Configuración de superusuarios para Azure Information Protection y detección de servicios o recuperación de datos

La característica de superusuario de Azure Rights Management Service de Azure Information Protection garantiza que los servicios y las personas autorizados siempre puedan leer e inspeccionar los datos que protege Azure Rights Management para la organización. Si es necesario, se puede quitar o cambiar la protección.

Un superusuario siempre tiene el derecho de uso Control total de Rights Management para documentos y correos electrónicos que haya protegido el inquilino de Azure Information Protection de la organización. Esta capacidad se conoce a veces como "razonamiento sobre datos" y es un elemento crucial en el mantenimiento del control de los datos de la organización. Por ejemplo, podría usar esta característica en cualquiera de los siguientes escenarios:

  • Un empleado deja la organización y usted necesita leer los archivos que ha protegido.

  • Un administrador de TI necesita quitar la directiva de protección actual que se configuró para los archivos y aplicar una nueva directiva de protección.

  • Exchange Server necesita indexar los buzones para las operaciones de búsqueda.

  • Tiene servicios de TI existentes para soluciones de prevención de pérdida de datos (DLP), puertas de enlace de cifrado de contenido (CEG) y productos antimalware que necesitan inspeccionar los archivos que ya están protegidos.

  • Debe descifrar archivos en bloque para auditoría, por temas legales y otros motivos de cumplimiento.

Configuración de la característica de superusuario

De forma predeterminada, la característica de superusuario no está habilitada y ningún usuario está asignado a este rol. Se habilita automáticamente al configurar el conector de Rights Management para Exchange y no es necesaria para los servicios estándar que ejecutan Exchange Online, Microsoft Sharepoint Server, o SharePoint en Microsoft 365.

Si tiene que habilitar manualmente la característica de superusuario, use el cmdlet Enable-AipServiceSuperUserFeature de PowerShell y asigne los usuarios (o cuentas de servicio) según sea necesario mediante el cmdlet Add-AipServiceSuperUser o Set-AipServiceSuperUserGroup; finalmente, agregue usuarios (u otros grupos) según sea necesario para este grupo.

Aunque el uso de un grupo para los superusuarios es más fácil de administrar, tenga en cuenta que, por motivos de rendimiento, Azure Rights Management almacena en caché la pertenencia al grupo. Si necesita asignar un nuevo usuario como superusuario para descifrar contenido inmediatamente, debe agregarlo mediante Add-AipServiceSuperUser, en lugar de agregarlo a un grupo existente configurado mediante Set-AipServiceSuperUserGroup.

Nota:

No importa cuando habilite la característica de superusuario o cuando agregue usuarios como superusuarios. Por ejemplo, si habilita la característica el jueves y, después, agrega un usuario el viernes, ese usuario puede abrir inmediatamente el contenido protegido al principio de la semana.

Procedimientos recomendados de seguridad para la característica de superusuario

  • Restrinja y supervise los administradores que se asignan como administrador global para el inquilino de Office 365 o Azure Information Protection, o quién está asignado al rol GlobalAdministrator mediante el cmdlet Add-AipServiceRoleBasedAdministrator. Estos usuarios pueden habilitar la característica de superusuario y asignar usuarios (y asignarse ellos mismos) como superusuarios para poder descifrar todos los archivos que protege la organización.

  • Para ver qué usuarios y cuentas de servicio se asignan individualmente como superusuarios, use el cmdlet Get-AipServiceSuperUser.

  • Para ver si se ha configurado un grupo de superusuarios, use el cmdlet Get-AipServiceSuperUserGroup y las herramientas de administración de usuarios estándar para comprobar qué usuarios pertenecen a este grupo.

  • Al igual que todas las acciones de administración, la habilitación o la deshabilitación de la característica de superusuario, y la incorporación o la eliminación de superusuarios se registra y se puede auditar mediante el comando Get-AipServiceAdminLog. Por ejemplo, vea Auditoría de ejemplo para la característica de superusuario.

