管理単位
管理単位を使用すると、organizationをより小さなユニットに分割し、それらのユニットのメンバーのみを管理できる特定の管理者を割り当てることができます。 Microsoft Purview ロール グループを使用すると、管理者を特定の管理単位に割り当てることができます。 管理単位をサポートする Microsoft Purview ソリューションでは、そのユニットのメンバーに対する可視性と管理アクセス許可が制限されます。
たとえば、管理単位を使用して、大規模な複数国のorganization内の各地理的リージョンの管理者にアクセス許可を委任したり、organization内の部門別に管理者アクセスをグループ化したりできます。 リージョンまたは部署固有のポリシーを作成したり、これらのポリシーと管理単位の割り当ての結果としてユーザー アクティビティを表示したりできます。 また、ポリシーの初期スコープとして管理単位を使用することもできます。ここで、ポリシーの対象となるユーザーの選択は、管理単位のメンバーシップによって異なります。
コンプライアンス ポリシーにアダプティブ スコープを使用している場合は、「アダプティブ スコープがMicrosoft Entra管理単位と連携する方法」を参照してください。
次の Microsoft Purview コンプライアンス ソリューションは、管理単位をサポートしています。
管理単位の構成は、次の機能に自動的に流れます。
- アラート: DLP アラートは、割り当てられた管理単位内のユーザーからのみ表示されます
- アクティビティ エクスプローラー: アクティビティ イベントは、割り当てられた管理単位のユーザーからのみ表示されます
- アダプティブ スコープ:
- 制限付き管理者は、それらの管理者に割り当てられた管理単位のユーザーに対してのみ、アダプティブ スコープを選択、作成、編集、表示できます
- 制限付き管理者がアダプティブ スコープを使用するポリシーを構成する場合、その管理者は管理単位に割り当てられているアダプティブ スコープのみを選択できます
- 監査ログ検索アクセス
- コミュニケーション コンプライアンス:
- ポリシーの参照と構成: 制限付き管理者は、管理単位に割り当てられたユーザーに対してのみポリシーを作成または管理できます。
- アラートとポリシーの一致: 制限付き管理者は、 割り当てられた管理単位内のユーザーに対してのみユーザー アクティビティを調査できます。
- データ ライフサイクル管理とレコード管理:
- インサイダー リスク管理:
- ポリシーの参照と構成: 制限付き管理者は、管理単位に割り当てられたユーザーに対してのみポリシーを作成または管理できます。
- ユーザー アクティビティ: 制限付き管理者は、 アクティビティのスコア付けを開始 したり、 割り当てられた管理単位内のユーザーに対してのみユーザー アクティビティを調査したりできます。
- アラートとケース: 制限付き管理者は、割り当てられた管理単位内のユーザーに対してのみ、アラートとケースを表示および調査できます。
役割グループメンバーを管理単位に割り当てるには、管理者に ロール管理 ロールを割り当てる必要があります。 Microsoft Purview ロール グループとロールの詳細については、「 Microsoft Purview の役割グループ」を参照してください。
次の組み込みの役割グループ内の管理単位に役割グループメンバーを割り当てることができます。
- 通信コンプライアンス
- コミュニケーション コンプライアンス管理者
- コミュニケーション コンプライアンス アナリスト
- コミュニケーション コンプライアンス調査員
- コンプライアンス管理者
- コンプライアンス データ管理者
- グローバル閲覧者
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
- インサイダー リスクの管理
- Insider Risk Management 管理者
- インサイダー リスク管理アナリスト。
- インサイダー リスク管理調査担当者。
- インサイダー リスク管理セッションの承認者
- インサイダー リスク管理の承認者
- 組織の管理
- レコード管理
- セキュリティ管理者
- セキュリティ オペレーター
- セキュリティ閲覧者
役割グループを割り当てるときに、個々のメンバーまたはグループを選択し、[管理単位の割り当て] オプションを選択して、Microsoft Entra IDで定義されている管理単位を選択できます。
重要
