設定 Azure 資訊保護和探索服務或資料復原的進階使用者
Azure Rights Management 服務從 Azure 資訊保護的進階使用者功能可確保獲得授權的人員和服務一律可以讀取及檢查 Azure Rights Management 為貴組織保護的資料。 如有必要,就可以移除或變更保護。
超級使用者一律具有 Azure 資訊保護 租使用者所保護的檔和電子郵件的 Rights Management 完全控制 許可權 。 這項功能有時稱為「對資料進行推理」,是維護組織資料控制的關鍵元素。 例如,您會針對下列任何案例使用這項功能:
員工離開組織,您必須讀取其保護的檔案。
IT 系統管理員必須移除針對檔案設定的目前保護原則,並套用新的保護原則。
Exchange Server 需要為信箱編制索引,才能進行搜尋作業。
您現有的 IT 服務可用於資料外泄防護 (DLP) 解決方案、內容加密閘道 (CEG) 和需要檢查已保護的檔案的反惡意程式碼產品。
您必須大量解密檔案,以進行稽核、法律或其他合規性原因。
進階使用者功能的設定
根據預設,不會啟用進階使用者功能,而且不會指派任何使用者此角色。 如果您為 Exchange 設定 Rights Management 連接器,且執行 Microsoft 365 中的 Exchange Online、Microsoft Sharepoint Server 或 SharePoint 的標準服務則不需要自動啟用它。
如果您需要手動啟用進階使用者功能,請使用 PowerShell Cmdlet Enable-AipServiceSuperUserFeature ,然後使用 Add-AipServiceSuperUser Cmdlet 或 Set-AipServiceSuperUserGroup Cmdlet 視需要 指派使用者(或服務帳戶),並將使用者(或其他群組)視需要新增至此群組。
雖然針對超級使用者使用群組更容易管理,但請注意,基於效能考慮,Azure Rights Management 會快取群組成員資格 。 因此,如果您需要將新使用者指派為超級使用者以立即解密內容,請使用 Add-AipServiceSuperUser 新增該使用者,而不是使用 Set-AipServiceSuperUserGroup 將使用者新增至您已設定的現有群組。
注意
使用 Add-AipServiceSuperUser Cmdlet 新增使用者時,您也必須將主要郵寄地址或使用者主體名稱新增至群組。 不會評估電子郵件別名。
如果您尚未安裝適用于 Azure Rights Management 的 Windows PowerShell 模組,請參閱 安裝 AIPService PowerShell 模組 。
當您啟用進階使用者功能或將使用者新增為進階使用者時,這並不重要。 例如,如果您在星期四啟用此功能,然後在星期五新增使用者,該使用者可以立即開啟在周初受到保護的內容。
進階使用者功能的安全性最佳做法
使用 Add-AipServiceRoleBased管理員istrator Cmdlet,限制及監視已為 Microsoft 365 或 Azure 資訊保護 租使用者指派全域系統管理員的系統管理員,或指派 Global管理員istrator 角色的系統管理員。 這些使用者可以啟用進階使用者功能,並將使用者(以及本身)指派為進階使用者,並可能解密組織保護的所有檔案。
若要查看哪些使用者和服務帳戶會個別指派為進階使用者,請使用 Get-AipServiceSuperUser Cmdlet。
若要查看是否已設定進階使用者群組,請使用 Get-AipServiceSuperUserGroup Cmdlet 和您的標準使用者管理工具來檢查哪些使用者是此群組的成員。
如同所有系統管理動作,啟用或停用進階功能,以及新增或移除進階使用者都會記錄,而且可以使用 Get-AipService管理員Log 命令來稽 核。 例如,請參閱 進階使用者功能的 範例稽核。
當進階使用者解密檔案時,系統會記錄此動作,並可透過使用記錄 進行 稽核。
注意
雖然記錄包含解密的詳細資料,包括解密檔案的使用者,但當使用者是進階使用者時,不會注意。 使用記錄與上述 Cmdlet 一起使用,先收集您可以在記錄中識別的進階使用者清單。
如果您不需要日常服務的進階使用者功能,請只在您需要此功能時啟用此功能,然後使用 Disable-AipServiceSuperUserFeature Cmdlet 再次 停用此功能。
進階使用者功能的範例稽核
下列記錄檔擷取顯示使用 Get-AipService管理員Log Cmdlet 的一些範例專案。
在此範例中,Contoso Ltd 的系統管理員會確認進階使用者功能已停用、將 Richard Simone 新增為進階使用者、檢查 Richard 是否是唯一針對 Azure Rights Management 服務設定的進階使用者,然後啟用進階使用者功能,讓 Richard 現在可以解密目前已離開公司的員工所保護的一些檔案。
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
進階使用者的腳本選項
通常,獲指派 Azure Rights Management 進階使用者的人員必須從多個位置的多個檔案移除保護。 雖然可以手動執行這項操作,但使用 Set-AIPFileLabel Cmdlet 撰寫腳本 會更有效率(且更可靠)。
如果您使用分類和保護,也可以使用 Set-AIPFileLabel 來套用未套用保護的新標籤,或移除套用保護的標籤。
如需這些 Cmdlet 的詳細資訊,請參閱 Azure 資訊保護 用戶端系統管理員指南中的搭配 Azure 資訊保護 用戶端 使用 PowerShell。
注意
AzureInformationProtection 模組與 AIPService PowerShell 模組 不同,可管理 Azure 資訊保護的 Azure Rights Management 服務。
移除 PST 檔案的保護
若要移除 PST 檔案的保護,建議您使用 Microsoft Purview 中的電子檔探索來搜尋及擷取受保護的電子郵件和電子郵件中的受保護附件。
進階使用者能力會自動與 Exchange Online 整合,讓Microsoft Purview 合規性入口網站中的電子檔探索可以在匯出之前搜尋加密的專案,或在匯出時解密加密的電子郵件。
如果您無法使用Microsoft Purview 電子檔探索,則可能有另一個與 Azure Rights Management 服務整合的電子檔探索解決方案,而資料的原因類似。
或者,如果您的電子檔探索解決方案無法自動讀取和解密受保護的內容,您仍然可以搭配 Set-AIPFileLabel Cmdlet 在多步驟程式中使用此解決方案:
從 Exchange Online 或 Exchange Server,或從使用者儲存其電子郵件的工作站,將有問題的電子郵件匯出至 PST 檔案。
將 PST 檔案匯入您的電子檔探索工具。 由於此工具無法讀取受保護的內容,因此預期這些專案會產生錯誤。
從工具無法開啟的所有專案,產生一個新的 PST 檔案,這次只包含受保護的專案。 第二個 PST 檔案可能會比原始 PST 檔案小得多。
在第二個 PST 檔案上執行 Set-AIPFileLabel ,以解密這個較小檔案的內容。 從輸出中,將現在解密的 PST 檔案匯入您的探索工具。
如需跨信箱和 PST 檔案執行電子檔探索的詳細資訊和指引,請參閱下列部落格文章: Azure 資訊保護和電子檔探索程式 。