Installation et configuration du connecteur Azure Rights ManagementInstalling and configuring the Azure Rights Management connector

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Utilisez les informations suivantes pour installer et configurer le connecteur Azure Rights Management (RMS).Use the following information to help you install and configure the Azure Rights Management (RMS) connector. Ces procédures couvrent les étapes 1 à 4 de l’article Déployer le connecteur Azure Rights Management - AIP.These procedures cover steps 1 though 4 from Deploying the Azure Rights Management connector.

Avant de commencer, assurez-vous que vous avez consulté et vérifié les conditions préalables à ce déploiement.Before you begin, make sure that you have reviewed and checked the prerequisites for this deployment.

Installation du connecteur RMSInstalling the RMS connector

  1. Identifiez les ordinateurs qui exécuteront le connecteur RMS (deux au minimum).Identify the computers (minimum of two) that will run the RMS connector. Ils doivent présenter les caractéristiques minimales listées dans les conditions préalables.They must meet the minimum specification listed in the prerequisites.

    Note

    Vous installez un seul connecteur RMS (constitué de plusieurs serveurs pour une haute disponibilité) par locataire (locataire Office 365 ou Azure AD).You install a single RMS connector (consisting of multiple servers for high availability) per tenant (Office 365 tenant or Azure AD tenant). Contrairement à Active Directory RMS, il est inutile d’installer un connecteur RMS dans chaque forêt.Unlike Active Directory RMS, you do not have to install an RMS connector in each forest.

  2. Téléchargez les fichiers sources du connecteur RMS à partir du Centre de téléchargement Microsoft.Download the source files for the RMS connector from the Microsoft Download Center.

    Pour installer le connecteur RMS, téléchargez RMSConnectorSetup.exe.To install the RMS connector, download RMSConnectorSetup.exe.

    Informations supplémentaires :In addition:

    • Si vous décidez de configurer le connecteur à partir d’un ordinateur 32 bits, téléchargez également RMSConnectorAdminToolSetup_x86.exe.If you later want to configure the connector from a 32-bit computer, also download RMSConnectorAdminToolSetup_x86.exe.

    • Si vous souhaitez utiliser l’outil de configuration de serveur pour le connecteur RMS afin d’automatiser la configuration des paramètres de Registre sur vos serveurs locaux, téléchargez également GenConnectorConfig.ps1.If you want to use the server configuration tool for the RMS connector, to automate the configuration of registry settings on your on-premises servers, also download GenConnectorConfig.ps1.

  3. Sur l’ordinateur sur lequel vous souhaitez installer le connecteur RMS, exécutez RMSConnectorSetup.exe avec des privilèges d’administrateur.On the computer on which you want to install the RMS connector, run RMSConnectorSetup.exe with Administrator privileges.

  4. Sur la page d’accueil de Microsoft Rights Management Connector Setup, sélectionnez Install Microsoft Rights Management connector on the computer (Installer le connecteur Microsoft Rights Management sur l’ordinateur), puis cliquez sur Suivant.On the Welcome page of the Microsoft Rights Management Connector Setup, select Install Microsoft Rights Management connector on the computer, and then click Next.

  5. Lisez et acceptez les termes du contrat de licence du connecteur RMS, puis cliquez sur Suivant.Read and agree to the RMS connector license terms, and then click Next.

Pour continuer, entrez un compte et un mot de passe pour configurer le connecteur RMS.To continue, enter an account and password to configure the RMS connector.

Saisie des informations d’identificationEntering credentials

Avant de pouvoir configurer le connecteur RMS, vous devez entrer les informations d’identification d’un compte dispose de privilèges suffisants pour configurer le connecteur RMS.Before you can configure the RMS connector, you must enter credentials for an account that has sufficient privileges to configure the RMS connector. Par exemple, vous pouvez taper admin@contoso.com, puis spécifier le mot de passe pour ce compte.For example, you might type admin@contoso.com and then specify the password for this account.

Ce compte ne doit pas recourir à l’authentification multifacteur (MFA), car l’outil d’administration Microsoft Rights Management ne prend pas en charge cette fonctionnalité pour ce compte.This account must not require multi-factor authentication (MFA) because the Microsoft Rights Management administration tool does not support MFA for this account.

Le connecteur applique également des restrictions de caractères pour ce mot de passe.The connector also has some character restrictions for this password. Vous ne pouvez pas utiliser de mot de passe comportant les caractères suivants : esperluette (&) ; crochet ouvrant ([) ; crochet fermant (]) ; guillemet droit (") ; et apostrophe ().You cannot use a password that has any of the following characters: Ampersand ( & ); left angle bracket ( [ ); right angle bracket ( ] ); straight quotation ( " ); and apostrophe ( ' ). Si votre mot de passe comporte l’un de ces caractères, l’authentification échoue pour le connecteur RMS et le message d’erreur Cette combinaison de nom d’utilisateur et mot de passe n’est pas correcte. s’affiche, même si vous pouvez vous connecter à l’aide de ce compte et du mot de passe pour d’autres scénarios.If your password has any of these characters, authentication fails for the RMS connector and you see the error message That user name and password combination is not correct, even though you can successfully sign in using this account and password for other scenarios. Si ce scénario s’applique à votre mot de passe, utilisez un autre compte avec un mot de passe qui ne contient aucun de ces caractères spéciaux, ou redéfinissez votre mot de passe de façon à ce qu’il ne comporte aucun de ces caractères spéciaux.If this scenario applies to your password, either use a different account with a password that does not have any of these special characters, or reset your password so it doesn't have any of these special characters.

En outre, si vous avez implémenté des contrôles d’intégration, assurez-vous que le compte que vous spécifiez est en mesure de protéger du contenu.In addition, if you have implemented onboarding controls, make sure that the account you specify is able to protect content. Par exemple, si vous avez limité la possibilité de protéger du contenu pour le groupe « Département informatique », le compte spécifié ici doit être un membre de ce groupe.For example, if you restricted the ability to protect content to the "IT department" group, the account that you specify here must be a member of that group. Si ce n’est pas le cas, le message d’erreur : Échec de la tentative de détection de l’emplacement du service d’administration et de l’organisation., s’affiche. Assurez-vous que le service Microsoft Rights Management est activé pour votre organisation.If not, you see the error message: The attempt to discover the location of the administration service and organization failed. Make sure Microsoft Rights Management service is enabled for your organization.

Vous pouvez utiliser un compte possédant l’un des privilèges suivants :You can use an account that has one of the following privileges:

  • Administrateur global pour votre locataire : compte qui est administrateur global pour votre locataire Office 365 ou Azure AD.Global administrator for your tenant: An account that is a global administrator for your Office 365 tenant or Azure AD tenant.

  • Administrateur global Azure Rights Management: compte dans Azure Active Directory auquel a été attribué le rôle d’administrateur global Azure RMS.Azure Rights Management global administrator: An account in Azure Active Directory that has been assigned the Azure RMS global administrator role.

  • Administrateur du connecteur Azure Rights Management: compte dans Azure Active Directory auquel des droits d’installation et d’administration du connecteur RMS ont été accordés pour votre organisation.Azure Rights Management connector administrator: An account in Azure Active Directory that has been granted rights to install and administer the RMS connector for your organization.

    Note

    Le rôle d’administrateur global Azure Rights Management et le rôle d’administrateur du connecteur Azure Rights Management sont affectés aux comptes à l’aide de l’applet de commande Add-AadrmRoleBasedAdministrator d’Azure RMS.The Azure Rights Management global administrator role and Azure Rights Management connector administrator role are assigned to accounts by using the Azure RMS Add-AadrmRoleBasedAdministrator cmdlet.

    Pour exécuter le connecteur RMS avec des privilèges minimum, créez un compte dédié à cet effet, auquel vous attribuez ensuite le rôle d’administrateur du connecteur Azure RMS en procédant comme suit :To run the RMS connector with least privileges, create a dedicated account for this purpose that you then assign the Azure RMS connector administrator role by doing the following:

    1. Si ce n’est pas déjà fait, téléchargez et installez Windows PowerShell pour Rights Management.If you haven't already done so, download and install Windows PowerShell for Rights Management. Pour plus d’informations, consultez Installer Windows PowerShell pour Azure Rights Management.For more information, see Installing Windows PowerShell for Azure Rights Management.