管理者ユニットの割り当て は、カスタム ロール グループを作成したときに常に使用できます。 任意のカスタム ロール グループに管理単位を割り当てることができます。
制限付き管理者と呼ばれるこれらの管理者は、割り当てられた管理単位の 1 つ以上を選択して、作成または編集するポリシーの初期スコープを自動的に定義できるようになりました。 管理者に管理単位 (無制限の管理者) が割り当てられない場合にのみ、個々の管理単位を選択する必要なく、ディレクトリ全体にポリシーを割り当てることができます。
重要
役割グループのメンバーに管理単位を割り当てた後、これらの制限付き管理者は、既存のポリシーを表示および編集できなくなります。 ただし、これらのポリシーに対する運用上の変更はなく、表示されたままであり、無制限の管理者が編集できます。
また、制限付き管理者は、アクティビティ エクスプローラーやアラートなどの管理単位をサポートする機能を使用して履歴データを表示することもできなくなります。 無制限の管理者は引き続き表示されます。 今後、制限付き管理者は、割り当てられた管理単位についてのみ、この関連データを表示できます。
注意
アラートを構成して表示できるだけでなく、Information Protection アナリストロールとInformation Protection調査担当者ロールを持つユーザーは、Search-UnifiedAuditLog コマンドレットを使用して監査ログを検索できます。
Microsoft Purview コンプライアンス ソリューションの管理単位を構成する前に、organizationとユーザーが次のサブスクリプションとライセンスの要件を満たしていることを確認してください。
Microsoft Purview ライセンス:
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5/F5 コンプライアンスまたは F5 セキュリティ & コンプライアンス
- Microsoft 365 E5/A5/G5/F5 Information Protection & ガバナンス
- Microsoft 365 E5/A5/F5 Insider Risk Management
Microsoft Purview コンプライアンス ソリューションで管理単位を構成して使用するには、次の手順を実行します。
Create管理単位を使用して、Microsoft Entra IDのロールのアクセス許可のスコープを制限します。
ユーザーと配布グループ を管理単位に追加します。
重要
動的配布グループのメンバーは、自動的に管理単位のメンバーになりません。
地理的リージョンまたは部署ベースの管理単位を作成する場合は、 動的メンバーシップ規則を使用して管理単位を構成します。
注意
動的メンバーシップ規則を使用する管理単位にグループを追加することはできません。 必要に応じて、ユーザー用とグループ用の 2 つの管理単位を作成します。
管理単位をサポートする Microsoft Purview コンプライアンス ソリューションのいずれかの役割グループを使用して、管理単位をメンバーに割り当てます。
次に、これらの制限付き管理者が管理単位をサポートするポリシーを作成または編集すると、それらの管理単位のユーザーのみがポリシーの対象になるように管理単位を選択できます。
- 無制限の管理者 は、ポリシー構成の一部として管理単位を選択する必要はありません。 ディレクトリ全体の既定値をそのまま使用することも、1 つ以上の管理単位を選択することもできます。
- 制限付き管理者は、 ポリシー構成の一部として 1 つ以上の管理単位を選択する必要があります。
さらにポリシー構成に入ると、管理単位を選択した管理者は、ポリシーに対して以前に選択した管理単位から個々のユーザーとグループを含めるか(サポートされている場合)除外する必要があります。
サポートされている各ソリューションに固有の管理単位については、次のセクションを参照してください。
- 監査の場合: 管理単位を使用した監査ログへのアクセスのスコープ
- 通信コンプライアンスの 場合: ユーザーのアクセス許可をリージョンまたは部署にスコープを設定する場合は、管理単位を検討してください
- データ ライフサイクル管理の場合: 管理単位のサポート
- DLP の場合: 管理単位の制限付きポリシー
- インサイダー リスク管理の 場合: ユーザーのアクセス許可をリージョンまたは部署にスコープを設定する場合は、管理単位を検討してください
- レコード管理の場合: 管理単位のサポート
- 秘密度ラベル付けの場合: 管理単位のサポート