Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La fonctionnalité super utilisateur du service Azure Rights Management de Protection des données Microsoft Purview garantit que les personnes et services autorisés peuvent toujours lire et inspecter les données que Azure Rights Management chiffrent pour votre organization. Si nécessaire, la protection de chiffrement peut ensuite être supprimée ou modifiée.
Un super utilisateur dispose toujours du droit d’utilisation Contrôle total rights management pour les documents et les e-mails qui ont été chiffrés par le locataire de votre organization. Cette capacité est parfois appelée « raisonnement sur les données » et est un élément essentiel pour maintenir le contrôle des données de votre organization. Par exemple, vous pouvez utiliser cette fonctionnalité pour l’un des scénarios suivants :
Un employé quitte le organization et vous devez lire les fichiers qu’il a chiffrés.
Un administrateur informatique doit supprimer les paramètres de chiffrement actuels qui ont été configurés pour les fichiers et appliquer de nouveaux paramètres de chiffrement.
Exchange Server devez indexer les boîtes aux lettres pour les opérations de recherche.
Vous disposez de services informatiques existants pour les solutions de protection contre la perte de données (DLP), les passerelles de chiffrement de contenu (CEG) et les produits anti-programme malveillant qui doivent inspecter les fichiers déjà chiffrés.
Vous devez déchiffrer en bloc les fichiers pour des raisons d’audit, juridiques ou autres.
Configuration de la fonctionnalité de super utilisateur
Par défaut, la fonctionnalité de super utilisateur n’est pas activée et aucun utilisateur n’est affecté à ce rôle. Il est activé automatiquement si vous configurez le connecteur Rights Management pour Exchange, et il n’est pas nécessaire pour les services standard qui s’exécutent Exchange Online, Microsoft SharePoint Server ou SharePoint dans Microsoft 365.
Si vous devez activer manuellement la fonctionnalité de super utilisateur, utilisez l’applet de commande PowerShell Enable-AipServiceSuperUserFeature, puis attribuez des utilisateurs (ou des comptes de service) selon les besoins à l’aide de l’applet de commande Add-AipServiceSuperUser ou de l’applet de commande Set-AipServiceSuperUserGroup et ajoutez des utilisateurs (ou d’autres groupes) selon les besoins à ce groupe.
Bien que l’utilisation d’un groupe pour vos super utilisateurs soit plus facile à gérer, pour des raisons de performances, le service Azure Rights Management met en cache l’appartenance au groupe. Par conséquent, si vous devez affecter un nouvel utilisateur comme super utilisateur pour déchiffrer immédiatement le contenu, ajoutez-le à l’aide de Add-AipServiceSuperUser, au lieu d’ajouter l’utilisateur à un groupe existant que vous avez configuré à l’aide de Set-AipServiceSuperUserGroup.
Remarque
Lorsque vous ajoutez un utilisateur avec l’applet de commande Add-AipServiceSuperUser , vous devez également ajouter l’adresse de messagerie principale ou le nom d’utilisateur principal au groupe. Email alias ne sont pas évalués.
Si vous n’avez pas encore installé le module Windows PowerShell pour Azure Rights Management, consultez Installer le module PowerShell AIPService pour le service Azure Right Management.
Le moment où vous activez la fonctionnalité de super utilisateur ou que vous ajoutez des utilisateurs en tant que super utilisateurs n’a pas d’importance. Par exemple, si vous activez la fonctionnalité le jeudi, puis ajoutez un utilisateur le vendredi, cet utilisateur peut ouvrir immédiatement le contenu qui a été protégé au tout début de la semaine.
Bonnes pratiques de sécurité pour la fonctionnalité de super utilisateur
Limitez et surveillez les administrateurs auxquels un administrateur général est affecté pour votre locataire, ou qui se voient attribuer le rôle GlobalAdministrator à l’aide de l’applet de commande Add-AipServiceRoleBasedAdministrator . Ces utilisateurs peuvent activer la fonctionnalité de super utilisateur et affecter des utilisateurs (et eux-mêmes) en tant que super utilisateurs, et potentiellement déchiffrer tous les fichiers que votre organization chiffre.
Pour voir quels utilisateurs et comptes de service sont affectés individuellement en tant que super utilisateurs, utilisez l’applet de commande Get-AipServiceSuperUser .
Pour voir si un groupe de super utilisateurs est configuré, utilisez l’applet de commande Get-AipServiceSuperUserGroup et vos outils de gestion des utilisateurs standard pour case activée quels utilisateurs sont membres de ce groupe.
Comme toutes les actions d’administration, l’activation ou la désactivation de la super fonctionnalité et l’ajout ou la suppression de super utilisateurs sont journalisés et peuvent être audités à l’aide de la commande Get-AipServiceAdminLog . Par exemple, consultez Exemple d’audit pour la fonctionnalité de super utilisateur.
Lorsque les super utilisateurs déchiffrent des fichiers, cette action est journalisée et peut être auditée avec la journalisation de l’utilisation.
Remarque
Bien que les journaux incluent des détails sur le déchiffrement, y compris l’utilisateur qui a déchiffré le fichier, ils ne détaillent pas quand l’utilisateur est un super utilisateur.
Utilisez les journaux avec les applets de commande répertoriées précédemment pour collecter d’abord une liste de super utilisateurs que vous pouvez identifier dans les journaux.
Si vous n’avez pas besoin de la fonctionnalité de super utilisateur pour les services quotidiens, activez la fonctionnalité uniquement lorsque vous en avez besoin et désactivez-la à nouveau à l’aide de l’applet de commande Disable-AipServiceSuperUserFeature .
Exemple d’audit pour la fonctionnalité de super utilisateur
L’extrait de journal suivant montre quelques exemples d’entrées de l’utilisation de l’applet de commande Get-AipServiceAdminLog .
Dans cet exemple, l’administrateur de Contoso Ltd confirme que la fonctionnalité de super utilisateur est désactivée, ajoute Richard Simone en tant que super utilisateur, vérifie que Richard est le seul super utilisateur configuré pour le service Azure Rights Management, puis active la fonctionnalité super utilisateur afin que Richard puisse désormais déchiffrer certains fichiers protégés par un employé qui a quitté l’entreprise.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Options de script pour les super utilisateurs
Souvent, une personne à qui un super utilisateur est affecté pour Azure Rights Management doit supprimer le chiffrement de plusieurs fichiers, dans plusieurs emplacements. Bien qu’il soit possible d’effectuer cette tâche manuellement, il est plus efficace (et souvent plus fiable) de créer un script à l’aide de l’applet de commande Set-FileLabel .
Vous pouvez également utiliser cette applet de commande pour appliquer une nouvelle étiquette qui n’applique pas de chiffrement, ou supprimer l’étiquette qui a appliqué le chiffrement.
Pour plus d’informations sur ces applets de commande, consultez Utiliser PowerShell avec le client Protection des données Microsoft Purview dans la documentation PowerShell PurviewInformationProtection.
Remarque
Le module PurviewInformationProtection est différent de et complète le module PowerShell AIPService qui gère le service Azure Rights Management pour Protection des données Microsoft Purview.
Suppression du chiffrement des fichiers PST
Pour supprimer le chiffrement des fichiers PST, nous vous recommandons d’utiliser eDiscovery de Microsoft Purview pour rechercher et extraire des e-mails chiffrés et des pièces jointes chiffrées dans les e-mails.
La capacité de super utilisateur est automatiquement intégrée à Exchange Online afin que eDiscovery dans le portail Microsoft Purview puisse rechercher des éléments chiffrés avant l’exportation, ou déchiffrer les e-mails chiffrés lors de l’exportation.
Si vous ne pouvez pas utiliser Microsoft Purview eDiscovery, vous disposez peut-être d’une autre solution eDiscovery qui s’intègre au service Azure Rights Management pour raisonner de la même façon sur les données.
Ou, si votre solution eDiscovery ne peut pas lire et déchiffrer automatiquement le contenu protégé, vous pouvez toujours utiliser cette solution dans un processus en plusieurs étapes avec l’applet de commande Set-FileLabel :
Exportez l’e-mail en question vers un fichier PST à partir de Exchange Online ou de Exchange Server, ou à partir de la station de travail où l’utilisateur a stocké son courrier électronique.
Importez le fichier PST dans votre outil eDiscovery. Étant donné que l’outil ne peut pas lire le contenu chiffré, attendez-vous à ce que ces éléments génèrent des erreurs.
À partir de tous les éléments que l’outil n’a pas pu ouvrir, générez un nouveau fichier PST qui, cette fois, contient uniquement des éléments chiffrés. Ce deuxième fichier PST sera probablement beaucoup plus petit que le fichier PST d’origine.
Exécutez Set-FileLabel sur ce deuxième fichier PST pour déchiffrer le contenu de ce fichier beaucoup plus petit. À partir de la sortie, importez le fichier PST maintenant déchiffré dans votre outil de découverte.
Pour obtenir des informations et des conseils plus détaillés sur l’exécution d’eDiscovery dans les boîtes aux lettres et les fichiers PST, consultez le billet de blog suivant : Azure Information Protection et processus eDiscovery.