      Démarrez Windows PowerShell avec la commande Exécuter en tant qu’administrateur et connectez-vous au service Azure RMS à l’aide de la commande Connect-AadrmService :Start Windows PowerShell with the Run as administrator command, and connect to the Azure RMS service by using the Connect-AadrmService command:

      Connect-AadrmService                   //provide Office 365 tenant administrator or Azure RMS global administrator credentials
      
    2. Puis exécutez la commande Add-AadrmRoleBasedAdministrator en utilisant un seul des paramètres suivants :Then run the Add-AadrmRoleBasedAdministrator command, using just one of the following parameters:

      Add-AadrmRoleBasedAdministrator -EmailAddress <email address> -Role "ConnectorAdministrator"
      
      Add-AadrmRoleBasedAdministrator -ObjectId <object id> -Role "ConnectorAdministrator"
      
      Add-AadrmRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role "ConnectorAdministrator"
      

      Par exemple, tapez : Add-AadrmRoleBasedAdministrator - EmailAddress melisa@contoso.com -Role « ConnectorAdministrator »For example, type: Add-AadrmRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"

      Bien que ces commandes attribuent le rôle d’administrateur du connecteur, vous pourriez également utiliser le rôle GlobalAdministrator ici.Although these commands assign the connector administrator role, you could also use the GlobalAdministrator role here, as well.

Pendant le processus d’installation du connecteur RMS, tous les logiciels requis sont validés et installés, Internet Information Services (IIS) est installé si ce n’est pas déjà fait et le logiciel du connecteur est installé et configuré.During the RMS connector installation process, all prerequisite software is validated and installed, Internet Information Services (IIS) is installed if not already present, and the connector software is installed and configured. En outre, vous préparez la configuration d’Azure RMS en créant les éléments suivants :In addition, Azure RMS is prepared for configuration by creating the following:

  • Une table vide de serveurs autorisés à utiliser le connecteur pour communiquer avec Azure RMS.An empty table of servers that are authorized to use the connector to communicate with Azure RMS. Vous ajouterez ultérieurement des serveurs à cette table.You add servers to this table later.

  • Un ensemble de jetons de sécurité pour le connecteur, qui autorisent des opérations avec Azure RMS.A set of security tokens for the connector, which authorize operations with Azure RMS. Ces jetons sont téléchargés à partir d’Azure RMS et installés sur l’ordinateur local dans le Registre.These tokens are downloaded from Azure RMS and installed on the local computer in the registry. Ils sont protégés à l’aide de l’API de protection des données (DPAPI) et des informations d’identification du compte du système Local.They are protected by using the data protection application programming interface (DPAPI) and the Local System account credentials.

Dans la page finale de l’Assistant, procédez comme suit, puis cliquez sur Terminer :On the final page of the wizard, do the following, and then click Finish:

  • S’il s’agit du premier connecteur installé, ne sélectionnez pas Launch connector administrator console to authorize servers (Lancer la console d’administrateur du connecteur pour autoriser les serveurs) pour l’instant.If this is the first connector that you have installed, do not select Launch connector administrator console to authorize servers at this time. Vous sélectionnerez cette option après avoir installé le deuxième (ou dernier) connecteur RMS.You will select this option after you have installed your second (or final) RMS connector. Au lieu de cela, exécutez à nouveau l’Assistant sur au moins un autre ordinateur.Instead, run the wizard again on at least one other computer. Vous devez installer au moins deux connecteurs.You must install a minimum of two connectors.

  • Si vous avez installé votre deuxième (ou dernier) connecteur, sélectionnez Launch connector administrator console to authorize servers (Lancer la console d’administrateur du connecteur pour autoriser les serveurs).If you have installed your second (or final) connector, select Launch connector administrator console to authorize servers.

Conseil

À ce stade, un test de vérification peut être effectué pour tester si les services web pour le connecteur RMS sont opérationnels :At this point, there is a verification test that you can perform to test whether the web services for the RMS connector are operational:

  • À partir d’un navigateur web, connectez-vous à http://<connectoraddress>/_wmcs/certification/servercertification.asmx, en remplaçant <connectoraddress> par l’adresse ou le nom du serveur qui a installé le connecteur RMS.From a web browser, connect to http://<connectoraddress>/_wmcs/certification/servercertification.asmx, replacing <connectoraddress> with the server address or name that has the RMS connector installed. En cas de réussite de la connexion, une page ServerCertificationWebService s’affiche.A successful connection displays a ServerCertificationWebService page.

