Microsoft Purview ロールの割り当て移行ツールは、Microsoft Purview ロールの割り当てから対応するEntra ロールへのバックグラウンド同期を実行する、Microsoft Entra IDの Microsoft ファースト パーティエンタープライズ アプリケーションです。 Microsoft 365 サービスでは、これらのEntraロールを使用して、管理者がコンテンツ検索やエクスポートなどの長時間実行される Microsoft Purview 操作を続行できるようにする前に、適切なレベルのアクセス許可があることを確認します。
ロールマッピング
次の表は、次の各Entraロールにマップされる Purview ロールを示しています。 これらのEntraロールでは、Purview 操作を実行する権限のみが付与され、Purview 以外の他の操作は許可されません。
| Purview ロール | マップされたEntraロール | 説明 |
|---|---|---|
| インサイダー リスク管理の分析 インサイダー リスク管理の調査 コンプライアンス検索 Export プライバシー管理の管理 プライバシー管理の分析 プライバシー管理の調査 プライバシー管理の永続的な貢献 プライバシー管理の一時的な貢献 プライバシー管理ビューアー データ セキュリティ調査レビュー担当者 |
Purview ワークロード コンテンツ 閲覧者 | Microsoft Purview 操作で Microsoft 365 サービスからコンテンツを読み取ることができます (たとえば、SharePoint でファイルを読み取る)。 |
| Hold プライバシー管理の調査 データ セキュリティ調査調査官 |
Purview ワークロード コンテンツ ライター | Microsoft Purview 操作で Microsoft 365 サービスにコンテンツを読み書きできるようにします (Exchange にメール アイテムを格納するなど)。 |
| 検索と消去 データ セキュリティ調査の管理 データ セキュリティ調査アナリスト |
Purview ワークロード コンテンツ管理者 | Microsoft Purview 操作で Microsoft 365 サービスのコンテンツの読み取り、書き込み、削除を行うことができます (たとえば、Microsoft Teams内のメッセージを消去します)。 |
管理者が、異なるEntraロールにマップされる複数の Purview ロールを保持している場合、最高の特権Entraロールを受け取ります。 優先順位は、 Administrator > Writer > Reader です。
注:
Purview ロールの割り当て移行ツールは、Purview ワークロード コンテンツ 閲覧者、Purview ワークロード コンテンツ ライター、Purview ワークロード コンテンツ管理者のEntraロールを管理し、一覧表示されている Purview ロールのみがEntraに同期します。 Entra ポータルでEntraロールを割り当てないでください。 これらのロールは、 設定 ページに表示されるロールと同様に、Microsoft Purview ポータルには表示されません。
同期監査ログ
Purview ロールの割り当て移行ツールは、次の 2 つのモードで動作します。
- 初期一括同期:Purview ロールの割り当て移行機能がテナントに対して最初にアクティブ化されると、既存のすべての Purview ロールの割り当てが 1 回のパスでMicrosoft Entraに同期されます。 このプロセスでは、Microsoft Entra監査ログにアクティビティのバーストが生成されます。
- 継続的同期:Purview ロール メンバーシップに対するそれ以降のすべての変更により、Microsoft Entraへの同期がトリガーされます。
重要
Microsoft Entra IDで Purview ロールの割り当て移行機能エンタープライズ アプリケーションを有効のままにします。 アプリケーション ID が 7fe3d988-4f3b-4f33-83bd-1fb921a35ed2。 このアプリを無効にすると、同期が停止します。 新しい Purview ロールの割り当てはMicrosoft Entraに反映されないため、実行時間の長い Purview 操作は実行時に承認チェックに失敗します。
Purview ロールの割り当て移行機能の同期アクティビティは、表示名が PurviewRoleAssignmentMigrator の監査ログMicrosoft Entraに表示されます。 各ログ エントリの [新しい値] フィールドには、割り当てられたMicrosoft Entraロールが表示されます。
アクティビティの 2 つの異なるパターンが表示されます。
| アクティビティ パターン | 発生するタイミング | 容量 |
|---|---|---|
| 一括同期 | 1 回、Purview ロールの割り当て移行ツールがテナントに対して最初にアクティブ化されたとき | 高 - すべての既存の Purview ロールの割り当てが一度に同期されます |
| 継続的同期 | 継続的に、Purview ロール メンバーシップに各変更を行った後 | 低 — テナントでの Purview ロールの変更率に比例 |
Microsoft Entra監査ログにPurviewRoleAssignmentMigratorエントリが急激に急増した場合、監査ログ エントリのこの急増は最初の一括同期から発生し、未承認のアクティビティの兆候ではありません。
重要
Microsoft Entra IDでこれらのMicrosoft Entra ロールにユーザーを直接割り当てないでください。 Purview ロールの割り当て移行ツールは、Purview からのみこれらの割り当てを管理し、次回の同期時にMicrosoft Entraの手動割り当てを上書きします。
Just-In-Time アクセス
既定では、Purview ロール割り当て移行ツールは、ロールの割り当てをアクティブ (永続的) 割り当てとしてMicrosoft Entraロールに同期します。 グループのMicrosoft Entra Privileged Identity Management (PIM) を使用すると、対象ユーザーはグループへの Just-In-Time メンバーシップをアクティブ化できます。 対象となる割り当てを持つこれらのMicrosoft Entraセキュリティ グループを Purview ロールに追加すると、Purview ロールの割り当て移行ツールは、同じセキュリティ グループ メンバーシップを対応するMicrosoft Entra ロールに同期します。 このプロセスにより、ロールの割り当てを必要とする組織は、microsoft Purview に同じモデルを適用し、ロールのアクティブ化を適用するために、Microsoft Entraでジャストインタイムにすることができます。
重要
操作の全期間をカバーするように、セキュリティ グループの Just-In-Time メンバーシップ ライセンス認証期間のサイズを設定します。 実行時間の長い操作の実行中にアクティブ化の有効期限が切れた場合、次の実行時承認チェックで操作が失敗する可能性があります。 たとえば、電子情報開示操作に通常かかる時間を特定するには、 電子情報開示で Process Manager を 使用し、それに応じてアクティブ化期間を設定します。