Configurar os superusuários para Proteção de Informações do Microsoft Azure e descoberta de serviços ou recuperação de dados
O recurso de superusuário do serviço Azure Rights Management da Proteção de Informações do Azure garante que as pessoas e os serviços autorizados sempre possam ler e inspecionar os dados que o Azure Rights Management protege na sua organização. Se necessário, a proteção pode ser removida ou alterada.
Um superusuário sempre tem o direito de uso de controle total do Rights Management para os documentos e emails que foram protegidos pelo locatário da Proteção de Informações do Azure da sua organização. Essa capacidade às vezes é chamada de “raciocínio sobre os dados” e é um elemento crucial para manter o controle dos dados da organização. Por exemplo, esse recurso pode ser usado nos seguintes cenários:
Um funcionário deixa a organização e você precisa ler os arquivos protegidos por ele.
Um administrador de TI precisa remover a política de proteção atual que foi configurada para arquivos e aplicar uma nova política de proteção.
O Exchange Server precisa indexar caixas de correio para operações de pesquisa.
Você tem serviços de TI existentes para soluções de DLP (prevenção contra perda de dados), CEG (gateways de criptografia de conteúdo) e produtos antimalware que precisam inspecionar arquivos que já estão protegidos.
Você precisa descriptografar arquivos em massa para auditoria, requisitos legais ou outros motivos de conformidade.
Configuração para o recurso de superusuário
Por padrão, o recurso de superusuário não está habilitado e nenhum usuário recebe essa função. Isso é habilitado automaticamente se você configurar o conector do Rights Management para o Exchange e não é necessário para serviços padrão que executam o Exchange Online, o Microsoft Sharepoint Server ou o SharePoint no Microsoft 365.
Se você precisar habilitar o recurso de superusuário manualmente, use o cmdlet Enable-AadrmSuperUserFeature do PowerShell e atribua usuários (ou contas de serviço), conforme o necessário, usando o cmdlet Add-AadrmSuperUser ou o cmdlet Set-AadrmSuperUserGroup e adicione usuários (ou outros grupos) a esse grupo.
Embora o uso de um grupo de superusuários seja mais fácil de gerenciar, lembre-se que, por motivos de desempenho, o Azure Rights Management armazena em cache a associação a um grupo. Então, se você precisar atribuir um novo usuário como superusuário para descriptografar conteúdo imediatamente, adicione esse usuário usando Add-AadrmSuperUser em vez de adicioná-lo a um grupo existente que você tenha configurado usando Set-AadrmSuperUserGroup.
Observação
Ao adicionar um usuário com o cmdlet Add-AipServiceSuperUser, você também deve adicionar o endereço de email primário ou o nome principal do usuário ao grupo. Os aliases de email não são avaliados.
Se ainda não instalou o módulo Windows PowerShell para Azure Rights Management, veja instalar o módulo AIPService do PowerShell.
Não importa quando você habilita o recurso de superusuário ou quando adiciona usuários como superusuários. Por exemplo, se você habilitar o recurso na quinta-feira e, em seguida, adicionar um usuário na sexta-feira, esse usuário poderá abrir imediatamente o conteúdo que foi protegido no início da semana.
Práticas recomendadas de segurança para o recurso de superusuário
Restrinja e monitorize os administradores aos quais é atribuído um administrador global para o seu locatário do Microsoft 365 ou da Proteção de Informações do Azure, ou aos quais é atribuída a função GlobalAdministrator utilizando o cmdlet Add-AipServiceRoleBasedAdministrator. Esses usuários podem habilitar o recurso de superusuário e atribuir usuários (e eles mesmos) como superusuários, podendo descriptografar todos os arquivos que protegem a sua organização.
Para ver quais usuários e contas de serviço estão atribuídas individualmente como superusuários, use o cmdlet Get-AadrmSuperUser.
Para ver se um grupo de superusuários está configurado, use o cmdlet Get-AadrmSuperUser e suas ferramentas de gerenciamento de usuário padrão para verificar quais usuários são membros desse grupo.
