install a server authentication certificate, and to bind this certificate to the Default Web Site in IIS:

  • Si vous utilisez les services de certificat Active Directory (AD CS) et une autorité de certification d'entreprise pour déployer ces certificats d'authentification de serveur, vous pouvez dupliquer puis utiliser le modèle de certificat de serveur Web.If you use Active Directory Certificate Services (AD CS) and an enterprise certification authority (CA) to deploy these server authentication certificates, you can duplicate and then use the Web Server certificate template. Ce modèle utilise l'option Fourni dans la demande pour le nom du sujet du certificat, ce qui signifie que vous pouvez fournir le nom de domaine complet du nom du connecteur RMS pour le nom du sujet du certificat ou le nom alternatif du sujet pour votre demande de certificat.This certificate template uses Supplied in the request for the certificate subject name, which means that you can provide the FQDN of the RMS connector name for the certificate subject name or subject alternative name when you request the certificate.
  • Si vous utilisez une autorité de certification autonome ou si vous achetez ce certificat auprès d’une autre société, consultez la rubrique Configuration des certificats de serveur Internet (IIS 7) dans la bibliothèque de documentation Serveur web (IIS) sur TechNet.If you use a stand-alone CA or purchase this certificate from another company, see Configuring Internet Server Certificates (IIS 7) in the Web Server (IIS) documentation library on TechNet.
  • Pour configurer IIS afin d’utiliser le certificat, consultez Ajouter une liaison à un site (IIS 7) dans la bibliothèque de documentation Serveur web (IIS) sur TechNet.To configure IIS to use the certificate, see Add a Binding to a Site (IIS 7) in the Web Server (IIS) documentation library on TechNet.

Configuration du connecteur RMS pour un serveur proxy webConfiguring the RMS connector for a web proxy server

Si vos serveurs de connecteur sont installés au sein d'un réseau qui ne possède pas de connectivité Internet directe et qui nécessite la configuration manuelle d'un serveur proxy web pour obtenir un accès Internet sortant, vous devez configurer le registre de ces serveurs pour le connecteur RMS.If your connector servers are installed in a network that does not have direct Internet connectivity and requires manual configuration of a web proxy server for outbound Internet access, you must configure the registry on these servers for the RMS connector.

Configuration du connecteur RMS afin d'utiliser un serveur proxy webTo configure the RMS connector to use a web proxy server

  1. Sur chaque serveur exécutant le connecteur RMS, ouvrez un éditeur de registre, tel que Regedit.On each server running the RMS connector, open a registry editor, such as Regedit.

  2. Accédez à l’emplacement HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Ajoutez la valeur de chaîne Adresse proxy, puis configurez les données de cette valeur sur http://<MonDomainProxyOuAdresseIP>:<MonPortProxy>Add the string value of ProxyAddress and then set the Data for this value to be http://<MyProxyDomainOrIPaddress>:<MyProxyPort>

    Par exemple : http://proxyserver.contoso.com:8080For example: http://proxyserver.contoso.com:8080

  4. Fermez l'éditeur de registre, puis redémarrez le serveur ou exécutez une commande IISReset pour redémarrer IIS.Close the registry editor, and then restart the server or perform an IISReset command to restart IIS.

Installation de l'outil d'administration du connecteur RMS sur les ordinateurs d'administrationInstalling the RMS connector administration tool on administrative computers

Vous pouvez exécuter l'outil d'administration du connecteur RMS à partir d'un ordinateur sur lequel le connecteur RMS n'est pas installé, dans la mesure où cet ordinateur est conforme à la configuration suivante :You can run the RMS connector administration tool from a computer that does not have the RMS connector installed, if that computer meets the following requirements:

  • Un ordinateur physique ou virtuel exécutant Windows Server 2012 ou Windows Server 2012 R2 (toutes éditions), Windows Server 2008 R2 ou Windows Server 2008 R2 Service Pack 1 (toutes éditions), Windows 8.1, Windows 8 ou Windows 7.A physical or virtual computer running Windows Server 2012 or Windows Server 2012 R2 (all editions), Windows Server 2008 R2 or Windows Server 2008 R2 Service Pack 1 (all editions), Windows 8.1, Windows 8, or Windows 7.

  • 1 Go de RAM minimum.At least 1 GB of RAM.

  • 64 Go d'espace disque minimum.A minimum of 64 GB of disk space.

  • Au moins une interface réseau.At least one network interface.

  • Un accès à Internet via un pare-feu (ou un proxy web).Access to the Internet via a firewall (or web proxy).

Exécutez les fichiers suivants pour installer l'outil d'administration du connecteur RMS :To install the RMS connector administration tool, run the following files:

  • Pour un ordinateur 32 bits : RMSConnectorAdminToolSetup_x86.exeFor a 32-bit computer: RMSConnectorAdminToolSetup_x86.exe

  • Pour un ordinateur 64 bits : RMSConnectorSetup.exeFor a 64-bit computer: RMSConnectorSetup.exe

Si ce n'est déjà fait, vous pouvez télécharger ces fichiers à partir du Centre de téléchargement Microsoft.If you haven’t already downloaded these files, you can do so from the Microsoft Download Center.

Étapes suivantesNext steps

Maintenant que le connecteur RMS est installé et configuré, vous êtes prêt à configurer vos serveurs locaux pour qu’ils l’utilisent.Now that the RMS connector is installed and configured, you are ready to configure your on-premises servers to use it. Accédez à Configuration des serveurs pour le connecteur Azure Rights Management.Go to Configuring servers for the Azure Rights Management connector.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.