Condividi tramite

Unità amministrative

  • Articolo

Le unità amministrative consentono di suddividere l'organizzazione in unità più piccole e di assegnare amministratori specifici in grado di gestire solo i membri di tali unità. I gruppi di ruoli di Microsoft Purview consentono di assegnare amministratori a unità amministrative specifiche. Le soluzioni Microsoft Purview che supportano l'unità amministrativa limiteranno quindi le autorizzazioni di visibilità e gestione ai membri dell'unità.

Ad esempio, è possibile usare le unità amministrative per delegare le autorizzazioni agli amministratori per ogni area geografica in un'organizzazione multi-nazionale di grandi dimensioni o per raggruppare l'accesso amministratore per reparto all'interno dell'organizzazione. È possibile creare criteri specifici dell'area o del reparto o visualizzare l'attività utente in seguito a tali criteri e all'assegnazione di unità amministrative. È anche possibile usare le unità amministrative come ambito iniziale per un criterio, in cui la selezione degli utenti idonei per il criterio dipende dall'appartenenza alle unità amministrative.

Se si usano ambiti adattivi per i criteri di conformità, vedere Funzionamento degli ambiti adattivi con Microsoft Entra unità amministrative.

Supporto delle unità amministrative in Microsoft Purview

Le seguenti soluzioni di conformità di Microsoft Purview supportano le unità amministrative:

Soluzione Supporto della configurazione
Gestione del ciclo di vita dei dati Gruppi di ruoli, criteri di conservazione e criteri di etichetta di conservazione
prevenzione della perdita di dati (DLP) Gruppi di ruoli e criteri DLP
Conformità delle comunicazioni Criteri e gruppi di ruoli
Gestione dei rischi Insider Criteri e gruppi di ruoli
Gestione record Gruppi di ruoli, criteri di conservazione, criteri di etichetta di conservazione e ambiti adattivi
Etichettatura di riservatezza Gruppi di ruoli, criteri di etichetta di riservatezza e criteri di etichettatura automatica

La configurazione per le unità amministrative passa automaticamente alle funzionalità seguenti:

Per assegnare un membro del gruppo di ruoli a un'unità amministrativa, agli amministratori deve essere assegnato il ruolo di gestione dei ruoli. Per altre informazioni sui gruppi di ruoli e sui ruoli di Microsoft Purview, vedere Gruppi di ruoli in Microsoft Purview.

È possibile assegnare membri del gruppo di ruoli alle unità amministrative all'interno dei gruppi di ruoli predefiniti seguenti:

  • Conformità delle comunicazioni
  • Amministratori della conformità delle comunicazioni
  • Analisti della conformità delle comunicazioni
  • Ricercatori di conformità delle comunicazioni
  • Amministratore di conformità
  • Amministratori dei dati di conformità
  • Lettore globale
  • Azure Information Protection
  • Amministratori di Information Protection
  • Analista di Information Protection
  • Investigatori di Information Protection
  • Lettori di Information Protection
  • Gestione dei rischi Insider
  • Amministratori della gestione dei rischi Insider
  • Analisti gestione dei rischi Insider
  • Investigatori gestione dei rischi Insider
  • Responsabili approvazione sessione gestione rischi Insider
  • Responsabili approvazione della gestione dei rischi Insider
  • Gestione organizzazione
  • Gestione record
  • Amministratore della sicurezza
  • Operatore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

Quando si assegnano gruppi di ruoli, è possibile selezionare singoli membri o gruppi e quindi selezionare l'opzione Assegna unità amministrative per selezionare le unità amministrative definite in Microsoft Entra ID:

Opzione Assegna unità di amministrazione quando si modificano i gruppi di ruoli.

Importante

Assegnare le unità amministrative è sempre disponibile quando sono stati creati gruppi di ruoli personalizzati. È possibile assegnare unità amministrative per qualsiasi gruppo di ruoli personalizzato.

Questi amministratori, definiti amministratori con restrizioni, possono ora selezionare una o più unità amministrative assegnate per definire automaticamente l'ambito iniziale dei criteri creati o modificati. Solo se agli amministratori non sono assegnate unità amministrative (amministratori senza restrizioni), sarà possibile assegnare criteri all'intera directory senza dover selezionare singole unità amministrative.

Importante

Dopo aver assegnato unità amministrative ai membri dei gruppi di ruoli, questi amministratori con restrizioni non saranno più in grado di visualizzare e modificare i criteri esistenti. Tuttavia, questi criteri non vengono modificati operativamente e rimangono visibili e possono essere modificati da amministratori senza restrizioni.

Gli amministratori con restrizioni non saranno più in grado di visualizzare i dati cronologici usando funzionalità che supportano le unità amministrative, ad esempio Esplora attività e avvisi. Rimangono visibili agli amministratori senza restrizioni. In futuro, gli amministratori con restrizioni potranno visualizzare questi dati correlati solo per le unità amministrative assegnate.

Nota

Oltre a poter configurare e visualizzare gli avvisi, gli utenti con i ruoli Information Protection Analyst e Information Protection Investigator possono eseguire ricerche nei log di controllo usando il cmdlet Search-UnifiedAuditLog.

Prerequisiti per le unità amministrative

Prima di configurare le unità amministrative per le soluzioni di conformità Microsoft Purview, assicurarsi che l'organizzazione e gli utenti soddisfino i requisiti di sottoscrizione e licenza seguenti:

  • licenze P1 o P2 Microsoft Entra ID

  • Licenze di Microsoft Purview:

    • Microsoft 365 E5/A5/G5
    • conformità Microsoft 365 E5/A5/G5/F5 o conformità del & di sicurezza F5
    • Governance Information Protection & Microsoft 365 E5/A5/G5/F5
    • Microsoft 365 E5/A5/F5 Insider Risk Management

Configurare e usare le unità amministrative

Completare la procedura seguente per configurare e usare le unità amministrative con le soluzioni di conformità Microsoft Purview:

  1. Create unità amministrative per limitare l'ambito delle autorizzazioni dei ruoli in Microsoft Entra ID.

  2. Aggiungere utenti e gruppi di distribuzione alle unità amministrative.

    Importante

    I membri di Dynamic Distribution Gruppi non diventano automaticamente membri di un'unità amministrativa.

  3. Se si crea un'area geografica o unità amministrative basate su reparto, configurare le unità amministrative con regole di appartenenza dinamica.

    Nota

    Non è possibile aggiungere gruppi a un'unità amministrativa che usa regole di appartenenza dinamica. Se necessario, creare due unità amministrative, una per gli utenti e una per i gruppi.

  4. Usare uno dei gruppi di ruoli delle soluzioni di conformità Microsoft Purview che supportano le unità amministrative per assegnare unità amministrative ai membri.

Ora, quando questi amministratori con restrizioni creano o modificano criteri che supportano le unità amministrative, possono selezionare le unità amministrative in modo che solo gli utenti di tali unità amministrative siano idonei per i criteri:

  • Gli amministratori senza restrizioni non devono selezionare le unità amministrative come parte della configurazione dei criteri. Possono mantenere l'impostazione predefinita dell'intera directory o selezionare una o più unità amministrative.
  • Gli amministratori con restrizioni devono ora selezionare una o più unità amministrative come parte della configurazione dei criteri.

Più avanti nella configurazione dei criteri, gli amministratori che hanno selezionato le unità amministrative devono includere o escludere (se supportati) singoli utenti e gruppi dalle unità amministrative selezionate in precedenza per i criteri.

Per informazioni sulle unità amministrative specifiche di ogni soluzione supportata, vedere le sezioni seguenti: