Azure Rights Management için süper kullanıcılar ve bulma hizmetleri ya da veri kurtarma yapılandırmaConfiguring super users for Azure Rights Management and discovery services or data recovery

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Azure Information Protection tarafından sağlanan Azure Rights Management hizmetinin süper kullanıcı özelliği, yetkili kişi ve hizmetlerin, kuruluşunuz için Azure Rights Management tarafından korunan verileri her zaman okuyabilmesini ve inceleyebilmesini sağlar.The super user feature of the Azure Rights Management service from Azure Information Protection ensures that authorized people and services can always read and inspect the data that Azure Rights Management protects for your organization. Gerekirse, korumasını daha sonra kaldırıldı veya değiştirilemez.If necessary, the protection can then be removed or changed.

Bir süper kullanıcı her zaman, kuruluşunuzun Azure Information Protection kiracısı tarafından korunan belge ve e-postalarda Rights Management Tam Denetim kullanım hakkına sahiptir.A super user always has the Rights Management Full Control usage right for documents and emails that have been protected by your organization’s Azure Information Protection tenant. Bu özelliği, bazen "veriler üzerinde mantık" olarak adlandırılır ve kuruluşunuzun veri denetimini önemli bir öğedir.This ability is sometimes referred to as "reasoning over data" and is a crucial element in maintaining control of your organization’s data. Örneğin, bu özelliği aşağıdaki senaryolardan herhangi biri için kullanırsınız:For example, you would use this feature for any of the following scenarios:

  • Bir çalışan kuruluştan ayrılıyor ve koruma altına aldığı dosyaları okumanız gerekir.An employee leaves the organization and you need to read the files that they protected.

  • BT yöneticisinin, dosyalar için yapılandırılan geçerli koruma ilkesini kaldırması ve yeni bir koruma ilkesini uygulaması gerekiyor.An IT administrator needs to remove the current protection policy that was configured for files and apply a new protection policy.

  • Exchange Server’ın arama işlemleri için posta kutularını dizinlemesi gerekiyor.Exchange Server needs to index mailboxes for search operations.

  • Veri kaybını önleme (DLP) çözümleri, içerik şifreleme ağ geçitleri (CEG) ve halen korunan dosyaları incelemesi gereken kötü amaçlı yazılım ürünleri için mevcut BT hizmetleriniz var.You have existing IT services for data loss prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products that need to inspect files that are already protected.

  • Denetleme, yasal veya diğer uyumluluk nedenleriyle dosyaların toplu olarak şifresini çözmeniz gerekir.You need to bulk decrypt files for auditing, legal, or other compliance reasons.

Süper kullanıcı özelliği için yapılandırmaConfiguration for the super user feature

Varsayılan olarak, süper kullanıcı özelliği etkin değildir ve bu role atanmış kullanıcı yoktur.By default, the super user feature is not enabled, and no users are assigned this role. Exchange için Rights Management bağlayıcısını yapılandırırsanız sizin için otomatik olarak etkinleştirilir ve Exchange Online, SharePoint Online veya SharePoint Server çalıştıran standart hizmetler için gerekli değildir.It is enabled for you automatically if you configure the Rights Management connector for Exchange, and it is not required for standard services that run Exchange Online, SharePoint Online, or SharePoint Server.

Süper kullanıcı özelliğini el ile etkinleştirmeniz gerekirse, Enable-AadrmSuperUserFeature PowerShell cmdlet'ini kullanın ve gerektiğinde Add-AadrmSuperUser cmdlet’ini veya Set-AadrmSuperUserGroup cmdlet’ini kullanarak kullanıcılar (veya hizmet hesapları) atayın ve gerektiğinde bu gruba kullanıcılar (veya başka gruplar) ekleyin.If you need to manually enable the super user feature, use the PowerShell cmdlet Enable-AadrmSuperUserFeature, and then assign users (or service accounts) as needed by using the Add-AadrmSuperUser cmdlet or the Set-AadrmSuperUserGroup cmdlet and add users (or other groups) as needed to this group.

Süper kullanıcılarınız için bir grup kullanmak daha kolay yönetilse de, performans nedenleriyle Azure Rights Management’ın grup üyeliğini önbelleğe aldığını bilmelisiniz.Although using a group for your super users is easier to manage, be aware that for performance reasons, Azure Rights Management caches the group membership. Bu nedenle, içeriğin şifresini hemen çözmek için bir kullanıcıyı süper kullanıcı olarak atamanız gerekirse, bu kullanıcıyı Set-AadrmSuperUserGroup kullanarak yapılandırılmış mevcut bir gruba eklemektense, Add-AadrmSuperUser kullanarak ekleyin.So if you need to assign a new user to be a super user to decrypt content immediately, add that user by using Add-AadrmSuperUser, rather than adding the user to an existing group that you have configured by using Set-AadrmSuperUserGroup.

Not

Windows PowerShell modülünü Azure Rights Management için henüz yüklemediyseniz, bkz. AADRM PowerShell modülünü yükleme.If you have not yet installed the Windows PowerShell module for Azure Rights Management, see Installing the AADRM PowerShell module.

Süper kullanıcı özelliğini veya süper kullanıcı olarak kullanıcılar eklediğinizde etkinleştirdiğinizde önemi yoktur.It doesn't matter when you enable the super user feature or when you add users as super users. Örneğin, Perşembe günü özelliği etkinleştirin ve ardından Cuma günü kullanıcı ekleme, kullanıcı hemen, çok haftanın başında korumalı olan içeriğe açabilirsiniz.For example, if you enable the feature on Thursday and then add a user on Friday, that user can immediately open content that was protected at the very beginning of the week.

Süper kullanıcı özelliği için en iyi güvenlik uygulamalarıSecurity best practices for the super user feature

  • Office 365 veya Azure Information Protection kiracınız için genel yönetici olarak atanan veya Genel Yönetici rolüne atanan yöneticileri, Add-AadrmRoleBasedAdministrator cmdlet’ini kullanarak kısıtlayın veya izleyin.Restrict and monitor the administrators who are assigned a global administrator for your Office 365 or Azure Information Protection tenant, or who are assigned the GlobalAdministrator role by using the Add-AadrmRoleBasedAdministrator cmdlet. Bu kullanıcılar süper kullanıcı özelliğini etkinleştirebilir ve kullanıcıları (ve kendilerini) süper kullanıcı olarak atayabilir ve potansiyel olarak, kuruluşunuz tarafından korunan tüm dosyaların şifresini çözebilir.These users can enable the super user feature and assign users (and themselves) as super users, and potentially decrypt all files that your organization protects.

  • Hangi kullanıcıların ve hizmet hesaplarının tek tek süper kullanıcı olarak atandığını görmek için kullanın Get-AadrmSuperUser cmdlet'i.To see which users and service accounts are individually assigned as super users, use the Get-AadrmSuperUser cmdlet. Bir süper kullanıcı grubu yapılandırılmış olup olmadığını görmek için Get-AadrmSuperUserGroup cmdlet ve hangi kullanıcıların denetlemek için standart kullanıcı yönetim araçlarınızı olan bu grubun bir üyesi.To see whether a super user group is configured, use the Get-AadrmSuperUserGroup cmdlet and your standard user management tools to check which users are a member of this group. Tüm yönetim eylemlerinde olduğu gibi, süper kullanıcı özelliğini etkinleştirme veya devre dışı bırakma ve süper kullanıcılar ekleme veya kaldırma eylemleri de günlüğü kaydedilir ve Get-AadrmAdminLog komutu kullanılarak denetlenebilir.Like all administration actions, enabling or disabling the super feature, and adding or removing super users are logged and can be audited by using the Get-AadrmAdminLog command. Bir örnek için sonraki bölüme bakın.See the next section for an example. Süper kullanıcılar dosyaların şifresini çözdüğünde, bu eylem günlüğe kaydedilir ve kullanım günlüğü ile denetlenebilir.When super users decrypt files, this action is logged and can be audited with usage logging.

