Super gebruikers configureren voor Azure Information Protection en detectie Services of gegevens herstelConfiguring super users for Azure Information Protection and discovery services or data recovery

Van toepassing op: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

De functie van supergebruiker van de Azure Rights Management-service van Azure Information Protection garandeert dat gemachtigde personen en services de gegevens die voor uw organisatie worden beveiligd met Azure Rights Management, altijd kunnen lezen en controleren.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. Als dat nodig is, kan de beveiliging vervolgens worden verwijderd of gewijzigd.If necessary, the protection can then be removed or changed.

Een supergebruiker beschikt altijd over het gebuiksrecht Rights Management Full Control voor documenten en e-mailberichten die door de Azure Information Protection-tenant van uw bedrijf zijn beveiligd.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Deze mogelijkheid wordt soms aangeduid als ' door gegevens '. Dit is een cruciaal element bij het onderhouden van de controle over de gegevens van uw organisatie.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. U zou deze functie bijvoorbeeld kunnen gebruiken voor een van de volgende scenario's:For example, you would use this feature for any of the following scenarios:

  • Een werknemer verlaat de organisatie en u moet de bestanden lezen die door hem/haar zijn beveiligd.An employee leaves the organization and you need to read the files that they protected.

  • Een IT-beheerder moet het huidige beveiligingsbeleid verwijderen dat is geconfigureerd voor bestanden en een nieuw beveiligingsbeleid toepassen.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange-Server moet postvakken indexeren voor zoekopdrachten.Exchange Server needs to index mailboxes for search operations.

  • U hebt bestaande IT-services voor het voorkomen van gegevensverlies (DLP), gateways voor de versleuteling van inhoud (CEG) en anti-malwareproducten die nodig zijn om bestanden te controleren die al worden beveiligd.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • U moet bulksgewijs bestanden ontsleutelen ten behoeve van controle, om juridische redenen of om andere nalevingsredenen.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Configuratie voor de functie super gebruikerConfiguration for the super user feature

Standaard is de functie van supergebruiker niet ingeschakeld en zijn er geen gebruikers aan deze rol toegewezen.By default, the super user feature is not enabled, and no users are assigned this role. De functie wordt automatisch ingeschakeld als u de Rights Management-connector voor Exchange configureert en is niet vereist voor standaardservices die Exchange Online, SharePoint Online of SharePoint-Server uitvoeren.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, SharePoint Online, or SharePoint Server.

Als u de functie super gebruiker hand matig moet inschakelen, gebruikt u de Power shell -cmdlet Enable-AipServiceSuperUserFeatureen wijst u vervolgens gebruikers (of service accounts) toe als dat nodig is met behulp van de cmdlet add-AipServiceSuperUser of de De cmdlet Set-AipServiceSuperUserGroup en gebruikers (of andere groepen) aan deze groep toevoegen.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AipServiceSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AipServiceSuperUser cmdlet or the Set-AipServiceSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Hoewel het eenvoudiger is om een groep met supergebruikers te beheren, slaat Azure Rights Management om prestatieredenen het groepslidmaatschap op in de cache.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Als u dus een nieuwe gebruiker aan een super gebruiker moet toewijzen om inhoud onmiddellijk te ontsleutelen, voegt u die gebruiker toe met behulp van add-AipServiceSuperUser in plaats van de gebruiker toe te voegen aan een bestaande groep die u hebt geconfigureerd met behulp van set-AipServiceSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AipServiceSuperUser, rather than adding the user to an existing group that you have configured by using Set-AipServiceSuperUserGroup.

Notitie

Als u de Windows Power shell-module voor Azure Rights Management nog niet hebt geïnstalleerd, raadpleegt u de AIPService Power shell-module installeren.If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AIPService PowerShell module.

Het maakt niet uit wanneer u de functie super gebruiker inschakelt of wanneer u gebruikers toevoegt als super gebruikers.It doesn't matter when you enable the super user feature or when you add users as super users. Als u bijvoorbeeld de functie inschakelt op donderdag en vervolgens een gebruiker toevoegt op vrijdag, kan die gebruiker direct inhoud openen die aan het begin van de week is beveiligd.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Aanbevolen beveiligings procedures voor de functie super gebruikerSecurity best practices for the super user feature

  • Beperk en bewaak de beheerders die zijn toegewezen aan een globale beheerder voor uw Office 365-of Azure Information Protection Tenant, of aan wie de rol globaladministrator-rol is toegewezen met behulp van de cmdlet add-AipServiceRoleBasedAdministrator .Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AipServiceRoleBasedAdministrator cmdlet. Deze gebruikers kunnen de functie van supergebruiker inschakelen en gebruikers (en zichzelf) toewijzen als supergebruiker en mogelijk alle bestanden ontsleutelen die door uw organisatie worden beveiligd.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Gebruik de cmdlet Get-AipServiceSuperUser om te zien welke gebruikers en service accounts individueel als super gebruikers zijn toegewezen.To see which users and service accounts are individually assigned as super users, use the Get-AipServiceSuperUser cmdlet. Als u wilt zien of een super gebruikers groep is geconfigureerd, gebruikt u de cmdlet Get-AipServiceSuperUserGroup en de standaard gebruikers beheer Programma's om te controleren welke gebruikers lid zijn van deze groep.To see whether a super user group is configured, use the Get-AipServiceSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group. Net als alle beheer acties, het in-of uitschakelen van de functie Super, en het toevoegen of verwijderen van Super gebruikers worden vastgelegd en kunnen ze worden gecontroleerd met behulp van de opdracht Get-AipServiceAdminLog .Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AipServiceAdminLog command. Zie de volgende sectie voor een voor beeld.See the next section for an example. Wanneer supergebruikers bestanden ontsleutelen, wordt deze actie in het logboek geregistreerd en kan dit worden gecontroleerd met logboekregistratie van gebruik.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Als u de functie super gebruiker voor dagelijkse Services niet nodig hebt, schakelt u de functie alleen in wanneer u deze nodig hebt en schakelt u deze opnieuw uit met behulp van de cmdlet Disable-AipServiceSuperUserFeature .If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AipServiceSuperUserFeature cmdlet.

Voorbeeld controle voor de functie super gebruikerExample auditing for the super user feature

De volgende logboek extractie toont enkele voorbeeld vermeldingen van het gebruik van de cmdlet Get-AipServiceAdminLog .The following log extract shows some example entries from using the Get-AipServiceAdminLog cmdlet.

In dit voorbeeld bevestigt de beheerder van Contoso Ltd dat de functie van supergebruiker is uitgeschakeld, voegt deze Richard Simone toe als supergebruiker, controleert deze of Richard de enige supergebruiker is die is geconfigureerd voor de Azure Rights Management-service en schakelt deze vervolgens de functie van supergebruiker in, zodat Richard nu bepaalde bestanden kan ontsleutelen die zijn beveiligd door een werknemer die het bedrijf heeft verlaten.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Scriptopties voor supergebruikersScripting options for super users

Vaak moet iemand aan wie een super gebruiker voor Azure Rights Management is toegewezen, de beveiliging van meerdere bestanden op meerdere locaties verwijderen.Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. Het is mogelijk om dit handmatig te doen, maar het is efficiënter (en vaak betrouwbaarder) om het met een script te doen.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Hiervoor gebruikt u de cmdlet Unprotect RMSFile en de cmdlet Protect-RMSFile.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Als u classificatie en beveiliging gebruikt, kunt u ook Set-AIPFileLabel gebruiken om een nieuwe label toe te passen waarmee geen beveiliging wordt toegepast, of om het label waarmee beveiliging wordt toegepast, te verwijderen.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Zie de sectie PowerShell gebruiken met de Azure Informatie Protection-client in de beheerdershandleiding voor de Azure Information Protection-client voor meer informatie over deze cmdlets.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Notitie

De AzureInformationProtection-module verschilt van en vormt een aanvulling op de AIPService Power shell-module die de Azure Rights Management-service voor Azure Information Protection beheert.The AzureInformationProtection module is different from and supplements the AIPService PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

Richt lijnen voor het gebruik van Unprotect-RMSFile voor eDiscoveryGuidance for using Unprotect-RMSFile for eDiscovery

Hoewel u de cmdlet Unprotect-RMSFile kunt gebruiken voor het ontsleutelen van beveiligde inhoud in PST-bestanden, moet u deze cmdlet strategisch gebruiken als onderdeel van uw eDiscovery-proces.Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. Het uitvoeren van Unprotect-RMSFile op grote bestanden op een computer is een resource-intensieve (geheugen-en schijf ruimte) en de maximale bestands grootte die wordt ondersteund voor deze cmdlet is 5 GB.Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

Gebruik in het ideale geval Office 365 eDiscovery om beveiligde e-mail berichten en beveiligde bijlagen te zoeken en uit te pakken in e-mail berichten.Ideally, use Office 365 eDiscovery to search and extract protected emails and protected attachment in emails. De supergebruikers functie wordt automatisch geïntegreerd met Exchange Online, zodat eDiscovery in het Office 365 Beveiligings-en compliancecentrum of Microsoft 365 compliance Center kan zoeken naar versleutelde items vóór het exporteren of versleutelen van gecodeerde e-mail tijdens het exporteren.The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 compliance center can search for encrypted items prior to export, or decrypt encrypted email on export.

Als u Office 365 eDiscovery niet kunt gebruiken, hebt u mogelijk een andere eDiscovery-oplossing die kan worden geïntegreerd met de Azure Rights Management-service op vergelijk bare wijze als de gegevens.If you cannot use Office 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. Als uw eDiscovery-oplossing beveiligde inhoud niet automatisch kan lezen en ontsleutelen, kunt u deze oplossing nog steeds gebruiken in een proces met meerdere stappen waarmee u de beveiliging van RMSFile efficiënter kunt uitvoeren:Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. Exporteer het e-mail bericht in de vraag naar een PST-bestand van Exchange Online of Exchange Server of van het werk station waar de gebruiker hun e-mail adres heeft opgeslagen.Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. Importeer het PST-bestand in uw eDiscovery-hulp programma.Import the PST file into your eDiscovery tool. Omdat het hulp programma beveiligde inhoud niet kan lezen, wordt verwacht dat deze items fouten genereren.Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. Genereer vanuit alle items die het hulp programma niet kan openen, een nieuw PST-bestand dat deze keer alleen beveiligde items bevat.From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. Dit tweede PST-bestand is waarschijnlijk veel kleiner dan het oorspronkelijke PST-bestand.This second PST file will likely be much smaller than the original PST file.

  4. Voer Unprotect-RMSFile uit op dit tweede PST-bestand om de inhoud van dit veel kleiner bestand te ontsleutelen.Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. Importeer vanuit de uitvoer het nu gedecodeerde PST-bestand in uw detectie hulpprogramma.From the output, import the now-decrypted PST file into your discovery tool.

Voor meer informatie en richt lijnen voor het uitvoeren van eDiscovery in post vakken en PST-bestanden raadpleegt u het volgende blog bericht: Azure Information Protection-en eDiscovery-processen.For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.