Configurar os superusuários para Proteção de Informações do Microsoft Azure e descoberta de serviços ou recuperação de dados

O recurso de superusuário do serviço Azure Rights Management da Proteção de Informações do Azure garante que as pessoas e os serviços autorizados sempre possam ler e inspecionar os dados que o Azure Rights Management protege na sua organização. Se necessário, a proteção pode ser removida ou alterada.

Um superusuário sempre tem o direito de uso de controle total do Rights Management para os documentos e emails que foram protegidos pelo locatário da Proteção de Informações do Azure da sua organização. Essa capacidade às vezes é chamada de “raciocínio sobre os dados” e é um elemento crucial para manter o controle dos dados da organização. Por exemplo, esse recurso pode ser usado nos seguintes cenários:

  • Um funcionário deixa a organização e você precisa ler os arquivos protegidos por ele.

  • Um administrador de TI precisa remover a política de proteção atual que foi configurada para arquivos e aplicar uma nova política de proteção.

  • O Exchange Server precisa indexar caixas de correio para operações de pesquisa.

  • Você tem serviços de TI existentes para soluções de DLP (prevenção contra perda de dados), CEG (gateways de criptografia de conteúdo) e produtos antimalware que precisam inspecionar arquivos que já estão protegidos.

  • Você precisa descriptografar arquivos em massa para auditoria, requisitos legais ou outros motivos de conformidade.

Configuração para o recurso de superusuário

Por padrão, o recurso de superusuário não está habilitado e nenhum usuário recebe essa função. Isso é habilitado automaticamente se você configurar o conector do Rights Management para o Exchange e não é necessário para serviços padrão que executam o Exchange Online, o Microsoft Sharepoint Server ou o SharePoint no Microsoft 365.

Se você precisar habilitar o recurso de superusuário manualmente, use o cmdlet Enable-AadrmSuperUserFeature do PowerShell e atribua usuários (ou contas de serviço), conforme o necessário, usando o cmdlet Add-AadrmSuperUser ou o cmdlet Set-AadrmSuperUserGroup e adicione usuários (ou outros grupos) a esse grupo.

Embora o uso de um grupo de superusuários seja mais fácil de gerenciar, lembre-se que, por motivos de desempenho, o Azure Rights Management armazena em cache a associação a um grupo. Então, se você precisar atribuir um novo usuário como superusuário para descriptografar conteúdo imediatamente, adicione esse usuário usando Add-AadrmSuperUser em vez de adicioná-lo a um grupo existente que você tenha configurado usando Set-AadrmSuperUserGroup.

Observação

  • Ao adicionar um usuário com o cmdlet Add-AipServiceSuperUser, você também deve adicionar o endereço de email primário ou o nome principal do usuário ao grupo. Os aliases de email não são avaliados.

  • Se ainda não instalou o módulo Windows PowerShell para Azure Rights Management, veja instalar o módulo AIPService do PowerShell.

Não importa quando você habilita o recurso de superusuário ou quando adiciona usuários como superusuários. Por exemplo, se você habilitar o recurso na quinta-feira e, em seguida, adicionar um usuário na sexta-feira, esse usuário poderá abrir imediatamente o conteúdo que foi protegido no início da semana.

Práticas recomendadas de segurança para o recurso de superusuário

  • Restrinja e monitorize os administradores aos quais é atribuído um administrador global para o seu locatário do Microsoft 365 ou da Proteção de Informações do Azure, ou aos quais é atribuída a função GlobalAdministrator utilizando o cmdlet Add-AipServiceRoleBasedAdministrator. Esses usuários podem habilitar o recurso de superusuário e atribuir usuários (e eles mesmos) como superusuários, podendo descriptografar todos os arquivos que protegem a sua organização.

  • Para ver quais usuários e contas de serviço estão atribuídas individualmente como superusuários, use o cmdlet Get-AadrmSuperUser.

  • Para ver se um grupo de superusuários está configurado, use o cmdlet Get-AadrmSuperUser e suas ferramentas de gerenciamento de usuário padrão para verificar quais usuários são membros desse grupo.

