Verwaltungseinheiten
Mit Verwaltungseinheiten können Sie Ihre organization in kleinere Einheiten unterteilen und bestimmte Administratoren zuweisen, die nur die Mitglieder dieser Einheiten verwalten können. Mit Microsoft Purview-Rollengruppen können Sie administratoren bestimmten Verwaltungseinheiten zuweisen. Microsoft Purview-Lösungen, die eine Verwaltungseinheit unterstützen, schränken dann die Sichtbarkeits- und Verwaltungsberechtigungen auf die Mitglieder der Einheit ein.
Sie können beispielsweise Verwaltungseinheiten verwenden, um Berechtigungen an Administratoren für jede geografische Region in einem großen multinationalen organization zu delegieren oder um den Administratorzugriff nach Abteilung innerhalb Ihres organization zu gruppieren. Sie können regions- oder abteilungsspezifische Richtlinien erstellen oder Benutzeraktivitäten als Ergebnis dieser Richtlinien und der Zuweisung von Verwaltungseinheiten anzeigen. Sie können auch Verwaltungseinheiten als anfänglichen Bereich für eine Richtlinie verwenden, wobei die Auswahl von Benutzern, die für die Richtlinie berechtigt sind, von der Mitgliedschaft in Verwaltungseinheiten abhängt.
Wenn Sie adaptive Bereiche für Konformitätsrichtlinien verwenden, finden Sie weitere Informationen unter Funktionsweise adaptiver Bereiche mit Microsoft Entra Verwaltungseinheiten.
Die folgenden Microsoft Purview-Compliancelösungen unterstützen Verwaltungseinheiten:
Die Konfiguration für Verwaltungseinheiten wird automatisch auf die folgenden Features heruntergefahren:
- Warnungen: DLP-Warnungen sind nur für Benutzer in zugewiesenen Verwaltungseinheiten sichtbar.
- Aktivitäts-Explorer: Aktivitätsereignisse sind nur für Benutzer in zugewiesenen Verwaltungseinheiten sichtbar.
- Adaptive Bereiche:
- Eingeschränkte Administratoren können adaptive Bereiche nur für Benutzer in den zugewiesenen Verwaltungseinheiten dieser Administratoren auswählen, erstellen, bearbeiten und anzeigen.
- Wenn ein eingeschränkter Administrator eine Richtlinie konfiguriert, die adaptive Bereiche verwendet, kann dieser Administrator nur adaptive Bereiche auswählen, die seinen Verwaltungseinheiten zugewiesen sind.
- Zugriff auf die Überwachungsprotokollsuche
- Kommunikationscompliance:
- Richtliniensuche und -konfiguration: Eingeschränkte Administratoren können Richtlinien nur für Benutzer erstellen oder verwalten, die ihren Verwaltungseinheiten zugewiesen sind.
- Warnungen und Richtliniengleiche: Eingeschränkte Administratoren können Benutzeraktivitäten nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten untersuchen.
- Datenlebenszyklusverwaltung und Datensatzverwaltung:
- Richtliniensuche: Eingeschränkte Administratoren sehen nur Richtlinien von Benutzern innerhalb ihrer zugewiesenen Verwaltungseinheiten.
- Löschungsüberprüfung und -überprüfung: Eingeschränkte Administratoren können Prüfer nur innerhalb ihrer zugewiesenen Verwaltungseinheiten hinzufügen und Löschungsüberprüfungen und Elemente anzeigen, die nur von Benutzern innerhalb ihrer zugewiesenen Verwaltungseinheiten verworfen wurden.
- Insider-Risikomanagement:
- Richtliniensuche und -konfiguration: Eingeschränkte Administratoren können Richtlinien nur für Benutzer erstellen oder verwalten, die ihren Verwaltungseinheiten zugewiesen sind.
- Benutzeraktivitäten: Eingeschränkte Administratoren können mit der Bewertung von Aktivitäten beginnen oder Benutzeraktivitäten nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten untersuchen.
- Warnungen und Fälle: Eingeschränkte Administratoren können Warnungen undFälle nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten anzeigen und untersuchen.
Zum Zuweisen eines Rollengruppenmitglieds zu einer Verwaltungseinheit muss Administratoren die Rollenverwaltungsrolle zugewiesen werden. Weitere Informationen zu Microsoft Purview-Rollengruppen und -Rollen finden Sie unter Rollengruppen in Microsoft Purview.
Sie können Rollengruppenmitglieder administrativen Einheiten innerhalb der folgenden integrierten Rollengruppen zuweisen:
- Kommunikationscompliance
- Kommunikationscompliance-Administratoren
- Communication Compliance Analysts
- Kommunikationscompliance-Prüfer
- Complianceadministrator
- Compliancedatenadministratoren
- Globaler Leser
- Informationsschutz
- Information Protection-Administratoren
- Information Protection-Analyst
- Information Protection-Ermittler
- Information Protection-Leser
- Insider-Risikomanagement
- Insider-Risikomanagement-Administratoren
- Insider-Risikomanagement-Analysten.
- Insider-Risikomanagement-Prüfer
- Genehmigende Personen der Insider-Risikomanagementsitzung
- Genehmigende Personen des Insider-Risikomanagements
- Organisationsverwaltung
- Datensatzverwaltung
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
Wenn Sie Rollengruppen zuweisen, können Sie einzelne Mitglieder oder Gruppen auswählen und dann die Option Administratoreinheiten zuweisen auswählen, um Verwaltungseinheiten auszuwählen, die in Microsoft Entra ID definiert wurden:
Wichtig
Zuweisen von Administratoreinheiten ist immer verfügbar, wenn Sie benutzerdefinierte Rollengruppen erstellt haben. Sie können Verwaltungseinheiten für jede benutzerdefinierte Rollengruppe zuweisen.
Diese Administratoren, die als eingeschränkte Administratoren bezeichnet werden, können jetzt eine oder mehrere ihrer zugewiesenen Verwaltungseinheiten auswählen, um automatisch den anfänglichen Bereich der Richtlinien zu definieren, die sie erstellen oder bearbeiten. Nur wenn Administratoren keine Verwaltungseinheiten zugewiesen sind (uneingeschränkte Administratoren), können sie Richtlinien dem gesamten Verzeichnis zuweisen, ohne einzelne Verwaltungseinheiten auswählen zu müssen.
Wichtig
Nachdem Sie Den Mitgliedern der Rollengruppen Verwaltungseinheiten zugewiesen haben, können diese eingeschränkten Administratoren vorhandene Richtlinien nicht mehr anzeigen und bearbeiten. Es gibt jedoch keine betrieblichen Änderungen an diesen Richtlinien, und sie bleiben sichtbar und können von uneingeschränkten Administratoren bearbeitet werden.
Eingeschränkte Administratoren können auch keine Verlaufsdaten mehr anzeigen, indem Sie Features verwenden, die Verwaltungseinheiten unterstützen, z. B. Aktivitäts-Explorer und Warnungen. Sie bleiben für uneingeschränkte Administratoren sichtbar. In Zukunft können eingeschränkte Administratoren diese zugehörigen Daten nur für ihre zugewiesenen Verwaltungseinheiten sehen.
Hinweis
Zusätzlich zum Konfigurieren und Anzeigen von Warnungen können Benutzer mit den Rollen Information Protection Analyst und Information Protection Investigator Überwachungsprotokolle mit dem Cmdlet Search-UnifiedAuditLog durchsuchen.
Stellen Sie vor dem Konfigurieren von Verwaltungseinheiten für Microsoft Purview-Compliancelösungen sicher, dass Ihre organization und Benutzer die folgenden Abonnement- und Lizenzierungsanforderungen erfüllen:
Microsoft Purview-Lizenzierung:
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5/F5 Compliance oder F5 Security & Compliance
- Microsoft 365 E5/A5/G5/F5 Information Protection & Governance
- Microsoft 365 E5/A5/F5 Insider-Risikomanagement
Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten mit Microsoft Purview-Compliancelösungen zu konfigurieren und zu verwenden:
Create Verwaltungseinheiten, um den Bereich der Rollenberechtigungen in Microsoft Entra ID einzuschränken.
Fügen Sie Benutzer und Verteilergruppen zu Verwaltungseinheiten hinzu.
Wichtig
Mitglieder der dynamischen Verteilung Gruppen werden nicht automatisch Mitglieder einer Verwaltungseinheit.
Wenn Sie eine geografische Region oder abteilungsbasierte Verwaltungseinheiten erstellen, konfigurieren Sie Verwaltungseinheiten mit dynamischen Mitgliedschaftsregeln.
Hinweis
Sie können einer Verwaltungseinheit, die dynamische Mitgliedschaftsregeln verwendet, keine Gruppen hinzufügen. Erstellen Sie bei Bedarf zwei Verwaltungseinheiten, eine für Benutzer und eine für Gruppen.
Verwenden Sie eine der Rollengruppen aus den Microsoft Purview-Compliancelösungen, die Verwaltungseinheiten unterstützen, um Mitgliedern Verwaltungseinheiten zuzuweisen.
Wenn diese eingeschränkten Administratoren Jetzt Richtlinien erstellen oder bearbeiten, die Verwaltungseinheiten unterstützen, können sie Verwaltungseinheiten auswählen, sodass nur die Benutzer in diesen Verwaltungseinheiten für die Richtlinie berechtigt sind:
- Uneingeschränkte Administratoren müssen keine Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen. Sie können die Standardeinstellung des gesamten Verzeichnisses beibehalten oder eine oder mehrere Verwaltungseinheiten auswählen.
- Eingeschränkte Administratoren müssen jetzt eine oder mehrere Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen.
Weiter in der Richtlinienkonfiguration müssen Administratoren, die Verwaltungseinheiten ausgewählt haben, dann einzelne Benutzer und Gruppen (sofern unterstützt) aus den Verwaltungseinheiten einschließen oder ausschließen, die sie zuvor für die Richtlinie ausgewählt haben.
Informationen zu Verwaltungseinheiten, die für jede unterstützte Lösung spezifisch sind, finden Sie in den folgenden Abschnitten:
- Für die Überwachung: Eingrenzen des Zugriffs auf Überwachungsprotokolle mithilfe von Verwaltungseinheiten
- Kommunikationscompliance: Erwägen Sie Verwaltungseinheiten, wenn Sie Benutzerberechtigungen auf eine Region oder Abteilung festlegen möchten.
- Für die Datenlebenszyklusverwaltung: Unterstützung für Verwaltungseinheiten
- Für DLP: Richtlinien für eingeschränkte Verwaltungseinheiten
- Für insider-Risikomanagement: Erwägen Sie Verwaltungseinheiten, wenn Sie Benutzerberechtigungen auf eine Region oder Abteilung festlegen möchten.
- Für die Datensatzverwaltung: Unterstützung für Verwaltungseinheiten
- Für Vertraulichkeitsbezeichnungen: Unterstützung für Verwaltungseinheiten