Configuration de super utilisateurs pour Azure Rights Management et les services de découverte ou la récupération de donnéesConfiguring super users for Azure Rights Management and discovery services or data recovery

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Grâce à la fonctionnalité de super utilisateur du service Azure Rights Management d’Azure Information Protection, les personnes et services autorisés peuvent toujours lire et inspecter les données qu’Azure Rights Management protège pour votre organisation.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. Si nécessaire, supprimez la protection ou modifiez la protection appliquée précédemment.And if necessary, remove the protection or change the protection that was previously applied.

Un super utilisateur a toujours le droit d’utilisation Contrôle total Rights Management pour les documents et e-mails qui ont été protégés par le locataire Azure Information Protection de votre organisation.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Cette capacité, parfois appelée « reasoning over data », est un élément déterminant pour conserver le contrôle des données de votre entreprise.This ability is sometimes referred to as “reasoning over data” and is a crucial element in maintaining control of your organization’s data. Par exemple, vous pouvez utiliser cette fonctionnalité pour les scénarios suivants :For example, you would use this feature for any of the following scenarios:

  • Un employé quitte l’organisation et vous devez lire les fichiers qu’il a protégés.An employee leaves the organization and you need to read the files that they protected.

  • Un administrateur doit supprimer la stratégie de protection actuellement configurée pour les fichiers et appliquer une nouvelle stratégie de protection.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server doit indexer les boîtes aux lettres pour des opérations de recherche.Exchange Server needs to index mailboxes for search operations.

  • Vous avez des services informatiques existants pour les solutions de prévention contre la perte de données (DLP), les passerelles de chiffrement de contenu (CEG) et les produits anti-programme malveillant qui doivent inspecter des fichiers déjà protégés.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • Vous devez déchiffrer des fichiers en bloc à des fins d’audit, juridiques ou de conformité.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Par défaut, la fonctionnalité de super utilisateur n’est pas activée et ce rôle n’est attribué à aucun utilisateur.By default, the super user feature is not enabled, and no users are assigned this role. Elle est automatiquement activée si vous configurez le connecteur Rights Management pour Exchange. Elle n’est pas requise pour les services standard qui exécutent Exchange Online, SharePoint Online ou SharePoint Server.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, SharePoint Online, or SharePoint Server.

Si vous devez activer manuellement la fonctionnalité de super utilisateur : utilisez l’applet de commande Windows PowerShell Enable-AadrmSuperUserFeature, désignez des utilisateurs (ou des comptes de service) en fonction des besoins à l’aide de l’applet de commande Add-AadrmSuperUser ou Set-AadrmSuperUserGroup, puis ajoutez des utilisateurs (ou d’autres groupes) en fonction des besoins de ce groupe.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AadrmSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AadrmSuperUser cmdlet or the Set-AadrmSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Bien que l’utilisation d’un groupe de super utilisateurs soit plus facile à gérer, n’oubliez pas que pour des raisons de performances, Azure Rights Management met en cache l’appartenance au groupe.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Par conséquent, si vous devez affecter un nouvel utilisateur en tant que super utilisateur afin de déchiffrer le contenu immédiatement, ajoutez-le à l’aide de l’applet de commande Add-AadrmSuperUser, plutôt que de l’ajouter à un groupe existant configuré à l’aide de l’applet de commande Set-AadrmSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AadrmSuperUser, rather than adding the user to an existing group that you have configured by using Set-AadrmSuperUserGroup.

Note

Si vous n’avez pas encore installé le module Windows PowerShell pour Gestion des droits AzureAzure Rights Management, consultez Installation de Windows PowerShell pour Azure Rights Management.If you have not yet installed the Windows PowerShell module for Gestion des droits AzureAzure Rights Management, see Installing Windows PowerShell for Azure Rights Management.

Recommandations de sécurité pour la fonctionnalité de super utilisateur :Security best practices for the super user feature:

  • Limitez et surveillez les administrateurs désignés comme administrateurs généraux pour votre locataire Office 365 ou Azure Information Protection ou qui se voient attribuer le rôle de GlobalAdministrator par le biais de l’applet de commande Add-AadrmRoleBasedAdministrator.Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AadrmRoleBasedAdministrator cmdlet. Ces utilisateurs peuvent activer la fonctionnalité de super utilisateur, ainsi que désigner des utilisateurs (et eux-mêmes) comme super utilisateurs, et potentiellement déchiffrer tous les fichiers que votre organisation protège.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Pour voir quels utilisateurs et comptes de service sont désignés comme super utilisateurs, utilisez l’applet de commande Get-AadrmSuperUser.To see which users and service accounts are individually assigned as super users, use the Get-AadrmSuperUser cmdlet. Pour savoir si un groupe de super utilisateurs est configuré, utilisez l’applet de commande Get-AadrmSuperUser et vos outils de gestion d’utilisateur standard pour vérifier les utilisateurs qui sont membres de ce groupe.To see whether a super user group is configured, use the Get-AadrmSuperUser cmdlet and your standard user management tools to check which users are a member of this group. Comme toutes les actions d’administration, les opérations d’activation ou de désactivation de la fonctionnalité de super utilisateur, ainsi que d’ajout ou de suppression de super utilisateurs sont enregistrées et peuvent être auditées à l’aide de la commande Get-AadrmAdminLog .Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AadrmAdminLog command. Quand les super utilisateurs déchiffrent des fichiers, l’action est enregistrée et peut être auditée à l’aide de la journalisation de l’utilisation.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Si vous n’avez pas besoin de la fonctionnalité de super utilisateur pour les services quotidiens, activez-la uniquement lorsque nécessaire, puis désactivez-la à l’aide de l’applet de commande Disable-AadrmSuperUserFeature .If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AadrmSuperUserFeature cmdlet.

L’extrait de journal suivant montre des exemples d’entrées lors de l’utilisation de l’applet de commande Get-AadrmAdminLog.The following log extract shows some example entries from using the Get-AadrmAdminLog cmdlet. Dans cet exemple, l’administrateur pour la société Contoso Ltd confirme que la fonctionnalité de super utilisateur est désactivée, ajoute Richard Simone comme super utilisateur, vérifie que celui-ci est bien le seul super utilisateur configuré pour le service Azure Rights Management, puis active la fonctionnalité de super utilisateur pour permettre à Richard de déchiffrer des fichiers protégés par un employé qui a quitté la société.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Options de script pour les super utilisateursScripting options for super users

Une personne désignée comme super utilisateur pour Gestion des droits AzureAzure Rights Management devra souvent supprimer la protection de plusieurs fichiers, dans plusieurs emplacements.Often, somebody who is assigned a super user for Gestion des droits AzureAzure Rights Management will need to remove protection from multiple files, in multiple locations. Bien qu’il soit possible de le faire manuellement, il est plus efficace (et souvent plus fiable) de le faire à l’aide d’un script.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Pour ce faire, vous pouvez utiliser les applets de commande Unprotect-RMSFile et Protect-RMSFile en fonction des besoins.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Si vous utilisez la classification et la protection, vous pouvez également utiliser Set-AIPFileLabel pour appliquer une nouvelle étiquette n’appliquant pas la protection, ou supprimer l’étiquette qui a appliqué la protection.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Pour plus d’informations sur ces applets de commande, consultez Utilisation de PowerShell avec le client Azure Information Protection dans le guide de l’administrateur du client Azure Information Protection.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Note

Le module AzureInformationProtection remplace le module PowerShell de protection RMS installé avec l’outil de protection RMS.The AzureInformationProtection module replaces the RMS Protection PowerShell module that installed with the RMS Protection Tool. Ces deux modules diffèrent de et complètent le module Windows PowerShell pour Azure Rights Management principal.Both these modules are different from and supplements the main Windows PowerShell module for Azure Rights Management. Le module AzureInformationProtection prend en charge Azure Information Protection, le service Azure Rights Management (Azure RMS) d’Azure Information Protection et les services Active Directory Rights Management Services (AD RMS).The AzureInformationProtection module supports Azure Information Protection, the Azure Rights Management service (Azure RMS) for Azure Information Protection, and Active Directory Rights Management Services (AD RMS).

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.