Разрешения на портале соответствия требованиям Microsoft Purview

  • Статья

Портал соответствия требованиям Microsoft Purview поддерживает непосредственное управление разрешениями для пользователей, выполняющих задачи соответствия в Microsoft 365. Это обновление означает, что вам больше не придется использовать Центр соответствия требованиям безопасности & Office 365 для управления разрешениями для решений соответствия требованиям. С помощью новой страницы Разрешения на портале соответствия требованиям вы можете управлять разрешениями для пользователей для задач соответствия в таких функциях, как управление устройствами, Защита от потери данных Microsoft Purview, обнаружение электронных данных, управление внутренними рисками, хранение и многие другие. Пользователи могут выполнять только те задачи соответствия требованиям, к которым им явно предоставлен доступ.

Чтобы просмотреть вкладку Разрешения на портале соответствия требованиям, пользователям необходимо быть глобальным администратором или назначить им роль "Управление ролями " (роль назначается только группе ролей "Управление организацией "). Роль "Управление ролями" позволяет пользователям просматривать, создавать и изменять группы ролей.

Страница разрешений в Портал соответствия требованиям Microsoft Purview.

Разрешения на портале соответствия основаны на модели разрешений управления доступом на основе ролей (RBAC). RBAC — это та же модель разрешений, которая используется большинством служб Microsoft 365, поэтому, если вы знакомы со структурой разрешений в этих службах, предоставление разрешений на портале соответствия требованиям будет знакомо. Важно помнить, что разрешения, управляемые на портале соответствия требованиям, не охватывают управление всеми разрешениями, необходимыми для каждой отдельной службы. Вам по-прежнему потребуется управлять определенными разрешениями для конкретной службы в Центре администрирования. Например, если вам нужно назначить разрешения для архивации, аудита и политик хранения MRM, необходимо управлять этими разрешениями в Центре администрирования Exchange.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Портал соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Связи между участниками, ролями и группами ролей

Роль предоставляет разрешения на выполнение набора задач; Например, роль "Управление обращениями" позволяет пользователям работать с случаями обнаружения электронных данных.

Группа ролей — это набор ролей, которые позволяют пользователям выполнять свою работу в решениях соответствия требованиям на портале соответствия требованиям. Например, добавляя пользователей в группу ролей Управление внутренними рисками , назначенные администраторы, аналитики, следователи и аудиторы настраиваются для получения необходимых разрешений на управление внутренними рисками в одной группе. Портал соответствия требованиям содержит группы ролей по умолчанию для задач и функций для каждого решения соответствия требованиям, которым необходимо назначить людей. Как правило, рекомендуется просто добавлять отдельных пользователей в качестве участников в группы ролей соответствия по умолчанию по мере необходимости.

Схема, показывающая связь групп ролей с ролями и участниками.

Разрешения, необходимые для использования функций на портале соответствия требованиям

Чтобы просмотреть все группы ролей по умолчанию, доступные на портале соответствия требованиям, и роли, назначенные группам ролей по умолчанию, см. статью Роли и группы ролей на порталах соответствия требованиям Microsoft 365 Defender и Microsoft Purview.

Управление разрешениями на портале соответствия требованиям предоставляет пользователям доступ только к функциям соответствия требованиям, доступным на портале соответствия требованиям. Если вы хотите предоставить разрешения другим функциям, которые отсутствуют на портале соответствия требованиям, например правилам потока обработки почты Exchange (также называемым правилами транспорта), необходимо использовать Центр администрирования Exchange.

Роли Azure на портале соответствия требованиям

Роли, которые отображаются в разделе Azure AD>Роли на странице Разрешения портала соответствия требованиям, являются ролями Azure Active Directory. Эти роли предназначены для выполнения соответствующих должностных обязанностей в ИТ-отделе вашей организации, упрощая предоставление пользователю всех необходимых разрешений в рамках рабочих задач. Вы можете просмотреть пользователей, назначенных каждой роли, выбрав Администратор роль и просмотрев сведения о панели ролей. Чтобы управлять членами роли Azure AD, выберите Управление участниками в Azure AD. Этот вариант перенаправляет вас на портал управления Azure.

Роль Описание
Глобальный администратор Доступ ко всем возможностям администрирования во всех службах Microsoft 365. Только глобальные администраторы могут назначать другие административные роли. Дополнительные сведения см. в разделе Глобальный администратор / администратор компании.
Администратор данных соответствия требованиям Отслеживание данных вашей организации в службах Microsoft 365, обеспечение их защиты и получение аналитики о любых проблемах для уменьшения рисков. Дополнительные сведения см. в разделе Администратор данных соответствия требованиям.
Администратор соответствия требованиям Помощь вашей организации в соблюдении любых нормативных требований, управление делами обнаружения электронных данных и ведение политик управления данными в расположениях, удостоверениях и приложениях Microsoft 365. Дополнительные сведения см. в разделе Администратор соответствия требованиям.
Оператор безопасности Просмотр и изучение активных угроз безопасности пользователей Microsoft 365, устройств, работающих с этой службой, и хранящегося в ней содержимого, а также реагирование на эти угрозы. Дополнительные сведения см. в разделе Оператор безопасности.
Читатель сведений о безопасности Просмотр и изучение активных угроз безопасности пользователей Microsoft 365, устройств, работающих с этой службой, и хранящегося в ней содержимого, но (в отличие от роли оператора безопасности) у пользователей с этой ролью нет разрешений, чтобы реагировать на угрозы, предпринимая определенные действия. Дополнительные сведения см. в разделе Читатель сведений о безопасности.
Администратор безопасности Контроль общей безопасности вашей организации посредством управления политиками безопасности, просмотра аналитики и отчетов о безопасности в различных продуктах Microsoft 365, а также получения последних данных о текущем ландшафте угроз. Дополнительные сведения см. в разделе Администратор безопасности.
Глобальный читатель Вариант роли Глобального администратора с правами только чтения. Просмотр всех параметров и административной информации во всех продуктах Microsoft 365. Дополнительные сведения см. в разделе Глобальный читатель.
Администратор симуляции атаки Создавайте и управляйте всеми аспектами создания симуляции атаки, запуском и планированием симуляции, а также просмотром результатов симуляции. Дополнительные сведения см. в разделе Администраторы симуляции атаки.
Автор полезных данных атаки Создавайте полезные данные атаки, но не запускайте и не планируйте их. Дополнительные сведения см. в разделе Автор полезных данных атаки.

Административные единицы (предварительная версия)

Важно!

Административные единицы поддерживаются только в коммерческих облачных организациях Microsoft 365 для общедоступной предварительной версии.

Административные единицы позволяют разделить организацию на более мелкие подразделения, а затем назначить определенных администраторов, которые могут управлять только членами этих подразделений. Они также позволяют назначать административные единицы членам групп ролей в решениях Microsoft Purview, чтобы эти администраторы могли управлять только членами (и связанными функциями) назначенных административных единиц.

Например, административные единицы можно использовать для делегирования разрешений администраторам для каждого географического региона в крупной многонациональной организации или для группирования доступа администраторов по отделам в вашей организации. Вы можете создавать политики, относящиеся к региону или отделу, или просматривать действия пользователей в результате этих политик и назначения административной единицы. Административные единицы также можно использовать в качестве начального область для политики, где выбор пользователей, имеющих право на использование политики, зависит от членства в административных единицах.

