管理単位

Microsoft Entra IDの管理単位を使用すると、管理アクセス許可をMicrosoft Entra organizationの特定の部分に制限できます。 Microsoft Entraで管理単位を作成、削除、編集します。 Microsoft Entraでは、管理単位のメンバーであるユーザーまたはグループを管理します。 この機能を使用すると、organizationをより小さなユニットに分割し、特定の管理者を割り当ててそれらのユニット内のメンバーのみを管理できます。 Microsoft Purview ロール グループを使用すると、管理者を特定の管理単位に割り当てることができます。 管理単位をサポートする Microsoft Purview ソリューションでは、そのユニットのメンバーに対する可視性と管理アクセス許可が制限されます。

たとえば、管理単位を使用して、大規模な複数国のorganization内の各地理的リージョンの管理者にアクセス許可を委任したり、organization内の部門別に管理者アクセスをグループ化したりできます。 リージョンまたは部署固有のポリシーを作成したり、これらのポリシーと管理単位の割り当ての結果としてユーザー アクティビティを表示したりできます。 また、ポリシーの初期スコープとして管理単位を使用することもできます。ここで、ポリシーの対象となるユーザーの選択は、管理単位のメンバーシップによって異なります。

コンプライアンス ポリシーにアダプティブ スコープを使用している場合は、「アダプティブ スコープがMicrosoft Entra管理単位と連携する方法」を参照してください。

Microsoft Purview での管理単位のサポート

次の Microsoft Purview コンプライアンス ソリューションは、管理単位をサポートしています。

解決方法	構成のサポート
データ ライフサイクル管理	ロール グループ、アイテム保持ポリシー、保持ラベル ポリシー
データ損失防止 (DLP)	役割グループと DLP ポリシー
通信コンプライアンス	ロール グループ と ポリシー
インサイダー リスク管理	ロール グループ と ポリシー
レコード管理	ロール グループ、アイテム保持ポリシー、アイテム保持ラベル ポリシー、 アダプティブ スコープ
秘密度ラベル付け	ロール グループ、秘密度ラベル ポリシー、自動ラベル付けポリシー

管理単位の構成は、次の機能に自動的に流れます。

• アラート:
  • DLP アラートは、割り当てられた管理単位のユーザーからのみ表示されます
• アクティビティ エクスプローラー:
  • アクティビティ イベント は、割り当てられた管理単位のユーザーからのみ表示されます
• アダプティブ スコープ:
  • 制限付き管理者は、それらの管理者に割り当てられた管理単位のユーザーに対してのみ 、アダプティブ スコープ を選択、作成、編集、表示できます
  • 制限付き管理者がアダプティブ スコープを使用するポリシーを構成する場合、その管理者は管理単位に割り当てられているアダプティブ スコープのみを選択できます
• 監査ログ:
  • 検索アクセス
• コミュニケーション コンプライアンス:
  • ポリシーの参照と構成: 制限付き管理者は、管理単位に割り当てられたユーザーに対してのみポリシーを作成または管理できます。
  • アラートとポリシーの一致: 制限付き管理者は、 割り当てられた管理単位内のユーザーに対してのみユーザー アクティビティを調査できます。
• データ ライフサイクル管理とレコード管理:
  • ポリシー参照: 制限付き管理者は、割り当てられた管理単位内のユーザーからのみポリシーを表示します
  • 廃棄レビューと検証: 制限付き管理者は、割り当てられた管理単位内からのみレビュー担当者を追加でき、割り当てられた管理単位内のユーザーからのみ破棄された廃棄レビューとアイテムを表示できます。
• インサイダー リスク管理:
  • ポリシーの参照と構成: 制限付き管理者は、管理単位に割り当てられたユーザーに対してのみポリシーを作成または管理できます。
  • ユーザー アクティビティ: 制限付き管理者は、 アクティビティのスコア付けを開始 したり、 割り当てられた管理単位内のユーザーに対してのみユーザー アクティビティを調査したりできます。
  • アラートとケース: 制限付き管理者は、割り当てられた管理単位内のユーザーに対してのみ、アラートとケースを表示および調査できます。

注:

Microsoft Purview データ損失防止とインサイダー リスク管理、Microsoft Defender XDRでのアラートの表示。 Microsoft Defender XDRでは、最大 100 個の管理単位がサポートされます。

管理単位のアクセス許可

役割グループメンバーを管理単位に割り当てるには、管理者に ロール管理 ロールを割り当てる必要があります。 Microsoft Purview ロール グループとロールの詳細については、「 Microsoft Purview の役割グループ」を参照してください。

次の組み込みの役割グループ内の管理単位に役割グループメンバーを割り当てることができます。

• 通信コンプライアンス
• コミュニケーション コンプライアンス管理者
• コミュニケーション コンプライアンス アナリスト
• コミュニケーション コンプライアンス調査員
• コンプライアンス管理者
• コンプライアンス データ管理者
• グローバル閲覧者
• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者
• インサイダー リスクの管理
• Insider Risk Management 管理者
• インサイダー リスク管理アナリスト。
• インサイダー リスク管理調査担当者。
• インサイダー リスク管理セッションの承認者
• インサイダー リスク管理の承認者
• 組織の管理
• レコード管理
• セキュリティ管理者
• セキュリティ オペレーター
• セキュリティ閲覧者

役割グループを割り当てるときに、個々のメンバーまたはグループを選択し、[管理単位の割り当て] オプションを選択して、Microsoft Entra IDで定義されている管理単位を選択できます。

重要

管理者ユニットの割り当て は、カスタム ロール グループを作成したときに常に使用できます。 任意のカスタム ロール グループに管理単位を割り当てることができます。

制限付き管理者と呼ばれるこれらの管理者は、割り当てられた管理単位の 1 つ以上を選択して、作成または編集するポリシーの初期スコープを自動的に定義できるようになりました。 管理者に管理単位 (無制限の管理者) が割り当てられない場合にのみ、個々の管理単位を選択する必要なく、ディレクトリ全体にポリシーを割り当てることができます。

重要

役割グループのメンバーに管理単位を割り当てた後、これらの制限付き管理者は既存のポリシーを表示および編集できません。 ただし、これらのポリシーに対する運用上の変更はなく、表示されたままであり、無制限の管理者が編集できます。

制限付き管理者は、アクティビティ エクスプローラーやアラートなどの管理単位をサポートする機能を使用して履歴データを表示することもできません。 無制限の管理者は引き続き表示されます。 今後、制限付き管理者は、割り当てられた管理単位についてのみ、この関連データを表示できます。

管理単位の前提条件

Microsoft Purview コンプライアンス ソリューションの管理単位を構成する前に、organizationとユーザーが次のサブスクリプションとライセンスの要件を満たしていることを確認してください。

• P1 または P2 ライセンスをMicrosoft Entra IDする

• Microsoft Purview ライセンス:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 コンプライアンスまたは F5 セキュリティ & コンプライアンス
  • Microsoft 365 E5/A5/G5/F5 Information Protection & ガバナンス
  • Microsoft 365 E5/A5/F5 Insider Risk Management

管理単位の構成と使用

Microsoft Purview コンプライアンス ソリューションで管理単位を構成して使用するには、次の手順を実行します。

1. Microsoft Entra IDでロールのアクセス許可のスコープを制限する管理単位を作成します。

2. ユーザーと配布グループ を管理単位に追加します。

   重要

   動的配布グループのメンバーは、自動的に管理単位のメンバーになりません。

3. 地理的リージョンまたは部署ベースの管理単位を作成する場合は、 動的メンバーシップ規則を使用して管理単位を構成します。

   注:

   動的メンバーシップ規則を使用する管理単位にグループを追加することはできません。 必要に応じて、ユーザー用とグループ用の 2 つの管理単位を作成します。

4. 管理単位をサポートする Microsoft Purview コンプライアンス ソリューションのいずれかの役割グループを使用して、管理単位をメンバーに割り当てます。

次に、これらの制限付き管理者が管理単位をサポートするポリシーを作成または編集すると、それらの管理単位のユーザーのみがポリシーの対象になるように管理単位を選択できます。

• 無制限の管理者 は、ポリシー構成の一部として管理単位を選択する必要はありません。 ディレクトリ全体の既定値をそのまま使用することも、1 つ以上の管理単位を選択することもできます。
• 制限付き管理者は、 ポリシー構成の一部として 1 つ以上の管理単位を選択する必要があります。

さらにポリシー構成に入ると、管理単位を選択した管理者は、ポリシーに対して以前に選択した管理単位から個々のユーザーとグループを含めるか(サポートされている場合)除外する必要があります。

サポートされている各ソリューションに固有の管理単位については、次のセクションを参照してください。

• 監査の場合: 管理単位を使用した監査ログへのアクセスのスコープ

• 通信コンプライアンスの 場合: ユーザーのアクセス許可をリージョンまたは部署にスコープを設定する場合は、管理単位を検討してください

• データ ライフサイクル管理の場合: 管理単位のサポート

• DLP の場合: 管理単位の制限付きポリシー

• インサイダー リスク管理の 場合: ユーザーのアクセス許可をリージョンまたは部署にスコープを設定する場合は、管理単位を検討してください

• レコード管理の場合: 管理単位のサポート

• 秘密度ラベル付けの場合: 管理単位のサポート

SharePoint サイトの管理単位のサポート (プレビュー)

Microsoft Purview では、管理単位への SharePoint サイトの追加がサポートされるようになりました。 これにより、Microsoft Purview ポータル内の Microsoft Purview 管理者の可視性と管理制御を調整できます。 このサポートは、SharePoint サイトへのアプリケーションをサポートする Microsoft Information Protection自動ラベル付けポリシーと Microsoft データ損失防止ポリシーでのみ使用できます。

注:

引き続き、Microsoft Entra IDから管理単位の作成、削除、およびMicrosoft Entraリソース メンバーシップを管理します。 作成されたすべての管理単位は、Microsoft Purview の一覧に表示されます。

クエリが完全に設定されるまでに最大 5 日かかる場合があります。変更はすぐには行われません。 ポリシーを管理単位に関連付ける前に、このクエリが完全に設定されるまで待ちます。