Si vous devez désinstaller le connecteur RMS, exécutez à nouveau l’Assistant et sélectionnez l’option de désinstallation.If you need to uninstall the RMS connector, run the wizard again and select the uninstall option.

Si vous rencontrez des problèmes lors de l’installation, vérifiez le journal d’installation : %LocalAppData%\Temp\Microsoft Rights Management connector_<date et time>.logIf you experience any problems during the installation, check the installation log: %LocalAppData%\Temp\Microsoft Rights Management connector_<date and time>.log

Par exemple, votre journal d’installation peut ressembler à C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.logAs an example, your install log might look similar to C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Autorisation des serveurs à utiliser le connecteur RMSAuthorizing servers to use the RMS connector

Une fois le connecteur RMS installé sur au moins deux ordinateurs, vous êtes prêt à autoriser les serveurs et les services voulus à utiliser le connecteur RMS.When you have installed the RMS connector on at least two computers, you are ready to authorize the servers and services that you want to use the RMS connector. Par exemple, les serveurs exécutant Exchange Server 2013 ou SharePoint Server 2013.For example, servers running Exchange Server 2013 or SharePoint Server 2013.

Pour définir ces serveurs, exécutez l’outil d’administration du connecteur RMS et ajoutez des entrées à la liste des serveurs autorisés.To define these servers, run the RMS connector administration tool and add entries to the list of allowed servers. Vous pouvez exécuter cet outil lorsque vous sélectionnez Launch connector administrator console to authorize servers (Lancer la console d’administrateur du connecteur pour autoriser les serveurs) à la fin de l’Assistant de configuration du connecteur Microsoft Rights Management, ou vous pouvez l’exécuter séparément à partir de l’Assistant.You can run this tool when you select Launch connector administration console to authorize servers at the end of the Microsoft Rights Management connector Setup wizard, or you can run it separately from the wizard.

Lorsque vous autorisez ces serveurs, tenez compte des considérations suivantes :When you authorize these servers, be aware of the following considerations:

  • Des privilèges spéciaux sont accordés aux serveurs que vous ajoutez.Servers that you add are granted special privileges. Tous les comptes que vous spécifiez pour le rôle Exchange Server dans la configuration du connecteur se voient attribuer le rôle super utilisateur dans Azure RMS, qui leur donne accès à tout le contenu de ce locataire RMS.All accounts that you specify for the Exchange Server role in the connector configuration are granted the super user role in Azure RMS, which gives them access to all content for this RMS tenant. La fonctionnalité de super utilisateur est automatiquement activée à ce stade, si nécessaire.The super user feature is automatically enabled at this point, if necessary. Pour éviter le risque de sécurité lié à l’élévation de privilèges, veillez à spécifier uniquement les comptes utilisés par les serveurs Exchange de votre organisation.To avoid the security risk of elevation of privileges, be careful to specify only the accounts that are used by your organization’s Exchange servers. Tous les serveurs configurés comme serveurs SharePoint ou serveurs de fichiers utilisant l’infrastructure de classification des fichiers se voient accorder des privilèges d’utilisateur standard.All servers configured as SharePoint servers or file servers that use FCI are granted regular user privileges.

  • Vous pouvez ajouter plusieurs serveurs sous forme d’entrée unique en spécifiant un groupe de sécurité ou de distribution Active Directory ou un compte de service utilisé par plusieurs serveurs.You can add multiple servers as a single entry by specifying an Active Directory security or distribution group, or a service account that is used by more than one server. Lorsque vous utilisez cette configuration, le groupe de serveurs partage les mêmes certificats RMS et sont tous considérés comme les propriétaires du contenu qu’ils ont protégé.When you use this configuration, the group of servers shares the same RMS certificates and are all be considered owners for content that any of them have protected. Pour réduire les coûts d’administration, nous vous recommandons d’utiliser cette configuration d’un groupe unique plutôt que des serveurs individuels pour autoriser les serveurs Exchange de votre organisation ou une batterie de serveurs SharePoint.To minimize administrative overheads, we recommend that you use this configuration of a single group rather than individual servers to authorize your organization’s Exchange servers or a SharePoint server farm.

Sur la page Serveurs autorisés à utiliser le connecteur, cliquez sur Ajouter.On the Servers allowed to utilize the connector page, click Add.

