Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La funzionalità utente con privilegi avanzati del servizio Azure Rights Management di Microsoft Purview Information Protection garantisce che le persone e i servizi autorizzati possano sempre leggere ed esaminare i dati crittografati da Azure Rights Management per l'organizzazione. Se necessario, la protezione della crittografia può quindi essere rimossa o modificata.
Un utente con privilegi avanzati ha sempre il diritto di utilizzo di Rights Management Full Control per i documenti e i messaggi di posta elettronica crittografati dal tenant dell'organizzazione. Questa capacità viene talvolta definita "ragionamento sui dati" ed è un elemento fondamentale per mantenere il controllo dei dati dell'organizzazione. Ad esempio, è possibile usare questa funzionalità per uno degli scenari seguenti:
Un dipendente lascia l'organizzazione ed è necessario leggere i file crittografati.
Un amministratore IT deve rimuovere le impostazioni di crittografia correnti configurate per i file e applicare nuove impostazioni di crittografia.
Exchange Server deve indicizzare le cassette postali per le operazioni di ricerca.
Sono disponibili servizi IT esistenti per soluzioni di prevenzione della perdita dei dati (DLP), gateway di crittografia del contenuto (CEG) e prodotti antimalware che devono esaminare i file già crittografati.
È necessario decrittografare in blocco i file per motivi di controllo, legali o altri motivi di conformità.
Configurazione per la funzionalità utente con privilegi avanzati
Per impostazione predefinita, la funzionalità utente con privilegi avanzati non è abilitata e a questo ruolo non sono assegnati utenti. Viene abilitato automaticamente se si configura il connettore Rights Management per Exchange e non è necessario per i servizi standard che eseguono Exchange Online, Microsoft SharePoint Server o SharePoint in Microsoft 365.
Se è necessario abilitare manualmente la funzionalità utente con privilegi avanzati, usare il cmdlet di PowerShell Enable-AipServiceSuperUserFeature e quindi assegnare gli utenti (o gli account del servizio) in base alle esigenze usando il cmdlet Add-AipServiceSuperUser o il cmdlet Set-AipServiceSuperUserGroup e aggiungere utenti (o altri gruppi) in base alle esigenze di questo gruppo.
Anche se l'uso di un gruppo per gli utenti con privilegi avanzati è più facile da gestire, per motivi di prestazioni, il servizio Azure Rights Management memorizza nella cache l'appartenenza al gruppo. Pertanto, se è necessario assegnare un nuovo utente come utente con privilegi avanzati per decrittografare immediatamente il contenuto, aggiungere l'utente usando Add-AipServiceSuperUser, anziché aggiungere l'utente a un gruppo esistente configurato tramite Set-AipServiceSuperUserGroup.
Nota
Quando si aggiunge un utente con il cmdlet Add-AipServiceSuperUser , è anche necessario aggiungere l'indirizzo di posta primaria o il nome dell'entità utente al gruppo. Email alias non vengono valutati.
Se non è ancora stato installato il modulo Windows PowerShell per Azure Rights Management, vedere Installare il modulo PowerShell AIPService per il servizio Azure Right Management.
Non importa quando si abilita la funzionalità utente con privilegi avanzati o quando si aggiungono utenti come utenti con privilegi avanzati. Ad esempio, se si abilita la funzionalità il giovedì e quindi si aggiunge un utente il venerdì, tale utente può aprire immediatamente il contenuto protetto all'inizio della settimana.
Procedure consigliate per la sicurezza per la funzionalità utente con privilegi avanzati
Limitare e monitorare gli amministratori a cui è assegnato un amministratore globale per il tenant o a cui viene assegnato il ruolo GlobalAdministrator usando il cmdlet Add-AipServiceRoleBasedAdministrator . Questi utenti possono abilitare la funzionalità utente con privilegi avanzati e assegnare gli utenti (e se stessi) come utenti con privilegi avanzati e potenzialmente decrittografare tutti i file crittografati dall'organizzazione.
Per visualizzare gli utenti e gli account del servizio assegnati singolarmente come utenti con privilegi avanzati, usare il cmdlet Get-AipServiceSuperUser .
Per verificare se è configurato un gruppo di utenti con privilegi avanzati, usare il cmdlet Get-AipServiceSuperUserGroup e gli strumenti di gestione utente standard per verificare quali utenti sono membri di questo gruppo.
Come tutte le azioni di amministrazione, l'abilitazione o la disabilitazione della funzionalità con privilegi avanzati e l'aggiunta o la rimozione di utenti con privilegi avanzati vengono registrate e possono essere controllate tramite il comando Get-AipServiceAdminLog . Ad esempio, vedere Controllo di esempio per la funzionalità utente con privilegi avanzati.
Quando gli utenti con privilegi avanzati decrittografare i file, questa azione viene registrata e può essere verificata con la registrazione dell'utilizzo.
Nota
Anche se i log includono dettagli sulla decrittografia, incluso l'utente che ha decrittografato il file, non sono dettagliati quando l'utente è un utente con privilegi avanzati.
Usare i log insieme ai cmdlet elencati in precedenza per raccogliere prima un elenco di utenti con privilegi avanzati che è possibile identificare nei log.
Se non è necessaria la funzionalità utente con privilegi avanzati per i servizi quotidiani, abilitare la funzionalità solo quando è necessaria e disabilitarla di nuovo usando il cmdlet Disable-AipServiceSuperUserFeature .
Controllo di esempio per la funzionalità utente con privilegi avanzati
L'estrazione di log seguente mostra alcune voci di esempio dall'uso del cmdlet Get-AipServiceAdminLog .
In questo esempio, l'amministratore di Contoso Ltd conferma che la funzionalità utente con privilegi avanzati è disabilitata, aggiunge Richard Simone come utente con privilegi avanzati, verifica che Richard sia l'unico utente con privilegi avanzati configurato per il servizio Azure Rights Management e quindi abilita la funzionalità utente con privilegi avanzati in modo che Richard possa decrittografare alcuni file protetti da un dipendente che ora ha lasciato l'azienda.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Opzioni di scripting per utenti con privilegi avanzati
Spesso, qualcuno a cui viene assegnato un utente con privilegi avanzati per Azure Rights Management deve rimuovere la crittografia da più file, in più posizioni. Anche se è possibile eseguire questa attività manualmente, è più efficiente (e spesso più affidabile) creare script usando il cmdlet Set-FileLabel .
È anche possibile usare questo cmdlet per applicare una nuova etichetta che non applica la crittografia o rimuovere l'etichetta che ha applicato la crittografia.
Per altre informazioni su questi cmdlet, vedere Usare PowerShell con il client Microsoft Purview Information Protection nella documentazione di PowerShell PurviewInformationProtection.
Nota
Il modulo PurviewInformationProtection è diverso da e integra il modulo PowerShell AIPService che gestisce il servizio Azure Rights Management per Microsoft Purview Information Protection.
Rimozione della crittografia dai file PST
Per rimuovere la crittografia dai file PST, è consigliabile usare eDiscovery da Microsoft Purview per cercare ed estrarre messaggi di posta elettronica crittografati e allegati crittografati nei messaggi di posta elettronica.
La funzionalità utente con privilegi avanzati viene integrata automaticamente con Exchange Online in modo che eDiscovery nel portale di Microsoft Purview possa cercare elementi crittografati prima dell'esportazione o decrittografare la posta elettronica crittografata all'esportazione.
Se non è possibile usare Microsoft Purview eDiscovery, potrebbe essere disponibile un'altra soluzione eDiscovery che si integra con il servizio Azure Rights Management per ragionare in modo analogo sui dati.
In alternativa, se la soluzione eDiscovery non è in grado di leggere e decrittografare automaticamente il contenuto protetto, è comunque possibile usare questa soluzione in un processo in più passaggi insieme al cmdlet Set-FileLabel :
Esportare il messaggio di posta elettronica in questione in un file PST da Exchange Online o Exchange Server o dalla workstation in cui l'utente ha archiviato il messaggio di posta elettronica.
Importare il file PST nello strumento eDiscovery. Poiché lo strumento non è in grado di leggere il contenuto crittografato, è previsto che questi elementi generino errori.
Da tutti gli elementi che lo strumento non è riuscito ad aprire, generare un nuovo file PST che questa volta contiene solo elementi crittografati. Questo secondo file PST sarà probabilmente molto più piccolo del file PST originale.
Eseguire Set-FileLabel in questo secondo file PST per decrittografare il contenuto di questo file molto più piccolo. Dall'output importare il file PST decrittografato nello strumento di individuazione.
Per informazioni più dettagliate e indicazioni per l'esecuzione di eDiscovery tra cassette postali e file PST, vedere il post di blog seguente: Processi di Azure Information Protection ed eDiscovery.