Configurazione degli utenti con privilegi avanzati per Azure Information Protection e servizi di individuazione o ripristino dei dati

La funzionalità per utenti con privilegi avanzati del servizio Azure Rights Management di Azure Information Protection garantisce che gli utenti e i servizi autorizzati possano sempre leggere e controllare i dati che Azure Rights Management protegge per l'organizzazione. Se necessario, la protezione può essere quindi rimossa o modificata.

Per i documenti e i messaggi di posta elettronica protetti dal tenant Azure Information Protection dell'organizzazione, un utente con privilegi avanzati dispone sempre dei diritti di utilizzo di Controllo completo di Rights Management. Questa possibilità viene definita anche "ragionamento sui dati" e riveste un ruolo di importanza cruciale nel mantenimento del controllo sui dati dell'organizzazione. Ad esempio, utilizzare questa funzionalità per uno qualsiasi dei seguenti scenari:

  • Un dipendente lascia l'organizzazione ed è necessario leggere i file che ha protetto.

  • Un amministratore IT deve rimuovere il criterio di protezione corrente che è stato configurato per i file e applicare un nuovo criterio di protezione.

  • Exchange Server deve indicizzare le caselle postali per le operazioni di ricerca.

  • Si dispone di servizi IT esistenti per le soluzioni di prevenzione della perdita dei dati (DLP), per il gateway di crittografia del contenuto (CEG) e per i prodotti anti-malware che richiedono l'analisi dei file che sono già protetti.

  • È necessario decrittografare i file per questioni di controllo, legali o per altri motivi di conformità.

Configurazione per la funzionalità per utenti con privilegi avanzati

Per impostazione predefinita, questo ruolo non è abilitato e a esso non sono assegnati utenti. Viene abilitato automaticamente se si configura il connettore Rights Management per Exchange e non è necessario per i servizi standard che eseguono Exchange Online, Microsoft Sharepoint Server o SharePoint in Microsoft 365.

Se è necessario abilitare manualmente la funzionalità utente con privilegi avanzati, usare il cmdlet di PowerShell Enable-AipServiceSuperUserFeature e quindi assegnare utenti (o account di servizio) in base alle esigenze usando il cmdlet Add-AipServiceSuperUser o il cmdlet Set-AipServiceSuperUserGroup e aggiungere utenti (o altri gruppi) in base alle esigenze di questo gruppo.

Anche se un gruppo per utenti con privilegi avanzati è più facile da gestire, tenere presente che, per motivi di prestazioni, Azure Rights Management memorizza nella cache l'appartenenza ai gruppi. Pertanto, se è necessario assegnare un nuovo utente come utente con privilegi avanzati per decrittografare immediatamente il contenuto, aggiungere tale utente usando Add-AipServiceSuperUser, anziché aggiungere l'utente a un gruppo esistente configurato tramite Set-AipServiceSuperUserGroup.

Nota

  • Quando si aggiunge un utente con il cmdlet Add-AipServiceSuperUser , è necessario aggiungere al gruppo anche l'indirizzo di posta elettronica primario o il nome dell'entità utente. Email gli alias non vengono valutati.

  • Se il modulo di Windows PowerShell per Azure Rights Management non è ancora stato installato, vedere Installazione del modulo PowerShell AIPService.

Non è importante quando si abilita la funzionalità per utenti con privilegi avanzati o quando si aggiungono utenti come utenti con privilegi avanzati. Ad esempio, se si abilita la funzionalità di giovedì e quindi si aggiunge un utente venerdì, tale utente può immediatamente aprire il contenuto protetto all'inizio della settimana.

Procedure di sicurezza consigliate per la funzionalità per utenti con privilegi avanzati

  • Limitare e monitorare gli amministratori a cui è assegnato un amministratore globale per il tenant di Microsoft 365 o Azure Information Protection o a chi viene assegnato il ruolo GlobalAdministrator usando il cmdlet Add-AipServiceRoleBasedAdministrator. Questi utenti possono abilitare la funzionalità per utenti con privilegi avanzati e assegnare agli utenti (e a se stessi) la condizione di utenti con privilegi avanzati, e potenzialmente decrittografare tutti i file che l'organizzazione protegge.

  • Per visualizzare gli utenti e gli account del servizio assegnati singolarmente come utenti con privilegi avanzati, usare il cmdlet Get-AipServiceSuperUser .

  • Per verificare se è configurato un gruppo di utenti con privilegi avanzati, usare il cmdlet Get-AipServiceSuperUserGroup e gli strumenti di gestione utenti standard per verificare quali utenti sono membri di questo gruppo.

