Административные единицы

Административные единицы позволяют разделить организацию на более мелкие подразделения и назначать определенных администраторов, которые могут управлять только членами этих подразделений. Группы ролей Microsoft Purview позволяют назначать администраторов определенным административным единицам. Решения Microsoft Purview, поддерживающие административную единицу, затем ограничат разрешения на видимость и управление для членов подразделения.

Например, административные единицы можно использовать для делегирования разрешений администраторам для каждого географического региона в крупной многонациональной организации или для группирования доступа администраторов по отделам в вашей организации. Вы можете создавать политики, относящиеся к региону или отделу, или просматривать действия пользователей в результате этих политик и назначения административной единицы. Административные единицы также можно использовать в качестве начального область для политики, где выбор пользователей, имеющих право на использование политики, зависит от членства в административных единицах.

Если вы используете адаптивные области для политик соответствия требованиям, см. статью Как адаптивные области работают с Microsoft Entra административными единицами.

Поддержка административных единиц в Microsoft Purview

Следующие решения соответствия требованиям Microsoft Purview поддерживают административные единицы:

Решение	Поддержка конфигурации
Управление жизненным циклом данных	Группы ролей, политики хранения и политики меток хранения
Data Loss Prevention (DLP)	Группы ролей и политики защиты от потери данных
Соответствие требованиям к обмену данными	Группы ролей и политики
Управление внутренними рисками	Группы ролей и политики
Управление записями	Группы ролей, политики хранения, политики меток хранения и адаптивные области
Метки конфиденциальности	Группы ролей, политики меток конфиденциальности и политики автоматической маркировки

Конфигурация для административных единиц автоматически переходит к следующим функциям:

• Оповещения: оповещения защиты от потери данных видны только пользователям в назначенных административных единицах.
• Обозреватель действий: события действий видны только пользователям в назначенных административных единицах.
• Адаптивные области:
  • Администраторы с ограниченным доступом могут выбирать, создавать, изменять и просматривать адаптивные области только для пользователей в назначенных административных единицах этих администраторов.
  • Когда администратор с ограниченным доступом настраивает политику, которая использует адаптивные области, этот администратор может выбрать только адаптивные области, назначенные их административным единицам.
• Доступ к поиску по журналам аудита
• Соответствие требованиям к обмену данными.
  • Подстановка и настройка политик. Администраторы с ограниченным доступом могут создавать политики или управлять ими только для пользователей, назначенных их административным единицам.
  • Оповещения и совпадения политик. Ограниченные администраторы могут исследовать действия пользователей только для пользователей в назначенных административных единицах.
• Управление жизненным циклом данных и записями.
  • Подстановка политики: администраторы с ограниченным доступом будут видеть политики только от пользователей в назначенных административных единицах.
  • Проверка и проверка ликвидации. Администраторы с ограниченным доступом могут добавлять рецензентов только из назначенных административных единиц и просматривать проверки ликвидации и элементы, удаленные только от пользователей в назначенных административных единицах.
• Управление внутренними рисками.
  • Подстановка и настройка политик. Администраторы с ограниченным доступом могут создавать политики или управлять ими только для пользователей, назначенных их административным единицам.
  • Действия пользователей. Администраторы с ограниченным доступом могут начинать оценку действий или исследовать действия пользователей только для пользователей в назначенных административных единицах.
  • Оповещения и случаи. Администраторы с ограниченным доступом могут просматривать и исследовать оповещения и случаи только для пользователей в назначенных административных единицах.

Чтобы назначить члена группы ролей административной единице, администраторам должна быть назначена роль управления ролями . Дополнительные сведения о группах ролей и ролях Microsoft Purview см. в статье Группы ролей в Microsoft Purview.

Члены группы ролей можно назначать административным единицам в следующих встроенных группах ролей:

• Соответствие требованиям к обмену данными
• Администраторы соответствия требованиям к обмену данными
• Аналитики соответствия требованиям к коммуникациям
• Следователя по соответствию коммуникациям
• Администратор соответствия требованиям
• Администраторы данных соответствия требованиям
• Глобальный читатель
• Защита информации
• Администраторы Information Protection
• Аналитик Information Protection
• Исследователи Information Protection
• Читатели Information Protection
• Управление внутренними рисками
• Администраторы управления внутренними рисками
• Аналитики по управлению внутренними рисками
• Исследователи управления внутренними рисками
• Утверждающие сеансы управления внутренними рисками
• Утверждающие инсайдерские риски
• Управление организацией
• Управление записями
• Администратор безопасности
• Оператор безопасности
• Читатель сведений о безопасности

При назначении групп ролей можно выбрать отдельных участников или группы, а затем выбрать параметр Назначить единицы администрирования, чтобы выбрать административные единицы, определенные в Microsoft Entra ID:

Важно!

Назначение единиц администрирования всегда доступно при создании настраиваемых групп ролей. Можно назначить административные единицы для любой настраиваемой группы ролей.

Эти администраторы, называемые администраторами с ограниченным доступом, теперь могут выбрать одну или несколько назначенных административных единиц для автоматического определения начального область политик, которые они создают или редактируют. Только если администраторам не назначены административные единицы (неограниченные администраторы), они смогут назначать политики всему каталогу без необходимости выбирать отдельные административные единицы.

Важно!

После назначения административных единиц членам групп ролей эти ограниченные администраторы больше не смогут просматривать и изменять существующие политики. Однако эти политики не изменяются, и они остаются видимыми и могут быть изменены неограниченными администраторами.

Администраторы с ограниченным доступом также больше не смогут просматривать исторические данные с помощью функций, поддерживающих административные единицы, таких как обозреватель действий и оповещения. Они остаются видимыми для неограниченных администраторов. В дальнейшем ограниченные администраторы смогут просматривать эти связанные данные только для назначенных административных единиц.

Примечание.

Помимо возможности настройки и просмотра оповещений, пользователи с ролями аналитика Information Protection и следователя Information Protection могут искать журналы аудита с помощью командлета Search-UnifiedAuditLog.

Предварительные требования для административных единиц

Перед настройкой административных единиц для решений соответствия требованиям Microsoft Purview убедитесь, что ваша организация и пользователи соответствуют следующим требованиям к подписке и лицензированию:

• лицензирование Microsoft Entra ID P1 или P2

• Лицензирование Microsoft Purview:

  • Microsoft 365 E5/A5/G5
  • соответствие требованиям Microsoft 365 E5/A5/G5/F5 или F5 & безопасности F5
  • управление Microsoft 365 E5/A5/G5/F5 Information Protection &
  • управление внутренними рисками Microsoft 365 E5/A5/F5

Настройка и использование административных единиц

Выполните следующие действия, чтобы настроить и использовать административные единицы в решениях соответствия требованиям Microsoft Purview.

1. Create административные единицы для ограничения область разрешений ролей в Microsoft Entra ID.

2. Добавление пользователей и групп рассылки в административные единицы.

   Важно!

   Члены динамического распределения Группы не становятся автоматически членами административной единицы.

3. При создании географических регионов или административных единиц на основе отделов настройте административные единицы с правилами динамического членства.

   Примечание.

   Нельзя добавлять группы в административную единицу, которая использует правила динамического членства. При необходимости создайте две административные единицы: одну для пользователей, а другую — для групп.

4. Используйте любую из групп ролей из решений соответствия требованиям Microsoft Purview, поддерживающих административные единицы, для назначения административных единиц участникам.

Теперь, когда администраторы с ограниченным доступом создают или редактируют политики, поддерживающие административные единицы, они могут выбрать административные единицы, чтобы только пользователи в этих административных единицах могли иметь право на использование политики:

• Неограниченным администраторам не нужно выбирать административные единицы в рамках конфигурации политики. Они могут сохранить значение по умолчанию для всего каталога или выбрать одну или несколько административных единиц.
• Администраторы с ограниченным доступом теперь должны выбрать одну или несколько административных единиц в рамках конфигурации политики.

Далее в конфигурации политики администраторы, которые выбрали административные единицы, должны включать или исключать (при поддержке) отдельных пользователей и групп из административных единиц, выбранных ранее для политики.

Сведения об административных единицах, характерных для каждого поддерживаемого решения, см. в следующих разделах:

• Для аудита: определение области доступа к журналам аудита с помощью административных единиц
• Для обеспечения соответствия требованиям к обмену данными: рассмотрите административные единицы, если вы хотите область разрешения пользователей в регион или отдел.
• Для управления жизненным циклом данных: поддержка административных единиц
• Для защиты от потери данных: политики ограниченного доступа к административным единицам
• Для управления внутренними рисками: рассмотрите административные единицы, если вы хотите область разрешения пользователей в регионе или отделе.
• Для управления записями: поддержка административных единиц
• Для маркировки конфиденциальности: поддержка административных единиц