Configurar superutilizadores para o Azure Rights Management e serviços de deteção ou recuperação de dadosConfiguring super users for Azure Rights Management and discovery services or data recovery

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

A funcionalidade de superutilizador do serviço Azure Rights Management do Azure Information Protection assegura que as pessoas e os serviços autorizados possam sempre ler e inspecionar os dados que o Azure Rights Management protege na sua organização.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. E, se for necessário, remove a proteção ou altera a proteção que estava anteriormente aplicada.And if necessary, remove the protection or change the protection that was previously applied.

Um superutilizador tem sempre o direito de utilização Controlo Total do Rights Management para documentos e e-mails que foram protegidos pelo inquilino do Azure Information Protection da sua organização.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Esta capacidade é por vezes referida como "raciocínio através de dados" e é um elemento fundamental na manutenção do controlo dos dados da sua organização.This ability is sometimes referred to as “reasoning over data” and is a crucial element in maintaining control of your organization’s data. Por exemplo, utilizaria esta funcionalidade para qualquer um dos seguintes cenários:For example, you would use this feature for any of the following scenarios:

  • Um funcionário sai da organização e precisa de ler os ficheiros que ele protegeu.An employee leaves the organization and you need to read the files that they protected.

  • Um administrador de TI tem de remover a política de proteção atual que foi configurada para OS ficheiros e aplicar uma nova política de proteção.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • O Exchange Server necessita de indexar caixas de correio para operações de pesquisa.Exchange Server needs to index mailboxes for search operations.

  • Possui serviços de TI existentes para soluções de prevenção de perda de dados (DLP), gateways de encriptação de conteúdo (CEG) e produtos de antimalware que necessitam de inspecionar ficheiros que já estão protegidos.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • É necessário desencriptar em volume ficheiros por motivos de auditoria, jurídicos ou outros motivos de conformidade.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Por predefinição, a funcionalidade de superutilizador não está ativada. Esta função não é atribuída a nenhum utilizador.By default, the super user feature is not enabled, and no users are assigned this role. É automaticamente ativado para si se configurar o conector Rights Management para Exchange e não é necessário para serviços padrão que executem o Exchange Online, o SharePoint Online ou o SharePoint Server.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, SharePoint Online, or SharePoint Server.

Se precisar de ativar manualmente a funcionalidade de superutilizador, utilize o cmdlet do PowerShell Enable-AadrmSuperUserFeature e, em seguida, atribua utilizadores (ou contas de serviço), conforme necessário, ao utilizar o cmdlet Add-AadrmSuperUser cmdlet ou o cmdlet Set-AadrmSuperUserGroup e adicione utilizadores (ou outros grupos) a este grupo, conforme necessário.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AadrmSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AadrmSuperUser cmdlet or the Set-AadrmSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Embora utilizar um grupo para os seus superutilizadores seja mais fácil de gerir, tenha em atenção que, por motivos de desempenho, o Azure Rights Management coloca a associação do grupo em cache.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Por isso, se precisa de atribuir um novo utilizador como superutilizador para desencriptar conteúdos imediatamente, adicione esse utilizador através do cmdlet Add-AadrmSuperUser em vez de o adicionar a um grupo existente que configurou ao utilizar o cmdlet Set-AadrmSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AadrmSuperUser, rather than adding the user to an existing group that you have configured by using Set-AadrmSuperUserGroup.

Nota

Se ainda não tiver instalado o módulo do Windows PowerShell para o Azure Rights ManagementAzure Rights Management, veja Instalar o Windows PowerShell para o Azure Rights Management.If you have not yet installed the Windows PowerShell module for Azure Rights ManagementAzure Rights Management, see Installing Windows PowerShell for Azure Rights Management.

