Konfigurowanie administratorów usługi Azure Information Protection i usług odnajdywania lub odzyskiwania danych
Funkcja administratora usługi Azure Rights Management z usługi Azure Information Protection zapewnia, że autoryzowane osoby i usługi zawsze mogą odczytywać i sprawdzać dane chronione przez usługę Azure Rights Management w organizacji. W razie potrzeby można usunąć lub zmienić ochronę.
Administrator zawsze ma prawo użytkowania pełnej kontroli usługi Rights Management dla dokumentów i wiadomości e-mail chronionych przez dzierżawę usługi Azure Information Protection w organizacji. Ta możliwość jest czasami określana jako "rozumowanie nad danymi" i jest kluczowym elementem utrzymania kontroli nad danymi organizacji. Na przykład ta funkcja jest używana w przypadku dowolnego z następujących scenariuszy:
Pracownik opuszcza organizację i musisz odczytać chronione pliki.
Administrator IT musi usunąć bieżące zasady ochrony skonfigurowane dla plików i zastosować nowe zasady ochrony.
Program Exchange Server musi indeksować skrzynki pocztowe na potrzeby operacji wyszukiwania.
Masz istniejące usługi IT dla rozwiązań ochrony przed utratą danych (DLP), bram szyfrowania zawartości (CEG) i produktów chroniących przed złośliwym oprogramowaniem, które muszą sprawdzać pliki, które są już chronione.
Należy zbiorczo odszyfrować pliki w celu przeprowadzenia inspekcji, ze względów prawnych lub innych przyczyn zgodności.
Konfiguracja funkcji administratora
Domyślnie funkcja administratora nie jest włączona i żadni użytkownicy nie mają przypisanej tej roli. Jest ona włączona automatycznie w przypadku skonfigurowania łącznika usługi Rights Management dla programu Exchange i nie jest wymagana w przypadku standardowych usług z uruchomionymi usługami Exchange Online, Microsoft Sharepoint Server lub SharePoint w usłudze Microsoft 365.
Jeśli musisz ręcznie włączyć funkcję superużytkownika, użyj polecenia cmdlet programu PowerShell Enable-AipServiceSuperUserFeature, a następnie przypisz użytkowników (lub konta usług) zgodnie z potrzebami przy użyciu polecenia cmdlet Add-AipServiceSuperUser lub polecenia cmdlet Set-AipServiceSuperUserGroup i dodaj użytkowników (lub inne grupy) zgodnie z potrzebami do tej grupy.
Chociaż korzystanie z grupy dla superużywców jest łatwiejsze do zarządzania, należy pamiętać, że ze względu na wydajność usługa Azure Rights Management buforuje członkostwo w grupie. Jeśli więc musisz przypisać nowego użytkownika jako superużytkownika do natychmiastowego odszyfrowywania zawartości, dodaj tego użytkownika przy użyciu polecenia Add-AipServiceSuperUser, zamiast dodawać użytkownika do istniejącej grupy skonfigurowanej przy użyciu polecenia Set-AipServiceSuperUserGroup.
Uwaga
Podczas dodawania użytkownika za pomocą polecenia cmdlet Add-AipServiceSuperUser należy również dodać podstawowy adres e-mail lub nazwę główną użytkownika do grupy. Aliasy wiadomości e-mail nie są oceniane.
Jeśli nie zainstalowano jeszcze modułu programu Windows PowerShell dla usługi Azure Rights Management, zobacz Instalowanie modułu AIPService programu PowerShell.
Nie ma znaczenia, kiedy włączysz funkcję superu użytkownika lub gdy dodasz użytkowników jako superu użytkowników. Jeśli na przykład włączysz funkcję w czwartek, a następnie dodaj użytkownika w piątek, ten użytkownik może natychmiast otworzyć zawartość chronioną na początku tygodnia.
Najlepsze rozwiązania w zakresie zabezpieczeń funkcji superuchojmie
Ogranicz i monitoruj administratorów, którym przypisano administratora globalnego dla dzierżawy usługi Microsoft 365 lub Azure Information Protection, lub którzy mają przypisaną rolę Global Administracja istrator przy użyciu polecenia cmdlet Add-AipServiceRoleBased Administracja istrator. Ci użytkownicy mogą włączyć funkcję administratora i przypisać użytkowników (i siebie) jako superu użytkowników i potencjalnie odszyfrować wszystkie pliki chronione przez organizację.
Aby zobaczyć, którzy użytkownicy i konta usług są indywidualnie przypisywani jako superużytkownicy, użyj polecenia cmdlet Get-AipServiceSuperUser .
Aby sprawdzić, czy skonfigurowano grupę superużytkowników, użyj polecenia cmdlet Get-AipServiceSuperUserGroup i standardowych narzędzi do zarządzania użytkownikami, aby sprawdzić, którzy użytkownicy są członkami tej grupy.
Podobnie jak wszystkie akcje administracyjne, włączanie lub wyłączanie super funkcji oraz dodawanie lub usuwanie superużywców są rejestrowane i mogą być poddawane inspekcji za pomocą polecenia Get-AipService Administracja Log. Na przykład zobacz Przykład inspekcji dla funkcji administratora.
