Разрешения на портале #REF!

Портал #REF! поддерживает прямое управление разрешениями для пользователей, выполняющих задачи в #REF!. С помощью области Роли и области в разделе Параметры портала можно управлять разрешениями для пользователей в решениях по обеспечению безопасности данных, управлению данными, а также в решениях для управления рисками и соответствием требованиям. Пользователи могут выполнять только определенные задачи, к которым им явно предоставляется доступ.

Чтобы просмотреть группы ролей в области Роли и области на портале #REF!, пользователям необходимо быть глобальным администратором или назначить роль "Управление ролями " (роль назначается только группе ролей "Управление организацией "). Роль "Управление ролями" позволяет пользователям просматривать, создавать и изменять группы ролей.

Использование ролей с наименьшими разрешениями

Используйте роли с наименьшими разрешениями. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. При планировании стратегии управления доступом следуйте рекомендациям по управлению доступом с наименьшими привилегиями для пользователей. Минимальные привилегии означает, что вы предоставляете администраторам именно те разрешения, которые им необходимы для выполнения своей работы.

Разрешения #REF!

На портале #REF! используется модель разрешений управления доступом на основе ролей (RBAC). Большинство служб Microsoft 365 используют RBAC, поэтому, если вы знакомы со структурой разрешений в этих службах, предоставление разрешений на портале #REF! аналогично. Разрешения, которыми вы управляете на портале #REF!, не охватывают управление всеми разрешениями, необходимыми для каждой отдельной службы. Вам по-прежнему необходимо управлять определенными разрешениями для конкретной службы в Центре администрирования для конкретной службы. Например, если вам нужно назначить разрешения на архивацию, аудит и политики хранения MRM, необходимо управлять этими разрешениями в Центре администрирования Exchange.

Конкретные рекомендации по разрешениям решения #REF! см. в следующих статьях:

• Адаптивная защита — управление внутренними рисками
• Административные единицы
• Аудит
• Политики сбора
• Соответствие требованиям к обмену данными
• Диспетчер соответствия требованиям
• Классификация данных — Обозреватель действий
• Классификация данных — Обозреватель содержимого
• Классификация данных — Data Explorer
• Управление данными — Единый каталог
• Управление данными — классическая Каталог данных
• Управление жизненным циклом данных
• Защита от потери данных
• Исследования по безопасности данных
• Управление состоянием безопасности данных
• Управление состоянием безопасности данных для ИИ
• Подключение устройства
• Обнаружение электронных данных
• Информационные барьеры
• Управление внутренними рисками
• Управление привилегированным доступом
• Управление записями
• Агент рассмотрения в защите от потери данных)
• Агент рассмотрения в управлении внутренними рисками
• Security Copilot для Purview
• Типы конфиденциальной информации — настраиваемые
• Типы конфиденциальной информации — точное соответствие данных
• Метки конфиденциальности

Чтобы просмотреть все группы ролей по умолчанию, доступные на портале #REF!, и роли, назначенные группам ролей по умолчанию, см. в статье Роли и группы ролей на порталах #REF! и #REF!.

Управление разрешениями на портале #REF! предоставляет пользователям доступ только к функциям соответствия требованиям и управления, доступным на портале #REF!. Чтобы предоставить разрешения другим функциям, которые отсутствуют на портале #REF!, таким как правила потока обработки почты Exchange (также известные как правила транспорта), используйте Центр администрирования Exchange.

Текущие роли управления и группы ролей охватывают только широкий доступ к Схема данных #REF! и Единый каталог. Для большего доступа система управления #REF! использует сочетание групп ролей, доступа к данным и разрешений для конкретного решения.

Связи между участниками, ролями и группами ролей

Роль предоставляет разрешения на выполнение набора задач. Например, роль "Управление делами " позволяет пользователям работать с случаями обнаружения электронных данных.

Группа ролей — это набор ролей, которые позволяют пользователям выполнять свою работу в решениях по обеспечению соответствия требованиям и управлению на портале #REF!. Например, добавляя пользователей в группу ролей Управление внутренними рисками , назначенные администраторы, аналитики, следователи и аудиторы получают необходимые разрешения на управление внутренними рисками в одной группе. Портал #REF! включает группы ролей по умолчанию для задач и функций для каждого решения по обеспечению соответствия требованиям и управления, которым необходимо назначить людей. Как правило, при необходимости добавьте отдельных пользователей в качестве участников в группы ролей по умолчанию.

#REF! роли на портале #REF!

Роли, которые отображаются в разделе Microsoft Entra ID области Роли и области, являются #REF! ролями, и глобальные администраторы могут просмотреть этот раздел. Эти роли соответствуют функциям работы в ИТ-группе вашей организации, что упрощает предоставление пользователю всех разрешений, необходимых для выполнения своей работы. Вы можете просмотреть пользователей, назначенных каждой роли, выбрав роль администратора и просмотрев сведения о панели ролей. Чтобы управлять членами #REF! роли, выберите Управление участниками в Microsoft Entra ID. Этот вариант перенаправляет вас на портал управления #REF!.

Дополнительные сведения о #REF! ролях см. в разделе #REF! встроенные роли.

Role	Описание
Автор полезных данных для атаки	Создавайте полезные данные атаки, но не запускайте и не планируйте их. Дополнительные сведения см. в разделе Автор полезных данных атаки.
Администратор имитации атак	Создавайте и управляйте всеми аспектами создания симуляции атаки, запуском и планированием симуляции, а также просмотром результатов симуляции. Дополнительные сведения см. в разделе Администраторы симуляции атаки.
Администратор соответствия	Помощь вашей организации в соблюдении любых нормативных требований, управление делами обнаружения электронных данных и ведение политик управления данными в расположениях, удостоверениях и приложениях Microsoft 365. Дополнительные сведения см. в разделе Администратор соответствия требованиям.
Администратор данных соответствия требованиям	Отслеживание данных вашей организации в службах Microsoft 365, обеспечение их защиты и получение аналитики о любых проблемах для уменьшения рисков. Дополнительные сведения см. в разделе Администратор данных соответствия требованиям.
Глобальный администратор	Доступ ко всем возможностям администрирования во всех службах Microsoft 365. Только глобальные администраторы могут назначать другие административные роли. Дополнительные сведения см. в разделе Глобальный администратор / администратор компании.
Глобальное средство чтения	Вариант роли Глобального администратора с правами только чтения. Просмотр всех параметров и административной информации во всех продуктах Microsoft 365. Дополнительные сведения см. в разделе Глобальный читатель.
Администратор безопасности	Контроль общей безопасности вашей организации посредством управления политиками безопасности, просмотра аналитики и отчетов о безопасности в различных продуктах Microsoft 365, а также получения последних данных о текущем ландшафте угроз. Дополнительные сведения см. в разделе Администратор безопасности.
Оператор безопасности	Просмотр и изучение активных угроз безопасности пользователей Microsoft 365, устройств, работающих с этой службой, и хранящегося в ней содержимого, а также реагирование на эти угрозы. Дополнительные сведения см. в разделе Оператор безопасности.
Средство чтения безопасности	Просматривайте и изучайте активные угрозы для пользователей, устройств и содержимого Microsoft 365, но (в отличие от оператора безопасности) у них нет разрешений на реагирование, принимая меры. Дополнительные сведения см. в разделе Читатель сведений о безопасности.

Приоритет ролей и поведение область

При назначении роли Entra и назначения группы ролей #REF! пользователю или группе (например, группе ролей, ограниченной административной единицей), роль Entra имеет приоритет во время выполнения. В результате действующие разрешения пользователя удаляются, даже если также существует назначение ролей с заданной областью.

• Пример 1. Если назначить пользователю роль администратора соответствия требованиям в Entra, а также роль администратора соответствия требованиям в #REF!, роль Entra переопределяет назначение с заданной областью. Фактический доступ пользователя недоступен, и он может получить доступ ко всем сущностям, доступным для этой роли, без определения области административной единицы.
• Пример 2. Если назначить пользователю роль глобального читателя в Entra и назначить роль управления соответствием требованиям DLP в #REF!, все функции или ИНТЕРФЕЙСы API, пересекающиеся между этими ролями, предоставляют пользователю неограниченный доступ к соответствующим данным.
• Пример 3. При наличии обоих назначений ролей #REF! и ролей Entra роли Entra всегда имеют приоритет, а область, применяемая через административные единицы, не ограничивает действующие разрешения пользователя для перекрывающихся возможностей.

Добавление пользователей или групп во встроенную группу ролей #REF!

Чтобы добавить пользователей или группы в группу ролей #REF!, выполните следующие действия.

1. Войдите на портал #REF! , используя учетные данные для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.

2. Выберите Группы ролей.

3. В разделе Группы ролей для решений #REF! выберите группу ролей #REF!, в которую нужно добавить пользователей. Выберите Изменить на панели управления.

4. В разделе Изменение членов группы ролей выберите Выбрать пользователей или Выбрать группы.

   Важно!

   Группы безопасности поддерживаются только в коммерческих облачных организациях Microsoft 365.

5. Выберите поле проверка для всех пользователей или групп, которые вы хотите добавить в группу ролей.

6. Выберите Выбрать.

7. Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 10.

8. Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.

9. В разделе Назначение единиц администрирования выберите поле проверка для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.

10. Выберите Далее и Сохранить , чтобы добавить пользователей или группы в группу ролей. Нажмите кнопку Готово , чтобы выполнить действия.

Удаление пользователей или групп из встроенной группы ролей #REF!