Note

La configuration dans Azure RMS qui consiste à autoriser des serveurs équivaut dans ADRMS à configurer manuellement l’application de droits NTFS à ServerCertification.asmx pour les comptes d’ordinateur du service ou du serveur et à accorder manuellement des droits de super utilisateur aux comptes Exchange.Authorizing servers is the equivalent configuration in Azure RMS to the AD RMS configuration of manually applying NTFS rights to ServerCertification.asmx for the service or server computer accounts, and manually granting user super rights to the Exchange accounts. L’application de droits NTFS à ServerCertification.asmx n’est pas requise sur le connecteur.Applying NTFS rights to ServerCertification.asmx is not required on the connector.

Ajouter un serveur à la liste des serveurs autorisésAdd a server to the list of allowed servers

Sur la page Autoriser un serveur à utiliser le connecteur, entrez le nom de l’objet ou cliquez sur Parcourir pour identifier l’objet à autoriser.On the Allow a server to utilize the connector page, enter the name of the object, or browse to identify the object to authorize.

Il est important d’autoriser l’objet adéquat.It is important that you authorize the correct object. Pour qu’un serveur utilise le connecteur, le compte qui exécute le service local (par exemple, Exchange ou SharePoint) doit être sélectionné pour l’autorisation.For a server to use the connector, the account that runs the on-premises service (for example, Exchange or SharePoint) must be selected for authorization. Par exemple, si le service s’exécute comme un compte de service configuré, ajoutez le nom de ce compte de service à la liste.For example, if the service is running as a configured service account, add the name of that service account to the list. Si le service s’exécute en tant que système local, ajoutez le nom de l’objet ordinateur (par exemple, SERVERNAME$).If the service is running as Local System, add the name of the computer object (for example, SERVERNAME$). Il est recommandé de créer un groupe qui contient ces comptes, puis de spécifier le groupe au lieu des noms de chaque serveur.As a best practice, create a group that contains these accounts and specify the group instead of individual server names.

Pour plus d’informations sur les différents rôles de serveur consultez :More information about the different server roles:

  • Pour les serveurs qui exécutent Exchange : vous devez spécifier un groupe de sécurité et vous pouvez utiliser le groupe par défaut (serveurs Exchange) qu’Exchange crée et gère parmi tous les serveurs Exchange de la forêt.For servers that run Exchange: You must specify a security group and you can use the default group (Exchange Servers) that Exchange automatically creates and maintains of all Exchange servers in the forest.

  • Pour les serveurs exécutant SharePoint :For servers that run SharePoint:

    • Si un serveur SharePoint 2010 est configuré pour s’exécuter en tant que système local (il n’utilise pas un compte de service), créez manuellement un groupe de sécurité dans Active Directory Domain Services et ajoutez l’objet de nom d’ordinateur pour le serveur dans cette configuration à ce groupe.If a SharePoint 2010 server is configured to run as Local System (it's not using a service account), manually create a security group in Active Directory Domain Services, and add the computer name object for the server in this configuration to this group.

    • Si un serveur SharePoint est configuré pour utiliser un compte de service (pratique recommandée pour SharePoint 2010 et seule option pour SharePoint 2016 et SharePoint 2013), procédez comme suit :If a SharePoint server is configured to use a service account (the recommended practice for SharePoint 2010 and the only option for SharePoint 2016 and SharePoint 2013), do the following:

      1. Ajoutez le compte de service qui exécute le service SharePoint Central Administration pour que SharePoint puisse être configuré à partir de sa console d’administrateur.Add the service account that runs the SharePoint Central Administration service to enable SharePoint to be configured from its administrator console.

      2. Ajoutez le compte qui est configuré pour le pool d’applications SharePoint.Add the account that is configured for the SharePoint App Pool.

      Conseil

      Si ces deux comptes sont différents, envisagez de créer un groupe unique contenant les deux comptes pour réduire les coûts d’administration.If these two accounts are different, consider creating a single group that contains both accounts to minimize the administrative overheads.

  • Pour les serveurs de fichiers qui utilisent l’infrastructure de classification des fichiers, les services associés s’exécutent en tant que compte du système local, vous devez autoriser le compte d’ordinateur pour les serveurs de fichiers (par exemple, SERVERNAME$) ou un groupe qui contient ces comptes d’ordinateur.For file servers that use File Classification Infrastructure, the associated services run as the Local System account, so you must authorize the computer account for the file servers (for example, SERVERNAME$) or a group that contains those computer accounts.

