Notes sur le déploiement du client RMSRMS client deployment notes

S’applique à : Services AD RMS (Active Directory Rights Management Services), Azure Information Protection, Windows 7 avec SP1, Windows 8, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 7 with SP1, Windows 8, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016

Le client service Rights Management (client RMS) version 2 est également appelé client MSIPC.The Rights Management Service client (RMS client) version 2 is also known as the MSIPC client. Il s'agit d'un logiciel pour ordinateurs Windows, qui communique avec les services Microsoft Rights Management localement ou dans le cloud pour protéger l'accès aux informations et leur utilisation quand celles-ci transitent par des applications et appareils, à l'intérieur ou à l'extérieur des limites managées de votre organisation.It is software for Windows computers that communicates with Microsoft Rights Management services on-premises or in the cloud to help protect access to and usage of information as it flows through applications and devices, within the boundaries of your organization, or outside those managed boundaries.

Outre le fait qu’il est livré avec le client Azure Information Protection pour Windows, le client RMS est disponible sous la forme d’un téléchargement facultatif qui peut, après réception et acceptation de son contrat de licence, être distribué gratuitement avec des logiciels tiers, de sorte que les clients peuvent protéger et utiliser du contenu protégé par les services RMS.In addition to shipping with the Azure Information Protection client for Windows, the RMS client is available as an optional download that can, with acknowledgment and acceptance of its license agreement, be freely distributed with third-party software so that clients can protect and consume content that has been protected by Rights Management services.

Redistribution du client RMSRedistributing the RMS client

Le client RMS peut être librement redistribué et regroupé avec d'autres applications et solutions informatiques.The RMS client can be freely redistributed and bundled with other applications and IT solutions. Si vous êtes développeur d'applications ou fournisseur de solutions, et souhaitez redistribuer le client RMS, vous avez deux options :If you are an application developer or solution provider and want to redistribute the RMS client, you have two options:

  • Méthode recommandée : Incorporez le programme d’installation du client RMS dans votre installation d’application et exécutez-le en mode silencieux (commutateur /quiet, détaillé dans la section suivante).Recommended: Embed the RMS client installer in your application installation and run it in silent mode (the /quiet switch, detailed in the next section).

  • Faites du client RMS une condition préalable pour votre application.Make the RMS client a prerequisite for your application. Avec cette option, vous devrez peut-être fournir aux utilisateurs des instructions supplémentaires pour obtenir, installer et mettre à jour leurs ordinateurs avec le client avant de pouvoir utiliser votre application.With this option, you might need to provide users with additional instructions for them to obtain, install, and update their computers with the client before they can use your application.

Installation du client RMSInstalling the RMS client

Le client RMS est contenu dans un fichier exécutable d’installation nommé setup_msipc_.exe, où est x86 (pour les ordinateurs clients 32 bits) ou x64 (pour les ordinateurs clients 64 bits).The RMS client is contained in an installer executable file named setup_msipc_.exe, where is either x86 (for 32-bit client computers) or x64 (for 64-bit client computers). Le package d'installation 64 bits (x64) installe un exécutable runtime 32 bits pour la compatibilité avec les applications 32 bits qui s'exécutent sur une installation de système d'exploitation 64 bits, ainsi qu'un exécutable runtime 64 bits pour la prise en charge des applications 64 bits natives.The 64-bit (x64) installer package installs both a 32-bit runtime executable for compatibility with 32-bit applications that run on a 64-bit operating system installation, as well as a 64-bit runtime executable for supporting native 64-bit applications. Le programme d'installation 32 bits (x86) ne s'exécute pas sur une installation de Windows 64 bits.The 32-bit (x86) installer will not run on a 64-bit Windows installation.

Note

Pour installer le client RMS, vous avez besoin de privilèges élevés, comme ceux d’un membre du groupe Administrateurs sur l’ordinateur local.You must have elevated privileges to install the RMS client, such as a member of the Administrators group on the local computer.

Vous pouvez installer le client RMS à l'aide de l'une des méthodes d'installation suivantes :You can install the RMS client by using either of the following installation methods:

  • Mode silencieux.Silent mode. L’utilisation du commutateur /quiet parmi les options de ligne de commande permet d’installer le client RMS en mode silencieux sur des ordinateurs.By using the /quiet switch as part of the command-line options, you can silently install the RMS client on computers. L'exemple suivant illustre une installation en mode silencieux du client RMS sur un ordinateur client 64 bits :The following example shows a silent mode installation for the RMS client on a 64-bit client computer:

    setup_msipc_x64.exe /quiet
    
  • Mode interactif.Interactive mode. Autrement, vous pouvez installer le client RMS en utilisant le programme d'installation basé sur l'interface graphique utilisateur fourni par l'Assistant Installation du client RMS.Alternately, you can install the RMS client by using the GUI-based setup program that's provided by the RMS Client Installation Wizard. Pour ce faire, double-cliquez sur le package d’installation du client RMS (setup_msipc_.exe) dans le dossier dans lequel il a été copié ou téléchargé sur votre ordinateur local.To do this, double-click the RMS client installer package (setup_msipc_.exe) in the folder to which it was copied or downloaded on your local computer.

Questions et réponses sur le client RMSQuestions and answers about the RMS client

La section suivante contient des questions fréquemment posées sur le client RMS et les réponses à celles-ci.The following section contains frequently asked questions about the RMS client and the answers to them.

Quels systèmes d'exploitation prennent en charge le client RMS ?Which operating systems support the RMS client?

Le client RMS est pris en charge par les systèmes d'exploitation suivants :The RMS client is supported with the following operating systems:

Système d'exploitation Windows ServerWindows Server Operating System Système d'exploitation Windows ClientWindows Client Operating System
Windows Server 2016Windows Server 2016 Windows 10Windows 10
Windows Server 2012 R2Windows Server 2012 R2 Windows 8.1Windows 8.1
Windows Server 2012Windows Server 2012 Windows 8Windows 8
Windows Server 2008 R2Windows Server 2008 R2 Windows 7 avec au minimum SP1Windows 7 with minimum of SP1

Quels processeurs ou plates-formes prennent en charge le client RMS ?Which processors or platforms support the RMS client?

Le client RMS est pris en charge sur les plates-formes de calcul x86 et x64.The RMS client is supported on x86 and x64 computing platforms.

Où est installé le client RMS ?Where is the RMS client installed?

Par défaut, le client RMS est installé dans %ProgramFiles%\Active Directory Rights Management Services Client 2..By default, the RMS client is installed in %ProgramFiles%\Active Directory Rights Management Services Client 2..

Quels fichiers sont associés au logiciel du client RMS ?What files are associated with the RMS client software?

Les fichiers installés en même temps que le logiciel du client RMS sont les suivants :The following files are installed as part of the RMS client software:

  • Msipc.dllMsipc.dll

  • Ipcsecproc.dllIpcsecproc.dll

  • Ipcsecproc_ssp.dllIpcsecproc_ssp.dll

  • MSIPCEvents.manMSIPCEvents.man

Outre ces fichiers, le client RMS installe des fichiers de prise en charge d'interface utilisateur multilingue (MUI) dans 44 langues.In addition to these files, the RMS client also installs multilingual user interface (MUI) support files in 44 languages. Pour vérifier les langues prises en charge, exécutez l'installation du client RMS, puis, une fois l'installation terminée, examinez le contenu des dossiers de prise en charge multilingue sous le chemin d'accès par défaut.To verify the languages supported, run the RMS client installation and when the installation is complete, review the contents of the multilingual support folders under the default path.

Le client RMS est-il inclus par défaut lors de l'installation d'un système d'exploitation pris en charge ?Is the RMS client included by default when I install a supported operating system?

Non.No. Cette version du client RMS est fournie en tant que téléchargement facultatif pouvant être installé séparément sur des ordinateurs exécutant les versions prises en charge du système d'exploitation Microsoft Windows.This version of the RMS client ships as an optional download that can be installed separately on computers running supported versions of the Microsoft Windows operating system.

Le client RMS est-il automatiquement mis à jour par Microsoft Update ?Is the RMS client automatically updated by Microsoft Update?

Si vous avez utilisé l’option d’installation silencieuse pour installer ce client RMS, celui-ci hérite des paramètres actuels de Microsoft Update.If you installed this RMS client by using the silent installation option, the RMS client inherits your current Microsoft Update settings. Si vous avez installé le client RMS à l’aide du programme d’installation basé sur l’interface utilisateur graphique, l’Assistant Installation du client RMS vous invite à activer Microsoft Update.If you installed the RMS client by using the GUI-based setup program, the RMS client installation wizard prompts you to enable Microsoft Update.

Paramètres du client RMSRMS client settings

La section suivante contient des informations de paramètres sur le client RMS.The following section contains settings information about the RMS client. Ces informations peuvent être utiles si vous rencontrez des problèmes avec des applications ou services utilisant le client RMS.This information might be helpful if you have problems with applications or services that use the RMS client.

Note

Certains paramètres varient selon que l’application compatible avec RMS s’exécute en tant qu’application en mode client (par exemple, Microsoft Word et Outlook, ou le client Azure Information Protection avec l’Explorateur de fichiers Windows), ou en mode serveur (par exemple, SharePoint et Exchange).Some settings depend on whether the RMS-enlightened application runs as a client mode application (such as Microsoft Word and Outlook, or the Azure Information Protection client with Windows File Explorer), or server mode application (such as SharePoint and Exchange). Dans les tableaux suivants, ces paramètres sont identifiés respectivement comme Mode Client et Mode serveur.In the following tables, these settings are identified as Client Mode and Server Mode, respectively.

Où le client RMS stocke-t-il les licences sur les ordinateurs clients ?Where the RMS client stores licenses on client computers

Le client RMS stocke les licences sur le disque local et met également en cache des informations dans le Registre Windows.The RMS client stores licenses on the local disk and also caches some information in the Windows registry.

