Vous pouvez ajouter des stratégies d'approbation pour que AD RMS puisse traiter les demandes de licences pour un contenu qu'un autre cluster AD RMS a protégé par des droits. Pour définir des stratégies d'approbation, procédez comme suit :
-
Domaines d'utilisateurs approuvés. L'ajout d'un domaine d'utilisateur approuvé permet au cluster racine AD RMS de traiter les demandes de certificats de licence client ou de licences d'utilisation d'utilisateurs dont les Certificats de comptes RM ont été délivrés par un autre cluster racine AD RMS. L'ajout d'un domaine d'utilisateur approuvé s'effectue en important le certificat de licence serveur du cluster AD RMS à approuver.
-
Domaines de publication approuvés. L'ajout d'un domaine de publication approuvé permet à un cluster AD RMS de délivrer des licences d'utilisation à partir de licences de publication qui ont été délivrées par un autre cluster AD RMS. L'ajout d'un domaine de publication approuvé s'effectue en important le certificat de licence serveur et la clé privée du serveur à approuver.
-
Windows Live ID. La configuration d'une approbation avec le service RMS en ligne de Microsoft permet à un utilisateur AD RMS d'envoyer un contenu protégé par des droits à un utilisateur disposant d'un ID Windows Live. L'utilisateur Windows Live ID pourra utiliser un contenu protégé par des droits par le cluster AD RMS qui a approuvé le service RMS en ligne de Microsoft, mais l'utilisateur Windows Live ID ne pourra pas créer un contenu protégé par des droits par le cluster AD RMS.
-
Approbation fédérée. Pour établir une relation d'approbation fédérée entre deux forêts, utilisez les services de fédération AD FS (Active Directory Federation Services). Ceci est utile si AD RMS n'est pas installé dans une forêt, alors que les utilisateurs de celle-ci doivent utiliser le contenu protégé par des droits d'une autre forêt. Pour plus d'informations sur la configuration de la prise en charge de l'approbation fédérée dans AD RMS, voir Configurer les paramètres de prise en charge des identités fédérées.
-
Microsoft Federation Gateway. Établir une relation approuvée via Microsoft Federation Gateway permet à un cluster AD RMS d'accepter les demandes de certification et d'octroi de licence d'organisations externes en acceptant les jetons d'authentification basés sur des demandes de Microsoft Federation Gateway. En effet, Microsoft Federation Gateway se comporte comme un intermédiaire de confiance entre les deux organisations en vérifiant l'identité des deux organisations dans la transaction. Contrairement à une approbation fédérée, l'établissement d'une relation d'approbation via Microsoft Federation Gateway ne requiert pas qu'une forêt d'une organisation se fédère de façon explicite avec une forêt de l'autre organisation. Au lieu de cela, vous pouvez utiliser des listes de filtres pour déterminer les domaines qui peuvent recevoir des certificats ou des licences du cluster AD RMS.
Par exemple, Microsoft© Exchange Server 2010 est conçu de sorte à bénéficier de cette possibilité en permettant aux messages protégés par AD RMS d'être envoyés entre des organisations qui ne partagent pas une infrastructure Services de domaine Active Directory. Exchange Server 2010 intègre un certain nombre de fonctions permettant de prendre en charge la messagerie sécurisée en utilisant AD RMS. Il s'agit notamment des fonctions suivantes qui reposent sur Microsoft Federation Gateway :
-
possibilité d'envoyer des messages électroniques protégés par AD RMS à un destinataire d'une organisation en dehors de celle de l'expéditeur. Le destinataire peut alors accéder au message en utilisant Exchange Server 2010 Outlook Web Access (OWA) ou Microsoft Outlook ;
-
possibilité pour un expéditeur d'accorder une autorisation à une organisation destinataire qui utilise l'autorisation Exchange Server 2010 pour déchiffrer du contenu à des fins de journalisation et d'analyse de logiciel malveillant.
-
possibilité d'envoyer des messages électroniques protégés par AD RMS à un destinataire d'une organisation en dehors de celle de l'expéditeur. Le destinataire peut alors accéder au message en utilisant Exchange Server 2010 Outlook Web Access (OWA) ou Microsoft Outlook ;