Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Purview Role Assignment Migrator è un'applicazione aziendale microsoft di primo livello in Microsoft Entra ID che esegue la sincronizzazione in background dalle assegnazioni di ruolo di Microsoft Purview ai ruoli Entra corrispondenti. I servizi di Microsoft 365 usano questi ruoli Entra per verificare che l'amministratore disponga del livello corretto di autorizzazioni prima di consentire l'esecuzione prolungata di operazioni di Microsoft Purview, ad esempio la ricerca e l'esportazione di contenuto, per continuare.
Mapping dei ruoli
Nella tabella seguente viene illustrato il mapping dei ruoli di Purview a ognuno dei ruoli di Entra seguenti. Questi ruoli Entra concedono solo la possibilità di eseguire operazioni Purview e non vengono concesse altre operazioni esterne a Purview.
| Ruoli di Purview | Ruolo Entra mappato | Descrizione |
|---|---|---|
| Analisi della gestione dei rischi Insider Indagine sulla gestione dei rischi Insider Ricerca di conformità Esporta Amministrazione gestione della privacy Analisi della gestione della privacy Indagine sulla gestione della privacy Contributo permanente alla gestione della privacy Contributo temporaneo alla gestione della privacy Visualizzatore gestione privacy Revisore dell'indagine sulla sicurezza dei dati |
Lettore di contenuto del carico di lavoro Purview | Consente alle operazioni di Microsoft Purview di leggere il contenuto dai servizi di Microsoft 365( ad esempio, leggere un file in SharePoint). |
| Hold Indagine sulla gestione della privacy Indagine sulla sicurezza dei dati |
Writer contenuto del carico di lavoro Purview | Consente alle operazioni di Microsoft Purview di leggere e scrivere contenuto nei servizi di Microsoft 365( ad esempio, archiviare elementi di posta in Exchange). |
| Ricerca ed eliminazione Amministrazione di analisi della sicurezza dei dati Analista dell'analisi della sicurezza dei dati |
Amministratore del contenuto del carico di lavoro Purview | Consente alle operazioni di Microsoft Purview di leggere, scrivere ed eliminare contenuto nei servizi di Microsoft 365( ad esempio, eliminare i messaggi in Microsoft Teams). |
Se un amministratore ha più ruoli Purview mappati a ruoli di Entra diversi, riceve il ruolo con privilegi più elevati Entra. L'ordine di precedenza è: Administrator > Writer > Reader.
Nota
Purview Role Assignment Migrator gestisce i ruoli Purview Workload Content Reader, Purview Workload Content Writer e Purview Workload Content Administrator Entra e solo i ruoli Purview elencati vengono sincronizzati con Entra. Non assegnare i ruoli Entra nel portale di Entra. Questi ruoli non vengono visualizzati nel portale di Microsoft Purview come quelli visualizzati nella pagina delle impostazioni .
Log di controllo della sincronizzazione
Purview Role Assignment Migrator funziona in due modalità:
- Sincronizzazione bulk iniziale: Quando Purview Role Assignment Migrator viene attivato per la prima volta per il tenant, sincronizza tutte le assegnazioni di ruolo Purview esistenti per Microsoft Entra in un singolo passaggio. Questo processo genera un burst di attività nei log di controllo Microsoft Entra.
- Sincronizzazione continua: Tutte le modifiche successive alle appartenenze ai ruoli Purview attivano la sincronizzazione per Microsoft Entra.
Importante
Mantenere abilitata l'applicazione aziendale Purview Role Assignment Migrator in Microsoft Entra ID. L'ID applicazione è 7fe3d988-4f3b-4f33-83bd-1fb921a35ed2. La disabilitazione di questa app interrompe la sincronizzazione. Le nuove assegnazioni di ruolo Purview non vengono propagate a Microsoft Entra e le operazioni Purview a esecuzione prolungata non riescono a controllare l'autorizzazione in fase di esecuzione.
L'attività di sincronizzazione Purview Role Assignment Migrator viene visualizzata nei log di controllo Microsoft Entra con il nome visualizzato PurviewRoleAssignmentMigrator. Il campo Nuovo valore per ogni voce di log mostra il ruolo Microsoft Entra assegnato.
Vengono visualizzati due modelli distinti di attività:
| Modello di attività | Quando si verifica | Volume |
|---|---|---|
| Sincronizzazione bulk | Una volta, quando Purview Role Assignment Migrator viene attivato per la prima volta per il tenant | Alto: tutte le assegnazioni di ruolo di Purview esistenti vengono sincronizzate contemporaneamente |
| Sincronizzazione continua | In corso, dopo ogni modifica a un'appartenenza al ruolo Purview | Basso: proporzionale alla frequenza di modifiche del ruolo Purview nel tenant |
Se viene visualizzato un picco improvviso di voci nei log di PurviewRoleAssignmentMigrator controllo Microsoft Entra, questo picco nelle voci del log di controllo deriva dalla sincronizzazione bulk iniziale e non è un segno di attività non autorizzata.
Importante
Non assegnare gli utenti a questi ruoli Microsoft Entra direttamente in Microsoft Entra ID. Purview Role Assignment Migrator gestisce queste assegnazioni esclusivamente da Purview e sovrascrive eventuali assegnazioni manuali in Microsoft Entra alla sincronizzazione successiva.
Accesso just-in-time
Per impostazione predefinita, Purview Role Assignment Migrator sincronizza le assegnazioni di ruolo con i ruoli Microsoft Entra come assegnazioni attive (permanenti). Microsoft Entra Privileged Identity Management (PIM) per i gruppi consente agli utenti idonei di attivare l'appartenenza ji-in-time ai gruppi. Quando si aggiungono questi gruppi di sicurezza Microsoft Entra con assegnazioni idonee ai ruoli di Purview, Purview Role Assignment Migrator sincronizza la stessa appartenenza al gruppo di sicurezza nei ruoli di Microsoft Entra corrispondenti. Questo processo consente alle organizzazioni che richiedono assegnazioni di ruolo di essere just-in-time in Microsoft Entra di applicare lo stesso modello per Microsoft Purview e applicare l'attivazione dei ruoli.
Importante
Ridimensionare la finestra di attivazione dell'appartenenza ji-in-time nel gruppo di sicurezza per coprire l'intera durata delle operazioni. Se un'attivazione scade mentre è ancora in esecuzione un'operazione a esecuzione prolungata, l'operazione potrebbe non riuscire al successivo controllo dell'autorizzazione di runtime. Ad esempio, per identificare il tempo impiegato in genere per le operazioni di eDiscovery, usare Process Manager in eDiscovery e impostare di conseguenza le durate di attivazione.