針對 Azure 資訊保護和探索服務或資料復原設定超級使用者

Azure 資訊保護的 Azure Rights Management 服務所提供的進階使用者功能,可確保獲得授權的人員和服務一律可讀取及檢查 Azure Rights Management 為您的組織保護的資料。 如有必要,則可以移除或變更保護。

進階使用者對於組織的 Azure 資訊保護租用戶所保護的文件和電子郵件,一律具有 Rights Management 的完整控制權使用權限。 這個功能有時稱為「資料的推理」,是維護組織資料控制權的一個關鍵要素。 例如,您會在下列任何情況下使用這項功能:

  • 您在員工離職後,需要讀取他們所保護的檔案。

  • IT 管理員必須移除先前為檔案設定的現行保護原則,並套用新的保護原則。

  • Exchange Server 需要為信箱編製索引以進行搜尋作業。

  • 您的資料外洩防護 (DLP) 解決方案、內容加密閘道 (CEG) 和反惡意程式碼產品現有的 IT 服務需要檢查已受保護的檔案。

  • 您基於稽核、法律或其他法規遵循因素,而需要大量解密檔案。

設定進階使用者功能

依預設不會啟用進階使用者功能,且不會為任何使用者指派此角色。 如果您為 Exchange 設定 Rights Management 連接器,則系統會自動為您啟用它,而且在 Microsoft 365 中執行 Exchange Online、Microsoft Sharepoint Server 或 SharePoint 的標準服務則不需要它。

如果您需要手動啟用進階使用者功能,請使用 PowerShell Cmdlet Enable-AipServiceSuperUserFeature, (然後視需要使用 Add-AipServiceSuperUser Cmdlet 或 Set-AipServiceSuperUserGroup Cmdlet 將使用者 () 或其他群組) 指派給使用者。

對進階使用者使用群組會較容易管理,但請留意,基於效能考量,Azure Rights Management 會快取群組成員資格。 因此,如果您需要將新使用者指派為進階使用者,以立即解密內容,請使用 Add-AipServiceSuperUser 新增該使用者,而不是使用 Set-AipServiceSuperUserGroup 將使用者新增至您已設定的現有群組。

注意

何時啟用進階使用者功能或何時將使用者新增為進階使用者並不重要。 例如,如果您在星期四啟用此功能,然後在星期五新增使用者,該使用者可立即開啟當週開始即受到保護的內容。

進階使用者功能的安全性最佳做法

  • 使用Add-AipServiceRoleBasedAdministrator Cmdlet,限制及監視獲派 Microsoft 365 或 Azure 資訊保護 租使用者的全域管理員,或指派 GlobalAdministrator 角色的系統管理員。 這些使用者可啟用進階使用者功能,以及將使用者 (和其本身) 指派為進階使用者,並且有可能將您的組織所保護的所有檔案解密。

  • 若要查看哪些使用者和服務帳戶會個別指派為進階使用者,請使用 Get-AipServiceSuperUser Cmdlet。

  • 若要查看是否已設定進階使用者群組,請使用 Get-AipServiceSuperUserGroup Cmdlet 和您的標準使用者管理工具來檢查哪些使用者是此群組的成員。

  • 就像所有系統管理動作一樣,啟用或停用進階功能,並記錄新增或移除進階使用者,而且可以使用 Get-AipServiceAdminLog 命令進行稽核。 例如,請參閱 進階使用者功能的範例稽核

  • 當進階使用者解密檔案時,此動作會被記錄下來,並且可透過使用記錄進行稽核。

    注意

    雖然記錄包含解密的詳細資料,包括解密檔案的使用者,但當使用者是進階使用者時,不會注意這些記錄。 將記錄與上述 Cmdlet 搭配使用,先收集您可以在記錄中識別的進階使用者清單。

  • 如果您不需要日常服務的進階使用者功能,請只在需要此功能時啟用此功能,然後使用 Disable-AipServiceSuperUserFeature Cmdlet 再次加以停用。

稽核進階使用者功能的範例

下列記錄檔擷取顯示使用 Get-AipServiceAdminLog Cmdlet 的一些範例專案。

在此範例中,Contoso Ltd 的管理員確認進階使用者功能已停用、新增 Richard Simone 作為進階使用者、確認 Richard 是為 Azure Rights Management 服務設定的唯一進階使用者,然後啟用進階使用者功能,讓 Richard 現在可以解密已離職的員工所保護的某些檔案。

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

適用於進階使用者的指令碼選項

通常,指派為 Azure Rights Management 之進階使用者的人員必須從多個位置中的多個檔案移除保護。 雖然可以手動執行這項操作,但使用 Set-AIPFileLabel Cmdlet 撰寫腳本時, (更有效率且更可靠) 。

如果您使用分類和保護,您也可以使用 Set-AIPFileLabel 以套用不會套用保護的新標籤,或移除套用保護的標籤。

如需關於這些 Cmdlet 的詳細資訊,請參閱 Azure 資訊保護用戶端管理員指南中的使用 PowerShell 搭配 Azure 資訊保護用戶端

注意

AzureInformationProtection 模組與 不同,並補充AIPService PowerShell 模組,以管理適用于 Azure 資訊保護 的 Azure Rights Management 服務。

移除 PST 檔案的保護

若要移除 PST 檔案的保護,建議您使用 Microsoft Purview 中的電子檔探索 來搜尋及擷取受保護的電子郵件和電子郵件中的受保護附件。

進階使用者的能力會自動與Exchange Online整合,讓Microsoft Purview 合規性入口網站中的電子檔探索可以在匯出之前搜尋加密的專案,或在匯出時解密加密的電子郵件。

如果您無法使用Microsoft Purview 電子檔探索,則可能有另一個與 Azure Rights Management 服務整合的電子檔探索解決方案,以對資料產生類似的原因。

或者,如果您的電子檔探索解決方案無法自動讀取和解密受保護的內容,您仍然可以在多步驟程式中搭配 Set-AIPFileLabel Cmdlet 使用此解決方案:

  1. 從 Exchange Online 或 Exchange Server,或者從使用者用來儲存其電子郵件的工作站中,將描述的電子郵件匯出到 PST 檔案。

  2. 將 PST 檔案匯入您的電子文件探索工具。 因為此工具無法讀取受保護的內容,所以預期這些項目將會產生錯誤。

  3. 從此工具無法開啟的所有項目產生新的 PST 檔案,該檔案這次只包含受保護的項目。 此第二個 PST 檔案可能會遠小於原始的 PST 檔案。

  4. 在此第二個 PST 檔案上執行 Set-AIPFileLabel ,以解密這個較小檔案的內容。 從輸出中,將現已解密的 PST 檔案匯入到探索工具。

如需有關跨信箱和 PST 檔案執行電子文件探索的更多詳細資料和指引,請參閱下列部落格文章:Azure 資訊保護和電子文件探索程序 \(英文\)。