Tillatelser i Microsoft Purview-samsvarsportal

Den Microsoft Purview-samsvarsportal støtter direkte administrasjon av tillatelser for brukere som utfører samsvarsoppgaver i Microsoft 365. Denne oppdateringen betyr at du ikke lenger trenger å bruke Office 365 Security & Compliance Center til å administrere tillatelser for samsvarsløsninger. Ved hjelp av den nye Tillatelser-siden i samsvarsportalen kan du administrere tillatelser til brukere for samsvarsoppgaver i funksjoner som enhetsbehandling, Microsoft Purview hindring av datatap, eDiscovery, insider risk management, retention og mange andre. Brukere kan bare utføre samsvarsoppgaver som du eksplisitt gir dem tilgang til.

Hvis du vil vise Tillatelser-fanen i samsvarsportalen, må brukere være en global administrator eller må tilordnes rollen rollebehandling (en rolle tilordnes bare til rollegruppen organisasjonsadministrasjon ). Rollebehandlingsrollen gjør det mulig for brukere å vise, opprette og endre rollegrupper.

Tillatelser i samsvarsportalen er basert på den rollebaserte tilgangskontrollmodellen (RBAC). RBAC er den samme tillatelsesmodellen som brukes av de fleste Microsoft 365-tjenester, så hvis du er kjent med tillatelsesstrukturen i disse tjenestene, vil det bli kjent å gi tillatelser i samsvarsportalen. Det er viktig å huske at tillatelsene som administreres i samsvarsportalen, ikke dekker administrasjonen av alle tillatelsene som kreves i hver enkelt tjeneste. Du må fortsatt administrere bestemte tjenestespesifikke tillatelser i administrasjonssenteret for den bestemte tjenesten. Hvis du for eksempel må tilordne tillatelser for arkivering, revisjon og MRM-oppbevaringspolicyer, må du administrere disse tillatelsene i administrasjonssenteret for Exchange.

Tips

Hvis du ikke er en E5-kunde, kan du bruke den 90-dagers prøveversjonen av Microsoft Purview-løsninger til å utforske hvordan flere Purview-funksjoner kan hjelpe organisasjonen med å administrere datasikkerhet og samsvarsbehov. Start nå på Microsoft Purview-samsvarsportal trials hub. Lær mer om registrering og prøveabonnementer.

Relasjon mellom medlemmer, roller og rollegrupper

En rolle gir tillatelse til å utføre et sett med oppgaver. Saksbehandlingsrollen lar for eksempel brukere arbeide med eDiscovery-saker.

En rollegruppe er et sett med roller som gjør at brukere kan gjøre jobben sin på tvers av samsvarsløsninger i samsvarsportalen. Hvis du for eksempel legger til brukere i rollegruppen Insider Risk Management , er utpekte administratorer, analytikere, etterforskere og revisorer konfigurert for de nødvendige insider risk management-tillatelsene i én enkelt gruppe. Samsvarsportalen inneholder standard rollegrupper for oppgaver og funksjoner for hver samsvarsløsning som du må tilordne personer til. Generelt anbefaler vi at du legger til enkeltbrukere som medlemmer i standard grupper for samsvarsrolle etter behov.

Tillatelser som kreves for å bruke funksjoner i samsvarsportalen

Hvis du vil vise alle standard rollegrupper som er tilgjengelige i samsvarsportalen og rollene som er tilordnet rollegruppene som standard, kan du se Roller og rollegrupper i Microsoft 365 Defender- og Microsoft Purview-samsvarsportalene.

Administrasjon av tillatelser i samsvarsportalen gir bare brukere tilgang til samsvarsfunksjonene som er tilgjengelige i samsvarsportalen. Hvis du vil gi tillatelser til andre funksjoner som ikke finnes i samsvarsportalen, for eksempel regler for Exchange-e-postflyt (også kalt transportregler), må du bruke administrasjonssenteret for Exchange.

Azure-roller i samsvarsportalen

Rollene som vises i delen Azure AD>Roller på tillatelsessiden for samsvarsportalen, er Azure Active Directory-roller. Disse rollene er utformet for å samsvare med jobbfunksjoner i organisasjonens IT-gruppe, noe som gjør det enkelt å gi en person alle tillatelsene som er nødvendige for å få jobben gjort. Du kan vise brukerne som for øyeblikket er tilordnet hver rolle, ved å velge en Admin rolle og vise detaljene i rollepanelet. Hvis du vil administrere medlemmer av en Azure AD rolle, velger du Behandle medlemmer i Azure AD. Dette valget omdirigerer deg til administrasjonsportalen for Azure.

