Verwaltungseinheiten

Mit Verwaltungseinheiten in Microsoft Entra ID können Sie Administratorberechtigungen auf bestimmte Teile Ihrer Microsoft Entra organization beschränken. Sie erstellen, löschen und bearbeiten Verwaltungseinheiten in Microsoft Entra. In Microsoft Entra verwalten Sie die Benutzer oder Gruppen, die Mitglieder der Verwaltungseinheit sind. Mit diesem Feature können Sie Ihre organization in kleinere Einheiten unterteilen und bestimmte Administratoren zuweisen, um nur die Mitglieder innerhalb dieser Einheiten zu verwalten. Mit Microsoft Purview-Rollengruppen können Sie administratoren bestimmten Verwaltungseinheiten zuweisen. Microsoft Purview-Lösungen, die eine Verwaltungseinheit unterstützen, schränken dann die Sichtbarkeits- und Verwaltungsberechtigungen auf die Mitglieder der Einheit ein.

Sie können beispielsweise Verwaltungseinheiten verwenden, um Berechtigungen an Administratoren für jede geografische Region in einem großen multinationalen organization zu delegieren oder um den Administratorzugriff nach Abteilung innerhalb Ihres organization zu gruppieren. Sie können regions- oder abteilungsspezifische Richtlinien erstellen oder Benutzeraktivitäten als Ergebnis dieser Richtlinien und der Zuweisung von Verwaltungseinheiten anzeigen. Sie können auch Verwaltungseinheiten als anfänglichen Bereich für eine Richtlinie verwenden, wobei die Auswahl von Benutzern, die für die Richtlinie berechtigt sind, von der Mitgliedschaft in Verwaltungseinheiten abhängt.

Wenn Sie adaptive Bereiche für Konformitätsrichtlinien verwenden, finden Sie weitere Informationen unter Funktionsweise adaptiver Bereiche mit Microsoft Entra Verwaltungseinheiten.

Unterstützung von Verwaltungseinheiten in Microsoft Purview

Die folgenden Microsoft Purview-Compliancelösungen unterstützen Verwaltungseinheiten:

Lösung	Konfigurationsunterstützung
Datenlebenszyklusverwaltung	Rollengruppen, Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungsrichtlinien
Verhinderung von Datenverlust	Rollengruppen und DLP-Richtlinien
Kommunikationscompliance	Rollengruppen und Richtlinien
Insider-Risikomanagement	Rollengruppen und Richtlinien
Datensatzverwaltung	Rollengruppen, Aufbewahrungsrichtlinien, Aufbewahrungsbezeichnungsrichtlinien und adaptive Bereiche
Vertraulichkeitsbezeichnung	Rollengruppen, Vertraulichkeitsbezeichnungsrichtlinien und Richtlinien für automatische Bezeichnungen

Die Konfiguration für Verwaltungseinheiten wird automatisch auf die folgenden Features heruntergefahren:

• Warnungen:
  • DLP-Warnungen sind nur für Benutzer in zugewiesenen Verwaltungseinheiten sichtbar.
• Aktivitäts-Explorer:
  • Aktivitätsereignisse sind nur für Benutzer in zugewiesenen Verwaltungseinheiten sichtbar.
• Adaptive Bereiche:
  • Eingeschränkte Administratoren können adaptive Bereiche nur für Benutzer in den zugewiesenen Verwaltungseinheiten dieser Administratoren auswählen, erstellen, bearbeiten und anzeigen.
  • Wenn ein eingeschränkter Administrator eine Richtlinie konfiguriert, die adaptive Bereiche verwendet, kann dieser Administrator nur adaptive Bereiche auswählen, die seinen Verwaltungseinheiten zugewiesen sind.
• Überwachungsprotokoll:
  • Suchzugriff
• Kommunikationscompliance:
  • Richtliniensuche und -konfiguration: Eingeschränkte Administratoren können Richtlinien nur für Benutzer erstellen oder verwalten, die ihren Verwaltungseinheiten zugewiesen sind.
  • Warnungen und Richtliniengleiche: Eingeschränkte Administratoren können Benutzeraktivitäten nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten untersuchen.
• Datenlebenszyklusverwaltung und Datensatzverwaltung:
  • Richtliniensuche: Eingeschränkte Administratoren sehen nur Richtlinien von Benutzern innerhalb ihrer zugewiesenen Verwaltungseinheiten.
  • Löschungsüberprüfung und -überprüfung: Eingeschränkte Administratoren können Prüfer nur innerhalb ihrer zugewiesenen Verwaltungseinheiten hinzufügen und Löschungsüberprüfungen und Elemente anzeigen, die nur von Benutzern innerhalb ihrer zugewiesenen Verwaltungseinheiten verworfen wurden.
• Insider-Risikomanagement:
  • Richtliniensuche und -konfiguration: Eingeschränkte Administratoren können Richtlinien nur für Benutzer erstellen oder verwalten, die ihren Verwaltungseinheiten zugewiesen sind.
  • Benutzeraktivitäten: Eingeschränkte Administratoren können mit der Bewertung von Aktivitäten beginnen oder Benutzeraktivitäten nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten untersuchen.
  • Warnungen und Fälle: Eingeschränkte Administratoren können Warnungen undFälle nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten anzeigen und untersuchen.

