Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Superuser-Feature des Azure Rights Management-Diensts von Microsoft Purview Information Protection stellt sicher, dass autorisierte Personen und Dienste die Daten, die Azure Rights Management für Ihre organization verschlüsselt, jederzeit lesen und überprüfen können. Bei Bedarf kann der Verschlüsselungsschutz entfernt oder geändert werden.
Ein Superbenutzer hat immer das Rights Management-Vollzugriffsrecht für Dokumente und E-Mails, die vom Mandanten Ihres organization verschlüsselt wurden. Diese Fähigkeit wird manchmal als "Argumentation über Daten" bezeichnet und ist ein wichtiges Element, um die Kontrolle über die Daten Ihrer organization zu behalten. Sie würden dieses Feature beispielsweise für eines der folgenden Szenarien verwenden:
Ein Mitarbeiter verlässt die organization und Sie müssen die verschlüsselten Dateien lesen.
Ein IT-Administrator muss die aktuellen Verschlüsselungseinstellungen entfernen, die für Dateien konfiguriert wurden, und neue Verschlüsselungseinstellungen anwenden.
Exchange Server muss Postfächer für Suchvorgänge indizieren.
Sie verfügen über it-Dienste für DLP-Lösungen (Data Loss Prevention), Content Encryption Gateways (CEG) und Antischadsoftwareprodukte, die dateien überprüfen müssen, die bereits verschlüsselt sind.
Sie müssen Dateien aus Überwachungs-, rechtlichen oder anderen Konformitätsgründen per Massenentschlüsselung entschlüsseln.
Konfiguration für das Superuser-Feature
Standardmäßig ist das Superuser-Feature nicht aktiviert, und dieser Rolle sind keine Benutzer zugewiesen. Er wird automatisch für Sie aktiviert, wenn Sie den Rights Management-Connector für Exchange konfigurieren, und er ist nicht für Standarddienste erforderlich, die Exchange Online, Microsoft SharePoint Server oder SharePoint in Microsoft 365 ausführen.
Wenn Sie das Superuser-Feature manuell aktivieren müssen, verwenden Sie das PowerShell-Cmdlet Enable-AipServiceSuperUserFeature, und weisen Sie dann nach Bedarf Benutzer (oder Dienstkonten) zu, indem Sie das Add-AipServiceSuperUser-Cmdlet oder das Cmdlet Set-AipServiceSuperUserGroup verwenden und dieser Gruppe nach Bedarf Benutzer (oder andere Gruppen) hinzufügen.
Obwohl die Verwendung einer Gruppe für Ihre Superbenutzer einfacher zu verwalten ist, speichert der Azure Rights Management-Dienst aus Leistungsgründen die Gruppenmitgliedschaft zwischen. Wenn Sie also einen neuen Benutzer als Superbenutzer zuweisen müssen, um Inhalte sofort zu entschlüsseln, fügen Sie diesen Benutzer mithilfe von Add-AipServiceSuperUser hinzu, anstatt den Benutzer einer vorhandenen Gruppe hinzuzufügen, die Sie mit Set-AipServiceSuperUserGroup konfiguriert haben.
Hinweis
Wenn Sie einen Benutzer mit dem Cmdlet Add-AipServiceSuperUser hinzufügen, müssen Sie der Gruppe auch die primäre E-Mail-Adresse oder den Benutzerprinzipalnamen hinzufügen. Email Aliase werden nicht ausgewertet.
Wenn Sie das Windows PowerShell-Modul für Azure Rights Management noch nicht installiert haben, finden Sie weitere Informationen unter Installieren des PowerShell-Moduls AIPService für den Azure Right Management-Dienst.
Es spielt keine Rolle, wann Sie das Superuser-Feature aktivieren oder Benutzer als Superbenutzer hinzufügen. Wenn Sie beispielsweise das Feature am Donnerstag aktivieren und dann am Freitag einen Benutzer hinzufügen, kann dieser Benutzer sofort Inhalte öffnen, die ganz zu Beginn der Woche geschützt wurden.
Bewährte Sicherheitsmethoden für das Superuser-Feature
Beschränken und überwachen Sie mithilfe des Cmdlets Add-AipServiceRoleBasedAdministrator die Administratoren, denen ein globaler Administrator für Ihren Mandanten zugewiesen ist oder denen die GlobalAdministrator-Rolle zugewiesen ist. Diese Benutzer können das Superuser-Feature aktivieren und Benutzer (und sich selbst) als Superbenutzer zuweisen und potenziell alle Dateien entschlüsseln, die Ihr organization verschlüsselt.
Verwenden Sie das Cmdlet Get-AipServiceSuperUser , um zu ermitteln, welche Benutzer und Dienstkonten einzeln als Superbenutzer zugewiesen werden.
Um festzustellen, ob eine Superbenutzergruppe konfiguriert ist, verwenden Sie das Cmdlet Get-AipServiceSuperUserGroup und Ihre Standardmäßigen Benutzerverwaltungstools, um zu überprüfen, welche Benutzer Mitglied dieser Gruppe sind.
