Configuración de superusuarios para Azure Information Protection y servicios de detección o recuperación de datosConfiguring super users for Azure Information Protection and discovery services or data recovery

Se aplica a: Azure Information Protection y Office 365Applies to: Azure Information Protection, Office 365

La característica de superusuario del servicio Azure Rights Management de Azure Information Protection garantiza que los usuarios y servicios autorizados siempre puedan leer e inspeccionar los datos que Azure Rights Management protege para la organización.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. Si es necesario, la protección se puede quitar o modificar.If necessary, the protection can then be removed or changed.

Un superusuario siempre tiene el derecho de uso de control total de Rights Management para documentos y correos electrónicos que se han protegido mediante el inquilino de Azure Information Protection de su organización.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Esta capacidad se denomina a menudo "razonamiento encima de los datos" y es un elemento crucial en el mantenimiento del control de los datos de su organización.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. Por ejemplo, podría usar esta característica en cualquiera de las siguientes situaciones:For example, you would use this feature for any of the following scenarios:

  • Un empleado deja la organización y usted necesita leer los archivos que dicho empleado protegió.An employee leaves the organization and you need to read the files that they protected.

  • Un administrador de TI necesita quitar la directiva de protección actual que se configuró para los archivos y aplicar una nueva.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server necesita indexar los buzones para las operaciones de búsqueda.Exchange Server needs to index mailboxes for search operations.

  • Tiene servicios de TI existentes para soluciones de prevención de pérdida de datos (DLP), puertas de enlace de cifrado de contenido (CEG) y productos antimalware que deben inspeccionar los archivos que ya están protegidos.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • Tiene que descifrar de forma masiva archivos por motivos de auditoría, legales u otras razones de cumplimiento.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Configuración de la característica de superusuarioConfiguration for the super user feature

De forma predeterminada, no está habilitada la característica de superusuario y ningún usuario está asignado a esta función.By default, the super user feature is not enabled, and no users are assigned this role. Se habilita automáticamente si configura el conector de Rights Management para Exchange, y no es necesaria para los servicios estándar que ejecutan Exchange Online, SharePoint Online o SharePoint Server.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, SharePoint Online, or SharePoint Server.

Si necesita habilitar manualmente la característica de superusuario, use el cmdlet de PowerShell enable-AipServiceSuperUserFeaturey, a continuación, asigne los usuarios (o cuentas de servicio) según sea necesario mediante el cmdlet Add-AipServiceSuperUser o el cmdlet Establezca el cmdlet Set-AipServiceSuperUserGroup y agregue usuarios (u otros grupos) según sea necesario para este grupo.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AipServiceSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AipServiceSuperUser cmdlet or the Set-AipServiceSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Aunque el uso de un grupo para los superusuarios es más fácil de administrar, tenga en cuenta que, por motivos de rendimiento, Azure Rights Management almacena en caché la pertenencia al grupo.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Por lo tanto, si necesita asignar un nuevo usuario como superusuario para descifrar el contenido inmediatamente, agregue ese usuario mediante Add-AipServiceSuperUser, en lugar de agregar el usuario a un grupo existente que haya configurado mediante Set-AipServiceSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AipServiceSuperUser, rather than adding the user to an existing group that you have configured by using Set-AipServiceSuperUserGroup.

Nota

Si aún no ha instalado el módulo de Windows PowerShell para Azure Rights Management, consulte instalación del módulo de PowerShell para AIPService.If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AIPService PowerShell module.

No importa cuándo se habilita la característica de superusuario o cuándo se agregan usuarios como superusuarios.It doesn't matter when you enable the super user feature or when you add users as super users. Por ejemplo, si habilita la característica un jueves y el viernes agrega un usuario, ese usuario puede abrir de inmediato el contenido que estaba protegido al principio de la semana.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Procedimientos de seguridad recomendados para la característica de superusuarioSecurity best practices for the super user feature

  • Restrinja y supervise los administradores a los que se ha asignado un administrador global para el inquilino de Office 365 o Azure Information Protection, o a los que se ha asignado el rol GlobalAdministrator mediante el cmdlet Add-AipServiceRoleBasedAdministrator .Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AipServiceRoleBasedAdministrator cmdlet. Estos usuarios pueden habilitar la característica de superusuario y asignar usuarios (y a ellos mismos) como superusuarios y posiblemente descifrar todos los archivos que protege su organización.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Para ver qué usuarios y cuentas de servicio se asignan individualmente como superusuarios, use el cmdlet Get-AipServiceSuperUser .To see which users and service accounts are individually assigned as super users, use the Get-AipServiceSuperUser cmdlet. Para ver si se ha configurado un grupo de superusuarios, use el cmdlet Get-AipServiceSuperUserGroup y las herramientas de administración de usuarios estándar para comprobar qué usuarios son miembros de este grupo.To see whether a super user group is configured, use the Get-AipServiceSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group. Al igual que todas las acciones de administración, habilitar o deshabilitar la característica de superusuarios y agregar o quitar superusuarios se registran y se pueden auditar mediante el comando Get-AipServiceAdminLog .Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AipServiceAdminLog command. Vea la sección siguiente para obtener un ejemplo.See the next section for an example. Cuando los superusuarios descifrar archivos, esta acción se registra y se puede auditar con el registro de uso.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Si no necesita la característica de superusuario para los servicios cotidianos, habilite la característica solo cuando lo necesite y deshabilítela de nuevo con el cmdlet Disable-AipServiceSuperUserFeature .If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AipServiceSuperUserFeature cmdlet.