  • Come tutte le azioni di amministrazione, l'abilitazione o la disabilitazione della funzionalità con privilegi avanzati e l'aggiunta o la rimozione di utenti con privilegi avanzati vengono registrate e possono essere controllate tramite il comando Get-AipServiceAdminLog . Ad esempio, vedere Esempio di controllo per la funzionalità utente con privilegi avanzati.

  • Quando gli utenti con privilegi avanzati eseguono la decrittografia dei file, questa azione viene registrata e può essere controllata con la registrazione dell'utilizzo.

    Nota

    Mentre i log includono dettagli sulla decrittografia, incluso l'utente che ha decrittografato il file, non si noti quando l'utente è un utente con privilegi avanzati. Usare i log insieme ai cmdlet elencati in precedenza per raccogliere prima un elenco di utenti con privilegi avanzati che è possibile identificare nei log.

  • Se non è necessaria la funzionalità utente con privilegi avanzati per i servizi di uso quotidiano, abilitare la funzionalità solo quando è necessaria e disabilitarla di nuovo usando il cmdlet Disable-AipServiceSuperUserFeature .

Controllo di esempio per la funzionalità per utenti con privilegi avanzati

L'estrazione del log seguente mostra alcune voci di esempio dall'uso del cmdlet Get-AipServiceAdminLog .

In questo esempio, l'amministratore di Contoso Ltd verifica che la funzionalità per utenti con privilegi avanzati sia disabilitata, aggiunge Richard Simone come utente con privilegi avanzati, controlla che Richard sia l'unico utente con privilegi avanzati configurato per il servizio Azure Rights Management e quindi abilita la funzionalità per utenti con privilegi avanzati in modo che Richard sia in grado di decrittografare alcuni file che sono stati protetti da un dipendente che ora ha lasciato l'azienda.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opzioni di scripting per gli utenti con privilegi avanzati

L'utente a cui viene assegnato il ruolo di utente con privilegi avanzati per Azure Rights Management deve spesso rimuovere la protezione da più file, in più posizioni. Anche se è possibile eseguire questa operazione manualmente, è più efficiente (e spesso più affidabile) eseguire lo script usando il cmdlet Set-AIPFileLabel .

Se si usano la classificazione e la protezione, è possibile usare anche Set-AIPFileLabel per applicare una nuova etichetta che non applica la protezione oppure rimuovere l'etichetta che ha applicato la protezione.

Per maggiori informazioni su questi cmdlet, vedere Uso di PowerShell con il client Azure Information Protection nella guida dell'amministratore del client Azure Information Protection.

Nota

Il modulo AzureInformationProtection è diverso da e integra il modulo PowerShell AIPService che gestisce il servizio Azure Rights Management per Azure Information Protection.

Rimozione della protezione nei file PST

Per rimuovere la protezione nei file PST, è consigliabile usare eDiscovery da Microsoft Purview per cercare ed estrarre messaggi di posta elettronica protetti e allegati protetti nei messaggi di posta elettronica.

La capacità utente con privilegi avanzati viene integrata automaticamente con Exchange Online in modo che eDiscovery nella Portale di conformità di Microsoft Purview possa cercare elementi crittografati prima dell'esportazione o decrittografare la posta elettronica crittografata all'esportazione.

Se non è possibile usare Microsoft Purview eDiscovery, potrebbe essere disponibile un'altra soluzione eDiscovery che si integra con il servizio Azure Rights Management per un motivo simile ai dati.

In alternativa, se la soluzione eDiscovery non è in grado di leggere e decrittografare automaticamente il contenuto protetto, è comunque possibile usare questa soluzione in un processo in più passaggi insieme al cmdlet Set-AIPFileLabel :

  1. Esportare il messaggio di posta elettronica in questione in un file PST da Exchange Online o Exchange Server oppure dalla workstation in cui l'utente ha archiviato la posta elettronica.

  2. Importare il file PST nello strumento di eDiscovery. Poiché lo strumento non è in grado di leggere il contenuto protetto, è probabile che questi elementi generino errori.

  3. Da tutti gli elementi che lo strumento non è riuscito ad aprire, generare un nuovo file PST contenente solo gli elementi protetti. Questo secondo file PST avrà probabilmente dimensioni molto inferiori rispetto al file PST originale.

  4. Eseguire Set-AIPFileLabel su questo secondo file PST per decrittografare il contenuto di questo file molto più piccolo. Dall'output, importare il file PST decrittografato nello strumento di individuazione.

Per informazioni più dettagliate e altre indicazioni per l'esecuzione di eDiscovery su cassette postali e file PST, vedere il post di blog seguente: Azure Information Protection and eDiscovery Processes (Azure Information Protection e processi di eDiscovery).