M55344A

Module 11
Mise en œuvre et
administration d'AD RMS
 • Vue d'ensemble d'AD RMS
Aperçu du
• Déployer et gérer une infrastructure AD RMS
module • Configuration de la protection du contenu d'AD RMS
Leçon 1 : Présentation d'AD RMS

• Qu'est-ce que le AD RMS ?

• Scénarios d'utilisation du AD RMS
• Vue d'ensemble des composants du AD RMS
• Certificats et licences AD RMS
• Comment fonctionne AD RMS
• Qu'est-ce que Azure RMS ?
• Comparaison entre AD RMS, Azure RMS et Azure RMS for Office 365
Qu'est-ce que AD RMS ?

Une technologie de protection de l'information qui :

• Réduit les fuites de données par conception
• S'intègre à certains produits Microsoft et aux systèmes d'exploitation
Windows Server
• aide à protéger les données en transit, au repos et dans n'importe quel
endroit.
Scénarios d'utilisation du AD RMS

L'utilisation principale du AD RMS est le contrôle de la distribution

d'informations sensibles, et les scénarios d'utilisation typiques incluent :
• empêcher l'accès à des documents confidentiels, quel que soit l'endroit où ils se
trouvent
• Utilisation d'autorisations basées sur des actions et sur des comptes AD DS
• Empêcher les courriers électroniques confidentiels de quitter l'entreprise.
Vue d'ensemble des composants AD RMS

• Le cluster AD RMS :
• Est créé lorsque vous déployez le premier serveur AD RMS.
• Le serveur AD RMS :
• octroie des licences pour le contenu protégé par AD RMS
• Certifie l'identité des utilisateurs et des appareils de confiance.
• Le client AD RMS :
• Intégré à Windows Vista, Windows 7 et versions ultérieures
• Interagit avec les applications compatibles avec AD RMS
• Les applications compatibles avec AD RMS :
• Permet la publication et la consommation de contenu protégé par AD RMS
• Comprend Office, Exchange Server et SharePoint Server
• Peuvent être créées à l'aide du SDK AD RMS.
Certificats et licences AD RMS

Les certificats et licences AD RMS comprennent

• Certificats du donneur de licence du serveur
• Certificats de machine AD RMS
• CCR
• Certificats du donneur de licence du client
• PLs
• Licences pour utilisateurs finaux
Comment AD RMS
fonctionne
Qu'est-ce que Azure RMS ?

• Azure RMS : la protection RMS dans le nuage

• Azure RMS est disponible dans Office 365 Enterprise E3, Office 365
ProPlus et en tant que service séparé.
• Azure RMS fournit :
• Intégration de l'IRM avec Office Professional
• Intégration d'Exchange Online IRM
• Intégration de SharePoint Online IRM
• Intégration de Windows Server FCI
• L'application de partage du SGI s'intègre à l'explorateur de fichiers
Comparaison entre AD RMS, Azure RMS et Azure RMS for Office 365

Fonctionnalité AD RMS Azure RMS Azure RMS

pour Office
365
IRM pour Exchange Server et SharePoint Server sur site Oui Oui Oui

IRM pour Exchange Online et SharePoint Online Non Oui Oui

Possibilité de partager avec n'importe quelle organisation Non Oui Oui

sans configuration supplémentaire
Modèles par défaut Non Oui Oui
Possibilité de protéger n'importe quel type de fichier Oui Oui Oui
Suivi des documents protégés par RMS Non Oui Non
Prise en charge des appareils mobiles Oui Oui Oui
Leçon 2 : Déployer et gérer une infrastructure AD
RMS

• Scénarios de déploiement d'AD RMS

• Configuration du cluster AD RMS
• Démonstration : Installation du premier serveur d'un cluster AD RMS
• Exigences du client AD RMS
• Mise en œuvre d'une stratégie de sauvegarde et de restauration du ADRMS
• Mise hors service et suppression d'AD RMS
• Surveillance d'AD RMS
• Mise en œuvre du partage externe
Scénarios de déploiement d'AD RMS

Scénarios de déploiement pour AD RMS :

• Déployé dans une seule forêt
• Déployé dans plusieurs forêts
• Utilisé sur un extranet
• Intégré à AD FS
• Déployé dans Azure en tant que service Azure RMS
Configuration du cluster AD RMS

La configuration d'AD RMS comprend la configuration des composants

suivants :
• Cluster nouveau ou existant
• Base de données de configuration
• Compte de service
• Mode cryptographique
• Stockage de la clé de cluster
• Mot de passe de la clé de cluster
• Site web du cluster
• Adresse du cluster
• Certificat du donneur de licence
• Enregistrement du point de connexion du service
Démonstration : Installation du premier
serveur d'un cluster AD RMS
Dans cette démonstration, vous verrez comment :

• Configurer un compte de service

• Préparer le DNS
• Installer le rôle AD RMS
• Configurer AD RMS
Configuration requise pour le client AD RMS

• Le client est inclus dans Windows 10 et 11

• Le client est inclus dans Windows Server 2016 et les versions plus récentes.
• Le client est disponible en téléchargement pour Mac OS X
• Les applications compatibles avec AD RMS comprennent Office 2013 et les versions plus
récentes.
• Exchange Server 2013 et les versions plus récentes prennent en charge AD RMS
• Le client AD RMS a besoin d'une CAL RMS
Mise en œuvre d'une stratégie de sauvegarde et de récupération pour
AD RMS
• Sauvegarder la clé privée et les certificats
• Veiller à ce que la base de données AD RMS soit régulièrement sauvegardée.
• Exporter des modèles pour les sauvegarder
• Exécuter le serveur AD RMS en tant que machine virtuelle et effectuer une sauvegarde
complète du serveur.
Déclassement et suppression du SGAD

