Azure Information Protection と、検出サービスまたはデータ復旧用のスーパー ユーザーの構成

Azure Information Protection の Azure Rights Management サービスのスーパー ユーザー機能を使用すると、承認されたユーザーやサービスにのみ、Azure Rights Management が保護する組織のデータの読み取りと検査を許可することができます。 必要に応じて、保護を削除または変更できます。

スーパー ユーザーは、組織の Azure Information Protection テナントで保護されているドキュメントと電子メールに対して、Rights Management フル コントロール使用権限を常に持っています。 この機能は 「データの推論」 とも呼ばれ、組織のデータの管理を維持する上で重要な要素です。 たとえば、次のようなシナリオでこの機能を使用します。

  • ある従業員が退職するので、その従業員が保護したファイルを読み取る必要がある。

  • IT 管理者が、ファイルに構成されていた現行の保護ポリシーを削除し、新しい保護ポリシーを適用する必要がある。

  • Exchange Server で、検索操作のためにメールボックスのインデックスを作成する必要がある。

  • 既に保護されているファイルを検査する必要があるデータ損失防止 (DLP) ソリューション、コンテンツ暗号化ゲートウェイ (CEG)、およびマルウェア対策製品用の既存の IT サービスがある。

  • 監査、法律などのコンプライアンス上の理由からファイルの暗号化を一括解除する必要がある。

スーパー ユーザー機能の構成

既定でスーパー ユーザー機能は有効ではないので、このロールが割り当てられているユーザーはいません。 これは、Exchange に Rights Management コネクタを構成すると自動的に有効にされますが、Exchange Online、Microsoft Sharepoint Server、または Microsoft 365 の SharePoint を実行する標準的なサービスには必要ありません。

スーパー ユーザー機能を手動で有効にする必要がある場合は、PowerShell コマンドレット Enable-AipServiceSuperUserFeature を使用します。次に、必要に応じて Add-AipServiceSuperUser コマンドレットを使用してユーザー (またはサービス アカウント) を割り当てたり、Set-AipServiceSuperUserGroup コマンドレットを使用して、必要に応じてこのグループにユーザー (または他のグループ) を追加したりします。

スーパー ユーザーのグループを使用する方が管理は簡単ですが、パフォーマンス上の理由から、Azure Rights Management ではグループのメンバーシップをキャッシュしている点に注意してください。 したがって、新しいユーザーをスーパー ユーザーとして割り当てて、すぐにコンテンツの暗号化を解除する必要がある場合には、Set-AipServiceSuperUserGroup を使用して構成した既存のグループにユーザーを追加するのではなく、Add-AipServiceSuperUser を使用してユーザーを追加します。

Note

  • Add-AipServiceSuperUser コマンドレットを使用してユーザーを追加する場合は、プライマリ メール アドレスまたはユーザー プリンシパル名もグループに追加する必要があります。 メール エイリアスは評価されません。

  • Azure Rights Management 用の Windows PowerShell モジュールをまだインストールしていない場合は、「AIPService PowerShell モジュールのインストール」を参照してください。

スーパー ユーザー機能を有効にした場合や、スーパー ユーザーとしてユーザーを追加する場合は関係ありません。 たとえば、木曜日に機能を有効にし、金曜日にユーザーを追加した場合、そのユーザーは週の初めに保護されたコンテンツをすぐに開くことができます。

スーパー ユーザー機能のセキュリティのベスト プラクティス

  • Microsoft 365 または Azure Information Protection テナントのグローバル管理者が割り当てられている管理者、または Add-AipServiceRoleBasedAdministrator コマンドレットを使用して、GlobalAdministrator ロールが割り当てられている管理者を制限し、監視します。 これらのユーザーは、スーパー ユーザー機能を有効にして、ユーザー (および自分自身) をスーパー ユーザーとして割り当てることができます。また、組織が保護するすべてのファイルの暗号化を解除することもできます。

  • スーパー ユーザーとして割り当てられた個々のユーザーおよびサービス アカウントを表示するには、Get-AipServiceSuperUser コマンドレットを使用します。

  • スーパー ユーザー グループが構成されているかどうかを確認するには、Get-AipServiceSuperUserGroup コマンドレットと標準的なユーザー管理ツールを使用して、どのユーザーがこのグループのメンバーであるかを調べます。