Melhores práticas de segurança para a funcionalidade de superutilizador:Security best practices for the super user feature:

  • Restrinja e monitorize os administradores a quem é atribuída a função de administrador global para o seu inquilino do Office 365 ou do Azure Information Protection ou a quem é atribuída a função GlobalAdministrator através do cmdlet Add-AadrmRoleBasedAdministrator.Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AadrmRoleBasedAdministrator cmdlet. Estes utilizadores podem ativar a funcionalidade de superutilizador e atribuir utilizadores (e os próprios) como superutilizadores, bem como desencriptar potencialmente todos os ficheiros que a sua organização protege.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Para ver quais os utilizadores e as contas de serviço que são atribuídos individualmente como superutilizadores, utilize o cmdlet Get-AadrmSuperUser.To see which users and service accounts are individually assigned as super users, use the Get-AadrmSuperUser cmdlet. Para ver se um grupo de superutilizadores está configurado, utilize o cmdlet Get-AadrmSuperUser e as suas ferramentas padrão de gestão de utilizadores para verificar quais os utilizadores que são membros deste grupo.To see whether a super user group is configured, use the Get-AadrmSuperUser cmdlet and your standard user management tools to check which users are a member of this group. Como todas as ações de administração, ativar ou desativar a funcionalidade super e adicionar ou remover superutilizadores, são registadas e podem ser auditadas ao utilizar o comando Get-AadrmAdminLog.Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AadrmAdminLog command. Quando os superutilizadores desencriptam ficheiros, esta ação é registada e pode ser auditada com o registo de utilização.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Se não necessitar da funcionalidade de superutilizador para os serviços diários, ative a funcionalidade apenas quando precisar dela e desative-a novamente ao utilizar o cmdlet Disable-AadrmSuperUserFeature.If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AadrmSuperUserFeature cmdlet.

O seguinte extrato de registo mostra algumas entradas de exemplo ao utilizar o cmdlet Get-AadrmAdminLog.The following log extract shows some example entries from using the Get-AadrmAdminLog cmdlet. Neste exemplo, o administrador da Contoso Ltd confirma que a funcionalidade de superutilizador está desativada, adiciona Guilherme Sarmento como um superutilizador, verifica se o Guilherme é o único superutilizador configurado para o serviço Azure Rights Management e, em seguida, ativa a funcionalidade de superutilizador para que o Guilherme possa desencriptar alguns ficheiros que foram protegidos por um empregado que entretanto saiu da empresa.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opções de scripting para superutilizadoresScripting options for super users

É frequente que uma pessoa a quem seja atribuído um superutilizador para o Azure Rights ManagementAzure Rights Management venha a ter de remover a proteção de vários ficheiros, em várias localizações.Often, somebody who is assigned a super user for Azure Rights ManagementAzure Rights Management will need to remove protection from multiple files, in multiple locations. Embora seja possível fazê-lo manualmente, é mais eficaz (e, muitas vezes, mais fiável) efetuar um script disto.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Em seguida, pode utilizar o cmdlet Unprotect-RMSFile e o cmdlet Protect-RMSFile, conforme necessário.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Se estiver a utilizar a classificação e a proteção, também poderá utilizar o Set-AIPFileLabel para aplicar uma nova etiqueta que não aplique proteção ou remover a etiqueta que aplicou a proteção.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Para obter mais informações sobre estes cmdlets, veja Utilizar o PowerShell com o cliente do Azure Information Protection no guia do administrador do cliente do Azure Information Protection.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Nota

O módulo AzureInformationProtection substitui o módulo do PowerShell de Proteção RMS que foi instalado com a Ferramenta de Proteção RMS.The AzureInformationProtection module replaces the RMS Protection PowerShell module that installed with the RMS Protection Tool. Ambos os módulos são diferentes do Módulo do Windows PowerShell para o Azure Rights Management principal e complementam-no.Both these modules are different from and supplements the main Windows PowerShell module for Azure Rights Management. O módulo AzureInformationProtection suporta o Azure Information Protection, o serviço Azure Rights Management (Azure RMS) para o Azure Information Protection e os Serviços de Gestão de Direitos do Active Directory (AD RMS).The AzureInformationProtection module supports Azure Information Protection, the Azure Rights Management service (Azure RMS) for Azure Information Protection, and Active Directory Rights Management Services (AD RMS).

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.