Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Функция суперпользования службы Azure Rights Management из Защита информации Microsoft Purview гарантирует, что авторизованные пользователи и службы всегда могут считывать и проверять данные, которые Azure Rights Management шифрует для вашей организации. При необходимости защиту шифрования можно удалить или изменить.
Суперпользование всегда имеет право на полный доступ Rights Management для документов и электронных писем, зашифрованных клиентом вашей организации. Эту возможность иногда называют "рассуждением по данным" и является важным элементом в поддержании контроля над данными вашей организации. Например, эту функцию можно использовать в любом из следующих сценариев:
Сотрудник покидает организацию, и вам нужно прочитать зашифрованные файлы.
ИТ-администратору необходимо удалить текущие параметры шифрования, настроенные для файлов, и применить новые параметры шифрования.
Exchange Server необходимо индексировать почтовые ящики для операций поиска.
У вас есть ИТ-службы для решений защиты от потери данных (DLP), шлюзов шифрования содержимого (CEG) и продуктов защиты от вредоносных программ, которым необходимо проверять уже зашифрованные файлы.
Вам необходимо выполнить массовую расшифровку файлов для аудита, юридических или других причин соответствия требованиям.
Настройка функции суперпользовала
По умолчанию функция суперпользователей не включена, и никакие пользователи не назначаются этой роли. Он включается автоматически, если вы настраиваете соединитель Rights Management для Exchange и не требуется для стандартных служб, работающих Exchange Online, Microsoft SharePoint Server или SharePoint в Microsoft 365.
Если вам нужно вручную включить функцию суперпользователя, используйте командлет PowerShell Enable-AipServiceSuperUserFeature, а затем назначьте пользователей (или учетные записи служб) по мере необходимости с помощью командлета Add-AipServiceSuperUserUser или командлета Set-AipServiceSuperUserGroup и добавьте пользователей (или другие группы) по мере необходимости в эту группу.
Хотя использование группы для суперпользователей проще в управлении, по соображениям производительности служба Azure Rights Management кэширует членство в группе. Поэтому если вам нужно назначить нового пользователя суперпользователем для немедленной расшифровки содержимого, добавьте этого пользователя с помощью Add-AipServiceSuperUser, а не в существующую группу, настроенную с помощью Set-AipServiceSuperUserGroup.
Примечание.
При добавлении пользователя с помощью командлета Add-AipServiceSuperUser необходимо также добавить в группу основной почтовый адрес или имя участника-пользователя. Email псевдонимы не вычисляются.
Если вы еще не установили модуль Windows PowerShell для Azure Rights Management, см. статью Установка модуля PowerShell AIPService для службы azure Right Management.
Не имеет значения, когда вы включаете функцию суперпользователей или добавляете пользователей в качестве суперпользователей. Например, если включить эту функцию в четверг, а затем добавить пользователя в пятницу, этот пользователь сможет сразу же открыть содержимое, защищенное в самом начале недели.
Рекомендации по обеспечению безопасности для функции суперпользовала
Ограничьте и отслеживайте администраторов, которым назначен глобальный администратор для вашего клиента или которым назначена роль GlobalAdministrator, с помощью командлета Add-AipServiceRoleBasedAdministrator . Эти пользователи могут включить функцию суперпользователей, назначить пользователей (и себя) суперпользователей, а также расшифровать все файлы, которые ваша организация шифрует.
Чтобы узнать, какие пользователи и учетные записи служб назначаются в качестве суперпользователей, используйте командлет Get-AipServiceSuperUser .
Чтобы узнать, настроена ли группа суперпользователей, используйте командлет Get-AipServiceSuperUserGroup и стандартные средства управления пользователями, чтобы проверка, какие пользователи входят в эту группу.
Как и все действия администрирования, включение или отключение супер-функции, а также добавление или удаление суперпользователей регистрируются и могут быть проверены с помощью команды Get-AipServiceAdminLog . Например, см. пример аудита для функции суперпользования.