Wie bei allen Verwaltungsaktionen werden das Aktivieren oder Deaktivieren des Superfeatures sowie das Hinzufügen oder Entfernen von Superbenutzern protokolliert und können mithilfe des Befehls Get-AipServiceAdminLog überwacht werden. Weitere Informationen finden Sie z. B. unter Beispielüberwachung für das Superuser-Feature.
Wenn Superbenutzer Dateien entschlüsseln, wird diese Aktion protokolliert und kann mit der Verwendungsprotokollierung überwacht werden.
Hinweis
Während die Protokolle Details zur Entschlüsselung enthalten, einschließlich des Benutzers, der die Datei entschlüsselt hat, geben sie nicht an, wann der Benutzer ein Superbenutzer ist.
Verwenden Sie die Protokolle zusammen mit den zuvor aufgeführten Cmdlets, um zunächst eine Liste von Superbenutzern zu sammeln, die Sie in den Protokollen identifizieren können.
Wenn Sie das Superuser-Feature für alltägliche Dienste nicht benötigen, aktivieren Sie das Feature nur bei Bedarf, und deaktivieren Sie es erneut mithilfe des Cmdlets Disable-AipServiceSuperUserFeature .
Beispielüberwachung für die Funktion "Superuser"
Der folgende Protokollextraktion zeigt einige Beispieleinträge aus der Verwendung des Cmdlets Get-AipServiceAdminLog .
In diesem Beispiel bestätigt der Administrator für Contoso Ltd, dass die Funktion "Superuser" deaktiviert ist, fügt Richard Simone als Superbenutzer hinzu, überprüft, ob Richard der einzige Superbenutzer ist, der für den Azure Rights Management-Dienst konfiguriert ist, und aktiviert dann das Superbenutzerfeature, damit Richard jetzt einige Dateien entschlüsseln kann, die von einem Mitarbeiter geschützt wurden, der das Unternehmen nun verlassen hat.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Skriptoptionen für Superbenutzer
Häufig muss jemand, dem ein Superbenutzer für Azure Rights Management zugewiesen ist, die Verschlüsselung aus mehreren Dateien an mehreren Speicherorten entfernen. Es ist zwar möglich, diese Aufgabe manuell durchzuführen, aber es ist effizienter (und häufig zuverlässiger), dies mithilfe des Cmdlets Set-FileLabel zu erstellen.
Sie können dieses Cmdlet auch verwenden, um eine neue Bezeichnung anzuwenden, die keine Verschlüsselung anwendet, oder um die Bezeichnung zu entfernen, die die Verschlüsselung angewendet hat.
Weitere Informationen zu diesen Cmdlets finden Sie unter Verwenden von PowerShell mit dem Microsoft Purview Information Protection-Client in der PowerShell-Dokumentation zu PurviewInformationProtection.
Hinweis
Das PurviewInformationProtection-Modul unterscheidet sich von dem PowerShell-Modul AIPService, das den Azure Rights Management-Dienst für Microsoft Purview Information Protection verwaltet, und ergänzt es.
Entfernen der Verschlüsselung aus PST-Dateien
Um die Verschlüsselung von PST-Dateien zu entfernen, empfehlen wir Ihnen, eDiscovery aus Microsoft Purview zu verwenden, um verschlüsselte E-Mails und verschlüsselte Anlagen in E-Mails zu durchsuchen und zu extrahieren.
Die Superuser-Funktion wird automatisch in Exchange Online integriert, sodass eDiscovery im Microsoft Purview-Portal vor dem Export nach verschlüsselten Elementen suchen oder verschlüsselte E-Mails beim Export entschlüsseln kann.
Wenn Sie Microsoft Purview-eDiscovery nicht verwenden können, verfügen Sie möglicherweise über eine andere eDiscovery-Lösung, die in den Azure Rights Management-Dienst integriert ist, um Daten ähnlich zu begründen.
Wenn Ihre eDiscovery-Lösung geschützte Inhalte nicht automatisch lesen und entschlüsseln kann, können Sie diese Lösung weiterhin in einem mehrstufigen Prozess zusammen mit dem Cmdlet Set-FileLabel verwenden:
Exportieren Sie die betreffende E-Mail in eine PST-Datei aus Exchange Online oder Exchange Server oder von der Arbeitsstation, auf der der Benutzer seine E-Mails gespeichert hat.
Importieren Sie die PST-Datei in Ihr eDiscovery-Tool. Da das Tool verschlüsselte Inhalte nicht lesen kann, erwarten Sie, dass diese Elemente Fehler generieren.
Generieren Sie aus allen Elementen, die das Tool nicht öffnen konnte, eine neue PST-Datei, die dieses Mal nur verschlüsselte Elemente enthält. Diese zweite PST-Datei ist wahrscheinlich viel kleiner als die ursprüngliche PST-Datei.
Führen Sie Set-FileLabel für diese zweite PST-Datei aus, um den Inhalt dieser viel kleineren Datei zu entschlüsseln. Importieren Sie aus der Ausgabe die jetzt entschlüsselte PST-Datei in Ihr Ermittlungstool.
Ausführlichere Informationen und Anleitungen zur Durchführung von eDiscovery in Postfächern und PST-Dateien finden Sie im folgenden Blogbeitrag: Azure Information Protection und eDiscovery-Prozesse.