Konfigurera superanvändare för Azure Information Protection och identifieringstjänster eller dataåterställningConfiguring super users for Azure Information Protection and discovery services or data recovery

*Gäller för: Azure Information Protection, Office 365**Applies to: Azure Information Protection, Office 365*

*Relevant för: AIP Unified Labeling-klienten och Classic-klienten**Relevant for: AIP unified labeling client and classic client*

Superanvändarfunktionen i Azure Rights Management-tjänsten från Azure Information Protection ser till att behöriga användare och tjänster alltid kan läsa och granska de data som Azure Rights Management skyddar åt din organisation.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. Vid behov kan skyddet tas bort eller ändras.If necessary, the protection can then be removed or changed.

En superuser har alltid användningsrättigheter med fullständig behörighet i Rights Management för dokument och e-postmeddelanden som har skyddats av organisationens Azure Information Protection-klient.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Den här möjligheten kallas ibland "uppföljning av data" och är ett viktigt element för att behålla kontrollen över organisationens data.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. Du skulle till exempel använda den här funktionen i någon av följande situationer:For example, you would use this feature for any of the following scenarios:

  • En medarbetare lämnar organisationen och du behöver kunna läsa de filer som personen har skyddat.An employee leaves the organization and you need to read the files that they protected.

  • En IT-administratör måste ta bort den aktuella skyddsprincip som har konfigurerats för filerna och tillämpa en ny skyddsprincip.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server måste indexera postlådor för sökningar.Exchange Server needs to index mailboxes for search operations.

  • Du har befintliga IT-tjänster för lösningar som förebygger dataförluster, gatewayer för innehållskryptering och produkter mot skadlig programvara som måste användas för att inspektera filer som redan skyddas.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • Du behöver massdekryptera filer för granskning, av juridiska skäl eller andra efterlevnadsskäl.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Konfiguration för super user-funktionenConfiguration for the super user feature

Superanvändarfunktionen är inte aktiverad som standard, och inga användare har tilldelats den här rollen.By default, the super user feature is not enabled, and no users are assigned this role. Den aktive ras automatiskt om du konfigurerar Rights Management Connector för Exchange, och det krävs inte för standard tjänster som kör Exchange Online, Microsoft SharePoint Server eller SharePoint i Microsoft 365.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, Microsoft Sharepoint Server, or SharePoint in Microsoft 365.

Om du behöver aktivera superuser-funktionen manuellt använder du PowerShell-cmdleten Enable-AipServiceSuperUserFeatureoch tilldelar sedan användare (eller tjänst konton) vid behov genom att använda cmdleten Add-AipServiceSuperUser eller cmdleten set-AipServiceSuperUserGroup och lägga till användare (eller andra grupper) efter behov i den här gruppen.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AipServiceSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AipServiceSuperUser cmdlet or the Set-AipServiceSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Även om det är enklare att använda en grupp för dina superanvändare, så tänk på att Azure Rights Management av prestandaskäl cachelagrar gruppmedlemskapet.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Så om du behöver tilldela en ny användare till en superanvändare för att dekryptera innehåll omedelbart, lägger du till användaren med hjälp av Add-AipServiceSuperUser, i stället för att lägga till användaren i en befintlig grupp som du har konfigurerat med set-AipServiceSuperUserGroup.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AipServiceSuperUser, rather than adding the user to an existing group that you have configured by using Set-AipServiceSuperUserGroup.

Anteckning

Om du ännu inte har installerat Windows PowerShell-modulen för Azure Rights Management, se Installera AIPService PowerShell-modulen.If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AIPService PowerShell module.

Det spelar ingen roll när du aktiverar funktionen Super User eller när du lägger till användare som superanvändare.It doesn't matter when you enable the super user feature or when you add users as super users. Om du till exempel aktiverar funktionen på torsdag och sedan lägger till en användare på fredag, kan användaren omedelbart öppna innehåll som har skyddats i början av veckan.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Rekommenderade säkerhets metoder för super user-funktionenSecurity best practices for the super user feature

  • Begränsa och övervaka de administratörer som har tilldelats en global administratör för din Microsoft 365 eller Azure Information Protection klient organisation, eller som har tilldelats rollen global Administrator-rollen med hjälp av cmdleten Add-AipServiceRoleBasedAdministrator .Restrict and monitor the administrators who are assigned a global administrator for your Microsoft 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AipServiceRoleBasedAdministrator cmdlet. Dessa användare kan aktivera superanvändarfunktionen och tilldela användare (och sig själva) som superanvändare och eventuellt dekryptera alla filer som skyddas inom organisationen.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Använd cmdleten Get-AipServiceSuperUser för att se vilka användare och tjänst konton som är individuellt tilldelade som superanvändare.To see which users and service accounts are individually assigned as super users, use the Get-AipServiceSuperUser cmdlet.

  • Om du vill se om en superanvändargrupp har kon figurer ATS använder du cmdleten Get-AipServiceSuperUserGroup och dina standard verktyg för användar hantering för att kontrol lera vilka användare som är medlemmar i den här gruppen.To see whether a super user group is configured, use the Get-AipServiceSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group.

  • Precis som alla administrations åtgärder, aktivera eller inaktivera Super-funktionen och lägga till eller ta bort superanvändare loggas och kan granskas med hjälp av kommandot Get-AipServiceAdminLog .Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AipServiceAdminLog command. Exempel: se granskning för superuser-funktionen.For example, see Example auditing for the super user feature.

