Поделиться через

Назначение разрешений в обнаружении электронных данных

Чтобы использовать возможности и функции обнаружения электронных данных на портале Microsoft Purview, назначьте пользователям соответствующие разрешения. Самый простой способ назначить роли — добавить пользователей в соответствующую группу ролей на странице Группы ролей на портале Microsoft Purview. В этой статье описываются разрешения, необходимые для выполнения задач обнаружения электронных данных.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Роли и группы ролей обнаружения электронных данных

Основная группа ролей, связанная с обнаружением электронных данных, на портале Microsoft Purview называется диспетчером обнаружения электронных данных. Эта группа ролей содержит две подгруппы:

  • Диспетчер обнаружения электронных данных. Диспетчер обнаружения электронных данных может искать содержимое в организации и выполнять различные действия, связанные с поиском, такие как предварительный просмотр и экспорт результатов поиска в eDiscovery. Участники также могут создавать дела и управлять ими, добавлять и удалять пользователей для дела, создавать удержания дела, выполнять поиск, связанные с делом, и получать доступ к данным о случаях. Менеджеры по обнаружению электронных данных могут получать доступ только к создаваемым ими делам. Они не могут получать доступ к делам, созданным другими менеджерами по обнаружению электронных данных.

    • Вы можете добавить группу безопасности с поддержкой почты в качестве члена подгруппы диспетчеров обнаружения электронных данных в группе ролей диспетчера электронных данных с помощью командлета Add-RoleGroupMember в PowerShell для обеспечения соответствия требованиям безопасности &. Например, можно выполнить следующую команду, чтобы добавить группу безопасности с поддержкой почты в группу ролей диспетчера обнаружения электронных данных.
    Add-RoleGroupMember "eDiscoveryManager" -Member <name of security group>

    • Группы рассылки Exchange и Группы Microsoft 365 не поддерживаются. Необходимо использовать группу безопасности с поддержкой почты, которую можно создать в Exchange Online PowerShell, запустив New-DistributionGroup -Type Security. Вы также можете создать группу безопасности с поддержкой почты (и добавить участников) в Центре администрирования Exchange или в Центр администрирования Microsoft 365. После создания новой группы безопасности с поддержкой почты может потребоваться до 60 минут, чтобы добавить ее в группу ролей Диспетчеры обнаружения электронных данных.

    • Вы не можете сделать группу безопасности с поддержкой почты администратором обнаружения электронных данных с помощью командлета Add-eDiscoveryCaseAdmin в PowerShell для обеспечения соответствия требованиям безопасности &. В качестве администраторов обнаружения электронных данных можно добавлять только отдельных пользователей.

    • Вы также не можете добавить группу безопасности с поддержкой почты в качестве участника дела.

  • Администратор обнаружения электронных данных. Администратор обнаружения электронных данных является членом группы ролей Диспетчер обнаружения электронных данных и может выполнять те же задачи, связанные с поиском контента и управлением делами, которые может выполнять диспетчер обнаружения электронных данных. Кроме того, администратор, ответственный за обнаружение электронных данных, может выполнять указанные ниже действия.

    • Доступ ко всем делам, перечисленным в области обнаружения электронных данных на портале Microsoft Purview.
    • Настройка параметров решения для обнаружения электронных данных.
    • Доступ к процессам и удержанию отчетов в пределах всех случаев.
    • Доступ к данным о случаях для любого случая в организации.
    • Управлять всеми делами обнаружения электронных данных после добавления себя в качестве участника дела.
    • Удалите участников из дела обнаружения электронных данных. Только администратор обнаружения электронных данных может удалять участников из дела. Пользователь, являющийся членом подгруппы менеджеров по обнаружению электронных данных, не может удалять участников из дела, даже созданного им самим.
    • Если пользователь, который является единственным участником дела eDiscovery, покидает вашу организацию, никто (включая членов группы ролей "Управление организацией " или другого участника группы ролей диспетчера электронных данных ) не сможет получить доступ к делу обнаружения электронных данных, так как он не является участником дела. В этом случае невозможно получить доступ к данным. Но так как администратор обнаружения электронных данных может получить доступ ко всем случаям обнаружения электронных данных в организации, он может просмотреть дело и добавить себя или другого менеджера по обнаружению электронных данных в качестве участника дела.
    • Администратор обнаружения электронных данных может просматривать и получать доступ ко всем случаям обнаружения электронных данных, выполнять аудит и контролировать все случаи и связанные с ними поисковые запросы. Эта функция помогает предотвратить любое неправильное использование поиска соответствия требованиям или случаев обнаружения электронных данных. Так как администраторы обнаружения электронных данных могут получать доступ к потенциально конфиденциальной информации в результатах поиска соответствия требованиям, следует ограничить число пользователей, которые являются администраторами обнаружения электронных данных.

