Configuring super users for Azure Information Protection and discovery services or data recovery (Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder Wiederherstellung von Daten)Configuring super users for Azure Information Protection and discovery services or data recovery

Gilt für: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Die Administratorfunktion des Azure Rights Management-Diensts aus Azure Information Protection stellt sicher, dass autorisierte Personen und Dienste immer auf die Daten, die mit Azure Rights Management für Ihre Organisation geschützt werden, zugreifen und diese überprüfen können.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. Bei Bedarf kann der Schutz anschließend entfernt oder geändert werden.If necessary, the protection can then be removed or changed.

Ein Administrator verfügt immer über das Rights Management-Nutzungsrecht zum Vollzugriff auf durch den Azure Information Protection-Mandanten Ihrer Organisation geschützte Dokumente und E-Mails.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Diese Fähigkeit wird gelegentlich als „Schlussfolgern über Daten“ (reasoning over data) bezeichnet und ist ein ausschlaggebendes Element dabei, die Kontrolle über die Daten Ihrer Organisation zu behalten.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. Sie verwenden diese Funktion beispielsweise für die folgenden Szenarien:For example, you would use this feature for any of the following scenarios:

  • Ein Mitarbeiter verlässt die Organisation, und Sie müssen alle Dateien lesen können, die von dieser Person geschützt wurden.An employee leaves the organization and you need to read the files that they protected.

  • Ein IT-Administrator muss die aktuelle Schutzrichtlinie entfernen, die für Dateien konfiguriert wurde, und eine neue Schutzrichtlinie anwenden.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server muss Postfächer für Suchvorgänge indizieren.Exchange Server needs to index mailboxes for search operations.

  • Sie verfügen über IT-Dienste für DLP-Lösungen (Data Loss Prevention, Verhinderung von Datenverlust), über Inhaltsverschlüsselungsgateways (Content Encryption Gateways, CEGs) und Antischadsoftware, die Dateien überprüfen müssen, die bereits geschützt sind.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • Sie müssen große Mengen von Dateien in einem Zug zu Überwachungszwecken oder aus rechtlichen oder anderen Compliance-Gründen entschlüsseln.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Konfiguration für das AdministratorfeatureConfiguration for the super user feature

Standardmäßig ist die Administratorfunktion nicht aktiviert, und dieser Rolle sind keine Benutzer zugeordnet.By default, the super user feature is not enabled, and no users are assigned this role. Sie wird automatisch für Sie aktiviert, wenn Sie den Rights Management Connector für Exchange konfigurieren. Dies ist für Standarddienste, die Exchange Online, Microsoft SharePoint Server oder SharePoint in Microsoft 365 ausführen, nicht erforderlich.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, Microsoft Sharepoint Server, or SharePoint in Microsoft 365.

Wenn Sie die Administrator Funktion manuell aktivieren müssen, verwenden Sie das PowerShell-Cmdlet enable-aipservicesuperuserfeature, und weisen Sie dann Benutzer (oder Dienst Konten) nach Bedarf mithilfe des Cmdlets Add-aipservicesuperuser oder des Cmdlets Set-aipservicesuperusergroup zu, und fügen Sie dieser Gruppe ggf. Benutzer (oder andere Gruppen) hinzu.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AipServiceSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AipServiceSuperUser cmdlet or the Set-AipServiceSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Obwohl es einfacher ist, eine Gruppe für Ihre Administratoren zu verwalten, seien Sie sich bewusst, dass Azure Rights Management aus Leistungsgründen die Gruppenmitgliedschaft zwischenspeichert.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Wenn Sie also einen neuen Benutzer als Administrator zuweisen müssen, um Inhalt sofort zu entschlüsseln, fügen Sie diesen Benutzer mithilfe von Add-aipservicesuperuser hinzu, anstatt ihn zu einer vorhandenen Gruppe hinzuzufügen, die Sie mithilfe von Set-aipservicesuperusergroup konfiguriert haben.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AipServiceSuperUser, rather than adding the user to an existing group that you have configured by using Set-AipServiceSuperUserGroup.

Hinweis

Wenn Sie das Windows PowerShell-Modul für Azure Rights Management noch nicht installiert haben, finden Sie weitere Informationen unter Installieren des PowerShell-Moduls für aipservice.If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AIPService PowerShell module.

Es spielt keine Rolle, wann Sie das Administratorfeature aktivieren oder wann Sie Benutzer als Administratoren hinzufügen.It doesn't matter when you enable the super user feature or when you add users as super users. Wenn Sie beispielsweise das Feature am Donnerstag aktivieren und einen Benutzer am Freitag hinzufügen, kann dieser Benutzer sofort den Inhalt öffnen, der zu Wochenbeginn geschützt wurde.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Bewährte Sicherheitsmethoden für das AdministratorfeatureSecurity best practices for the super user feature

  • Beschränken und überwachen Sie die Administratoren, die als globaler Administrator für Ihre Office 365-oder Azure Information Protection-Mandanten fungieren oder denen mithilfe des Cmdlets Add-aipservicerolebasedadministrator die Rolle "Global Administrator" zugewiesen ist.Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AipServiceRoleBasedAdministrator cmdlet. Diese Benutzer können die Administratorfunktion aktivieren und Benutzer (und sich selbst) als Administratoren festlegen und damit potenziell alle Dateien entschlüsseln, die von Ihrer Organisation geschützt werden.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Verwenden Sie das Cmdlet Get-aipservicesuperuser , um anzuzeigen, welche Benutzer und Dienst Konten einzeln als Administratoren zugewiesen werden.To see which users and service accounts are individually assigned as super users, use the Get-AipServiceSuperUser cmdlet. Um festzustellen, ob eine Administrator Gruppe konfiguriert ist, verwenden Sie das Cmdlet Get-aipservicesuperusergroup und ihre Standardbenutzer Verwaltungs Tools, um zu überprüfen, welche Benutzer Mitglied dieser Gruppe sind.To see whether a super user group is configured, use the Get-AipServiceSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group. Wie alle Verwaltungs Aktionen werden auch das Aktivieren oder Deaktivieren der Administrator Funktion sowie das Hinzufügen oder Entfernen von Administratoren protokolliert und können mithilfe des Befehls Get-aipserviceadminlog überwacht werden.Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AipServiceAdminLog command. Ein Beispiel finden Sie im nächsten Abschnitt.See the next section for an example. Wenn Administratoren Dateien entschlüsseln, wird dieser Vorgang ebenfalls protokolliert und kann mit der Verwendungsprotokollierung überwacht werden.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Wenn Sie die Administrator Funktion für die alltäglichen Dienste nicht benötigen, aktivieren Sie die Funktion nur, wenn Sie Sie benötigen, und deaktivieren Sie Sie mithilfe des Cmdlets " Deaktivieren-aipservicesuperuserfeature " erneut.If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AipServiceSuperUserFeature cmdlet.

Beispielüberprüfung für das AdministratorfeatureExample auditing for the super user feature

Der folgende Protokollauszug zeigt einige Beispiel Einträge aus der Verwendung des Cmdlets Get-aipserviceadminlog .The following log extract shows some example entries from using the Get-AipServiceAdminLog cmdlet.

In diesem Beispiel bestätigt der Administrator von Contoso Ltd., dass die Administratorfunktion deaktiviert ist, fügt Richard Simone als Administrator hinzu, überprüft, ob Richard der einzige für den Azure Rights Management-Dienst konfigurierte Administrator ist, und aktiviert dann die Administratorfunktion, damit Richard nun einige Dateien entschlüsseln kann, die zuvor von einem Mitarbeiter geschützt wurden, der das Unternehmen mittlerweile verlassen hat.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Skriptoptionen für AdministratorenScripting options for super users

