Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A funcionalidade de superutilizador do serviço Azure Rights Management do Proteção de Informações do Microsoft Purview garante que as pessoas e serviços autorizados podem sempre ler e inspecionar os dados encriptados pelo Azure Rights Management para a sua organização. Se necessário, a proteção de encriptação pode ser removida ou alterada.
Um superutilizador tem sempre o direito de utilização do Controlo Total do Rights Management para documentos e e-mails que foram encriptados pelo inquilino da sua organização. Por vezes, esta capacidade é referida como "raciocínio sobre os dados" e é um elemento crucial na manutenção do controlo dos dados da sua organização. Por exemplo, utilizaria esta funcionalidade para qualquer um dos seguintes cenários:
Um funcionário sai da organização e tem de ler os ficheiros que encriptaram.
Um administrador de TI tem de remover as definições de encriptação atuais que foram configuradas para ficheiros e aplicar novas definições de encriptação.
Exchange Server precisa de indexar caixas de correio para operações de pesquisa.
Tem serviços de TI existentes para soluções de prevenção de perda de dados (DLP), gateways de encriptação de conteúdos (CEG) e produtos antimalware que precisam de inspecionar ficheiros que já estão encriptados.
Tem de desencriptar ficheiros em massa por motivos de auditoria, legais ou outros motivos de conformidade.
Configuração para a funcionalidade de superutilizador
Por predefinição, a funcionalidade de superutilizador não está ativada e não são atribuídos utilizadores a esta função. Está ativado automaticamente se configurar o conector Rights Management para o Exchange e não for necessário para serviços padrão que executem o Exchange Online, o Microsoft SharePoint Server ou o SharePoint no Microsoft 365.
Se precisar de ativar manualmente a funcionalidade de superutilizador, utilize o cmdlet do PowerShell Enable-AipServiceSuperUserFeature e, em seguida, atribua utilizadores (ou contas de serviço) conforme necessário através do cmdlet Add-AipServiceSuperUser ou do cmdlet Set-AipServiceSuperUserGroup e adicione utilizadores (ou outros grupos) conforme necessário para este grupo.
Embora a utilização de um grupo para os superutilizadores seja mais fácil de gerir, por motivos de desempenho, o serviço Azure Rights Management coloca em cache a associação ao grupo. Por isso, se precisar de atribuir um novo utilizador para ser um superutilizador para desencriptar conteúdos imediatamente, adicione esse utilizador com Add-AipServiceSuperUser, em vez de adicionar o utilizador a um grupo existente que configurou com Set-AipServiceSuperUserGroup.
Observação
Ao adicionar um utilizador com o cmdlet Add-AipServiceSuperUser , também tem de adicionar o endereço de correio principal ou o nome principal de utilizador ao grupo. Email aliases não são avaliados.
Se ainda não instalou o módulo Windows PowerShell para o Azure Rights Management, veja Instalar o módulo AIPService powerShell para o serviço Azure Right Management.
Não importa quando ativa a funcionalidade de superutilizador ou quando adiciona utilizadores como superutilizadores. Por exemplo, se ativar a funcionalidade na quinta-feira e, em seguida, adicionar um utilizador na sexta-feira, esse utilizador pode abrir imediatamente o conteúdo que foi protegido no início da semana.
Melhores práticas de segurança para a funcionalidade de superutilizador
Restrinja e monitorize os administradores a quem foi atribuído um administrador global para o seu inquilino ou a quem foi atribuída a função GlobalAdministrator através do cmdlet Add-AipServiceRoleBasedAdministrator . Estes utilizadores podem ativar a funcionalidade de superutilizador e atribuir utilizadores (e eles próprios) como superutilizadores e, potencialmente, desencriptar todos os ficheiros encriptados pela sua organização.
Para ver que utilizadores e contas de serviço são atribuídas individualmente como superutilizadores, utilize o cmdlet Get-AipServiceSuperUser .
Para ver se um grupo de superutilizadores está configurado, utilize o cmdlet Get-AipServiceSuperUserGroup e as suas ferramentas de gestão de utilizador padrão para marcar que utilizadores são membros deste grupo.
Como todas as ações de administração, ativar ou desativar a super funcionalidade e adicionar ou remover superutilizadores são registados e podem ser auditados com o comando Get-AipServiceAdminLog . Por exemplo, veja Auditoria de exemplo para a funcionalidade de superutilizador.