Ejemplo de auditoría de la característica de superusuarioExample auditing for the super user feature

El siguiente extracto de registro muestra algunas entradas de ejemplo de uso del cmdlet Get-AipServiceAdminLog .The following log extract shows some example entries from using the Get-AipServiceAdminLog cmdlet.

En este ejemplo, el administrador de Contoso Ltd confirma que la característica de superusuario está deshabilitada, agrega a Richard Simone como un superusuario, comprueba que Richard es el único superusuario configurado para el servicio Azure Rights Management y, después, habilita la característica de superusuario para que Richard pueda descifrar archivos que había protegido un empleado que ahora ha dejado la compañía.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opciones de scripting para superusuariosScripting options for super users

Con frecuencia, alguien a quien se le asigne un superusuario para Azure Rights Management deberá quitar la protección de varios archivos, en varias ubicaciones.Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. Aunque es posible hacerlo manualmente, resulta más eficaz (y a menudo más fiable) mediante scripts.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Para ello, use el cmdlet Unprotect-RMSFile y el cmdlet Protect-RMSFile, según sea necesario.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Si usa la clasificación y la protección, también puede utilizar Set-AIPFileLabel para aplicar una etiqueta nueva que no aplica protección, o quitar la etiqueta que ha aplicado la protección.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Para más información sobre estos cmdlets, vea Uso de PowerShell con el cliente de Azure Information Protection en la guía para administradores del cliente de Azure Information Protection.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Nota

El módulo AzureInformationProtection es diferente de y complementa el módulo AIPService de PowerShell que administra el servicio Azure Rights Management para Azure Information Protection.The AzureInformationProtection module is different from and supplements the AIPService PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

Instrucciones de uso de Unprotect-RMSFile para eDiscoveryGuidance for using Unprotect-RMSFile for eDiscovery

Aunque el cmdlet Unprotect-RMSFile se pueda usar para descifrar contenido protegido en archivos PST, úselo de forma estratégica como parte del proceso de eDiscovery.Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. La ejecución de Unprotect-RMSFile en archivos de gran tamaño en un equipo usa una gran cantidad de recursos (memoria y espacio en disco) y el tamaño de archivo máximo que se admite para este cmdlet es de 5 GB.Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

Lo ideal es usar eDiscovery de Office 365 para buscar y extraer correos electrónicos protegidos y datos adjuntos protegidos en los mensajes de correo electrónico.Ideally, use Office 365 eDiscovery to search and extract protected emails and protected attachment in emails. La capacidad de superusuario se integra de forma automática en Exchange Online para que eDiscovery en el Centro de seguridad y cumplimiento de Office 365 o el centro de cumplimiento de Microsoft 365 puedan buscar elementos cifrados antes de la exportación, o bien descifrar el correo electrónico cifrado durante la exportación.The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 compliance center can search for encrypted items prior to export, or decrypt encrypted email on export.

Si no puede usar eDiscovery de Office 365, es posible que tenga otra solución de eDiscovery que se integre con el servicio Azure Rights Management para analizar los datos de forma similar.If you cannot use Office 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. O bien, si su solución de eDiscovery no puede leer y descifrar de forma automática el contenido cifrado, aún puede usar esta solución en un proceso de varios pasos que le permite ejecutar Unprotect-RMSFile con mayor eficacia:Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. Exporte el correo electrónico a un archivo PST desde Exchange Online o Exchange Server, o bien desde la estación de trabajo en la que lo haya almacenado el usuario.Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. Importe el archivo PST a su herramienta de eDiscovery.Import the PST file into your eDiscovery tool. Como la herramienta no puede leer el contenido protegido, se espera que estos elementos generen errores.Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. A partir de todos los elementos que la herramienta no ha podido abrir, genere un archivo PST nuevo que, en esta ocasión, contenga solo los elementos protegidos.From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. Probablemente este segundo archivo PST será mucho más pequeño que el original.This second PST file will likely be much smaller than the original PST file.

  4. Ejecute Unprotect-RMSFile en este segundo archivo PST para descifrar el contenido de este archivo mucho más pequeño.Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. Desde la salida, importe el archivo PST descifrado a la herramienta de detección.From the output, import the now-decrypted PST file into your discovery tool.

Para obtener más información e instrucciones para ejecutar eDiscovery en buzones y archivos PST, vea la entrada de blog siguiente: Azure Information Protection and eDiscovery Processes (Procesos de Azure Information Protection y eDiscovery).For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.