Konfigurera superanvändare för Azure Information Protection och identifieringstjänster eller dataåterställning

Superanvändarfunktionen i Azure Rights Management-tjänsten från Azure Information Protection säkerställer att behöriga personer och tjänster alltid kan läsa och inspektera de data som Azure Rights Management skyddar för din organisation. Om det behövs kan skyddet sedan tas bort eller ändras.

En superanvändare har alltid rättigheten rights management fullständig kontroll för dokument och e-postmeddelanden som har skyddats av organisationens Azure Information Protection-klientorganisation. Den här möjligheten kallas ibland för "resonemang över data" och är ett viktigt element för att upprätthålla kontrollen över organisationens data. Du kan till exempel använda den här funktionen för något av följande scenarier:

  • En anställd lämnar organisationen och du måste läsa de filer som de har skyddat.

  • En IT-administratör måste ta bort den aktuella skyddsprincipen som har konfigurerats för filer och tillämpa en ny skyddsprincip.

  • Exchange Server måste indexerar postlådor för sökåtgärder.

  • Du har befintliga IT-tjänster för lösningar för dataförlustskydd (DLP), innehållskrypteringsgatewayer (CEG) och produkter mot skadlig kod som behöver inspektera filer som redan är skyddade.

  • Du måste massdekryptera filer för granskning, juridiska eller andra efterlevnadsskäl.

Konfiguration för superanvändarfunktionen

Som standard är superanvändarfunktionen inte aktiverad och inga användare tilldelas den här rollen. Den aktiveras automatiskt om du konfigurerar Rights Management-anslutningsappen för Exchange och den inte krävs för standardtjänster som kör Exchange Online, Microsoft Sharepoint Server eller SharePoint i Microsoft 365.

Om du behöver aktivera superanvändarfunktionen manuellt använder du PowerShell-cmdleten Enable-AipServiceSuperUserFeature och tilldelar sedan användare (eller tjänstkonton) efter behov med hjälp av cmdleten Add-AipServiceSuperUser eller cmdleten Set-AipServiceSuperUserGroup och lägger till användare (eller andra grupper) efter behov i den här gruppen.

Även om det är enklare att hantera en grupp för dina superanvändare måste du vara medveten om att Azure Rights Management av prestandaskäl cachelagrar gruppmedlemskapet. Om du behöver tilldela en ny användare att vara en superanvändare för att dekryptera innehåll omedelbart lägger du till användaren med hjälp av Add-AipServiceSuperUser, i stället för att lägga till användaren i en befintlig grupp som du har konfigurerat med hjälp av Set-AipServiceSuperUserGroup.

Kommentar

  • När du lägger till en användare med cmdleten Add-AipServiceSuperUser måste du också lägga till den primära e-postadressen eller användarens huvudnamn i gruppen. E-postalias utvärderas inte.

  • Om du ännu inte har installerat Windows PowerShell-modulen för Azure Rights Management kan du läsa Installera AIPService PowerShell-modulen.

Det spelar ingen roll när du aktiverar superanvändarfunktionen eller när du lägger till användare som superanvändare. Om du till exempel aktiverar funktionen på torsdag och sedan lägger till en användare på fredag kan användaren omedelbart öppna innehåll som skyddades i början av veckan.

Metodtips för säkerhet för superanvändarfunktionen

  • Begränsa och övervaka de administratörer som har tilldelats en global administratör för din Microsoft 365- eller Azure Information Protection-klientorganisation, eller som har tilldelats rollen GlobalAdministrator med hjälp av cmdleten Add-AipServiceRoleBasedAdministrator . Dessa användare kan aktivera superanvändarfunktionen och tilldela användare (och sig själva) som superanvändare och eventuellt dekryptera alla filer som din organisation skyddar.

  • Om du vill se vilka användare och tjänstkonton som tilldelas individuellt som superanvändare använder du cmdleten Get-AipServiceSuperUser .

  • Om du vill se om en superanvändargrupp har konfigurerats använder du cmdleten Get-AipServiceSuperUserGroup och dina standardverktyg för användarhantering för att kontrollera vilka användare som är medlemmar i den här gruppen.

