Configuring super users for Azure Information Protection and discovery services or data recovery (Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder Wiederherstellung von Daten)
Die Administratorfunktion des Azure Rights Management-Diensts aus Azure Information Protection stellt sicher, dass autorisierte Personen und Dienste immer auf die Daten, die mit Azure Rights Management für Ihre Organisation geschützt werden, zugreifen und diese überprüfen können. Bei Bedarf kann der Schutz dann entfernt oder geändert werden.
Ein Administrator verfügt immer über das Rights Management-Nutzungsrecht zum Vollzugriff auf durch den Azure Information Protection-Mandanten Ihrer Organisation geschützte Dokumente und E-Mails. Diese Fähigkeit wird gelegentlich als „Schlussfolgern über Daten“ (reasoning over data) bezeichnet und ist ein ausschlaggebendes Element dabei, die Kontrolle über die Daten Ihrer Organisation zu behalten. Sie verwenden diese Funktion beispielsweise für die folgenden Szenarien:
Ein Mitarbeiter verlässt die Organisation, und Sie müssen alle Dateien lesen können, die von dieser Person geschützt wurden.
Ein IT-Administrator muss die aktuelle Schutzrichtlinie entfernen, die für Dateien konfiguriert wurde, und eine neue Schutzrichtlinie anwenden.
Exchange Server muss Postfächer für Suchvorgänge indizieren.
Sie verfügen über IT-Dienste für DLP-Lösungen (Data Loss Prevention, Verhinderung von Datenverlust), über Inhaltsverschlüsselungsgateways (Content Encryption Gateways, CEGs) und Antischadsoftware, die Dateien überprüfen müssen, die bereits geschützt sind.
Sie müssen große Mengen von Dateien in einem Zug zu Überwachungszwecken oder aus rechtlichen oder anderen Compliance-Gründen entschlüsseln.
Konfiguration für das Superbenutzer-Feature
Standardmäßig ist die Administratorfunktion nicht aktiviert, und dieser Rolle sind keine Benutzer zugeordnet. Sie wird jedoch automatisch aktiviert, wenn Sie den Rights Management-Connector für Exchange konfigurieren. Für Standarddienste, die unter Exchange Online, Microsoft Sharepoint Server oder SharePoint in Microsoft 365 ausgeführt werden, ist sie nicht erforderlich.
Wenn Sie die Administratorfunktion manuell aktivieren müssen, verwenden Sie das PowerShell-Cmdlet Enable-AipServiceSuperUserFeature, und ordnen Sie dann mithilfe des Cmdlets Add-AipServiceSuperUser nach Bedarf Benutzer (oder Dienstkonten) zu. Verwenden Sie alternativ das Cmdlet Set-AipServiceSuperUserGroup, und fügen Sie dieser Gruppe die entsprechenden Benutzer (oder andere Gruppen) hinzu.
Obwohl es einfacher ist, eine Gruppe für Ihre Administratoren zu verwalten, seien Sie sich bewusst, dass Azure Rights Management aus Leistungsgründen die Gruppenmitgliedschaft zwischenspeichert. Wenn Sie also einen neuen Benutzer als Administrator bestimmen müssen, um Inhalt sofort zu entschlüsseln, fügen Sie diesen Benutzer mithilfe von „Add-AipServiceSuperUser“ hinzu, statt den Benutzer einer vorhandenen Gruppe zuzuordnen, die Sie mithilfe von „Set-AipServiceSuperUserGroup“ konfiguriert haben.
Hinweis
Wenn Sie einen Benutzer mit dem Cmdlet Add-AipServiceSuperUser hinzufügen, müssen Sie auch die primäre E-Mail-Adresse oder den Hauptbenutzernamen zu der Gruppe hinzufügen. E-Mail-Aliasnamen werden nicht ausgewertet.
Wenn Sie das Windows PowerShell-Modul für Azure Rights Management noch nicht installiert haben, lesen Sie die Informationen unter Installieren das AIPService PowerShell-Modul.
Es spielt keine Rolle, wenn Sie das Superbenutzer-Feature aktivieren oder Benutzer als Superbenutzer hinzufügen. Wenn Sie beispielsweise das Feature am Donnerstag aktivieren und dann am Freitag einen Benutzer hinzufügen, kann dieser Benutzer sofort Inhalte öffnen, die zu Beginn der Woche geschützt wurden.
Bewährte Sicherheitsmethoden für das Superbenutzer-Feature
Beschränken und überwachen Sie die Administratoren, die als globale Administratoren für Ihren Microsoft Office 365- oder Azure Information Protection-Mandanten fungieren oder denen mithilfe des Cmdlets Add-AipServiceRoleBasedAdministrator die Rolle „GlobalAdministrator“ zugewiesen wurde. Diese Benutzer können die Administratorfunktion aktivieren und Benutzer (und sich selbst) als Administratoren festlegen und damit potenziell alle Dateien entschlüsseln, die von Ihrer Organisation geschützt werden.
Wenn Sie sehen möchten, welche Benutzer und Dienstkonten einzeln als Administratoren zugeordnet sind, verwenden Sie das Cmdlet Get-AipServiceSuperUser.
Wenn Sie ermitteln möchten, ob eine Administratorgruppe konfiguriert ist, verwenden Sie das Cmdlet Get-AipServiceSuperUserGroup und Ihre Standardtools für die Benutzerverwaltung, um zu überprüfen, welche Benutzer zu dieser Gruppe gehören.