  • Cuando los superusuarios descifran archivos, esta acción se registra y se puede auditar con el registro de uso.

    Nota:

    Aunque los registros incluyen detalles sobre el descifrado, incluido el usuario que descifra el archivo, no tienen en cuenta cuándo el usuario es un superusuario. Use los registros junto con los cmdlets enumerados anteriormente para recopilar primero una lista de superusuarios que puede identificar en los registros.

  • Si no necesita la característica de superusuario para los servicios diarios, habilítela solo cuando la necesite y deshabilítela de nuevo mediante el cmdlet Disable-AipServiceSuperUserFeature.

Auditoría de ejemplo para la característica de superusuario

En el siguiente extracto del registro se muestran algunas entradas de ejemplo de uso del cmdlet Get-AipServiceAdminLog.

En este ejemplo, el administrador de Contoso Ltd confirma que la característica de superusuario está deshabilitada, agrega a Richard Simone como superusuario, comprueba que Richard es el único superusuario configurado para Azure Rights Management Service y habilita la característica de superusuario para que Richard pueda descifrar archivos que estaban protegidos por un empleado que ha dejado la empresa.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opciones de scripting para superusuarios

Con frecuencia, alguien asignado como superusuario para Azure Rights Management tendrá que quitar la protección de varios archivos, en varias ubicaciones. Aunque es posible hacerlo manualmente, resulta más eficaz (y a menudo más confiable) hacerlo mediante scripts con el cmdlet Set-AIPFileLabel.

Si utiliza clasificación y protección, también puede usar Set-AIPFileLabel para aplicar una etiqueta nueva que no aplica protección, o bien quitar la etiqueta que aplica la protección.

Para más información sobre estos cmdlets, consulte Uso de PowerShell con el cliente de Azure Information Protection de la guía del administrador del cliente de Azure Information Protection.

Nota:

El módulo AzureInformationProtection es diferente del módulo AIPService de PowerShell (al que complementa) que administra el servicio Azure Rights Management para Azure Information Protection.

Eliminación de la protección en archivos PST

Para quitar la protección en los archivos PST, se recomienda usar eDiscovery de Microsoft Purview para buscar y extraer correos electrónicos protegidos y datos adjuntos protegidos en correos electrónicos.

La capacidad de superusuario se integra automáticamente con Exchange Online para que eDiscovery en el portal de cumplimiento de Microsoft Purview pueda buscar elementos cifrados antes de exportar o descifrar el correo electrónico cifrado en la exportación.

Si no puede usar eDiscovery de Microsoft Purview, es posible que tenga otra solución de eDiscovery que se integre con el servicio Azure Rights Management para razonar de forma similar sobre los datos.

O bien, si la solución de eDiscovery no puede leer y descifrar contenido protegido automáticamente, todavía puede usar esta solución en un proceso de varios pasos junto con el cmdlet Set-AIPFileLabel:

  1. Exporte el correo electrónico en cuestión a un archivo PST desde Exchange Online o Exchange Server, o bien desde la estación de trabajo donde el usuario ha almacenado su correo electrónico.

  2. Importe el archivo PST en la herramienta de eDiscovery. Como la herramienta no puede leer contenido protegido, se espera que estos elementos generen errores.

  3. Desde todos los elementos que la herramienta no ha podido abrir, genere un nuevo archivo PST que esta vez contenga solo elementos protegidos. Este segundo archivo PST probablemente será mucho más pequeño que el archivo PST original.

  4. Ejecute Set-AIPFileLabel en este segundo archivo PST para descifrar el contenido de este archivo mucho más pequeño. En la salida, importe el archivo PST ahora descifrado en la herramienta de detección.

Para obtener información más detallada e instrucciones para realizar eDiscovery entre buzones y archivos PST, vea la siguiente entrada de blog: Procesos de eDiscovery y Azure Information Protection.