Azure Information Protection および探索サービスまたはデータ回復用のスーパーユーザーの構成Configuring super users for Azure Information Protection and discovery services or data recovery

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

Azure Information Protection からの Azure Rights Management サービスのスーパー ユーザー機能によって、Azure Rights Management で保護している組織のデータを、権限を持つユーザーとサービスが常に読み取り、検査することができるようにします。The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. 必要であれば、保護は削除したり、変更したりできます。If necessary, the protection can then be removed or changed.

スーパー ユーザーは、組織の Azure Information Protection テナントによって保護されているドキュメントと電子メールに対する Rights Management のフル コントロール使用権限を常に持ちます。A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. この機能は “データに対する推論” と呼ばれることがあり、組織のデータの管理を維持する上で重要な要素です。This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. たとえば、次のいずれかのシナリオでこの機能を使用することがあります。For example, you would use this feature for any of the following scenarios:

  • 退職した従業員によって保護されたファイルを読み取る必要がある。An employee leaves the organization and you need to read the files that they protected.

  • IT 管理者は、ファイルに対して構成されている現在の保護ポリシーを削除し、新しい保護ポリシーを適用する必要がある。An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server で、検索操作のためにメールボックスにインデックスを付ける必要がある。Exchange Server needs to index mailboxes for search operations.

  • 既に保護されているファイルを検査する必要があるデータ損失防止 (DLP) ソリューション、コンテンツ暗号化ゲートウェイ (CEG)、およびマルウェア対策製品用の既存の IT サービスがある。You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • 監査、法律、またはその他のコンプライアンス上の理由で、ファイルを一括で復号化する必要があります。You need to bulk decrypt files for auditing, legal, or other compliance reasons.

スーパー ユーザー機能の構成Configuration for the super user feature

既定では、スーパー ユーザー機能は無効であり、このロールはどのユーザーにも割り当てられていません。By default, the super user feature is not enabled, and no users are assigned this role. これは、Exchange に Rights Management コネクタを構成すると自動的に有効にされますが、Exchange Online、SharePoint Online、または SharePoint Server を実行する標準的なサービスには必要ありません。It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, SharePoint Online, or SharePoint Server.

スーパーユーザー機能を手動で有効にする必要がある場合は、PowerShell コマンドレットenable-AipAipServiceSuperUser Uperuserfeatureを使用し、必要に応じてユーザー (またはサービスアカウント) を割り当てます。そのためには、次のコマンドレットを使用します。AipServiceSuperUserGroupコマンドレットを追加し、必要に応じてユーザー (またはその他のグループ) をこのグループに追加します。If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AipServiceSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AipServiceSuperUser cmdlet or the Set-AipServiceSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

スーパー ユーザーにグループを使用すると管理しやすくなりますが、パフォーマンス上の理由から、Azure Rights Management ではグループ メンバーシップがキャッシュされることに注意してください。Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. そのため、新しいユーザーを、すぐにコンテンツの暗号化を解除するスーパーユーザーに割り当てる必要がある場合は、AipServiceSuperUserGroup を使用して構成した既存のグループにユーザーを追加するのではなく、AipServiceSuperUser を使用してそのユーザーを追加します。So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AipServiceSuperUser, rather than adding the user to an existing group that you have configured by using Set-AipServiceSuperUserGroup.

注意

Azure Rights Management 用の Windows PowerShell モジュールをまだインストールしていない場合は、「 AIPService PowerShell モジュールのインストール」を参照してください。If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AIPService PowerShell module.

いつスーパー ユーザー機能を有効にするか、ユーザーをスーパー ユーザーとして追加するかは関係ありません。It doesn't matter when you enable the super user feature or when you add users as super users. たとえば、木曜日にこの機能を有効にして金曜日にユーザーを追加した場合、そのユーザーはその週の最初に保護されていたコンテンツをすぐに開くことができます。For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

スーパー ユーザー機能のセキュリティ ベスト プラクティスSecurity best practices for the super user feature

  • Office 365 または Azure Information Protection テナントのグローバル管理者が割り当てられている管理者、または、 Add Aipserviceroleベースの管理者コマンドレットを使用して globaladministrator ロールが割り当てられている管理者を制限および監視します。Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AipServiceRoleBasedAdministrator cmdlet. これらのユーザーは、スーパー ユーザー機能を有効にし、ユーザー (および自分自身) をスーパー ユーザーとして割り当てることができ、組織で保護するすべてのファイルを複合化できます。These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • スーパーユーザーとして個別に割り当てられているユーザーとサービスアカウントを確認するには、 AipServiceSuperUserコマンドレットを使用します。To see which users and service accounts are individually assigned as super users, use the Get-AipServiceSuperUser cmdlet. スーパーユーザーグループが構成されているかどうかを確認するには、 AipServiceSuperUserGroupコマンドレットと標準のユーザー管理ツールを使用して、どのユーザーがこのグループのメンバーであるかを確認します。To see whether a super user group is configured, use the Get-AipServiceSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group. すべての管理操作と同様に、スーパー機能の有効化または無効化、スーパーユーザーの追加または削除はログに記録され、 Get AipServiceAdminLogコマンドを使用して監査することができます。Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AipServiceAdminLog command. 例については、次のセクションを参照してください。See the next section for an example. スーパー ユーザーがファイルを復号化すると、この操作はログに記録され、使用状況ログで監査できます。When super users decrypt files, this action is logged and can be audited with usage logging.

  • 日常的なサービスでスーパーユーザー機能を必要としない場合は、必要なときにのみ機能を有効にし、 disable-Aipservices Uperuserfeatureコマンドレットを使用して再度無効にします。If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AipServiceSuperUserFeature cmdlet.

スーパー ユーザー機能の監査の例Example auditing for the super user feature

次のログの抜粋では、 Get AipServiceAdminLogコマンドレットの使用に関するいくつかのエントリの例を示しています。The following log extract shows some example entries from using the Get-AipServiceAdminLog cmdlet.

この例では、Contoso 社の管理者は、スーパー ユーザー機能が無効になっていることを確認し、スーパー ユーザーとして Richard Simone を追加します。Richard が Azure Rights Management サービス用に構成された唯一のスーパー ユーザーであることを確認してから、Richard は退職した従業員によって保護されたいくつかのファイルを復号化できるようにスーパー ユーザー機能を有効にします。In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

スーパー ユーザー用のスクリプト作成オプションScripting options for super users

Azure Rights Management のスーパー ユーザーが割り当てられているだれかが、複数の場所で、複数のファイルから保護を削除することが必要になる場合がよくあります。Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. これは手動で行うことができますが、スクリプト化するとより効率的に (そしてより確実に) 行うことができます。While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. この場合、Unprotect-RMSFile コマンドレットを使用し、必要に応じて Protect-RMSFile コマンドレットも使用します。To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

分類と保護を使用している場合、Set-AIPFileLabel を使用して、保護を適用しない新しいラベルを適用したり、保護を適用したラベルを削除したりすることもできます。If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

これらのコマンドレットの詳細については、「Azure Information Protection クライアント管理者ガイド」の「Using PowerShell with the Azure Information Protection client」(PowerShell と Azure Information Protection クライアントの使用) を参照してください。For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

注意

AzureInformationProtection モジュールは、Azure Information Protection 用に Azure Rights Management サービスを管理するAipservice PowerShell モジュールとは異なり、補足しています。The AzureInformationProtection module is different from and supplements the AIPService PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

電子情報開示での Unprotect-RMSFile の使用に関するガイダンスGuidance for using Unprotect-RMSFile for eDiscovery

Unprotect-RMSFile コマンドレットを使用し、PST ファイルの保護コンテンツを復号できますが、このコマンドレットは電子情報開示プロセスの一環としてよく考えて使用してください。Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. 1 台のコンピューター上で大きなファイルに対して Unprotect-RMSFile を実行すると、リソースが大量に消費されます (メモリとディスク領域)。このコマンドレットでサポートされている最大ファイル サイズは 5GB です。Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

理想としては、Office 365 の電子情報開示は、保護されているメールとメールに添付されている保護ファイルを検索し、抽出する目的で使用します。Ideally, use Office 365 eDiscovery to search and extract protected emails and protected attachment in emails. スーパー ユーザー機能は Exchange Online と自動的に統合されるので、Office 365 セキュリティ/コンプライアンス センターまたは Microsoft 365 コンプライアンス センターの電子情報開示では、暗号化されているアイテムをエクスポート前に検索したり、暗号化されているメールをエクスポート時に復号したりできます。The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 compliance center can search for encrypted items prior to export, or decrypt encrypted email on export.

Office 365 の電子情報開示を利用できない場合、Azure Rights Management サービスと統合されており、同じようにデータを解決する別の電子情報開示ソリューションを用意できることがあります。If you cannot use Office 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. あるいは、ご利用の電子情報開示ソリューションで保護コンテンツが自動的に読み取られず、復号できない場合、複数の手順からなる以下の解決策を利用できます。この解決策では Unprotect-RMSFile をより効率的に実行できます。Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. Exchange Online、Exchange Server、またはユーザーがメールを保存したワークステーションから PST ファイルにメールをエクスポートします。Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. その PST ファイルを電子情報開示ツールにインポートします。Import the PST file into your eDiscovery tool. このツールでは保護コンテンツを読み取れないため、インポートしたアイテムはエラーを出すことが予想されます。Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. ツールで開けないすべてのアイテムから、今度は保護アイテムだけを含む新しい PST ファイルを生成します。From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. この 2 つ目の PST ファイルは、元の PST ファイルよりも小さくなる可能性が高くなります。This second PST file will likely be much smaller than the original PST file.

  4. 小さくなったこの 2 つ目の PST ファイルで Unprotect-RMSFile を実行し、そのコンテンツを復号します。Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. 出力から、新しく復号された PST ファイルを情報開示ツールにインポートします。From the output, import the now-decrypted PST file into your discovery tool.

メールボックスと PST ファイル全体で電子情報開示を実行する方法について詳しくは、ブログ投稿「Azure Information Protection and eDiscovery Processes」 (Azure Information Protection と電子情報開示プロセス) をご覧ください。For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.