Microsoft Purview 資訊保護的 Azure 權利管理服務的超級使用者功能,確保授權人員與服務始終能讀取並檢查 Azure 權利管理為你組織加密的資料。 必要時,加密保護可以被移除或更改。
超級使用者始終擁有由您組織租戶加密的文件與電子郵件的權利管理、 全權控制 權。 這種能力有時被稱為「推理資料」,是維持組織資料控制權的關鍵元素。 例如,你可以在以下任一情境中使用此功能:
員工離職後,你需要閱讀他們加密的檔案。
IT 管理員需要移除目前為檔案設定的加密設定,並套用新的加密設定。
Exchange Server 需要索引信箱以進行搜尋操作。
你有現有的資訊外洩防護服務 (DLP) 解決方案、內容加密閘道 (CEG) ,以及需要檢查已加密檔案的反惡意軟體產品。
你需要大量解密檔案,出於審計、法律或其他合規理由。
超級使用者功能的設定
預設情況下,超級使用者功能未啟用,且沒有使用者被指派到這個角色。 如果你設定 Exchange 的 Rights Management 連接器,這個連接器會自動啟用,而對於執行 Exchange Online、Microsoft SharePoint Server 或 Microsoft 365 中的 SharePoint 的標準服務則不需要啟用。
若需手動啟用超級使用者功能,請使用 PowerShell 指令碼 Enable-AipServiceSuperUserFeature,然後依需使用 Add-AipServiceSuperUser 指令碼或 Set-AipServiceSuperUserGroup 指令碼,) 指派使用者 (或服務帳號,並依需新增使用者 (或其他群組) 至此群組。
雖然為超級使用者使用群組管理較容易,但出於效能考量,Azure 權利管理服務會快取群組成員。 所以如果你需要指派一個新使用者成為超級使用者以立即解密內容,請使用 Add-AipServiceSuperUser 加入該使用者,而不是用 Set-AipServiceSuperUserGroup 將該使用者加入你設定的現有群組。
注意事項
當你加入使用 Add-AipServiceSuperUser 指令檔時,也必須將主要郵件地址或使用者主體名稱加入群組。 Email 別名不會被評估。
如果您尚未安裝 Windows PowerShell 模組以支援 Azure 權利管理服務,請參閱「安裝 AIPService PowerShell 模組以取得 Azure 權利管理服務」。
不管你什麼時候啟用超級使用者功能,或是新增使用者為超級使用者,都沒差。 例如,如果你在週四啟用此功能,然後在週五新增使用者,該使用者就能立即開啟本週初受保護的內容。
超級使用者功能的安全最佳實務
透過 Add-AipServiceRoleBasedAdministrator cmdlet 限制並監控被指派為租戶全域管理員,或被指派為 GlobalAdministrator 角色的管理員。 這些使用者可以啟用超級使用者功能,並將 (和自己) 指定為超級使用者,甚至有可能解密你組織加密的所有檔案。
要查看哪些使用者和服務帳號被個別指定為超級使用者,請使用 Get-AipServiceSuperUser 指令檔。
要確認超級使用者群組是否被設定,請使用 Get-AipServiceSuperUserGroup 指令檔及標準使用者管理工具檢查哪些使用者屬於該群組。
如同所有管理操作,啟用或停用超級用戶功能,以及新增或移除超級使用者都會被記錄,並可透過 Get-AipServiceAdminLog 指令進行稽核。 例如,請參見「 範例稽核」以了解超級使用者功能。
當超級使用者解密檔案時,此動作會被記錄,並可透過 使用紀錄進行稽核。
注意事項
雖然日誌包含解密細節,包括解密的使用者,但未說明該使用者何時是超級使用者。
先用這些日誌和前面列出的指令小工具,收集一份你可以在日誌中辨識的超級使用者名單。
如果你不需要日常服務的超級使用者功能,請只在需要時啟用此功能,然後再使用 Disable-AipServiceSuperUserFeature 指令檔關閉。
超級使用者功能的範例稽核
以下日誌擷取顯示使用 Get-AipServiceAdminLog 指令檔時取得的一些範例條目。
在這個例子中,Contoso Ltd 的管理員確認超級使用者功能已被停用,新增 Richard Simone 為超級使用者,並檢查 Richard 是否是唯一為 Azure 權利管理服務設定的超級使用者,接著啟用超級使用者功能,讓 Richard 現在能解密一些由已離職員工保護的檔案。
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
超級使用者的腳本選項
通常,被指派給 Azure 權利管理服務的超級使用者,需要在多個地點移除多個檔案的加密。 雖然手動完成這個任務也可行,但使用 Set-FileLabel 指令檔來撰寫腳本, (效率更高,且通常) 更可靠。
你也可以用這個 cmdlet 套用一個不套用加密的新標籤,或移除套用加密的標籤。
欲了解更多關於這些指令執行程式的資訊,請參閱 PurviewInformationProtection PowerShell 文件中的「使用 PowerShell with the Microsoft Purview 資訊保護 client」。
注意事項
PurviewInformationProtection 模組與管理 Microsoft Purview 資訊保護 Azure 權利管理服務的 AIPService PowerShell 模組不同且是補充。
移除 PST 檔案中的加密
為了解除 PST 檔案中的加密,我們建議您使用 Microsoft Purview 的 eDiscovery 來搜尋並擷取加密郵件及加密附件。
超級使用者功能會自動整合到 Exchange Online,讓 Microsoft Purview 入口網站的 eDiscovery 能在匯出前搜尋加密項目,或在匯出時解密加密郵件。
如果你無法使用 Microsoft Purview 電子文件探索,你可能有另一個與 Azure 權利管理服務整合的電子發現解決方案,以類似方式推理資料。
或者,如果你的電子發現解決方案無法自動讀取和解密受保護內容,你仍可透過多步驟流程搭配 Set-FileLabel 指令碼使用此方案:
將該郵件匯出至 Exchange Online 或 Exchange Server,或使用者存放電子郵件的工作站的 PST 檔案。
將 PST 檔案匯入你的 eDiscovery 工具。 由於該工具無法讀取加密內容,預期這些項目會產生錯誤。
從所有工具無法開啟的項目中,產生一個新的 PST 檔案,這次只包含加密項目。 這個第二個 PST 檔案很可能會比原本的 PST 檔案小很多。
對這個第二個 PST 檔案執行 Set-FileLabel ,以解密這個較小檔案的內容。 從輸出端,將已解密的 PST 檔案匯入你的發現工具。
欲了解跨信箱與 PST 檔案執行電子發現的更詳細資訊與指引,請參閱以下部落格文章:Azure 資訊保護 與電子發現流程。