  • すべての管理アクションと同様に、スーパー機能の有効化や無効化、およびスーパー ユーザーの追加や削除はログに記録され、Get-AipServiceAdminLog コマンドを使用して監査できます。 例として、「スーパー ユーザー機能の監査の例」を参照してください。

  • スーパー ユーザーがファイルの暗号化を解除すると、その操作はログに記録され、使用状況ログで監査できます。

    Note

    ログには、ファイルの暗号化を解除したユーザーを含む、暗号化解除に関する詳細が含まれていますが、ユーザーがスーパー ユーザーである場合には記録されません。 ログを上記のコマンドレットと共に使用して、ログで識別できるスーパー ユーザーの一覧を最初に収集します。

  • 日常的なサービスでスーパー ユーザー機能を必要としない場合は、必要なときにのみ有効にし、Disable-AipServiceSuperUserFeature コマンドレットを使用して、再度無効にします。

スーパーユーザー機能の監査の例

次のログの抜粋に、Get-AipServiceAdminLog コマンドレットの使用によるいくつかのエントリの例を示します。

この例では、Contoso Ltd の管理者はスーパー ユーザー機能が無効であることを確認し、Richard Simone をスーパー ユーザーとして追加し、Richard が Azure Rights Management サービスに構成されている唯一のスーパー ユーザーであることを確認してから、スーパー ユーザー機能を有効にします。これで、Richard は、退職した従業員が保護していたファイルの暗号化を解除できるようになりました。

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

スーパー ユーザー向けのスクリプト オプション

多くの場合、Azure Rights Management のスーパー ユーザーが割り当てられている人は、複数の場所にある複数のファイルから保護を解除する必要があります。 これは手動で行うことができますが、Set-AIPFileLabel コマンドレットを使用してスクリプト化すると、より効率的に (そしてより確実に) 行うことができます。

分類と保護を使用している場合は、Set-AIPFileLabel を使用して保護を適用しない新しいラベルを適用するか、保護を適用したラベルを削除する方法もあります。

これらのコマンドレットの詳細については、Azure Information Protection クライアントの管理者ガイドの「Azure Information Protection クライアントでの PowerShell の使用」を参照してください。

Note

AzureInformationProtection モジュールは、Azure Information Protection のために Azure Rights Management サービスを管理する AIPService PowerShell モジュールとは異なるモジュールであり、AIPService PowerShell モジュールを補完するモジュールです。

PST ファイルの保護の解除

PST ファイルの保護を解除するには、Microsoft Purview の電子情報開示を使用して、保護された電子メールと、電子メールの保護された添付ファイルを検索して抽出することをお勧めします。

スーパー ユーザー機能は Exchange Online と自動的に統合されるので、Microsoft Purview コンプライアンス ポータルの電子情報開示では、暗号化されているアイテムをエクスポート前に検索したり、暗号化されているメールをエクスポート時に暗号化を解除したりできます。

Microsoft Purview の電子情報開示を利用できない場合、Azure Rights Management サービスと統合されており、同じようにデータを推論する別の電子情報開示ソリューションを用意できることがあります。

あるいは、ご利用の電子情報開示ソリューションで保護コンテンツが自動的に読み取られず、暗号化を解除できない場合でも、複数の手順からなる以下の解決策を Set-AIPFileLabel コマンドレットと共に使用できます。

  1. 対象のメールを、Exchange Online または Exchange Server から、またはユーザーがメールを保存したワークステーションから PST ファイルにエクスポートします。

  2. PST ファイルを電子情報開示ツールにインポートします。 保護されたコンテンツを読み取ることができないため、これらの項目でエラーが発生することが予想されます。

  3. ツールが開けなかったすべてのアイテムから、今回は保護されたアイテムのみを含む新しい PST ファイルを生成します。 この 2 番目の PST ファイルは、元の PST ファイルよりもはるかに小さい可能性があります。

  4. 小さくなったこの 2 つ目の PST ファイルで Set-AIPFileLabel を実行し、そのコンテンツを暗号化解除します。 出力から、復号化された PST ファイルを探索ツールにインポートします。

メールボックスと PST ファイル間で電子情報開示を実行するための詳細な情報とガイダンスについては、Azure Information Protection と電子情報開示プロセスに関するブログ投稿を参照してください。