SharePoint サイトの管理単位を構成する

管理単位を構成して使用するには、次の手順に従います。 これらの手順では、管理単位の作成、その管理単位にリソースを関連付ける方法、および管理単位に Microsoft Purview コンプライアンス ロール グループ メンバーを割り当てる方法について説明します。 管理単位を作成したら、次の手順に従って SharePoint サイトを管理単位に関連付けます。

この機能を利用できる Microsoft Purview のお客様は、Microsoft Purview ポータル設定の [ロールとスコープ] で管理単位にアクセスできるようになりました。 [ 管理単位] で、管理単位を選択して編集し、SharePoint サイトを管理単位に関連付けます。

次の手順を実行して、管理単位内の SharePoint サイトを Microsoft Purview で使用するように構成するには、 管理者ユニット拡張機能マネージャー の役割が割り当てられている必要があります。 このロールは、Microsoft Purview のロール管理権限を持つ管理者によって割り当てられます。このロールを持つ組み込みの役割グループを使用するか、 カスタム ロール グループを使用します。

1. Microsoft Purview ポータルに移動します。
2. se.ttings を選択し、[ ロールとスコープ] を選択します。
3. [ 管理単位] を選択します。
4. リストから既存の管理単位を選択する
5. [編集] を選択します。
6. SharePoint サイトを管理単位に関連付けるクエリを作成します。
7. 管理単位をサポートする Microsoft Purview コンプライアンス ソリューションのいずれかの役割グループを使用して、管理単位をメンバーに割り当てます。

SharePoint サイトを管理単位に関連付けるクエリでは、サイト URL、サイト名、RefinableString00-RefinableString99 のサイト プロパティがサポートされます。 これらのクエリは、共有チャネル SharePoint サイトを除き、 SharePoint サイトと OneDrive アカウントの両方に適用されます。 サイトのプロパティ名は、SharePoint サイトで管理されているプロパティに基づいています。 カスタム プロパティを管理プロパティ (RefinableString00-RefinableString99) に関連付ける方法の詳細については、「 カスタム SharePoint サイト プロパティを使用して Microsoft 365 アイテム保持をアダプティブ ポリシー スコープに適用する」を参照してください。

クエリをテストする

SharePoint 検索を使用してクエリをテストするには、次の手順を実行します。

1. SharePoint 管理者ロールを持つアカウントを使用して、[ https://<your_tenant>.sharepoint.com/search] に移動します。
2. 検索バーを使用して、管理単位で SharePoint サイトの クエリの概要 に表示されるクエリを入力します。
3. 検索結果が、管理単位のサイト URL と一致することを確認します。 一致しない場合は、SharePoint の管理者にクエリと URL を確認します。

制限付き管理者が管理単位をサポートするポリシーを作成または編集すると、それらの管理単位内の SharePoint サイト、ユーザー、またはグループのみがポリシーの対象になるように管理単位を選択できます。

• 無制限の管理者 は、ポリシー構成の一部として管理単位を選択する必要はありません。 ディレクトリ全体の既定値をそのまま使用することも、1 つ以上の管理単位を選択することもできます。
• 制限付き管理者は、 ポリシー構成の一部として 1 つ以上の管理単位を選択する必要があります。

管理単位を選択する管理者は、個々の SharePoint サイトを含めたり除外したりすることはできません。 SharePoint サイトは、管理単位に関連付けられているすべてのサイトへのアプリケーションをサポートします。

重要

管理単位から関連するサイトを削除する場合は、管理単位の SharePoint クエリを編集してサイト メンバーシップを作成できません。 サイトメンバーシップをクリアするサイトが存在しないクエリ結果を作成できます。

管理単位の SharePoint サイト メンバーシップの詳細を Purview で表示する

Microsoft Purview で管理単位の SharePoint クエリを作成した後、管理単位のサイト メンバーを表示できます。 管理単位のユーザー メンバーシップとグループ メンバーシップは、Microsoft Entra ID ポータルからのみ表示されます。

次の手順を実行して、メンバーの詳細ページにアクセスして、Microsoft Purview の管理単位の SharePoint サイト メンバーを表示します。

1. purview.microsoft.com の Microsoft Purview ポータルに移動します
2. 設定を選択し、[ ロールとスコープ] を選択します。
3. [管理単位] を選択します
4. 一覧から既存の管理単位を選択します。
5. メンバーの詳細を選択する
6. SharePoint サイト メンバーの一覧が表示されます。
7. 一覧の [State ]\(状態\) 列には、管理単位に追加されたサイトに対して [追加済み] または [ 削除済み ] が表示されます(サイトが以前に管理単位に含まれているが、SharePoint クエリと一致しなくなった場合は削除されます)。
8. 表示されているサイトの一覧を CSV ファイルにダウンロードするには、 Export 関数を使用します。

注:

メンバーの詳細リストが追加または削除されたサイトを更新するまでに最大 5 日かかる場合があります。

Microsoft Purview ソリューションの管理単位と SharePoint サイト (プレビュー) の詳細については、次を参照してください。

• DLP: 管理単位の制限付きポリシー
• 秘密度ラベル: 管理単位のサポート