DescriptionDescription Chemins d'accès du mode clientClient Mode Paths Chemins d'accès du mode serveurServer Mode Paths
Emplacement du magasin de licencesLicense store location %localappdata%\Microsoft\MSIPC%localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server*\%allusersprofile%\Microsoft\MSIPC\Server*\
Emplacement du magasin de modèlesTemplate store location %localappdata%\Microsoft\MSIPC\Templates%localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\Templates*\%allusersprofile%\Microsoft\MSIPC\Server\Templates*\
Emplacement du RegistreRegistry location HKEY_CURRENT_USERHKEY_CURRENT_USER
\Software\Software
\Classes\Classes
\Local Settings\Local Settings
\Software\Software
\Microsoft\Microsoft
\MSIPC\MSIPC
HKEY_CURRENT_USERHKEY_CURRENT_USER
\Software\Software
\Microsoft\Microsoft
\MSIPC\MSIPC
\Server\Server
**

Note

<SID> est l’identificateur sécurisé du compte sous lequel s’exécute l’application serveur.<SID> is the secure identifier (SID) for the account under which the server application is running. Par exemple, si l’application s’exécute sous le compte de service réseau intégré, remplacez par la valeur du SID connu pour ce compte (S-1-5-20).For example, if the application is running under the built-in Network Service account, replace with the value of the well-known SID for that account (S-1-5-20).

Paramètres du Registre Windows pour le client RMSWindows registry settings for the RMS client

Vous pouvez utiliser des clés de Registre Windows pour définir ou modifier des configurations de client RMS.You can use Windows registry keys to set or modify some RMS client configurations. Par exemple, en tant qu’administrateur d’applications compatibles avec RMS qui communiquent avec des serveurs AD RMS, il se peut que vous souhaitiez mettre à jour l’emplacement du service d’entreprise (pour remplacer le serveur AD RMS actuellement sélectionné pour la publication) en fonction de l’emplacement actuel de l’ordinateur client dans votre topologie Active Directory.For example, as an administrator for RMS-enlightened applications that communicate with AD RMS servers, you might want to update the enterprise service location (override the AD RMS server that is currently selected for publishing) depending on the client computer's current location within your Active Directory topology. Vous pouvez également activer le suivi RMS sur l’ordinateur client pour faciliter la résolution d’un problème lié à une application compatible avec RMS.Or, you might want to enable RMS tracing at the client computer, to help troubleshoot a problem with an RMS-enlightened application. Utilisez le tableau suivant pour identifier les paramètres de Registre que vous pouvez modifier pour le client RMS.Use the following table to identify the registry settings that you can change for the RMS client.

TâcheTask ParamètresSettings
Si la version du client est la version 1.03102.0221 ou une version ultérieure :If the client is version 1.03102.0221 or later:

Pour contrôler la collecte de données d’applicationTo control application data collection
Important : en tant qu’administrateur et afin de respecter la confidentialité de l’utilisateur, vous devez lui demander son consentement avant d’activer la collecte de données.Important: In order to honor user privacy, you as the administrator, must ask the user for consent before enabling data collection.

Si vous activez la collecte de données, vous acceptez d’envoyer des données à Microsoft via Internet.If you enable data collection, you are agreeing to send data to Microsoft over the Internet. Microsoft utilise ces données pour garantir et améliorer la qualité, la sécurité et l’intégrité des produits et services Microsoft.Microsoft uses this data to provide and improve the quality, security and integrity of Microsoft products and services. Par exemple, nous analysons les performances et la fiabilité, comme les fonctionnalités que vous utilisez, la rapidité de réponse des fonctionnalités, les performances de l’appareil, les interactions de l’interface utilisateur et tous les problèmes que vous rencontrez avec le produit.For example, we analyze performance and reliability, such as what features you use, how quickly the features respond, device performance, user interface interactions, and any problems you experience with the product. Ces données incluent également des informations sur la configuration de votre logiciel, comme le logiciel en cours d’exécution et l’adresse IP.Data will also include information about the configuration of your software like the software you are currently running, and the IP address.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticStateREG_DWORD: DiagnosticState

Valeur: 0 pour l’application définie (par défaut) à l’aide de la propriété d’environnement IPC_EI_DATA_COLLECTION_ENABLED, 1 pour désactivé, 2 pour activéValue: 0 for Application defined (default) by using the environment property IPC_EI_DATA_COLLECTION_ENABLED, 1 for Disabled, 2 for Enabled

Remarque : si votre application MSIPC 32 bits s’exécute sur une version 64 bits de Windows, l’emplacement est HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.Note: If your 32-bit MSIPC-based application is running on a 64-bit version of Windows, the location will be HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.
AD RMS uniquement :AD RMS only:

Pour mettre à jour l’emplacement du service d’entreprise d’un ordinateur clientTo update the enterprise service location for a client computer
Modifiez la clé de Registre suivante :Update the following registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertificationHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ: defaultREG_SZ: default

Valeur:<http ou https>://RMS_Cluster_Name/_wmcs/CertificationValue:<http or https>://RMS_Cluster_Name/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishingHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ: defaultREG_SZ: default

Valeur : <http ou https>://RMS_Cluster_Name/_wmcs/LicensingValue: <http or https>://RMS_Cluster_Name/_wmcs/Licensing
Pour activer et désactiver le suiviTo enable and disable tracing Mettez à jour la clé de registre suivante :Update the following registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD: TraceREG_DWORD: Trace

Value: 1 pour activer le traçage, 0 pour le désactiver (par défaut)Value: 1 to enable tracing, 0 to disable tracing (default)
Pour modifier la fréquence en jours d’actualisation des modèlesTo change the frequency in days to refresh templates Les valeurs de Registre suivantes spécifient la fréquence à laquelle les modèles sont actualisés sur l'ordinateur de l'utilisateur si la valeur TemplateUpdateFrequencyInSeconds n'est pas définie.The following registry values specify how often templates will be refreshed on the user’s computer if the TemplateUpdateFrequencyInSeconds value is not set. Si aucune de ces valeurs n'est définie, l'intervalle d'actualisation par défaut pour les applications utilisant le client RMS (version 1.0.1784.0) pour télécharger des modèles est de 1 jour.If neither of these values are set, the default refresh interval for applications using the RMS client (version 1.0.1784.0) to download templates is 1 day. La valeur par défaut définie dans les versions antérieures à celle-ci est de 7 jours.Versions prior to this have a default value of every 7 days.