Wie alle administrativen Vorgänge werden auch das Aktivieren oder Deaktivieren der Administratorfunktion sowie das Hinzufügen oder Entfernen von Administratoren protokolliert und können mithilfe des Befehls Get-AipServiceAdminLog überwacht werden. Siehe z.B. Beispiel Auditing für die Superuser-Funktion.
Wenn Administratoren Dateien entschlüsseln, wird dieser Vorgang ebenfalls protokolliert und kann mit der Verwendungsprotokollierung überwacht werden.
Hinweis
Die Protokolle enthalten zwar Einzelheiten über die Entschlüsselung, einschließlich des Benutzers, der die Datei entschlüsselt hat, aber sie vermerken nicht, wenn der Benutzer ein Superuser ist. Verwenden Sie die Protokolle zusammen mit den oben aufgeführten Cmdlets, um zunächst eine Liste der Superuser zu erstellen, die Sie in den Protokollen identifizieren können.
Wenn Sie die Administratorfunktion für die alltäglichen Dienste nicht benötigen, sollten Sie diese Funktion nur im Bedarfsfall aktivieren und mit dem Cmdlet Disable-AipServiceSuperUserFeature wieder deaktivieren.
Beispiel zur Überwachung für das Superbenutzer-Feature
Der folgende Protokollauszug zeigt einige Beispieleinträge, die mit dem Cmdlet Get-AipServiceAdminLog erstellt wurden.
In diesem Beispiel bestätigt der Administrator von Contoso Ltd., dass die Administratorfunktion deaktiviert ist, fügt Richard Simone als Administrator hinzu, überprüft, ob Richard der einzige für den Azure Rights Management-Dienst konfigurierte Administrator ist, und aktiviert dann die Administratorfunktion, damit Richard nun einige Dateien entschlüsseln kann, die zuvor von einem Mitarbeiter geschützt wurden, der das Unternehmen mittlerweile verlassen hat.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Skriptoptionen für Administratoren
Häufig muss eine Person, die als Superbenutzer für Azure Rights Management fungiert, den Schutz von mehreren Dateien an mehreren Speicherorten aufheben. Es ist zwar möglich, dies manuell zu tun, aber es ist effizienter (und oft auch zuverlässiger), dies mit dem Cmdlet Set-AIPFileLabel zu skripten.
Wenn Sie die Klassifizierung und den Schutz verwenden, können Sie auch das Cmdlet Set-AIPFileLabel nutzen, um eine neue Bezeichnung ohne Schutz anzuwenden, oder die Bezeichnung entfernen, die einen entsprechenden Schutz angewendet hat.
Weitere Informationen zu diesen Cmdlets finden Sie im Administratorhandbuch für den Azure Information Protection-Client unter Verwenden von PowerShell mit dem Azure Information Protection-Client.
Hinweis
Das AzureInformationProtection-Modul unterscheidet sich vom AIPService PowerShell-Modul, das den Azure Rights Management-Dienst für Azure Information Protection verwaltet, und ergänzt es.
Schutz von PST-Dateien aufheben
Um den Schutz von PST-Dateien zu entfernen, empfehlen wir Ihnen, eDiscovery aus Microsoft Purview zu verwenden, um geschützte E-Mails und geschützte Anhänge in E-Mails zu suchen und zu extrahieren.
Die Superuser-Funktion ist automatisch in Exchange Online integriert, so dass eDiscovery im Microsoft Purview-Complianceportal vor dem Export nach verschlüsselten Elementen suchen oder verschlüsselte E-Mails beim Export entschlüsseln kann.
Wenn Sie Microsoft Purview-eDiscovery nicht verwenden können, verfügen Sie möglicherweise über eine andere eDiscovery-Lösung, die mit dem Azure Rights Management-Dienst integriert ist, um Daten auf ähnliche Weise zu überprüfen.
Wenn Ihre eDiscovery-Lösung geschützte Inhalte nicht automatisch lesen und entschlüsseln kann, können Sie diese Lösung dennoch in einem mehrstufigen Prozess zusammen mit dem Cmdlet Set-AIPFileLabel verwenden:
Exportieren Sie die fragliche E-Mail aus Exchange Online oder Exchange-Server oder von der Arbeitsstation, auf der der Benutzer seine E-Mails gespeichert hat, in eine PST-Datei.
Importieren Sie die PST-Datei in Ihr eDiscovery-Tool. Da das Tool geschützte Inhalte nicht lesen kann, ist damit zu rechnen, dass diese Elemente Fehler generieren.
Generieren Sie aus allen Elementen, die das Tool nicht öffnen konnte, eine neue PST-Datei, die dann nur geschützte Elemente enthält. Diese zweite PST-Datei ist wahrscheinlich viel kleiner als die ursprüngliche PST-Datei.
Führen Sie Set-AIPFileLabel auf dieser zweiten PST-Datei aus, um den Inhalt dieser viel kleineren Datei zu entschlüsseln. Importieren Sie aus der Ausgabe die jetzt entschlüsselte PST-Datei in Ihr Discovery-Tool.
Ausführlichere Informationen und Anleitungen zum Ausführen von eDiscovery für Postfächer und PST-Dateien finden Sie im folgenden Blogbeitrag: Azure Information Protection und eDiscovery-Prozesse.