为 Azure 信息保护和发现服务或数据恢复配置超级用户

适用于:Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

Azure 信息保护中的 Azure Rights Management 服务的超级用户功能可确保授权人员和服务始终可以读取和检查 Azure Rights Management 为组织保护的数据。 如有必要,可以删除或更改保护。

超级用户始终对受组织的 Azure 信息保护租户保护的文档和电子邮件拥有"权限管理完全控制"使用权限。 此功能有时称为"数据推理",是保持组织数据控制的关键要素。 例如,将此功能用于以下任何方案:

  • 员工离开组织,你需要阅读他们保护的文件。

  • IT 管理员需要删除为文件配置的当前保护策略,并应用新的保护策略。

  • Exchange Server搜索操作需要为邮箱编制索引。

  • 现有用于防止数据丢失的 IT 服务 (DLP) 解决方案、内容加密网关 (CEG) ,以及需要检查已保护文件的反恶意软件产品。

  • 出于审核、法律或其他合规性原因,需要批量解密文件。

超级用户功能的配置

默认情况下,超级用户功能未启用,并且不会向任何用户分配此角色。 如果为 Exchange 配置权限管理连接器,则会自动启用它,而对于在 Microsoft 365 中运行 Exchange Online、Microsoft Sharepoint Server 或 SharePoint 的标准服务,则不需要它。

如果需要手动启用超级用户功能,请使用 PowerShell cmdlet Enable-AipServiceSuperUserFeature,然后根据需要使用 Add-AipServiceSuperUser cmdlet 或 Set-AipServiceSuperUserGroup cmdlet 分配用户 (或服务帐户) ,并根据需要将用户 (或其他组) 添加到该组。

尽管为超级用户使用组更易于管理,但请注意,出于性能原因,Azure Rights Management 会缓存组成员身份。 因此,如果需要将新用户分配为超级用户以立即解密内容,则使用 Add-AipServiceSuperUser 添加该用户,而不是将该用户添加到使用 Set-AipServiceSuperUserGroup 配置的现有组。

注意

何时启用超级用户功能或将用户添加为超级用户并不重要。 例如,如果在星期四启用该功能,然后在星期五添加用户,该用户可以立即打开在一周开始时受保护的内容。

超级用户功能的安全最佳实践

  • 使用Add-AipServiceRoleBasedAdministrator cmdlet 限制和监视为 Microsoft 365 或 Azure 信息保护租户分配了全局管理员,或者分配了 GlobalAdministrator 角色的管理员。 这些用户可以启用超级用户功能,并将用户 (和自己) 超级用户,并可能解密组织保护的所有文件。

  • 若要了解哪些用户和服务帐户单独分配为超级用户,请使用 Get-AipServiceSuperUser cmdlet。

  • 若要确定是否配置超级用户组,请使用 Get-AipServiceSuperUserGroup cmdlet 和标准用户管理工具检查哪些用户是该组的成员。

  • 像所有管理操作一样,启用或禁用超级功能以及添加或删除超级用户会记录,可以使用 Get-AipServiceAdminLog 命令进行审核。 例如,请参阅 超级用户功能的示例审核

  • 超级用户解密文件时,会记录此操作,并且可以使用使用情况 日志记录 进行审核

    注意

    虽然日志包含有关解密的详细信息,包括解密文件的用户,但他们不会注意到用户是超级用户。 将日志与上面列出的 cmdlet 一起用于首先收集可在日志中标识的超级用户列表。

  • 如果不需要超级用户功能用于日常服务,请仅在需要该功能时启用该功能,然后使用 Disable-AipServiceSuperUserFeature cmdlet 再次禁用该功能。

超级用户功能的示例审核

以下日志提取显示了使用 Get-AipServiceAdminLog cmdlet 的一些示例条目。

在此例中,Contoso Ltd 的管理员确认超级用户功能已禁用,将 Simone 添加为超级用户,检查为 Azure Rights Management 服务配置的唯一超级用户,然后启用超级用户功能,以便现在由现离职的员工解密保护的一些文件。

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

超级用户的脚本选项

通常,为 Azure Rights Management 分配超级用户的用户需要从多个位置的多个文件中删除保护。 虽然可以手动完成此操作,但使用 Set-AIPFileLabel cmdlet () 编写此脚本更为高效,并且通常更可靠。

如果使用分类和保护,则还可使用 Set-AIPFileLabel 应用未应用保护的新标签,或删除已应用保护的标签。

有关这些 cmdlet 详细信息,请参阅 Azure 信息保护客户端管理员指南中的将 PowerShell 与 Azure 信息保护客户端一同使用。

注意

AzureInformationProtection 模块不同于 AIPService PowerShell 模块,该模块管理 Azure 信息保护的 Azure Rights Management 服务。

删除对 PST 文件的保护

若要取消对 PST 文件的保护,我们建议在电子邮件Microsoft 365电子数据展示搜索和提取受保护的电子邮件和受保护的附件。

超级用户功能自动与 Exchange Online 集成,以便 Office 365 安全合规中心或 Microsoft 365 合规中心 中的电子数据展示可以在导出之前搜索加密项目,或在导出时解密 & 加密的电子邮件。

如果无法使用电子数据Microsoft 365,可能有另一个电子数据展示解决方案与 Azure Rights Management 服务集成,以类似地对数据进行原因。

或者,如果电子数据展示解决方案无法自动读取和解密受保护的内容,则仍可在多步骤过程中使用此解决方案以及 Set-AIPFileLabel cmdlet:

  1. 将问题电子邮件从邮件或Exchange Online或Exchange Server从用户存储其电子邮件的工作站导出到 PST 文件。

  2. 将 PST 文件导入电子数据展示工具。 由于该工具无法读取受保护的内容,因此预期这些项目将生成错误。

  3. 从该工具无法打开的所有项目中,生成一个新的 PST 文件,该文件这次仅包含受保护的项目。 第二个 PST 文件可能比原始 PST 文件小得多。

  4. 对此第二个 PST 文件运行 Set-AIPFileLabel, 以解密此小得多的文件的内容。 从输出中,将现已解密的 PST 文件导入发现工具。

有关跨邮箱和 PST 文件执行电子数据展示的更多详细信息和指南,请参阅以下博客文章:Azure 信息保护和 电子数据展示过程