Felügyelők konfigurálása az Azure Information Protection és a felderítési szolgáltatások vagy adat-helyreállítás számára
Az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatásának felügyelői funkciója biztosítja, hogy a jogosult személyek és szolgáltatások mindig elolvassák és megvizsgálják azokat az adatokat, amelyeket Azure Tartalomvédelmi szolgáltatások véd a szervezet számára. Szükség esetén a védelem eltávolítható vagy módosítható.
A felügyelők mindig rendelkeznek a Rights Management teljes hozzáférésű használati jogosultságával a szervezet Azure Information Protection-bérlője által védett dokumentumokhoz és e-mailekhez. Ezt a képességet néha "adatokkal kapcsolatos érvelésnek" is nevezik, és kulcsfontosságú szerepet játszik a szervezet adatainak ellenőrzésében. Ezt a funkciót például a következő forgatókönyvek bármelyikéhez használhatja:
Egy alkalmazott elhagyja a szervezetet, és el kell olvasnia a védett fájlokat.
A rendszergazdáknak el kell távolítaniuk a fájlokhoz konfigurált aktuális védelmi szabályzatot, és új védelmi szabályzatot kell alkalmazniuk.
Az Exchange Servernek indexelnie kell a postaládákat a keresési műveletekhez.
Meglévő informatikai szolgáltatásai vannak az adatveszteség-megelőzési (DLP-) megoldásokhoz, a tartalomtitkosítási átjárókhoz (CEG) és a kártevőirtó termékekhez, amelyeknek meg kell vizsgálniuk a már védett fájlokat.
A fájlok tömeges visszafejtését naplózási, jogi vagy egyéb megfelelőségi okokból kell elvégeznie.
A felügyelői funkció konfigurálása
Alapértelmezés szerint a felügyelői funkció nincs engedélyezve, és nincs hozzárendelve ehhez a szerepkörhöz. Automatikusan engedélyezve van, ha konfigurálja az Exchange Rights Management-összekötőt, és nem szükséges az Exchange Online-t, a Microsoft Sharepoint Servert vagy a SharePointot a Microsoft 365-ben futtató standard szolgáltatásokhoz.
Ha manuálisan kell engedélyeznie a felügyelői funkciót, használja az Enable-AipServiceSuperUserFeature PowerShell-parancsmagot, majd szükség szerint rendeljen hozzá felhasználókat (vagy szolgáltatásfiókokat) az Add-AipServiceSuperUser parancsmaggal vagy a Set-AipServiceSuperUserGroup parancsmaggal, és szükség szerint adjon hozzá felhasználókat (vagy más csoportokat) ehhez a csoporthoz.
Bár a csoport használata a felügyelő felhasználók számára egyszerűbben kezelhető, vegye figyelembe, hogy teljesítménybeli okokból Azure Tartalomvédelmi szolgáltatások gyorsítótárazza a csoporttagságokat. Ha tehát új felhasználót kell hozzárendelnie egy felügyelő felhasználóhoz a tartalom azonnali visszafejtéséhez, vegye fel ezt a felhasználót az Add-AipServiceSuperUser használatával, ahelyett, hogy hozzáadja a felhasználót egy meglévő csoporthoz, amelyet a Set-AipServiceSuperUserGroup használatával konfigurált.
Megjegyzés:
Amikor hozzáad egy felhasználót az Add-AipServiceSuperUser parancsmaggal, hozzá kell adnia az elsődleges e-mail címet vagy a felhasználónév nevét is a csoporthoz. A rendszer nem értékeli ki az e-mail-aliasokat.
Ha még nem telepítette a Windows PowerShell modult Azure Tartalomvédelmi szolgáltatások, olvassa el az AIPService PowerShell-modul telepítését ismertető témakört.
Nem számít, hogy mikor engedélyezi a felügyelői funkciót, vagy amikor felhasználókat ad hozzá felügyelőként. Ha például csütörtökön engedélyezi a funkciót, majd pénteken hozzáad egy felhasználót, a felhasználó azonnal megnyithatja a hét elején védett tartalmakat.
Ajánlott biztonsági eljárások a felügyelői funkcióhoz
Korlátozza és monitorozza azokat a rendszergazdákat, akik a Microsoft 365 vagy az Azure Information Protection-bérlő globális rendszergazdájához vannak hozzárendelve, vagy akik az Add-AipServiceRoleBased Rendszergazda istrator parancsmaggal globális Rendszergazda istrator szerepkörrel rendelkeznek. Ezek a felhasználók engedélyezhetik a felügyelői funkciót, és a felhasználókat (és magukat) felügyelő felhasználókként rendelhetik hozzá, és visszafejthetik a szervezet által védett összes fájlt.
A Get-AipServiceSuperUser parancsmaggal megtekintheti, hogy mely felhasználók és szolgáltatásfiókok vannak külön-külön hozzárendelve szuperfelhasználóként.
Annak ellenőrzéséhez, hogy egy felügyelői csoport konfigurálva van-e, használja a Get-AipServiceSuperUserGroup parancsmagot és a standard felhasználói felügyeleti eszközöket annak ellenőrzéséhez, hogy mely felhasználók tagjai ennek a csoportnak.
A rendszer az összes felügyeleti művelethez hasonlóan a szuperfunkció engedélyezését vagy letiltását, valamint a felügyelő felhasználók hozzáadását vagy eltávolítását is naplózza, és a Get-AipService Rendszergazda Log paranccsal naplózható. Lásd például a felügyelői funkció példanaplózását.
Amikor a felügyelők visszafejtik a fájlokat, a rendszer naplózza ezt a műveletet, és a használat naplózásával naplózható.
Megjegyzés:
Bár a naplók tartalmazzák a visszafejtés részleteit, beleértve a fájlt visszafejtő felhasználót is, nem jegyezik fel, hogy a felhasználó felügyelő felhasználó-e. A naplók és a fent felsorolt parancsmagok együttes használatával először gyűjtheti össze a naplókban azonosítható szuperfelhasználók listáját.
Ha nincs szüksége a mindennapi szolgáltatásokhoz szükséges felügyelői funkcióra, csak akkor engedélyezze a funkciót, ha szüksége van rá, és tiltsa le újra a Disable-AipServiceSuperUserFeature parancsmaggal.
Példa a felügyelői funkció naplózására
Az alábbi naplókivonat néhány példabejegyzést mutat be a Get-AipService Rendszergazda Log parancsmag használatával.
Ebben a példában a Contoso Ltd rendszergazdája megerősíti, hogy a felügyelői funkció le van tiltva, hozzáadja Richard Simone-t felügyelő felhasználóként, ellenőrzi, hogy Richard az egyetlen felügyelő, aki konfigurálva van a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, majd engedélyezi a felügyelői funkciót, hogy Richárd visszafejtsen bizonyos fájlokat, amelyeket egy olyan alkalmazott védett, aki most elhagyta a vállalatot.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Szkriptelési lehetőségek szuperfelhasználók számára
Gyakran előfordul, hogy egy Azure Tartalomvédelmi szolgáltatások felügyelő felhasználóhoz rendelt személynek el kell távolítania a védelmet több fájlból, több helyen. Bár ezt manuálisan is megteheti, a Set-AIPFileLabel parancsmaggal hatékonyabban (és gyakran megbízhatóbban) szkriptelheti ezt.
Ha besorolást és védelmet használ, a Set-AIPFileLabel használatával egy olyan új címkét is alkalmazhat, amely nem alkalmaz védelmet, vagy eltávolíthatja a védelmet alkalmazó címkét.
További információ ezekről a parancsmagokról: A PowerShell használata az Azure Information Protection-ügyféllel az Azure Information Protection-ügyfél rendszergazdai útmutatójában.
Megjegyzés:
Az AzureInformationProtection modul eltér az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatást kezelő AIPService PowerShell-modultól, és kiegészíti azt.
Védelem eltávolítása PST-fájlokon
A PST-fájlok védelmének eltávolításához javasoljuk, hogy a Microsoft Purview elektronikus adatfeltárásával keressen és nyerjen ki védett e-maileket és védett mellékleteket az e-mailekben.
A szuperfelhasználói képesség automatikusan integrálva van az Exchange Online-ba, hogy az Microsoft Purview megfelelőségi portál feltárása az exportálás előtt keressen titkosított elemeket, vagy visszafejthesse a titkosított e-maileket exportáláskor.
Ha nem tudja használni a Microsoft Purview Feltárás, előfordulhat, hogy egy másik adatfeltárási megoldással is rendelkezik, amely az adatokhoz hasonlóan integrálható a Azure Tartalomvédelmi szolgáltatások szolgáltatással.
Vagy ha az elektronikus adatfeltárási megoldás nem tudja automatikusan olvasni és visszafejteni a védett tartalmakat, akkor is használhatja ezt a megoldást egy többlépéses folyamatban a Set-AIPFileLabel parancsmaggal együtt:
Exportálja a kérdéses e-mailt egy PST-fájlba az Exchange Online-ból vagy az Exchange Serverből, vagy abból a munkaállomásról, ahol a felhasználó tárolta az e-mail-címét.
Importálja a PST-fájlt az elektronikus adatfeltárási eszközbe. Mivel az eszköz nem tudja olvasni a védett tartalmakat, ezek az elemek várhatóan hibákat fognak eredményezni.
Minden olyan elemből, amelyet az eszköz nem tudott megnyitni, hozzon létre egy új PST-fájlt, amely ezúttal csak védett elemeket tartalmaz. Ez a második PST-fájl valószínűleg sokkal kisebb lesz, mint az eredeti PST-fájl.
Futtassa a Set-AIPFileLabel parancsot ezen a második PST-fájlon a sokkal kisebb fájl tartalmának visszafejtéséhez. A kimenetből importálja a most visszafejtett PST-fájlt a felderítési eszközbe.
A postaládák és PST-fájlok közötti elektronikus adatfeltárás végrehajtásával kapcsolatos részletesebb információkért és útmutatásért tekintse meg az alábbi blogbejegyzést: Azure Information Protection és elektronikus adatfeltárási folyamatok.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: