Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La característica de superusuario del servicio de Azure Rights Management de Microsoft Purview Information Protection garantiza que los usuarios y servicios autorizados siempre puedan leer e inspeccionar los datos que Azure Rights Management cifran para su organización. Si es necesario, la protección de cifrado se puede quitar o cambiar.
Un superusuario siempre tiene el derecho de uso de Control total de Rights Management para documentos y correos electrónicos cifrados por el inquilino de la organización. Esta capacidad a veces se conoce como "razonamiento sobre los datos" y es un elemento crucial para mantener el control de los datos de la organización. Por ejemplo, usaría esta característica para cualquiera de los escenarios siguientes:
Un empleado deja la organización y debe leer los archivos cifrados.
Un administrador de TI debe quitar la configuración de cifrado actual que se configuró para los archivos y aplicar una nueva configuración de cifrado.
Exchange Server debe indexar los buzones de correo para las operaciones de búsqueda.
Tiene servicios de TI existentes para soluciones de prevención de pérdida de datos (DLP), puertas de enlace de cifrado de contenido (CEG) y productos antimalware que necesitan inspeccionar archivos que ya están cifrados.
Debe descifrar de forma masiva los archivos por motivos de auditoría, legales u otros motivos de cumplimiento.
Configuración de la característica de superusuario
De forma predeterminada, la característica superusuario no está habilitada y no se asigna ningún usuario a este rol. Está habilitado automáticamente si configura el conector rights management para Exchange y no es necesario para los servicios estándar que ejecutan Exchange Online, Microsoft SharePoint Server o SharePoint en Microsoft 365.
Si necesita habilitar manualmente la característica de superusuario, use el cmdlet Enable-AipServiceSuperUserFeature de PowerShell y, a continuación, asigne usuarios (o cuentas de servicio) según sea necesario mediante el cmdlet Add-AipServiceSuperUser o el cmdlet Set-AipServiceSuperUserGroup y agregue usuarios (u otros grupos) según sea necesario a este grupo.
Aunque el uso de un grupo para los superusuarios es más fácil de administrar, por motivos de rendimiento, el servicio Azure Rights Management almacena en caché la pertenencia al grupo. Por lo tanto, si necesita asignar un nuevo usuario para que sea un superusuario para descifrar contenido inmediatamente, agregue ese usuario mediante Add-AipServiceSuperUser, en lugar de agregar el usuario a un grupo existente que configuró mediante Set-AipServiceSuperUserGroup.
Nota:
Al agregar un usuario con el cmdlet Add-AipServiceSuperUser , también debe agregar la dirección de correo principal o el nombre principal de usuario al grupo. no se evalúan los alias de Email.
Si aún no ha instalado el módulo de Windows PowerShell para Azure Rights Management, consulte Instalación del módulo de PowerShell AIPService para el servicio Azure Right Management.
No importa cuando se habilita la característica superusuario o cuando se agregan usuarios como superusuarios. Por ejemplo, si habilita la característica el jueves y, a continuación, agrega un usuario el viernes, ese usuario puede abrir inmediatamente el contenido que se protegió al principio de la semana.
Procedimientos recomendados de seguridad para la característica de superusuario
Restrinja y supervise a los administradores a los que se les asigna un administrador global para el inquilino o a los que se les asigna el rol GlobalAdministrator mediante el cmdlet Add-AipServiceRoleBasedAdministrator . Estos usuarios pueden habilitar la característica superusuario y asignar usuarios (y ellos mismos) como superusuarios, y descifrar potencialmente todos los archivos que la organización cifra.
Para ver qué usuarios y cuentas de servicio se asignan individualmente como superusuarios, use el cmdlet Get-AipServiceSuperUser .
Para ver si está configurado un superusuario, use el cmdlet Get-AipServiceSuperUserGroup y las herramientas de administración de usuarios estándar para comprobar qué usuarios son miembros de este grupo.
