Konfigurace superuživatelů pro službu Azure Information Protection a služby zjišťování nebo obnovení dat

  • Článek

Funkce superuživatele služby Azure Rights Management ze služby Azure Information Protection zajišťuje, aby autorizovaní lidé a služby mohli vždy číst a kontrolovat data, která Azure Rights Management chrání pro vaši organizaci. V případě potřeby lze ochranu odebrat nebo změnit.

Superuživatel má vždy právo na používání úplné správy přístupových práv k dokumentům a e-mailům chráněným tenantem Služby Azure Information Protection vaší organizace. Tato schopnost se někdy označuje jako "odůvodnění dat" a je zásadním prvkem při zachování kontroly nad daty vaší organizace. Tuto funkci byste například použili pro některý z následujících scénářů:

  • Zaměstnanec opustí organizaci a budete si muset přečíst soubory, které chránil.

  • Správce IT musí odebrat aktuální zásady ochrany nakonfigurované pro soubory a použít nové zásady ochrany.

  • Exchange Server potřebuje indexovat poštovní schránky pro operace vyhledávání.

  • Máte stávající IT služby pro řešení ochrany před únikem informací, brány šifrování obsahu (CEG) a antimalwarové produkty, které potřebují zkontrolovat soubory, které už jsou chráněné.

  • Soubory musíte hromadně dešifrovat z důvodů auditování, právních nebo jiných důvodů dodržování předpisů.

Konfigurace funkce superuživatele

Ve výchozím nastavení není funkce superuživatele povolená a k této roli nejsou přiřazeni žádní uživatelé. Povolí se automaticky, pokud nakonfigurujete konektor Rights Management pro Exchange a pro standardní služby, na kterých běží Exchange Online, Microsoft SharePoint Server nebo SharePoint v Microsoftu 365, se nevyžaduje.

Pokud potřebujete funkci superuživatele povolit ručně, použijte rutinu PowerShellu Enable-AipServiceSuperUserFeature a podle potřeby přiřaďte uživatele (nebo účty služeb) pomocí rutiny Add-AipServiceSuperUserUser Nebo rutiny Set-AipServiceSuperUserGroup a podle potřeby přidejte do této skupiny uživatele (nebo jiné skupiny).

I když je používání skupiny pro superuživatele jednodušší, mějte na paměti, že z důvodů výkonu azure Rights Management ukládá členství ve skupině do mezipaměti. Pokud tedy potřebujete přiřadit nového uživatele, aby byl superuživatelem k okamžitému dešifrování obsahu, přidejte ho pomocí rutiny Add-AipServiceSuperUser místo přidání uživatele do existující skupiny, kterou jste nakonfigurovali pomocí Set-AipServiceSuperUserGroup.

Poznámka:

  • Při přidávání uživatele pomocí rutiny Add-AipServiceSuperUser musíte do skupiny přidat také primární poštovní adresu nebo hlavní název uživatele. E-mailové aliasy se nevyhodnocují.

  • Pokud jste ještě nenainstalovali modul Windows PowerShell pro Azure Rights Management, přečtěte si téma Instalace modulu AIPService PowerShellu.

Nezáleží na tom, jestli povolíte funkci superuživatele nebo když přidáte uživatele jako superuživatele. Pokud například funkci povolíte ve čtvrtek a pak přidáte uživatele v pátek, může tento uživatel okamžitě otevřít obsah chráněný na začátku týdne.

Osvědčené postupy zabezpečení pro funkci superuživatele

  • Omezte a monitorujte správce, kteří mají přiřazeného globálního správce pro vašeho tenanta Microsoftu 365 nebo Azure Information Protection nebo kteří mají přiřazenou globální roli Správa istrator pomocí rutiny Add-AipServiceRoleBased Správa istrator. Tito uživatelé můžou funkci superuživatele povolit a přiřadit uživatele (a sami) jako superuživatele a potenciálně dešifrovat všechny soubory, které vaše organizace chrání.

  • Pokud chcete zjistit, kteří uživatelé a účty služeb jsou jednotlivě přiřazeni jako superuživatelé, použijte rutinu Get-AipServiceSuperUser .

  • Pokud chcete zjistit, jestli je nakonfigurovaná skupina superuživatelů, pomocí rutiny Get-AipServiceSuperUserGroup a standardních nástrojů pro správu uživatelů zkontrolujte, kteří uživatelé jsou členy této skupiny.

  • Stejně jako všechny akce správy, povolení nebo zakázání superuživatele a přidání nebo odebrání superuživatelů se protokolují a je možné je auditovat pomocí příkazu Get-AipService Správa Log. Příklad auditování pro funkci superuživatele.

  • Když superuživatelé dešifrují soubory, tato akce se zaprotokoluje a dá se auditovat pomocí protokolování využití.

    Poznámka:

    I když protokoly obsahují podrobnosti o dešifrování, včetně uživatele, který soubor dešifroval, nezaznamenávají, když je uživatel superuživatelem. Pomocí protokolů společně s výše uvedenými rutinami nejprve shromážděte seznam superuživatelů, které můžete v protokolech identifikovat.

  • Pokud nepotřebujete funkci superuživatele pro každodenní služby, povolte ji jenom v případě, že ji potřebujete, a znovu ji zakažte pomocí rutiny Disable-AipServiceSuperUserFeature .

Příklad auditování pro funkci superuživatele

Následující extrakce protokolu ukazuje některé ukázkové položky z rutiny Get-AipService Správa Log.

V tomto příkladu správce společnosti Contoso Ltd potvrdí, že je funkce superuživatele zakázaná, přidá Richarda Simona jako superuživatele, zkontroluje, jestli je Richard jediným superuživatelem nakonfigurovaným pro službu Azure Rights Management, a potom povolí funkci superuživatele, aby Richard mohl dešifrovat některé soubory chráněné zaměstnancem, který teď opustil společnost.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Možnosti skriptování pro superuživatele

Někdo, kdo má přiřazeného superuživatele pro Azure Rights Management, bude často muset odebrat ochranu z více souborů v několika umístěních. I když je to možné provést ručně, je efektivnější (a často spolehlivější) skriptovat pomocí rutiny Set-AIPFileLabel .

Pokud používáte klasifikaci a ochranu, můžete použít také Set-AIPFileLabel k použití nového popisku, který nepoužívá ochranu, nebo odebrat popisek, který použil ochranu.

Další informace o těchto rutinách najdete v tématu Použití PowerShellu s klientem služby Azure Information Protection z příručky pro správu klienta služby Azure Information Protection.

Poznámka:

Modul AzureInformationProtection se liší od modulu AIPService PowerShellu, který spravuje službu Azure Rights Management pro Azure Information Protection.

Odebrání ochrany souborů PST

Pokud chcete odebrat ochranu u souborů PST, doporučujeme používat eDiscovery z Microsoft Purview k vyhledávání a extrahování chráněných e-mailů a chráněných příloh v e-mailech.

Schopnost superuživatele je automaticky integrovaná s Exchangem Online, aby služba eDiscovery v Portál dodržování předpisů Microsoft Purview před exportem vyhledala šifrované položky nebo dešifrovala šifrované e-maily při exportu.

Pokud nemůžete použít Microsoft Purview eDiscovery, můžete mít jiné řešení eDiscovery, které se integruje se službou Azure Rights Management, aby se podobným důvodem k datům.

Nebo pokud vaše řešení eDiscovery nemůže automaticky číst a dešifrovat chráněný obsah, můžete toto řešení dál používat v procesu s více kroky společně s rutinou Set-AIPFileLabel :

  1. Exportujte příslušný e-mail do souboru PST z Exchange Online nebo Exchange Serveru nebo z pracovní stanice, kde uživatel uložil svůj e-mail.

  2. Naimportujte soubor PST do nástroje eDiscovery. Protože nástroj nemůže číst chráněný obsah, očekává se, že tyto položky budou generovat chyby.

  3. Ze všech položek, které nástroj nemohl otevřít, vygenerujte nový soubor PST, který tentokrát obsahuje pouze chráněné položky. Tento druhý soubor PST bude pravděpodobně mnohem menší než původní soubor PST.

  4. Spusťte Set-AIPFileLabel na tomto druhém souboru PST a dešifrujte obsah tohoto mnohem menšího souboru. Z výstupu naimportujte nyní dešifrovaný soubor PST do nástroje pro zjišťování.

Podrobnější informace a pokyny k provádění eDiscovery v poštovních schránkách a souborech PST najdete v následujícím blogovém příspěvku: Azure Information Protection a procesy eDiscovery.