Quando os superutilizadores desencriptar ficheiros, esta ação é registada e pode ser auditada com o registo de utilização.
Observação
Embora os registos incluam detalhes sobre a desencriptação, incluindo o utilizador que desencriptou o ficheiro, não detalham quando o utilizador é um superutilizador.
Utilize os registos juntamente com os cmdlets listados anteriormente para recolher primeiro uma lista de superutilizadores que pode identificar nos registos.
Se não precisar da funcionalidade de superutilizador para serviços diários, ative a funcionalidade apenas quando precisar e desative-a novamente com o cmdlet Disable-AipServiceSuperUserFeature .
Auditoria de exemplo para a funcionalidade de superutilizador
O extrato de registo seguinte mostra algumas entradas de exemplo da utilização do cmdlet Get-AipServiceAdminLog .
Neste exemplo, o administrador da Contoso Ltd confirma que a funcionalidade de superutilizador está desativada, adiciona Richard Simone como superutilizador, verifica se o Richard é o único superutilizador configurado para o serviço Azure Rights Management e, em seguida, ativa a funcionalidade de superutilizador para que o Richard possa agora desencriptar alguns ficheiros que foram protegidos por um funcionário que deixou a empresa.
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
Opções de scripting para superutilizadores
Muitas vezes, alguém a quem é atribuído um superutilizador para o Azure Rights Management tem de remover a encriptação de múltiplos ficheiros, em várias localizações. Embora seja possível efetuar esta tarefa manualmente, é mais eficiente (e muitas vezes mais fiável) criar scripts com o cmdlet Set-FileLabel .
Também pode utilizar este cmdlet para aplicar uma nova etiqueta que não aplica encriptação ou remover a etiqueta que aplicou a encriptação.
Para obter mais informações sobre estes cmdlets, veja Utilizar o PowerShell com o cliente Proteção de Informações do Microsoft Purview a partir da documentação do PowerShell PurviewInformationProtection.
Observação
O módulo PurviewInformationProtection é diferente do e complementa o módulo AIPService PowerShell que gere o serviço Azure Rights Management para Proteção de Informações do Microsoft Purview.
Remover a encriptação de ficheiros PST
Para remover a encriptação de ficheiros PST, recomendamos que utilize a Deteção de Dados Eletrónicos do Microsoft Purview para procurar e extrair e-mails encriptados e anexos encriptados em e-mails.
A capacidade de superutilizador é automaticamente integrada com Exchange Online para que a Deteção de Dados Eletrónicos no portal do Microsoft Purview possa procurar itens encriptados antes da exportação ou desencriptar e-mails encriptados durante a exportação.
Se não conseguir utilizar Descoberta Eletrônica do Microsoft Purview, poderá ter outra solução de Deteção de Dados Eletrónicos que se integra com o serviço Azure Rights Management de forma semelhante ao motivo dos dados.
Em alternativa, se a sua solução de Deteção de Dados Eletrónicos não conseguir ler e desencriptar automaticamente conteúdo protegido, ainda pode utilizar esta solução num processo de vários passos juntamente com o cmdlet Set-FileLabel :
Exporte o e-mail em questão para um ficheiro PST a partir de Exchange Online ou Exchange Server ou da estação de trabalho onde o utilizador armazenou o respetivo e-mail.
Importe o ficheiro PST para a ferramenta de Deteção de Dados Eletrónicos. Uma vez que a ferramenta não consegue ler conteúdo encriptado, espere que estes itens gerem erros.
A partir de todos os itens que a ferramenta não conseguiu abrir, gere um novo ficheiro PST que, desta vez, contém apenas itens encriptados. Este segundo ficheiro PST será provavelmente muito menor do que o ficheiro PST original.
Execute Set-FileLabel neste segundo ficheiro PST para desencriptar o conteúdo deste ficheiro muito mais pequeno. A partir do resultado, importe o ficheiro PST agora desencriptado para a sua ferramenta de deteção.
Para obter informações e orientações mais detalhadas sobre a realização da Deteção de Dados Eletrónicos em caixas de correio e ficheiros PST, veja a seguinte mensagem de blogue: Processos de Deteção de Dados Eletrónicos e Proteção de Informações do Azure.