Al igual que todas las acciones de administración, habilitar o deshabilitar la característica super y agregar o quitar superusuarios se registran y se pueden auditar mediante el comando Get-AipServiceAdminLog . Por ejemplo, consulte Auditoría de ejemplo para la característica superusuario.
Cuando los superusuarios descifran archivos, esta acción se registra y se puede auditar con el registro de uso.
Nota:
Aunque los registros incluyen detalles sobre el descifrado, incluido el usuario que descifra el archivo, no detallan cuándo el usuario es un superusuario.
Use los registros junto con los cmdlets enumerados anteriormente para recopilar primero una lista de superusuarios que puede identificar en los registros.
Si no necesita la característica superusuario para los servicios cotidianos, habilite la característica solo cuando la necesite y deshabilitela de nuevo mediante el cmdlet Disable-AipServiceSuperUserFeature .
Ejemplo de auditoría de la característica de superusuario
El siguiente extracto de registro muestra algunas entradas de ejemplo del uso del cmdlet Get-AipServiceAdminLog .
En este ejemplo, el administrador de Contoso Ltd confirma que la característica superusuario está deshabilitada, agrega a Richard Simone como superusuario, comprueba que Richard es el único superusuario configurado para el servicio Azure Rights Management y, a continuación, habilita la característica de superusuario para que Richard ahora pueda descifrar algunos archivos protegidos por un empleado que ha dejado la empresa.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Opciones de scripting para superusuarios
A menudo, alguien a quien se asigna un superusuario para Azure Rights Management necesita quitar el cifrado de varios archivos, en varias ubicaciones. Aunque es posible realizar esta tarea manualmente, es más eficaz (y a menudo más confiable) crear scripts con el cmdlet Set-FileLabel .
También puede usar este cmdlet para aplicar una nueva etiqueta que no aplique el cifrado o quitar la etiqueta que aplicó el cifrado.
Para obtener más información sobre estos cmdlets, consulte Uso de PowerShell con el cliente Microsoft Purview Information Protection en la documentación de PowerShell purviewInformationProtection.
Nota:
El módulo PurviewInformationProtection es diferente de y complementa el módulo de PowerShell AIPService que administra el servicio Azure Rights Management para Microsoft Purview Information Protection.
Eliminación del cifrado de archivos PST
Para quitar el cifrado de archivos PST, se recomienda usar eDiscovery de Microsoft Purview para buscar y extraer correos electrónicos cifrados y datos adjuntos cifrados en correos electrónicos.
La capacidad de superusuario se integra automáticamente con Exchange Online para que eDiscovery en el portal de Microsoft Purview pueda buscar elementos cifrados antes de la exportación o descifrar el correo electrónico cifrado durante la exportación.
Si no puede usar Microsoft Purview eDiscovery, es posible que tenga otra solución de exhibición de documentos electrónicos que se integre con el servicio Azure Rights Management para razonar de forma similar sobre los datos.
O bien, si la solución de eDiscovery no puede leer y descifrar automáticamente contenido protegido, puede seguir usando esta solución en un proceso de varios pasos junto con el cmdlet Set-FileLabel :
Exporte el correo electrónico en cuestión a un archivo PST desde Exchange Online o Exchange Server, o desde la estación de trabajo donde el usuario almacenó su correo electrónico.
Importe el archivo PST en la herramienta eDiscovery. Dado que la herramienta no puede leer contenido cifrado, espere que estos elementos generen errores.
A partir de todos los elementos que la herramienta no pudo abrir, genere un nuevo archivo PST que esta vez, contiene solo elementos cifrados. Este segundo archivo PST probablemente será mucho más pequeño que el archivo PST original.
Ejecute Set-FileLabel en este segundo archivo PST para descifrar el contenido de este archivo mucho más pequeño. En la salida, importe el archivo PST ahora descifrado en la herramienta de detección.
Para obtener información más detallada e instrucciones para realizar eDiscovery en buzones y archivos PST, consulte la siguiente entrada de blog: Procesos de azure Information Protection y eDiscovery.