  • Her günkü hizmetleri için süper kullanıcı özelliğine ihtiyaç duymuyorsanız, özeliği sadece gereksinim duyduğunuzda etkinleştirin ve Disable-AadrmSuperUserFeature cmdlet'ini kullanarak yeniden devre dışı bırakın.If you do not need the super user feature for everyday services, enable the feature only when you need it, and disable it again by using the Disable-AadrmSuperUserFeature cmdlet.

Örneğin süper kullanıcı özelliği için denetlemeExample auditing for the super user feature

Aşağıdaki günlük ayıklama kullanarak bazı örnek girdileri görülmektedir Get-AadrmAdminLog cmdlet'i.The following log extract shows some example entries from using the Get-AadrmAdminLog cmdlet.

Bu örnekte Contoso Ltd şirketinin yöneticisi, süper kullanıcı özelliğinin devre dışı bırakıldığını doğruluyor, Richard Simone’yi süper kullanıcı olarak ekliyor, Richard’ın Azure Rights Management hizmeti için yapılandırılan tek süper kullanıcı olup olmadığını denetliyor ve sonra da Richard’ın, artık şirketten ayrılmış olan bir çalışanın koruması altında olan bazı dosyaların şifresini çözebilmesi için süper kullanıcı özelliğini etkinleştiriyor.In this example, the administrator for Contoso Ltd confirms that the super user feature is disabled, adds Richard Simone as a super user, checks that Richard is the only super user configured for the Azure Rights Management service, and then enables the super user feature so that Richard can now decrypt some files that were protected by an employee who has now left the company.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Süper kullanıcılar için betik seçenekleriScripting options for super users

Genellikle, Azure Rights Management için süper kullanıcı atanmış olan birisi birden fazla konumda birden çok dosya korumasını kaldırmak gerekir.Often, somebody who is assigned a super user for Azure Rights Management will need to remove protection from multiple files, in multiple locations. Bunun el ile yapılması mümkün olmakla birlikte, komut dosyasıyla yapılması daha etkilidir (ve genellikle daha güvenilirdir).While it’s possible to do this manually, it’s more efficient (and often more reliable) to script this. Bunu yapmak için Unprotect-RMSFile cmdlet’ini ve gerektiğinde Protect-RMSFile cmdlet’ini kullanabilirsiniz.To do so, you can use the Unprotect-RMSFile cmdlet, and Protect-RMSFile cmdlet as required.

Sınıflandırma ve koruma kullanıyorsanız, Set-AIPFileLabel cmdlet’ini kullanarak koruma uygulamayan yeni bir etiket de uygulayabilir ya da koruma uygulayan etiketi kaldırabilirsiniz.If you are using classification and protection, you can also use the Set-AIPFileLabel to apply a new label that doesn't apply protection, or remove the label that applied protection.

Bu cmdlet’ler hakkında daha fazla bilgi için Azure Information Protection istemcisi yönetici kılavuzundaki Azure Information Protection istemcisiyle PowerShell kullanma makalesine bakın.For more information about these cmdlets, see Using PowerShell with the Azure Information Protection client from the Azure Information Protection client admin guide.

Not

Azureınformationprotection modülünü farklıdır ve tamamlayan AADRM PowerShell modülünü , Azure Information Protection için Azure Rights Management hizmeti yönetir.The AzureInformationProtection module is different from and supplements the AADRM PowerShell module that manages the Azure Rights Management service for Azure Information Protection.

