Configuration de super utilisateurs pour Azure Information Protection ainsi que pour les services de découverte ou la récupération des donnéesConfiguring super users for Azure Information Protection and discovery services or data recovery

S’applique à : Azure information protection, Office 365Applies to: Azure Information Protection, Office 365

Grâce à la fonctionnalité de super utilisateur du service Azure Rights Management d’Azure Information Protection, les personnes et services autorisés peuvent toujours lire et inspecter les données qu’Azure Rights Management protège pour votre organisation.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. Si nécessaire, la protection peut ensuite être supprimée ou modifiée.If necessary, the protection can then be removed or changed.

Un super utilisateur a toujours le droit d’utilisation Contrôle total Rights Management pour les documents et e-mails qui ont été protégés par le locataire Azure Information Protection de votre organisation.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Cette fonctionnalité, parfois appelée « reasoning over data », est un élément déterminant pour conserver le contrôle des données de votre entreprise.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. Par exemple, vous pouvez utiliser cette fonctionnalité pour les scénarios suivants :For example, you would use this feature for any of the following scenarios:

  • Un employé quitte l’organisation et vous devez lire les fichiers qu’il a protégés.An employee leaves the organization and you need to read the files that they protected.

  • Un administrateur doit supprimer la stratégie de protection actuellement configurée pour les fichiers et appliquer une nouvelle stratégie de protection.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server doit indexer les boîtes aux lettres pour des opérations de recherche.Exchange Server needs to index mailboxes for search operations.

  • Vous avez des services informatiques existants pour les solutions de prévention contre la perte de données (DLP), les passerelles de chiffrement de contenu (CEG) et les produits anti-programme malveillant qui doivent inspecter des fichiers déjà protégés.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • Vous devez déchiffrer des fichiers en bloc à des fins d’audit, juridiques ou de conformité.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Configuration de la fonctionnalité de super utilisateurConfiguration for the super user feature

Par défaut, la fonctionnalité de super utilisateur n’est pas activée et ce rôle n’est attribué à aucun utilisateur.By default, the super user feature is not enabled, and no users are assigned this role. Elle est automatiquement activée si vous configurez le connecteur Rights Management pour Exchange et qu’elle n’est pas requise pour les services standard qui exécutent Exchange Online, Microsoft SharePoint Server ou SharePoint dans Microsoft 365.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, Microsoft Sharepoint Server, or SharePoint in Microsoft 365.

Si vous devez activer manuellement la fonctionnalité de super utilisateur, utilisez l’applet de commande PowerShell Enable-AipServiceSuperUserFeature, puis affectez des utilisateurs (ou des comptes de service) en fonction des besoins à l’aide de l’applet de commande Add-AipServiceSuperUser ou de l’applet de commande Set-AipServiceSuperUserGroup , puis ajoutez des utilisateurs (ou d’autres groupes) en fonction des besoins de ce groupe.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AipServiceSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AipServiceSuperUser cmdlet or the Set-AipServiceSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Bien que l’utilisation d’un groupe de super utilisateurs soit plus facile à gérer, n’oubliez pas que pour des raisons de performances, Azure Rights Management met en cache l’appartenance au groupe.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Par conséquent, si vous devez affecter un nouvel utilisateur en tant que super utilisateur pour déchiffrer le contenu immédiatement, ajoutez-le à l’aide de Add-AipServiceSuperUser, plutôt que d’ajouter l’utilisateur à un groupe existant que vous avez configuré à l’aide de Set-AipServiceSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AipServiceSuperUser, rather than adding the user to an existing group that you have configured by using Set-AipServiceSuperUserGroup.

Notes

Si vous n’avez pas encore installé le module Windows PowerShell pour Azure Rights Management, consultez installation du module PowerShell AIPService.If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AIPService PowerShell module.

Peu importe le moment où vous activez la fonctionnalité de super utilisateur ou ajoutez des utilisateurs en tant que super utilisateurs.It doesn't matter when you enable the super user feature or when you add users as super users. Par exemple, si vous activez la fonctionnalité jeudi et que vous ajoutez un utilisateur vendredi, cet utilisateur peut immédiatement ouvrir le contenu qui a été protégé au début de la semaine.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Bonnes pratiques de sécurité pour la fonctionnalité de super utilisateurSecurity best practices for the super user feature

  • Limitez et surveillez les administrateurs auxquels sont attribués un administrateur global pour votre client Office 365 ou Azure Information Protection, ou qui sont affectés au rôle GlobalAdministrator à l’aide de l’applet de commande Add-AipServiceRoleBasedAdministrator .Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AipServiceRoleBasedAdministrator cmdlet. Ces utilisateurs peuvent activer la fonctionnalité de super utilisateur, ainsi que désigner des utilisateurs (et eux-mêmes) comme super utilisateurs, et potentiellement déchiffrer tous les fichiers que votre organisation protège.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Pour voir quels utilisateurs et comptes de service sont affectés individuellement comme super utilisateurs, utilisez l’applet de commande AipServiceSuperUser .To see which users and service accounts are individually assigned as super users, use the Get-AipServiceSuperUser cmdlet. Pour déterminer si un groupe de super utilisateurs est configuré, utilisez l’applet de commande AipServiceSuperUserGroup et vos outils de gestion d’utilisateur standard pour vérifier les utilisateurs qui sont membres de ce groupe.To see whether a super user group is configured, use the Get-AipServiceSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group. Comme toutes les actions d’administration, l’activation ou la désactivation de la fonctionnalité Super, et l’ajout ou la suppression de super utilisateurs sont enregistrées et peuvent être auditées à l’aide de la commande AipServiceAdminLog .Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AipServiceAdminLog command. Consultez la section suivante pour un exemple.See the next section for an example. Quand les super utilisateurs déchiffrent des fichiers, l’action est enregistrée et peut être auditée à l’aide de la journalisation de l’utilisation.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Si vous n’avez pas besoin de la fonctionnalité de super utilisateur pour les services quotidiens, activez-la uniquement lorsque vous en avez besoin et désactivez-la à l’aide de l’applet de commande Disable-AipServiceSuperUserFeature .If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AipServiceSuperUserFeature cmdlet.

Exemple d’audit de la fonctionnalité de super utilisateurExample auditing for the super user feature

L’extrait de journal suivant montre des exemples d’entrées à partir de l’utilisation de l’applet de commande AipServiceAdminLog .The following log extract shows some example entries from using the Get-AipServiceAdminLog cmdlet.

Dans cet exemple, l’administrateur de la société Contoso Ltd confirme que la fonctionnalité de super utilisateur est désactivée, ajoute Richard Simone comme super utilisateur, vérifie que celui-ci est bien le seul super utilisateur configuré pour le service Azure Rights Management, puis active la fonctionnalité de super utilisateur pour permettre à Richard de déchiffrer des fichiers protégés par un employé qui a quitté la société.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Options de script pour les super utilisateursScripting options for super users

Une personne désignée comme super utilisateur pour Azure Rights Management devra souvent supprimer la protection de plusieurs fichiers de plusieurs emplacements.Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. Bien qu’il soit possible de le faire manuellement, il est plus efficace (et souvent plus fiable) de le faire à l’aide d’un script.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Pour ce faire, vous pouvez utiliser les applets de commande Unprotect-RMSFile et Protect-RMSFile en fonction des besoins.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Si vous utilisez la classification et la protection, vous pouvez également utiliser Set-AIPFileLabel pour appliquer une nouvelle étiquette n’appliquant pas la protection, ou supprimer l’étiquette qui a appliqué la protection.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Pour plus d’informations sur ces applets de commande, consultez Utilisation de PowerShell avec le client Azure Information Protection dans le guide de l’administrateur du client Azure Information Protection.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Notes

Le module AzureInformationProtection est différent du module PowerShell AIPService qui gère le service Azure Rights Management pour Azure information protection.The AzureInformationProtection module is different from and supplements the AIPService PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

Conseils d’utilisation d’Unprotect-RMSFile pour eDiscoveryGuidance for using Unprotect-RMSFile for eDiscovery

Même si vous pouvez utiliser l’applet de commande Unprotect-RMSFile pour déchiffrer le contenu protégé dans des fichiers PST, utilisez cette applet de commande stratégiquement dans le cadre de votre processus eDiscovery.Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. L’exécution d’Unprotect-RMSFile sur des fichiers volumineux d’un ordinateur nécessite de nombreuses ressources (mémoire et espace disque) et la taille de fichier maximale prise en charge pour cette applet de commande est de 5 Go.Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

Dans l’idéal, utilisez Office 365 eDiscovery pour rechercher dans les e-mails protégés et extraire une pièce jointe protégée dans les e-mails.Ideally, use Office 365 eDiscovery to search and extract protected emails and protected attachment in emails. La capacité de super utilisateur est automatiquement intégrée à Exchange Online de sorte qu’eDiscovery du Centre de sécurité et conformité Office 365 ou du Centre de conformité Microsoft 365 puisse rechercher des éléments chiffrés avant l’exportation, ou déchiffrer des e-mails chiffrés lors de l’exportation.The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 compliance center can search for encrypted items prior to export, or decrypt encrypted email on export.

Si vous ne pouvez pas utiliser Office 365 eDiscovery, vous pouvez recourir à une autre solution eDiscovery qui s’intègre au service Azure Rights Management pour exploiter les données de la même façon.If you cannot use Office 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. Par ailleurs, si votre solution e-Discovery ne peut pas lire et déchiffrer automatiquement le contenu protégé, vous pouvez toujours utiliser cette solution dans un processus à plusieurs étapes qui vous permet d’exécuter Unprotect-RMSFile plus efficacement :Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. Exportez l’e-mail en question dans un fichier PST depuis Exchange Online ou Exchange Server, ou à partir de la station de travail où l’utilisateur a stocké son e-mail.Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. Importez le fichier PST dans votre outil eDiscovery.Import the PST file into your eDiscovery tool. Étant donné que l’outil ne peut pas lire le contenu protégé, il est probable que ces éléments vont générer des erreurs.Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. À partir de tous les éléments que l’outil n’a pas pu ouvrir, générez un fichier PST qui, cette fois, contient uniquement des éléments protégés.From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. Ce second fichier PST sera probablement beaucoup plus petit que le fichier PST d’origine.This second PST file will likely be much smaller than the original PST file.

  4. Exécutez Unprotect-RMSFile sur ce second fichier PST pour déchiffrer le contenu de ce fichier beaucoup plus petit.Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. À partir de la sortie, importez le fichier PST maintenant déchiffré dans votre outil de découverte.From the output, import the now-decrypted PST file into your discovery tool.

Pour obtenir plus d’informations et de conseils sur l’exécution d’eDiscovery sur les boîtes aux lettres et les fichiers PST, consultez le billet de blog suivant : Azure Information Protection and eDiscovery Processes.For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.