Configuring super users for Azure Information Protection and discovery services or data recovery (Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder Wiederherstellung von Daten)

Gilt für: Azure Information Protection, Office 365

Relevant für: AIP-Client für einheitliche Bezeichnungen und den klassischen Client

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 als veraltet markiert, um eine einheitliche und optimierte Kundenumgebung zu gewährleisten. Der klassische Client funktioniert zwar weiterhin wie konfiguriert, es wird aber kein weiterer Support bereitgestellt, und es werden keine Wartungsversionen für den klassischen Client mehr veröffentlicht.

Wir empfehlen, zu einheitlichen Bezeichnungen zu migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchzuführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Die Administratorfunktion des Azure Rights Management-Diensts aus Azure Information Protection stellt sicher, dass autorisierte Personen und Dienste immer auf die Daten, die mit Azure Rights Management für Ihre Organisation geschützt werden, zugreifen und diese überprüfen können. Bei Bedarf kann der Schutz anschließend entfernt oder geändert werden.

Ein Administrator verfügt immer über das Rights Management-Nutzungsrecht zum Vollzugriff auf durch den Azure Information Protection-Mandanten Ihrer Organisation geschützte Dokumente und E-Mails. Diese Fähigkeit wird gelegentlich als „Schlussfolgern über Daten“ (reasoning over data) bezeichnet und ist ein ausschlaggebendes Element dabei, die Kontrolle über die Daten Ihrer Organisation zu behalten. Sie verwenden diese Funktion beispielsweise für die folgenden Szenarien:

  • Ein Mitarbeiter verlässt die Organisation, und Sie müssen alle Dateien lesen können, die von dieser Person geschützt wurden.

  • Ein IT-Administrator muss die aktuelle Schutzrichtlinie entfernen, die für Dateien konfiguriert wurde, und eine neue Schutzrichtlinie anwenden.

  • Exchange Server muss Postfächer für Suchvorgänge indizieren.

  • Sie verfügen über IT-Dienste für DLP-Lösungen (Data Loss Prevention, Verhinderung von Datenverlust), über Inhaltsverschlüsselungsgateways (Content Encryption Gateways, CEGs) und Antischadsoftware, die Dateien überprüfen müssen, die bereits geschützt sind.

  • Sie müssen große Mengen von Dateien in einem Zug zu Überwachungszwecken oder aus rechtlichen oder anderen Compliance-Gründen entschlüsseln.

Konfiguration für das Administratorfeature

Standardmäßig ist die Administratorfunktion nicht aktiviert, und dieser Rolle sind keine Benutzer zugeordnet. Sie wird automatisch aktiviert, wenn Sie den Rights Management-Connector für Exchange konfigurieren. Er ist nicht für Standarddienste erforderlich, die Exchange Online, Microsoft SharePoint Server oder SharePoint in Microsoft 365 ausführen.

Wenn Sie das Feature "Superuser" manuell aktivieren müssen, verwenden Sie das PowerShell-Cmdlet Enable-AipServiceSuperUserFeature,und weisen Sie nach Bedarf Benutzer (oder Dienstkonten) mithilfe des Cmdlets Add-AipServiceSuperUser oder des Cmdlets Set-AipServiceSuperUserGroup zu, und fügen Sie dieser Gruppe benutzer (oder andere Gruppen) hinzu.

Obwohl es einfacher ist, eine Gruppe für Ihre Administratoren zu verwalten, seien Sie sich bewusst, dass Azure Rights Management aus Leistungsgründen die Gruppenmitgliedschaft zwischenspeichert. Wenn Sie also einen neuen Benutzer als Administrator zuweisen müssen, um Inhalte sofort zu entschlüsseln, fügen Sie diesen Benutzer mit Add-AipServiceSuperUser hinzu, anstatt den Benutzer einer vorhandenen Gruppe hinzuzufügen, die Sie mit Set-AipServiceSuperUserGroup konfiguriert haben.

Hinweis

  • Wenn Sie einen Benutzer mit dem Cmdlet Add-AipServiceSuperUser hinzufügen, müssen Sie der Gruppe auch die primäre E-Mail-Adresse oder den Benutzerprinzipalnamen hinzufügen. E-Mail-Aliase werden nicht ausgewertet.

  • Wenn Sie das Windows PowerShell-Modul für Azure Rights Management noch nicht installiert haben, finden Sie weitere Informationen unter Installieren des PowerShell-Moduls AIPService.

Es spielt keine Rolle, wann Sie das Administratorfeature aktivieren oder wann Sie Benutzer als Administratoren hinzufügen. Wenn Sie beispielsweise das Feature am Donnerstag aktivieren und einen Benutzer am Freitag hinzufügen, kann dieser Benutzer sofort den Inhalt öffnen, der zu Wochenbeginn geschützt wurde.

Bewährte Sicherheitsmethoden für das Administratorfeature

  • Beschränken und überwachen Sie die Administratoren, denen ein globaler Administrator für Ihren Microsoft 365- oder Azure Information Protection Mandanten zugewiesen ist, oder die der Rolle "GlobalAdministrator" zugewiesen sind, mithilfe des Cmdlets Add-AipServiceRoleBasedAdministrator. Diese Benutzer können die Administratorfunktion aktivieren und Benutzer (und sich selbst) als Administratoren festlegen und damit potenziell alle Dateien entschlüsseln, die von Ihrer Organisation geschützt werden.

  • Verwenden Sie das Cmdlet Get-AipServiceSuperUser, um anzuzeigen, welche Benutzer und Dienstkonten einzeln als Superbenutzer zugewiesen werden.