  • När superanvändare dekrypterar filer loggas den här åtgärden och kan granskas med användnings loggning.When super users decrypt files, this action is logged and can be audited with usage logging.

    Anteckning

    Även om loggarna innehåller information om dekryptering, inklusive den användare som dekrypterade filen, antecknas de inte när användaren är en superanvändare.While the logs include details about the decryption, including the user who decrypted the file, they do not note when the user is a super user. Använd loggarna tillsammans med cmdletarna som anges ovan för att först samla in en lista över superanvändare som du kan identifiera i loggarna.Use the logs together with the cmdlets listed above to first collect a list of super users that you can identify in the logs.

  • Om du inte behöver funktionen Super-användare för vardagliga tjänster, aktiverar du bara funktionen när du behöver den och inaktiverar den igen med hjälp av cmdleten disable-AipServiceSuperUserFeature .If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AipServiceSuperUserFeature cmdlet.

Exempel granskning för super user-funktionenExample auditing for the super user feature

Följande logg extrahering visar några exempel poster från med hjälp av cmdleten Get-AipServiceAdminLog .The following log extract shows some example entries from using the Get-AipServiceAdminLog cmdlet.

I det här exemplet bekräftar administratören för Contoso Ltd att superanvändarfunktionen är inaktiverad, lägger till Viktor Magnusson som en superanvändare, kontrollerar att Viktor är den enda superanvändaren som har konfigurerats för Azure Rights Management-tjänsten och aktiverar sedan funktionen för superanvändare så att Viktor kan dekryptera några filer som har skyddats av en medarbetare som nu har lämnat företaget.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Skriptalternativ för superanvändareScripting options for super users

Ofta måste någon som har tilldelats en super-användare för Azure Rights Management ta bort skyddet från flera filer på flera platser.Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. Det är möjligt att göra detta manuellt, men det är mer effektivt (och ofta mer tillförlitligt) att använda ett skript.While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. För att göra detta kan du, efter behov, använda Unprotect RMSFile-cmdleten och Protect-RMSFile-cmdleten.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Om du använder klassificering och skydd kan du också använda Set-AIPFileLabel för att använda en ny etikett som inte tillämpar skydd, eller ta bort etiketten som tillämpade skydd.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Mer information om dessa cmdletar finns i Använda PowerShell med Azure Information Protection-klienten från Azure Information Protection-klientens adminhandbok.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Anteckning

AzureInformationProtection-modulen skiljer sig från och kompletterar AIPService PowerShell-modulen som hanterar Azure Rights Management-tjänsten för Azure information Protection.The AzureInformationProtection module is different from and supplements the AIPService PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

Vägledning för att använda Unprotect-RMSFile för eDiscoveryGuidance for using Unprotect-RMSFile for eDiscovery

Även om du kan använda Unprotect-RMSFile-cmdlet: en för att dekryptera skyddat innehåll i PST-filer, använder du denna cmdlet strategiskt som en del av eDiscovery-processen.Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. Att köra Unprotect-RMSFile på stora filer på en dator är ett resurs intensivt (minne och disk utrymme) och den maximala fil storleken som stöds för denna cmdlet är 5 GB.Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

Vi rekommenderar att du använder eDiscovery i Microsoft 365 för att söka efter och extrahera skyddade e-postmeddelanden och skyddade bifogade filer i e-postmeddelanden.Ideally, use eDiscovery in Microsoft 365 to search and extract protected emails and protected attachment in emails. Superanvändarens möjlighet är automatiskt integrerat med Exchange Online så att eDiscovery i Office 365 Security & Compliance Center eller Microsoft 365 Compliance Center kan söka efter krypterade objekt före exporten eller dekryptera krypterade e-postmeddelanden vid export.The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 compliance center can search for encrypted items prior to export, or decrypt encrypted email on export.

Om du inte kan använda Microsoft 365 eDiscovery kan du ha en annan eDiscovery-lösning som integreras med Azure Rights Management-tjänsten till följd av data.If you cannot use Microsoft 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. Eller, om eDiscovery-lösningen inte kan läsa och dekryptera skyddat innehåll automatiskt, kan du fortfarande använda den här lösningen i en process med flera steg som gör att du kan köra Unprotect-RMSFile effektivare:Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. Exportera e-postmeddelandet i fråga till en PST-fil från Exchange Online eller Exchange Server eller från den arbets station där användaren sparade sin e-post.Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. Importera PST-filen till eDiscovery-verktyget.Import the PST file into your eDiscovery tool. Eftersom verktyget inte kan läsa skyddat innehåll förväntas det att dessa objekt genererar fel.Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. Från alla objekt som verktyget inte kunde öppna skapar du en ny PST-fil som den här gången innehåller precis skyddade objekt.From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. Den andra PST-filen är förmodligen mycket mindre än den ursprungliga PST-filen.This second PST file will likely be much smaller than the original PST file.

  4. Kör Unprotect-RMSFile på den här andra PST-filen för att dekryptera innehållet i den här mycket mindre filen.Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. Importera den nu dekrypterade PST-filen från utdata till identifierings verktyget.From the output, import the now-decrypted PST file into your discovery tool.

Mer detaljerad information och vägledning för att utföra eDiscovery i post lådor och PST-filer finns i följande blogg inlägg: Azure information Protection och eDiscovery-processer.For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.