Hinweis

Microsoft Purview Data Loss Prevention und Insider-Risikomanagement werden Warnungen in Microsoft Defender XDR angezeigt. Microsoft Defender XDR unterstützt bis zu 100 Verwaltungseinheiten.

Berechtigungen für Verwaltungseinheiten

Zum Zuweisen eines Rollengruppenmitglieds zu einer Verwaltungseinheit muss Administratoren die Rollenverwaltungsrolle zugewiesen werden. Weitere Informationen zu Microsoft Purview-Rollengruppen und -Rollen finden Sie unter Rollengruppen in Microsoft Purview.

Sie können Rollengruppenmitglieder administrativen Einheiten innerhalb der folgenden integrierten Rollengruppen zuweisen:

• Kommunikationscompliance
• Kommunikationscompliance-Administratoren
• Communication Compliance Analysts
• Kommunikationscompliance-Prüfer
• Complianceadministrator
• Compliancedatenadministratoren
• Globaler Leser
• Informationsschutz
• Information Protection-Administratoren
• Information Protection-Analyst
• Information Protection-Ermittler
• Information Protection-Leser
• Insider-Risikomanagement
• Insider-Risikomanagement-Administratoren
• Insider-Risikomanagement-Analysten.
• Insider-Risikomanagement-Prüfer
• Genehmigende Personen der Insider-Risikomanagementsitzung
• Genehmigende Personen des Insider-Risikomanagements
• Organisationsverwaltung
• Datensatzverwaltung
• Sicherheitsadministrator
• Sicherheitsoperator
• Sicherheitsleseberechtigter

Wenn Sie Rollengruppen zuweisen, können Sie einzelne Mitglieder oder Gruppen auswählen und dann die Option Administratoreinheiten zuweisen auswählen, um Verwaltungseinheiten auszuwählen, die in Microsoft Entra ID definiert wurden:

Wichtig

Zuweisen von Administratoreinheiten ist immer verfügbar, wenn Sie benutzerdefinierte Rollengruppen erstellt haben. Sie können Verwaltungseinheiten für jede benutzerdefinierte Rollengruppe zuweisen.

Diese Administratoren, die als eingeschränkte Administratoren bezeichnet werden, können jetzt eine oder mehrere ihrer zugewiesenen Verwaltungseinheiten auswählen, um automatisch den anfänglichen Bereich der Richtlinien zu definieren, die sie erstellen oder bearbeiten. Nur wenn Administratoren keine Verwaltungseinheiten zugewiesen sind (uneingeschränkte Administratoren), können sie Richtlinien dem gesamten Verzeichnis zuweisen, ohne einzelne Verwaltungseinheiten auswählen zu müssen.

Wichtig

Nachdem Sie Den Mitgliedern der Rollengruppen Verwaltungseinheiten zugewiesen haben, können diese eingeschränkten Administratoren vorhandene Richtlinien nicht mehr anzeigen und bearbeiten. Es gibt jedoch keine betrieblichen Änderungen an diesen Richtlinien, und sie bleiben sichtbar und können von uneingeschränkten Administratoren bearbeitet werden.