Когда суперпользователей расшифровывают файлы, это действие регистрируется и может быть проверено с помощью ведения журнала использования.
Примечание.
Хотя журналы содержат сведения о расшифровке, включая пользователя, расшифрованного файла, они не содержат подробных сведений о том, когда пользователь является суперпользоваем.
Используйте журналы вместе с командлетами, перечисленными ранее, чтобы сначала собрать список суперпользователей, которые можно идентифицировать в журналах.
Если вам не нужна функция суперпользователя для повседневных служб, включите эту функцию только тогда, когда она вам нужна, и отключите ее снова с помощью командлета Disable-AipServiceSuperUserFeature .
Пример аудита для функции суперпользования
В следующем извлечении журнала показаны некоторые примеры записей из использования командлета Get-AipServiceAdminLog .
В этом примере администратор Contoso Ltd подтверждает, что функция суперпользовала отключена, добавляет Ричарда Симона в качестве суперпользовала, проверяет, что Ричард является единственным суперпользоваем, настроенным для службы Azure Rights Management, а затем включает функцию суперпользовала, чтобы Ричард теперь может расшифровать некоторые файлы, защищенные сотрудником, который теперь покинул компанию.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Параметры сценариев для суперпользователей
Часто пользователю, которому назначен суперпользователю для Azure Rights Management, необходимо удалить шифрование из нескольких файлов в нескольких расположениях. Хотя эту задачу можно выполнить вручную, эффективнее (а часто и надежнее) создать скрипт с помощью командлета Set-FileLabel .
Этот командлет также можно использовать для применения новой метки, которая не применяет шифрование, или удаления метки, применяющей шифрование.
Дополнительные сведения об этих командлетах см. в статье Использование PowerShell с клиентом Защита информации Microsoft Purview из документации по PowerShell PurviewInformationProtection.
Примечание.
Модуль PurviewInformationProtection отличается от модуля AIPService PowerShell, который управляет службой Azure Rights Management для Защита информации Microsoft Purview.
Удаление шифрования из PST-файлов
Чтобы удалить шифрование из PST-файлов, рекомендуется использовать обнаружение электронных данных из Microsoft Purview для поиска и извлечения зашифрованных сообщений электронной почты и зашифрованных вложений в сообщениях электронной почты.
Возможность суперпользовала автоматически интегрируется с Exchange Online, чтобы обнаружение электронных данных на портале Microsoft Purview пользовалось поиском зашифрованных элементов перед экспортом или расшифровкой зашифрованных сообщений электронной почты при экспорте.
Если вы не можете использовать Microsoft Purview eDiscovery, у вас может быть другое решение для обнаружения электронных данных, которое интегрируется со службой Azure Rights Management для аналогичного анализа данных.
Или, если вашему решению для обнаружения электронных данных не удается автоматически считывать и расшифровывать защищенное содержимое, вы по-прежнему можете использовать это решение в многошаговом процессе вместе с командлетом Set-FileLabel :
Экспортируйте соответствующее сообщение электронной почты в PST-файл с Exchange Online или Exchange Server либо с рабочей станции, на которой пользователь сохранил свою электронную почту.
Импортируйте PST-файл в средство обнаружения электронных данных. Так как средство не может считывать зашифрованное содержимое, ожидайте, что эти элементы будут создавать ошибки.
Из всех элементов, которые не удалось открыть инструменту, создайте новый PST-файл, который на этот раз содержит только зашифрованные элементы. Этот второй PST-файл, скорее всего, будет гораздо меньше исходного PST-файла.
Запустите Set-FileLabel во втором PST-файле , чтобы расшифровать содержимое этого файла меньшего размера. Из выходных данных импортируйте расшифрованный PST-файл в средство обнаружения.
Дополнительные сведения и рекомендации по обнаружению электронных данных в почтовых ящиках и PST-файлах см. в следующей записи блога: Information Protection Azure и процессы обнаружения электронных данных.