Unprotect-RMSFile Ekeşif için kullanma KılavuzuGuidance for using Unprotect-RMSFile for eDiscovery

Bu cmdlet, stratejik PST dosyalarında korumalı içeriğin şifresini çözmeye Unprotect-RMSFile cmdlet'ini kullanmanız mümkün olmakla birlikte, Ekeşif sürecinizin bir parçası kullanın.Although you can use the Unprotect-RMSFile cmdlet to decrypt protected content in PST files, use this cmdlet strategically as part of your eDiscovery process. Unprotect-RMSFile büyük dosyaları bir bilgisayarda çalışan bir kaynak kullanımı yoğun (bellek ve disk alanı) olduğu ve bu cmdlet için desteklenen en büyük dosya boyutu 5 GB'tır.Running Unprotect-RMSFile on large files on a computer is a resource-intensive (memory and disk space) and the maximum file size supported for this cmdlet is 5 GB.

İdeal olarak, kullanın Office 365 Ekeşif aramak ve korumalı e-postaları ve e-postalarında korumalı eki ayıklamak için.Ideally, use Office 365 eDiscovery to search and extract protected emails and protected attachment in emails. Office 365 güvenlik ve uyumluluk Merkezi'nde veya Microsoft 365 uyumluluk Merkezi'ndeki Ekeşif, dışarı aktarma veya dışarı aktarma şifresini çözme şifrelenmiş e-posta önce şifrelenmiş öğeler için arama yapabilmesi süper kullanıcı özelliğini otomatik olarak Exchange Online ile tümleşiktir.The super user ability is automatically integrated with Exchange Online so that eDiscovery in the Office 365 Security & Compliance Center or Microsoft 365 compliance center can search for encrypted items prior to export, or decrypt encrypted email on export.

Office 365 Ekeşif kullanamıyorsanız, benzer şekilde nedeni verileri için Azure Rights Management hizmeti ile tümleştirilen başka bir Ekeşif çözümüne sahip olabilir.If you cannot use Office 365 eDiscovery, you might have another eDiscovery solution that integrates with the Azure Rights Management service to similarly reason over data. Veya, Ekeşif çözümünüzü olamaz otomatik olarak okuma ve korumalı içeriğin şifresini, bu çözüm, Unprotect-RMSFile daha verimli bir şekilde çalıştırmanıza olanak sağlayan bir çok adımlı işlemde kullanmaya devam edebilirsiniz:Or, if your eDiscovery solution cannot automatically read and decrypt protected content, you can still use this solution in a multi-step process that lets you run Unprotect-RMSFile more efficiently:

  1. E-posta konusu, Exchange Online veya Exchange Server veya kullanıcının e-postasına depolandığı iş istasyonu PST dosyasına dışarı aktarın.Export the email in question to a PST file from Exchange Online or Exchange Server, or from the workstation where the user stored their email.

  2. Pasifik saati dosyasını, Ekeşif aracına içe aktarın.Import the PST file into your eDiscovery tool. Aracı, korumalı içeriği okunamıyor çünkü bu öğeler hata oluşturur bekleniyor.Because the tool cannot read protected content, it's expected that these items will generate errors.

  3. Araç açılamadı, tüm öğeleri, bu kez, yalnızca korumalı öğeler içeren yeni bir PST dosyası oluşturur.From all the items that the tool couldn't open, generate a new PST file that this time, contains just protected items. Bu ikinci PST dosyası, büyük olasılıkla özgün PST dosyadan çok daha küçük olur.This second PST file will likely be much smaller than the original PST file.

  4. Bu çok daha küçük dosya içeriğinin şifresini çözmek için bu ikinci PST dosya Unprotect-RMSFile çalıştırın.Run Unprotect-RMSFile on this second PST file to decrypt the contents of this much smaller file. Çıktısı, bulma aracınızın şimdi şifresi PST dosyayı içeri aktarın.From the output, import the now-decrypted PST file into your discovery tool.

Daha ayrıntılı bilgi ve posta kutularını ve PST dosyaları arasında Ekeşif gerçekleştirmeye yönelik yönergeler için şu blog yayınına bakın: Azure Information Protection ve Ekeşif işlemleri.For more detailed information and guidance for performing eDiscovery across mailboxes and PST files, see the following blog post: Azure Information Protection and eDiscovery Processes.