Configuring super users for Azure Information Protection and discovery services or data recovery (Настройка суперпользователей для Azure Information Protection и служб обнаружения или восстановления данных)
Функция суперпользователя в службе Azure Rights Management, используемой Azure Information Protection, гарантирует, что авторизованные пользователи и службы всегда могут считывать и проверять корпоративные данные, которые защищает служба Azure Rights Management. При необходимости можно удалить или изменить защиту.
Суперпользователь всегда имеет в службе Rights Management право на использование с полным доступом к документам и сообщениям электронной почты, защита которых обеспечена корпоративным клиентом Azure Information Protection. Эта возможность иногда называется "обоснованием данных" и является важным элементом в обеспечении контроля над данными вашей организации. Например, эта функция будет использоваться в следующих сценариях.
Сотрудник увольняется из организации, и вам нужно прочитать файлы, к которым он применил защиту.
ИТ-администратор должен удалить текущую политику защиты, настроенную для файлов, и применить новую политику.
Exchange Server необходимо индексировать почтовые ящики индекса для операций поиска.
Вы используете ИТ-службы для решений защиты от потери данных, шлюзов шифрования содержимого и продуктов защиты от вредоносных программ, которым необходимо проверять уже защищенные файлы.
Вам требуется выполнить массовую расшифровку файлов для аудита, в юридических или других целях.
Настройка функции суперпользоваемого пользователя
По умолчанию функция суперпользователя не включена и не назначена пользователям. Он включен автоматически, если вы настроите соединитель Rights Management для Exchange и не требуется для стандартных служб, работающих под управлением Exchange Online, Microsoft Sharepoint Server или SharePoint в Microsoft 365.
Если необходимо вручную включить функцию суперпользователя, используйте командлет PowerShell Enable-AipServiceSuperUserFeature, а затем назначьте пользователей (или учетные записи службы) по мере необходимости с помощью командлета Add-AipServiceSuperUserUserGroup или командлета Set-AipServiceSuperUserGroup и добавления пользователей (или других групп) в эту группу.
Хотя суперпользователям проще управлять группами, помните, что для повышения производительности служба Azure Rights Management кэширует членство в группе. Поэтому, если вам нужно назначить нового пользователя для немедленного расшифровки содержимого, добавьте этого пользователя с помощью Add-AipServiceSuperUserUser, а не добавляйте пользователя в существующую группу, настроенную с помощью Set-AipServiceSuperUserGroup.
Примечание.
При добавлении пользователя с помощью командлета Add-AipServiceSuperUser необходимо также добавить основной почтовый адрес или имя участника-пользователя в группу. Псевдонимы электронной почты не оцениваются.
Если вы еще не установили модуль Windows PowerShell для Azure Rights Management, см . раздел "Установка модуля AIPService PowerShell".
Это не имеет значения, когда вы включаете функцию суперпользователей или добавляете пользователей в качестве суперпользователей. Например, если включить функцию в четверг, а затем добавить пользователя в пятницу, этот пользователь может немедленно открыть содержимое, защищенное в начале недели.
Рекомендации по обеспечению безопасности для функции суперпользоваемого пользователя
Ограничить и отслеживать администраторов, которым назначен глобальный администратор для клиента Microsoft 365 или Azure Information Protection, или которым назначена роль глобального Администратор istrator с помощью командлета Add-AipServiceRoleBased Администратор istrator. Эти пользователи могут включить функцию суперпользователя, назначить себя и других в качестве суперпользователей и потенциально расшифровать все файлы, которые защищает ваша организация.
Чтобы узнать, какие учетные записи пользователей и служб назначаются в качестве суперпользователей, используйте командлет Get-AipServiceSuperUser .
Чтобы узнать, настроена ли группа суперпользователей, используйте командлет Get-AipServiceSuperUserGroup и стандартные средства управления пользователями, чтобы проверка, какие пользователи являются членами этой группы.
Как и все действия администрирования, включение или отключение суперфункционирования и добавление или удаление суперпользователей регистрируются и могут быть проверены с помощью команды Get-AipService Администратор Log. Например, см . пример аудита для функции суперпользования.