Une fois les serveurs ajoutés à la liste, cliquez sur Fermer.When you have finished adding servers to the list, click Close.

Si ce n’est pas déjà fait, vous devez maintenant configurer l’équilibrage de charge pour les serveurs qui ont installé le connecteur RMS et envisager d’utiliser le protocole HTTPS pour les connexions entre ces serveurs et les serveurs que vous venez d’autoriser.If you haven’t already done so, you must now configure load balancing for the servers that have the RMS connector installed, and consider whether to use HTTPS for the connections between these servers and the servers that you have just authorized.

Configuration de l’équilibrage de charge et de la haute disponibilitéConfiguring load balancing and high availability

Après avoir installé la deuxième instance ou l’instance finale du connecteur RMS, définissez le nom de serveur d’URL du connecteur et configurez un système d’équilibrage de charge.After you have installed the second or final instance of the RMS connector, define a connector URL server name and configure a load balancing system.

Le nom de serveur URL du connecteur peut être n’importe quel nom figurant sous un espace de noms que vous contrôlez.The connector URL server name can be any name under a namespace that you control. Par exemple, vous pouvez créer une entrée dans votre système DNS pour rmsconnector.contoso.com et la configurer de manière à utiliser une adresse IP dans votre système d’équilibrage de charge.For example, you could create an entry in your DNS system for rmsconnector.contoso.com and configure this entry to use an IP address in your load balancing system. Il n’existe aucune exigence particulière pour ce nom, et il ne doit pas être configuré sur les serveurs de connecteur eux-mêmes.There are no special requirements for this name and it doesn’t need to be configured on the connector servers themselves. Sauf si vos serveurs Exchange et SharePoint sont amenés à communiquer avec le connecteur via Internet, ce nom ne doit pas être résolu sur Internet.Unless your Exchange and SharePoint servers are going to be communicating with the connector over the Internet, this name doesn’t have to resolve on the Internet.

Important

Nous recommandons de ne pas modifier ce nom après avoir configuré les serveurs Exchange ou SharePoint de manière à utiliser le connecteur, sans quoi vous devriez alors supprimer ces serveurs de toutes les configurations IRM et ensuite les reconfigurer.We recommend that you don’t change this name after you have configured Exchange or SharePoint servers to use the connector, because you have to then clear these servers of all IRM configurations and then reconfigure them.

Une fois le nom créé dans le système DNS et configuré pour une adresse IP, configurez l’équilibrage de charge pour cette adresse qui dirige le trafic vers les serveurs du connecteur.After the name is created in DNS and is configured for an IP address, configure load balancing for that address, which directs traffic to the connector servers. Pour ce faire, vous pouvez utiliser n’importe quel équilibreur de charge basé sur l’IP, qui inclut la fonctionnalité d’équilibrage de charge réseau (NLB) dans Windows Server.You can use any IP-based load balancer for this purpose, which includes the Network Load Balancing (NLB) feature in Windows Server. Pour plus d’informations, consultez le Guide de déploiement de l’équilibrage de charge.For more information, see Load Balancing Deployment Guide.

Utilisez les paramètres suivants pour configurer le cluster d’équilibrage de charge réseau :Use the following settings to configure the NLB cluster:

  • Ports : 80 (pour HTTP) ou 443 (pour HTTPS)Ports: 80 (for HTTP) or 443 (for HTTPS)

    Pour en savoir plus sur le choix du protocole HTTP ou HTTPS, consultez la section suivante.For more information about whether to use HTTP or HTTPS, see the next section.

  • Affinité : AucuneAffinity: None

  • Méthode de distribution : ÉgaleDistribution method: Equal

Ce nom que vous définissez pour le système à équilibrage de charge (pour les serveurs exécutant le service du connecteur RMS) est le nom du connecteur RMS de votre organisation que vous utilisez ultérieurement, lorsque vous configurez les serveurs locaux de manière à utiliser Azure RMS.This name that you define for the load-balanced system (for the servers running the RMS connector service) is your organization’s RMS connector name that you use later, when you configure the on-premises servers to use Azure RMS.

Configuration du connecteur RMS de manière à utiliser HTTPSConfiguring the RMS connector to use HTTPS

Note

Cette étape de configuration est facultative mais recommandée pour renforcer la sécurité.This configuration step is optional, but recommended for additional security.