• Déclasser un cluster AD RMS avant de le supprimer :

• Décommissionner pour fournir une clé qui décrypte le contenu AD RMS
précédemment publié
• Laisser le serveur hors service jusqu'à ce que tout le contenu protégé par AD
RMS soit migré.
• Exporter le certificat du concédant de licence du serveur avant de
désinstaller le rôle AD RMS
Surveillance du AD RMS

• AD RMS offre des fonctions intégrées de surveillance et de création de

rapports.
• Microsoft Report Viewer est nécessaire pour la création de rapports
• Les rapports disponibles sont les suivants
• Statistiques
• Santé
• Dépannage
• Operations Manager peut surveiller AD RMS avec un management pack
existant.
Mise en œuvre du partage externe

• Des domaines d'utilisateurs de confiance échangent des contenus protégés entre deux
organisations
• Les domaines de publication de confiance consolident l'architecture AD RMS
• Les trusts fédérés permettent aux utilisateurs d'organisations partenaires d'accéder à
une infrastructure AD RMS locale et de l'utiliser.
• Les comptes Microsoft permettent aux utilisateurs autonomes d'accéder au contenu
d'AD RMS.
• Le système d'authentification Azure permet à un cluster AD RMS de travailler avec des
organisations partenaires sans nécessiter une confiance de fédération directe.
Leçon 3 : Configuration de la protection du
contenu AD RMS

• Qu'est-ce qu'un modèle de politique des droits ?

• Démonstration : Création d'un modèle de politique des droits
• Fournir des modèles de politique de droits pour une utilisation hors ligne
• Qu'est-ce qu'une politique d'exclusion ?
• Démonstration : Création d'une politique d'exclusion pour une application
• Groupe des super utilisateurs AD RMS
Qu'est-ce qu'un modèle de politique de droits ?

Les modèles de politique de droits :

• Permettent aux auteurs d'appliquer des formes de protection standard au sein d'une
organisation.
• Existent dans différentes applications, qui autorisent différentes formes de droits.
• permettent de configurer les droits relatifs à la visualisation, à l'édition et à l'impression
des documents
• permettent de configurer les droits d'expiration du contenu
• Vous permettre de configurer la révocation du contenu
Démonstration : Création d'un modèle de
politique des droits
Dans cette démonstration, vous verrez comment créer un modèle de politique de
droits qui permet aux utilisateurs de consulter un document mais pas d'effectuer
d'autres actions
Fournir des modèles de stratégie de droits pour une utilisation hors ligne

1. Activer la tâche planifiée Gestion des modèles de stratégie de droits AD RMS

(automatisée)
2. Modifier la clé de registre pour spécifier l'emplacement du dossier partagé du modèle
3. Publier les modèles dans un dossier partagé
Que sont les politiques d'exclusion ?

Les politiques d'exclusion vous permettent de

• d'empêcher des utilisateurs spécifiques d'accéder au contenu
protégé par AD RMS en bloquant leurs RAC
• Empêcher des applications spécifiques de créer ou de consommer
du contenu protégé par AD RMS
• Bloquer des versions spécifiques de clients AD RMS
Démonstration : Création d'une politique
d'exclusion pour une application
Dans cette démonstration, vous verrez comment exclure l'application PowerPoint
d'AD RMS.
Groupe des super utilisateurs AD RMS

• Les membres du groupe Super Utilisateurs se voient accorder des droits de

propriétaire complets pour toutes les licences d'utilisation émises par le cluster AD
RMS sur lequel le groupe Super Utilisateurs est configuré.
• Le groupe de super utilisateurs :
• n'est pas configuré par défaut
• Peut être utilisé comme mécanisme de récupération des données pour le
contenu protégé par AD RMS :
• Peut récupérer le contenu qui a expiré
• Peut récupérer le contenu si le modèle est supprimé
• Peut récupérer le contenu sans avoir besoin des informations d'identification de l'auteur.
• Il doit s'agir d'un groupe Active Directory auquel une adresse électronique a
été attribuée.
Lab : Mise en œuvre d'une infrastructure AD RMS
Scénario du laboratoire
A. Datum Corporation effectue des recherches hautement confidentielles. Son équipe de sécurité souhaite donc
mettre en place une sécurité supplémentaire pour certains des documents créés par le département Recherche.
L'équipe de sécurité est préoccupée par le fait que toute personne ayant un accès en lecture aux documents peut
les modifier et les distribuer de la manière qu'elle souhaite. L'équipe de sécurité veut fournir un niveau de
protection supplémentaire qui reste avec un document même s'il se déplace sur le réseau ou en dehors du réseau.

En tant qu'administrateur réseau principal chez A. Datum Corporation, vous devez planifier et mettre en œuvre une
solution AD RMS qui contribuera à fournir le niveau de protection demandé par l'équipe de sécurité. La solution
AD RMS doit offrir de nombreuses options qui peuvent être adaptées à une grande variété d'exigences
commerciales et de sécurité.
Objectifs de l'exercice

Exercice 1 : Exercice 2 : Exercice 3 :

Installer et configurer Configurer les modèles Utiliser AD RMS sur les
AD RMS AD RMS clients
Examen du Quelles mesures pouvez-vous prendre pour vous assurer que vous
laboratoire pouvez utiliser les services IRM avec le rôle AD RMS ?
Révision du • Questions de révision
module et • Outils
points à retenir • Problèmes courants et conseils de dépannage
Fin de la présentation