Megosztás a következőn keresztül:

Felügyelők konfigurálása az Azure Information Protection és a felderítési szolgáltatások vagy adat-helyreállítás számára

  • Cikk

Az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatásának felügyelői funkciója biztosítja, hogy a jogosult személyek és szolgáltatások mindig elolvassák és megvizsgálják azokat az adatokat, amelyeket Azure Tartalomvédelmi szolgáltatások véd a szervezet számára. Szükség esetén a védelem eltávolítható vagy módosítható.

A felügyelők mindig rendelkeznek a Rights Management teljes hozzáférésű használati jogosultságával a szervezet Azure Information Protection-bérlője által védett dokumentumokhoz és e-mailekhez. Ezt a képességet néha "adatokkal kapcsolatos érvelésnek" is nevezik, és kulcsfontosságú szerepet játszik a szervezet adatainak ellenőrzésében. Ezt a funkciót például a következő forgatókönyvek bármelyikéhez használhatja:

  • Egy alkalmazott elhagyja a szervezetet, és el kell olvasnia a védett fájlokat.

  • A rendszergazdáknak el kell távolítaniuk a fájlokhoz konfigurált aktuális védelmi szabályzatot, és új védelmi szabályzatot kell alkalmazniuk.

  • Az Exchange Servernek indexelnie kell a postaládákat a keresési műveletekhez.

  • Meglévő informatikai szolgáltatásai vannak az adatveszteség-megelőzési (DLP-) megoldásokhoz, a tartalomtitkosítási átjárókhoz (CEG) és a kártevőirtó termékekhez, amelyeknek meg kell vizsgálniuk a már védett fájlokat.

  • A fájlok tömeges visszafejtését naplózási, jogi vagy egyéb megfelelőségi okokból kell elvégeznie.

A felügyelői funkció konfigurálása

Alapértelmezés szerint a felügyelői funkció nincs engedélyezve, és nincs hozzárendelve ehhez a szerepkörhöz. Automatikusan engedélyezve van, ha konfigurálja az Exchange Rights Management-összekötőt, és nem szükséges az Exchange Online-t, a Microsoft Sharepoint Servert vagy a SharePointot a Microsoft 365-ben futtató standard szolgáltatásokhoz.

Ha manuálisan kell engedélyeznie a felügyelői funkciót, használja az Enable-AipServiceSuperUserFeature PowerShell-parancsmagot, majd szükség szerint rendeljen hozzá felhasználókat (vagy szolgáltatásfiókokat) az Add-AipServiceSuperUser parancsmaggal vagy a Set-AipServiceSuperUserGroup parancsmaggal, és szükség szerint adjon hozzá felhasználókat (vagy más csoportokat) ehhez a csoporthoz.

Bár a csoport használata a felügyelő felhasználók számára egyszerűbben kezelhető, vegye figyelembe, hogy teljesítménybeli okokból Azure Tartalomvédelmi szolgáltatások gyorsítótárazza a csoporttagságokat. Ha tehát új felhasználót kell hozzárendelnie egy felügyelő felhasználóhoz a tartalom azonnali visszafejtéséhez, vegye fel ezt a felhasználót az Add-AipServiceSuperUser használatával, ahelyett, hogy hozzáadja a felhasználót egy meglévő csoporthoz, amelyet a Set-AipServiceSuperUserGroup használatával konfigurált.

Megjegyzés:

  • Amikor hozzáad egy felhasználót az Add-AipServiceSuperUser parancsmaggal, hozzá kell adnia az elsődleges e-mail címet vagy a felhasználónév nevét is a csoporthoz. A rendszer nem értékeli ki az e-mail-aliasokat.

  • Ha még nem telepítette a Windows PowerShell modult Azure Tartalomvédelmi szolgáltatások, olvassa el az AIPService PowerShell-modul telepítését ismertető témakört.

Nem számít, hogy mikor engedélyezi a felügyelői funkciót, vagy amikor felhasználókat ad hozzá felügyelőként. Ha például csütörtökön engedélyezi a funkciót, majd pénteken hozzáad egy felhasználót, a felhasználó azonnal megnyithatja a hét elején védett tartalmakat.

Ajánlott biztonsági eljárások a felügyelői funkcióhoz

  • Korlátozza és monitorozza azokat a rendszergazdákat, akik a Microsoft 365 vagy az Azure Information Protection-bérlő globális rendszergazdájához vannak hozzárendelve, vagy akik az Add-AipServiceRoleBased Rendszergazda istrator parancsmaggal globális Rendszergazda istrator szerepkörrel rendelkeznek. Ezek a felhasználók engedélyezhetik a felügyelői funkciót, és a felhasználókat (és magukat) felügyelő felhasználókként rendelhetik hozzá, és visszafejthetik a szervezet által védett összes fájlt.

  • A Get-AipServiceSuperUser parancsmaggal megtekintheti, hogy mely felhasználók és szolgáltatásfiókok vannak külön-külön hozzárendelve szuperfelhasználóként.

  • Annak ellenőrzéséhez, hogy egy felügyelői csoport konfigurálva van-e, használja a Get-AipServiceSuperUserGroup parancsmagot és a standard felhasználói felügyeleti eszközöket annak ellenőrzéséhez, hogy mely felhasználók tagjai ennek a csoportnak.

