Konfigurera superanvändare för Azure Information Protection och identifieringstjänster eller dataåterställning

Gäller för:Azure Information Protection, Office 365

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

Funktionen för superanvändare i tjänsten Azure Rights Management från Azure Information Protection ser till att behöriga personer och tjänster alltid kan läsa och kontrollera data som Azure Rights Management skyddar för organisationen. Om det behövs kan skyddet sedan tas bort eller ändras.

En superanvändare har alltid fullständig behörighet för rättighetshanteringen för dokument och e-postmeddelanden som har skyddats av organisationens Azure Information Protection-klientorganisation. Den här möjligheten kallas ibland för "skälande över data" och är ett avgörande element för att behålla kontrollen över organisationens data. Du kan till exempel använda den här funktionen i följande scenarier:

  • En anställd lämnar organisationen och du behöver läsa de filer som de har skyddat.

  • En IT-administratör måste ta bort den aktuella skyddsprincipen som har konfigurerats för filer och tillämpa en ny skyddprincip.

  • Exchange Server behöver indexera postlådor för sökåtgärder.

  • Du har befintliga IT-tjänster för DLP-lösningar (dataförlustskydd), CEG-gatewayer (content encryption gateways) och skydd mot skadlig programvara som behöver granska filer som redan är skyddade.

  • Du måste massdekryptera filer för granskning, juridiska skäl eller andra efterlevnadsskäl.

Konfiguration för superanvändarfunktionen

Som standard är funktionen för superanvändare inte aktiverad och inga användare har tilldelats den här rollen. Den aktiveras automatiskt om du konfigurerar Rights Management-kopplingen för Exchange och den inte krävs för standardtjänster som kör Exchange Online, Microsoft Sharepoint Server eller SharePoint i Microsoft 365.

Om du manuellt behöver aktivera funktionen för superanvändare använder du PowerShell-cmdleten Enable-AipServiceSuperUserFeatureoch tilldelar sedan användare (eller tjänstkonton) efter behov med hjälp av cmdleten Add-AipServiceSuperUser eller Set-AipServiceSuperUserUserGroup och lägger till användare (eller andra grupper) efter behov i den här gruppen.

Även om det är enklare att hantera en grupp för superanvändare bör du vara medveten om att av prestandaskäl cachelagrar Azure Rights Management gruppmedlemskapet. Om du behöver tilldela en ny användare att bli en superanvändare för att dekryptera innehåll direkt lägger du till användaren med hjälp av Add-AipServiceSuperUser i stället för att lägga till användaren i en befintlig grupp som du har konfigurerat med hjälp av Set-AipServiceSuperUserGroup.

Obs!

  • När du lägger till en användare med cmdleten Add-AipServiceSuperUser måste du också lägga till den primära e-postadressen eller det primära namnet i gruppen. E-postalias utvärderas inte.

  • Om du ännu inte har installerat Windows PowerShell för Azure Rights Management, se Installera AIPService PowerShell-modulen.

Det spelar ingen roll när du aktiverar funktionen superanvändare eller när du lägger till användare som superanvändare. Om du till exempel aktiverar funktionen på torsdag och sedan lägger till en användare på fredag kan den användaren direkt öppna innehåll som skyddats i början av veckan.

Metodtips för säkerhet för funktionen superanvändare

  • Begränsa och övervaka de administratörer som har tilldelats en global administratör för din Microsoft 365- eller Azure Information Protection-klientorganisation, eller som tilldelas rollen GlobalAdministrator med hjälp av cmdleten Add-AipServiceRoleBasedAdministrator. De här användarna kan aktivera funktionen för superanvändare och tilldela användare (och sig själva) som superanvändare, och potentiellt dekryptera alla filer som din organisation skyddar.

  • Om du vill se vilka användare och tjänstkonton som tilldelas individuellt som superanvändare använder du cmdleten Get-AipServiceSuperUser.

  • För att se om en grupp för superanvändare är konfigurerad använder du cmdleten Get-AipServiceSuperUserGroup och dina standardverktyg för användarhantering för att kontrollera vilka användare som är medlemmar i den här gruppen.