  • Precis som alla administrationsåtgärder loggas aktivering eller inaktivering av superfunktionen och tillägg eller borttagning av superanvändare och kan granskas med hjälp av kommandot Get-AipServiceAdminLog . Se till exempel Exempelgranskning för superanvändarfunktionen.

  • När superanvändare dekrypterar filer loggas den här åtgärden och kan granskas med användningsloggning.

    Kommentar

    Även om loggarna innehåller information om dekrypteringen, inklusive användaren som dekrypterade filen, noterar de inte när användaren är en superanvändare. Använd loggarna tillsammans med de cmdletar som anges ovan för att först samla in en lista över superanvändare som du kan identifiera i loggarna.

  • Om du inte behöver superanvändarfunktionen för vardagliga tjänster aktiverar du bara funktionen när du behöver den och inaktiverar den igen med hjälp av cmdleten Disable-AipServiceSuperUserFeature .

Exempelgranskning för superanvändarfunktionen

Följande loggextrahering visar några exempelposter från att använda cmdleten Get-AipServiceAdminLog .

I det här exemplet bekräftar administratören för Contoso Ltd att superanvändarfunktionen är inaktiverad, lägger till Richard Simone som en superanvändare, kontrollerar att Richard är den enda superanvändaren som har konfigurerats för Azure Rights Management-tjänsten och sedan aktiverar superanvändarfunktionen så att Richard nu kan dekryptera vissa filer som har skyddats av en anställd som nu har lämnat företaget.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

Skriptalternativ för superanvändare

Ofta måste någon som har tilldelats en superanvändare för Azure Rights Management ta bort skyddet från flera filer på flera platser. Även om det är möjligt att göra detta manuellt är det mer effektivt (och ofta mer tillförlitligt) att skripta detta med hjälp av cmdleten Set-AIPFileLabel .

Om du använder klassificering och skydd kan du också använda Set-AIPFileLabel för att använda en ny etikett som inte tillämpar skydd, eller ta bort etiketten som tillämpade skyddet.

Mer information om dessa cmdletar finns i Använda PowerShell med Azure Information Protection-klienten från administratörsguiden för Azure Information Protection-klienten.

Kommentar

Modulen AzureInformationProtection skiljer sig från och kompletterar AIPService PowerShell-modulen som hanterar Azure Rights Management-tjänsten för Azure Information Protection.

Ta bort skydd på PST-filer

Om du vill ta bort skyddet för PST-filer rekommenderar vi att du använder eDiscovery från Microsoft Purview för att söka efter och extrahera skyddade e-postmeddelanden och skyddade bifogade filer i e-postmeddelanden.

Superanvändarförmågan integreras automatiskt med Exchange Online så att eDiscovery i efterlevnadsportal i Microsoft Purview kan söka efter krypterade objekt före export eller dekryptera krypterad e-post vid export.

Om du inte kan använda Microsoft Purview eDiscovery kan du ha en annan eDiscovery-lösning som integreras med Azure Rights Management-tjänsten på liknande sätt för data.

Om din eDiscovery-lösning inte kan läsa och dekryptera skyddat innehåll automatiskt kan du fortfarande använda den här lösningen i en process i flera steg tillsammans med cmdleten Set-AIPFileLabel :

  1. Exportera e-postmeddelandet i fråga till en PST-fil från Exchange Online eller Exchange Server, eller från arbetsstationen där användaren lagrade sin e-post.

  2. Importera PST-filen till ditt eDiscovery-verktyg. Eftersom verktyget inte kan läsa skyddat innehåll förväntas dessa objekt generera fel.

  3. Från alla objekt som verktyget inte kunde öppna genererar du en ny PST-fil som den här gången bara innehåller skyddade objekt. Den här andra PST-filen kommer sannolikt att vara mycket mindre än den ursprungliga PST-filen.

  4. Kör Set-AIPFileLabel på den här andra PST-filen för att dekryptera innehållet i den här mycket mindre filen. Från utdata importerar du den nu dekrypterade PST-filen till identifieringsverktyget.

Mer detaljerad information och vägledning för att utföra eDiscovery mellan postlådor och PST-filer finns i följande blogginlägg: Azure Information Protection och eDiscovery-processer.