  • A rendszer az összes felügyeleti művelethez hasonlóan a szuperfunkció engedélyezését vagy letiltását, valamint a felügyelő felhasználók hozzáadását vagy eltávolítását is naplózza, és a Get-AipService Rendszergazda Log paranccsal naplózható. Lásd például a felügyelői funkció példanaplózását.

  • Amikor a felügyelők visszafejtik a fájlokat, a rendszer naplózza ezt a műveletet, és a használat naplózásával naplózható.

    Megjegyzés:

    Bár a naplók tartalmazzák a visszafejtés részleteit, beleértve a fájlt visszafejtő felhasználót is, nem jegyezik fel, hogy a felhasználó felügyelő felhasználó-e. A naplók és a fent felsorolt parancsmagok együttes használatával először gyűjtheti össze a naplókban azonosítható szuperfelhasználók listáját.

  • Ha nincs szüksége a mindennapi szolgáltatásokhoz szükséges felügyelői funkcióra, csak akkor engedélyezze a funkciót, ha szüksége van rá, és tiltsa le újra a Disable-AipServiceSuperUserFeature parancsmaggal.

Példa a felügyelői funkció naplózására

Az alábbi naplókivonat néhány példabejegyzést mutat be a Get-AipService Rendszergazda Log parancsmag használatával.

Ebben a példában a Contoso Ltd rendszergazdája megerősíti, hogy a felügyelői funkció le van tiltva, hozzáadja Richard Simone-t felügyelő felhasználóként, ellenőrzi, hogy Richard az egyetlen felügyelő, aki konfigurálva van a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, majd engedélyezi a felügyelői funkciót, hogy Richárd visszafejtsen bizonyos fájlokat, amelyeket egy olyan alkalmazott védett, aki most elhagyta a vállalatot.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Szkriptelési lehetőségek szuperfelhasználók számára

Gyakran előfordul, hogy egy Azure Tartalomvédelmi szolgáltatások felügyelő felhasználóhoz rendelt személynek el kell távolítania a védelmet több fájlból, több helyen. Bár ezt manuálisan is megteheti, a Set-AIPFileLabel parancsmaggal hatékonyabban (és gyakran megbízhatóbban) szkriptelheti ezt.

Ha besorolást és védelmet használ, a Set-AIPFileLabel használatával egy olyan új címkét is alkalmazhat, amely nem alkalmaz védelmet, vagy eltávolíthatja a védelmet alkalmazó címkét.

További információ ezekről a parancsmagokról: A PowerShell használata az Azure Information Protection-ügyféllel az Azure Information Protection-ügyfél rendszergazdai útmutatójában.

Megjegyzés:

Az AzureInformationProtection modul eltér az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatást kezelő AIPService PowerShell-modultól, és kiegészíti azt.

Védelem eltávolítása PST-fájlokon

A PST-fájlok védelmének eltávolításához javasoljuk, hogy a Microsoft Purview elektronikus adatfeltárásával keressen és nyerjen ki védett e-maileket és védett mellékleteket az e-mailekben.

A szuperfelhasználói képesség automatikusan integrálva van az Exchange Online-ba, hogy az Microsoft Purview megfelelőségi portál feltárása az exportálás előtt keressen titkosított elemeket, vagy visszafejthesse a titkosított e-maileket exportáláskor.

Ha nem tudja használni a Microsoft Purview Feltárás, előfordulhat, hogy egy másik adatfeltárási megoldással is rendelkezik, amely az adatokhoz hasonlóan integrálható a Azure Tartalomvédelmi szolgáltatások szolgáltatással.

Vagy ha az elektronikus adatfeltárási megoldás nem tudja automatikusan olvasni és visszafejteni a védett tartalmakat, akkor is használhatja ezt a megoldást egy többlépéses folyamatban a Set-AIPFileLabel parancsmaggal együtt:

  1. Exportálja a kérdéses e-mailt egy PST-fájlba az Exchange Online-ból vagy az Exchange Serverből, vagy abból a munkaállomásról, ahol a felhasználó tárolta az e-mail-címét.

  2. Importálja a PST-fájlt az elektronikus adatfeltárási eszközbe. Mivel az eszköz nem tudja olvasni a védett tartalmakat, ezek az elemek várhatóan hibákat fognak eredményezni.

  3. Minden olyan elemből, amelyet az eszköz nem tudott megnyitni, hozzon létre egy új PST-fájlt, amely ezúttal csak védett elemeket tartalmaz. Ez a második PST-fájl valószínűleg sokkal kisebb lesz, mint az eredeti PST-fájl.

  4. Futtassa a Set-AIPFileLabel parancsot ezen a második PST-fájlon a sokkal kisebb fájl tartalmának visszafejtéséhez. A kimenetből importálja a most visszafejtett PST-fájlt a felderítési eszközbe.

A postaládák és PST-fájlok közötti elektronikus adatfeltárás végrehajtásával kapcsolatos részletesebb információkért és útmutatásért tekintse meg az alábbi blogbejegyzést: Azure Information Protection és elektronikus adatfeltárási folyamatok.