Mengonfigurasi pengguna super untuk Perlindungan Informasi Azure dan layanan penemuan atau pemulihan data
Fitur pengguna super dari layanan Azure Rights Management dari Perlindungan Informasi Azure memastikan bahwa orang dan layanan yang berwenang selalu dapat membaca dan memeriksa data yang dilindungi Azure Rights Management untuk organisasi Anda. Jika perlu, perlindungan kemudian dapat dihapus atau diubah.
Pengguna super selalu memiliki hak penggunaan Kontrol Penuh Manajemen Hak untuk dokumen dan email yang telah dilindungi oleh penyewa Perlindungan Informasi Azure organisasi Anda. Kemampuan ini terkadang disebut sebagai "penalaran atas data" dan merupakan elemen penting dalam menjaga kontrol data organisasi Anda. Misalnya, Anda akan menggunakan fitur ini untuk salah satu skenario berikut:
Seorang karyawan meninggalkan organisasi dan Anda perlu membaca file yang dilindunginya.
Administrator TI perlu menghapus kebijakan perlindungan saat ini yang dikonfigurasi untuk file dan menerapkan kebijakan perlindungan baru.
Server Exchange perlu mengindeks kotak surat untuk operasi pencarian.
Anda memiliki layanan TI yang ada untuk solusi pencegahan kehilangan data (DLP), gateway enkripsi konten (CEG), dan produk anti-malware yang perlu memeriksa file yang sudah dilindungi.
Anda perlu mendekripsi file secara massal untuk mengaudit, hukum, atau alasan kepatuhan lainnya.
Konfigurasi untuk fitur pengguna super
Secara default, fitur pengguna super tidak diaktifkan, dan tidak ada pengguna yang diberi peran ini. Ini diaktifkan untuk Anda secara otomatis jika Anda mengonfigurasi konektor Manajemen Hak untuk Exchange, dan tidak diperlukan untuk layanan standar yang menjalankan Exchange Online, Microsoft Sharepoint Server, atau SharePoint di Microsoft 365.
Jika Anda perlu mengaktifkan fitur pengguna super secara manual, gunakan cmdlet PowerShell Enable-AipServiceSuperUserFeature, lalu tetapkan pengguna (atau akun layanan) sesuai kebutuhan dengan menggunakan cmdlet Add-AipServiceSuperUser atau cmdlet Set-AipServiceSuperUserGroup dan tambahkan pengguna (atau grup lain) sesuai kebutuhan untuk grup ini.
Meskipun menggunakan grup untuk pengguna super Anda lebih mudah dikelola, ketahuilah bahwa karena alasan performa, Azure Rights Management menyimpan keanggotaan grup. Jadi, jika Anda perlu menetapkan pengguna baru untuk menjadi pengguna super untuk segera mendekripsi konten, tambahkan pengguna tersebut dengan menggunakan Add-AipServiceSuperUser, daripada menambahkan pengguna ke grup yang sudah ada yang telah Anda konfigurasi dengan menggunakan Set-AipServiceSuperUserGroup.
Catatan
Saat menambahkan pengguna dengan cmdlet Add-AipServiceSuperUser , Anda juga harus menambahkan alamat email utama atau nama prinsipal pengguna ke grup. Alias email tidak dievaluasi.
Jika Anda belum menginstal modul Windows PowerShell untuk Azure Rights Management, lihat Menginstal modul AIPService PowerShell.
Tidak masalah ketika Anda mengaktifkan fitur pengguna super atau saat Anda menambahkan pengguna sebagai pengguna super. Misalnya, jika Anda mengaktifkan fitur pada hari Kamis dan kemudian menambahkan pengguna pada hari Jumat, pengguna tersebut dapat segera membuka konten yang dilindungi pada awal minggu.
Praktik terbaik keamanan untuk fitur pengguna super
Batasi dan pantau administrator yang ditetapkan administrator global untuk penyewa Microsoft 365 atau Azure Information Protection Anda, atau yang diberi peran GlobalAdministrator dengan menggunakan cmdlet Add-AipServiceRoleBasedAdministrator . Pengguna ini dapat mengaktifkan fitur pengguna super dan menetapkan pengguna (dan diri mereka sendiri) sebagai pengguna super, dan berpotensi mendekripsi semua file yang dilindungi organisasi Anda.
Untuk melihat pengguna dan akun layanan mana yang ditetapkan secara individual sebagai pengguna super, gunakan cmdlet Get-AipServiceSuperUser .
Untuk melihat apakah grup pengguna super dikonfigurasi, gunakan cmdlet Get-AipServiceSuperUserGroup dan alat manajemen pengguna standar Anda untuk memeriksa pengguna mana yang merupakan anggota grup ini.
