來自 Microsoft Purview 資訊保護 的 Azure Rights Management 服務的超級使用者功能可確保授權人員和服務一律可以讀取和檢查 Azure Rights Management 為您的組織加密的資料。 如有必要,可以移除或變更加密保護。
超級使用者一律具有組織租用戶已加密之文件和電子郵件的 Rights Management 完整控制 使用權限 。 這種能力有時被稱為“對數據進行推理”,是保持對組織數據控制的關鍵要素。 例如,您可以將此功能用於下列任何案例:
員工離開組織,您需要讀取他們加密的檔案。
IT 系統管理員必須移除為檔案設定的目前加密設定,並套用新的加密設定。
Exchange Server 需要為信箱編製索引,以進行搜尋作業。
您有現有的資料外洩防護 IT 服務 (DLP) 解決方案、內容加密閘道 (CEG) ,以及需要檢查已加密檔案的反惡意軟體產品。
您需要大量解密檔案,以符合審計、法律或其他合規性原因。
超級使用者功能的設定
依預設,不會啟用超級使用者功能,且不會將任何使用者指派給此角色。 如果您設定 Exchange 的 Rights Management 連接器,則會自動為您啟用它,而且執行 Exchange Online、Microsoft SharePoint Server 或 Microsoft 365 中的 SharePoint 的標準服務不需要它。
如果您需要手動啟用超級使用者功能,請使用 PowerShell Cmdlet Enable-AipServiceSuperUserFeature,然後視需要使用 Add-AipServiceSuperUser Cmdlet 或 Set-AipServiceSuperUserGroup Cmdlet 來指派使用者 (或服務帳戶) ,並視需要將使用者 (或其他群組) 新增至此群組。
雖然為超級使用者使用群組更容易管理,但基於效能考量,Azure Rights Management 服務 會快取群組成員資格。 因此,如果您需要將新使用者指派為超級使用者,以立即解密內容,請使用 Add-AipServiceSuperUser 新增該使用者,而不是將使用者新增至您使用 Set-AipServiceSuperUserGroup 設定的現有群組。
注意事項
使用 Add-AipServiceSuperUser Cmdlet 新增使用者時,您也必須將主要郵件位址或使用者主體名稱新增至群組。 不會評估 Email 別名。
如果您尚未安裝適用於 Azure Rights Management 的 Windows PowerShell 模組,請參閱安裝適用於 Azure Rights Management 服務的 AIPService PowerShell 模組。
當您啟用超級使用者功能或將使用者新增為超級使用者時,都無關緊要。 例如,如果您在星期四啟用此功能,然後在星期五新增使用者,則該使用者可以立即開啟在一週開始時受保護的內容。
超級使用者功能的安全性最佳實務
限制和監視獲指派租用戶全域系統管理員的系統管理員,或使用 Add-AipServiceRoleBasedAdministrator Cmdlet 指派 GlobalAdministrator 角色的系統管理員。 這些使用者可以啟用超級使用者功能,並將 (和自己) 的使用者指派為超級使用者,並可能解密貴組織加密的所有檔案。
若要查看哪些使用者和服務帳戶已個別指派為超級使用者,請使用 Get-AipServiceSuperUser Cmdlet。
若要查看是否已設定超級使用者群組,請使用 Get-AipServiceSuperUserGroup Cmdlet 和標準使用者管理工具來檢查哪些使用者是此群組的成員。
如同所有系統管理動作,會記錄啟用或停用超級功能,以及新增或移除超級使用者,並可以使用 Get-AipServiceAdminLog 命令來稽核。 例如,請參閱 超級使用者功能的稽核範例。
當超級使用者解密檔案時,會記錄此動作,並可透過 使用情況記錄來稽核。
注意事項
雖然記錄包含解密的詳細資料,包括解密檔案的使用者,但不會詳細說明使用者何時是超級使用者。
將記錄與先前列出的 Cmdlet 搭配使用,先收集您可以在記錄中識別的超級使用者清單。
如果您不需要日常服務的超級使用者功能,請只在需要時啟用此功能,然後使用 Disable-AipServiceSuperUserFeature Cmdlet 再次停用它。
超級使用者功能的稽核範例
下列記錄擷取顯示使用 Get-AipServiceAdminLog Cmdlet 的一些範例專案。
在此範例中,Contoso Ltd 的系統管理員會確認已停用超級使用者功能、將 Richard Simone 新增為超級使用者、檢查 Richard 是針對 Azure Rights Management 服務設定的唯一超級使用者,然後啟用超級使用者功能,讓 Richard 現在可以解密某些受現已離開公司的員工所保護的檔案。
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
超級使用者的指令碼選項
通常,獲指派 Azure Rights Management 超級使用者的人員必須從多個位置的多個檔案中移除加密。 雖然可以手動執行此工作,但使用 Set-FileLabel Cmdlet 編寫腳本) 更有效率 (而且通常更可靠。
您也可以使用此 Cmdlet 來套用未套用加密的新標籤,或移除套用加密的標籤。
如需這些 Cmdlet 的詳細資訊,請參閱 PurviewInformationProtection PowerShell 檔中的搭配 Microsoft Purview 資訊保護 用戶端使用 PowerShell。
注意事項
PurviewInformationProtection 模組不同於 AIPService PowerShell 模組,可管理 Microsoft Purview 資訊保護的 Azure Rights Management 服務。
從 PST 檔案中移除加密
若要從 PST 檔案移除加密,建議您使用 Microsoft Purview 的電子檔探索 來搜尋和擷取電子郵件中的加密電子郵件和加密附件。
超級使用者功能會自動與 Exchange Online 整合,讓 Microsoft Purview 入口網站中的電子檔探索可以在匯出之前搜尋加密的專案,或在匯出時解密加密的電子郵件。
如果您無法使用 Microsoft Purview 電子文件探索,您可能有另一個電子檔探索解決方案與 Azure Rights Management 服務整合,以類似地推理資料。
或者,如果您的電子檔探索解決方案無法自動讀取和解密受保護的內容,您仍然可以在多步驟程式中使用此解決方案,以及 Set-FileLabel Cmdlet:
將有問題的電子郵件從 Exchange Online 或 Exchange Server 匯出至 PST 檔案,或從使用者儲存電子郵件的工作站匯出。
將 PST 檔案匯入您的電子檔探索工具。 由於該工具無法讀取加密的內容,因此預計這些項目會產生錯誤。
從該工具無法打開的所有項目中,生成一個新的 PST 文件,這次僅包含加密項目。 第二個 PST 檔案可能會比原始 PST 檔案小得多。
在第二個 PST 檔案上執行 Set-FileLabel ,以解密這個小得多的檔案的內容。 從輸出中,將現在解密的 PST 檔案匯入您的探索工具。
如需跨信箱和 PST 檔案執行電子檔探索的詳細資訊和指引,請參閱下列部落格文章:Azure 資訊保護和電子檔探索程式。