Mode client:Client Mode:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyREG_DWORD: TemplateUpdateFrequency

Valeur: Valeur entière spécifiant le nombre de jours (au minimum 1) entre les téléchargements.Value: An integer value that specifies the number of days (minimum of 1) between downloads.

Mode serveur:Server Mode:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyREG_DWORD: TemplateUpdateFrequency

Value: Valeur entière spécifiant le nombre de jours (au minimum 1) entre les téléchargements.Value: An integer value that specifies the number of days (minimum of 1) between downloads.
Pour modifier la fréquence en secondes d’actualisation des modèlesTo change the frequency in seconds to refresh templates

Important : si cette valeur est spécifiée, la valeur d’actualisation en jours des modèles est ignorée.Important: If this is specified, the value to refresh templates in days is ignored. Spécifiez une ou l'autre, pas les deux.Specify one or the other, not both.
Les valeurs de Registre suivantes spécifient la fréquence à laquelle les modèles sont actualisés sur l'ordinateur de l'utilisateur.The following registry values specify how often templates will be refreshed on the user’s computer. Si cette valeur ou la valeur modifiant la fréquence en jours (TemplateUpdateFrequency) n’est pas définie, l’intervalle d’actualisation par défaut pour les applications utilisant le client RMS (version 1.0.1784.0) pour télécharger des modèles est d’une journée.If this value or the value to change the frequency in days (TemplateUpdateFrequency) is not set, the default refresh interval for applications using the RMS client (version 1.0.1784.0) to download templates is 1 day. La valeur par défaut définie dans les versions antérieures à celle-ci est de 7 jours.Versions prior to this have a default value of every 7 days.

Mode client:Client Mode:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyInSecondsREG_DWORD: TemplateUpdateFrequencyInSeconds

Valeur: Valeur entière spécifiant le nombre de secondes (au minimum 1) entre les téléchargements.Value: An integer value that specifies the number of seconds (minimum of 1) between downloads.

Mode serveur:Server Mode:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyInSecondsREG_DWORD: TemplateUpdateFrequencyInSeconds

Valeur: Valeur entière spécifiant le nombre de secondes (au minimum 1) entre les téléchargements.Value: An integer value that specifies the number of seconds (minimum of 1) between downloads.
AD RMS uniquement :AD RMS only:

Pour télécharger les modèles immédiatement à la prochaine demande de publicationTo download templates immediately at the next publishing request
Durant les tests et évaluations, il se peut que vous souhaitiez que le client RMS télécharge les modèles dès que possible.During testing and evaluations, you might want the RMS client to download templates as soon as possible. Pour ce faire, supprimez la clé de Registre suivante. Le client RMS téléchargera alors les modèles immédiatement à la prochaine demande de publication au lieu d'attendre l'heure spécifiée par le paramètre de Registre TemplateUpdateFrequency :To do this, remove the following registry key and the RMS client will download templates immediately at the next publishing request rather than wait for the time specified by the TemplateUpdateFrequency registry setting:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Nom de serveur>\TemplateHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Server Name>\Template

Remarque : <Nom de serveur> peut avoir une URL externe (corprights.contoso.com) et une URL interne (corprights), et donc deux entrées différentes.Note: <Server Name> could have both external (corprights.contoso.com) and internal (corprights) URLs and therefore two different entries.
AD RMS uniquement :AD RMS only:

Pour activer la prise en charge de l’authentification fédéréeTo enable support for federated authentication
Si l'ordinateur client RMS se connecte à un cluster AD RMS en utilisant une approbation fédérée, vous devez configurer le domaine d'accueil de fédération.If the RMS client computer connects to an AD RMS cluster by using a federated trust, you must configure the federation home realm.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FederationHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ: FederationHomeRealmREG_SZ: FederationHomeRealm

Valeur: la valeur de cette entrée de Registre est l’URI (Uniform Resource Identifier) du service de fédération (par exemple « http://TreyADFS.trey.net/adfs/services/trust »).Value: The value of this registry entry is the uniform resource identifier (URI) for the federation service (for example, "http://TreyADFS.trey.net/adfs/services/trust").