  • Um festzustellen, ob eine Superbenutzergruppe konfiguriert ist, verwenden Sie das Cmdlet Get-AipServiceSuperUserGroup und Ihre Standardbenutzerverwaltungstools, um zu überprüfen, welche Benutzer Dieser Gruppe angehören.

  • Wie alle Verwaltungsaktionen werden auch das Aktivieren oder Deaktivieren des Superfeatures sowie das Hinzufügen oder Entfernen von Administratoren protokolliert und können mit dem Befehl Get-AipServiceAdminLog überwacht werden. Ein Beispiel finden Sie unter Beispielüberwachung für das Superbenutzerfeature.

  • Wenn Administratoren Dateien entschlüsseln, wird dieser Vorgang ebenfalls protokolliert und kann mit der Verwendungsprotokollierung überwacht werden.

    Hinweis

    Obwohl die Protokolle Details zur Entschlüsselung enthalten, einschließlich des Benutzers, der die Datei entschlüsselt hat, beachten sie nicht, wenn der Benutzer ein Superbenutzer ist. Verwenden Sie die Protokolle zusammen mit den oben aufgeführten Cmdlets, um zunächst eine Liste von Superbenutzern zu erfassen, die Sie in den Protokollen identifizieren können.

  • Wenn Sie die Superbenutzerfunktion für alltägliche Dienste nicht benötigen, aktivieren Sie das Feature nur, wenn Sie es benötigen, und deaktivieren Sie es erneut, indem Sie das Cmdlet Disable-AipServiceSuperUserFeature verwenden.

Beispielüberprüfung für das Administratorfeature

Die folgende Protokollextraktion zeigt einige Beispieleinträge aus der Verwendung des Cmdlets Get-AipServiceAdminLog.

In diesem Beispiel bestätigt der Administrator von Contoso Ltd., dass die Administratorfunktion deaktiviert ist, fügt Richard Simone als Administrator hinzu, überprüft, ob Richard der einzige für den Azure Rights Management-Dienst konfigurierte Administrator ist, und aktiviert dann die Administratorfunktion, damit Richard nun einige Dateien entschlüsseln kann, die zuvor von einem Mitarbeiter geschützt wurden, der das Unternehmen mittlerweile verlassen hat.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Skriptoptionen für Administratoren

Eine Person, die als Administrator für Azure Rights Management fungiert, muss häufig den Schutz von mehreren Dateien an mehreren Speicherorten aufheben. Dies ist zwar manuell möglich, aber es ist effizienter (und oft zuverlässiger), dies mithilfe des Cmdlets Set-AIPFileLabel zu erstellen.

Wenn Sie die Klassifizierung und den Schutz verwenden, können Sie auch das Cmdlet Set-AIPFileLabel nutzen, um eine neue Bezeichnung ohne Schutz anzuwenden, oder die Bezeichnung entfernen, die einen entsprechenden Schutz angewendet hat.

Weitere Informationen zu diesen Cmdlets finden Sie im Administratorhandbuch für den Azure Information Protection-Client unter Verwenden von PowerShell mit dem Azure Information Protection-Client.

Hinweis

Das AzureInformationProtection-Modul unterscheidet sich von dem PowerShell-Modul AIPService, das den Azure Rights Management-Dienst für Azure Information Protection verwaltet.

Entfernen des Schutzes für PST-Dateien

Um den Schutz für PST-Dateien zu entfernen, empfiehlt es sich, eDiscovery in Microsoft 365 zu verwenden, um geschützte E-Mails und geschützte Anlagen in E-Mails zu suchen und zu extrahieren.

Die Administratorfähigkeit ist automatisch in Exchange Online integriert, sodass eDiscovery im Office 365 Security & Compliance Center oder das Microsoft 365 Compliance Center vor dem Export nach verschlüsselten Elementen suchen oder verschlüsselte E-Mails beim Export entschlüsseln kann.

Wenn Sie Microsoft 365 eDiscovery nicht verwenden können, verfügen Sie möglicherweise über eine andere eDiscovery-Lösung, die in den Azure Rights Management-Dienst integriert wird, um eine ähnliche Ursache für Daten zu haben.

Wenn Ihre eDiscovery-Lösung geschützte Inhalte nicht automatisch lesen und entschlüsseln kann, können Sie diese Lösung trotzdem in einem mehrstufigen Prozess zusammen mit dem Cmdlet Set-AIPFileLabel verwenden:

  1. Exportieren Sie die betreffende E-Mail aus Exchange Online oder Exchange Server oder von der Arbeitsstation, auf der der Benutzer seine E-Mail-Nachrichten gespeichert hat, in eine PST-Datei.

  2. Importieren Sie die PST-Datei in Ihr eDiscovery-Tool. Da das Tool keine geschützten Inhalte lesen kann, wird davon ausgegangen, dass diese Elemente Fehler generieren.

  3. Generieren Sie aus allen Elementen, die das Tool nicht öffnen konnte, eine neue PST-Datei, die dieses Mal nur geschützte Elemente enthält. Diese zweite PST-Datei wird wahrscheinlich wesentlich kleiner als die ursprüngliche PST-Datei sein.

  4. Führen Sie Set-AIPFileLabel für diese zweite PST-Datei aus, um den Inhalt dieser viel kleineren Datei zu entschlüsseln. Importieren Sie aus der Ausgabe die nun entschlüsselte PST-Datei in Ihr Erkennungstool.

Ausführlichere Informationen und Anleitungen zur Durchführung von eDiscovery für Postfächer und PST-Dateien finden Sie im folgenden Blogbeitrag zu Azure Information Protection und eDiscovery-Prozesse.