Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Microsoft Purview Role Assignment Migrator ist eine Microsoft-Erstanbieter-Unternehmensanwendung in Microsoft Entra ID, die die Hintergrundsynchronisierung von Microsoft Purview-Rollenzuweisungen zu entsprechenden Entra Rollen ausführt. Microsoft 365-Dienste verwenden diese Entra Rollen, um zu überprüfen, ob der Administrator über die richtige Berechtigungsstufe verfügt, bevor zeitintensive Microsoft Purview-Vorgänge wie Inhaltssuche und -export fortgesetzt werden können.
Rollenzuordnung
Die folgende Tabelle zeigt, welche Purview-Rollen jeder der folgenden Entra Rollen zugeordnet sind. Diese Entra Rollen gewähren nur die Möglichkeit, Purview-Vorgänge auszuführen, und keine anderen Vorgänge außerhalb von Purview werden gewährt.
| Purview-Rollen | Zugeordnete Entra Rolle | Beschreibung |
|---|---|---|
| Insider-Risikomanagement-Analyse Untersuchung des Insider-Risikomanagements Compliance-Suche Exportieren privacy management Admin Analyse der Datenschutzverwaltung Untersuchung des Datenschutzmanagements Permanenter Beitrag zum Datenschutzmanagement Temporärer Beitrag zur Datenschutzverwaltung Privacy Management Viewer Prüfer für Die Untersuchung der Datensicherheit |
Inhaltsleser für Purview-Workloads | Ermöglicht Microsoft Purview-Vorgängen das Lesen von Inhalten aus Microsoft 365-Diensten (z. B. Lesen einer Datei in SharePoint). |
| Hold Untersuchung des Datenschutzmanagements Untersuchungsuntersuchung zur Datensicherheit |
Inhaltswriter für Purview-Workloads | Ermöglicht Microsoft Purview-Vorgängen das Lesen und Schreiben von Inhalten in Microsoft 365-Diensten (z. B. Speichern von E-Mail-Elementen in Exchange). |
| Suchen und Löschen Admin zur Untersuchung der Datensicherheit Untersuchungsanalyst für Datensicherheit |
Inhaltsadministrator für Purview-Workloads | Ermöglicht Microsoft Purview-Vorgängen das Lesen, Schreiben und Löschen von Inhalten in Microsoft 365-Diensten (z. B. Löschen von Nachrichten in Microsoft Teams). |
Wenn ein Administrator mehrere Purview-Rollen besitzt, die verschiedenen Entra Rollen zugeordnet sind, erhält er die höchste Berechtigung Entra Rolle. Die Rangfolge lautet: Administrator > Writer > Reader.
Hinweis
Der Purview Role Assignment Migrator verwaltet die Rollen Purview Workload Content Reader, Purview Workload Content Writer und Purview Workload Content Administrator Entra, und nur die aufgeführten Purview-Rollen werden mit Entra synchronisiert. Weisen Sie die Entra Rollen nicht im Entra-Portal zu. Diese Rollen werden im Microsoft Purview-Portal nicht wie auf der Einstellungsseite angezeigt.
Synchronisierungsüberwachungsprotokolle
Der Purview-Rollenzuweisungs-Migrator funktioniert in zwei Modi:
- Erste Massensynchronisierung: Wenn der Purview-Rollenzuweisungs-Migrator zum ersten Mal für Ihren Mandanten aktiviert wird, synchronisiert er alle vorhandenen Purview-Rollenzuweisungen in einem einzigen Durchgang mit Microsoft Entra. Dieser Prozess generiert einen Aktivitätsschub in Ihren Microsoft Entra Überwachungsprotokollen.
- Kontinuierliche Synchronisierung: Alle nachfolgenden Änderungen an Purview-Rollenmitgliedschaften lösen die Synchronisierung mit Microsoft Entra aus.
Wichtig
Lassen Sie die Unternehmensanwendung Purview Role Assignment Migrator in Microsoft Entra ID aktiviert. Die Anwendungs-ID lautet 7fe3d988-4f3b-4f33-83bd-1fb921a35ed2. Durch das Deaktivieren dieser App wird die Synchronisierung beendet. Neue Purview-Rollenzuweisungen werden nicht an Microsoft Entra weitergegeben, und bei zeitintensiven Purview-Vorgängen tritt bei Autorisierungsprüfungen zur Laufzeit ein Fehler auf.
Die Synchronisierungsaktivität der Purview-Rollenzuweisung wird in Microsoft Entra Überwachungsprotokollen mit dem Anzeigenamen PurviewRoleAssignmentMigrator angezeigt. Im Feld Neuer Wert für jeden Protokolleintrag wird die zugewiesene Microsoft Entra Rolle angezeigt.
Es werden zwei unterschiedliche Aktivitätsmuster angezeigt:
| Aktivitätsmuster | Eintritt | Laufwerk |
|---|---|---|
| Massensynchronisierung | Einmal, wenn der Purview-Rollenzuweisungs-Migrator zum ersten Mal für Ihren Mandanten aktiviert wird | Hoch – alle vorhandenen Purview-Rollenzuweisungen werden gleichzeitig synchronisiert. |
| Kontinuierliche Synchronisierung | Fortlaufend, nach jeder Änderung an einer Purview-Rollenmitgliedschaft | Niedrig – proportional zur Rate der Purview-Rollenänderungen in Ihrem Mandanten |
Wenn in Ihren Microsoft Entra Überwachungsprotokollen eine plötzliche Spitze von PurviewRoleAssignmentMigrator Einträgen angezeigt wird, stammt diese Spitze in Überwachungsprotokolleinträgen aus der ersten Massensynchronisierung und ist kein Anzeichen für nicht autorisierte Aktivitäten.
Wichtig
Weisen Sie diesen Microsoft Entra Rollen benutzer nicht direkt in Microsoft Entra ID zu. Der Purview-Rollenzuweisungs-Migrator verwaltet diese Zuweisungen ausschließlich über Purview und überschreibt bei der nächsten Synchronisierung alle manuellen Zuweisungen in Microsoft Entra.
Just-in-Time-Zugriff
Standardmäßig synchronisiert purview Role Assignment Migrator die Rollenzuweisungen mit dem Microsoft Entra Rollen als aktive (permanente) Zuweisungen. Microsoft Entra Privileged Identity Management (PIM) für Gruppen ermöglicht berechtigten Benutzern das Aktivieren der Just-in-Time-Mitgliedschaft in Gruppen. Wenn Sie diese Microsoft Entra Sicherheitsgruppen mit berechtigten Zuweisungen zu Purview-Rollen hinzufügen, synchronisiert der Purview-Rollenzuweisungs-Migrator dieselbe Sicherheitsgruppenmitgliedschaft mit den entsprechenden Microsoft Entra Rollen. Dieser Prozess ermöglicht Es Organisationen, die Rollenzuweisungen in Microsoft Entra erfordern, dasselbe Modell für Microsoft Purview anzuwenden und die Rollenaktivierung zu erzwingen.
Wichtig
Größe Ihres Just-in-Time-Mitgliedschaftsaktivierungsfensters in der Sicherheitsgruppe so hoch, dass es die gesamte Dauer Ihrer Vorgänge abdeckt. Wenn eine Aktivierung abläuft, während ein zeitintensiver Vorgang noch ausgeführt wird, schlägt der Vorgang möglicherweise bei der nächsten Laufzeitautorisierungsprüfung fehl. Um beispielsweise zu ermitteln, wie lange Ihre eDiscovery-Vorgänge in der Regel dauern, verwenden Sie den Prozess-Manager in eDiscovery , und legen Sie die Aktivierungsdauer entsprechend fest.