来自 Microsoft Purview 信息保护 的 Azure Rights Management 服务的超级用户功能可确保授权人员和服务始终能够读取和检查 Azure Rights Management 为组织加密的数据。 如有必要,可以删除或更改加密保护。
对于组织租户已加密的文档和电子邮件,超级用户始终具有权限管理完全控制 使用权限 。 这种能力有时称为“对数据进行推理”,是保持对组织数据的控制的关键要素。 例如,可将此功能用于以下任一方案:
员工离开组织,你需要读取他们加密的文件。
IT 管理员需要删除为文件配置的当前加密设置,并应用新的加密设置。
Exchange Server需要为邮箱编制索引以便执行搜索作。
你已有用于数据丢失防护的 IT 服务 (DLP) 解决方案、内容加密网关 (CEG) ,以及需要检查已加密文件的反恶意软件产品。
出于审核、法律或其他合规性原因,需要批量解密文件。
超级用户功能的配置
默认情况下,未启用超级用户功能,并且不会为用户分配此角色。 如果为 Exchange 配置 Rights Management 连接器,则会自动启用它,并且对于在 Microsoft 365 中运行 Exchange Online、Microsoft SharePoint Server 或 SharePoint 的标准服务不需要它。
如果需要手动启用超级用户功能,请使用 PowerShell cmdlet Enable-AipServiceSuperUserFeature,然后根据需要使用 Add-AipServiceSuperUser) cmdlet 或 Set-AipServiceSuperUserGroup cmdlet 分配用户 (或服务帐户,并将用户 (或其他组) 添加到此组。
尽管为超级用户使用组更易于管理,但出于性能原因,Azure Rights Management 服务 会缓存组成员身份。 因此,如果需要将新用户分配为超级用户以立即解密内容,请使用 Add-AipServiceSuperUser 添加该用户,而不是将该用户添加到使用 Set-AipServiceSuperUserGroup 配置的现有组。
注意
使用 Add-AipServiceSuperUser cmdlet 添加用户时,还必须将主邮件地址或用户主体名称添加到组。 不会计算Email别名。
如果尚未安装 Azure Rights Management 的 Windows PowerShell 模块,请参阅为 Azure Right Management 服务安装 AIPService PowerShell 模块。
启用超级用户功能或将用户添加为超级用户时,这并不重要。 例如,如果在星期四启用该功能,然后在星期五添加用户,则该用户可以立即打开在周初受保护的内容。
超级用户功能的安全最佳做法
使用 Add-AipServiceRoleBasedAdministrator cmdlet 限制和监视为租户分配全局管理员或分配了 GlobalAdministrator 角色的管理员。 这些用户可以启用超级用户功能,将用户 (和自己) 分配为超级用户,并可能解密组织加密的所有文件。
若要查看哪些用户和服务帐户单独分配为超级用户,请使用 Get-AipServiceSuperUser cmdlet。
若要查看是否配置了超级用户组,请使用 Get-AipServiceSuperUserGroup cmdlet 和标准用户管理工具检查哪些用户是此组的成员。
与所有管理作一样,将记录启用或禁用超级功能以及添加或删除超级用户,并且可以使用 Get-AipServiceAdminLog 命令进行审核。 有关示例,请参阅 超级用户功能的示例审核。
当超级用户解密文件时,此作将被记录,并且可以使用 使用情况日志记录进行审核。
注意
虽然日志包含有关解密的详细信息(包括解密文件的用户),但它们不会详细说明用户何时是超级用户。
将日志与前面列出的 cmdlet 一起使用,首先收集可在日志中识别的超级用户列表。
如果日常服务不需要超级用户功能,请仅在需要时启用该功能,并使用 Disable-AipServiceSuperUserFeature cmdlet 再次禁用该功能。
超级用户功能的示例审核
以下日志提取显示了使用 Get-AipServiceAdminLog cmdlet 的一些示例条目。
在此示例中,Contoso Ltd 的管理员确认超级用户功能已禁用,将 Richard Simone 添加为超级用户,检查 Richard 是否为 Azure Rights Management 服务配置的唯一超级用户,然后启用超级用户功能,以便 Richard 现在可以解密一些现在已离开公司的员工保护的文件。
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
超级用户的脚本选项
通常,分配有 Azure Rights Management 超级用户的用户需要从多个位置的多个文件中删除加密。 虽然可以手动执行此任务,但 (使用 Set-FileLabel cmdlet 编写脚本) 效率更高,并且通常更可靠。
还可以使用此 cmdlet 应用不应用加密的新标签,或删除应用加密的标签。
有关这些 cmdlet 的详细信息,请参阅 PurviewInformationProtection PowerShell 文档中的将 PowerShell 与 Microsoft Purview 信息保护 客户端配合使用。
注意
PurviewInformationProtection 模块与 AIPService PowerShell 模块不同,并补充了用于管理 azure Rights Management 服务的 AIPService PowerShell 模块,用于Microsoft Purview 信息保护。
从 PST 文件中删除加密
若要从 PST 文件中删除加密,建议使用 Microsoft Purview 中的电子数据展示 来搜索和提取电子邮件中的加密电子邮件和加密附件。
超级用户功能自动与 Exchange Online 集成,以便 Microsoft Purview 门户中的电子数据展示可以在导出前搜索加密项目,或在导出时解密加密电子邮件。
如果无法使用Microsoft Purview 电子数据展示,则可能有另一个电子数据展示解决方案,该解决方案与 Azure Rights Management 服务集成,以针对数据进行类似的推理。
或者,如果电子数据展示解决方案无法自动读取和解密受保护的内容,则仍可以在多步骤过程中将此解决方案与 Set-FileLabel cmdlet 结合使用:
将有问题的电子邮件从Exchange Online或Exchange Server或用户存储其电子邮件的工作站导出到 PST 文件。
将 PST 文件导入电子数据展示工具。 由于该工具无法读取加密内容,因此预计这些项目会生成错误。
从该工具无法打开的所有项中,生成一个新的 PST 文件,此文件这次仅包含加密项目。 第二个 PST 文件可能比原始 PST 文件小得多。
对第二个 PST 文件运行 Set-FileLabel ,以解密此小得多的文件的内容。 从输出中,将现已解密的 PST 文件导入发现工具。
有关跨邮箱和 PST 文件执行电子数据展示的更多详细信息和指南,请参阅以下博客文章:Azure 信息保护和电子数据展示过程。