  • Precis som alla administrationsåtgärder kan du aktivera eller inaktivera superfunktionen och lägga till eller ta bort superanvändare loggas och kan granskas med hjälp av kommandot Get-AipServiceAdminLog. Se till exempel granskning för funktionen superanvändare.

  • När superanvändare dekrypterar filer loggas den här åtgärden och kan granskas med användningsloggning.

    Obs!

    Även om loggarna innehåller information om dekryptering, inklusive den användare som dekrypterade filen, notera de inte när användaren är en superanvändare. Använd loggarna tillsammans med cmdletarna ovan för att först samla in en lista med superanvändare som du kan identifiera i loggarna.

  • Om du inte behöver superanvändarfunktionen för vanliga tjänster kan du aktivera funktionen endast när du behöver den och inaktivera den igen med hjälp av cmdleten Disable-AipServiceSuperUserFeature.

Exempelgranskning för funktionen superanvändare

Följande logg extrahera visar några exempelposter från att använda cmdleten Get-AipServiceAdminLog.

I det här exemplet bekräftar administratören för Contoso Ltd att funktionen för superanvändare är inaktiverad, lägger till Hansson som superanvändare, kontrollerar att Han är den enda superanvändaren som konfigurerats för Azure Rights Management-tjänsten och aktiverar sedan funktionen superanvändare så att Hannsson nu kan dekryptera vissa filer som skyddades av en anställd som nu har lämnat företaget.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Skriptalternativ för superanvändare

Ofta behöver någon som har tilldelats en superanvändare för Azure Rights Management ta bort skydd från flera filer på flera platser. Det är möjligt att göra detta manuellt, men det är mer effektivt (och ofta mer tillförlitligt) att skapa skript för detta med hjälp av cmdleten Set-AIPFileLabel.

Om du använder klassificering och skydd kan du också använda Set-AIPFileLabel till att använda en ny etikett som inte tillämpar skydd eller ta bort den etikett som tillämpat skydd.

Mer information om dessa cmdlets finns i Använda PowerShell med Azure Information Protection-klienten från Azure Information Protection-klientadministratörsguiden.

Obs!

AzureInformationProtection-modulen skiljer sig från och tillägg till AIPService PowerShell-modulen som hanterar Azure Rights Management-tjänsten för Azure Information Protection.

Tar bort skydd för PST-filer

För att ta bort skydd för PST-filer rekommenderar vi att du använder eDiscovery i Microsoft 365 för att söka i och extrahera skyddade e-postmeddelanden och skyddad bifogad fil i e-postmeddelanden.

Super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 Efterlevnadscenter can search for encrypted items prior to export, or decrypted email on export.

Om du inte kan Microsoft 365 eDiscovery, kanske du har en annan eDiscovery-lösning som integreras med Azure Rights Management-tjänsten till liknande orsak över data.

Om din eDiscovery-lösning inte automatiskt kan läsa och dekryptera skyddat innehåll kan du fortfarande använda den här lösningen i en flerstegsprocess tillsammans med cmdleten Set-AIPFileLabel:

  1. Exportera e-postmeddelandet i fråga till en PST-fil från Exchange Online eller Exchange Server, eller från arbetsstationen där användaren lagrade sin e-post.

  2. Importera PST-filen till ditt eDiscovery-verktyg. Eftersom verktyget inte kan läsa skyddat innehåll genereras fel med dessa objekt.

  3. Skapa en ny PST-fil som den här gången bara innehåller skyddade objekt från alla objekt som verktyget inte kunde öppna. Den andra PST-filen kommer antagligen att vara mycket mindre än den ursprungliga PST-filen.

  4. Kör Set-AIPFileLabel på den här andra PST-filen för att dekryptera innehållet i den här mycket mindre filen. Importera den nu dekrypterade PST-filen till identifieringsverktyget från utdata.

Mer detaljerad information och vägledning för hur du utför eDiscovery över postlådor och PST-filer finns i följande blogginlägg: Azure Information Protection och eDiscovery-processer.