Konfigurowanie administratorów usługi Azure Information Protection i usług odnajdywania lub odzyskiwania danych

Dzięki funkcji superużytkowników usługi Azure Rights Management w ramach usługi Azure Information Protection upoważnione osoby i usługi mogą zawsze odczytywać i sprawdzać dane chronione w organizacji przez usługę Azure Rights Management. W razie potrzeby ochronę można usunąć lub zmienić.

Administrator ma zawsze w usłudze Rights Management prawo użytkowania typu Pełna kontrola w odniesieniu do dokumentów i wiadomości e-mail chronionych przez dzierżawę usługi Azure Information Protection w organizacji. Ta możliwość jest czasami określana jako "rozumowanie nad danymi" i jest kluczowym elementem w utrzymaniu kontroli nad danymi organizacji. Przykładowo z tej funkcji można skorzystać w każdym z następujących scenariuszy:

  • Pracownik opuszcza organizację i zachodzi potrzeba odczytania plików, które zabezpieczył.

  • Administrator IT musi usunąć bieżące zasady ochrony skonfigurowane dla plików i zastosować nowe zasady ochrony.

  • Serwer programu Exchange musi indeksować skrzynki pocztowe na potrzeby operacji wyszukiwania.

  • Masz istniejące usługi IT związane z rozwiązaniami zapobiegania utracie danych (DLP), bramy szyfrowania zawartości (CEG) i produkty chroniące przed złośliwym oprogramowaniem, które muszą sprawdzić już zabezpieczone pliki.

  • Musisz zbiorczo odszyfrować pliki w związku z audytem, kwestiami prawnymi lub innymi kwestiami dotyczącymi zgodności.

Konfiguracja funkcji administratora

Domyślnie funkcja superużytkowników nie jest włączona i żadni użytkownicy nie są przypisani do tej roli. Jest ona włączona automatycznie w przypadku skonfigurowania łącznika usługi Rights Management dla programu Exchange i nie jest wymagana w przypadku usług standardowych z uruchomionymi usługami Exchange Online, Microsoft Sharepoint Server lub SharePoint na platformie Microsoft 365.

Jeśli musisz ręcznie włączyć funkcję superużytkownika, użyj polecenia cmdlet Programu PowerShell Enable-AipServiceSuperUserFeature, a następnie przypisz użytkowników (lub konta usług) zgodnie z potrzebami przy użyciu polecenia cmdlet Add-AipServiceSuperUserUser lub polecenia cmdlet Set-AipServiceSuperUserGroup i dodaj użytkowników (lub inne grupy) zgodnie z potrzebami do tej grupy.

Chociaż użycie grupy dla superużytkowników jest łatwiejsze w zarządzaniu, należy pamiętać, że ze względu na wydajność w usłudze Azure Rights Management członkostwo w grupie jest buforowane. Jeśli więc musisz przypisać nowego użytkownika jako superużytkownika do natychmiastowego odszyfrowywania zawartości, dodaj tego użytkownika przy użyciu polecenia Add-AipServiceSuperUser, zamiast dodawać użytkownika do istniejącej grupy skonfigurowanej przy użyciu polecenia Set-AipServiceSuperUserGroup.

Uwaga

Nie ma znaczenia, kiedy włączysz funkcję superuchemitkownika lub kiedy dodasz użytkowników jako superu użytkowników. Jeśli na przykład włączysz funkcję w czwartek, a następnie dodaj użytkownika w piątek, użytkownik może natychmiast otworzyć zawartość chronioną na początku tygodnia.

Najlepsze rozwiązania w zakresie zabezpieczeń funkcji superuchemisj

  • Ogranicz i monitoruj administratorów, którym przypisano administratora globalnego dla dzierżawy usługi Microsoft 365 lub Azure Information Protection lub którzy mają przypisaną rolę GlobalAdministrator przy użyciu polecenia cmdlet Add-AipServiceRoleBasedAdministrator. Ci użytkownicy mogą włączyć funkcję superużytkowników i przypisywać użytkowników (w tym siebie) do funkcji superużytkowników. Mogą też potencjalnie odszyfrować wszystkie pliki chronione w organizacji.

  • Aby zobaczyć, którzy użytkownicy i konta usług są indywidualnie przypisywani jako superużytkownicy, użyj polecenia cmdlet Get-AipServiceSuperUser .

  • Aby sprawdzić, czy skonfigurowano grupę superużytkowników, użyj polecenia cmdlet Get-AipServiceSuperUserGroup i standardowych narzędzi do zarządzania użytkownikami, aby sprawdzić, którzy użytkownicy są członkami tej grupy.

  • Podobnie jak wszystkie akcje administracyjne, włączanie lub wyłączanie super funkcji oraz dodawanie lub usuwanie superuczesnych użytkowników jest rejestrowane i można przeprowadzić inspekcję za pomocą polecenia Get-AipServiceAdminLog . Na przykład zobacz Przykład inspekcji dla funkcji administratora.

