Microsoft Purview Information Protectionからの Azure Rights Management サービスのスーパー ユーザー機能により、承認されたユーザーとサービスが、Organizationに対して Azure Rights Management が暗号化したデータを常に読み取り、検査できます。 必要に応じて、暗号化保護を削除または変更できます。
スーパー ユーザーは、organizationのテナントによって暗号化されたドキュメントと電子メールに対して、常に Rights Management フル コントロールの使用権限を持っています。 この機能は、"データに対する推論" と呼ばれることもあります。これは、organizationのデータの制御を維持する上で重要な要素です。 たとえば、次のいずれかのシナリオでこの機能を使用します。
従業員はorganizationを離れ、暗号化されたファイルを読み取る必要があります。
IT 管理者は、ファイル用に構成された現在の暗号化設定を削除し、新しい暗号化設定を適用する必要があります。
Exchange Serverは、検索操作のためにメールボックスのインデックスを作成する必要があります。
データ損失防止 (DLP) ソリューション、コンテンツ暗号化ゲートウェイ (CEG)、および既に暗号化されているファイルを検査する必要があるマルウェア対策製品用の既存の IT サービスがあります。
監査、法律、またはその他のコンプライアンス上の理由から、ファイルを一括暗号化解除する必要があります。
スーパー ユーザー機能の構成
既定では、スーパー ユーザー機能は有効ではなく、このロールにはユーザーが割り当てられません。 Exchange 用 Rights Management コネクタを構成する場合は自動的に有効になり、Microsoft 365 でExchange Online、Microsoft SharePoint Server、または SharePoint を実行する標準サービスには必要ありません。
スーパー ユーザー機能を手動で有効にする必要がある場合は、PowerShell コマンドレット Enable-AipServiceSuperUserFeature を使用し、必要に応じて Add-AipServiceSuperUser コマンドレットまたは Set-AipServiceSuperUserGroup コマンドレットを使用してユーザー (またはサービス アカウント) を割り当て、必要に応じてユーザー (または他のグループ) を 追加します。
スーパー ユーザーにグループを使用する方が管理は簡単ですが、パフォーマンス上の理由から、Azure Rights Management サービスによって グループ メンバーシップがキャッシュされます。 そのため、コンテンツをすぐに復号化するスーパー ユーザーに新しいユーザーを割り当てる必要がある場合は、Set-AipServiceSuperUserGroup を使用して構成した既存のグループにユーザーを追加するのではなく、Add-AipServiceSuperUser を使用してそのユーザーを追加します。
注:
Add-AipServiceSuperUser コマンドレットを使用してユーザーを追加する場合は、プライマリ メール アドレスまたはユーザー プリンシパル名もグループに追加する必要があります。 Emailエイリアスは評価されません。
Azure Rights Management 用の Windows PowerShell モジュールをまだインストールしていない場合は、「Azure Right Management サービスの AIPService PowerShell モジュールをインストールする」を参照してください。
スーパー ユーザー機能を有効にした場合や、スーパー ユーザーとしてユーザーを追加する場合は関係ありません。 たとえば、木曜日に機能を有効にし、金曜日にユーザーを追加した場合、そのユーザーは週の初めに保護されたコンテンツをすぐに開くことができます。
スーパー ユーザー機能のセキュリティに関するベスト プラクティス
テナントのグローバル管理者が割り当てられている管理者、または Add-AipServiceRoleBasedAdministrator コマンドレットを使用して GlobalAdministrator ロールが割り当てられている管理者を制限して監視します。 これらのユーザーは、スーパー ユーザー機能を有効にし、ユーザー (およびそれ自体) をスーパー ユーザーとして割り当てることができ、organizationで暗号化されたすべてのファイルの暗号化を解除する可能性があります。
スーパー ユーザーとして個別に割り当てられているユーザーとサービス アカウントを確認するには、 Get-AipServiceSuperUser コマンドレットを使用します。
スーパー ユーザー グループが構成されているかどうかを確認するには、Get-AipServiceSuperUserGroup コマンドレットと標準のユーザー管理ツールを使用して、このグループのメンバーであるユーザーをチェックします。
すべての管理アクションと同様に、スーパー機能の有効化または無効化、スーパー ユーザーの追加または削除はログに記録され、 Get-AipServiceAdminLog コマンドを使用して監査できます。 たとえば、「 スーパー ユーザー機能の監査の例」を参照してください。