Eingeschränkte Administratoren können auch keine Verlaufsdaten mithilfe von Features anzeigen, die Verwaltungseinheiten unterstützen, z. B. Aktivitäts-Explorer und Warnungen. Sie bleiben für uneingeschränkte Administratoren sichtbar. In Zukunft können eingeschränkte Administratoren diese zugehörigen Daten nur für ihre zugewiesenen Verwaltungseinheiten sehen.

Voraussetzungen für Verwaltungseinheiten

Stellen Sie vor dem Konfigurieren von Verwaltungseinheiten für Microsoft Purview-Compliancelösungen sicher, dass Ihre organization und Benutzer die folgenden Abonnement- und Lizenzierungsanforderungen erfüllen:

• Microsoft Entra ID P1- oder P2-Lizenzierung

• Microsoft Purview-Lizenzierung:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance oder F5 Security & Compliance
  • Microsoft 365 E5/A5/G5/F5 Information Protection & Governance
  • Microsoft 365 E5/A5/F5 Insider-Risikomanagement

Konfigurieren und Verwenden von Verwaltungseinheiten

Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten mit Microsoft Purview-Compliancelösungen zu konfigurieren und zu verwenden:

1. Erstellen Sie Verwaltungseinheiten, um den Bereich der Rollenberechtigungen in Microsoft Entra ID einzuschränken.

2. Fügen Sie Benutzer und Verteilergruppen zu Verwaltungseinheiten hinzu.

   Wichtig

   Mitglieder dynamischer Verteilergruppen werden nicht automatisch Mitglieder einer Verwaltungseinheit.

3. Wenn Sie eine geografische Region oder abteilungsbasierte Verwaltungseinheiten erstellen, konfigurieren Sie Verwaltungseinheiten mit dynamischen Mitgliedschaftsregeln.

   Hinweis

   Sie können einer Verwaltungseinheit, die dynamische Mitgliedschaftsregeln verwendet, keine Gruppen hinzufügen. Erstellen Sie bei Bedarf zwei Verwaltungseinheiten, eine für Benutzer und eine für Gruppen.

4. Verwenden Sie eine der Rollengruppen aus den Microsoft Purview-Compliancelösungen, die Verwaltungseinheiten unterstützen, um Mitgliedern Verwaltungseinheiten zuzuweisen.

Wenn diese eingeschränkten Administratoren Jetzt Richtlinien erstellen oder bearbeiten, die Verwaltungseinheiten unterstützen, können sie Verwaltungseinheiten auswählen, sodass nur die Benutzer in diesen Verwaltungseinheiten für die Richtlinie berechtigt sind:

• Uneingeschränkte Administratoren müssen keine Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen. Sie können die Standardeinstellung des gesamten Verzeichnisses beibehalten oder eine oder mehrere Verwaltungseinheiten auswählen.
• Eingeschränkte Administratoren müssen jetzt eine oder mehrere Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen.

Weiter in der Richtlinienkonfiguration müssen Administratoren, die Verwaltungseinheiten ausgewählt haben, dann einzelne Benutzer und Gruppen (sofern unterstützt) aus den Verwaltungseinheiten einschließen oder ausschließen, die sie zuvor für die Richtlinie ausgewählt haben.

Informationen zu Verwaltungseinheiten, die für jede unterstützte Lösung spezifisch sind, finden Sie in den folgenden Abschnitten:

• Für die Überwachung: Eingrenzen des Zugriffs auf Überwachungsprotokolle mithilfe von Verwaltungseinheiten

• Kommunikationscompliance: Erwägen Sie Verwaltungseinheiten, wenn Sie Benutzerberechtigungen auf eine Region oder Abteilung festlegen möchten.

• Für die Datenlebenszyklusverwaltung: Unterstützung für Verwaltungseinheiten

• Für DLP: Richtlinien für eingeschränkte Verwaltungseinheiten

• Für insider-Risikomanagement: Erwägen Sie Verwaltungseinheiten, wenn Sie Benutzerberechtigungen auf eine Region oder Abteilung festlegen möchten.

