Configurar superutilizadores para o Azure Rights Management e serviços de deteção ou recuperação de dadosConfiguring super users for Azure Rights Management and discovery services or data recovery

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

A funcionalidade de superutilizador do serviço Azure Rights Management do Azure Information Protection assegura que as pessoas e os serviços autorizados possam sempre ler e inspecionar os dados que o Azure Rights Management protege na sua organização.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. Se necessário, a proteção, em seguida, pode remover ou alterada.If necessary, the protection can then be removed or changed.

Um superutilizador tem sempre o direito de utilização Controlo Total do Rights Management para documentos e e-mails que foram protegidos pelo inquilino do Azure Information Protection da sua organização.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Esta capacidade é por vezes referida como "raciocínio através de dados" e é um elemento fundamental na manutenção do controlo dos dados da sua organização.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. Por exemplo, utilizaria esta funcionalidade para qualquer um dos seguintes cenários:For example, you would use this feature for any of the following scenarios:

  • Um funcionário sai da organização e precisa de ler os ficheiros que ele protegeu.An employee leaves the organization and you need to read the files that they protected.

  • Um administrador de TI tem de remover a política de proteção atual que foi configurada para OS ficheiros e aplicar uma nova política de proteção.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • O Exchange Server necessita de indexar caixas de correio para operações de pesquisa.Exchange Server needs to index mailboxes for search operations.

  • Possui serviços de TI existentes para soluções de prevenção de perda de dados (DLP), gateways de encriptação de conteúdo (CEG) e produtos de antimalware que necessitam de inspecionar ficheiros que já estão protegidos.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • É necessário desencriptar em volume ficheiros por motivos de auditoria, jurídicos ou outros motivos de conformidade.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Configuração para a funcionalidade de SuperutilizadorConfiguration for the super user feature

Por predefinição, a funcionalidade de superutilizador não está ativada. Esta função não é atribuída a nenhum utilizador.By default, the super user feature is not enabled, and no users are assigned this role. É automaticamente ativado para si se configurar o conector Rights Management para Exchange e não é necessário para serviços padrão que executem o Exchange Online, o SharePoint Online ou o SharePoint Server.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, SharePoint Online, or SharePoint Server.

Se precisar de ativar manualmente a funcionalidade de superutilizador, utilize o cmdlet do PowerShell Enable-AadrmSuperUserFeature e, em seguida, atribua utilizadores (ou contas de serviço), conforme necessário, ao utilizar o cmdlet Add-AadrmSuperUser cmdlet ou o cmdlet Set-AadrmSuperUserGroup e adicione utilizadores (ou outros grupos) a este grupo, conforme necessário.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AadrmSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AadrmSuperUser cmdlet or the Set-AadrmSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Embora utilizar um grupo para os seus superutilizadores seja mais fácil de gerir, tenha em atenção que, por motivos de desempenho, o Azure Rights Management coloca a associação do grupo em cache.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Por isso, se precisa de atribuir um novo utilizador como superutilizador para desencriptar conteúdos imediatamente, adicione esse utilizador através do cmdlet Add-AadrmSuperUser em vez de o adicionar a um grupo existente que configurou ao utilizar o cmdlet Set-AadrmSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AadrmSuperUser, rather than adding the user to an existing group that you have configured by using Set-AadrmSuperUserGroup.

Nota

Se ainda não instalou o módulo do Windows PowerShell para o Azure Rights Management, veja instalar o módulo do PowerShell do AADRM.If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AADRM PowerShell module.

Não importa quando ativa a funcionalidade de Superutilizador ou ao adicionar os utilizadores como superutilizadores.It doesn't matter when you enable the super user feature or when you add users as super users. Por exemplo, se ativar a funcionalidade na quinta-feira e, em seguida, adicionar um utilizador na sexta-feira, esse utilizador pode abrir imediatamente conteúdo que foi protegido logo no início da semana.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Melhores práticas de segurança para a funcionalidade de SuperutilizadorSecurity best practices for the super user feature

  • Restrinja e monitorize os administradores a quem é atribuída a função de administrador global para o seu inquilino do Office 365 ou do Azure Information Protection ou a quem é atribuída a função GlobalAdministrator através do cmdlet Add-AadrmRoleBasedAdministrator.Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AadrmRoleBasedAdministrator cmdlet. Estes utilizadores podem ativar a funcionalidade de superutilizador e atribuir utilizadores (e os próprios) como superutilizadores, bem como desencriptar potencialmente todos os ficheiros que a sua organização protege.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Para ver quais os utilizadores e contas de serviço são atribuídas individualmente como superutilizadores, utilize o Get-AadrmSuperUser cmdlet.To see which users and service accounts are individually assigned as super users, use the Get-AadrmSuperUser cmdlet. Para ver se um grupo de superutilizadores está configurado, utilize o Get-AadrmSuperUserGroup cmdlet e as ferramentas de gestão de usuário padrão para verificar quais os utilizadores são membros deste grupo.To see whether a super user group is configured, use the Get-AadrmSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group. Como todas as ações de administração, ativar ou desativar a funcionalidade super e adicionar ou remover superutilizadores, são registadas e podem ser auditadas ao utilizar o comando Get-AadrmAdminLog.Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AadrmAdminLog command. Veja a secção seguinte para obter um exemplo.See the next section for an example. Quando os superutilizadores desencriptam ficheiros, esta ação é registada e pode ser auditada com o registo de utilização.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Se não necessitar da funcionalidade de superutilizador para os serviços diários, ative a funcionalidade apenas quando precisar dela e desative-a novamente ao utilizar o cmdlet Disable-AadrmSuperUserFeature.If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AadrmSuperUserFeature cmdlet.

Auditoria de exemplo para a funcionalidade de SuperutilizadorExample auditing for the super user feature

O extrato de registo seguinte mostra algumas entradas de exemplo da utilização a Get-AadrmAdminLog cmdlet.The following log extract shows some example entries from using the Get-AadrmAdminLog cmdlet.

Neste exemplo, o administrador da Contoso Ltd confirma que a funcionalidade de superutilizador está desativada, adiciona Guilherme Sarmento como um superutilizador, verifica se o Guilherme é o único superutilizador configurado para o serviço Azure Rights Management e, em seguida, ativa a funcionalidade de superutilizador para que o Guilherme possa desencriptar alguns ficheiros que foram protegidos por um empregado que entretanto saiu da empresa.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opções de scripting para superutilizadoresScripting options for super users

Muitas vezes, alguém que é atribuído um Superutilizador do Azure Rights Management tem de remover a proteção de vários ficheiros, em várias localizações.Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. Embora seja possível fazê-lo manualmente, é mais eficaz (e, muitas vezes, mais fiável) efetuar um script disto.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Em seguida, pode utilizar o cmdlet Unprotect-RMSFile e o cmdlet Protect-RMSFile, conforme necessário.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Se estiver a utilizar a classificação e a proteção, também poderá utilizar o Set-AIPFileLabel para aplicar uma nova etiqueta que não aplique proteção ou remover a etiqueta que aplicou a proteção.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Para obter mais informações sobre estes cmdlets, veja Utilizar o PowerShell com o cliente do Azure Information Protection no guia do administrador do cliente do Azure Information Protection.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Nota

O módulo AzureInformationProtection é diferente do e complementa a módulo do PowerShell do AADRM que gerencia o serviço Azure Rights Management do Azure Information Protection.The AzureInformationProtection module is different from and supplements the AADRM PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

Orientações sobre o uso Unprotect-RMSFile para deteção de dados EletrónicosGuidance for using Unprotect-RMSFile for eDiscovery

Apesar de poder utilizar o cmdlet Unprotect-RMSFile para desencriptar conteúdos protegidos no arquivos PST, utilize este cmdlet estrategicamente como parte do seu processo de deteção de dados eletrónicos.Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. Executar Unprotect-RMSFile ficheiros grandes num computador é um com muitos recursos (memória e espaço em disco) e o tamanho de ficheiro máximo suportado para este cmdlet é 5 GB.Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

O ideal é que usar deteção de dados Eletrónicos do Office 365 para procurar e extrair o anexo protegido nos e-mails e os e-mails protegidos.Ideally, use Office 365 eDiscovery to search and extract protected emails and protected attachment in emails. A capacidade de Superutilizador automaticamente está integrada com o Exchange Online, para que a deteção de dados Eletrónicos no Centro de conformidade de segurança do Office 365 e pode procurar itens encriptados antes da exportação ou e-mail de desencriptação encriptada na exportação.The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center can search for encrypted items prior to export, or decrypt encrypted email on export.

Se não conseguir utilizar a deteção de dados Eletrónicos do Office 365, poderá ter outra solução de deteção de dados Eletrónicos que se integra com o serviço Azure Rights Management da mesma forma compreender os dados.If you cannot use Office 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. Em alternativa, se a sua solução de deteção de dados Eletrónicos automaticamente não é possível ler e desencriptar o conteúdo protegido, pode continuar a utilizar esta solução num processo de vários passo que permite-lhe executar Unprotect-RMSFile com mais eficiência:Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. Exporte o e-mail em questão para um arquivo PST do Exchange Online ou o Exchange Server ou da estação de trabalho onde o utilizador armazenados respetivo e-mail.Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. Importe o arquivo PST para sua ferramenta de deteção de dados eletrónicos.Import the PST file into your eDiscovery tool. Uma vez que a ferramenta não é possível ler o conteúdo protegido, espera-se que esses itens gerará erros.Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. De todos os itens que não foi possível abrir a ferramenta, gere um novo arquivo PST que desta vez, contém itens protegidos apenas.From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. Este segundo arquivo PST provavelmente será muito menor do que o arquivo PST original.This second PST file will likely be much smaller than the original PST file.

  4. Execute Unprotect-RMSFile neste ficheiro PST segundo para desencriptar o conteúdo deste ficheiro muito menor.Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. A partir da saída, importe o ficheiro de PST desencriptados de agora em sua ferramenta de deteção.From the output, import the now-decrypted PST file into your discovery tool.

Para informações e orientações para a execução de deteção de dados Eletrónicos em caixas de correio e arquivos PST mais detalhadas, consulte a seguinte mensagem de blogue: O Azure Information Protection e os processos de deteção de dados Eletrónicos.For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.