  • Assim como todas as ações de administração, as ações de habilitar ou desabilitar o recurso de superusuário e de adicionar ou remover superusuários são registradas em log e podem ser auditadas usando o comando Get-AadrmAdminLog. Por exemplo, veja exemplo de auditoria para o recurso de superusuário.

  • Quando os superusuários descriptografam arquivos, essa ação é registrada em log e pode ser auditada com o log de uso.

    Observação

    Embora os logs incluam detalhes sobre a descriptografia, incluindo o usuário que descriptografou o arquivo, eles não observam quando o usuário é um superusuário. Use os logs junto com os cmdlets listados acima para primeiro coletar uma lista de superusuários que você pode identificar nos logs.

  • Se você não precisar do recurso de superusuário para serviços diários, habilite o recurso somente quando precisar dele e desabilite-o novamente usando o cmdlet Disable-AadrmSuperUserFeature.

Exemplo de auditoria para o recurso de superusuário

A extração de log a seguir mostra algumas entradas de exemplo do uso do cmdlet Get-AadrmAdminLog.

Neste exemplo, o administrador da Contoso Ltd confirma que o recurso de superusuário está desabilitado, adiciona Richard Simone como um superusuário, verifica se o Richard é o único superusuário configurado para o serviço Azure Rights Management e, em seguida, habilita o recurso de superusuário para que o Richard possa descriptografar alguns arquivos que foram protegidos por um funcionário que saiu da empresa.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Opções de script para superusuários

Muitas vezes, alguém que foi atribuído como superusuário para o Azure Rights Management terá de remover a proteção de vários arquivos, em vários locais. Embora seja possível fazer isso manualmente, é mais eficiente (e muitas vezes mais confiável) usar scripts usando o cmdlet Set-AIPFileLabel.

Se você estiver usando a classificação e a proteção, também será possível usar o Set-AIPFileLabel para aplicar um novo rótulo que não aplique a proteção ou remover o rótulo que aplicou a proteção.

Para obter mais informações sobre esses cmdlets, consulte Usando o PowerShell com o cliente Proteção de Informações do Azure do guia de administração do cliente Proteção de Informações do Azure.

Observação

O módulo AzureInformationProtection é diferente e complementa o módulo do AIPService do PowerShell que gerencia o serviço Azure Rights Management para a Proteção de Informações do Azure.

Removendo a proteção em arquivos PST

Para remover a proteção em arquivos PST, recomendamos que você use a Descoberta Eletrônica do Microsoft Purview para pesquisar e extrair emails protegidos e anexos protegidos em emails.

A capacidade de superusuário é automaticamente integrada ao Exchange Online de forma que a Descoberta Eletrônica no portal de conformidade do Microsoft Purview possa pesquisar itens criptografados antes da exportação ou descriptografar emails criptografados na exportação.

Se não conseguir utilizar a Descoberta Eletrônica do Microsoft Purview, você pode ter outra solução de Descoberta Eletrônica que se integra com o serviço Azure Rights Management para raciocinar de forma semelhante sobre os dados.

Ou, se sua solução de Descoberta Eletrônica não puder ler e descriptografar automaticamente o conteúdo protegido, você ainda poderá usar essa solução em um processo de várias etapas em conjunto com o cmdlet Set-AIPFileLabel:

  1. Exporte o email em questão para um arquivo PST do Exchange Online ou do Exchange Server ou da estação de trabalho onde o usuário armazenou seu email.

  2. Importe o arquivo PST para sua ferramenta de Descoberta Eletrônica. Como a ferramenta não pode ler conteúdo protegido, espera-se que esses itens gerem erros.

  3. A partir todos os itens que a ferramenta não conseguiu abrir, gere um novo arquivo PST que, desta vez, conterá apenas itens protegidos. Este segundo arquivo PST provavelmente será muito menor do que o arquivo PST original.

  4. Execute Set-AIPFileLabel neste segundo arquivo PST para descriptografar o conteúdo desse arquivo que é muito menor. A partir da saída, importe o arquivo PST agora descriptografado para sua ferramenta de descoberta.

Para obter informações mais detalhadas e orientações para executar a Descoberta Eletrônica em caixas de correio e arquivos PST, consulte a seguinte postagem de blog: Proteção de Informações do Azure e processos de Descoberta Eletrônica.