Konfigurowanie administratorów usługi Azure Information Protection i usług odnajdywania lub odzyskiwania danych

Dotyczy: Azure Information Protection, Office 365

Istotne dla programu : Ujednolicony klient etykietowania usługi AIP i klient klasyczny

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Dzięki funkcji superużytkowników usługi Azure Rights Management w ramach usługi Azure Information Protection upoważnione osoby i usługi mogą zawsze odczytywać i sprawdzać dane chronione w organizacji przez usługę Azure Rights Management. W razie potrzeby ochronę można usunąć lub zmienić.

Administrator ma zawsze w usłudze Rights Management prawo użytkowania typu Pełna kontrola w odniesieniu do dokumentów i wiadomości e-mail chronionych przez dzierżawę usługi Azure Information Protection w organizacji. Ta możliwość jest czasami nazywana "uzasadnieniem danych" i jest kluczowym elementem utrzymania kontroli nad danymi organizacji. Przykładowo z tej funkcji można skorzystać w każdym z następujących scenariuszy:

  • Pracownik opuszcza organizację i zachodzi potrzeba odczytania plików, które zabezpieczył.

  • Administrator IT musi usunąć bieżące zasady ochrony skonfigurowane dla plików i zastosować nowe zasady ochrony.

  • Serwer programu Exchange musi indeksować skrzynki pocztowe na potrzeby operacji wyszukiwania.

  • Masz istniejące usługi IT związane z rozwiązaniami zapobiegania utracie danych (DLP), bramy szyfrowania zawartości (CEG) i produkty chroniące przed złośliwym oprogramowaniem, które muszą sprawdzić już zabezpieczone pliki.

  • Musisz zbiorczo odszyfrować pliki w związku z audytem, kwestiami prawnymi lub innymi kwestiami dotyczącymi zgodności.

Konfiguracja funkcji superuzyna

Domyślnie funkcja superużytkowników nie jest włączona i żadni użytkownicy nie są przypisani do tej roli. Jest ona włączona automatycznie w przypadku skonfigurowania łącznika usługi Rights Management dla programu Exchange i nie jest wymagana w przypadku standardowych usług z programem Exchange Online, Microsoft Sharepoint Server ani SharePoint w Microsoft 365.

Jeśli musisz ręcznie włączyć funkcję superużytkowników, użyj polecenia cmdlet Enable-AipServiceSuperUserFeatureprogramu PowerShell, a następnie przypisz użytkowników (lub konta usług) zgodnie z potrzebami przy użyciu polecenia cmdlet Add-AipServiceSuperUser lub set-AipServiceSuperUserGroup i dodaj użytkowników (lub inne grupy) zgodnie z potrzebami do tej grupy.

Chociaż użycie grupy dla superużytkowników jest łatwiejsze w zarządzaniu, należy pamiętać, że ze względu na wydajność w usłudze Azure Rights Management członkostwo w grupie jest buforowane. Jeśli więc chcesz przypisać nowego użytkownika jako administratora w celu natychmiastowego odszyfrowania zawartości, dodaj go za pomocą add-AipServiceSuperUser zamiast dodawać użytkownika do istniejącej grupy skonfigurowanej przy użyciu set-AipServiceSuperUserGroup.

Uwaga

  • Podczas dodawania użytkownika za pomocą polecenia cmdlet Add-AipServiceSuperUser należy również dodać podstawowy adres e-mail lub główną nazwę użytkownika do grupy. Aliasy poczty e-mail nie są oceniane.

  • Jeśli jeszcze nie zainstalowano modułu Windows PowerShell dla usługi Azure Rights Management, zobacz Instalowanie modułu AIPService programu PowerShell.

Włączenie funkcji superuzysła lub dodanie użytkowników jako superuzyterów nie ma znaczenia. Jeśli na przykład włączysz tę funkcję w czwartek, a następnie dodasz użytkownika w piątek, ten użytkownik będzie od razu otwierać zawartość chronioną na samym początku tygodnia.

Najlepsze rozwiązania w zakresie zabezpieczeń dotyczące funkcji superuzyterów

  • Ogranicz i monitoruj administratorów, którym przypisano administratora globalnego dla dzierżawy usługi Microsoft 365 lub Azure Information Protection albo którym przypisano rolę GlobalAdministrator przy użyciu polecenia cmdlet Add-AipServiceRoleBasedAdministrator. Ci użytkownicy mogą włączyć funkcję superużytkowników i przypisywać użytkowników (w tym siebie) do funkcji superużytkowników. Mogą też potencjalnie odszyfrować wszystkie pliki chronione w organizacji.

  • Aby sprawdzić, którzy użytkownicy i konta usług są indywidualnie przypisani jako superużytkowniki, użyj polecenia cmdlet Get-AipServiceSuperUser.

  • Aby sprawdzić, czy grupa superużytkowników jest skonfigurowana, użyj polecenia cmdlet Get-AipServiceSuperUserGroup i narzędzi do zarządzania użytkownikami standardowymi, aby sprawdzić, którzy użytkownicy są członkami tej grupy.

  • Podobnie jak wszystkie akcje administracyjne, włączanie lub wyłączanie funkcji superuzyskania oraz dodawanie lub usuwanie administratorów są rejestrowane i mogą być pod inspekcją za pomocą polecenia Get-AipServiceAdminLog. Na przykład zobacz Przykład inspekcji dla funkcji superuzyterów.

  • W przypadku odszyfrowywania plików przez superu użytkowników ta akcja jest rejestrowana i można ją inspekcji za pomocą rejestrowania użycia.

    Uwaga

    Dzienniki zawierają szczegóły dotyczące odszyfrowywania, w tym użytkownika, który odszyfrował plik, ale nie są zanotowane, gdy użytkownik jest superuzyfrowanym użytkownikiem. Użyj dzienników wraz z poleceniami cmdlet wymienionymi powyżej, aby najpierw zebrać listę superużęci, które można zidentyfikować w dziennikach.

  • Jeśli funkcja superużytkowników nie jest potrzebna w codziennych usługach, włącz ją tylko wtedy, gdy jest potrzebna, i wyłącz ją ponownie za pomocą polecenia cmdlet Disable-AipServiceSuperUserFeature.

Przykład inspekcji dla funkcji superuzyterów

Poniższy fragment dziennika przedstawia przykładowe wpisy z polecenia cmdlet Get-AipServiceAdminLog.

W tym przykładzie administrator firmy Contoso Ltd potwierdza, że funkcja superużytkowników jest wyłączona, dodaje użytkownika Richard Simone jako superużytkownika, sprawdza, czy Richard jest jedynym superużytkownikiem skonfigurowanym dla usługi Azure Rights Management, a następnie włącza funkcję superużytkownika. Dzięki temu Richard może teraz odszyfrować pliki zabezpieczone przez byłego pracownika firmy.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opcje obsługi skryptów dla superużytkowników

Często osoba, która ma przypisanego superuzyna dla usługi Azure Rights Management, musi usunąć ochronę z wielu plików w wielu lokalizacjach. Chociaż można to zrobić ręcznie, bardziej wydajne (i często bardziej niezawodne) jest użycie polecenia cmdlet Set-AIPFileLabel.

Jeśli korzystasz z klasyfikacji i ochrony, możesz również użyć polecenia Set-AIPFileLabel w celu zastosowania nowej etykiety, która nie spowoduje zastosowania ochrony, lub usunąć etykietę, która powodowała zastosowanie ochrony.

Aby uzyskać więcej informacji na temat wymienionych poleceń cmdlet, zobacz sekcję Używanie środowiska PowerShell z klientem usługi Azure Information Protection w podręczniku administratora klienta usługi Azure Information Protection.

Uwaga

Moduł AzureInformationProtection różni się od modułu AIPService programu PowerShell, który uzupełnia usługę Azure Rights Management service for Azure Information Protection.

Usuwanie ochrony plików PST

Aby usunąć ochronę plików PST, zalecamy używanie zbierania elektronicznych materiałów dowodowych w Microsoft 365 do wyszukiwania i wyodrębniania chronionych wiadomości e-mail i chronionych załączników w wiadomościach e-mail.

Możliwość superuzyfrowania jest automatycznie zintegrowana z usługą Exchange Online, dzięki czemu zbierania elektronicznych materiałów dowodowych w Centrum zgodności usługi Office 365 Security & lub programie Centrum zgodności platformy Microsoft 365 można wyszukiwać zaszyfrowane elementy przed eksportem lub odszyfrowywać zaszyfrowane wiadomości e-mail podczas eksportowania.

Jeśli nie możesz użyć Microsoft 365 zbierania elektronicznych materiałów dowodowych, możesz mieć inne rozwiązanie do zbierania elektronicznych materiałów dowodowych, które integruje się z usługą Azure Rights Management w celu podobnych przyczyn dotyczących danych.

Jeśli rozwiązanie zbierania elektronicznych materiałów dowodowych nie może automatycznie odczytywać i odszyfrowywać chronionej zawartości, nadal można używać tego rozwiązania w procesie wieloetapowym razem z poleceniem cmdlet Set-AIPFileLabel:

  1. Wyeksportuj wiadomość e-mail do pliku PST Exchange Online lub Exchange Server stacji roboczej, na której użytkownik przechowył wiadomość e-mail.

  2. Zaimportuj plik PST do narzędzia do zbierania elektronicznych materiałów dowodowych. Ponieważ narzędzie nie może odczytywać chronionej zawartości, oczekuje się, że te elementy wygeneruje błędy.

  3. Na podstawie wszystkich elementów, których narzędzie nie mogło otworzyć, wygeneruj nowy plik PST, który tym razem zawiera tylko chronione elementy. Ten drugi plik PST będzie prawdopodobnie znacznie mniejszy niż oryginalny plik PST.

  4. Uruchom plik Set-AIPFileLabel w drugim pliku PST, aby odszyfrować zawartość tego znacznie mniejszego pliku. Z danych wyjściowych zaimportuj teraz odszyfrowany plik PST do narzędzia odnajdywania.

Aby uzyskać bardziej szczegółowe informacje i wskazówki dotyczące przeprowadzania zbierania elektronicznych materiałów dowodowych w skrzynkach pocztowych i plikach PST, zobacz następujący wpis w blogu: Azure Information Protection and eDiscovery Processes(Procesy zbierania elektronicznych materiałów dowodowych).