Configuring super users for Azure Information Protection and discovery services or data recovery (Configurar superutilizadores para o Azure Information Protection e serviços de deteção ou recuperação de dados)
O recurso de superusuário do serviço Azure Rights Management da Proteção de Informações do Azure garante que pessoas e serviços autorizados sempre possam ler e inspecionar os dados que o Azure Rights Management protege para sua organização. Se necessário, a proteção pode ser removida ou alterada.
Um superusuário sempre tem o direito de uso do Controle Total do Rights Management para documentos e emails que foram protegidos pelo locatário da Proteção de Informações do Azure da sua organização. Essa capacidade às vezes é chamada de "raciocínio sobre dados" e é um elemento crucial para manter o controle dos dados da sua organização. Por exemplo, você usaria esse recurso para qualquer um dos seguintes cenários:
Um funcionário sai da organização e você precisa ler os arquivos que eles protegeram.
Um administrador de TI precisa remover a política de proteção atual que foi configurada para arquivos e aplicar uma nova política de proteção.
O Exchange Server precisa indexar caixas de correio para operações de pesquisa.
Você tem serviços de TI existentes para soluções de prevenção de perda de dados (DLP), gateways de criptografia de conteúdo (CEG) e produtos antimalware que precisam inspecionar arquivos que já estão protegidos.
Precisa de desencriptar ficheiros em massa por razões de auditoria, legais ou outras razões de conformidade.
Configuração para o recurso de superusuário
Por padrão, o recurso de superusuário não está habilitado e nenhum usuário recebe essa função. Ele será habilitado automaticamente se você configurar o conector Rights Management para Exchange e não será necessário para serviços padrão que executam o Exchange Online, o Microsoft Sharepoint Server ou o SharePoint no Microsoft 365.
Se você precisar habilitar manualmente o recurso de superusuário, use o cmdlet do PowerShell Enable-AipServiceSuperUserFeature e, em seguida, atribua usuários (ou contas de serviço) conforme necessário usando o cmdlet Add-AipServiceSuperUser ou o cmdlet Set-AipServiceSuperUserGroup e adicione usuários (ou outros grupos) conforme necessário a esse grupo.
Embora o uso de um grupo para seus superusuários seja mais fácil de gerenciar, esteja ciente de que, por motivos de desempenho, o Azure Rights Management armazena em cache a associação ao grupo. Portanto, se você precisar atribuir um novo usuário para ser um superusuário para descriptografar o conteúdo imediatamente, adicione esse usuário usando Add-AipServiceSuperUser, em vez de adicionar o usuário a um grupo existente que você configurou usando Set-AipServiceSuperUserGroup.
Nota
Ao adicionar um usuário com o cmdlet Add-AipServiceSuperUser, você também deve adicionar o endereço de email principal ou o nome principal do usuário ao grupo. Os aliases de e-mail não são avaliados.
Se você ainda não instalou o módulo do Windows PowerShell para o Azure Rights Management, consulte Instalando o módulo AIPService PowerShell.
Não importa quando você habilita o recurso de superusuário ou quando adiciona usuários como superusuários. Por exemplo, se você ativar o recurso na quinta-feira e, em seguida, adicionar um usuário na sexta-feira, esse usuário poderá abrir imediatamente o conteúdo que foi protegido no início da semana.
Práticas recomendadas de segurança para o recurso de superusuário
Restrinja e monitore os administradores aos quais é atribuído um administrador global para seu locatário do Microsoft 365 ou da Proteção de Informações do Azure ou aos quais é atribuída a função GlobalAdministrator usando o cmdlet Add-AipServiceRoleBasedAdministrator . Esses usuários podem habilitar o recurso de superusuário e atribuir usuários (e a si mesmos) como superusuários e, potencialmente, descriptografar todos os arquivos que sua organização protege.
Para ver quais usuários e contas de serviço são atribuídos individualmente como superusuários, use o cmdlet Get-AipServiceSuperUser .
Para ver se um grupo de superusuários está configurado, use o cmdlet Get-AipServiceSuperUserGroup e suas ferramentas padrão de gerenciamento de usuários para verificar quais usuários são membros desse grupo.
Como todas as ações de administração, habilitar ou desabilitar o superrecurso e adicionar ou remover superusuários são registrados e podem ser auditados usando o comando Get-AipServiceAdminLog . Por exemplo, consulte Exemplo de auditoria para o recurso de superusuário.
Quando os superutilizadores desencriptam ficheiros, esta ação é registada e pode ser auditada com registo de utilização.
Nota
Embora os logs incluam detalhes sobre a descriptografia, incluindo o usuário que descriptografou o arquivo, eles não observam quando o usuário é um superusuário. Use os logs juntamente com os cmdlets listados acima para primeiro coletar uma lista de superusuários que você pode identificar nos logs.
Se você não precisar do recurso de superusuário para serviços diários, habilite-o somente quando precisar dele e desative-o novamente usando o cmdlet Disable-AipServiceSuperUserFeature .
Exemplo de auditoria para o recurso de superusuário
A extração de log a seguir mostra algumas entradas de exemplo do uso do cmdlet Get-AipServiceAdminLog .
Neste exemplo, o administrador da Contoso Ltd confirma que o recurso de superusuário está desabilitado, adiciona Richard Simone como um superusuário, verifica se Richard é o único superusuário configurado para o serviço Azure Rights Management e, em seguida, habilita o recurso de superusuário para que Richard possa agora descriptografar alguns arquivos que foram protegidos por um funcionário que agora deixou a empresa.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Opções de script para superusuários
Muitas vezes, alguém a quem é atribuído um superutilizador para o Azure Rights Management terá de remover a proteção de vários ficheiros, em várias localizações. Embora seja possível fazer isso manualmente, é mais eficiente (e muitas vezes mais confiável) criar scripts usando o cmdlet Set-AIPFileLabel .
Se você estiver usando classificação e proteção, também poderá usar o Set-AIPFileLabel para aplicar um novo rótulo que não aplique proteção ou remover o rótulo que aplicou proteção.
Para obter mais informações sobre esses cmdlets, consulte Usando o PowerShell com o cliente do Azure Information Protection no guia de administração do cliente do Azure Information Protection.
Nota
O módulo AzureInformationProtection é diferente e complementa o módulo AIPService PowerShell que gerencia o serviço Azure Rights Management para Proteção de Informações do Azure.
Removendo a proteção em arquivos PST
Para remover a proteção em arquivos PST, recomendamos que você use o eDiscovery do Microsoft Purview para pesquisar e extrair e-mails protegidos e anexos protegidos em e-mails.
A capacidade de superusuário é integrada automaticamente ao Exchange Online para que a Descoberta Eletrônica no portal de conformidade do Microsoft Purview possa procurar itens criptografados antes da exportação ou descriptografar emails criptografados na exportação.
Se você não puder usar a Descoberta Eletrônica do Microsoft Purview, poderá ter outra solução de Descoberta Eletrônica que se integre ao serviço Azure Rights Management para raciocinar de forma semelhante sobre os dados.
Ou, se sua solução de Descoberta Eletrônica não puder ler e descriptografar automaticamente o conteúdo protegido, você ainda poderá usar essa solução em um processo de várias etapas junto com o cmdlet Set-AIPFileLabel :
Exporte o email em questão para um arquivo PST do Exchange Online ou do Exchange Server, ou da estação de trabalho onde o usuário armazenou seu email.
Importe o arquivo PST para sua ferramenta de Descoberta Eletrônica. Como a ferramenta não pode ler conteúdo protegido, espera-se que esses itens gerem erros.
De todos os itens que a ferramenta não conseguiu abrir, gere um novo arquivo PST que, desta vez, contém apenas itens protegidos. Este segundo arquivo PST provavelmente será muito menor do que o arquivo PST original.
Execute Set-AIPFileLabel neste segundo ficheiro PST para desencriptar o conteúdo deste ficheiro muito mais pequeno. A partir da saída, importe o ficheiro PST agora desencriptado para a sua ferramenta de descoberta.
Para obter informações mais detalhadas e orientações para executar a Descoberta Eletrônica em caixas de correio e arquivos PST, consulte a seguinte postagem no blog: Proteção de Informações do Azure e Processos de Descoberta Eletrônica.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários