Configuration de super utilisateurs pour Azure Information Protection ainsi que pour les services de découverte ou la récupération des données
Grâce à la fonctionnalité de super utilisateur du service Azure Rights Management d’Azure Information Protection, les personnes et services autorisés peuvent toujours lire et inspecter les données qu’Azure Rights Management protège pour votre organisation. Si nécessaire, la protection peut ensuite être supprimée ou modifiée.
Un super utilisateur a toujours le droit d’utilisation Contrôle total Rights Management pour les documents et e-mails qui ont été protégés par le locataire Azure Information Protection de votre organisation. Cette capacité est parfois appelée « raisonnement sur les données » et constitue un élément essentiel pour maintenir le contrôle des données de votre organisation. Par exemple, vous pouvez utiliser cette fonctionnalité pour les scénarios suivants :
Un employé quitte l’organisation et vous devez lire les fichiers qu’il a protégés.
Un administrateur doit supprimer la stratégie de protection actuellement configurée pour les fichiers et appliquer une nouvelle stratégie de protection.
Exchange Server doit indexer les boîtes aux lettres pour des opérations de recherche.
Vous avez des services informatiques existants pour les solutions de prévention contre la perte de données (DLP), les passerelles de chiffrement de contenu (CEG) et les produits anti-programme malveillant qui doivent inspecter des fichiers déjà protégés.
Vous devez déchiffrer des fichiers en bloc à des fins d’audit, juridiques ou de conformité.
Configuration de la fonctionnalité super utilisateur
Par défaut, la fonctionnalité de super utilisateur n’est pas activée et ce rôle n’est attribué à aucun utilisateur. Il est activé automatiquement si vous configurez le connecteur Rights Management pour Exchange et qu’il n’est pas nécessaire pour les services standard qui exécutent Exchange Online, Microsoft Sharepoint Server ou SharePoint dans Microsoft 365.
Si vous devez activer manuellement la fonctionnalité super utilisateur, utilisez l’applet de commande PowerShell Enable-AipServiceSuperUserFeature, puis attribuez des utilisateurs (ou comptes de service) en fonction des besoins à l’aide de l’applet de commande Add-AipServiceSuperUser ou de l’applet de commande Set-AipServiceSuperUserGroup et ajoutez des utilisateurs (ou d’autres groupes) selon les besoins de ce groupe.
Bien que l’utilisation d’un groupe de super utilisateurs soit plus facile à gérer, n’oubliez pas que pour des raisons de performances, Azure Rights Management met en cache l’appartenance au groupe. Par conséquent, si vous devez affecter un nouvel utilisateur pour qu’il soit un super utilisateur pour déchiffrer le contenu immédiatement, ajoutez cet utilisateur à l’aide de Add-AipServiceSuperUser, plutôt que d’ajouter l’utilisateur à un groupe existant que vous avez configuré à l’aide de Set-AipServiceSuperUserGroup.
Remarque
Lors de l’ajout d’un utilisateur avec l’applet de commande Add-AipServiceSuperUser , vous devez également ajouter l’adresse de messagerie principale ou le nom d’utilisateur principal au groupe. Les alias de messagerie ne sont pas évalués.
Si vous n’avez pas encore installé le module Windows PowerShell pour Azure Rights Management, consultez Installation du module PowerShell AIPService.
Cela n’a pas d’importance lorsque vous activez la fonctionnalité super utilisateur ou lorsque vous ajoutez des utilisateurs en tant que super utilisateurs. Par exemple, si vous activez la fonctionnalité le jeudi, puis ajoutez un utilisateur le vendredi, cet utilisateur peut ouvrir immédiatement du contenu protégé au début de la semaine.
Meilleures pratiques de sécurité pour la fonctionnalité super utilisateur
Limitez et surveillez les administrateurs auxquels un administrateur général est affecté pour votre locataire Microsoft 365 ou Azure Protection des données, ou qui ont le rôle Global Administration istrator à l’aide de l’applet de commande Add-AipServiceRoleBased Administration istrator. Ces utilisateurs peuvent activer la fonctionnalité de super utilisateur, ainsi que désigner des utilisateurs (et eux-mêmes) comme super utilisateurs, et potentiellement déchiffrer tous les fichiers que votre organisation protège.
Pour voir quels utilisateurs et comptes de service sont attribués individuellement en tant que super utilisateurs, utilisez l’applet de commande Get-AipServiceSuperUser .
Pour déterminer si un super groupe d’utilisateurs est configuré, utilisez l’applet de commande Get-AipServiceSuperUserGroup et vos outils de gestion des utilisateurs standard pour case activée quels utilisateurs sont membres de ce groupe.
Comme toutes les actions d’administration, l’activation ou la désactivation de la super fonctionnalité, et l’ajout ou la suppression de super utilisateurs sont journalisés et peuvent être audités à l’aide de la commande Get-AipService Administration Log. Par exemple, consultez Exemple d’audit pour la fonctionnalité super utilisateur.
Quand les super utilisateurs déchiffrent des fichiers, l’action est enregistrée et peut être auditée à l’aide de la journalisation de l’utilisation.
Remarque
Bien que les journaux incluent des détails sur le déchiffrement, y compris l’utilisateur qui a déchiffré le fichier, ils ne notent pas quand l’utilisateur est un super utilisateur. Utilisez les journaux avec les applets de commande répertoriées ci-dessus pour collecter d’abord une liste de super utilisateurs que vous pouvez identifier dans les journaux.
Si vous n’avez pas besoin de la fonctionnalité super utilisateur pour les services quotidiens, activez la fonctionnalité uniquement quand vous en avez besoin et désactivez-la à nouveau à l’aide de l’applet de commande Disable-AipServiceSuperUserFeature .
Exemple d’audit pour la fonctionnalité super utilisateur
L’extrait de journal suivant montre quelques exemples d’entrées à partir de l’utilisation de l’applet de commande Get-AipService Administration Log.
Dans cet exemple, l’administrateur de la société Contoso Ltd confirme que la fonctionnalité de super utilisateur est désactivée, ajoute Richard Simone comme super utilisateur, vérifie que celui-ci est bien le seul super utilisateur configuré pour le service Azure Rights Management, puis active la fonctionnalité de super utilisateur pour permettre à Richard de déchiffrer des fichiers protégés par un employé qui a quitté la société.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Options de script pour les super utilisateurs
Souvent, quelqu’un qui est affecté à un super utilisateur pour Azure Rights Management devra supprimer la protection de plusieurs fichiers, dans plusieurs emplacements. Bien qu’il soit possible de le faire manuellement, il est plus efficace (et souvent plus fiable) de générer un script à l’aide de l’applet de commande Set-AIPFileLabel .
Si vous utilisez la classification et la protection, vous pouvez également utiliser Set-AIPFileLabel pour appliquer une nouvelle étiquette n’appliquant pas la protection, ou supprimer l’étiquette qui a appliqué la protection.
Pour plus d’informations sur ces applets de commande, consultez Utilisation de PowerShell avec le client Azure Information Protection dans le guide de l’administrateur du client Azure Information Protection.
Remarque
Le module AzureInformationProtection est différent et complète le module PowerShell AIPService qui gère le service Azure Rights Management pour Azure Protection des données.
Suppression de la protection sur les fichiers PST
Pour supprimer la protection sur les fichiers PST, nous vous recommandons d’utiliser eDiscovery de Microsoft Purview pour rechercher et extraire des e-mails protégés et des pièces jointes protégées dans les e-mails.
La fonctionnalité super utilisateur est automatiquement intégrée à Exchange Online afin que eDiscovery dans le portail de conformité Microsoft Purview puisse rechercher des éléments chiffrés avant l’exportation ou déchiffrer des e-mails chiffrés lors de l’exportation.
Si vous ne pouvez pas utiliser Microsoft Purview eDiscovery, vous pouvez avoir une autre solution eDiscovery qui s’intègre au service Azure Rights Management pour une raison similaire sur les données.
Ou, si votre solution eDiscovery ne peut pas lire et déchiffrer automatiquement le contenu protégé, vous pouvez toujours utiliser cette solution dans un processus en plusieurs étapes avec l’applet de commande Set-AIPFileLabel :
Exportez l’e-mail en question vers un fichier PST à partir d’Exchange Online ou d’Exchange Server, ou à partir de la station de travail où l’utilisateur a stocké son e-mail.
Importez le fichier PST dans votre outil eDiscovery. Étant donné que l’outil ne peut pas lire le contenu protégé, il est prévu que ces éléments génèrent des erreurs.
À partir de tous les éléments que l’outil n’a pas pu ouvrir, générez un nouveau fichier PST que cette fois- ci contient uniquement des éléments protégés. Ce deuxième fichier PST sera probablement beaucoup plus petit que le fichier PST d’origine.
Exécutez Set-AIPFileLabel sur ce deuxième fichier PST pour déchiffrer le contenu de ce fichier beaucoup plus petit. À partir de la sortie, importez le fichier PST maintenant déchiffré dans votre outil de découverte.
Pour obtenir des informations et des conseils plus détaillés sur l’exécution d’eDiscovery dans les boîtes aux lettres et les fichiers PST, consultez le billet de blog suivant : Processus azure Protection des données et eDiscovery.