Configurazione degli utenti con privilegi avanzati per Azure Information Protection e servizi di individuazione o ripristino dei dati

  • Articolo

La funzionalità per utenti con privilegi avanzati del servizio Azure Rights Management di Azure Information Protection garantisce che gli utenti e i servizi autorizzati possano sempre leggere e controllare i dati che Azure Rights Management protegge per l'organizzazione. Se necessario, la protezione può essere quindi rimossa o modificata.

Per i documenti e i messaggi di posta elettronica protetti dal tenant Azure Information Protection dell'organizzazione, un utente con privilegi avanzati dispone sempre dei diritti di utilizzo di Controllo completo di Rights Management. Questa possibilità viene definita anche "ragionamento sui dati" e riveste un ruolo di importanza cruciale nel mantenimento del controllo sui dati dell'organizzazione. Ad esempio, utilizzare questa funzionalità per uno qualsiasi dei seguenti scenari:

  • Un dipendente lascia l'organizzazione ed è necessario leggere i file che ha protetto.

  • Un amministratore IT deve rimuovere il criterio di protezione corrente che è stato configurato per i file e applicare un nuovo criterio di protezione.

  • Exchange Server deve indicizzare le caselle postali per le operazioni di ricerca.

  • Si dispone di servizi IT esistenti per le soluzioni di prevenzione della perdita dei dati (DLP), per il gateway di crittografia del contenuto (CEG) e per i prodotti anti-malware che richiedono l'analisi dei file che sono già protetti.

  • È necessario decrittografare i file per questioni di controllo, legali o per altri motivi di conformità.

Configurazione per la funzionalità per utenti con privilegi avanzati

Per impostazione predefinita, questo ruolo non è abilitato e a esso non sono assegnati utenti. È abilitato automaticamente se si configura il connettore Rights Management per Exchange e non è necessario per i servizi standard che eseguono Exchange Online, Microsoft Sharepoint Server o SharePoint in Microsoft 365.

Se è necessario abilitare manualmente la funzionalità utente avanzata, usare il cmdlet di PowerShell Enable-AipServiceSuperUserFeature e quindi assegnare utenti (o account di servizio) in base alle esigenze usando il cmdlet Add-AipServiceSuperUser o il cmdlet Set-AipServiceSuperUserGroup e aggiungere utenti (o altri gruppi) in base alle esigenze di questo gruppo.

Anche se un gruppo per utenti con privilegi avanzati è più facile da gestire, tenere presente che, per motivi di prestazioni, Azure Rights Management memorizza nella cache l'appartenenza ai gruppi. Quindi, se è necessario assegnare un nuovo utente per essere un utente avanzato per decrittografare immediatamente il contenuto, aggiungere l'utente usando Add-AipServiceSuperUser, anziché aggiungere l'utente a un gruppo esistente configurato usando Set-AipServiceSuperUserGroup.

Nota

  • Quando si aggiunge un utente con il cmdlet Add-AipServiceSuperUser , è necessario aggiungere anche l'indirizzo di posta primaria o il nome dell'entità utente al gruppo. Email alias non vengono valutati.

  • Se non è ancora stato installato il modulo Windows PowerShell per Azure Rights Management, vedere Installazione del modulo PowerShell AIPService.

Non è importante quando si abilita la funzionalità per utenti con privilegi avanzati o quando si aggiungono utenti come utenti con privilegi avanzati. Ad esempio, se si abilita la funzionalità di giovedì e quindi si aggiunge un utente venerdì, tale utente può immediatamente aprire il contenuto protetto all'inizio della settimana.

Procedure di sicurezza consigliate per la funzionalità per utenti con privilegi avanzati

  • Limitare e monitorare gli amministratori assegnati a un amministratore globale per il tenant di Microsoft 365 o Azure Information Protection oppure a chi viene assegnato il ruolo GlobalAdministrator usando il cmdlet Add-AipServiceRoleBasedAdministrator. Questi utenti possono abilitare la funzionalità per utenti con privilegi avanzati e assegnare agli utenti (e a se stessi) la condizione di utenti con privilegi avanzati, e potenzialmente decrittografare tutti i file che l'organizzazione protegge.

  • Per visualizzare quali utenti e account di servizio vengono assegnati singolarmente come utenti avanzati, usare il cmdlet Get-AipServiceSuperUser .

  • Per verificare se è configurato un gruppo di utenti avanzati, usare il cmdlet Get-AipServiceSuperUserGroup e gli strumenti di gestione utenti standard per verificare quali utenti sono membri di questo gruppo.

  • Come tutte le azioni di amministrazione, l'abilitazione o la disabilitazione della funzionalità super e l'aggiunta o la rimozione di utenti avanzati vengono registrati e possono essere controllati usando il comando Get-AipServiceAdminLog . Ad esempio, vedere Controllo di esempio per la funzionalità utente superiore.

  • Quando gli utenti con privilegi avanzati eseguono la decrittografia dei file, questa azione viene registrata e può essere controllata con la registrazione dell'utilizzo.

    Nota

    Anche se i log includono dettagli sulla decrittografia, incluso l'utente che decrittografò il file, non annotano quando l'utente è un utente super. Usare i log insieme ai cmdlet elencati in precedenza per raccogliere prima un elenco di utenti avanzati che è possibile identificare nei log.

  • Se non è necessaria la funzionalità utente avanzata per i servizi quotidiani, abilitare la funzionalità solo quando è necessaria e disabilitarla di nuovo usando il cmdlet Disable-AipServiceSuperUserFeature .

Controllo di esempio per la funzionalità per utenti con privilegi avanzati

L'estrazione del log seguente mostra alcune voci di esempio dall'uso del cmdlet Get-AipServiceAdminLog .

In questo esempio, l'amministratore di Contoso Ltd verifica che la funzionalità per utenti con privilegi avanzati sia disabilitata, aggiunge Richard Simone come utente con privilegi avanzati, controlla che Richard sia l'unico utente con privilegi avanzati configurato per il servizio Azure Rights Management e quindi abilita la funzionalità per utenti con privilegi avanzati in modo che Richard sia in grado di decrittografare alcuni file che sono stati protetti da un dipendente che ora ha lasciato l'azienda.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opzioni di scripting per gli utenti con privilegi avanzati

L'utente a cui viene assegnato il ruolo di utente con privilegi avanzati per Azure Rights Management deve spesso rimuovere la protezione da più file, in più posizioni. Anche se è possibile eseguire questa operazione manualmente, è più efficiente (e spesso più affidabile) per eseguire lo script usando il cmdlet Set-AIPFileLabel .

Se si usano la classificazione e la protezione, è possibile usare anche Set-AIPFileLabel per applicare una nuova etichetta che non applica la protezione oppure rimuovere l'etichetta che ha applicato la protezione.

Per maggiori informazioni su questi cmdlet, vedere Uso di PowerShell con il client Azure Information Protection nella guida dell'amministratore del client Azure Information Protection.

Nota

Il modulo AzureInformationProtection è diverso da e integra il modulo AIPService PowerShell che gestisce il servizio Azure Rights Management per Azure Information Protection.

Rimozione della protezione nei file PST

Per rimuovere la protezione nei file PST, è consigliabile usare eDiscovery da Microsoft Purview per cercare ed estrarre messaggi di posta elettronica protetti e allegati protetti nei messaggi di posta elettronica.

La capacità utente superiore viene integrata automaticamente con Exchange Online in modo che eDiscovery nella Portale di conformità di Microsoft Purview possa cercare elementi crittografati prima dell'esportazione o decrittografare la posta elettronica crittografata all'esportazione.

Se non è possibile usare Microsoft Purview eDiscovery, potrebbe essere disponibile un'altra soluzione eDiscovery che si integra con il servizio Azure Rights Management per motivi simili sui dati.

In alternativa, se la soluzione eDiscovery non può leggere e decrittografare automaticamente il contenuto protetto, è comunque possibile usare questa soluzione in un processo in più passaggi insieme al cmdlet Set-AIPFileLabel :

  1. Esportare il messaggio di posta elettronica in questione in un file PST da Exchange Online o Exchange Server oppure dalla workstation in cui l'utente ha archiviato la posta elettronica.

  2. Importare il file PST nello strumento di eDiscovery. Poiché lo strumento non è in grado di leggere il contenuto protetto, è probabile che questi elementi generino errori.

  3. Da tutti gli elementi che lo strumento non è riuscito ad aprire, generare un nuovo file PST contenente solo gli elementi protetti. Questo secondo file PST avrà probabilmente dimensioni molto inferiori rispetto al file PST originale.

  4. Eseguire Set-AIPFileLabel in questo secondo file PST per decrittografare il contenuto di questo file molto più piccolo. Dall'output, importare il file PST decrittografato nello strumento di individuazione.

Per informazioni più dettagliate e altre indicazioni per l'esecuzione di eDiscovery su cassette postali e file PST, vedere il post di blog seguente: Azure Information Protection and eDiscovery Processes (Azure Information Protection e processi di eDiscovery).