Gdy superuzydni użytkownicy odszyfrowuje pliki, ta akcja jest rejestrowana i może być poddawane inspekcji za pomocą rejestrowania użycia.
Uwaga
Dzienniki zawierają szczegółowe informacje na temat odszyfrowywania, w tym użytkownika, który odszyfrował plik, nie są one uwzględniane, gdy użytkownik jest administratorem. Użyj dzienników wraz z poleceniami cmdlet wymienionymi powyżej, aby najpierw zebrać listę superu użytkowników, które można zidentyfikować w dziennikach.
Jeśli nie potrzebujesz funkcji superużytkownika dla codziennych usług, włącz tę funkcję tylko wtedy, gdy jest potrzebna, i wyłącz ją ponownie za pomocą polecenia cmdlet Disable-AipServiceSuperUserFeature .
Przykład inspekcji dla funkcji administratora
Poniższy wyodrębnienie dziennika przedstawia przykładowe wpisy z polecenia cmdlet Get-AipService Administracja Log.
W tym przykładzie administrator firmy Contoso Ltd potwierdza, że funkcja superużytkownika jest wyłączona, dodaje Richard Simone jako superużytkownik, sprawdza, czy Richard jest jedynym superużytkownikiem skonfigurowanym dla usługi Azure Rights Management, a następnie włącza funkcję superużytkownika, aby Richard mógł teraz odszyfrować niektóre pliki chronione przez pracownika, który opuścił firmę.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Opcje skryptów dla superu użytkowników
Często osoba, która ma przypisanego administratora usługi Azure Rights Management, musi usunąć ochronę z wielu plików w wielu lokalizacjach. Chociaż można to zrobić ręcznie, bardziej wydajne (i często bardziej niezawodne) skrypty za pomocą polecenia cmdlet Set-AIPFileLabel .
Jeśli używasz klasyfikacji i ochrony, możesz również użyć polecenia Set-AIPFileLabel , aby zastosować nową etykietę, która nie stosuje ochrony, lub usunąć etykietę, która zastosowała ochronę.
Aby uzyskać więcej informacji na temat tych poleceń cmdlet, zobacz Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide (Używanie programu PowerShell z klientem usługi Azure Information Protection w przewodniku administratora klienta usługi Azure Information Protection).
Uwaga
Moduł AzureInformationProtection różni się od modułu AIPService programu PowerShell, który zarządza usługą Azure Rights Management dla usługi Azure Information Protection.
Usuwanie ochrony plików PST
Aby usunąć ochronę plików PST, zalecamy używanie zbierania elektronicznych materiałów dowodowych z usługi Microsoft Purview do wyszukiwania i wyodrębniania chronionych wiadomości e-mail oraz chronionych załączników w wiadomościach e-mail.
Możliwość superu użytkownika jest automatycznie zintegrowana z usługą Exchange Online, dzięki czemu funkcja zbierania elektronicznych materiałów dowodowych w portal zgodności Microsoft Purview może wyszukiwać zaszyfrowane elementy przed eksportowaniem lub odszyfrowywać zaszyfrowaną wiadomość e-mail podczas eksportowania.
Jeśli nie możesz użyć Zbieranie elektronicznych materiałów dowodowych w Microsoft Purview, może istnieć inne rozwiązanie zbierania elektronicznych materiałów dowodowych, które integruje się z usługą Azure Rights Management w podobny sposób z przyczyną danych.
Jeśli rozwiązanie zbierania elektronicznych materiałów dowodowych nie może automatycznie odczytywać i odszyfrowywać chronionej zawartości, nadal można użyć tego rozwiązania w procesie wieloetapowym wraz z poleceniem cmdlet Set-AIPFileLabel :
Wyeksportuj wiadomość e-mail do pliku PST z usługi Exchange Online lub programu Exchange Server albo ze stacji roboczej, na której użytkownik przechowywał swoją wiadomość e-mail.
Zaimportuj plik PST do narzędzia zbierania elektronicznych materiałów dowodowych. Ponieważ narzędzie nie może odczytać chronionej zawartości, oczekuje się, że te elementy będą generować błędy.
Ze wszystkich elementów, których narzędzie nie mogło otworzyć, wygeneruj nowy plik PST, który tym razem zawiera tylko chronione elementy. Ten drugi plik PST będzie prawdopodobnie znacznie mniejszy niż oryginalny plik PST.
Uruchom polecenie Set-AIPFileLabel na tym drugim pliku PST, aby odszyfrować zawartość tego znacznie mniejszego pliku. Z danych wyjściowych zaimportuj teraz odszyfrowany plik PST do narzędzia odnajdywania.
Aby uzyskać bardziej szczegółowe informacje i wskazówki dotyczące przeprowadzania zbierania elektronicznych materiałów dowodowych w skrzynkach pocztowych i plikach PST, zobacz następujący wpis w blogu: Azure Information Protection i procesy zbierania elektronicznych materiałów dowodowych.