Assim como todas as ações de administração, as ações de habilitar ou desabilitar o recurso de superusuário e de adicionar ou remover superusuários são registradas em log e podem ser auditadas usando o comando Get-AadrmAdminLog. Por exemplo, veja exemplo de auditoria para o recurso de superusuário.
Quando os superusuários descriptografam arquivos, essa ação é registrada em log e pode ser auditada com o log de uso.
Observação
Embora os logs incluam detalhes sobre a descriptografia, incluindo o usuário que descriptografou o arquivo, eles não observam quando o usuário é um superusuário. Use os logs junto com os cmdlets listados acima para primeiro coletar uma lista de superusuários que você pode identificar nos logs.
Se você não precisar do recurso de superusuário para serviços diários, habilite o recurso somente quando precisar dele e desabilite-o novamente usando o cmdlet Disable-AadrmSuperUserFeature.
Exemplo de auditoria para o recurso de superusuário
A extração de log a seguir mostra algumas entradas de exemplo do uso do cmdlet Get-AadrmAdminLog.
Neste exemplo, o administrador da Contoso Ltd confirma que o recurso de superusuário está desabilitado, adiciona Richard Simone como um superusuário, verifica se o Richard é o único superusuário configurado para o serviço Azure Rights Management e, em seguida, habilita o recurso de superusuário para que o Richard possa descriptografar alguns arquivos que foram protegidos por um funcionário que saiu da empresa.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Opções de script para superusuários
Muitas vezes, alguém que foi atribuído como superusuário para o Azure Rights Management terá de remover a proteção de vários arquivos, em vários locais. Embora seja possível fazer isso manualmente, é mais eficiente (e muitas vezes mais confiável) usar scripts usando o cmdlet Set-AIPFileLabel.
Se você estiver usando a classificação e a proteção, também será possível usar o Set-AIPFileLabel para aplicar um novo rótulo que não aplique a proteção ou remover o rótulo que aplicou a proteção.
Para obter mais informações sobre esses cmdlets, consulte Usando o PowerShell com o cliente Proteção de Informações do Azure do guia de administração do cliente Proteção de Informações do Azure.
Observação
O módulo AzureInformationProtection é diferente e complementa o módulo do AIPService do PowerShell que gerencia o serviço Azure Rights Management para a Proteção de Informações do Azure.
Removendo a proteção em arquivos PST
Para remover a proteção em arquivos PST, recomendamos que você use a Descoberta Eletrônica do Microsoft Purview para pesquisar e extrair emails protegidos e anexos protegidos em emails.
A capacidade de superusuário é automaticamente integrada ao Exchange Online de forma que a Descoberta Eletrônica no portal de conformidade do Microsoft Purview possa pesquisar itens criptografados antes da exportação ou descriptografar emails criptografados na exportação.
Se não conseguir utilizar a Descoberta Eletrônica do Microsoft Purview, você pode ter outra solução de Descoberta Eletrônica que se integra com o serviço Azure Rights Management para raciocinar de forma semelhante sobre os dados.
Ou, se sua solução de Descoberta Eletrônica não puder ler e descriptografar automaticamente o conteúdo protegido, você ainda poderá usar essa solução em um processo de várias etapas em conjunto com o cmdlet Set-AIPFileLabel:
Exporte o email em questão para um arquivo PST do Exchange Online ou do Exchange Server ou da estação de trabalho onde o usuário armazenou seu email.
Importe o arquivo PST para sua ferramenta de Descoberta Eletrônica. Como a ferramenta não pode ler conteúdo protegido, espera-se que esses itens gerem erros.
A partir todos os itens que a ferramenta não conseguiu abrir, gere um novo arquivo PST que, desta vez, conterá apenas itens protegidos. Este segundo arquivo PST provavelmente será muito menor do que o arquivo PST original.
Execute Set-AIPFileLabel neste segundo arquivo PST para descriptografar o conteúdo desse arquivo que é muito menor. A partir da saída, importe o arquivo PST agora descriptografado para sua ferramenta de descoberta.
Para obter informações mais detalhadas e orientações para executar a Descoberta Eletrônica em caixas de correio e arquivos PST, consulte a seguinte postagem de blog: Proteção de Informações do Azure e processos de Descoberta Eletrônica.