Konfigurálja a super users for Azure Information Protection and discovery services or data recovery (Azure Information Protection és feltárási szolgáltatások vagy adat-helyreállítás) konfigurálását

A következőre vonatkozik:Azure Information Protection, Office 365

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes jelenlegi klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

Az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatásának Azure Tartalomvédelmi szolgáltatások segítségével biztosíthatja, hogy az engedéllyel rendelkező személyek és szolgáltatások mindig elolvasni és ellenőrizjék a szervezet Azure Tartalomvédelmi szolgáltatások adatait. Ha szükséges, a védelem ezután eltávolítható vagy módosítható.

A felső szintű felhasználók mindig a Teljes hozzáférés jogosultságot kapják a szervezet Azure Information Protection bérlői webhelye által védett dokumentumokhoz és e-mailekhez. Ezt a képességet gyakran "adatértekezésnek" is nevezik, és kritikus fontosságú eleme a szervezeti adatok fölötti irányítás fenntartásának. Ezt a funkciót például az alábbi forgatókönyvek bármelyikéhez használhatja:

  • Egy alkalmazott elhagyja a szervezetet, Önnek pedig el kell olvasnia a védett fájlokat.

  • A rendszergazdának el kell távolítania a fájlokhoz beállított aktuális védelmi házirendet, és új védelmi házirendet kell alkalmaznia.

  • Exchange Server a keresési műveletekhez indexelni kell a postaládákat.

  • Meglévő, adatveszteség-megelőzési (DLP-) megoldásokat, tartalomtitkosítási átjárókat (CEG) és kártevőirtó termékeket használ, amelyekben meg kell vizsgálni a már védett fájlokat.

  • A fájlokat naplózási, jogi vagy más megfelelőségi okokból tömegesen kell visszafejteni.

Konfiguráció a felső felhasználói funkcióhoz

Alapértelmezés szerint a felső felhasználói funkció nincs engedélyezve, és nincs hozzá felhasználó hozzárendelve ez a szerepkör. Automatikusan engedélyezve van, ha a Exchange-hez konfigurálja a Rights Management összekötőt, és nem szükséges a Exchange Online, a Microsoft Sharepoint Server vagy a SharePoint szolgáltatást Microsoft 365.

Ha manuálisan kell engedélyeznie a super user funkciót, használja az Enable-AipServiceSuperUserFeaturePowerShell-parancsmagot, majd szükség szerint rendelje hozzá a felhasználókat (vagy szolgáltatásfiókokat) az Add-AipServiceSuperUser parancsmag vagy a Set-AipServiceSuperUserGroup parancsmag használatával, és szükség szerint adjon hozzá felhasználókat (vagy más csoportokat).

Bár a csoportokat egyszerűbb felügyelni a felső felhasználóknál, teljesítménybeli okokból a Azure Tartalomvédelmi szolgáltatások gyorsítótárazza a csoporttagságot. Ha tehát egy új felhasználót kell hozzárendelni a tartalom azonnali visszafejtéséhez, vegye fel a felhasználót az Add-AipServiceSuperUser használatával, és ne a Set-AipServiceSuperUserGroup használatával konfigurált meglévő csoportba vegye fel a felhasználót.

Megjegyzés

  • Amikor egy felhasználót az Add-AipServiceSuperUser parancsmaggal ad hozzá, az elsődleges e-mail-címet vagy az egyszerű felhasználónevet is hozzá kell adni a csoporthoz. A rendszer nem értékeli ki az e-mail-aliasokat.

  • Ha még nem telepítette a Windows PowerShell modult, Azure Tartalomvédelmi szolgáltatások AIPService PowerShell-modultelepítése.

Nem számít, hogy engedélyezi-e a super user funkciót, vagy ha a felhasználókat felső felhasználóként adja hozzá. Ha például csütörtökön engedélyezi a funkciót, majd hozzáad egy felhasználót, a hét elején azonnal megnyithatja a védett tartalmakat.

Biztonsági ajánlott eljárások a felső felhasználói funkcióhoz

  • Az Add-AipServiceRoleBasedAdministrator parancsmag használatával korlátozhatja és figyelheti az Microsoft 365- vagy Azure Information Protection-bérlő globális rendszergazdájához, illetve a GlobalAdministrator szerepkörrel rendelkező rendszergazdákat. Ezek a felhasználók engedélyezhetik a rendszergazdai funkciót, és hozzá rendelhetnek felhasználókat (és magukat) rendszergazdai felhasználóként, és a szervezet által védett összes fájlt visszafejthetik.

  • A Get-AipServiceSuperUser parancsmag használatával láthatja, hogy mely felhasználók és szolgáltatásfiókok vannak különállóan super felhasználókként hozzárendelve.

  • A Get-AipServiceSuperUserGroup parancsmag és a szokásos felhasználókezelő eszközök használatával ellenőrizheti, hogy egy felső szintű felhasználócsoport van-e beállítva.

  • Az összes felügyeleti művelethez hasonló, a super funkció engedélyezését vagy letiltását, valamint a rendszergazdai felhasználók hozzáadását és eltávolítását is naplózza a rendszer, és a Get-AipServiceAdminLog paranccsal naplózhatja őket. Lásd például a Példa a felső felhasználói funkcióra vonatkozó naplózást.

  • A fájlok visszafejtésekor a rendszer naplózza ezt a műveletet, és naplózhatja a használati naplózással.

    Megjegyzés

    Bár a naplók részleteket tartalmaznak a visszafejtésről, beleértve a fájlt visszafejtő felhasználót is, nem jegyik meg, ha a felhasználó egy felső felhasználó. A naplókat a fent felsorolt parancsmagokkal együtt használva először gyűjtse össze a naplókban azonosítható super felhasználók listáját.

  • Ha nincs szüksége a mindennapos szolgáltatásokhoz használható super user funkcióra, csak akkor engedélyezze a funkciót, ha szüksége van rá, majd tiltsa le újra a Disable-AipServiceSuperUserFeature parancsmag használatával.

Example auditing for the super user feature

Az alábbi naplóbegyűjtejük néhány példabejegyzést a Get-AipServiceAdminLog parancsmag használatával.

Ebben a példában a Contoso Ltd. rendszergazdája megerősítette, hogy a rendszergazdai funkció le van tiltva, és hozzáadja Pétert mint super usert, ellenőrzi, hogy Balázs az egyetlen rendszergazdai felhasználó, aki be van állítva a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, majd engedélyezi a rendszergazdai funkciót, hogy Rich mostantól visszafejtse azokat a fájlokat, amelyek védelmét egy, a vállalattól most már kilépett alkalmazott biztosítja.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Parancsprogramozási lehetőségek a felső felhasználók számára

Gyakran előfordul, hogy valaki, aki egy adott felhasználóhoz Azure Tartalomvédelmi szolgáltatások több fájl védelmét több helyen is el kell távolítania. Bár ez manuálisan is lehetséges, hatékonyabb (és gyakran megbízhatóbb) ezt a parancsfájlt a Set-AIPFileLabel parancsmag használatával elvégezni.

Ha besorolást és védelmet használ, a Set-AIPFileLabel segítségével is alkalmazhat egy olyan új címkét, amely nem alkalmaz védelmet, illetve eltávolíthatja a védelmet nem használó címkét.

A parancsmagokkal kapcsolatos további információkért lásd: A PowerShell használata az Azure Information Protection ügyfélprogrammal az Azure Information Protection ügyfélprogram rendszergazdai útmutatója alapján.

Megjegyzés

Az AzureInformationProtection modul különbözik az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatást Azure Tartalomvédelmi szolgáltatások AIPService PowerShell modultól, és kiegészíti azt.

PST-fájlok védelmének megszüntetése

A PST-fájlok védelmének eltávolításához azt javasoljuk, hogy a Microsoft 365 elektronikus adatfeltárási szolgáltatását használja a védett e-mailekben való kereséshez és a védett mellékletek kinyeréhez.

A rendszer automatikusan integrálja a super user képességet az Exchange Online-val, így az Office 365 Biztonsági megfelelőségi központban vagy az Microsoft 365 Megfelelőségi központ-ban való adatfeltárás az exportálás előtt kereshet a titkosított elemek között, illetve visszafejtheti a titkosított e-maileket & az exportáláskor.

Ha nem tudja használni Microsoft 365 elektronikus adatfeladatokat, akkor előfordulhat, hogy egy másik elektronikus adatfelmentő megoldás is integrálódik a Azure Tartalomvédelmi szolgáltatások szolgáltatással ahhoz, hogy az adatokat hasonló indokokkal azonos módon használja fel.

Vagy ha az elektronikus adatfeltárási megoldás nem tudja automatikusan olvasni és visszafejteni a védett tartalmat, akkor is használhatja ezt a megoldást többlépéses folyamatban a Set-AIPFileLabel parancsmaggal együtt:

  1. Exportálja a szóban forgó e-mailt egy PST-fájlba Exchange Online vagy Exchange Server vagy a munkaállomásról, ahol a felhasználó tárolta az e-mailjeit.

  2. Importálja a PST-fájlt az elektronikus adatfeltárási eszközbe. Mivel az eszköz nem tudja elolvasni a védett tartalmakat, várhatóan hibákat generálnak ezek az elemek.

  3. Az eszköz által nem tudott megnyitni kívánt elemekből hozzon létre egy új PST-fájlt, amely most csak védett elemeket tartalmaz. Ez a második PST-fájl valószínűleg sokkal kisebb lesz, mint az eredeti PST-fájl.

  4. Futtassa a Set-AIPFileLabel parancsot ezen a második PST-fájlon a sokkal kisebb fájl tartalmának visszafejtéséhez. A kimenetből importálja a most visszafejtett PST-fájlt a feltáró eszközbe.

A postaládákban és PST-fájlokban való adatfeltárásról további információt és útmutatást a következő blogbejegyzésben talál: Azure Information Protection és elektronikus adatfeltárási folyamatok.