Remarque : il est important de spécifier http et non https pour cette valeur.Note: It is important that you specify http and not https for this value. En outre, si votre application MSIPC 32 bits s’exécute sur une version 64 bits de Windows, l’emplacement est HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation.In addition, if your 32-bit MSIPC-based application is running on a 64-bit version of Windows, the location will be HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation. Pour obtenir un exemple de configuration, consultez Déploiement des services AD RMS (Active Directory Rights Management Services) avec les services ADFS (Active Directory Federation Services).For an example configuration, see Deploying Active Directory Rights Management Services with Active Directory Federation Services.
AD RMS uniquement :AD RMS only:

Pour prendre en charge les serveurs de fédération de partenaires qui requièrent une authentification basée sur les formulaires pour l’entrée utilisateurTo support partner federation servers that require forms-based authentication for user input
Par défaut, le client RMS fonctionne en mode silencieux et l’entrée utilisateur n’est pas nécessaire.By default, the RMS client operates in silent mode and user input is not required. Toutefois, les serveurs de fédération de partenaires peuvent être configurés pour exiger une entrée utilisateur, telle qu'une authentification basée sur les formulaires.Partner federation servers, however, might be configured to require user input such as by way of forms-based authentication. Dans ce cas, vous devez configurer le client RMS pour ignorer le mode silencieux afin que le formulaire d’authentification fédérée s’affiche dans une fenêtre de navigateur et que l’utilisateur soit invité à s’authentifier.In this case, you must configure the RMS client to ignore silent mode so that the federated authentication form appears in a browser window and the user is promoted for authentication.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FederationHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD: EnableBrowserREG_DWORD: EnableBrowser

Remarque : Si le serveur de fédération est configuré pour utiliser l’authentification basée sur les formulaires, cette clé est obligatoire.Note: If the federation server is configured to use forms-based authentication, this key is required. Si le serveur de fédération est configuré pour utiliser l'authentification intégrée de Windows, cette clé n'est pas requise.If the federation server is configured to use Windows integrated authentication, this key is not required.
AD RMS uniquement :AD RMS only:

Pour bloquer la consommation de services ILSTo block ILS service consumption
Par défaut, le client RMS autorise la consommation de contenu protégé par le service ILS, mais vous pouvez configurer le client pour bloquer ce service en définissant la clé de Registre suivante.By default, the RMS client enables consuming content protected by the ILS service but you can configure the client to block this service by setting the following registry key. Si cette clé de Registre est définie pour bloquer le service ILS, toute tentative d'ouvrir et de consommer du contenu protégé par le service ILS retourne l'erreur suivante :If this registry key is set to block the ILS service, any attempts to open and consume content protected by the ILS service will return the following error:
HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: DisablePassportCertificationREG_DWORD: DisablePassportCertification

Value: 1 pour bloquer la consommation ILS, 0 pour l'autoriser ILS (par défaut)Value: 1 to block ILS consumption, 0 to allow ILS consumption (default)

Gestion de la distribution de modèles pour le client RMSManaging template distribution for the RMS client

Les modèles aident les utilisateurs et les administrateurs à appliquer rapidement la protection Rights Management. Le client RMS télécharge automatiquement les modèles à partir de ses serveurs ou de son service RMS. Si vous placez les modèles à l’emplacement de dossier suivant, le client RMS ne télécharge pas de modèles à partir de l’emplacement par défaut, mais télécharge les modèles que vous avez placés dans ce dossier.Templates make it easy for users and administrators to quickly apply Rights Management protection and the RMS client automatically downloads templates from its RMS servers or service If you put the templates in the following folder location, the RMS client will not download any templates from its default location and instead, download the templates that you have put in this folder. Il se peut que le client RMS continue à télécharger des modèles à partir d'autres serveurs RMS disponibles.The RMS client might continue to download templates from other available RMS servers.

Mode client: %localappdata%\Microsoft\MSIPC\UnmanagedTemplatesClient Mode: %localappdata%\Microsoft\MSIPC\UnmanagedTemplates

Mode serveur:%allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\<SID>*Server Mode:* %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\*<SID>*

Lorsque vous utilisez ce dossier, aucune convention d'affectation de noms particulière ne s'impose, sauf que les modèles doivent être émis par le serveur ou le service RMS, et doivent avoir l'extension de nom de fichier .xml.When you use this folder, there is no special naming convention required except that the templates should be issued by the RMS server or service and they must have the .xml file name extension. Par exemple, Contoso-Confidential.xml ou Contoso-ReadOnly.xml sont des noms valides.For example, Contoso-Confidential.xml or Contoso-ReadOnly.xml are valid names.

AD RMS uniquement : limitation du client RMS à l’utilisation de serveurs AD RMS de confianceAD RMS only: Limiting the RMS client to use trusted AD RMS servers

Vous pouvez limiter le client RMS à l'utilisation exclusive de serveurs AD RMS de confiance spécifiques en apportant les modifications suivantes au Registre Windows sur des ordinateurs locaux.The RMS client can be limited to using only specific trusted AD RMS servers by making the following changes to the Windows registry on local computers.

Pour activer la limitation du client RMS à l’utilisation des seuls serveurs AD RMS approuvésTo enable limiting RMS client to use only trusted AD RMS servers

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\ REG_DWORD: AllowTrustedServersOnlyREG_DWORD: AllowTrustedServersOnly

    Valeur: si une valeur différente de zéro est spécifiée, le client RMS approuve uniquement les serveurs spécifiés configurés dans la liste de TrustedServers et le service Azure Rights Management.Value: If a non-zero value is specified, the RMS client will trust only the specified servers that are configured in the TrustedServers list and the Azure Rights Management service.