    Примечание.

    Чтобы проанализировать данные пользователя при включении функций обнаружения электронных данных уровня "Премиум", ему должна быть назначена лицензия на Office 365 E5 или Microsoft 365 E5. Кроме того, пользователям с лицензией Office 365 E1, Office 365 или Microsoft 365 E3 можно назначить Microsoft Purview Suite (ранее — Соответствие требованиям Microsoft 365 E5) или лицензия на надстройку microsoft 365 eDiscovery и audit. Администраторам, сотрудникам по соответствию требованиям или юридическим сотрудникам, которые назначены в качестве участников и используют премиум-функции обнаружения электронных данных для сбора, просмотра и анализа данных, лицензия E5 не требуется. Дополнительные сведения о подписках и лицензировании см. в разделе Требования к подписке для обнаружения электронных данных.

Перед назначением разрешений

  • Для назначения разрешений на обнаружение электронных данных на портале Microsoft Purview необходимо быть членом группы ролей "Управление организацией " или быть назначена роль "Управление ролями".
  • Командлет Add-RoleGroupMember в PowerShell для соответствия требованиям безопасности & можно добавить группу безопасности с поддержкой почты в качестве члена подгруппы диспетчеров обнаружения электронных данных в группе ролей eDiscovery Manager . Однако вы не можете добавить группу безопасности с поддержкой почты в подгруппу администраторов обнаружения электронных данных.

Назначение разрешений на обнаружение электронных данных

  1. Перейдите на портал Microsoft Purview и войдите с учетной записью, которая может назначать разрешения.

  2. Перейдите в раздел Параметры Группы>ролей.

  3. В разделе Группы ролей для решений Microsoft Purview выберите Диспетчер обнаружения электронных данных.

  4. На панели Диспетчер обнаружения электронных данных выполните одно из следующих действий на основе разрешений обнаружения электронных данных, которые вы хотите назначить.

    • Нажмите Изменить.
    • В разделе Управление диспетчером обнаружения электронных данных выберите Выбрать пользователей или Выбрать группы.
    • Найдите и выберите пользователей, которые вы хотите добавить в качестве диспетчера обнаружения электронных данных, а затем нажмите кнопку Выбрать.
    • Нажмите кнопку Далее.
    • Чтобы назначить пользователей группе ролей Администратор обнаружения электронных данных , выберите Выбрать пользователей или Выбрать группы.
    • Найдите и выберите пользователей, которые вы хотите добавить в качестве администратора обнаружения электронных данных, а затем нажмите кнопку Выбрать.
    • Нажмите кнопку Далее.

  5. Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 8.

  6. Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.

  7. В разделе Назначение единиц администрирования установите флажок для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.

  8. Выберите Далее и Сохранить , чтобы добавить пользователей или группы в группу ролей. Нажмите кнопку Готово , чтобы выполнить действия.

Примечание.

Вы также можете использовать командлет Add-eDiscoveryCaseAdmin , чтобы сделать пользователя администратором обнаружения электронных данных. Однако необходимо назначить роль "Управление обращениями " пользователю, прежде чем использовать этот командлет, чтобы сделать его администратором обнаружения электронных данных. Дополнительные сведения см. в разделе Add-eDiscoveryCaseAdmin.

На странице Группы ролей на портале Microsoft Purview можно также назначить пользователям разрешения, связанные с обнаружением электронных данных, добавив их в группы ролей "Администратор соответствия требованиям", "Управление организацией" и "Рецензент ". Описание ролей управления доступом на основе ролей, связанных с обнаружением электронных данных, назначенных каждой из этих групп ролей, см. в статье Роли управления доступом на основе ролей, связанные с обнаружением электронных данных.

В следующей таблице перечислены связанные с обнаружением электронных данных роли управления доступом на основе ролей на портале Microsoft Purview и показаны встроенные группы ролей, к которым каждая роль принадлежит по умолчанию.

Role Администратор соответствия требованиям Администратор & диспетчера обнаружения электронных данных Управление организацией Reviewer
Управление обращениями Флажок. Флажок. Флажок.
Коммуникации Флажок.
Поиск соответствия Флажок. Флажок. Флажок.
Хранитель (источники данных) Флажок.
Экспорт Флажок.
Hold Флажок. Флажок. Флажок.
Управление тегами набора для проверки Флажок.
Предварительная версия Флажок.
Проверка Флажок. Флажок
Расшифровка RMS Флажок
Поиск и очистка Флажок

Примечание.

Чтобы просмотреть список случаев обнаружения электронных данных, пользователь должен иметь хотя бы одну из ролей, перечисленных в предыдущей таблице. Для пользователей, которые не являются администраторами обнаружения электронных данных, отображаемые случаи ограничены теми, в которых пользователь является участником. Роль хранителя предоставляет доступ к вкладке Источники данных в eDiscovery для управления источниками данных, связанными с конкретными случаями.

Выполните следующий диагностический тест, чтобы проверка, назначены ли роли экспорта, предварительного просмотра или поиска назначенной учетной записи администратора.

  1. Выберите элемент управления Справка в правом верхнем углу портала Microsoft Purview. Введите Diag:edisRBACdiag в поиске (или щелкните эту ссылку), чтобы запустить тест проверки RBAC eDiscovery .
  2. В разделе Запуск диагностика введите имя участника-пользователя или адрес электронной почты пользователя, пытающегося выполнить задачу экспорта, предварительного просмотра или поиска.
  3. Выберите Выполнить тесты. Если у пользователя нет необходимых ролей обнаружения электронных данных, назначьте роли для выполнения требуемой задачи.

Пользовательские сочетания ролей

Если необходимо предоставить пользовательский доступ к определенным компонентам обнаружения электронных данных для определенных пользователей, используйте настраиваемые сочетания ролей для определенных пользователей. Например, может потребоваться разрешить пользователю управлять источниками данных, но без доступа к функциям поиска. Для другого пользователя может потребоваться разрешить управление поиском, но без доступа к источникам данных.

При необходимости рассмотрите возможность использования следующих сочетаний ролей:

  • Роли "Управление обращениями" и "Поиск " для доступа только к функциям поиска.
  • Управление делами и роли хранителя для доступа только к функциям источника данных.
  • Роли "Управление обращениями", "Проверка" и "Управление тегами" для доступа только к функциям проверки.
  • Роли "Управление обращениями" и "Удержание " для доступа только к функциям удержания.
  • Роли "Управление делами" и "Экспорт" для доступа только к функциям экспорта.
  • Роли "Управление обращениями", "Поиск" и "Очистка " для доступа только к функциям очистки.

Роли обнаружения электронных данных

В следующих разделах описана каждая из ролей управления доступом на основе ролей, связанных с обнаружением электронных данных, перечисленных в предыдущей таблице.

Управление обращениями

Эта роль позволяет пользователям создавать, изменять, удалять и управлять доступом к случаям обнаружения электронных данных на портале Microsoft Purview. Перед использованием командлета Add-eDiscoveryCaseAdmin необходимо назначить роль управления делами, чтобы сделать пользователя администратором обнаружения электронных данных. Дополнительные сведения см. в статье Начало работы с обнаружением электронных данных.

Эта роль позволяет пользователям искать почтовые ящики и общедоступные папки, сайты SharePoint, сайты OneDrive, беседы Skype для бизнеса, группы Microsoft 365, Microsoft Teams и группы Viva Engage. Эта роль позволяет пользователю получить оценку результатов поиска и создать отчеты об экспорте, но для инициирования действий поиска, таких как предварительный просмотр, экспорт или удаление результатов поиска, требуются другие роли.

В обнаружении электронных данных пользователи, которым назначена роль поиска по соответствию, но не имеют роли предварительного просмотра , могут просмотреть результаты поиска, когда пользователь, назначивший роль предварительного просмотра , инициирует действие предварительного просмотра. Пользователь без роли предварительного просмотра может просматривать результаты в течение двух недель после создания первоначального действия предварительного просмотра.

Аналогичным образом пользователи в eDiscovery, которым назначена роль поиска по соответствию, но не имеют роли Экспорт , могут скачать результаты поиска, когда пользователь, которому назначена роль Экспорт, инициирует действие экспорта. Пользователь без роли "Экспорт" может скачать результаты поиска в течение двух недель после создания первоначального действия экспорта. После этого они не смогут скачать результаты, если кто-то с ролью экспорта не перезапустит экспорт.

Двухнедельный льготный период для предварительного просмотра и экспорта результатов поиска (без соответствующих ролей поиска и экспорта) не применяется, если в обнаружении электронных данных включены функции premium. Пользователям должны быть назначены роли предварительного просмотра и экспорта для предварительного просмотра и экспорта содержимого, если включены функции обнаружения электронных данных уровня "Премиум".

