Azure Information Protection ve keşif hizmetleri veya veri kurtarma için süper kullanıcıları yapılandırma
Azure Information Protection'dan Azure Rights Management hizmetinin süper kullanıcı özelliği, yetkili kişilerin ve hizmetlerin Azure Rights Management'ın kuruluşunuz için koruduğu verileri her zaman okuyabilmesini ve inceleyebilmesini sağlar. Gerekirse koruma kaldırılabilir veya değiştirilebilir.
Süper kullanıcı, kuruluşunuzun Azure Information Protection kiracısı tarafından korunan belgeler ve e-postalar için her zaman Rights Management Tam Denetim kullanım hakkına sahiptir. Bu özellik bazen "veriler üzerinde mantık yürütme" olarak adlandırılır ve kuruluşunuzun verilerinin denetiminin korunmasında önemli bir öğedir. Örneğin, aşağıdaki senaryolardan herhangi biri için bu özelliği kullanabilirsiniz:
Bir çalışan kuruluştan ayrılır ve koruduğu dosyaları okumanız gerekir.
BT yöneticisinin dosyalar için yapılandırılmış geçerli koruma ilkesini kaldırması ve yeni bir koruma ilkesi uygulaması gerekir.
Exchange Server'ın arama işlemleri için posta kutularını dizine alması gerekir.
Zaten korunan dosyaları incelemesi gereken veri kaybı önleme (DLP) çözümleri, içerik şifreleme ağ geçitleri (CEG) ve kötü amaçlı yazılımdan koruma ürünleri için mevcut BT hizmetleriniz var.
Denetim, yasal veya diğer uyumluluk nedenleriyle dosyaların şifresini toplu olarak çözmeniz gerekir.
Süper kullanıcı özelliği için yapılandırma
Varsayılan olarak süper kullanıcı özelliği etkinleştirilmez ve bu role hiçbir kullanıcıya atanmaz. Exchange için Rights Management bağlayıcısını yapılandırdığınızda otomatik olarak etkinleştirilir ve Microsoft 365'te Exchange Online, Microsoft Sharepoint Server veya SharePoint çalıştıran standart hizmetler için gerekli değildir.
Süper kullanıcı özelliğini el ile etkinleştirmeniz gerekiyorsa, Enable-AipServiceSuperUserFeature PowerShell cmdlet'ini kullanın ve ardından Add-AipServiceSuperUser cmdlet'ini veya Set-AipServiceSuperUserGroup cmdlet'ini kullanarak kullanıcıları (veya hizmet hesaplarını) gerektiği gibi atayın ve bu gruba gerektiğinde kullanıcıları (veya diğer grupları) ekleyin.
Süper kullanıcılarınız için grup kullanmak daha kolay yönetilebilir olsa da, performans nedenleriyle Azure Rights Management'ın grup üyeliğini önbelleğe alındığını unutmayın. Bu nedenle, içeriğin şifresini hemen çözecek süper kullanıcı olacak yeni bir kullanıcı atamanız gerekiyorsa, kullanıcıyı Set-AipServiceSuperUserGroup kullanarak yapılandırdığınız mevcut bir gruba eklemek yerine Add-AipServiceSuperUser'ı kullanarak ekleyin.
Dekont
Add-AipServiceSuperUser cmdlet'ine sahip bir kullanıcı eklerken, gruba birincil posta adresini veya kullanıcı asıl adını da eklemeniz gerekir. E-posta diğer adları değerlendirilmez.
Azure Rights Management için Windows PowerShell modülünü henüz yüklemediyseniz bkz . AIPService PowerShell modülünü yükleme.
Süper kullanıcı özelliğini etkinleştirmeniz veya kullanıcıları süper kullanıcı olarak eklemeniz önemli değildir. Örneğin, özelliği Perşembe günü etkinleştirir ve cuma günü bir kullanıcı eklerseniz, bu kullanıcı haftanın en başında korunan içeriği hemen açabilir.
Süper kullanıcı özelliği için en iyi güvenlik yöntemleri
Microsoft 365 veya Azure Information Protection kiracınız için genel yönetici atanan veya Add-AipServiceRoleBased Yönetici istrator cmdlet'ini kullanarak Genel Yönetici istrator rolü atanmış yöneticileri kısıtlayın ve izleyin. Bu kullanıcılar süper kullanıcı özelliğini etkinleştirebilir ve kullanıcıları (ve kendilerini) süper kullanıcı olarak atayabilir ve kuruluşunuzun koruduğu tüm dosyaların şifresini çözebilir.
Hangi kullanıcıların ve hizmet hesaplarının tek tek süper kullanıcı olarak atandığı görmek için Get-AipServiceSuperUser cmdlet'ini kullanın.
Süper kullanıcı grubunun yapılandırılıp yapılandırılmadığını görmek için Get-AipServiceSuperUserGroup cmdlet'ini ve standart kullanıcı yönetim araçlarınızı kullanarak hangi kullanıcıların bu gruba üye olduğunu denetleyin.
