为 Azure 信息保护和发现服务或数据恢复配置超级用户
Azure 信息保护中的 Azure Rights Management 服务的超级用户功能可以确保经授权的人员和服务始终可以阅读和检查 Azure Rights Management 为你的组织保护的数据。 如有必要,可以删除或更改保护。
超级用户对由你的组织的 Azure 信息保护租户保护的文档和电子邮件始终具有 Rights Management 完全控制使用权限。 这种功能有时称为“数据推理”,是保持对组织数据进行控制的关键所在。 例如,你将为以下任何方案使用此功能:
员工离职,你需要阅读其保护的文件。
IT 管理员需要删除已经为文件配置的当前保护策略并应用新的保护策略。
Exchange Server 需要为邮箱编制索引以便执行搜索操作。
你拥有用于提供数据丢失防护 (DLP) 解决方案的现有 IT 服务、内容加密网关 (CEG) 和反恶意软件产品,它们需要检查已受保护的文件。
出于审核、法律或其他符合性原因,你需要对文件进行解密。
超级用户功能的配置
默认情况下,超级用户功能未启用,并且不会为任何用户分配此角色。 如果为 Exchange 配置了 Rights Management 连接器,则会自动启用此功能,对于运行 Microsoft 365 中的 Exchange Online、Microsoft Sharepoint Server 或 SharePoint 的标准服务,此功能不是必需的。
如果需要手动启用超级用户功能,请使用 PowerShell cmdlet Enable-AipServiceSuperUserFeature,然后根据需要使用 Add-AipServiceSuperUser cmdlet 或 Set-AipServiceSuperUserGroup cmdlet 分配用户(或服务帐户)并根据需要向此组添加用户(或其他组)。
虽然为超级用户使用组更容易管理,但请注意,出于性能原因,Azure Rights Management 会缓存组成员关系。 因此,如果需要将新用户分配为超级用户来立即对内容进行解密,请使用 Add-AipServiceSuperUser 添加该用户,而不是将用户添加到已使用 Set-AipServiceSuperUserGroup 配置的现有组。
注意
使用 Add-AipServiceSuperUser cmdlet 添加用户时,还必须将主邮件地址或用户主体名称添加到组中。 不评估电子邮件别名。
如果尚未安装适用于 Azure Rights Management 的 Windows PowerShell 模块,请参阅安装 AIPService PowerShell 模块。
启用超级用户功能或将用户添加为超级用户的时间并不重要。 例如,如果在星期四启用该功能,然后在星期五添加了一名用户,则这位用户在这周一开始即可立即打开受保护的内容。
超级用户功能的最佳安全做法
限制并监视已分配为 Microsoft 365 或 Azure 信息保护租户全局管理员的管理员,或者通过使用 Add-AipServiceRoleBasedAdministrator cmdlet 分配为 GlobalAdministrator 角色的管理员。 这些用户可以启用超级用户功能并将用户(及其自己)分配为超级用户,并且可能会对你的组织保护的所有文件进行解密。
若要查看哪些用户和服务帐户被单独分配为超级用户,请使用 Get-AipServiceSuperUser cmdlet。
若要确定是否配置了超级用户组,请使用 Get-AipServiceSuperUserGroup cmdlet 和标准用户管理工具,以确认哪些用户是此组的成员。
与所有管理操作一样,启用或禁用超级功能以及添加或删除超级用户这类操作会记录到日志中,并且可以使用 Get-AipServiceAdminLog 命令进行审核。 有关示例,请参阅超级用户功能的审核示例。
当超级用户对文件进行解密时,此操作会记录到日志中并且可以通过使用情况日志记录对其进行审核。
注意
尽管日志包含有关解密的详细信息(包括解密文件的用户),但当用户是超级用户时,则不会进行记录。 将日志与上面列出的 cmdlet 结合使用,首先收集可在日志中识别的超级用户的列表。
如果不需要将超级用户功能用于日常服务,可以仅在需要此功能时启用它,然后使用 Disable-AipServiceSuperUserFeature cmdlet 将其重新禁用。
超级用户功能的审核示例
下面的日志摘录显示了使用 Get-AipServiceAdminLog cmdlet 时的一些示例条目。
在此示例中,Contoso Ltd 的管理员确认禁用超级用户功能,将 Richard Simone 添加为超级用户,检查 Richard 是为 Azure Rights Management 服务配置的唯一超级用户,然后启用超级用户功能以使 Richard 能够对目前已从公司离职的员工保护的一些文件进行解密。
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
超级用户的脚本选项
通常,具有 Azure Rights Management 超级用户身份的用户需要删除对位于多个位置的多个文件的保护。 虽然可以手动执行此操作,但使用 Set-AIPFileLabel cmdlet 编写脚本来执行此操作更为高效(并且通常更可靠)。
如果你使用分类和保护,还可以使用 Set-AIPFileLabel 来应用一个不应用保护的新标签,或者删除已应用了保护的标签。
有关这些 cmdlet 的详细信息,请参阅 Azure 信息保护客户端管理指南中的将 PowerShell 与 Azure 信息保护客户端配合使用。
注意
AzureInformationProtection 模块与管理 Azure 信息保护的 Azure Rights Management 服务的 AIPService PowerShell 模块不同,并对其进行了补充。
删除对 PST 文件的保护
若要删除对 PST 文件的保护,建议使用 Microsoft Purview 中的电子数据展示来搜索和提取电子邮件中受保护的电子邮件和附件。
超级用户功能与 Exchange Online 自动集成,使 Microsoft Purview 合规性门户中的电子数据展示可以在导出之前搜索加密项,或在导出时对加密的电子邮件进行解密。
如果无法使用 Microsoft Purview 电子数据展示,则可能有另一个与 Azure Rights Management 服务集成的电子数据展示解决方案,用于对数据进行类似推理。
如果电子数据展示解决方案无法自动读取和解密受保护的内容,你仍可在多步骤过程中将此解决方案与 Set-AIPFileLabel cmdlet 结合使用:
将有问题的电子邮件从 Exchange Online 或 Exchange 服务器中导出为 PST 文件,或从用户存储其电子邮件的工作站导出。
将 PST 文件导入电子数据展示工具。 由于该工具无法读取受保护的内容,因此预计这些项会产生错误。
从该工具无法打开的所有项目中,生成此次新的 PST 文件,仅包含受保护的项目。 第二个 PST 文件可能比原始 PST 文件小得多。
若要解密这个小得多的文件的内容,请对第二个 PST 文件运行 Set-AIPFileLabel。 在输出中,将现已解密的 PST 文件导入发现工具中。
有关跨邮箱和 PST 文件执行电子数据展示的更多详细信息和指南,请参阅以下博客文章:Azure 信息保护和电子数据展示流程。