Pour ajouter des membres à la liste des serveurs AD RMS approuvésTo add members to the list of trusted AD RMS servers

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\ REG_SZ : <URL_ou_nom_d’hôte>REG_SZ: <URL_or_HostName>

    Valeur: les valeurs de chaîne ajoutées à cet emplacement de clé de Registre peuvent être au format de nom de domaine DNS (par exemple, adrms.contoso.com) ou des URL complètes de serveurs AD RMS de confiance (par exemple, https://adrms.contoso.com).Value: The string values added in this registry key location can be either DNS domain name format (for example, adrms.contoso.com) or full URLs to trusted AD RMS servers (for example, https://adrms.contoso.com). Si une URL spécifiée commence par https://, le client RMS utilise le protocole SSL ou TLS pour contacter le serveur AD RMS spécifié.If a specified URL starts with https://, the RMS client will use SSL or TLS to contact the specified AD RMS server.

Découverte du service RMSRMS service discovery

La découverte du service RMS permet au client RMS de vérifier avec quel serveur ou service RMS communiquer avant de protéger le contenu.RMS service discovery lets the RMS client check which RMS server or service to communicate with before protecting content. La découverte du service peut également se produire quand le client RMS consomme du contenu protégé : il est cependant moins probable que cela se produise, car la stratégie attachée au contenu contient le serveur ou service RMS préféré, et ce n’est qu’en cas d’échec de ce serveur ou de ce service que le client exécute la découverte du service.Service discovery might also happen when the RMS client consumes protected content, but this is less likely to happen because the policy attached to the content contains the preferred RMS server or service and only if that is unsuccessful does the client then run service discovery.

Pour réaliser la découverte du service, le client RMS vérifie les éléments suivants :To perform service discovery, the RMS client checks the following:

  1. Le Registre Windows sur l’ordinateur local : si des paramètres de découverte du service sont configurés dans le Registre, ils sont essayés en premier.The Windows registry on the local computer: If service discovery settings are configured in the registry, these settings are tried first.

    Par défaut, ces paramètres ne sont pas configurés dans le Registre, mais un administrateur peut les configurer pour AD RMS, comme documenté dans une section suivante.By default, these settings are not configured in the registry but an administrator can configure them for AD RMS as documented in a following section. Un administrateur configure généralement ces paramètres pour le service Azure Rights Management lors du processus de migration d’AD RMS vers Azure Information Protection.An administrator typically configures these settings for the Azure Rights Management service during the migration process from AD RMS to Azure Information Protection.

  2. Services de domaine Active Directory : un ordinateur joint à un domaine interroge Active Directory pour connaître un point de connexion de service.Active Directory Domain Services: A domain-joined computer queries Active Directory for a service connection point (SCP).

    Si un point de connexion de service est inscrit comme documenté dans la section suivante, l’URL du serveur AD RMS est retournée au client RMS qui va l’utiliser.If an SCP is registered as documented in the following section, the URL of the AD RMS server is returned to the RMS client to use.

  3. Le service de découverte Azure Rights Management : le client RMS se connecte à https://discover.aadrm.com, qui invite l’utilisateur à s’authentifier.The Azure Rights Management discovery service: The RMS client connects to https://discover.aadrm.com, which prompts the user to authenticate.

    Quand l’authentification réussit, le nom d’utilisateur (et le domaine) de l’authentification est utilisé pour identifier le locataire Azure Information Protection à utiliser.When authentication is successful, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. L’URL d’Azure Information Protection à utiliser pour ce compte d’utilisateur est retournée au client RMS.The Azure Information Protection URL to use for that user account is returned to the RMS client. L’URL a le format suivant : https://<URL_de_votre_locataire>/_wmcs/licensingThe URL will be in the following format: https://<YourTenantURL>/_wmcs/licensing

    Par exemple : 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensingFor example: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    <URL_de_votre_locataire> a le format suivant: {GUID}.rms.[Région].aadrm.com. Vous pouvez trouver cette valeur en identifiant la valeur de RightsManagementServiceId quand vous exécutez l’applet de commande Get-AadrmConfiguration pour Azure RMS.<YourTenantURL> has the following format: {GUID}.rms.[Region].aadrm.com.You can find this value by identifying the RightsManagementServiceId value when you run the Get-AadrmConfiguration cmdlet for Azure RMS.

Note

Il existe trois exceptions importantes pour ce flux de découverte de service :There are three important exceptions for this service discovery flow:

  • Les appareils mobiles sont mieux adaptés pour utiliser un service cloud : par défaut, ils utilisent donc la découverte de service pour le service Azure Rights Management (https://discover.aadrm.com).Mobile devices are best suited to use a cloud service, so by default they use service discovery for the Azure Rights Management service (https://discover.aadrm.com). Pour remplacer cette option afin que les appareils mobiles utilisent AD RMS au lieu du service Azure Rights Management, vous devez spécifier les enregistrements SRV dans DNS et installer l’extension d’appareils mobiles comme documenté dans Extension d’appareils mobiles d’Active Directory Rights Management Services.To override this so that mobile devices use AD RMS rather than the Azure Rights Management service, you must specify SRV records in DNS and install the mobile device extension as documented in Active Directory Rights Management Services Mobile Device Extension.

  • Quand le service Rights Management est appelé par une étiquette Azure Information Protection, la découverte de service n’est pas réalisée.When the Rights Management service is invoked by an Azure Information Protection label, service discovery is not performed. Au lieu de cela, l’URL est spécifiée directement dans la valeur de l’étiquette qui est configurée dans la stratégie Azure Information Protection.Instead, the URL is specified directly in the label setting that is configured in the Azure Information Protection policy.

  • Quand un utilisateur se connecte à une application Office, le nom d’utilisateur (et le domaine) de l’authentification est utilisé pour identifier le locataire Azure Information Protection à utiliser.When a user initiates sign in from an Office application, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. Dans ce cas, les paramètres du Registre ne sont pas nécessaires et le point de connexion de service n’est pas vérifié.In this case, registry settings are not needed and the SCP is not checked.

AD RMS uniquement : activation de la découverte du service côté serveur à l’aide d’Active DirectoryAD RMS only: Enabling server-side service discovery by using Active Directory

Si votre compte dispose de privilèges suffisants (Administrateurs de l'entreprise et administrateur local pour le serveur AD RMS), vous pouvez inscrire automatiquement un point de connexion de service (SCP) lorsque vous installez le serveur de clusters racine AD RMS.If your account has sufficient privileges (Enterprise Admins and local administrator for the AD RMS server), you can automatically register a a service connection point (SCP) when you install the AD RMS root cluster server. S'il existe déjà un SCP dans la forêt, vous devez le supprimer avant de pouvoir en inscrire un nouveau.If a SCP already exists in the forest, you must first delete the existing SCP before you can register a new one.

Vous pouvez inscrire et supprimer un SCP une fois AD RMS installé à l'aide de la procédure suivante.You can register and delete an SCP after AD RMS is installed by using the following procedure. Avant de commencer, assurez-vous que votre compte dispose des privilèges requis (Administrateurs de l’entreprise et administrateur local pour le serveur AD RMS).Before you start, make sure that your account has the required privileges (Enterprise Admins and local administrator for the AD RMS server).

Pour activer la découverte du service AD RMS en inscrivant un SCP dans Active DirectoryTo enable AD RMS service discovery by registering an SCP in Active Directory

  1. Ouvrez la console Services AD RMS (Active Directory Rights Management Services) sur le serveur AD RMS :Open the Active Directory Management Services console at the AD RMS server:

    • Si vous utilisez Windows Server 2008 R2 ou Windows Server 2008, cliquez sur Démarrer, sur Outils d'administration, puis sur Services AD RMS (Active Directory Rights Management Services).If you are using Windows Server 2008 R2 or Windows Server 2008, click Start, click Administrative Tools, and then click Active Directory Rights Management Services.

    • Si vous utilisez Windows Server 2012 R2 ou Windows Server 2012, dans Gestionnaire de serveur, cliquez sur Outils, puis sur Services AD RMS (Active Directory Rights Management Services).If you are using Windows Server 2012 R2 or Windows Server 2012, in Server Manager, click Tools, and then click Active Directory Rights Management Services.

  2. Dans la console AD RMS, cliquez avec le bouton droit sur le cluster AD RMS, puis cliquez sur Propriétés.In the AD RMS console right-click the AD RMS cluster, and then click Properties.

  3. Cliquez sur l'onglet SCP .Click the SCP tab.

  4. Activez la case à cocher Modifier le point de connexion de service .Select the Change SCP check box.

  5. Sélectionnez l'option Définir le point de connexion de service sur le cluster de certification actuel , puis cliquez sur OK.Select the Set SCP to current certification cluster option, and then click OK.

Activation de la découverte du service côté Client à l’aide du Registre WindowsEnabling client-side service discovery by using the Windows registry

Une alternative à l'utilisation d'un SCP, ou à défaut de SCP, vous pouvez configurer le Registre sur l'ordinateur client afin que le client RMS puisse localiser son serveur AD RMS.As an alternative to using an SCP or where an SCP does not exist, you can configure the registry on the client computer so that the RMS client can locate its AD RMS server.

Pour activer la découverte du service AD RMS côté client à l'aide du Registre WindowsTo enable client-side AD RMS service discovery by using the Windows registry

  1. Ouvrez l'Éditeur du Registre Windows, Regedit.exe :Open the Windows registry editor, Regedit.exe:

    • Sur l’ordinateur client, dans la fenêtre Exécuter, tapez regedit, puis appuyez sur Entrée pour ouvrir l’Éditeur du Registre.On the client computer, in the Run window, type regedit, and then press Enter to open the Registry Editor.
  2. Dans l’Éditeur du Registre, accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.In Registry Editor, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.

    Important

    Si vous exécutez une application 32 bits sur un ordinateur 64 bits, le chemin est le suivant : HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPCIf you are running a 32-bit application on a 64-bit computer, the path will be as follows: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. Pour créer la sous-clé ServiceLocation, cliquez avec le bouton droit sur MSIPC, pointez sur Nouveau, cliquez sur Clé, puis tapez ServiceLocation.To create the ServiceLocation subkey, right-click MSIPC, point to New, click Key, and then type ServiceLocation.

  4. Pour créer la sous-clé EnterpriseCertification, cliquez avec le bouton droit sur ServiceLocation, pointez sur Nouveau, cliquez sur Clé, puis tapez EnterpriseCertification.To create the EnterpriseCertification subkey, right-click ServiceLocation, point to New, click Key, and then type EnterpriseCertification.

  5. Pour définir l’URL de certification d’entreprise, double-cliquez sur la valeur (par défaut) sous la sous-clé EnterpriseCertification puis, quand la boîte de dialogue Modifier la chaîne s’affiche, dans Données de la valeur, tapez ://nom_cluster_AD RMS/_wmcs/Certification, puis cliquez sur OK.To set the enterprise certification URL, double-click the (Default) value, under the EnterpriseCertification subkey, and when the Edit String dialog box appears, for Value data, type ://AD RMS_cluster_name/_wmcs/Certification, and then click OK.

  6. Pour créer la sous-clé EnterprisePublishing, cliquez avec le bouton droit sur ServiceLocation, pointez sur Nouveau, cliquez sur Clé, puis tapez EnterprisePublishing.To create the EnterprisePublishing subkey, right-click ServiceLocation, point to New, click Key, and then type EnterprisePublishing.

  7. Pour définir l’URL de publication d’entreprise, sous la sous-clé EnterprisePublishing, double-cliquez sur (par défaut) puis, quand la boîte de dialogue Modifier la chaîne s’affiche, dans Données de la valeur, tapez ://nom_cluster_AD RMS/_wmcs/Licensing, puis cliquez sur OK.To set the enterprise publishing URL, double-click (Default) , under the EnterprisePublishing subkey, and when the Edit String dialog box appears, type for Value data the following ://AD RMS_cluster_name/_wmcs/Licensing, and then click OK.

  8. Fermez l'Éditeur du Registre.Close Registry Editor.

Si le client RMS ne peut pas trouver de SCP en interrogeant Active Directory et si le SCP n'est pas spécifié dans le Registre, les appels de découverte du service pour AD RMS échouent.If the RMS client can't find an SCP by querying Active Directory and it's not specified in the registry, service discovery calls for AD RMS will fail.

Redirection du trafic du serveur de licencesRedirecting licensing server traffic

Dans certains cas, il se peut que vous deviez rediriger le trafic pendant la découverte du service, par exemple, lorsque deux organisations sont fusionnées, que l'ancien serveur de licences dans une organisation est retiré, et que les clients doivent être redirigés vers un nouveau serveur de licences.In some cases, you might need to redirect traffic during service discovery, for example, when two organizations are merged and the old licensing server in one organization is retired and clients need to be redirected to a new licensing server. Vous pouvez également migrer d'AD RMS vers Azure RMS.Or, you migrate from AD RMS to Azure RMS. Pour activer la redirection de licences, procédez comme suit.To enable licensing redirection, use the following procedure.

Pour activer la redirection de licences RMS à l'aide du Registre WindowsTo enable RMS licensing redirection by using the Windows registry

  1. Ouvrez l'Éditeur du Registre Windows, Regedit.exe :Open the Windows registry editor, Regedit.exe:

    • Sur l’ordinateur client, dans la fenêtre Exécuter, tapez regedit, puis appuyez sur Entrée pour ouvrir l’Éditeur du Registre.On the client computer, in the Run window, type regedit, and then press Enter to open Registry Editor.
  2. Dans l’Éditeur du Registre, accédez à l’un des éléments suivants :In Registry Editor, navigate to one of the following:

    • Pour la version 64 bits d’Office sur une plateforme x64 : HKLM\SOFTWARE\Microsoft\MSIPC\ServicelocationFor 64-bit version of Office on x64 platform: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • Pour la version 32 bits d’Office sur une plateforme x64 : HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServicelocationFor 32-bit version of Office on x64 platform: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. Créez une sous-clé LicensingRedirection. Pour cela, cliquez avec le bouton droit sur Servicelocation, pointez sur Nouveau, cliquez sur Clé, puis tapez LicensingRedirection.Create a LicensingRedirection subkey, by right-clicking Servicelocation, point to New, click Key, and then type LicensingRedirection.

  4. Pour définir la redirection de licences, cliquez avec le bouton droit sur la sous-clé LicensingRedirection, sélectionnez Nouveau, puis sélectionnez Valeur de chaîne.To set the licensing redirection, right-click the LicensingRedirection subkey, select New, and then select String value. Pour Nom, spécifiez l'URL de licence de serveur précédente, et pour Valeur , spécifiez la nouvelle URL de licence de serveur.For Name, specify the previous server licensing URL and for Value specify the new server licensing URL.

    Par exemple, pour rediriger la gestion des licences d'un serveur de Contoso.com vers un serveur de Fabrikam.com, vous pouvez entrer les valeurs suivantes :For example, to redirect licensing from a server at Contoso.com to one at Fabrikam.com, you might enter the following values:

    Nom: https://contoso.com/_wmcs/licensingName: https://contoso.com/_wmcs/licensing

    Valeur: https://fabrikam.com/_wmcs/licensingValue: https://fabrikam.com/_wmcs/licensing

    Note

    Si l'ancien serveur de licences a une URL intranet et extranet spécifiées, un nouveau nom et un mappage de valeur doivent être définis pour ces deux URL sous la clé LicensingRedirection.If the old licensing server has both intranet and extranet URLs specified then a new name and value mapping has to be set for both of these URLs under the LicensingRedirection key.

  5. Répétez l'étape précédente pour tous les serveurs à rediriger.Repeat the previous step for all servers that need to be redirected.

  6. Fermez l'Éditeur du Registre.Close Registry Editor.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.