Lire en anglais

Partager via


Attribuer des autorisations dans eDiscovery (préversion)

Si vous souhaitez que les utilisateurs utilisent les fonctionnalités eDiscovery (préversion) du portail Microsoft Purview, vous devez leur attribuer les autorisations appropriées. Le moyen le plus simple d’attribuer des rôles consiste à ajouter à l’utilisateur le groupe de rôles approprié dans la page Groupes de rôles du portail Microsoft Purview. Cet article décrit les autorisations requises pour effectuer des tâches eDiscovery.

Conseil

Bien démarrer avec Microsoft Security Copilot pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Security Copilot dans Microsoft Purview.

Rôles et groupes de rôles eDiscovery

Le groupe de rôles principal lié à eDiscovery dans le portail Microsoft Purview est appelé Gestionnaire eDiscovery. Il existe deux sous-groupes au sein de ce groupe de rôles :

  • Gestionnaire eDiscovery : un gestionnaire eDiscovery peut rechercher des emplacements de contenu dans le organization et effectuer diverses actions liées à la recherche, telles que l’aperçu et l’exportation des résultats de recherche dans eDiscovery (préversion). Les membres peuvent également créer et gérer des cas, ajouter et supprimer des utilisateurs pour un cas, créer des conservations de cas, exécuter des recherches associées à un cas et accéder aux données de cas. Les gestionnaires eDiscovery peuvent uniquement consulter et gérer les incidents qu’ils créent. Ils ne peuvent pas accéder aux cas créés par d’autres gestionnaires eDiscovery, ni les gérer.

    • Vous pouvez ajouter un groupe de sécurité à extension messagerie en tant que membre du sous-groupe Gestionnaires eDiscovery dans le groupe de rôles Gestionnaire eDiscovery à l’aide de l’applet de commande Add-RoleGroupMember dans Security & Compliance PowerShell. Par exemple, vous pouvez exécuter la commande suivante pour ajouter un groupe de sécurité à extension messagerie au groupe de rôles Gestionnaire eDiscovery .
    Add-RoleGroupMember "eDiscoveryManager" -Member <name of security group>
    
    • Les groupes de distribution Exchange et les Groupes Microsoft 365 ne sont pas pris en charge. Vous devez utiliser un groupe de sécurité à extension messagerie, que vous pouvez créer dans Exchange Online PowerShell en exécutant New-DistributionGroup -Type Security. Vous pouvez également créer un groupe de sécurité à extension messagerie (et ajouter des membres) dans le Centre d’administration Exchange ou dans le Centre d’administration Microsoft 365. Jusqu’à 60 minutes peuvent être nécessaires après sa création pour qu’un nouveau groupe de sécurité à extension messagerie puisse être ajouté au groupe de rôles Gestionnaires eDiscovery.

    • Vous ne pouvez pas faire d’un groupe de sécurité à extension messagerie un administrateur eDiscovery à l’aide de l’applet de commande Add-eDiscoveryCaseAdmin dans Security & Compliance PowerShell. Vous pouvez uniquement ajouter des utilisateurs individuels en tant qu’administrateurs eDiscovery.

    • Vous ne pouvez pas non plus ajouter un groupe de sécurité à extension messagerie en tant que membre d’un cas.

  • Administrateur eDiscovery : un administrateur eDiscovery est membre du groupe de rôles Gestionnaire eDiscovery et peut effectuer les mêmes tâches liées à la recherche de contenu et à la gestion des cas qu’un gestionnaire eDiscovery peut effectuer. De plus, un administrateur de découverte électronique peut :

    • Accédez à tous les cas répertoriés dans la zone eDiscovery du portail Microsoft Purview.
    • Configurez les paramètres de la solution eDiscovery.
    • Processus d’accès et conservation des rapports limités à tous les cas.
    • Accédez aux données de cas pour n’importe quel cas dans le organization.
    • Gérer tous les cas eDiscovery après s’être ajouté en tant que membre du cas.
    • Supprimer des membres d’un cas eDiscovery. Seul un administrateur eDiscovery peut supprimer des membres d’un cas. Les utilisateurs membres du sous-groupe du Gestionnaire eDiscovery ne peuvent pas supprimer des membres d’un cas, même si l’utilisateur a créé le cas.
    • Si une personne qui est le seul membre d’un cas eDiscovery quitte votre organization, personne (y compris les membres du groupe de rôles Gestion de l’organisation ou un autre membre du groupe de rôles Gestionnaire eDiscovery) ne peut accéder à ce cas eDiscovery, car il n’est pas membre d’un cas. Dans ce cas, il n’y aurait aucun moyen d’accéder aux données dans le cas. Toutefois, étant donné qu’un administrateur eDiscovery peut accéder à tous les cas eDiscovery dans le organization, il peut afficher le cas et s’ajouter lui-même ou un autre gestionnaire eDiscovery en tant que membre du cas.
    • Un administrateur eDiscovery peut afficher et accéder à tous les cas eDiscovery, il peut auditer et superviser tous les cas et les recherches de conformité associées. Cette fonctionnalité peut aider à empêcher toute utilisation incorrecte des recherches de conformité ou des cas d’eDiscovery. Et étant donné que les administrateurs eDiscovery peuvent accéder aux informations potentiellement sensibles dans les résultats d’une recherche de conformité, vous devez limiter le nombre de personnes qui sont des administrateurs eDiscovery.

Notes

Pour analyser les données d’un utilisateur lorsque les fonctionnalités eDiscovery Premium sont activées, l’utilisateur doit se voir attribuer une licence Office 365 E5 ou Microsoft 365 E5. Les utilisateurs disposant d’une licence Office 365 E1 ou Office 365 ou Microsoft 365 E3 peuvent également se voir attribuer une licence de complément Microsoft 365 E5 Conformité ou Microsoft 365 eDiscovery et Audit. Les administrateurs, les responsables de la conformité ou le personnel juridique qui sont affectés à des cas en tant que membres et qui utilisent des fonctionnalités eDiscovery Premium pour collecter, afficher et analyser des données n’ont pas besoin d’une licence E5. Pour plus d’informations sur les abonnements et les licences, consultez les conditions d’abonnement pour eDiscovery.

Avant d’attribuer des autorisations

  • Vous devez être membre du groupe de rôles Gestion de l’organisation ou attribuer le rôle Gestion des rôles pour attribuer des autorisations eDiscovery dans le portail Microsoft Purview.
  • Vous pouvez utiliser l’applet de commande Add-RoleGroupMember dans Security & Compliance PowerShell pour ajouter un groupe de sécurité à extension messagerie en tant que membre du sous-groupe Gestionnaires eDiscovery dans le groupe de rôles Gestionnaire eDiscovery . Toutefois, vous ne pouvez pas ajouter un groupe de sécurité à extension messagerie au sous-groupe Administrateurs eDiscovery .

Attribution d’autorisations de eDiscovery

  1. Accédez au portail Microsoft Purview et connectez-vous à l’aide d’un compte qui peut attribuer des autorisations.

  2. Accédez à Paramètres>Groupes de rôles.

  3. Dans la page Groupes de rôles pour les solutions Microsoft Purview , sélectionnez Gestionnaire eDiscovery.

  4. Dans le volet volant du Gestionnaire eDiscovery , effectuez l’une des opérations suivantes en fonction des autorisations eDiscovery que vous souhaitez attribuer.

    • Sélectionnez Modifier.
    • Dans la page Gérer le Gestionnaire eDiscovery , sélectionnez Choisir des utilisateurs ou Choisir des groupes.
    • Recherchez et sélectionnez l’utilisateur (ou les utilisateurs) que vous souhaitez ajouter en tant que gestionnaire eDiscovery, puis sélectionnez Sélectionner.
    • Sélectionnez Suivant.
    • Pour affecter un utilisateur (ou des utilisateurs) au groupe de rôles Administrateur eDiscovery , sélectionnez Choisir des utilisateurs ou Choisir des groupes.
    • Recherchez et sélectionnez l’utilisateur (ou les utilisateurs) que vous souhaitez ajouter en tant qu’administrateur eDiscovery, puis sélectionnez Sélectionner.
    • Sélectionnez Suivant.
  5. Si les utilisateurs ou groupes sélectionnés ont besoin d’un accès organization dans le cadre de cette attribution de groupe de rôles, passez à l’étape 8.

  6. Si les utilisateurs ou groupes sélectionnés doivent être affectés à des unités administratives, sélectionnez les utilisateurs ou les groupes, puis sélectionnez Attribuer des unités d’administration.

  7. Dans le volet Attribuer des unités d’administration , cochez la case pour toutes les unités administratives que vous souhaitez attribuer aux utilisateurs ou aux groupes. Sélectionnez Sélectionner.

  8. Sélectionnez Suivant et Enregistrer pour ajouter les utilisateurs ou les groupes au groupe de rôles. Sélectionnez Terminé pour effectuer les étapes.

Notes

Vous pouvez également utiliser l’applet de commande Add-eDiscoveryCaseAdmin pour faire d’un utilisateur un administrateur eDiscovery. Toutefois, le rôle Gestion des incidents doit être attribué à l’utilisateur avant de pouvoir utiliser cette applet de commande pour en faire un administrateur eDiscovery. Pour plus d’informations, consultez Add-eDiscoveryCaseAdmin.

Dans la page Groupes de rôles du portail Microsoft Purview, vous pouvez également attribuer aux utilisateurs des autorisations liées à la découverte électronique en les ajoutant aux groupes de rôles Administrateur de conformité, Gestion de l’organisation et Réviseur . Pour obtenir une description des rôles de contrôle d’accès en fonction du rôle liés à eDiscovery attribués à chacun de ces groupes de rôles, consultez Rôles de contrôle d’accès en fonction du rôle liés à eDiscovery.

Le tableau suivant répertorie les rôles de contrôle d’accès en fonction du rôle liés à eDiscovery dans le portail Microsoft Purview et indique les groupes de rôles intégrés auxquels chaque rôle est attribué par défaut.

Role Administrateur de conformité Administrateur & du Gestionnaire eDiscovery Gestion de l’organisation Relecteur
Gestion des cas Coche. Coche. Coche.
Communication Coche.
Recherche de conformité Coche. Coche. Coche.
Consignataire Coche.
Exporter Marque de vérification.
Suspension Coche. Coche. Coche.
Gérer les étiquettes d’ensemble de révision Coche.
Aperçu Coche.
Révision Coche. Coche
Déchiffrement RMS Coche
Rechercher et vider Coche

Exécutez le test de diagnostic suivant pour case activée si les rôles Exportation, Aperçu ou Recherche sont attribués au compte administrateur désigné.

  1. Sélectionnez le contrôle Aide en haut à droite du portail Microsoft Purview. Entrez Diag :edisRBACdiag dans la recherche (ou sélectionnez ce lien) pour exécuter le test eDiscovery RBAC Check .
  2. Dans la section Exécuter diagnostics, entrez l’UPN ou l’adresse e-mail de l’utilisateur qui tente d’exécuter une tâche d’exportation, d’aperçu ou de recherche.
  3. Sélectionnez Exécuter les tests. Si l’utilisateur ne dispose pas des rôles eDiscovery nécessaires, attribuez les rôles pour effectuer la tâche souhaitée.

Les sections suivantes décrivent chacun des rôles de contrôle d’accès en fonction du rôle liés à eDiscovery répertoriés dans le tableau précédent.

Gestion des cas

Ce rôle permet aux utilisateurs de créer, modifier, supprimer et contrôler l’accès aux cas eDiscovery (préversion) dans le portail Microsoft Purview. Un utilisateur doit se voir attribuer le rôle Gestion des cas avant de pouvoir utiliser l’applet de commande Add-eDiscoveryCaseAdmin pour en faire un administrateur eDiscovery. Pour plus d’informations, consultez Prise en main d’eDiscovery (préversion).

Communication

Ce rôle permet aux utilisateurs de gérer toutes les communications avec les utilisateurs identifiés dans un cas eDiscovery. Cela inclut la création de notifications de mise en attente, de rappels de suspension et d’escalades vers la gestion. L’utilisateur peut également suivre l’accusé de réception des notifications de conservation et gérer l’accès au portail utilisateur utilisé par chaque utilisateur pour suivre les communications dans les cas où elles ont été incluses.

Ce rôle permet aux utilisateurs de rechercher des boîtes aux lettres et des dossiers publics, des sites SharePoint, des sites OneDrive, des conversations Skype Entreprise, des groupes Microsoft 365 et Microsoft Teams, ainsi que des groupes Viva Engage. Ce rôle permet à un utilisateur d’obtenir une estimation des résultats de la recherche et de créer des rapports d’exportation, mais d’autres rôles sont nécessaires pour lancer des actions de recherche telles que l’aperçu, l’exportation ou la suppression des résultats de recherche.

Dans eDiscovery (préversion), les utilisateurs auxquels le rôle Recherche de conformité n’est pas attribué peuvent afficher un aperçu des résultats d’une recherche dans laquelle l’action d’aperçu a été lancée par un utilisateur auquel le rôle Aperçu est attribué. L’utilisateur qui n’a pas le rôle Préversion peut afficher un aperçu des résultats pendant deux semaines au maximum après la création de l’action d’aperçu initiale.

De même, les utilisateurs d’eDiscovery (préversion) auxquels le rôle Recherche de conformité est attribué, mais qui n’ont pas le rôle Exporter , peuvent télécharger les résultats d’une recherche dans laquelle l’action d’exportation a été lancée par un utilisateur auquel le rôle d’exportation est attribué. L’utilisateur sans le rôle Exporter peut télécharger les résultats d’une recherche pendant jusqu’à deux semaines après la création de l’action d’exportation initiale. Après cela, ils ne peuvent pas télécharger les résultats, sauf si une personne disposant du rôle Exporter redémarre l’exportation.

La période de grâce de deux semaines pour l’aperçu et l’exportation des résultats de recherche (sans les rôles de recherche et d’exportation correspondants) ne s’applique pas lorsque les fonctionnalités Premium sont activées dans eDiscovery. Les rôles Aperçu et Exportation doivent être attribués aux utilisateurs pour afficher un aperçu et exporter du contenu lorsque les fonctionnalités eDiscovery Premium sont activées.

Consignataire

Important

Ce rôle s’applique uniquement à l’expérience eDiscovery précédente dans le portail de conformité Microsoft Purview. Ce rôle n’accorde aucune autorisation pour les fonctionnalités dans eDiscovery (préversion) dans le portail Microsoft Purview.

Ce rôle permet aux utilisateurs d’identifier et de gérer les consignataires pour les cas eDiscovery gérés dans le portail de conformité Microsoft Purview et d’utiliser les informations de Microsoft Entra ID et d’autres sources pour rechercher les sources de données associées aux consignataires. L’utilisateur peut associer d’autres sources de données, telles que des boîtes aux lettres, des sites SharePoint et Teams, à des consignataires dans un cas. L’utilisateur peut également placer une conservation légale sur les sources de données associées aux consignataires pour conserver le contenu dans le contexte d’un cas.

Exporter

Le rôle permet aux utilisateurs d’exporter les résultats de la recherche vers un ordinateur local. Il leur permet également de préparer les résultats de la recherche pour analyse dans lorsque les fonctionnalités premium eDiscovery sont activées. Pour plus d’informations sur l’exportation des résultats de recherche, consultez Exporter des résultats de recherche dans eDiscovery (préversion) .

Suspension

Ce rôle permet aux utilisateurs de placer du contenu en attente dans des boîtes aux lettres, des dossiers publics, des sites, des conversations Skype Entreprise et des groupes Microsoft 365. Lorsque le contenu est en attente, les propriétaires de contenu peuvent toujours modifier ou supprimer le contenu d’origine, mais le contenu sera conservé jusqu’à la suppression ou jusqu’à l’expiration de la mise en attente. Pour plus d’informations sur les conservations, consultez Créer une conservation dans eDiscovery (préversion) .

Gérer les étiquettes d’ensemble de révision

Ce rôle permet aux utilisateurs de créer, de modifier et de supprimer des balises de jeu de révision pour les cas auxquels ils peuvent accéder. Les utilisateurs doivent au moins avoir le rôle Révision et ce rôle pour gérer les étiquettes pendant les révisions.

Aperçu

Ce rôle permet aux utilisateurs d’afficher la liste des éléments retournés à partir d’une recherche. Les utilisateurs peuvent également ouvrir et afficher chaque élément de la liste pour afficher son contenu.

Révision

Ce rôle permet aux utilisateurs d’accéder aux jeux de révision dans eDiscovery (préversion). Les utilisateurs auxquels ce rôle est attribué peuvent voir et ouvrir la liste des cas dont ils sont membres. Une fois que l’utilisateur a accédé à un cas eDiscovery, il peut sélectionner Vérifier les jeux pour accéder aux données de cas. Ce rôle ne permet pas à l’utilisateur d’afficher un aperçu des résultats d’une recherche associée au cas ou d’effectuer d’autres tâches de recherche ou de gestion de cas. Les utilisateurs disposant de ce rôle peuvent uniquement accéder aux données d’un jeu de révision.

Déchiffrement RMS

Ce rôle permet aux utilisateurs d’afficher les messages électroniques protégés par des droits lorsqu’ils affichent un aperçu des résultats de recherche et d’exporter des messages électroniques protégés par des droits déchiffrés. Ce rôle permet également aux utilisateurs d’afficher (et d’exporter) un fichier chiffré avec une technologie de chiffrement Microsoft lorsque le fichier chiffré est joint à un message électronique inclus dans les résultats d’une recherche eDiscovery. En outre, ce rôle permet aux utilisateurs d’examiner et d’interroger les pièces jointes chiffrées qui sont ajoutées à un jeu de révision dans eDiscovery (préversion). Pour plus d’informations sur le déchiffrement dans eDiscovery, consultez Déchiffrement dans les outils Microsoft 365 eDiscovery.

Rechercher et vider

Ce rôle permet aux utilisateurs d’effectuer une suppression en bloc des données correspondant aux critères d’une recherche. Pour plus d’informations, consultez Rechercher et supprimer des messages électroniques dans eDiscovery (préversion) .

Ajout de groupes de rôles en tant que membres des cas eDiscovery

Vous pouvez ajouter des groupes de rôles en tant que membres des cas eDiscovery afin que les membres des groupes de rôles puissent accéder aux tâches et les effectuer dans les cas attribués. Les rôles attribués au groupe de rôles définissent ce que les membres du groupe de rôles peuvent faire. Ensuite, l’ajout d’un groupe de rôles en tant que membre du cas permet aux membres d’accéder à ces tâches et d’effectuer ces tâches dans un cas spécifique.

Avec cette exigence à l’esprit, il est important de savoir que si un rôle est ajouté ou supprimé d’un groupe de rôles, ce groupe de rôles est automatiquement supprimé en tant que membre de tout cas dont le groupe de rôles est membre. La raison en est de protéger votre organization contre l’octroi par inadvertance d’autorisations supplémentaires aux membres d’un cas. De même, si un groupe de rôles est supprimé, il est supprimé de tous les cas dont il était membre.

Avant d’ajouter ou de supprimer des rôles à un groupe de rôles qui peut être membre d’un cas eDiscovery, vous pouvez exécuter les commandes suivantes dans Security & Compliance PowerShell pour obtenir la liste des cas dont le groupe de rôles est membre. Après avoir mis à jour le groupe de rôles, vous rajoutez le groupe de rôles en tant que membre de ces cas.