Configuring super users for Azure Information Protection and discovery services or data recovery (Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder Wiederherstellung von Daten)

Die Administratorfunktion des Azure Rights Management-Diensts aus Azure Information Protection stellt sicher, dass autorisierte Personen und Dienste immer auf die Daten, die mit Azure Rights Management für Ihre Organisation geschützt werden, zugreifen und diese überprüfen können. Bei Bedarf kann der Schutz anschließend entfernt oder geändert werden.

Ein Administrator verfügt immer über das Rights Management-Nutzungsrecht zum Vollzugriff auf durch den Azure Information Protection-Mandanten Ihrer Organisation geschützte Dokumente und E-Mails. Diese Fähigkeit wird gelegentlich als „Schlussfolgern über Daten“ (reasoning over data) bezeichnet und ist ein ausschlaggebendes Element dabei, die Kontrolle über die Daten Ihrer Organisation zu behalten. Sie verwenden diese Funktion beispielsweise für die folgenden Szenarien:

  • Ein Mitarbeiter verlässt die Organisation, und Sie müssen alle Dateien lesen können, die von dieser Person geschützt wurden.

  • Ein IT-Administrator muss die aktuelle Schutzrichtlinie entfernen, die für Dateien konfiguriert wurde, und eine neue Schutzrichtlinie anwenden.

  • Exchange Server muss Postfächer für Suchvorgänge indizieren.

  • Sie verfügen über IT-Dienste für DLP-Lösungen (Data Loss Prevention, Verhinderung von Datenverlust), über Inhaltsverschlüsselungsgateways (Content Encryption Gateways, CEGs) und Antischadsoftware, die Dateien überprüfen müssen, die bereits geschützt sind.

  • Sie müssen große Mengen von Dateien in einem Zug zu Überwachungszwecken oder aus rechtlichen oder anderen Compliance-Gründen entschlüsseln.

Konfiguration für das Administratorfeature

Standardmäßig ist die Administratorfunktion nicht aktiviert, und dieser Rolle sind keine Benutzer zugeordnet. Sie wird jedoch automatisch aktiviert, wenn Sie den Rights Management-Connector für Exchange konfigurieren. Für Standarddienste, die unter Exchange Online, Microsoft Sharepoint Server oder SharePoint in Microsoft 365 ausgeführt werden, ist sie nicht erforderlich.

Wenn Sie die Administratorfunktion manuell aktivieren müssen, verwenden Sie das PowerShell-Cmdlet Enable-AipServiceSuperUserFeature, und ordnen Sie dann mithilfe des Cmdlets Add-AipServiceSuperUser nach Bedarf Benutzer (oder Dienstkonten) zu. Verwenden Sie alternativ das Cmdlet Set-AipServiceSuperUserGroup, und fügen Sie dieser Gruppe die entsprechenden Benutzer (oder andere Gruppen) hinzu.

Obwohl es einfacher ist, eine Gruppe für Ihre Administratoren zu verwalten, seien Sie sich bewusst, dass Azure Rights Management aus Leistungsgründen die Gruppenmitgliedschaft zwischenspeichert. Wenn Sie also einen neuen Benutzer als Administrator bestimmen müssen, um Inhalt sofort zu entschlüsseln, fügen Sie diesen Benutzer mithilfe von „Add-AipServiceSuperUser“ hinzu, statt den Benutzer einer vorhandenen Gruppe zuzuordnen, die Sie mithilfe von „Set-AipServiceSuperUserGroup“ konfiguriert haben.

Hinweis

  • Wenn Sie einen Benutzer mit dem Cmdlet Add-AipServiceSuperUser hinzufügen, müssen Sie auch die primäre E-Mail-Adresse oder den Hauptbenutzernamen zu der Gruppe hinzufügen. E-Mail-Aliasnamen werden nicht ausgewertet.

  • Wenn Sie das Windows PowerShell-Modul für Azure Rights Management noch nicht installiert haben, lesen Sie die Informationen unter Installieren das AIPService PowerShell-Modul.

Es spielt keine Rolle, wann Sie das Administratorfeature aktivieren oder wann Sie Benutzer als Administratoren hinzufügen. Wenn Sie beispielsweise das Feature am Donnerstag aktivieren und einen Benutzer am Freitag hinzufügen, kann dieser Benutzer sofort den Inhalt öffnen, der zu Wochenbeginn geschützt wurde.

Bewährte Sicherheitsmethoden für das Administratorfeature

  • Beschränken und überwachen Sie die Administratoren, die als globale Administratoren für Ihren Microsoft Office 365- oder Azure Information Protection-Mandanten fungieren oder denen mithilfe des Cmdlets Add-AipServiceRoleBasedAdministrator die Rolle „GlobalAdministrator“ zugewiesen wurde. Diese Benutzer können die Administratorfunktion aktivieren und Benutzer (und sich selbst) als Administratoren festlegen und damit potenziell alle Dateien entschlüsseln, die von Ihrer Organisation geschützt werden.

  • Wenn Sie sehen möchten, welche Benutzer und Dienstkonten einzeln als Administratoren zugeordnet sind, verwenden Sie das Cmdlet Get-AipServiceSuperUser.

  • Wenn Sie ermitteln möchten, ob eine Administratorgruppe konfiguriert ist, verwenden Sie das Cmdlet Get-AipServiceSuperUserGroup und Ihre Standardtools für die Benutzerverwaltung, um zu überprüfen, welche Benutzer zu dieser Gruppe gehören.

  • Wie alle administrativen Vorgänge werden auch das Aktivieren oder Deaktivieren der Administratorfunktion sowie das Hinzufügen oder Entfernen von Administratoren protokolliert und können mithilfe des Befehls Get-AipServiceAdminLog überwacht werden. Siehe z.B. Beispiel Auditing für die Superuser-Funktion.

  • Wenn Administratoren Dateien entschlüsseln, wird dieser Vorgang ebenfalls protokolliert und kann mit der Verwendungsprotokollierung überwacht werden.

    Hinweis

    Die Protokolle enthalten zwar Einzelheiten über die Entschlüsselung, einschließlich des Benutzers, der die Datei entschlüsselt hat, aber sie vermerken nicht, wenn der Benutzer ein Superuser ist. Verwenden Sie die Protokolle zusammen mit den oben aufgeführten Cmdlets, um zunächst eine Liste der Superuser zu erstellen, die Sie in den Protokollen identifizieren können.

  • Wenn Sie die Administratorfunktion für die alltäglichen Dienste nicht benötigen, sollten Sie diese Funktion nur im Bedarfsfall aktivieren und mit dem Cmdlet Disable-AipServiceSuperUserFeature wieder deaktivieren.

Beispielüberprüfung für das Administratorfeature

Der folgende Protokollauszug zeigt einige Beispieleinträge, die mit dem Cmdlet Get-AipServiceAdminLog erstellt wurden.

In diesem Beispiel bestätigt der Administrator von Contoso Ltd., dass die Administratorfunktion deaktiviert ist, fügt Richard Simone als Administrator hinzu, überprüft, ob Richard der einzige für den Azure Rights Management-Dienst konfigurierte Administrator ist, und aktiviert dann die Administratorfunktion, damit Richard nun einige Dateien entschlüsseln kann, die zuvor von einem Mitarbeiter geschützt wurden, der das Unternehmen mittlerweile verlassen hat.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Skriptoptionen für Administratoren

Eine Person, die als Administrator für Azure Rights Management fungiert, muss häufig den Schutz von mehreren Dateien an mehreren Speicherorten aufheben. Es ist zwar möglich, dies manuell zu tun, aber es ist effizienter (und oft auch zuverlässiger), dies mit dem Cmdlet Set-AIPFileLabel zu skripten.

Wenn Sie die Klassifizierung und den Schutz verwenden, können Sie auch das Cmdlet Set-AIPFileLabel nutzen, um eine neue Bezeichnung ohne Schutz anzuwenden, oder die Bezeichnung entfernen, die einen entsprechenden Schutz angewendet hat.

Weitere Informationen zu diesen Cmdlets finden Sie im Administratorhandbuch für den Azure Information Protection-Client unter Verwenden von PowerShell mit dem Azure Information Protection-Client.

Hinweis

Das AzureInformationProtection-Modul unterscheidet sich vom AIPService PowerShell-Modul, das den Azure Rights Management-Dienst für Azure Information Protection verwaltet, und ergänzt es.

Schutz von PST-Dateien aufheben

Um den Schutz in PST-Dateien zu entfernen, empfehlen wir Ihnen, eDiscovery aus Microsoft Purview zu verwenden, um geschützte E-Mails und geschützte Anlagen in E-Mails zu durchsuchen und zu extrahieren.

Die Superbenutzerfunktion wird automatisch mit Exchange Online integriert, sodass eDiscovery im Microsoft Purview-Complianceportal vor dem Exportieren nach verschlüsselten Elementen suchen oder verschlüsselte E-Mails im Export entschlüsseln kann.

Wenn Sie Microsoft Purview-eDiscovery nicht verwenden können, verfügen Sie möglicherweise über eine andere eDiscovery-Lösung, die in den Azure Rights Management-Dienst integriert ist, um die Daten ähnlich zu begründen.

Wenn Ihre eDiscovery-Lösung geschützte Inhalte nicht automatisch lesen und entschlüsseln kann, können Sie diese Lösung dennoch in einem mehrstufigen Prozess zusammen mit dem Cmdlet Set-AIPFileLabel verwenden:

  1. Exportieren Sie die betreffende E-Mail aus Exchange Online oder Exchange Server oder von der Arbeitsstation, auf der der Benutzer seine E-Mail-Nachrichten gespeichert hat, in eine PST-Datei.

  2. Importieren Sie die PST-Datei in Ihr eDiscovery-Tool. Da das Tool keine geschützten Inhalte lesen kann, wird davon ausgegangen, dass diese Elemente Fehler generieren.

  3. Generieren Sie aus allen Elementen, die das Tool nicht öffnen konnte, eine neue PST-Datei, die dieses Mal nur geschützte Elemente enthält. Diese zweite PST-Datei wird wahrscheinlich wesentlich kleiner als die ursprüngliche PST-Datei sein.

  4. Führen Sie Set-AIPFileLabel auf dieser zweiten PST-Datei aus, um den Inhalt dieser viel kleineren Datei zu entschlüsseln. Importieren Sie aus der Ausgabe die nun entschlüsselte PST-Datei in Ihr Erkennungstool.

Ausführlichere Informationen und Anleitungen zur Durchführung von eDiscovery für Postfächer und PST-Dateien finden Sie im folgenden Blogbeitrag zu Azure Information Protection und eDiscovery-Prozesse.