Konfigurace superuživatelů pro službu Azure Information Protection a služby zjišťování nebo obnovení datConfiguring super users for Azure Information Protection and discovery services or data recovery

*Platí pro: Azure Information Protection, Office 365**Applies to: Azure Information Protection, Office 365*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Funkce superuživatele služby Azure Rights Management, součásti Azure Information Protection, zajišťuje, aby oprávnění lidé a služby mohli vždy číst a kontrolovat data, která ve vaší organizaci Azure Rights Management chrání.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. V případě potřeby je možné ochranu odebrat nebo změnit.If necessary, the protection can then be removed or changed.

Superuživatel má vždycky ve službě Rights Management právo k používání na úrovni Úplné řízení u dokumentů a e-mailů chráněných tenantem Azure Information Protection vaší organizace.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Tato možnost se někdy označuje jako "odůvodnění nad daty" a je zásadním prvkem pro zachování kontroly nad daty vaší organizace.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. Tuto funkci byste například použili pro některý z následujících scénářů:For example, you would use this feature for any of the following scenarios:

  • Zaměstnanec opustí organizaci a potřebujete se dostat k souborům, které měl tento zaměstnanec chráněné.An employee leaves the organization and you need to read the files that they protected.

  • Správce IT musí odebrat aktuální zásady ochrany, které jsou pro soubory nakonfigurované, a aplikovat nové zásady ochrany.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server musí indexovat poštovní schránky pro operace vyhledávání.Exchange Server needs to index mailboxes for search operations.

  • Máte existující služby IT pro řešení ochrany před únikem informací, brány šifrování obsahu (CEG) a antimalwarové produkty, které musí soubory, které jsou už chráněné, zkontrolovat.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • Potřebujete soubory v souvislosti s dodržováním předpisů hromadně dešifrovat pro auditování z právních nebo jiných důvodů.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Konfigurace pro funkci superuživateleConfiguration for the super user feature

Ve výchozím nastavení není funkce superuživatele povolená a tuto roli nemají přiřazenou žádní uživatelé.By default, the super user feature is not enabled, and no users are assigned this role. Pokud nakonfigurujete konektor Rights Management pro systém Exchange a není vyžadován pro standardní služby, na kterých běží Exchange Online, Microsoft SharePoint Server nebo SharePoint v Microsoft 365, je povolen automaticky.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, Microsoft Sharepoint Server, or SharePoint in Microsoft 365.

Pokud potřebujete ručně povolit funkci superuživatele, použijte rutinu Enable-AipServiceSuperUserFeatureprostředí PowerShell a pak podle potřeby přiřaďte uživatele (nebo účty služeb) pomocí rutiny Add-AipServiceSuperUser nebo rutiny set-AipServiceSuperUserGroup a přidejte uživatele (nebo jiné skupiny) podle potřeby do této skupiny.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AipServiceSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AipServiceSuperUser cmdlet or the Set-AipServiceSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

I když se skupina pro superuživatele snadněji spravuje, pamatujte na to, že služba Azure Rights Management kvůli výkonu ukládá členství ve skupině do mezipaměti.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Takže pokud potřebujete přiřadit nového uživatele jako superuživatele k okamžitému dešifrování obsahu, přidejte tohoto uživatele pomocí Add-AipServiceSuperUser místo přidání uživatele do existující skupiny, kterou jste nakonfigurovali pomocí Set-AipServiceSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AipServiceSuperUser, rather than adding the user to an existing group that you have configured by using Set-AipServiceSuperUserGroup.

Poznámka

Pokud jste ještě nenainstalovali modul Windows PowerShell pro Azure Rights Management, přečtěte si téma Instalace modulu PowerShellu pro AIPService.If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AIPService PowerShell module.

Nezáleží na tom, že povolíte funkci superuživatele nebo když přidáte uživatele jako superuživatele.It doesn't matter when you enable the super user feature or when you add users as super users. Pokud například povolíte funkci ve čtvrtek a pak přidáte uživatele v pátek, může tento uživatel hned otevřít obsah, který byl chráněn na začátku týdne.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Osvědčené postupy zabezpečení pro funkci superuživateleSecurity best practices for the super user feature

  • Omezte a monitorujte správce, kteří mají přiřazeného globálního správce pro Microsoft 365 nebo Azure Information Protection tenanta, nebo přiřadíte roli GlobalAdministrator pomocí rutiny Add-AipServiceRoleBasedAdministrator .Restrict and monitor the administrators who are assigned a global administrator for your Microsoft 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AipServiceRoleBasedAdministrator cmdlet. Tito uživatelé můžou povolit funkci superuživatele a přiřazovat uživatele (a sami sebe) jako superuživatele a potenciálně také dešifrovat všechny soubory, které chrání vaše organizace.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Chcete-li zjistit, které uživatele a účty služeb jsou jednotlivě přiřazeny uživatelům, použijte rutinu Get-AipServiceSuperUser .To see which users and service accounts are individually assigned as super users, use the Get-AipServiceSuperUser cmdlet.

  • Pokud chcete zjistit, jestli je skupina superuživatelů nakonfigurovaná, pomocí rutiny Get-AipServiceSuperUserGroup a vašich standardních nástrojů pro správu uživatelů zkontrolujte, kteří uživatelé jsou členy této skupiny.To see whether a super user group is configured, use the Get-AipServiceSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group.

  • Stejně jako všechny akce správy, povolení nebo zakázání funkce super a přidání nebo odebrání superuživatele jsou protokolovány a lze je auditovat pomocí příkazu Get-AipServiceAdminLog .Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AipServiceAdminLog command. Například viz příklad auditování pro funkci superuživatele.For example, see Example auditing for the super user feature.

  • Pokud superuživatelé dešifrují soubory, je tato akce zaznamenána do protokolu a je možné ji auditovat prostřednictvím protokolování použití.When super users decrypt files, this action is logged and can be audited with usage logging.

    Poznámka

    I když protokoly obsahují podrobnosti o dešifrování, včetně uživatele, který soubor dešifroval, nevšimněte si, že uživatel je super uživatel.While the logs include details about the decryption, including the user who decrypted the file, they do not note when the user is a super user. Pomocí protokolů společně s rutinami uvedenými nahoře můžete shromáždit seznam superuživatelů, které můžete v protokolech identifikovat.Use the logs together with the cmdlets listed above to first collect a list of super users that you can identify in the logs.

  • Pokud nepotřebujete funkci superuživatele pro každodenní služby, povolte tuto funkci jenom v případě, že ji potřebujete, a znovu ji zakažte pomocí rutiny Disable-AipServiceSuperUserFeature .If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AipServiceSuperUserFeature cmdlet.

Příklad auditování pro funkci superuživateleExample auditing for the super user feature

Následující extrakce protokolu ukazuje několik ukázkových položek pomocí rutiny Get-AipServiceAdminLog .The following log extract shows some example entries from using the Get-AipServiceAdminLog cmdlet.

V tomto příkladě si správce společnosti Contoso Ltd ověří, že je funkce superuživatele zakázaná, přidá uživatele Richard Simone jako superuživatele, ověří, že je uživatel Richard Simone jediným superuživatelem nakonfigurovaným pro službu Azure Rights Management, a pak funkci superuživatele povolí, aby mohl Richard dešifrovat některé soubory, které zaměstnanec, který už ve společnosti není, ještě při svém působení ve společnosti nastavil jako chráněné.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Možnosti skriptování pro superuživateleScripting options for super users

Uživateli, který je přiřazený superuživatele pro Azure Rights Management, se často bude muset odebrat ochrana z více souborů ve více umístěních.Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. Je to sice možné provést ručně, efektivnější (a často spolehlivější) je ale k tomu použít tento skript.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Můžete k tomu použít rutinu Unprotect-RMSFile a podle potřeby rutinu Protect-RMSFile.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Pokud používáte klasifikaci a ochranu, můžete použít také Set-AIPFileLabel a použít nový popisek, který nepoužije ochranu, nebo odebrat ten popisek, který ochranu použil.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Další informace o těchto rutinách najdete v článku Použití PowerShellu s klientem služby Azure Information Protection z příručky pro správce klienta služby Azure Information Protection.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Poznámka

Modul AzureInformationProtection se liší od a doplňuje modul AIPService PowerShellu , který spravuje službu Azure Rights Management pro Azure Information Protection.The AzureInformationProtection module is different from and supplements the AIPService PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

Doprovodné materiály k používání Unprotect-RMSFile pro eDiscoveryGuidance for using Unprotect-RMSFile for eDiscovery

I když můžete použít rutinu Unprotect-RMSFile k dešifrování chráněného obsahu v souborech PST, použijte tuto rutinu strategickou jako součást procesu eDiscovery.Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. Spouštění Unprotect-RMSFile u velkých souborů v počítači je náročné na prostředky (paměť a místo na disku) a maximální velikost souboru podporovaná touto rutinou je 5 GB.Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

V ideálním případě použijte eDiscovery v Microsoft 365 k vyhledávání a extrahování chráněných e-mailů a chráněných příloh v e-mailechIdeally, use eDiscovery in Microsoft 365 to search and extract protected emails and protected attachment in emails. Možnost superuživatele se automaticky integruje s Exchangem Online, takže v centru zabezpečení Office 365 Security & Security Center nebo v centru pro dodržování předpisů Microsoft 365 může vyhledat šifrované položky před exportem nebo dešifrovat šifrovaný e-mail při exportu.The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 compliance center can search for encrypted items prior to export, or decrypt encrypted email on export.

Pokud Microsoft 365 eDiscovery nemůžete použít, můžete mít jiné řešení eDiscovery, které se integruje se službou Azure Rights Management s podobným důvodem pro data.If you cannot use Microsoft 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. Nebo, pokud vaše řešení eDiscovery nemůže automaticky číst a dešifrovat chráněný obsah, můžete toto řešení i nadále používat v procesu s více kroky, který vám umožní pracovat Unprotect-RMSFile efektivněji:Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. Exportujte daný e-mail do souboru PST z Exchange Online nebo Exchange serveru nebo z pracovní stanice, kam uživatel uložil e-mail.Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. Importujte soubor PST do nástroje eDiscovery.Import the PST file into your eDiscovery tool. Vzhledem k tomu, že nástroj nemůže číst chráněný obsah, očekává se, že tyto položky budou generovat chyby.Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. Ze všech položek, které se nástroj nepodařilo otevřít, vygenerujte nový soubor PST, který tento čas obsahuje, pouze chráněné položky.From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. Druhý soubor PST bude pravděpodobně mnohem menší než původní soubor PST.This second PST file will likely be much smaller than the original PST file.

  4. V tomto druhém souboru PST spusťte Unprotect-RMSFile k dešifrování obsahu tohoto mnohem menšího souboru.Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. Z výstupu importujte nyní dešifrovaný soubor PST do nástroje pro zjišťování.From the output, import the now-decrypted PST file into your discovery tool.

Podrobnější informace a pokyny pro provádění služby eDiscovery napříč poštovními schránkami a soubory PST najdete v následujícím blogovém příspěvku: procesy Azure Information Protection a eDiscovery.For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.