Хранитель

Эта роль позволяет пользователям определять хранителей и управлять ими для случаев обнаружения электронных данных, управляемых в устаревших Портал соответствия требованиям Microsoft Purview, а также использовать сведения из Microsoft Entra ID и других источников для поиска источников данных, связанных с хранителями. Пользователь может связать с хранителями другие источники данных, такие как почтовые ящики, сайты SharePoint и Teams. Пользователь также может по закону удерживать источники данных, связанные с хранителями, чтобы сохранить содержимое в контексте дела.

Экспорт

Эта роль позволяет пользователям экспортировать результаты поиска на локальный компьютер. Это также позволяет им подготовить результаты поиска для анализа, если включены функции обнаружения электронных данных уровня "Премиум". Дополнительные сведения об экспорте результатов поиска см. в разделе Экспорт результатов поиска в eDiscovery.

Hold

Эта роль позволяет пользователям размещать содержимое на удержание в почтовых ящиках, общедоступных папках, сайтах, беседах Skype для бизнеса и группах Microsoft 365. Если содержимое находится на удержании, владельцы содержимого по-прежнему могут изменять или удалять исходное содержимое, но содержимое сохраняется до тех пор, пока удержание не будет удалено или до истечения срока хранения. Дополнительные сведения об удержании см. в статье Создание удержания в eDiscovery.

Управление тегами набора для проверки

Эта роль позволяет пользователям создавать, изменять и удалять теги набора проверок для случаев, к которые они могут получить доступ. Пользователи должны по крайней мере иметь роль "Проверка " и эту роль для управления тегами во время проверок.

Предварительная версия

Эта роль позволяет пользователям просматривать список элементов, возвращаемых при поиске. Пользователи также могут открывать и просматривать каждый элемент из списка, чтобы просмотреть его содержимое.

Проверка

Эта роль позволяет пользователям получать доступ к наборам проверок в eDiscovery. Пользователи, которым назначена эта роль, могут просматривать и открывать список вариантов, участниками которых они являются. Когда пользователь обращается к делу обнаружения электронных данных, он может выбрать Проверить наборы, чтобы получить доступ к данным о случаях. Эта роль не позволяет пользователю просматривать результаты поиска, связанного с делом, или выполнять другие задачи поиска или управления обращениями. Пользователи с этой ролью могут получить доступ только к данным в наборе для проверки.

Расшифровка RMS

Эта роль позволяет пользователям просматривать защищенные правами сообщения электронной почты при предварительном просмотре результатов поиска и экспорте расшифрованных сообщений электронной почты, защищенных правами. Эта роль также позволяет пользователям просматривать (и экспортировать) файл, зашифрованный с помощью технологии шифрования Майкрософт , когда зашифрованный файл присоединяется к сообщению электронной почты, включенному в результаты поиска eDiscovery. Кроме того, эта роль позволяет пользователям просматривать и запрашивать зашифрованные вложения электронной почты, которые добавляются в набор проверки в обнаружении электронных данных. Дополнительные сведения о расшифровке в eDiscovery см. в разделе Расшифровка в средствах microsoft 365 eDiscovery.

Поиск и очистка

Эта роль позволяет пользователям выполнять массовое удаление данных, соответствующих критериям поиска. Дополнительные сведения см. в статье Поиск и удаление сообщений электронной почты в eDiscovery.

Добавление групп ролей в качестве членов случаев обнаружения электронных данных

Группы ролей можно добавлять в качестве членов случаев обнаружения электронных данных, чтобы члены групп ролей могли получать доступ к назначенным делам и выполнять задачи в назначенных случаях. Роли, назначенные группе ролей, определяют, что члены группы ролей могут делать. При добавлении группы ролей в качестве участника дела участники могут получать доступ к этим задачам и выполнять их в определенном случае.

Учитывая это требование, при добавлении или удалении роли из группы ролей группа ролей автоматически удаляется как член любого случая, к которому она принадлежит. Такое поведение защищает организацию от непреднамеренного предоставления дополнительных разрешений участникам дела. Аналогичным образом, при удалении группы ролей она удаляется из всех случаев, в которые она входила.

Перед добавлением или удалением ролей в группе ролей, которая может быть участником дела eDiscovery, выполните следующие команды в PowerShell для обеспечения соответствия требованиям безопасности & , чтобы получить список случаев, в которые входит группа ролей. После обновления группы ролей добавьте ее обратно в качестве участника этих случаев.

  • Last updated on