Konfigurace superuživatelů pro službu Azure Rights Management, pro službu zjišťování nebo pro obnovení datConfiguring super users for Azure Rights Management and discovery services or data recovery

Platí pro: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Funkce superuživatele služby Azure Rights Management, součásti Azure Information Protection, zajišťuje, aby oprávnění lidé a služby mohli vždy číst a kontrolovat data, která ve vaší organizaci Azure Rights Management chrání.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. V případě potřeby je také možné ochranu odebrat, případně ochranu, která byla dříve nastavena, změnit.And if necessary, remove the protection or change the protection that was previously applied.

Superuživatel má vždycky ve službě Rights Management právo k používání na úrovni Úplné řízení u dokumentů a e-mailů chráněných tenantem Azure Information Protection vaší organizace.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Tato schopnost se někdy označuje jako "reasoning over data" a je velmi důležitý prvek pro zachování kontroly nad daty vaší organizace.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. Tuto funkci byste například použili pro některý z následujících scénářů:For example, you would use this feature for any of the following scenarios:

  • Zaměstnanec opustí organizaci a potřebujete se dostat k souborům, které měl tento zaměstnanec chráněné.An employee leaves the organization and you need to read the files that they protected.

  • Správce IT musí odebrat aktuální zásady ochrany, které jsou pro soubory nakonfigurované, a aplikovat nové zásady ochrany.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server musí indexovat poštovní schránky pro operace vyhledávání.Exchange Server needs to index mailboxes for search operations.

  • Máte existující služby IT pro řešení ochrany před únikem informací, brány šifrování obsahu (CEG) a antimalwarové produkty, které musí soubory, které jsou už chráněné, zkontrolovat.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • Potřebujete soubory v souvislosti s dodržováním předpisů hromadně dešifrovat pro auditování z právních nebo jiných důvodů.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Konfigurace pro funkci superuživateleConfiguration for the super user feature

Ve výchozím nastavení není funkce superuživatele povolená a tuto roli nemají přiřazenou žádní uživatelé.By default, the super user feature is not enabled, and no users are assigned this role. Automaticky se povolí, když nakonfigurujete konektor Rights Management pro Exchange, a není nutná pro standardní služby, které běží na Exchangi Online, SharePointu Online nebo SharePoint Serveru.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, SharePoint Online, or SharePoint Server.

Pokud potřebujete funkci superuživatele povolit ručně, použijte powershellovou rutinu Enable-AadrmSuperUserFeature a pak podle potřeby přiřaďte uživatele (nebo účty služby) pomocí rutiny Add-AadrmSuperUser, nebo použijte rutinu Set-AadrmSuperUserGroup a podle potřeby přidejte do této skupiny uživatele (nebo jiné skupiny).If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AadrmSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AadrmSuperUser cmdlet or the Set-AadrmSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

I když se skupina pro superuživatele snadněji spravuje, pamatujte na to, že služba Azure Rights Management kvůli výkonu ukládá členství ve skupině do mezipaměti.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Pokud tedy potřebujete nového uživatele přiřadit jako superuživatele, aby mohl okamžitě dešifrovat obsah, přidejte ho pomocí rutiny Add-AadrmSuperUser, místo abyste ho přidali do existující skupiny, kterou jste nakonfigurovali pomocí rutiny Set-AadrmSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AadrmSuperUser, rather than adding the user to an existing group that you have configured by using Set-AadrmSuperUserGroup.

Poznámka

Pokud jste ještě nenainstalovali modul Windows PowerShell pro Azure Rights ManagementAzure Rights Management, najdete v části instalace modulu prostředí PowerShell AADRM.If you have not yet installed the Windows PowerShell module for Azure Rights ManagementAzure Rights Management, see Installing the AADRM PowerShell module.

Když povolíte funkci superuživatele nebo při přidávání uživatele jako superuživatele nezáleží.It doesn't matter when you enable the super user feature or when you add users as super users. Například pokud povolíte funkci na čtvrtek a potom ho přidat uživatele na pátek, tento uživatel okamžitě otevřít obsah, který byl chráněn od samého začátku týdne.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Osvědčené postupy zabezpečení pro funkci superuživateleSecurity best practices for the super user feature

  • Omezte a monitorujte správce, kteří mají přiřazenou roli globálního správce pro tenanta Office 365 nebo Azure Information Protection nebo kteří mají přiřazenou roli GlobalAdministrator pomocí rutiny Add-AadrmRoleBasedAdministrator.Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AadrmRoleBasedAdministrator cmdlet. Tito uživatelé můžou povolit funkci superuživatele a přiřazovat uživatele (a sami sebe) jako superuživatele a potenciálně také dešifrovat všechny soubory, které chrání vaše organizace.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Pokud chcete zjistit, kteří uživatelé (a které účty služeb) jsou jednotlivě přiřazeni jako superuživatelé, použijte rutinu Get-AadrmSuperUser.To see which users and service accounts are individually assigned as super users, use the Get-AadrmSuperUser cmdlet. Pokud chcete zjistit, jestli je nakonfigurovaná skupina superuživatelů, pak pomocí rutiny Get-AadrmSuperUser a standardních nástrojů pro správu uživatelů zjistěte, kteří uživatelé jsou členy této skupiny.To see whether a super user group is configured, use the Get-AadrmSuperUser cmdlet and your standard user management tools to check which users are a member of this group. Podobně jako všechny akce správy se i povolení nebo zakázání funkce superuživatele a přidání nebo odebrání superuživatelů ukládají do protokolu a je možné je auditovat pomocí příkazu Get-AadrmAdminLog.Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AadrmAdminLog command. Najdete v části Další příklad.See the next section for an example. Pokud superuživatelé dešifrují soubory, je tato akce zaznamenána do protokolu a je možné ji auditovat prostřednictvím protokolování použití.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Pokud funkci superuživatele nepotřebujete pro každodenní služby, povolte ji jenom tehdy, kdy ji potřebujete, a pak ji pomocí rutiny Disable-AadrmSuperUserFeature zase zakažte.If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AadrmSuperUserFeature cmdlet.

Příklad auditování pro funkci superuživateleExample auditing for the super user feature

V následujícím výpisu protokolu vidíte ukázkové položky pomocí Get-AadrmAdminLog rutiny.The following log extract shows some example entries from using the Get-AadrmAdminLog cmdlet.

V tomto příkladě si správce společnosti Contoso Ltd ověří, že je funkce superuživatele zakázaná, přidá uživatele Richard Simone jako superuživatele, ověří, že je uživatel Richard Simone jediným superuživatelem nakonfigurovaným pro službu Azure Rights Management, a pak funkci superuživatele povolí, aby mohl Richard dešifrovat některé soubory, které zaměstnanec, který už ve společnosti není, ještě při svém působení ve společnosti nastavil jako chráněné.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Možnosti skriptování pro superuživateleScripting options for super users

Často bude uživatel, který má přiřazená práva superuživatele pro Azure Rights ManagementAzure Rights Management, muset odebrat ochranu pro větší počet souborů v několika umístěních.Often, somebody who is assigned a super user for Azure Rights ManagementAzure Rights Management will need to remove protection from multiple files, in multiple locations. Je to sice možné provést ručně, efektivnější (a často spolehlivější) je ale k tomu použít tento skript.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Můžete k tomu použít rutinu Unprotect-RMSFile a podle potřeby rutinu Protect-RMSFile.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Pokud používáte klasifikaci a ochranu, můžete použít také Set-AIPFileLabel a použít nový popisek, který nepoužije ochranu, nebo odebrat ten popisek, který ochranu použil.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Další informace o těchto rutinách najdete v článku Použití PowerShellu s klientem služby Azure Information Protection z příručky pro správce klienta služby Azure Information Protection.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Poznámka

Modul AzureInformationProtection nahrazuje powershellový modul RMS Protection, který se nainstaloval s nástrojem RMS Protection.The AzureInformationProtection module replaces the RMS Protection PowerShell module that installed with the RMS Protection Tool. Oba tyto moduly se liší od a doplňuje modul prostředí PowerShell pro Azure Rights Management.Both these modules are different from and supplements the PowerShell module for Azure Rights Management. Modul AzureInformationProtection podporuje službu Azure Information Protection, službu Azure Rights Management (Azure RMS) pro Azure Information Protection a službu AD RMS (Active Directory Rights Management Services).The AzureInformationProtection module supports Azure Information Protection, the Azure Rights Management service (Azure RMS) for Azure Information Protection, and Active Directory Rights Management Services (AD RMS).

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.