• Für die Datensatzverwaltung: Unterstützung für Verwaltungseinheiten

• Für Vertraulichkeitsbezeichnungen: Unterstützung für Verwaltungseinheiten

Unterstützung von Verwaltungseinheiten für SharePoint-Websites (Vorschau)

Microsoft Purview unterstützt jetzt das Hinzufügen von SharePoint-Websites zu Verwaltungseinheiten. Auf diese Weise können Sie die Sichtbarkeits- und Verwaltungssteuerung von Microsoft Purview-Administratoren im Microsoft Purview-Portal anpassen. Diese Unterstützung ist nur für Richtlinien zur automatischen Bezeichnung von Microsoft Information Protection und Richtlinien zur Verhinderung von Datenverlust von Microsoft verfügbar, die Anwendungen auf SharePoint-Websites unterstützen.

Hinweis

Sie verwalten weiterhin die Erstellung, Löschung und Microsoft Entra Ressourcenmitgliedschaft in Microsoft Entra ID. Jede erstellte Verwaltungseinheit wird in der Liste für Microsoft Purview angezeigt.

Es kann bis zu fünf Tage dauern, bis eine Abfrage vollständig ausgefüllt ist. Änderungen erfolgen nicht sofort. Warten Sie, bis diese Abfrage vollständig ausgefüllt ist, bevor Sie einer Verwaltungseinheit eine Richtlinie zuordnen.

Konfigurieren von Verwaltungseinheiten für SharePoint-Websites

Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten zu konfigurieren und zu verwenden. Diese Schritte führen Sie durch die Erstellung von Verwaltungseinheiten, das Zuordnen von Ressourcen zu dieser Verwaltungseinheit und das Zuweisen von Mitgliedern der Microsoft Purview-Compliancerollengruppe zu Verwaltungseinheiten. Nachdem Sie Verwaltungseinheiten erstellt haben, führen Sie die folgenden Schritte aus, um sharePoint-Websites der Verwaltungseinheit zuzuordnen.

Microsoft Purview-Kunden, die auf dieses Feature berechtigt sind, können jetzt unter den Einstellungen für Rollen und Bereiche in den Microsoft Purview-Portaleinstellungen auf Verwaltungseinheiten zugreifen. Wählen Sie unter Administrative Einheiten eine Verwaltungseinheit aus, und bearbeiten Sie sie, um sharePoint-Websites der Verwaltungseinheit zuzuordnen.

Um die folgenden Schritte zum Konfigurieren von SharePoint-Websites in Verwaltungseinheiten für die Verwendung in Microsoft Purview auszuführen, muss Ihnen die Rolle administrator unit extension manager zugewiesen sein. Diese Rolle wird von einem Administrator mit Rollenverwaltungsrechten in Microsoft Purview zugewiesen, entweder mithilfe einer integrierten Rollengruppe mit dieser Rolle oder mithilfe einer benutzerdefinierten Rollengruppe.

1. Wechseln Sie zum Microsoft Purview-Portal.
2. Wählen Sie se.ttings und dann Rollen und Bereiche aus.
3. Wählen Sie Verwaltungseinheiten aus.
4. Auswählen einer vorhandenen Verwaltungseinheit aus der Liste
5. Wählen Sie Bearbeiten aus.
6. Erstellen Sie eine Abfrage, um SharePoint-Websites der Verwaltungseinheit zuzuordnen.
7. Verwenden Sie eine der Rollengruppen aus den Microsoft Purview-Compliancelösungen, die Verwaltungseinheiten unterstützen, um Mitgliedern Verwaltungseinheiten zuzuweisen.

Abfragen zum Zuordnen von SharePoint-Websites zu Verwaltungseinheiten unterstützen Websiteeigenschaften für Website-URL, Websitename und RefinableString00-RefinableString99. Diese Abfragen gelten sowohl für SharePoint-Websites als auch für OneDrive-Konten, mit Ausnahme freigegebener SharePoint-Kanalwebsites. Die Eigenschaftennamen für Websites basieren auf verwalteten SharePoint-Websiteeigenschaften. Weitere Informationen zum Zuordnen von benutzerdefinierten Eigenschaften zu verwalteten Eigenschaften (RefinableString00-RefinableString99) finden Sie unter Verwenden von benutzerdefinierten SharePoint-Websiteeigenschaften zum Anwenden der Microsoft 365-Aufbewahrung mit adaptiven Richtlinienbereichen.