Eine Person, die als Administrator für Azure Rights Management fungiert, muss häufig den Schutz von mehreren Dateien an mehreren Speicherorten aufheben.Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. Dies kann zwar manuell erfolgen, es ist jedoch effizienter (und häufig auch zuverlässiger), wenn ein Skript verwendet wird.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Verwenden Sie dazu die Cmdlets Unprotect-RMSFile und Protect-RMSFile.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Wenn Sie die Klassifizierung und den Schutz verwenden, können Sie auch das Cmdlet Set-AIPFileLabel nutzen, um eine neue Bezeichnung ohne Schutz anzuwenden, oder die Bezeichnung entfernen, die einen entsprechenden Schutz angewendet hat.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Weitere Informationen zu diesen Cmdlets finden Sie im Administratorhandbuch für den Azure Information Protection-Client unter Verwenden von PowerShell mit dem Azure Information Protection-Client.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Hinweis

Das azureinformationprotection-Modul unterscheidet sich von und ergänzt das aipservice-PowerShell-Modul , das den Azure Rights Management-Dienst für Azure Information Protection verwaltet.The AzureInformationProtection module is different from and supplements the AIPService PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

Anleitung für die Verwendung von Unprotect-RMSFile für eDiscoveryGuidance for using Unprotect-RMSFile for eDiscovery

Obwohl Sie das Cmdlet Unprotect-RMSFile zum Entschlüsseln geschützter Inhalte in PST-Dateien verwenden können, sollten Sie dieses Cmdlet strategisch als Teil des eDiscovery-Prozesses verwenden.Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. Die Ausführung von Unprotect-RMSFile für große Dateien auf einem Computer ist ressourcenintensiv (Arbeitsspeicher und Speicherplatz auf dem Datenträger), und die maximal unterstützte Dateigröße für dieses Cmdlet beträgt 5 GB.Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

Im Idealfall verwenden Sie Office 365 eDiscovery, um geschützte E-Mails und geschützte Anlagen in E-Mails zu suchen und zu extrahieren.Ideally, use Office 365 eDiscovery to search and extract protected emails and protected attachment in emails. Die Administratorfähigkeit ist automatisch in Exchange Online integriert, sodass eDiscovery im Office 365 Security & Compliance Center oder das Microsoft 365 Compliance Center vor dem Export nach verschlüsselten Elementen suchen oder verschlüsselte E-Mails beim Export entschlüsseln kann.The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 compliance center can search for encrypted items prior to export, or decrypt encrypted email on export.

Wenn Sie Office 365 eDiscovery nicht verwenden können, verfügen Sie möglicherweise über eine andere eDiscovery-Lösung, die in den Azure Rights Management-Dienst integriert werden kann, um ähnlich über Daten zu urteilen.If you cannot use Office 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. Wenn Ihre eDiscovery-Lösung geschützte Inhalte nicht automatisch lesen und entschlüsseln kann, können Sie diese Lösung auch weiterhin in einem mehrstufigen Prozess verwenden, mit dem Sie Unprotect-RMSFile effizienter ausführen können:Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. Exportieren Sie die betreffende E-Mail aus Exchange Online oder Exchange Server oder von der Arbeitsstation, auf der der Benutzer seine E-Mail-Nachrichten gespeichert hat, in eine PST-Datei.Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. Importieren Sie die PST-Datei in Ihr eDiscovery-Tool.Import the PST file into your eDiscovery tool. Da das Tool keine geschützten Inhalte lesen kann, wird davon ausgegangen, dass diese Elemente Fehler generieren.Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. Generieren Sie aus allen Elementen, die das Tool nicht öffnen konnte, eine neue PST-Datei, die dieses Mal nur geschützte Elemente enthält.From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. Diese zweite PST-Datei wird wahrscheinlich wesentlich kleiner als die ursprüngliche PST-Datei sein.This second PST file will likely be much smaller than the original PST file.

  4. Führen Sie Unprotect-RMSFile für diese zweite PST-Datei zum Entschlüsseln der Inhalte dieser deutlich kleineren Datei aus.Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. Importieren Sie aus der Ausgabe die nun entschlüsselte PST-Datei in Ihr Erkennungstool.From the output, import the now-decrypted PST file into your discovery tool.

Ausführlichere Informationen und Anleitungen zur Durchführung von eDiscovery für Postfächer und PST-Dateien finden Sie im folgenden Blogbeitrag zu Azure Information Protection und eDiscovery-Prozesse.For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.