Seperti semua tindakan administrasi, mengaktifkan atau menonaktifkan fitur super, dan menambahkan atau menghapus pengguna super dicatat dan dapat diaudit dengan menggunakan perintah Get-AipServiceAdminLog . Misalnya, lihat Contoh audit untuk fitur pengguna super.
Ketika pengguna super mendekripsi file, tindakan ini dicatat dan dapat diaudit dengan pengelogan penggunaan.
Catatan
Meskipun log menyertakan detail tentang dekripsi, termasuk pengguna yang mendekripsi file, mereka tidak mencatat ketika pengguna adalah pengguna super. Gunakan log bersama dengan cmdlet yang tercantum di atas untuk terlebih dahulu mengumpulkan daftar pengguna super yang dapat Anda identifikasi dalam log.
Jika Anda tidak memerlukan fitur pengguna super untuk layanan sehari-hari, aktifkan fitur hanya saat Anda membutuhkannya, dan nonaktifkan lagi dengan menggunakan cmdlet Disable-AipServiceSuperUserFeature .
Contoh audit untuk fitur pengguna super
Ekstrak log berikut menunjukkan beberapa contoh entri dari menggunakan cmdlet Get-AipServiceAdminLog .
Dalam contoh ini, administrator untuk Contoso Ltd mengonfirmasi bahwa fitur pengguna super dinonaktifkan, menambahkan Richard Simone sebagai pengguna super, memeriksa bahwa Richard adalah satu-satunya pengguna super yang dikonfigurasi untuk layanan Azure Rights Management, dan kemudian mengaktifkan fitur pengguna super sehingga Richard sekarang dapat mendekripsi beberapa file yang dilindungi oleh karyawan yang sekarang telah meninggalkan perusahaan.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Opsi pembuatan skrip untuk pengguna super
Seringkali, seseorang yang diberi pengguna super untuk Azure Rights Management perlu menghapus perlindungan dari beberapa file, di beberapa lokasi. Meskipun dimungkinkan untuk melakukan ini secara manual, lebih efisien (dan sering lebih dapat diandalkan) untuk membuat skrip ini menggunakan cmdlet Set-AIPFileLabel .
Jika Anda menggunakan klasifikasi dan perlindungan, Anda juga dapat menggunakan Set-AIPFileLabel untuk menerapkan label baru yang tidak menerapkan perlindungan, atau menghapus label yang menerapkan perlindungan.
Untuk informasi selengkapnya tentang cmdlet ini, lihat Menggunakan PowerShell dengan klien Perlindungan Informasi Azure dari panduan admin klien Perlindungan Informasi Azure.
Catatan
Modul AzureInformationProtection berbeda dari dan melengkapi modul AIPService PowerShell yang mengelola layanan Azure Rights Management untuk Perlindungan Informasi Azure.
Menghapus perlindungan pada file PST
Untuk menghapus perlindungan pada file PST, kami sarankan Anda menggunakan eDiscovery dari Microsoft Purview untuk mencari dan mengekstrak email yang dilindungi dan lampiran yang dilindungi dalam email.
Kemampuan pengguna super secara otomatis terintegrasi dengan Exchange Online sehingga eDiscovery di portal kepatuhan Microsoft Purview dapat mencari item terenkripsi sebelum mengekspor, atau mendekripsi email terenkripsi saat diekspor.
Jika Anda tidak dapat menggunakan Microsoft Purview eDiscovery, Anda mungkin memiliki solusi eDiscovery lain yang terintegrasi dengan layanan Azure Rights Management untuk alasan yang sama atas data.
Atau, jika solusi eDiscovery Anda tidak dapat membaca dan mendekripsi konten yang dilindungi secara otomatis, Anda masih dapat menggunakan solusi ini dalam proses multi-langkah bersama dengan cmdlet Set-AIPFileLabel :
Ekspor email yang dimaksud ke file PST dari Exchange Online atau Server Exchange, atau dari stasiun kerja tempat pengguna menyimpan email mereka.
Impor file PST ke alat eDiscovery Anda. Karena alat tidak dapat membaca konten yang dilindungi, diharapkan item ini akan menghasilkan kesalahan.
Dari semua item yang tidak dapat dibuka alat, hasilkan file PST baru yang kali ini, hanya berisi item yang dilindungi. File PST kedua ini kemungkinan akan jauh lebih kecil dari file PST asli.
Jalankan Set-AIPFileLabel pada file PST kedua ini untuk mendekripsi konten file yang jauh lebih kecil ini. Dari output, impor file PST yang sekarang didekripsi ke alat penemuan Anda.
Untuk informasi dan panduan lebih rinci untuk melakukan eDiscovery di seluruh kotak surat dan file PST, lihat posting blog berikut: Perlindungan Informasi Azure dan Proses eDiscovery.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk