Delen via


Supergebruikers configureren voor Azure Information Protection en detectieservices of gegevensherstel

De supergebruikerfunctie van de Azure Rights Management-service van Azure Information Protection zorgt ervoor dat geautoriseerde personen en services de gegevens die Azure Rights Management voor uw organisatie beveiligt, altijd kunnen lezen en inspecteren. Indien nodig kan de beveiliging vervolgens worden verwijderd of gewijzigd.

Een supergebruiker heeft altijd het rights management-gebruiksrecht voor volledig beheer voor documenten en e-mailberichten die zijn beveiligd door de Azure Information Protection-tenant van uw organisatie. Deze mogelijkheid wordt soms 'redeneren over gegevens' genoemd en is een cruciaal element bij het beheren van de gegevens van uw organisatie. U gebruikt deze functie bijvoorbeeld voor een van de volgende scenario's:

  • Een werknemer verlaat de organisatie en u moet de bestanden lezen die ze hebben beveiligd.

  • Een IT-beheerder moet het huidige beveiligingsbeleid verwijderen dat is geconfigureerd voor bestanden en een nieuw beveiligingsbeleid toepassen.

  • Exchange Server moet postvakken indexeren voor zoekbewerkingen.

  • U hebt bestaande IT-services voor DLP-oplossingen (preventie van gegevensverlies), gateways voor inhoudsversleuteling (CEG) en antimalwareproducten die bestanden moeten inspecteren die al zijn beveiligd.

  • U moet bestanden bulksgewijs ontsleutelen om redenen van controle, juridische of andere naleving.

Configuratie voor de functie supergebruiker

De functie supergebruiker is standaard niet ingeschakeld en er zijn geen gebruikers aan deze rol toegewezen. Deze functie is automatisch ingeschakeld als u de Rights Management-connector voor Exchange configureert en deze niet vereist is voor standaardservices waarop Exchange Online, Microsoft Sharepoint Server of SharePoint wordt uitgevoerd in Microsoft 365.

Als u de functie voor supergebruikers handmatig wilt inschakelen, gebruikt u de PowerShell-cmdlet Enable-AipServiceSuperUserFeature en wijst u gebruikers (of serviceaccounts) indien nodig toe met behulp van de cmdlet Add-AipServiceSuperUser of de cmdlet Set-AipServiceSuperUserGroup en voegt u gebruikers (of andere groepen) toe indien nodig aan deze groep.

Hoewel het gebruik van een groep voor uw supergebruikers gemakkelijker te beheren is, moet u er rekening mee houden dat Azure Rights Management om prestatieredenen het groepslidmaatschap in de cache opgeslagen. Dus als u een nieuwe gebruiker moet toewijzen als supergebruiker om inhoud onmiddellijk te ontsleutelen, voegt u die gebruiker toe met behulp van Add-AipServiceSuperUser in plaats van de gebruiker toe te voegen aan een bestaande groep die u hebt geconfigureerd met set-AipServiceSuperUserGroup.

Notitie

  • Wanneer u een gebruiker toevoegt met de cmdlet Add-AipServiceSuperUser , moet u ook het primaire e-mailadres of de principalnaam van de gebruiker toevoegen aan de groep. E-mailaliassen worden niet geëvalueerd.

  • Zie De AIPService PowerShell-module installeren als u de Windows PowerShell-module voor Azure Rights Management nog niet hebt geïnstalleerd.

Het maakt niet uit wanneer u de functie supergebruiker inschakelt of wanneer u gebruikers toevoegt als supergebruikers. Als u bijvoorbeeld de functie op donderdag inschakelt en vervolgens een gebruiker op vrijdag toevoegt, kan die gebruiker direct inhoud openen die aan het begin van de week is beveiligd.

Aanbevolen beveiligingsprocedures voor de functie supergebruiker

  • Beperk en controleer de beheerders aan wie een globale beheerder is toegewezen voor uw Microsoft 365- of Azure Information Protection-tenant of aan wie de rol Global Beheer istrator is toegewezen met behulp van de cmdlet Add-AipServiceRoleBased Beheer istrator. Deze gebruikers kunnen de functie supergebruiker inschakelen en gebruikers (en zichzelf) toewijzen als supergebruikers en mogelijk alle bestanden ontsleutelen die uw organisatie beveiligt.

  • Als u wilt zien welke gebruikers en serviceaccounts afzonderlijk worden toegewezen als supergebruikers, gebruikt u de cmdlet Get-AipServiceSuperUser .

  • Als u wilt zien of een supergebruikersgroep is geconfigureerd, gebruikt u de cmdlet Get-AipServiceSuperUserGroup en uw standaardhulpprogramma's voor gebruikersbeheer om te controleren welke gebruikers lid zijn van deze groep.

  • Net zoals alle beheeracties, het in- of uitschakelen van de superfunctie en het toevoegen of verwijderen van supergebruikers, worden geregistreerd en kunnen ze worden gecontroleerd met behulp van de opdracht Get-AipService Beheer Log. Zie voorbeeldcontrole voor de functie supergebruiker.

  • Wanneer supergebruikers bestanden ontsleutelen, wordt deze actie geregistreerd en kan deze worden gecontroleerd met gebruikslogboekregistratie.

    Notitie

    Hoewel de logboeken details bevatten over de ontsleuteling, inclusief de gebruiker die het bestand heeft ontsleuteld, noteren ze niet wanneer de gebruiker een supergebruiker is. Gebruik de logboeken samen met de bovenstaande cmdlets om eerst een lijst met supergebruikers te verzamelen die u in de logboeken kunt identificeren.

  • Als u de functie supergebruiker niet nodig hebt voor dagelijkse services, schakelt u de functie alleen in wanneer u deze nodig hebt en schakelt u deze opnieuw uit met behulp van de cmdlet Disable-AipServiceSuperUserFeature .

Voorbeeld van controle voor de functie supergebruiker

In het volgende logboekextract ziet u enkele voorbeeldvermeldingen van het gebruik van de Cmdlet Get-AipService Beheer Log.

In dit voorbeeld bevestigt de beheerder voor Contoso Ltd dat de functie voor supergebruiker is uitgeschakeld, voegt Richard Resource toe als supergebruiker, controleert of Richard de enige supergebruiker is die is geconfigureerd voor de Azure Rights Management-service en schakelt vervolgens de functie supergebruiker in, zodat Richard nu enkele bestanden kan ontsleutelen die zijn beveiligd door een werknemer die nu het bedrijf heeft verlaten.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Scriptopties voor supergebruikers

Vaak moet iemand aan wie een supergebruiker voor Azure Rights Management is toegewezen, de beveiliging van meerdere bestanden op meerdere locaties verwijderen. Hoewel het mogelijk is om dit handmatig te doen, is het efficiënter (en vaak betrouwbaarder) om dit te scripten met behulp van de cmdlet Set-AIPFileLabel .

Als u classificatie en beveiliging gebruikt, kunt u ook set-AIPFileLabel gebruiken om een nieuw label toe te passen dat geen beveiliging toepast of het label waarop beveiliging is toegepast, te verwijderen.

Zie PowerShell gebruiken met de Azure Information Protection-client in de beheerdershandleiding van de Azure Information Protection-client voor meer informatie over deze cmdlets.

Notitie

De AzureInformationProtection-module verschilt van en vormt een aanvulling op de AIPService PowerShell-module die de Azure Rights Management-service voor Azure Information Protection beheert.

Beveiliging voor PST-bestanden verwijderen

Als u de beveiliging van PST-bestanden wilt verwijderen, wordt u aangeraden eDiscovery van Microsoft Purview te gebruiken om beveiligde e-mailberichten en beveiligde bijlagen in e-mailberichten te zoeken en te extraheren.

De mogelijkheid van supergebruikers wordt automatisch geïntegreerd met Exchange Online, zodat eDiscovery in de Microsoft Purview-nalevingsportal kan zoeken naar versleutelde items voordat ze worden geëxporteerd of versleutelde e-mail ontsleutelen tijdens de export.

Als u Microsoft Purview eDiscovery niet kunt gebruiken, hebt u mogelijk een andere eDiscovery-oplossing die kan worden geïntegreerd met de Azure Rights Management-service om op dezelfde manier reden te hebben voor gegevens.

Als uw eDiscovery-oplossing beveiligde inhoud niet automatisch kan lezen en ontsleutelen, kunt u deze oplossing nog steeds gebruiken in een proces met meerdere stappen, samen met de cmdlet Set-AIPFileLabel :

  1. Exporteer het betreffende e-mailbericht naar een PST-bestand vanuit Exchange Online of Exchange Server, of vanaf het werkstation waar de gebruiker zijn e-mail heeft opgeslagen.

  2. Importeer het PST-bestand in uw eDiscovery-hulpprogramma. Omdat het hulpprogramma beveiligde inhoud niet kan lezen, wordt verwacht dat deze items fouten genereren.

  3. Genereer vanuit alle items die het hulpprogramma niet kon openen een nieuw PST-bestand dat deze keer alleen beveiligde items bevat. Dit tweede PST-bestand is waarschijnlijk veel kleiner dan het oorspronkelijke PST-bestand.

  4. Voer Set-AIPFileLabel uit op dit tweede PST-bestand om de inhoud van dit veel kleinere bestand te ontsleutelen. Importeer vanuit de uitvoer het nu ontsleutelde PST-bestand in uw detectieprogramma.

Zie het volgende blogbericht voor meer informatie en richtlijnen voor het uitvoeren van eDiscovery in postvakken en PST-bestanden: Azure Information Protection en eDiscovery-processen.