Supergebruikers configureren voor Azure Information Protection en detectieservices of gegevensherstel

De functie van supergebruiker van de Azure Rights Management-service van Azure Information Protection garandeert dat gemachtigde personen en services de gegevens die voor uw organisatie worden beveiligd met Azure Rights Management, altijd kunnen lezen en controleren. Indien nodig kan de beveiliging vervolgens worden verwijderd of gewijzigd.

Een supergebruiker beschikt altijd over het gebuiksrecht Rights Management Full Control voor documenten en e-mailberichten die door de Azure Information Protection-tenant van uw bedrijf zijn beveiligd. Deze mogelijkheid wordt soms aangeduid als 'redenering over gegevens' en is een cruciaal element bij het behouden van de controle over de gegevens van uw organisatie. U zou deze functie bijvoorbeeld kunnen gebruiken voor een van de volgende scenario's:

  • Een werknemer verlaat de organisatie en u moet de bestanden lezen die door hem/haar zijn beveiligd.

  • Een IT-beheerder moet het huidige beveiligingsbeleid verwijderen dat is geconfigureerd voor bestanden en een nieuw beveiligingsbeleid toepassen.

  • Exchange-Server moet postvakken indexeren voor zoekopdrachten.

  • U hebt bestaande IT-services voor het voorkomen van gegevensverlies (DLP), gateways voor de versleuteling van inhoud (CEG) en anti-malwareproducten die nodig zijn om bestanden te controleren die al worden beveiligd.

  • U moet bulksgewijs bestanden ontsleutelen ten behoeve van controle, om juridische redenen of om andere nalevingsredenen.

Configuratie voor de functie supergebruiker

Standaard is de functie van supergebruiker niet ingeschakeld en zijn er geen gebruikers aan deze rol toegewezen. Deze functie wordt automatisch ingeschakeld als u de Rights Management-connector voor Exchange configureert en deze niet is vereist voor standaardservices die worden uitgevoerd Exchange Online, Microsoft Sharepoint Server of SharePoint in Microsoft 365.

Als u de functie voor supergebruikers handmatig wilt inschakelen, gebruikt u de PowerShell-cmdlet Enable-AipServiceSuperUserFeature en wijst u gebruikers (of serviceaccounts) indien nodig toe met behulp van de cmdlet Add-AipServiceSuperUser of de cmdlet Set-AipServiceSuperUserGroup en voegt u gebruikers (of andere groepen) indien nodig toe aan deze groep.

Hoewel het eenvoudiger is om een groep met supergebruikers te beheren, slaat Azure Rights Management om prestatieredenen het groepslidmaatschap op in de cache. Dus als u een nieuwe gebruiker moet toewijzen als supergebruiker om inhoud onmiddellijk te ontsleutelen, voegt u die gebruiker toe met behulp van Add-AipServiceSuperUser, in plaats van de gebruiker toe te voegen aan een bestaande groep die u hebt geconfigureerd met set-AipServiceSuperUserGroup.

Notitie

Het maakt niet uit wanneer u de functie supergebruiker inschakelt of wanneer u gebruikers toevoegt als supergebruikers. Als u bijvoorbeeld de functie op donderdag inschakelt en vervolgens een gebruiker op vrijdag toevoegt, kan die gebruiker direct inhoud openen die aan het begin van de week is beveiligd.

Aanbevolen beveiligingsprocedures voor de functie supergebruiker

  • Beperk en bewaak de beheerders aan wie een globale beheerder is toegewezen voor uw Microsoft 365- of Azure Information Protection-tenant, of die de rol GlobalAdministrator hebben toegewezen met behulp van de cmdlet Add-AipServiceRoleBasedAdministrator. Deze gebruikers kunnen de functie van supergebruiker inschakelen en gebruikers (en zichzelf) toewijzen als supergebruiker en mogelijk alle bestanden ontsleutelen die door uw organisatie worden beveiligd.

  • Gebruik de cmdlet Get-AipServiceSuperUser om te zien welke gebruikers en serviceaccounts afzonderlijk als supergebruikers worden toegewezen.

  • Als u wilt zien of een supergebruikersgroep is geconfigureerd, gebruikt u de cmdlet Get-AipServiceSuperUserGroup en uw standaardhulpprogramma's voor gebruikersbeheer om te controleren welke gebruikers lid zijn van deze groep.

  • Net als alle beheeracties, het in- of uitschakelen van de superfunctie en het toevoegen of verwijderen van supergebruikers, worden geregistreerd en kan worden gecontroleerd met behulp van de opdracht Get-AipServiceAdminLog . Zie bijvoorbeeld Voorbeeldcontrole voor de functie supergebruiker.

  • Wanneer supergebruikers bestanden ontsleutelen, wordt deze actie in het logboek geregistreerd en kan dit worden gecontroleerd met logboekregistratie van gebruik.

    Notitie

    Hoewel de logboeken details bevatten over de ontsleuteling, met inbegrip van de gebruiker die het bestand heeft ontsleuteld, noteren ze niet wanneer de gebruiker een supergebruiker is. Gebruik de logboeken samen met de bovenstaande cmdlets om eerst een lijst met supergebruikers te verzamelen die u in de logboeken kunt identificeren.

  • Als u de functie supergebruiker niet nodig hebt voor dagelijkse services, schakelt u de functie alleen in wanneer u deze nodig hebt en schakelt u deze opnieuw uit met behulp van de cmdlet Disable-AipServiceSuperUserFeature .

Voorbeeldcontrole voor de functie supergebruiker

In het volgende logboekextract ziet u enkele voorbeeldvermeldingen van het gebruik van de Cmdlet Get-AipServiceAdminLog .

In dit voorbeeld bevestigt de beheerder van Contoso Ltd dat de functie van supergebruiker is uitgeschakeld, voegt deze Richard Simone toe als supergebruiker, controleert deze of Richard de enige supergebruiker is die is geconfigureerd voor de Azure Rights Management-service en schakelt deze vervolgens de functie van supergebruiker in, zodat Richard nu bepaalde bestanden kan ontsleutelen die zijn beveiligd door een werknemer die het bedrijf heeft verlaten.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Scriptopties voor supergebruikers

Vaak moet iemand aan wie een supergebruiker is toegewezen voor Azure Rights Management de beveiliging van meerdere bestanden op meerdere locaties verwijderen. Hoewel het mogelijk is om dit handmatig te doen, is het efficiënter (en vaak betrouwbaarder) om dit te scripten met behulp van de cmdlet Set-AIPFileLabel .

Als u classificatie en beveiliging gebruikt, kunt u ook Set-AIPFileLabel gebruiken om een nieuwe label toe te passen waarmee geen beveiliging wordt toegepast, of om het label waarmee beveiliging wordt toegepast, te verwijderen.

Zie de sectie PowerShell gebruiken met de Azure Informatie Protection-client in de beheerdershandleiding voor de Azure Information Protection-client voor meer informatie over deze cmdlets.

Notitie

De AzureInformationProtection-module verschilt van en vormt een aanvulling op de AIPService PowerShell-module die de Azure Rights Management-service voor Azure Information Protection beheert.

Beveiliging op PST-bestanden verwijderen

Als u de beveiliging van PST-bestanden wilt verwijderen, raden we u aan eDiscovery van Microsoft Purview te gebruiken om beveiligde e-mailberichten en beveiligde bijlagen in e-mailberichten te zoeken en te extraheren.

De mogelijkheid van supergebruikers wordt automatisch geïntegreerd met Exchange Online, zodat eDiscovery in de Microsoft Purview-nalevingsportal kan zoeken naar versleutelde items voordat ze worden geëxporteerd of versleutelde e-mail ontsleutelen tijdens de export.

Als u Microsoft Purview eDiscovery niet kunt gebruiken, hebt u mogelijk een andere eDiscovery-oplossing die kan worden geïntegreerd met de Azure Rights Management-service om vergelijkbare reden te hebben ten opzichte van gegevens.

Als uw eDiscovery-oplossing beveiligde inhoud niet automatisch kan lezen en ontsleutelen, kunt u deze oplossing nog steeds gebruiken in een proces met meerdere stappen, samen met de cmdlet Set-AIPFileLabel :

  1. Exporteer de betreffende e-mail naar een PST-bestand vanuit Exchange Online of Exchange Server, of vanaf het werkstation waar de gebruiker zijn e-mail heeft opgeslagen.

  2. Importeer het PST-bestand in uw eDiscovery-hulpprogramma. Omdat het hulpprogramma beveiligde inhoud niet kan lezen, wordt verwacht dat deze items fouten genereren.

  3. Genereer vanuit alle items die het hulpprogramma niet kon openen een nieuw PST-bestand dat deze keer alleen beveiligde items bevat. Dit tweede PST-bestand is waarschijnlijk veel kleiner dan het oorspronkelijke PST-bestand.

  4. Voer Set-AIPFileLabel uit op dit tweede PST-bestand om de inhoud van dit veel kleinere bestand te ontsleutelen. Importeer vanuit de uitvoer het nu ontsleutelde PST-bestand in uw detectieprogramma.

Zie de volgende blogpost voor meer gedetailleerde informatie en richtlijnen voor het uitvoeren van eDiscovery in postvakken en PST-bestanden: Azure Information Protection en eDiscovery-processen.