Condividi tramite


Configurazione degli utenti con privilegi avanzati per Azure Information Protection e servizi di individuazione o ripristino dei dati

La funzionalità per utenti con privilegi avanzati del servizio Azure Rights Management di Azure Information Protection garantisce che gli utenti e i servizi autorizzati possano sempre leggere e controllare i dati che Azure Rights Management protegge per l'organizzazione. Se necessario, la protezione può essere rimossa o modificata.

Per i documenti e i messaggi di posta elettronica protetti dal tenant Azure Information Protection dell'organizzazione, un utente con privilegi avanzati dispone sempre dei diritti di utilizzo di Controllo completo di Rights Management. Questa capacità viene talvolta definita "ragionamento sui dati" ed è un elemento fondamentale per mantenere il controllo dei dati dell'organizzazione. Ad esempio, utilizzare questa funzionalità per uno qualsiasi dei seguenti scenari:

  • Un dipendente lascia l'organizzazione ed è necessario leggere i file che ha protetto.

  • Un amministratore IT deve rimuovere il criterio di protezione corrente che è stato configurato per i file e applicare un nuovo criterio di protezione.

  • Exchange Server deve indicizzare le caselle postali per le operazioni di ricerca.

  • Si dispone di servizi IT esistenti per le soluzioni di prevenzione della perdita dei dati (DLP), per il gateway di crittografia del contenuto (CEG) e per i prodotti anti-malware che richiedono l'analisi dei file che sono già protetti.

  • È necessario decrittografare i file per questioni di controllo, legali o per altri motivi di conformità.

Configurazione per la funzionalità utente con privilegi avanzati

Per impostazione predefinita, questo ruolo non è abilitato e a esso non sono assegnati utenti. Viene abilitato automaticamente se si configura il connettore Rights Management per Exchange e non è necessario per i servizi standard che eseguono Exchange Online, Microsoft Sharepoint Server o SharePoint in Microsoft 365.

Se è necessario abilitare manualmente la funzionalità utente con privilegi avanzati, usare il cmdlet di PowerShell Enable-AipServiceSuperUserFeature e quindi assegnare utenti (o account di servizio) in base alle esigenze usando il cmdlet Add-AipServiceSuperUser o il cmdlet Set-AipServiceSuperUserGroup e aggiungere utenti (o altri gruppi) in base alle esigenze di questo gruppo.

Anche se un gruppo per utenti con privilegi avanzati è più facile da gestire, tenere presente che, per motivi di prestazioni, Azure Rights Management memorizza nella cache l'appartenenza ai gruppi. Pertanto, se è necessario assegnare un nuovo utente come utente con privilegi avanzati per decrittografare immediatamente il contenuto, aggiungere tale utente usando Add-AipServiceSuperUser, anziché aggiungere l'utente a un gruppo esistente configurato usando Set-AipServiceSuperUserGroup.

Nota

  • Quando si aggiunge un utente con il cmdlet Add-AipServiceSuperUser , è necessario aggiungere anche l'indirizzo di posta principale o il nome dell'entità utente al gruppo. Gli alias di posta elettronica non vengono valutati.

  • Se il modulo Windows PowerShell per Azure Rights Management non è ancora stato installato, vedere Installazione del modulo PowerShell AIPService.

Non importa quando si abilita la funzionalità utente con privilegi avanzati o quando si aggiungono utenti come utenti con privilegi avanzati. Ad esempio, se si abilita la funzionalità giovedì e quindi si aggiunge un utente il venerdì, tale utente può aprire immediatamente il contenuto protetto all'inizio della settimana.

Procedure consigliate per la sicurezza per la funzionalità utente con privilegi avanzati

  • Limitare e monitorare gli amministratori a cui viene assegnato un amministratore globale per il tenant di Microsoft 365 o Azure Information Protection oppure a cui viene assegnato il ruolo Global Amministrazione istrator usando il cmdlet Add-AipServiceRoleBased Amministrazione istrator. Questi utenti possono abilitare la funzionalità per utenti con privilegi avanzati e assegnare agli utenti (e a se stessi) la condizione di utenti con privilegi avanzati, e potenzialmente decrittografare tutti i file che l'organizzazione protegge.

  • Per vedere quali utenti e account di servizio vengono assegnati singolarmente come utenti con privilegi avanzati, usare il cmdlet Get-AipServiceSuperUser .

  • Per verificare se è configurato un gruppo di utenti con privilegi avanzati, usare il cmdlet Get-AipServiceSuperUserGroup e gli strumenti di gestione utenti standard per verificare quali utenti sono membri di questo gruppo.

  • Come tutte le azioni di amministrazione, l'abilitazione o la disabilitazione della funzionalità con privilegi avanzati e l'aggiunta o la rimozione di utenti con privilegi avanzati vengono registrate e possono essere controllate tramite il comando Get-AipService Amministrazione Log. Ad esempio, vedere Controllo di esempio per la funzionalità utente con privilegi avanzati.

  • Quando gli utenti con privilegi avanzati eseguono la decrittografia dei file, questa azione viene registrata e può essere controllata con la registrazione dell'utilizzo.

    Nota

    Mentre i log includono dettagli sulla decrittografia, incluso l'utente che ha decrittografato il file, non annota quando l'utente è un utente con privilegi avanzati. Usare i log insieme ai cmdlet elencati in precedenza per raccogliere prima un elenco di utenti con privilegi avanzati che è possibile identificare nei log.

  • Se non è necessaria la funzionalità utente con privilegi avanzati per i servizi quotidiani, abilitare la funzionalità solo quando è necessaria e disabilitarla di nuovo usando il cmdlet Disable-AipServiceSuperUserFeature .

Controllo di esempio per la funzionalità utente con privilegi avanzati

L'estrazione del log seguente mostra alcune voci di esempio dall'uso del cmdlet Get-AipService Amministrazione Log.

In questo esempio, l'amministratore di Contoso Ltd verifica che la funzionalità per utenti con privilegi avanzati sia disabilitata, aggiunge Richard Simone come utente con privilegi avanzati, controlla che Richard sia l'unico utente con privilegi avanzati configurato per il servizio Azure Rights Management e quindi abilita la funzionalità per utenti con privilegi avanzati in modo che Richard sia in grado di decrittografare alcuni file che sono stati protetti da un dipendente che ora ha lasciato l'azienda.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opzioni di scripting per gli utenti con privilegi avanzati

Spesso, qualcuno a cui è assegnato un utente con privilegi avanzati per Azure Rights Management dovrà rimuovere la protezione da più file, in più posizioni. Anche se è possibile eseguire questa operazione manualmente, è più efficiente (e spesso più affidabile) eseguire lo script usando il cmdlet Set-AIPFileLabel .

Se si usano la classificazione e la protezione, è possibile usare anche Set-AIPFileLabel per applicare una nuova etichetta che non applica la protezione oppure rimuovere l'etichetta che ha applicato la protezione.

Per maggiori informazioni su questi cmdlet, vedere Uso di PowerShell con il client Azure Information Protection nella guida dell'amministratore del client Azure Information Protection.

Nota

Il modulo AzureInformationProtection è diverso da e integra il modulo PowerShell AIPService che gestisce il servizio Azure Rights Management per Azure Information Protection.

Rimozione della protezione nei file PST

Per rimuovere la protezione sui file PST, è consigliabile usare eDiscovery da Microsoft Purview per cercare ed estrarre messaggi di posta elettronica protetti e allegati protetti nei messaggi di posta elettronica.

La capacità utente con privilegi avanzati viene integrata automaticamente con Exchange Online in modo che eDiscovery nella Portale di conformità di Microsoft Purview possa cercare elementi crittografati prima dell'esportazione o decrittografare la posta elettronica crittografata all'esportazione.

Se non è possibile usare Microsoft Purview eDiscovery, potrebbe essere disponibile un'altra soluzione eDiscovery che si integra con il servizio Azure Rights Management per motivi simili sui dati.

In alternativa, se la soluzione eDiscovery non è in grado di leggere e decrittografare automaticamente il contenuto protetto, è comunque possibile usare questa soluzione in un processo in più passaggi insieme al cmdlet Set-AIPFileLabel :

  1. Esportare il messaggio di posta elettronica in questione in un file PST da Exchange Online o Exchange Server o dalla workstation in cui l'utente ha archiviato la posta elettronica.

  2. Importare il file PST nello strumento eDiscovery. Poiché lo strumento non è in grado di leggere il contenuto protetto, è previsto che questi elementi generino errori.

  3. Da tutti gli elementi che lo strumento non è riuscito ad aprire, generare un nuovo file PST che questa volta contiene solo elementi protetti. Questo secondo file PST sarà probabilmente molto più piccolo del file PST originale.

  4. Eseguire Set-AIPFileLabel in questo secondo file PST per decrittografare il contenuto di questo file molto più piccolo. Dall'output importare il file PST ora decrittografato nello strumento di individuazione.

Per informazioni più dettagliate e indicazioni per l'esecuzione di eDiscovery tra cassette postali e file PST, vedere il post di blog seguente: Azure Information Protection e processi di eDiscovery.