スーパー ユーザーがファイルの暗号化を解除すると、このアクションがログに記録され、 使用状況ログで監査できます。
注:
ログには、ファイルの暗号化を解除したユーザーを含む暗号化解除に関する詳細が含まれますが、ユーザーがスーパー ユーザーである場合は詳細は示されません。
ログを前に示したコマンドレットと共に使用して、最初にログで識別できるスーパー ユーザーの一覧を収集します。
日常のサービスにスーパー ユーザー機能が必要ない場合は、必要な場合にのみ機能を有効にし、 Disable-AipServiceSuperUserFeature コマンドレットを使用してもう一度無効にします。
スーパー ユーザー機能の監査の例
次のログ抽出は、 Get-AipServiceAdminLog コマンドレットを使用したエントリの例を示しています。
この例では、Contoso Ltd の管理者は、スーパー ユーザー機能が無効になっていることを確認し、Richard Simone をスーパー ユーザーとして追加し、Richard が Azure Rights Management サービス用に構成された唯一のスーパー ユーザーであることを確認してから、スーパー ユーザー機能を有効にして、現在会社を退職した従業員によって保護されたファイルの暗号化を解除できるようになりました。
2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled
2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True
2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com
2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True
スーパー ユーザーのスクリプト オプション
多くの場合、Azure Rights Management のスーパー ユーザーが割り当てられているユーザーは、複数の場所にある複数のファイルから暗号化を削除する必要があります。 このタスクは手動で実行することもできますが、 Set-FileLabel コマンドレットを使用してスクリプトを作成する方が効率的 (多くの場合は信頼性が高くなります)。
このコマンドレットを使用して、暗号化を適用しない新しいラベルを適用したり、暗号化を適用したラベルを削除したりすることもできます。
これらのコマンドレットの詳細については、PurviewInformationProtection PowerShell ドキュメントの「Microsoft Purview Information Protection クライアントで PowerShell を使用する」を参照してください。
注:
PurviewInformationProtection モジュールとは異なり、Microsoft Purview Information Protectionの Azure Rights Management サービスを管理する AIPService PowerShell モジュールを補完します。
PST ファイルからの暗号化の削除
PST ファイルから暗号化を削除するには、 Microsoft Purview から電子情報開示 を使用して、メール内の暗号化されたメールと暗号化された添付ファイルを検索して抽出することをお勧めします。
スーパー ユーザー機能はExchange Onlineと自動的に統合されるため、Microsoft Purview ポータルの電子情報開示は、エクスポート前に暗号化されたアイテムを検索したり、エクスポート時に暗号化された電子メールを暗号化解除したりできます。
Microsoft Purview eDiscoveryを使用できない場合は、データに対して同様の理由で Azure Rights Management サービスと統合される別の電子情報開示ソリューションがある可能性があります。
または、電子情報開示ソリューションが保護されたコンテンツを自動的に読み取って暗号化解除できない場合でも、 Set-FileLabel コマンドレットと共にマルチステップ プロセスでこのソリューションを使用できます。
Exchange OnlineまたはExchange Server、またはユーザーがメールを保存したワークステーションから、問題のメールを PST ファイルにエクスポートします。
PST ファイルを電子情報開示ツールにインポートします。 このツールでは暗号化されたコンテンツを読み取ることができないため、これらの項目でエラーが発生することを想定しています。
ツールが開けなかったすべての項目から、今度は暗号化された項目だけを含む新しい PST ファイルを生成します。 この 2 番目の PST ファイルは、元の PST ファイルよりもはるかに小さい可能性があります。
この 2 番目の PST ファイルで Set-FileLabel を実行して、このはるかに小さいファイルの内容を復号化します。 出力から、復号化された PST ファイルを検出ツールにインポートします。
メールボックスと PST ファイル間で電子情報開示を実行するための詳細な情報とガイダンスについては、次のブログ投稿「Azure Information Protection と電子情報開示プロセス」を参照してください。