Testen Ihrer Abfrage

Führen Sie die folgenden Schritte aus, um Ihre Abfrage mithilfe der SharePoint-Suche zu testen:

1. Navigieren Sie mithilfe eines Kontos mit der SharePoint-Administratorrolle zu https://<your_tenant>.sharepoint.com/search.
2. Verwenden Sie die Suchleiste, um die Abfrage einzugeben, die in der Abfragezusammenfassung für Ihre SharePoint-Websites in der Verwaltungseinheit angezeigt wird.
3. Stellen Sie sicher, dass die Suchergebnisse mit den erwarteten Website-URLs für Ihre Verwaltungseinheit übereinstimmen. Wenn dies nicht der Fall ist, überprüfen Sie Ihre Abfrage und die URLs mit dem zuständigen Administrator für SharePoint.

Wenn eingeschränkte Administratoren Richtlinien erstellen oder bearbeiten, die Verwaltungseinheiten unterstützen, können sie nun Verwaltungseinheiten auswählen, sodass nur die SharePoint-Websites, -Benutzer oder -Gruppen in diesen Verwaltungseinheiten für die Richtlinie berechtigt sind:

• Uneingeschränkte Administratoren müssen keine Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen. Sie können die Standardeinstellung des gesamten Verzeichnisses beibehalten oder eine oder mehrere Verwaltungseinheiten auswählen.
• Eingeschränkte Administratoren müssen jetzt eine oder mehrere Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen.

Administratoren, die Verwaltungseinheiten auswählen, können einzelne SharePoint-Websites nicht einschließen oder ausschließen. SharePoint-Websites unterstützen Anwendungen für alle Websites, die der Verwaltungseinheit zugeordnet sind.

Wichtig

Sie können eine SharePoint-Abfrage für eine Verwaltungseinheit bearbeiten, um keine Websitemitgliedschaften zu erhalten, wenn Sie zugeordnete Websites aus einer Verwaltungseinheit entfernen möchten. Sie können festlegen, dass die Abfrage keine Websites enthält, um die Websitemitgliedschaft zu löschen.

Anzeigen von Details zur SharePoint-Websitemitgliedschaft in Der Verwaltungseinheit in Purview

Nachdem Sie eine SharePoint-Abfrage für eine Verwaltungseinheit in Microsoft Purview erstellt haben, können Sie die Websitemitglieder der Verwaltungseinheit anzeigen. Die Benutzer- und Gruppenmitgliedschaft einer Verwaltungseinheit ist nur im Microsoft Entra ID-Portal sichtbar.

Führen Sie die folgenden Schritte aus, um auf die Seite mit den Mitgliedsdetails zuzugreifen, um SharePoint-Websitemitglieder einer Verwaltungseinheit in Microsoft Purview anzuzeigen:

1. Navigieren Sie zum Microsoft Purview-Portal unter purview.microsoft.com
2. Wählen Sie Einstellungen und dann Rollen und Bereiche aus.
3. Wählen Sie Verwaltungseinheiten aus.
4. Wählen Sie eine vorhandene Verwaltungseinheit aus der Liste aus.
5. Mitgliederdetails auswählen
6. Eine Liste der SharePoint-Websitemitglieder wird angezeigt.
7. In der Spalte Status in der Liste wird für Websites hinzugefügt angezeigt, die der Verwaltungseinheit hinzugefügt wurden, oder Entfernt , wenn sich die Website zuvor in der Verwaltungseinheit befand, aber einmal entfernt wurde, keine Übereinstimmung mehr für die SharePoint-Abfrage.
8. Verwenden Sie die Export-Funktion , um eine Liste der angezeigten Websites in eine CSV-Datei herunterzuladen.

Hinweis

Es kann bis zu 5 Tage dauern, bis die Liste der Mitgliedsdetails hinzugefügte oder entfernte Websites aktualisiert wurde.

Informationen zu Verwaltungseinheiten und der SharePoint-Website (Vorschau) in Microsoft Purview-Lösungen finden Sie unter:

• DLP: Richtlinien für eingeschränkte Verwaltungseinheiten
• Vertraulichkeitsbezeichnungen: Unterstützung für Verwaltungseinheiten