Поддержка административных единиц в Microsoft Purview

Следующие решения соответствия требованиям Microsoft Purview поддерживают административные единицы:

Решение Поддержка конфигурации
Управление жизненным циклом данных Группы ролей, политики хранения и политики меток хранения
Data Loss Prevention (DLP) Группы ролей и политики защиты от потери данных
Соответствие требованиям к обмену данными Адаптивные области
Управление записями Группы ролей, политики хранения, политики меток хранения и адаптивные области
Метки конфиденциальности Группы ролей, политики меток конфиденциальности и политики автоматической маркировки

Конфигурация для административных единиц автоматически переходит к следующим функциям:

  • Оповещения: оповещения защиты от потери данных видны только пользователям в назначенных административных единицах.
  • Обозреватель действий: события действий видны только пользователям в назначенных административных единицах.
  • Адаптивные области:
    • Администраторы с ограниченным доступом могут выбирать, создавать, изменять и просматривать адаптивные области только для пользователей в назначенных административных единицах этих администраторов.
    • Когда администратор с ограниченным доступом настраивает политику, которая использует адаптивные области, этот администратор может выбрать только адаптивные области, назначенные их административным единицам.
  • Управление жизненным циклом данных и записями.
    • Подстановка политики: администраторы с ограниченным доступом будут видеть политики только от пользователей в назначенных административных единицах.
    • Проверка и проверка ликвидации. Администраторы с ограниченным доступом смогут добавлять рецензентов только из назначенных административных единиц и просматривать проверки ликвидации и элементы, удаленные только от пользователей в назначенных административных единицах.

Вы можете добавлять пользователей и группы в административные единицы с помощью следующих встроенных групп ролей:

  • Администратор соответствия требованиям
  • Администраторы данных соответствия требованиям
  • Глобальный читатель
  • Защита информации
  • Администраторы Information Protection
  • Аналитик Information Protection
  • Исследователи Information Protection
  • Читатели Information Protection
  • Управление организацией
  • Управление записями
  • Администратор безопасности
  • Оператор безопасности
  • Читатель сведений о безопасности

При назначении групп ролей можно выбрать отдельных участников или группы, а затем выбрать административные единицы, определенные в Azure Active Directory, с помощью параметра Назначить единицы администрирования :

Параметр

Важно!

Назначение единиц администрирования всегда доступно при создании настраиваемых групп ролей. Можно назначить административные единицы для любой настраиваемой группы ролей.

Эти администраторы, называемые администраторами с ограниченным доступом, теперь могут выбрать одну или несколько назначенных административных единиц для автоматического определения начального область политик, которые они создают или редактируют. Только если администраторам не назначены административные единицы (неограниченные администраторы), они смогут назначать политики всему каталогу без выбора отдельных административных единиц.

Важно!

После назначения административных единиц членам групп ролей эти ограниченные администраторы больше не смогут просматривать и изменять существующие политики. Однако эти политики не изменяются, и они остаются видимыми и могут быть изменены неограниченными администраторами.

Администраторы с ограниченным доступом также больше не смогут просматривать исторические данные с помощью функций, поддерживающих административные единицы, таких как обозреватель действий и оповещения. Они остаются видимыми для неограниченных администраторов. В дальнейшем ограниченные администраторы смогут просматривать эти связанные данные только для назначенных административных единиц.

Предварительные требования для административных единиц

Перед настройкой административных единиц для решений соответствия требованиям Microsoft Purview убедитесь, что ваша организация и пользователи соответствуют следующим требованиям к подписке и лицензированию:

  • лицензирование Azure Active Directory Premium

  • Лицензирование Microsoft Purview:

    • Microsoft 365 E5/A5
    • соответствие требованиям Microsoft 365 E5/A5/F5 и безопасность & F5 Соответствия
    • управление Information Protection & Microsoft 365 E5/A5/F5

Настройка и использование административных единиц

Выполните следующие действия, чтобы настроить и использовать административные единицы в решениях соответствия требованиям Microsoft Purview.

  1. Создание административных единиц для ограничения область разрешений ролей в Azure Active Directory (Azure AD).

  2. Добавление пользователей и групп рассылки в административные единицы.

    Важно!

    Члены динамических групп рассылки не становятся автоматически членами административной единицы.

  3. При создании географических регионов или административных единиц на основе отделов настройте административные единицы с правилами динамического членства.

    Примечание.

    Нельзя добавлять группы в административную единицу, которая использует правила динамического членства. При необходимости создайте две административные единицы: одну для пользователей, а другую — для групп.

  4. Используйте любую из групп ролей из решений соответствия требованиям Microsoft Purview, поддерживающих административные единицы, для назначения административных единиц участникам.

Теперь, когда администраторы с ограниченным доступом создают или изменяют политики, поддерживающие административные единицы, они могут выбрать административные единицы, чтобы только пользователи в этих административных единицах могли иметь право на использование политики:

  • Неограниченным администраторам не нужно выбирать административные единицы в рамках конфигурации политики. Они могут сохранить значение по умолчанию для всего каталога или выбрать одну или несколько административных единиц.
  • Администраторы с ограниченным доступом теперь должны выбрать одну или несколько административных единиц в рамках конфигурации политики.

Далее в конфигурации политики администраторы, которые выбрали административные единицы, должны включать или исключать (при поддержке) отдельных пользователей и групп из административных единиц, выбранных ранее для политики.

Сведения об административных единицах, характерных для каждого поддерживаемого решения, см. в следующих разделах:

Добавление пользователей или групп во встроенную группу ролей Microsoft Purview

Чтобы добавить пользователей или группы в группу ролей Microsoft Purview, выполните следующие действия.

  1. Войдите в область разрешений на портале соответствия требованиям, используя учетные данные для учетной записи администратора в организации Microsoft 365, и перейдите в раздел Разрешения, чтобы выбрать ссылку для просмотра ролей соответствия требованиям и управления ими в Microsoft 365.

  2. Разверните раздел Решения Microsoft Purview и выберите Роли.

  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, в которую вы хотите добавить пользователей, а затем выберите Изменить на панели управления.

  4. На странице Изменение членов группы ролей выберите Выбрать пользователей или Выбрать группы.

    Важно!

    Группы безопасности поддерживаются только в коммерческих облачных организациях Microsoft 365.

  5. Установите флажок для всех пользователей или групп, которые вы хотите добавить в группу ролей.

  6. Выберите Выбрать.

  7. Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 10.

  8. Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.

    Важно!

    Административные единицы поддерживаются только в коммерческих облачных организациях Microsoft 365 для общедоступной предварительной версии.

  9. В области Назначение единиц администрирования (предварительная версия) установите флажок для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.

  10. Выберите Далее и Сохранить , чтобы добавить пользователей или группы в группу ролей. Нажмите кнопку Готово , чтобы выполнить действия.

Удаление пользователей или групп из встроенной группы ролей Microsoft Purview

Выполните следующие действия, чтобы удалить пользователей или группы из группы ролей Microsoft Purview.

  1. Войдите в область разрешений на портале соответствия требованиям, используя учетные данные для учетной записи администратора в организации Microsoft 365, и перейдите в раздел Разрешения , чтобы выбрать ссылку для просмотра ролей соответствия требованиям Microsoft Purview и управления ими.
  2. Разверните раздел Решения Microsoft Purview и выберите Роли.
  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, из которой нужно удалить пользователей или группы, а затем на панели управления выберите Изменить .
  4. На странице Изменение членов группы ролей установите флажок для всех пользователей или групп, которые вы хотите удалить в группу ролей.
  5. Выберите Удалить участников, а затем нажмите кнопку Далее.
  6. Нажмите кнопку Сохранить , чтобы удалить пользователей или группы из группы ролей. Нажмите кнопку Готово , чтобы выполнить действия.

Создание настраиваемой группы ролей Microsoft Purview

Выполните следующие действия, чтобы создать пользовательскую группу ролей Microsoft Purview.

  1. Войдите в область разрешений на портале соответствия требованиям, используя учетные данные для учетной записи администратора в организации Microsoft 365, и перейдите в раздел Разрешения.

  2. Разверните раздел Решения Microsoft Purview и выберите Роли.

  3. На странице Группы ролей для решений Microsoft Purview выберите Создать группу ролей.

  4. На странице Имя группы ролей введите имя настраиваемой группы ролей в поле Имя . Имя группы ролей нельзя изменить после создания группы ролей. При необходимости введите описание настраиваемой группы ролей в поле Описание . Нажмите кнопку Далее, чтобы продолжить.

  5. На странице Добавление ролей в группу ролей выберите Выбрать роли.

  6. Установите флажки для ролей, которые нужно добавить в настраиваемую группу ролей. Выберите Выбрать.

  7. Нажмите кнопку Далее, чтобы продолжить.

  8. На странице Добавление участников в группу ролей выберите Выбрать пользователей (или Выбрать группы , если применимо).

    Важно!

    Группы безопасности поддерживаются только в коммерческих облачных организациях Microsoft 365.

  9. Установите флажки для пользователей (или групп), которые нужно добавить в настраиваемую группу ролей. Выберите Выбрать.

  10. Нажмите кнопку Далее, чтобы продолжить.

  11. Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 14.

  12. Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.

    Важно!

    Административные единицы поддерживаются только в коммерческих облачных организациях Microsoft 365 для общедоступной предварительной версии.

  13. В области Назначение единиц администрирования (предварительная версия) установите флажок для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.

  14. Нажмите кнопку Далее.

  15. На странице Просмотр группы ролей и завершение просмотрите сведения о настраиваемой группе ролей. Если необходимо изменить сведения, выберите Изменить в соответствующем разделе. Если все параметры заданы правильно, нажмите кнопку Создать , чтобы создать настраиваемую группу ролей, или кнопку Отмена , чтобы отменить изменения и не создавать настраиваемую группу ролей.

Обновление настраиваемой группы ролей Microsoft Purview

Выполните следующие действия, чтобы обновить настраиваемую группу ролей Microsoft Purview.

  1. Войдите в область разрешений на портале соответствия требованиям, используя учетные данные для учетной записи администратора в организации Microsoft 365, и перейдите в раздел Разрешения.
  2. Разверните раздел Решения Microsoft Purview и выберите Роли.
  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, которую требуется обновить, а затем выберите Изменить на панели управления.
  4. На странице Имя группы ролей обновите описание настраиваемой группы ролей в поле Описание . Имя настраиваемой группы ролей нельзя изменить. Нажмите кнопку Далее.
  5. На странице Изменение ролей группы ролей можно выбрать Выбрать роли , чтобы добавить роли, чтобы обновить роли, назначенные группе ролей. Вы также можете выбрать любую из назначенных ролей и выбрать Удалить роли , чтобы удалить роли из группы ролей. После обновления ролей нажмите кнопку Далее.
  6. На странице Изменение членов группы ролей можно выбрать Выбрать пользователей или Выбрать группы , чтобы добавить пользователей или группы, назначенные группе ролей. Чтобы обновить административные единицы для пользователей или групп, выберите любого из назначенных пользователей или групп и выберите Назначить единицы администрирования. Вы также можете выбрать любого из назначенных пользователей и групп и выбрать Удалить участников , чтобы удалить пользователей или группы из группы ролей. Обновив участников, нажмите кнопку Далее.
  7. На странице Просмотр группы ролей и завершение просмотрите сведения о настраиваемой группе ролей. Если необходимо изменить сведения, выберите Изменить в соответствующем разделе. Если все параметры заданы правильно, нажмите кнопку Сохранить , чтобы обновить настраиваемую группу ролей, или нажмите кнопку Отмена , чтобы отменить изменения и не обновлять настраиваемую группу ролей.

Удаление настраиваемой группы ролей Microsoft Purview

Выполните следующие действия, чтобы удалить пользовательскую группу ролей Microsoft Purview.

  1. Войдите в область разрешений на портале соответствия требованиям, используя учетные данные для учетной записи администратора в организации Microsoft 365, и перейдите в раздел Разрешения.
  2. Разверните раздел Решения Microsoft Purview и выберите Роли.
  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, которую нужно удалить, а затем на панели управления выберите Удалить .
  4. В диалоговом окне Удаление группы ролей выберите Удалить , чтобы удалить группу ролей, или нажмите кнопку Отмена , чтобы отменить процесс удаления.