Le principal défi de la mise en œuvre d'un SGR AD n'est pas de mettre en place l'infrastructure et de la faire fonctionner, ni de déployer les paramètres, les fichiers et l'application du client pour tous les utilisateurs. Il ne s'agit pas non plus de rendre le RMS accessible à travers votre pare-feu ou de le faire fonctionner avec votre serveur SharePoint. Non, le principal défi consiste à faire en sorte que vos utilisateurs utilisent réellement le SGI pour protéger les messages électroniques et les documents. Il est très simple pour vos utilisateurs d'appliquer les protections RMS à un e-mail ou à un document - il suffit de quelques clics - mais il est difficile de les former pour qu'ils se souviennent de cette étape supplémentaire. Heureusement, il existe des solutions disponibles pour vous aider à automatiser les protections, de sorte que vous ne dépendez pas entièrement de vos utilisateurs pour faire cette étape supplémentaire.
Exchange 2010
Microsoft Exchange 2010 a introduit deux fonctionnalités qui vous aident à appliquer des protections au contenu : les protections RMS dans les règles de transport du hub Exchange et les règles de protection Outlook. Les règles de transport de concentrateur sont les plus polyvalentes. Imaginez tout ce que vous pourriez faire avec une règle de transport du hub Exchange - sélectionner un message électronique en fonction des mots ou du texte correspondant dans la ligne d'objet ou le corps du message, en fonction de l'expéditeur ou du ou des destinataires, en fonction des pièces jointes, etc. Par exemple, vous pouvez créer une règle qui recherche dans le corps de chaque message électronique envoyé dans votre organisation un élément ressemblant à un numéro de sécurité sociale, et lorsqu'un message électronique contenant apparemment un numéro de sécurité sociale est trouvé, la règle lui applique un modèle de politique de droits afin de protéger ce contenu potentiellement sensible.
Ce qu'il faut retenir des règles de transport du concentrateur, c'est qu'elles ne sont pas appliquées tant qu'un message électronique n'a pas atteint le serveur Exchange pour y être traité. Ainsi, votre utilisateur rédige un message électronique contenant un contenu sensible tel qu'un numéro de sécurité sociale et appuie sur le bouton d'envoi sans se souvenir d'appliquer le SGI au message électronique. Ce message électronique voyage en clair, sans être crypté, depuis le bureau de l'utilisateur jusqu'au serveur Exchange. Sur le serveur Exchange, la règle de transport du concentrateur est appliquée au message, puis entre le serveur Exchange et la boîte aux lettres du destinataire, le message électronique est désormais crypté et protégé.
Les règles de protection Outlook, en revanche, protègent le contenu de bout en bout. Les règles de protection Outlook sont définies sur la machine cliente et, lorsqu'un utilisateur compose un message électronique qui correspond à une règle de protection, les protections RMS sont automatiquement appliquées à ce message électronique avant que l'utilisateur n'appuie sur le bouton d'envoi, ce qui fait que le message électronique est protégé et crypté tout au long de son parcours jusqu'au destinataire. L'inconvénient des règles de protection d'Outlook est qu'elles n'offrent pas autant d'options pour faire correspondre les messages électroniques que les règles de transport du concentrateur. Les principales options de correspondance sont l'identité des destinataires et le service auquel appartient l'expéditeur. Les règles de protection Outlook sont configurées à partir de la ligne command à l'aide de commandes PowerShell, plutôt qu'au moyen d'une interface graphique conviviale. Les règles de protection Outlook ne sont prises en charge que dans Outlook 2010 fonctionnant avec Exchange 2010.
Pour plus d'informations, voir :
Règles de transport du hub Exchange
Règles de protection Outlook
SharePoint 2007 et 2010
Microsoft Office SharePoint Server (MOSS) 2007 et Microsoft SharePoint 2010 intègrent AD RMS pour automatiser la protection des documents stockés dans une bibliothèque de documents SharePoint. L'intégration d'AD RMS avec SharePoint est conçue pour permettre aux documents d'être stockés dans SharePoint en clair, afin de prendre en charge l'indexation et de faciliter la sauvegarde et la récupération. Les protections RMS sont automatiquement appliquées à un document stocké dans une bibliothèque de documents protégée au moment où le document est ouvert ou téléchargé depuis la bibliothèque de documents.
AD RMS in SharePoint fonctionne en conjonction avec la structure de permissions SharePoint habituelle, de sorte qu'un utilisateur à qui l'on accorde des permissions de contribution sur une bibliothèque de documents aura des permissions de modification sur un document protégé par le SGD extrait de cette bibliothèque et qu'un utilisateur à qui l'on accorde des permissions de lecture sur une bibliothèque de documents aura des permissions de lecture seule sur un document protégé par le SGD extrait de cette bibliothèque. Un utilisateur à qui l'on a accordé le contrôle total d'une bibliothèque de documents aura le contrôle total d'un document protégé par le SGI extrait de cette bibliothèque, y compris le droit de supprimer les protections du SGI sur le fichier.
SharePoint n'utilise pas de modèles de politique de droits AD RMS. Au lieu de cela, les contrôles de la politique des droits sont appliqués individuellement, bibliothèque de documents par bibliothèque de documents.
Dans SharePoint 2007, vous pouviez télécharger un document dont les droits étaient déjà protégés dans une bibliothèque de documents compatible avec le SGR. Dans ce cas, le document vivrait dans cette bibliothèque de documents dans un état crypté et conserverait les protections d'origine appliquées au document. Il n'hériterait pas des autorisations attribuées à la bibliothèque de documents. SharePoint 2010 a ajouté l'option de refuser le téléchargement de documents dont les droits sont déjà protégés, ce qui vous permet de contrôler si des documents seront autorisés à vivre dans SharePoint dans un état crypté. Si vous désactivez la fonction qui interdit le téléchargement de contenu précédemment protégé par des droits dans SharePoint 2010, les documents qui sont déjà protégés par le SGD avant d'être téléchargés dans cette version de SharePoint n'hériteront pas non plus des autorisations attribuées à la bibliothèque de documents.
Outil de protection en bloc RMS et infrastructure de classification des fichiers
L'outil de protection RMS en bloc est un outil en ligne command qui vous permet d'appliquer des protections RMS à plusieurs documents se trouvant dans un système de fichiers. Il permet également de supprimer les protections RMS en masse. Cet outil peut être utilisé dans un script pour, par exemple, appliquer régulièrement des protections RMS à tous les documents Word d'un répertoire donné sur un serveur de fichiers.
La fonctionnalité Infrastructure de classification des fichiers a été ajoutée à Windows Server 2008 R2. Cette fonctionnalité vous permet d'automatiser la classification des documents se trouvant sur un serveur de fichiers en fonction d'éléments tels que les mots clés contenus dans les documents. Utilisée conjointement avec l'outil de protection en bloc RMS, elle permet d'automatiser l'application des protections RMS aux documents qui correspondent à la (aux) règle(s) de classification.
Produits de tiers
Il existe également sur le marché des produits tiers qui vous aident à automatiser l'application des protections RMS. Par exemple, TITUS propose sa suite de produits Classification qui peut, entre autres, inviter un utilisateur à appliquer une classification au contenu lors de l'envoi d'un message électronique ou de l'enregistrement d'un document, et certains ou tous les niveaux de classification peuvent être associés à des modèles de politique de droits RMS.