Когда суперпользователи расшифровывают файлы, это действие записывается в журнал и может быть проверено в журнале использования.
Примечание.
Хотя журналы содержат сведения о расшифровке, включая пользователя, расшифровавшего файл, они не отмечают, когда пользователь является супер пользователем. Используйте журналы вместе с командлетами, перечисленными выше, чтобы сначала собрать список суперпользователей, которые можно определить в журналах.
Если вам не нужна функция суперпользователя для повседневных служб, включите эту функцию только при необходимости и отключите ее еще раз с помощью командлета Disable-AipServiceSuperUserFeature .
Пример аудита для функции суперпользования
В следующем извлечении журнала показаны некоторые примеры записей с помощью командлета Get-AipService Администратор Log.
В этом примере администратор Contoso Ltd убеждается, что функция суперпользователя отключена, добавляет Ричарда Симоне (Richard Simone) как суперпользователя, проверяет, что Ричард — единственный суперпользователь, настроенный для службы Azure Rights Management, а затем включает функцию суперпользователя, чтобы Ричард мог расшифровать некоторые файлы, которые были защищены сотрудником, уволившимся из компании.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Параметры создания скриптов для суперпользователей
Часто кто-то, кто назначен суперпользователю для Службы управления правами Azure, потребуется удалить защиту из нескольких файлов в нескольких расположениях. Хотя это можно сделать вручную, это более эффективно (и часто более надежно) для скрипта с помощью командлета Set-AIPFileLabel .
Если вы используете классификацию и защиту, также можно воспользоваться командлетом Set-AIPFileLabel. Он позволяет применить новую метку без применения защиты, либо удалить метку, которая применяется для защиты.
Дополнительные сведения об этих командлетах см. в статье об использовании PowerShell с клиентом Azure Information Protection, входящей в руководство администратора клиента Azure Information Protection.
Примечание.
Модуль AzureInformationProtection отличается от модуля AIPService PowerShell , который управляет службой Azure Rights Management для Azure Information Protection.
Удаление защиты в PST-файлах
Чтобы удалить защиту PST-файлов, рекомендуется использовать обнаружение электронных данных из Microsoft Purview для поиска и извлечения защищенных сообщений электронной почты и защищенного вложения в сообщениях электронной почты.
Возможность суперпользовающего пользователя автоматически интегрируется с Exchange Online, чтобы обнаружение электронных данных в Портал соответствия требованиям Microsoft Purview может выполнять поиск зашифрованных элементов перед экспортом или расшифровывать зашифрованные сообщения электронной почты при экспорте.
Если вы не можете использовать обнаружение электронных данных Microsoft Purview, возможно, у вас есть другое решение для обнаружения электронных данных, которое интегрируется со службой Azure Rights Management с аналогичной причиной по поводу данных.
Или, если решение обнаружения электронных данных не может автоматически считывать и расшифровывать защищенное содержимое, это решение по-прежнему можно использовать в многоэтапном процессе вместе с командлетом Set-AIPFileLabel :
Экспортируйте сообщение электронной почты в PST-файл из Exchange Online или Exchange Server или с рабочей станции, в которой пользователь сохранил свой адрес электронной почты.
Импортируйте PST-файл в средство обнаружения электронных данных. Так как средство не может читать защищенное содержимое, ожидается, что эти элементы будут создавать ошибки.
Из всех элементов, которые средство не удалось открыть, создайте новый PST-файл, который на этот раз содержит только защищенные элементы. Этот второй PST-файл, скорее всего, будет гораздо меньше, чем исходный PST-файл.
Запустите Set-AIPFileLabel в этом втором PST-файле, чтобы расшифровать содержимое этого гораздо меньшего файла. Из выходных данных импортируйте расшифрованный PST-файл в средство обнаружения.
Дополнительные сведения и рекомендации по выполнению обнаружения электронных данных в почтовых ящиках и PST-файлах см. в следующей записи блога: Azure Information Protection и процессы обнаружения электронных данных.