Tüm yönetim eylemleri gibi süper özelliği etkinleştirme veya devre dışı bırakma, süper kullanıcı ekleme veya kaldırma işlemleri de günlüğe kaydedilir ve Get-AipService Yönetici Log komutu kullanılarak denetlenebilir. Örneğin, bkz . Süper kullanıcı özelliği için örnek denetim.
Süper kullanıcılar dosyaların şifresini çözdiğinde, bu eylem günlüğe kaydedilir ve kullanım günlüğüyle denetlenebilir.
Dekont
Günlükler, dosyanın şifresini çözen kullanıcı da dahil olmak üzere şifre çözmeyle ilgili ayrıntıları içerse de, kullanıcının süper kullanıcı olduğu zamanları not almaz. Günlükleri yukarıda listelenen cmdlet'lerle birlikte kullanarak önce günlüklerde tanımlayabileceğiniz süper kullanıcıların listesini toplayın.
Günlük hizmetler için süper kullanıcı özelliğine ihtiyacınız yoksa, özelliği yalnızca ihtiyacınız olduğunda etkinleştirin ve Disable-AipServiceSuperUserFeature cmdlet'ini kullanarak özelliği yeniden devre dışı bırakın.
Süper kullanıcı özelliği için örnek denetim
Aşağıdaki günlük ayıklaması Get-AipService Yönetici Log cmdlet'ini kullanarak bazı örnek girdileri gösterir.
Bu örnekte Contoso Ltd yöneticisi süper kullanıcı özelliğinin devre dışı bırakıldığını onaylar, Richard Simone'ı süper kullanıcı olarak ekler, Richard'ın Azure Rights Management hizmeti için yapılandırılan tek süper kullanıcı olduğunu denetler ve ardından Richard'ın artık şirketten ayrılan bir çalışan tarafından korunan bazı dosyaların şifresini çözebilmesi için süper kullanıcı özelliğini etkinleştirir.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Süper kullanıcılar için betik oluşturma seçenekleri
Genellikle, Azure Rights Management için süper kullanıcı atanan birinin birden çok konumdaki birden çok dosyadan korumayı kaldırması gerekir. Bunu el ile yapmak mümkün olsa da, Set-AIPFileLabel cmdlet'ini kullanarak betik oluşturmak daha verimlidir (ve genellikle daha güvenilirdir).
Sınıflandırma ve koruma kullanıyorsanız, koruma uygulamayan yeni bir etiket uygulamak veya koruma uygulayan etiketi kaldırmak için Set-AIPFileLabel'i de kullanabilirsiniz.
Bu cmdlet'ler hakkında daha fazla bilgi için Bkz . Azure Information Protection istemcisi yönetici kılavuzunun Azure Information Protection istemcisiyle PowerShell kullanma.
Dekont
AzureInformationProtection modülünden farklıdır ve Azure Information Protection için Azure Rights Management hizmetini yöneten AIPService PowerShell modülüne ek olarak sağlanır.
PST dosyalarındaki korumayı kaldırma
PST dosyalarındaki korumayı kaldırmak için, e-postalardaki korumalı e-postaları ve korumalı eki aramak ve ayıklamak için Microsoft Purview'dan eKeşif'i kullanmanızı öneririz.
Süper kullanıcı özelliği Exchange Online ile otomatik olarak tümleştirilir, böylece Microsoft Purview uyumluluk portalı eBulma dışarı aktarma işleminden önce şifrelenmiş öğeleri arayabilir veya dışarı aktarma işleminde şifrelenmiş e-postanın şifresini çözebilir.
Microsoft Purview eKeşif kullanamıyorsanız, Azure Rights Management hizmetiyle tümleşen başka bir eBulma çözümünüz de benzer şekilde veriler üzerinde neden olabilir.
Alternatif olarak, eBulma çözümünüz korumalı içeriği otomatik olarak okuyamıyor ve şifresini çözemiyorsa, bu çözümü Set-AIPFileLabel cmdlet'iyle birlikte çok adımlı bir işlemde kullanmaya devam edebilirsiniz:
Söz konusu e-postayı Exchange Online veya Exchange Server'dan veya kullanıcının e-postasını depoladığı iş istasyonundan bir PST dosyasına aktarın.
PST dosyasını eBulma aracınıza aktarın. Araç korumalı içeriği okuyamadığından, bu öğelerin hata oluşturması beklenir.
Aracın açamadığı tüm öğelerden, bu kez yalnızca korumalı öğeler içeren yeni bir PST dosyası oluşturun. Bu ikinci PST dosyası büyük olasılıkla özgün PST dosyasından çok daha küçük olacaktır.
Bu çok daha küçük dosyanın içeriğinin şifresini çözmek için bu ikinci PST dosyasında Set-AIPFileLabel komutunu çalıştırın. Çıktıdan, şimdi şifresi çözülen PST dosyasını bulma aracınıza aktarın.
Posta kutuları ve PST dosyaları arasında eBulma gerçekleştirme hakkında daha ayrıntılı bilgi ve rehberlik için şu blog gönderisine bakın: Azure Information Protection ve eBulma İşlemleri.