Ajouter la boîte aux lettres de fédération au groupe de super utilisateurs AD RMS

S’applique à : Exchange Server 2013

Pour activer les fonctionnalités suivantes de gestion des droits relatifs à l'information Microsoft Exchange Server 2013, vous devez ajouter la boîte aux lettres de fédération (une boîte aux lettres système créée par le programme d'installation d'Exchange 2013) au groupe de super utilisateurs dans le cluster Services AD RMS (Active Directory Rights Management Services) :

  • IRM dans Microsoft Office Outlook Web App

  • IRM dans Exchange ActiveSync

  • Déchiffrement du rapport de journal

  • Déchiffrement du transport

Vous pouvez configurer un groupe de distribution à extension messagerie en tant que groupe de super utilisateurs dans AD RMS. Une licence d'utilisation de propriétaire est accordée aux membres du groupe de distribution lorsque ces derniers en font la demande à partir du cluster AD RMS. Cela leur permet de déchiffrer tout le contenu protégé par RMS qui a été publié par ce cluster. Que vous utilisiez un groupe de distribution existant ou que vous en créiez un et le configuriez en tant que groupe de super utilisateurs dans AD RMS, il est conseillé de le dédier à cette fin et de configurer les paramètres appropriés pour l'approbation, l'audit et le contrôle des modifications apportées à l'appartenance au groupe.

Avertissement

La configuration d'un groupe de super utilisateurs dans AD RMS permet aux membres du groupe de déchiffrer le contenu protégé par IRM. Nous vous recommandons de prendre des mesures adéquates pour contrôler et surveiller les appartenances au groupe, et d'activer l'audit pour suivre l'évolution des appartenances.

Pour plus d’informations sur les tâches de gestion liées à la gestion des droits relatifs à l’information, consultez Procédures de gestion des droits relatifs à l’information.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée : 15 minutes.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Groupes de distribution » dans la rubrique Autorisations des destinataires.

  • Un cluster AD RMS doit être déployé dans la forêt Active Directory.

  • Si un groupe de super utilisateurs est déjà configuré sur un cluster AD RMS, toute modification apportée à l'appartenance au groupe de distribution peut prendre jusqu'à 24 heures pour être actualisée par le cluster AD RMS. C'est le résultat de la mise en cache de l'appartenance au groupe sur le cluster.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.

Étape 1 : Utilisez l’environnement Shell pour ajouter la boîte aux lettres de fédération à un groupe de distribution

Si un groupe de distribution a été créé et configuré comme groupe de super utilisateurs dans le cluster AD RMS, vous pouvez ajouter la boîte aux lettres de fédération Exchange 2013 comme membre de ce groupe. Si aucun groupe de super utilisateurs n'est configuré, vous devez créer un groupe de distribution et ajouter la boîte aux lettres de fédération comme membre.

  1. Créez un groupe de distribution dédié à une utilisation en tant que groupe de super utilisateurs AD RMS. Pour plus d’informations, consultez Créer et gérer des groupes de distribution.

  2. Ajoutez l’utilisateur FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 au nouveau groupe de distribution. La boîte aux lettres de fédération est une boîte aux lettres système et, par conséquent, elle n’est pas visible dans le CAE. Pour l’ajouter à un groupe de distribution, vous devez utiliser l’applet de commande Add-DistributionGroupMember à partir de l’interpréteur de commandes.

    Cet exemple montre comment ajouter la boîte aux lettres de fédération au groupe de distribution ADRMSSuperUsers.

    Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
    

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Add-DistributionGroupMember.

Étape 2 : Utilisation d’AD RMS pour configurer un groupe de super utilisateurs

Effectuez la procédure suivante sur un cluster AD RMS. Le compte utilisé pour effectuer cette procédure doit être membre du groupe local Administrateurs d'entreprise AD RMS sur le serveur AD RMS.

  1. Ouvrez la console AD RMS (Active Directory Rights Management Services) et développez le cluster AD RMS.

  2. Dans l'arborescence de la console, développez Stratégies de sécurité, puis cliquez sur Super utilisateurs.

  3. Dans le volet Actions, cliquez sur Activer les super utilisateurs.

  4. Dans le volet Résultats, cliquez sur Modifier le groupe des super utilisateurs pour ouvrir la feuille de propriétés Super utilisateurs.

  5. Dans le champ Groupe de super utilisateurs, entrez l’adresse de messagerie du groupe de distribution que vous avez créé dans la procédure précédente ou cliquez sur Parcourir pour sélectionner un groupe de distribution.

Comment savoir si cela a fonctionné ?

Après avoir ajouté la boîte aux lettres de fédération à un groupe de distribution nouveau ou existant, utilisez la cmdlet Get-DistributionGroupMember pour vérifier l'appartenance au groupe.

Pour un exemple sur la manière de vérifier l'appartenance au groupe de distributions, voir l'Example 1 dans Get-DistributionGroupMember.

Après avoir utilisé AD RMS pour mettre en place un groupe de super utilisateurs, vous pouvez utiliser les méthodes suivantes pour vérifier que le groupe de super utilisateurs est configuré correctement. En outre, vous pouvez utiliser la cmdlet Test-IRMConfiguration pour vérifier la fonctionnalité IRM.

  • Utilisez la console AD RMS pour vérifier que le groupe correct a été configuré comme groupe de super utilisateurs.

  • Exécutez la commande PowerShell suivante sur un serveur AD RMS pour récupérer le groupe de super utilisateurs :

    Importante

    Le module ADRMSAdmin PowerShell est disponible dans Windows Server 2008 R2 et version ultérieure.

    Import-Module ADRMSAdmin
    New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost
    Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser