Unità amministrative
Le unità amministrative consentono di suddividere l'organizzazione in unità più piccole e di assegnare amministratori specifici in grado di gestire solo i membri di tali unità. I gruppi di ruoli di Microsoft Purview consentono di assegnare amministratori a unità amministrative specifiche. Le soluzioni Microsoft Purview che supportano l'unità amministrativa limiteranno quindi le autorizzazioni di visibilità e gestione ai membri dell'unità.
Ad esempio, è possibile usare le unità amministrative per delegare le autorizzazioni agli amministratori per ogni area geografica in un'organizzazione multi-nazionale di grandi dimensioni o per raggruppare l'accesso amministratore per reparto all'interno dell'organizzazione. È possibile creare criteri specifici dell'area o del reparto o visualizzare l'attività utente in seguito a tali criteri e all'assegnazione di unità amministrative. È anche possibile usare le unità amministrative come ambito iniziale per un criterio, in cui la selezione degli utenti idonei per il criterio dipende dall'appartenenza alle unità amministrative.
Se si usano ambiti adattivi per i criteri di conformità, vedere Funzionamento degli ambiti adattivi con Microsoft Entra unità amministrative.
Supporto delle unità amministrative in Microsoft Purview
Le seguenti soluzioni di conformità di Microsoft Purview supportano le unità amministrative:
La configurazione per le unità amministrative passa automaticamente alle funzionalità seguenti:
- Avvisi: gli avvisi DLP sono visibili solo dagli utenti nelle unità amministrative assegnate
- Esplora attività: gli eventi attività sono visibili solo dagli utenti nelle unità amministrative assegnate
- Ambiti adattivi:
- Gli amministratori con restrizioni possono selezionare, creare, modificare e visualizzare gli ambiti adattivi solo per gli utenti nelle unità amministrative assegnate di tali amministratori
- Quando un amministratore con restrizioni configura un criterio che usa ambiti adattivi, l'amministratore può selezionare solo gli ambiti adattivi assegnati alle proprie unità amministrative
- Controllare l'accesso alla ricerca nei log
- Conformità delle comunicazioni:
- Ricerca e configurazione dei criteri: gli amministratori con restrizioni possono creare o gestire criteri solo per gli utenti assegnati alle proprie unità amministrative.
- Avvisi e corrispondenze di criteri: gli amministratori con restrizioni possono analizzare le attività degli utenti solo per gli utenti all'interno delle unità amministrative assegnate.
- Gestione del ciclo di vita dei dati e gestione dei record:
- Ricerca dei criteri: gli amministratori con restrizioni visualizzeranno i criteri solo dagli utenti all'interno delle unità amministrative assegnate
- Revisione e verifica dell'eliminazione: gli amministratori con restrizioni sono in grado di aggiungere revisori solo all'interno delle unità amministrative assegnate e visualizzare le revisioni delle eliminazioni e gli elementi eliminati solo dagli utenti all'interno delle unità amministrative assegnate
- Gestione dei rischi Insider:
- Ricerca e configurazione dei criteri: gli amministratori con restrizioni possono creare o gestire criteri solo per gli utenti assegnati alle proprie unità amministrative.
- Attività utente: gli amministratori con restrizioni possono iniziare a assegnare punteggi alle attività o analizzare le attività degli utenti solo per gli utenti all'interno delle unità amministrative assegnate.
- Avvisi e casi: gli amministratori con restrizioni possono visualizzare e analizzare avvisi e casi solo per gli utenti all'interno delle unità amministrative assegnate.
Per assegnare un membro del gruppo di ruoli a un'unità amministrativa, agli amministratori deve essere assegnato il ruolo di gestione dei ruoli. Per altre informazioni sui gruppi di ruoli e sui ruoli di Microsoft Purview, vedere Gruppi di ruoli in Microsoft Purview.
È possibile assegnare membri del gruppo di ruoli alle unità amministrative all'interno dei gruppi di ruoli predefiniti seguenti:
- Conformità delle comunicazioni
- Amministratori della conformità delle comunicazioni
- Analisti della conformità delle comunicazioni
- Ricercatori di conformità delle comunicazioni
- Amministratore di conformità
- Amministratori dei dati di conformità
- Lettore globale
- Azure Information Protection
- Amministratori di Information Protection
- Analista di Information Protection
- Investigatori di Information Protection
- Lettori di Information Protection
- Gestione dei rischi Insider
- Amministratori della gestione dei rischi Insider
- Analisti gestione dei rischi Insider
- Investigatori gestione dei rischi Insider
- Responsabili approvazione sessione gestione rischi Insider
- Responsabili approvazione della gestione dei rischi Insider
- Gestione organizzazione
- Gestione record
- Amministratore della sicurezza
- Operatore della sicurezza
- Ruolo con autorizzazioni di lettura per la sicurezza
Quando si assegnano gruppi di ruoli, è possibile selezionare singoli membri o gruppi e quindi selezionare l'opzione Assegna unità amministrative per selezionare le unità amministrative definite in Microsoft Entra ID:
Importante
Assegnare le unità amministrative è sempre disponibile quando sono stati creati gruppi di ruoli personalizzati. È possibile assegnare unità amministrative per qualsiasi gruppo di ruoli personalizzato.
Questi amministratori, definiti amministratori con restrizioni, possono ora selezionare una o più unità amministrative assegnate per definire automaticamente l'ambito iniziale dei criteri creati o modificati. Solo se agli amministratori non sono assegnate unità amministrative (amministratori senza restrizioni), sarà possibile assegnare criteri all'intera directory senza dover selezionare singole unità amministrative.
Importante
Dopo aver assegnato unità amministrative ai membri dei gruppi di ruoli, questi amministratori con restrizioni non saranno più in grado di visualizzare e modificare i criteri esistenti. Tuttavia, questi criteri non vengono modificati operativamente e rimangono visibili e possono essere modificati da amministratori senza restrizioni.
Gli amministratori con restrizioni non saranno più in grado di visualizzare i dati cronologici usando funzionalità che supportano le unità amministrative, ad esempio Esplora attività e avvisi. Rimangono visibili agli amministratori senza restrizioni. In futuro, gli amministratori con restrizioni potranno visualizzare questi dati correlati solo per le unità amministrative assegnate.
Nota
Oltre a poter configurare e visualizzare gli avvisi, gli utenti con i ruoli Information Protection Analyst e Information Protection Investigator possono eseguire ricerche nei log di controllo usando il cmdlet Search-UnifiedAuditLog.
Prerequisiti per le unità amministrative
Prima di configurare le unità amministrative per le soluzioni di conformità Microsoft Purview, assicurarsi che l'organizzazione e gli utenti soddisfino i requisiti di sottoscrizione e licenza seguenti:
Licenze di Microsoft Purview:
- Microsoft 365 E5/A5/G5
- conformità Microsoft 365 E5/A5/G5/F5 o conformità del & di sicurezza F5
- Governance Information Protection & Microsoft 365 E5/A5/G5/F5
- Microsoft 365 E5/A5/F5 Insider Risk Management
Configurare e usare le unità amministrative
Completare la procedura seguente per configurare e usare le unità amministrative con le soluzioni di conformità Microsoft Purview:
Create unità amministrative per limitare l'ambito delle autorizzazioni dei ruoli in Microsoft Entra ID.
Aggiungere utenti e gruppi di distribuzione alle unità amministrative.
Importante
I membri di Dynamic Distribution Gruppi non diventano automaticamente membri di un'unità amministrativa.
Se si crea un'area geografica o unità amministrative basate su reparto, configurare le unità amministrative con regole di appartenenza dinamica.
Nota
Non è possibile aggiungere gruppi a un'unità amministrativa che usa regole di appartenenza dinamica. Se necessario, creare due unità amministrative, una per gli utenti e una per i gruppi.
Usare uno dei gruppi di ruoli delle soluzioni di conformità Microsoft Purview che supportano le unità amministrative per assegnare unità amministrative ai membri.
Ora, quando questi amministratori con restrizioni creano o modificano criteri che supportano le unità amministrative, possono selezionare le unità amministrative in modo che solo gli utenti di tali unità amministrative siano idonei per i criteri:
- Gli amministratori senza restrizioni non devono selezionare le unità amministrative come parte della configurazione dei criteri. Possono mantenere l'impostazione predefinita dell'intera directory o selezionare una o più unità amministrative.
- Gli amministratori con restrizioni devono ora selezionare una o più unità amministrative come parte della configurazione dei criteri.
Più avanti nella configurazione dei criteri, gli amministratori che hanno selezionato le unità amministrative devono includere o escludere (se supportati) singoli utenti e gruppi dalle unità amministrative selezionate in precedenza per i criteri.
Per informazioni sulle unità amministrative specifiche di ogni soluzione supportata, vedere le sezioni seguenti:
- Per il controllo: definizione dell'ambito dell'accesso ai log di controllo tramite unità amministrative
- Per la conformità alle comunicazioni: prendere in considerazione le unità amministrative se si desidera definire l'ambito delle autorizzazioni utente per un'area o un reparto
- Per la gestione del ciclo di vita dei dati: supporto per le unità amministrative
- Per DLP: Criteri con restrizioni dell'unità amministrativa
- Per la gestione dei rischi Insider: prendere in considerazione le unità amministrative se si desidera definire l'ambito delle autorizzazioni utente per un'area o un reparto
- Per la gestione dei record: supporto per le unità amministrative
- Per l'etichettatura di riservatezza: supporto per le unità amministrative