Bien que l’utilisation de SSL ou TLS soit facultative pour le connecteur RMS, nous vous la recommandons pour tous les services sécurisés sensibles basés sur HTTP.Although the use of TLS or SSL is optional for the RMS connector, we recommend it for any HTTP-based security-sensitive service. Cette configuration permet d’authentifier les serveurs exécutant le connecteur sur vos serveurs Exchange et SharePoint utilisant le connecteur.This configuration authenticates the servers running the connector to your Exchange and SharePoint servers that use the connector. De plus, toutes les données envoyées depuis ces serveurs au connecteur sont chiffrées.In addition, all data that is sent from these servers to the connector is encrypted.

Pour permettre au connecteur RMS d’utiliser TLS, sur chaque serveur qui exécute le connecteur RMS, installez un certificat d’authentification de serveur qui contient le nom que vous utilisez pour le connecteur.To enable the RMS connector to use TLS, on each server that runs the RMS connector, install a server authentication certificate that contains the name that you use for the connector. Par exemple, si le nom de votre connecteur RMS défini dans DNS est rmsconnector.contoso.com, déployez un certificat d’authentification de serveur qui contient rmsconnector.contoso.com dans l’objet du certificat comme nom commun.For example, if your RMS connector name that you defined in DNS is rmsconnector.contoso.com, deploy a server authentication certificate that contains rmsconnector.contoso.com in the certificate subject as the common name. Ou bien, indiquez rmsconnector.contoso.com dans l’autre nom du certificat comme valeur DNS.Or, specify rmsconnector.contoso.com in the certificate alternative name as the DNS value. Il n’est pas nécessaire d’inclure le nom du serveur dans le certificat.The certificate does not have to include the name of the server. Ensuite, dans IIS, reliez ce certificat au site web par défaut.Then in IIS, bind this certificate to the Default Web Site.

Si vous utilisez l’option HTTPS, assurez-vous que tous les serveurs qui exécutent le connecteur disposent d’un certificat d’authentification de serveur valide lié à une autorité de certification racine à laquelle vos serveurs Exchange et SharePoint peuvent faire confiance.If you use the HTTPS option, ensure that all servers that run the connector have a valid server authentication certificate that chains to a root CA that your Exchange and SharePoint servers trust. De plus, si l’autorité de certification (CA) qui a émis les certificats pour les serveurs du connecteur publie une liste de révocation de certificats (CRL), les serveurs Exchange et SharePoint doivent être en mesure de la télécharger.In addition, if the certification authority (CA) that issued the certificates for the connector servers publishes a certificate revocation list (CRL), the Exchange and SharePoint servers must be able to download this CRL.

Conseil

Vous pouvez utiliser les informations et les ressources suivantes pour vous aider à demander et installer un certificat d’authentification de serveur et lier ce certificat au site web par défaut dans IIS :You can use the following information and resources to help you request and install a server authentication certificate, and to bind this certificate to the Default Web Site in IIS:

  • Si vous utilisez une autorité de certification d’entreprise (CA) et Active Directory Certificate Services (AD CS) pour déployer ces certificats d’authentification de serveur, vous pouvez dupliquer et ensuite utiliser le modèle de certificat de serveur web.If you use Active Directory Certificate Services (AD CS) and an enterprise certification authority (CA) to deploy these server authentication certificates, you can duplicate and then use the Web Server certificate template. Ce modèle de certificat utilise Fourni dans la demande comme nom d’objet du certificat, ce qui signifie que vous pouvez fournir le nom de domaine complet du nom du connecteur RMS pour le nom d’objet du certificat ou l’autre nom d’objet lorsque vous demandez le certificat.This certificate template uses Supplied in the request for the certificate subject name, which means that you can provide the FQDN of the RMS connector name for the certificate subject name or subject alternative name when you request the certificate.
  • Si vous utilisez une autorité de certification autonome ou achetez ce certificat auprès d’une autre société, consultez Configuring Internet Server Certificates (IIS 7) (Configurer des certificats de serveurs IIS 7) dans la bibliothèque de documents relatifs au Serveur web (IIS) sur TechNet.If you use a stand-alone CA or purchase this certificate from another company, see Configuring Internet Server Certificates (IIS 7) in the Web Server (IIS) documentation library on TechNet.
  • Pour configurer IIS de manière à utiliser le certificat, consultez Add a Binding to a Site (IIS 7) (Ajouter une liaison à un site IIS 7) dans la bibliothèque de documents relatifs au Serveur web (IIS) sur TechNet.To configure IIS to use the certificate, see Add a Binding to a Site (IIS 7) in the Web Server (IIS) documentation library on TechNet.