  • Po odszyfrowaniu plików przez superu użytkowników ta akcja jest rejestrowana i można przeprowadzić inspekcję przy użyciu rejestrowania użycia.

    Uwaga

    Dzienniki zawierają szczegółowe informacje dotyczące odszyfrowywania, w tym użytkownika, który odszyfrował plik, nie są one uwzględniane, gdy użytkownik jest superuchemitkownikiem. Użyj dzienników wraz z poleceniami cmdlet wymienionymi powyżej, aby najpierw zebrać listę superuczesnych użytkowników, które można zidentyfikować w dziennikach.

  • Jeśli nie potrzebujesz funkcji superużytkownika dla codziennych usług, włącz tę funkcję tylko wtedy, gdy jej potrzebujesz, i wyłącz ją ponownie przy użyciu polecenia cmdlet Disable-AipServiceSuperUserFeature .

Przykład inspekcji dla funkcji administratora

Poniższy wyodrębnienie dziennika przedstawia przykładowe wpisy z polecenia cmdlet Get-AipServiceAdminLog .

W tym przykładzie administrator firmy Contoso Ltd potwierdza, że funkcja superużytkowników jest wyłączona, dodaje użytkownika Richard Simone jako superużytkownika, sprawdza, czy Richard jest jedynym superużytkownikiem skonfigurowanym dla usługi Azure Rights Management, a następnie włącza funkcję superużytkownika. Dzięki temu Richard może teraz odszyfrować pliki zabezpieczone przez byłego pracownika firmy.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opcje obsługi skryptów dla superużytkowników

Często osoba, która ma przypisaną administratora usługi Azure Rights Management, musi usunąć ochronę z wielu plików w wielu lokalizacjach. Chociaż można to zrobić ręcznie, jest to bardziej wydajne (i często bardziej niezawodne) skrypt przy użyciu polecenia cmdlet Set-AIPFileLabel .

Jeśli korzystasz z klasyfikacji i ochrony, możesz również użyć polecenia Set-AIPFileLabel w celu zastosowania nowej etykiety, która nie spowoduje zastosowania ochrony, lub usunąć etykietę, która powodowała zastosowanie ochrony.

Aby uzyskać więcej informacji na temat wymienionych poleceń cmdlet, zobacz sekcję Używanie środowiska PowerShell z klientem usługi Azure Information Protection w podręczniku administratora klienta usługi Azure Information Protection.

Uwaga

Moduł AzureInformationProtection różni się od modułu AIPService PowerShell, który zarządza usługą Azure Rights Management dla usługi Azure Information Protection.

Usuwanie ochrony plików PST

Aby usunąć ochronę plików PST, zalecamy używanie zbierania elektronicznych materiałów dowodowych z usługi Microsoft Purview do wyszukiwania i wyodrębniania chronionych wiadomości e-mail oraz chronionych załączników w wiadomościach e-mail.

Możliwość superu użytkownika jest automatycznie zintegrowana z Exchange Online, aby funkcja zbierania elektronicznych materiałów dowodowych w portal zgodności Microsoft Purview mogła wyszukiwać zaszyfrowane elementy przed eksportowaniem lub odszyfrowywać zaszyfrowaną wiadomość e-mail podczas eksportowania.

Jeśli nie możesz użyć Zbieranie elektronicznych materiałów dowodowych w Microsoft Purview, może istnieć inne rozwiązanie zbierania elektronicznych materiałów dowodowych, które integruje się z usługą Azure Rights Management, aby podobnie uzasadnić dane.

Jeśli rozwiązanie zbierania elektronicznych materiałów dowodowych nie może automatycznie odczytywać i odszyfrowywać chronionej zawartości, nadal możesz użyć tego rozwiązania w procesie wieloetapowym razem z poleceniem cmdlet Set-AIPFileLabel :

  1. Wyeksportuj wiadomość e-mail do pliku PST z Exchange Online lub Exchange Server albo z stacji roboczej, na której użytkownik przechowywał swoją wiadomość e-mail.

  2. Zaimportuj plik PST do narzędzia zbierania elektronicznych materiałów dowodowych. Ponieważ narzędzie nie może odczytać chronionej zawartości, oczekuje się, że te elementy będą generować błędy.

  3. Ze wszystkich elementów, których narzędzie nie mogło otworzyć, wygeneruj nowy plik PST, który tym razem zawiera tylko chronione elementy. Ten drugi plik PST prawdopodobnie będzie znacznie mniejszy niż oryginalny plik PST.

  4. Uruchom polecenie Set-AIPFileLabel na tym drugim pliku PST, aby odszyfrować zawartość tego znacznie mniejszego pliku. Z danych wyjściowych zaimportuj teraz odszyfrowany plik PST do narzędzia odnajdywania.

Aby uzyskać bardziej szczegółowe informacje i wskazówki dotyczące przeprowadzania zbierania elektronicznych materiałów dowodowych w skrzynkach pocztowych i plikach PST, zobacz następujący wpis w blogu: Azure Information Protection i procesy zbierania elektronicznych materiałów dowodowych.