Выполните следующие действия, чтобы удалить пользователей или группы из группы ролей #REF!.

1. Войдите на портал #REF! , используя учетные данные для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
2. Выберите Группы ролей.
3. В разделе Группы ролей для решений #REF! выберите группу ролей #REF!, из которой нужно удалить пользователей или группы. Выберите Изменить на панели управления.
4. В разделе Изменение членов группы ролей выберите поле проверка для всех пользователей или групп, которые нужно удалить из группы ролей.
5. Выберите Удалить участников, а затем нажмите кнопку Далее.
6. Нажмите кнопку Сохранить , чтобы удалить пользователей или группы из группы ролей. Нажмите кнопку Готово , чтобы выполнить действия.

Создание настраиваемой группы ролей #REF!

Выполните следующие действия, чтобы создать пользовательскую группу ролей #REF!.

1. Войдите на портал #REF! , используя учетные данные для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.

2. Выберите Группы ролей.

3. В разделе Группы ролей для решений #REF! выберите Создать группу ролей.

4. В поле Имя группы ролей введите имя настраиваемой группы ролей в поле Имя . Вы не сможете изменить имя группы ролей после ее создания. При необходимости введите описание настраиваемой группы ролей в поле Описание . Нажмите кнопку Далее, чтобы продолжить.

5. В разделе Добавление ролей в группу ролей выберите Выбрать роли.

6. Установите флажки для ролей, которые нужно добавить в настраиваемую группу ролей. Выберите Выбрать.

7. Нажмите кнопку Далее, чтобы продолжить.

8. В разделе Добавление участников в группу ролей выберите Выбрать пользователей (или Выбрать группы , если применимо).

   Важно!

   Группы безопасности поддерживаются только в коммерческих облачных организациях Microsoft 365.

9. Установите флажки для пользователей (или групп), которые нужно добавить в настраиваемую группу ролей. Выберите Выбрать.

10. Нажмите кнопку Далее, чтобы продолжить.

11. Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 14.

12. Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.

13. В разделе Назначение единиц администрирования выберите поле проверка для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.

14. Нажмите кнопку Далее.

15. В разделе Просмотр группы ролей и завершение просмотрите сведения о настраиваемой группе ролей. Если необходимо изменить сведения, выберите Изменить в соответствующем разделе. Если все параметры заданы правильно, нажмите кнопку Создать , чтобы создать настраиваемую группу ролей, или кнопку Отмена , чтобы отменить изменения и не создавать настраиваемую группу ролей.

Обновление настраиваемой группы ролей #REF!

Выполните следующие действия, чтобы обновить настраиваемую группу ролей #REF!.

1. Войдите на портал #REF! , используя учетные данные для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
2. Выберите Группы ролей.
3. В разделе Группы ролей для решений #REF! выберите группу ролей #REF!, которую требуется обновить, а затем выберите Изменить на панели управления.
4. В разделе Имя группы ролей обновите описание настраиваемой группы ролей в поле Описание . Имя настраиваемой группы ролей изменить нельзя. Нажмите кнопку Далее.
5. В разделе Изменение ролей группы ролей выберите Выбрать роли для добавления ролей, чтобы обновить роли, назначенные группе ролей. Вы также можете выбрать любую из назначенных ролей и выбрать Удалить роли , чтобы удалить роли из группы ролей. После обновления ролей нажмите кнопку Далее.
6. В разделе Изменение членов группы ролей выберите Выбрать пользователей или Выбрать группы , чтобы добавить пользователей или группы, назначенные группе ролей. Чтобы обновить административные единицы для пользователей или групп, выберите любого из назначенных пользователей или групп и выберите Назначить единицы администрирования. Вы также можете выбрать любого из назначенных пользователей и групп и выбрать Удалить участников , чтобы удалить пользователей или группы из группы ролей. После обновления участников нажмите кнопку Далее.
7. В разделе Просмотр группы ролей и завершение просмотрите сведения о настраиваемой группе ролей. Если необходимо изменить сведения, выберите Изменить в соответствующем разделе. Если все параметры заданы правильно, нажмите кнопку Сохранить , чтобы обновить настраиваемую группу ролей, или нажмите кнопку Отмена , чтобы отменить изменения и не обновлять настраиваемую группу ролей.

Удаление настраиваемой группы ролей #REF!

Выполните следующие действия, чтобы удалить пользовательскую группу ролей #REF!.

1. Войдите на портал #REF! , используя учетные данные для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
2. Выберите Группы ролей.
3. В разделе Группы ролей для решений #REF! выберите группу ролей #REF!, которую требуется удалить, а затем выберите Удалить на панели управления.
4. На странице Удалить группу ролей выберите Удалить , чтобы удалить группу ролей, или нажмите кнопку Отмена , чтобы отменить процесс удаления.