Configuration du connecteur RMS pour un serveur proxy webConfiguring the RMS connector for a web proxy server

Si les serveurs de votre connecteur sont installés dans un réseau ne disposant pas de connectivité Internet directe et ne nécessitant pas la configuration manuelle d’un serveur proxy web pour l’accès Internet sortant, vous devez configurer le Registre sur ces serveurs pour le connecteur RMS.If your connector servers are installed in a network that does not have direct Internet connectivity and requires manual configuration of a web proxy server for outbound Internet access, you must configure the registry on these servers for the RMS connector.

Pour configurer le connecteur RMS de manière à utiliser un serveur proxy webTo configure the RMS connector to use a web proxy server

  1. Sur chaque serveur exécutant le connecteur RMS, ouvrez un éditeur de Registre, tel que Regedit.On each server running the RMS connector, open a registry editor, such as Regedit.

  2. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Ajoutez la valeur de chaîne ProxyAddress , puis définissez les données de cette valeur sur http://<MyProxyDomainOrIPaddress>:<MyProxyPort>Add the string value of ProxyAddress and then set the Data for this value to be http://<MyProxyDomainOrIPaddress>:<MyProxyPort>

    Par exemple : http://proxyserver.contoso.com: 8080For example: http://proxyserver.contoso.com:8080

  4. Fermez l’éditeur de Registre, puis redémarrez le serveur ou exécutez une commande IISReset pour redémarrer IIS.Close the registry editor, and then restart the server or perform an IISReset command to restart IIS.

Installation de l’outil d’administration de connecteur RMS sur les ordinateurs d’administrationInstalling the RMS connector administration tool on administrative computers

Vous pouvez exécuter l’outil d’administration de connecteur RMS à partir d’un ordinateur sur lequel le connecteur RMS n’est pas installé, si cet ordinateur satisfait aux exigences suivantes :You can run the RMS connector administration tool from a computer that does not have the RMS connector installed, if that computer meets the following requirements:

  • Ordinateur physique ou virtuel exécutant Windows Server 2012 ou Windows Server 2012 R2 (toutes éditions), Windows Server 2008 R2 ou Windows Server 2008 R2 Service Pack 1 (toutes éditions), Windows 8.1, Windows 8 ou Windows 7.A physical or virtual computer running Windows Server 2012 or Windows Server 2012 R2 (all editions), Windows Server 2008 R2 or Windows Server 2008 R2 Service Pack 1 (all editions), Windows 8.1, Windows 8, or Windows 7.

  • Au moins 1 Go de RAM.At least 1 GB of RAM.

  • Au moins 64 Go d’espace disque.A minimum of 64 GB of disk space.

  • Au moins une interface réseau.At least one network interface.

  • Accès à Internet via un pare-feu (ou un proxy web).Access to the Internet via a firewall (or web proxy).

Pour installer l’outil d’administration de connecteur RMS, exécutez les fichiers suivants :To install the RMS connector administration tool, run the following files:

  • Pour un ordinateur 32 bits : RMSConnectorAdminToolSetup_x86.exeFor a 32-bit computer: RMSConnectorAdminToolSetup_x86.exe

  • Pour un ordinateur 64 bits : RMSConnectorSetup.exeFor a 64-bit computer: RMSConnectorSetup.exe

Si vous n’avez pas encore téléchargé ces fichiers, vous pouvez le faire à partir du Centre de téléchargement Microsoft.If you haven’t already downloaded these files, you can do so from the Microsoft Download Center.

Étapes suivantesNext steps

Maintenant que le connecteur RMS est installé et configuré, vous êtes en mesure de configurer vos serveurs locaux de manière à l’utiliser.Now that the RMS connector is installed and configured, you are ready to configure your on-premises servers to use it. Accédez à Configuration des serveurs pour le connecteur Azure Rights Management.Go to Configuring servers for the Azure Rights Management connector.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.