Rolle	Beskrivelse
Global administrator	Tilgang til alle administrative funksjoner i alle Microsoft 365-tjenester. Bare globale administratorer kan tilordne andre administratorroller. Hvis du vil ha mer informasjon, kan du se Global administrator / firmaadministrator.
Administrator for samsvarsdata	Hold oversikt over organisasjonens data på tvers av Microsoft 365, kontroller at de er beskyttet og få innsikt i eventuelle problemer for å redusere risikoer. Hvis du vil ha mer informasjon, kan du se Administrator for samsvarsdata.
Samsvarsadministrator	Hjelp organisasjonen med å overholde eventuelle forskriftsmessige krav, administrere eDiscovery-saker og vedlikeholde policyer for datastyring på tvers av Microsoft 365-plasseringer, identiteter og apper. Hvis du vil ha mer informasjon, kan du se Samsvarsadministrator.
Sikkerhetsoperatør	Vis, undersøk og svar på aktive trusler mot Microsoft 365-brukere, -enheter og -innhold. Hvis du vil ha mer informasjon, kan du se Sikkerhetsoperatør.
Sikkerhetsleser	Vis og undersøk aktive trusler mot Microsoft 365-brukere, -enheter og -innhold, men (i motsetning til sikkerhetsoperatøren) har de ikke tillatelse til å svare ved å iverksette tiltak. Hvis du vil ha mer informasjon, kan du se Sikkerhetsleser.
Sikkerhetsadministrator	Kontroller organisasjonens generelle sikkerhet ved å administrere sikkerhetspolicyer, se gjennom sikkerhetsanalyser og rapporter på tvers av Microsoft 365-produkter og holde deg oppdatert på trussellandskapet. Hvis du vil ha mer informasjon, kan du se Sikkerhetsadministrator.
Global leser	Den skrivebeskyttede versjonen av global administrator-rollen. Vis alle innstillinger og administrativ informasjon på tvers av Microsoft 365. Hvis du vil ha mer informasjon, kan du se Global Reader.
Angrepssimuleringsadministrator	Opprett og administrer alle aspekter ved oppretting av angrepssimulering, lansering/planlegging av en simulering og gjennomgang av simuleringsresultater. Hvis du vil ha mer informasjon, kan du se Administrator for angrepssimulering.
Angrep nyttelast forfatter	Opprett nyttelaster for angrep, men ikke egentlig starte eller planlegge dem. Hvis du vil ha mer informasjon, kan du se Attack Payload Author.

Administrative enheter (forhåndsversjon)

Viktig

Administrative enheter støttes bare i kommersielle Microsoft 365-skyorganisasjoner for offentlig forhåndsversjon.

Administrative enheter lar deg dele organisasjonen inn i mindre enheter, og deretter tilordne bestemte administratorer som bare kan administrere medlemmene av disse enhetene. De lar deg også tilordne administrative enheter til medlemmer av rollegrupper i Microsoft Purview-løsninger, slik at disse administratorene bare kan administrere medlemmene (og tilknyttede funksjoner) for de tilordnede administrative enhetene.

Du kan for eksempel bruke administrative enheter til å delegere tillatelser til administratorer for hvert geografiske område i en stor multinasjonal organisasjon eller for gruppering av administratortilgang etter avdeling i organisasjonen. Du kan opprette område- eller avdelingsspesifikke policyer eller vise brukeraktivitet som et resultat av disse policyene og tildelingen av administrative enheter. Du kan også bruke administrative enheter som et innledende omfang for en policy, der valg av brukere som er kvalifisert for policyen, avhenger av medlemskap i administrative enheter.

Støtte for administrative enheter i Microsoft Purview

Følgende samsvarsløsninger for Microsoft Purview støtter administrative enheter:

Løsning	Konfigurasjonsstøtte
Administrasjon av datalivssyklus	Rollegrupper, oppbevaringspolicyer og oppbevaringsetikettpolicyer
Hindring av tap av data (DLP)	Rollegrupper og DLP-policyer
Kommunikasjonssamsvar	Adaptive omfang
Postbehandling	Rollegrupper, oppbevaringspolicyer, oppbevaringsetikettpolicyer og adaptive omfang
Følsomhetsmerking	Rollegrupper, policyer for følsomhetsetiketter og policyer for automatisk merking

Konfigurasjonen for administrative enheter flyter automatisk ned til følgende funksjoner:

• Varsler: DLP-varsler er bare synlige for brukere i tilordnede administrative enheter
• Aktivitetsutforsker: Aktivitetshendelser er bare synlige for brukere i tilordnede administrative enheter
• Adaptive omfang:
  • Begrensede administratorer kan velge, opprette, redigere og vise adaptive omfang bare for brukere i administratorenes tilordnede administrative enheter
  • Når en begrenset administrator konfigurerer en policy som bruker adaptive omfang, kan denne administratoren bare velge adaptive omfang som er tilordnet til deres administrative enheter
• Behandling av datalivssyklus og postbehandling:
  • Policyoppslag: Begrensede administratorer vil bare se policyer fra brukere i tilordnede administrative enheter
  • Gjennomgang og bekreftelse av fjerning: Begrensede administratorer kan bare legge til korrekturlesere fra de tilordnede administrative enhetene, og se fjerningsvurderinger og elementer som bare fjernes fra brukere i tilordnede administrative enheter

Du kan legge til brukere og grupper i administrative enheter ved hjelp av følgende innebygde rollegrupper:

• Samsvarsadministrator
• Administratorer for samsvarsdata
• Global leser
• Information Protection
• Information Protection administratorer
• Information Protection-analytiker
• Information Protection Etterforskere
• Information Protection lesere
• Organisasjonsadministrasjon
• Postbehandling
• Sikkerhetsadministrator
• Sikkerhetsoperator
• Sikkerhetsleser

Når du tilordner rollegrupper, kan du velge individuelle medlemmer eller grupper og deretter alternativet Tilordne administratorenheter for å velge administrative enheter som er definert i Azure Active Directory:

Viktig

Tilordne administratorenheter er alltid tilgjengelig når du har opprettet egendefinerte rollegrupper. Du kan tilordne administrative enheter for en egendefinert rollegruppe.

Disse administratorene, kalt begrensede administratorer, kan nå velge én eller flere av de tilordnede administrative enhetene for automatisk å definere det opprinnelige omfanget av policyer de oppretter eller redigerer. Bare hvis administratorer ikke har tilordnet administrative enheter (ubegrensede administratorer), kan de tilordne policyer til hele katalogen uten å velge individuelle administrative enheter.

Viktig

Når du har tilordnet administrative enheter til medlemmer av rollegruppene, vil ikke disse begrensede administratorene lenger kunne se og redigere eksisterende policyer. Det er imidlertid ingen operasjonelle endringer i disse policyene, og de forblir synlige og kan redigeres av ubegrensede administratorer.

Begrensede administratorer vil heller ikke lenger kunne se historiske data ved hjelp av funksjoner som støtter administrative enheter, for eksempel aktivitetsutforsker og varsler. De forblir synlige for ubegrensede administratorer. Heretter vil begrensede administratorer kunne se disse relaterte dataene bare for tilordnede administrative enheter.

Forutsetninger for administrative enheter

Før du konfigurerer administrative enheter for samsvarsløsninger for Microsoft Purview, må du sørge for at organisasjonen og brukerne oppfyller følgende abonnements- og lisensieringskrav:

• Azure Active Directory Premium lisensiering

• Microsoft Purview-lisensiering:

  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5/F5 Samsvar og F5 Sikkerhet & Samsvar
  • Microsoft 365 E5/A5/F5 Information Protection & Governance

Konfigurere og bruke administrative enheter

Fullfør følgende trinn for å konfigurere og bruke administrative enheter med samsvarsløsninger for Microsoft Purview:

1. Opprett administrative enheter for å begrense omfanget av rolletillatelser i Azure Active Directory (Azure AD).

2. Legg til brukere og distribusjonsgrupper i administrative enheter.

   Viktig

   Medlemmer av dynamiske distribusjonsgrupper blir ikke automatisk medlemmer av en administrativ enhet.

3. Hvis du oppretter et geografisk område eller avdelingsbaserte administrative enheter, konfigurerer du administrative enheter med dynamiske medlemskapsregler.

   Obs!

   Du kan ikke legge til grupper i en administrativ enhet som bruker dynamiske medlemskapsregler. Opprett om nødvendig to administrative enheter, én for brukere og én for grupper.

4. Bruk hvilken som helst av rollegruppene fra Samsvarsløsninger for Microsoft Purview som støtter administrative enheter for å tilordne administrative enheter til medlemmer.

Når disse begrensede administratorene nå oppretter eller redigerer policyer som støtter administrative enheter, kan de velge administrative enheter slik at bare brukere i disse administrative enhetene blir kvalifisert for policyen:

• Ubegrensede administratorer trenger ikke å velge administrative enheter som en del av policykonfigurasjonen. De kan beholde standardinnstillingen for hele katalogen, eller velge én eller flere administrative enheter.
• Begrensede administratorer må nå velge én eller flere administrative enheter som en del av policykonfigurasjonen.

I tillegg til policykonfigurasjonen må administratorer som valgte administrative enheter, deretter inkludere eller ekskludere (hvis de støttes) individuelle brukere og grupper fra de administrative enhetene de tidligere valgte for policyen.

Hvis du vil ha informasjon om administrative enheter som er spesifikke for hver støttet løsning, kan du se følgende deler:

• For administrasjon av datalivssyklus: Støtte for administrative enheter
• For DLP: Begrensede policyer for administrativ enhet
• For postbehandling: Støtte for administrative enheter
• For følsomhetsmerking: Støtte for administrative enheter

Legge til brukere eller grupper i en innebygd Rollegruppe i Microsoft Purview

Fullfør følgende trinn for å legge til brukere eller grupper i en Microsoft Purview-rollegruppe:

1. Logg på tillatelsesområdet i samsvarsportalen ved hjelp av legitimasjon for en administratorkonto i Microsoft 365-organisasjonen, og gå til Tillatelser for å velge koblingen for å vise og administrere samsvarsroller i Microsoft 365.

2. Utvid delen Microsoft Purview-løsninger , og velg Roller.

3. Velg en Microsoft Purview-rollegruppe du vil legge til brukere i, på siden Rollegrupper for Microsoft Purview-løsninger , og velg deretter Rediger på kontrolllinjen.

4. Velg Velg brukere eller Velg grupperpå siden Rediger medlemmer av rollegruppen.

   Viktig

   Sikkerhetsgrupper støttes bare i kommersielle skyorganisasjoner i Microsoft 365.

5. Merk av for alle brukere eller grupper du vil legge til i rollegruppen.

6. Velg Velg.

7. Hvis de valgte brukerne eller gruppene trenger tilgang for hele organisasjonen som en del av denne rollegruppetilordningen, går du til trinn 10.

8. Hvis de valgte brukerne eller gruppene må tilordnes administrative enheter, velger du brukerne eller gruppene og velger Tilordne administratorenheter.

   Viktig

   Administrative enheter støttes bare i kommersielle Microsoft 365-skyorganisasjoner for offentlig forhåndsversjon.

9. Merk av for alle administrative enheter du vil tilordne til brukere eller grupper, i ruten Tilordne administratorenheter (forhåndsvisning ). Velg Velg.

10. Velg Neste og Lagre for å legge til brukere eller grupper i rollegruppen. Velg Ferdig for å fullføre trinnene.

Fjerne brukere eller grupper fra en innebygd Rollegruppe for Microsoft Purview

Fullfør følgende trinn for å fjerne brukere eller grupper fra en Microsoft Purview-rollegruppe:

1. Logg deg på tillatelsesområdet i samsvarsportalen ved hjelp av legitimasjon for en administratorkonto i Microsoft 365-organisasjonen, og gå til Tillatelser for å velge koblingen for å vise og administrere samsvarsrollene i Microsoft Purview.
2. Utvid delen Microsoft Purview-løsninger , og velg Roller.
3. Velg en Microsoft Purview-rollegruppe du vil fjerne brukere eller grupper fra, på siden Rollegrupper for Microsoft Purview-løsninger , og velg deretter Rediger på kontrolllinjen.
4. Merk av for alle brukere eller grupper du vil fjerne til rollegruppen, på siden Rediger medlemmer av rollegruppen .
5. Velg Fjern medlemmer, og velg deretter Neste.
6. Velg Lagre for å fjerne brukere eller grupper fra rollegruppen. Velg Ferdig for å fullføre trinnene.

Opprette en egendefinert Microsoft Purview-rollegruppe

Fullfør følgende trinn for å opprette en egendefinert Microsoft Purview-rollegruppe:

1. Logg deg på tillatelsesområdet i samsvarsportalen ved hjelp av legitimasjon for en administratorkonto i Microsoft 365-organisasjonen, og gå til Tillatelser.

2. Utvid delen Microsoft Purview-løsninger , og velg Roller.

3. Velg Opprett rollegruppe på siden Rollegrupper for Microsoft Purview-løsninger.

4. Skriv inn et navn for den egendefinerte rollegruppen i Navn-feltet på siden Gi navn til rollegruppen. Navnet på rollegruppen kan ikke endres etter at rollegruppen er opprettet. Hvis det er nødvendig, skriver du inn en beskrivelse for den egendefinerte rollegruppen i Beskrivelse-feltet . Velg Neste for å fortsette.

5. Velg Velg roller på siden Legg til roller i rollegruppen.

6. Merk av i avmerkingsboksene for rollene som skal legges til i den egendefinerte rollegruppen. Velg Velg.

7. Velg Neste for å fortsette.

8. Velg Velg brukere (eller Velg grupper hvis aktuelt) på siden Legg til medlemmer i rollegruppen.

   Viktig

   Sikkerhetsgrupper støttes bare i kommersielle skyorganisasjoner i Microsoft 365.

9. Merk av for brukerne (eller gruppene) som skal legges til i den egendefinerte rollegruppen. Velg Velg.

10. Velg Neste for å fortsette.

11. Hvis de valgte brukerne eller gruppene trenger tilgang for hele organisasjonen som en del av denne rollegruppetilordningen, går du til trinn 14.

12. Hvis de valgte brukerne eller gruppene må tilordnes administrative enheter, velger du brukerne eller gruppene og velger Tilordne administratorenheter.

    Viktig

    Administrative enheter støttes bare i kommersielle Microsoft 365-skyorganisasjoner for offentlig forhåndsversjon.

13. Merk av for alle administrative enheter du vil tilordne til brukere eller grupper, i ruten Tilordne administratorenheter (forhåndsvisning ). Velg Velg.

14. Velg Neste.

15. Se gjennom detaljene for den egendefinerte rollegruppen på siden Se gjennom rollegruppen og fullfør . Hvis du trenger å redigere informasjonen, velger du Rediger i den aktuelle delen. Når alle innstillingene er riktige, velger du Opprett for å opprette den egendefinerte rollegruppen, eller velger Avbryt for å forkaste endringene og ikke opprette den egendefinerte rollegruppen.

Oppdatere en egendefinert Microsoft Purview-rollegruppe

Fullfør følgende trinn for å oppdatere en egendefinert Microsoft Purview-rollegruppe:

1. Logg deg på tillatelsesområdet i samsvarsportalen ved hjelp av legitimasjon for en administratorkonto i Microsoft 365-organisasjonen, og gå til Tillatelser.
2. Utvid delen Microsoft Purview-løsninger , og velg Roller.
3. Velg en Microsoft Purview-rollegruppe du vil oppdatere, på siden Rollegrupper for Microsoft Purview-løsninger , og velg deretter Rediger på kontrolllinjen.
4. Oppdater beskrivelsen for den egendefinerte rollegruppen i Beskrivelse-feltet på siden Gi navn til rollegruppen. Navnet på den egendefinerte rollegruppen kan ikke endres. Velg Neste.
5. På rediger roller på rollegruppesiden kan du velge Velg roller for å legge til roller for å oppdatere rollene som er tilordnet rollegruppen. Du kan også velge en av de tilordnede rollene og velge Fjern roller for å fjerne rollene fra rollegruppen. Når du har oppdatert rollene, velger du Neste.
6. På siden Rediger medlemmer av rollegruppen kan du velge Velg brukere eller Velg grupper for å legge til brukere eller grupper som er tilordnet rollegruppen. Hvis du vil oppdatere de administrative enhetene for brukere eller grupper, velger du en av de tilordnede brukerene eller gruppene og velger Tilordne administratorenheter. Du kan også velge en av de tilordnede brukerne og gruppene og velge Fjern medlemmer for å fjerne brukere eller grupper fra rollegruppen. Når du har oppdatert medlemmene, velger du Neste.
7. Se gjennom detaljene for den egendefinerte rollegruppen på siden Se gjennom rollegruppen og fullfør . Hvis du trenger å redigere informasjonen, velger du Rediger i den aktuelle delen. Når alle innstillingene er riktige, velger du Lagre for å oppdatere den egendefinerte rollegruppen, eller velg Avbryt for å forkaste endringene og ikke oppdatere den egendefinerte rollegruppen.

Slette en egendefinert Microsoft Purview-rollegruppe

Fullfør følgende trinn for å slette en egendefinert Microsoft Purview-rollegruppe:

1. Logg deg på tillatelsesområdet i samsvarsportalen ved hjelp av legitimasjon for en administratorkonto i Microsoft 365-organisasjonen, og gå til Tillatelser.
2. Utvid delen Microsoft Purview-løsninger , og velg Roller.
3. Velg en Microsoft Purview-rollegruppe du vil slette, på siden Rollegrupper for Microsoft Purview-løsninger , og velg deretter Slett på kontrolllinjen.
4. Velg Slett i dialogboksen Slett rollegruppe for å slette rollegruppen, eller velg Avbryt for å avbryte slettingsprosessen.