Прочитать на английском

Поделиться через


Административные единицы

Административные единицы позволяют разделить организацию на более мелкие подразделения и назначать определенных администраторов, которые могут управлять только членами этих подразделений. Группы ролей Microsoft Purview позволяют назначать администраторов определенным административным единицам. Решения Microsoft Purview, поддерживающие административную единицу, затем ограничат разрешения на видимость и управление для членов подразделения.

Например, административные единицы можно использовать для делегирования разрешений администраторам для каждого географического региона в крупной многонациональной организации или для группирования доступа администраторов по отделам в вашей организации. Вы можете создавать политики, относящиеся к региону или отделу, или просматривать действия пользователей в результате этих политик и назначения административной единицы. Административные единицы также можно использовать в качестве начального область для политики, где выбор пользователей, имеющих право на использование политики, зависит от членства в административных единицах.

Если вы используете адаптивные области для политик соответствия требованиям, см. статью Как адаптивные области работают с Microsoft Entra административными единицами.

Поддержка административных единиц в Microsoft Purview

Следующие решения соответствия требованиям Microsoft Purview поддерживают административные единицы:

Конфигурация для административных единиц автоматически переходит к следующим функциям:

Чтобы назначить члена группы ролей административной единице, администраторам должна быть назначена роль управления ролями . Дополнительные сведения о группах ролей и ролях Microsoft Purview см. в статье Группы ролей в Microsoft Purview.

Члены группы ролей можно назначать административным единицам в следующих встроенных группах ролей:

  • Соответствие требованиям к обмену данными
  • Администраторы соответствия требованиям к обмену данными
  • Аналитики соответствия требованиям к коммуникациям
  • Следователя по соответствию коммуникациям
  • Администратор соответствия требованиям
  • Администраторы данных соответствия требованиям
  • Глобальный читатель
  • Защита информации
  • Администраторы Information Protection
  • Аналитик Information Protection
  • Исследователи Information Protection
  • Читатели Information Protection
  • Управление внутренними рисками
  • Администраторы управления внутренними рисками
  • Аналитики по управлению внутренними рисками
  • Исследователи управления внутренними рисками
  • Утверждающие сеансы управления внутренними рисками
  • Утверждающие инсайдерские риски
  • Управление организацией
  • Управление записями
  • Администратор безопасности
  • Оператор безопасности
  • Читатель сведений о безопасности

При назначении групп ролей можно выбрать отдельных участников или группы, а затем выбрать параметр Назначить единицы администрирования, чтобы выбрать административные единицы, определенные в Microsoft Entra ID:

Параметр

Важно!

Назначение единиц администрирования всегда доступно при создании настраиваемых групп ролей. Можно назначить административные единицы для любой настраиваемой группы ролей.

Эти администраторы, называемые администраторами с ограниченным доступом, теперь могут выбрать одну или несколько назначенных административных единиц для автоматического определения начального область политик, которые они создают или редактируют. Только если администраторам не назначены административные единицы (неограниченные администраторы), они смогут назначать политики всему каталогу без необходимости выбирать отдельные административные единицы.

Важно!

После назначения административных единиц членам групп ролей эти ограниченные администраторы больше не смогут просматривать и изменять существующие политики. Однако эти политики не изменяются, и они остаются видимыми и могут быть изменены неограниченными администраторами.

Администраторы с ограниченным доступом также больше не смогут просматривать исторические данные с помощью функций, поддерживающих административные единицы, таких как обозреватель действий и оповещения. Они остаются видимыми для неограниченных администраторов. В дальнейшем ограниченные администраторы смогут просматривать эти связанные данные только для назначенных административных единиц.

Примечание

Помимо возможности настройки и просмотра оповещений, пользователи с ролями аналитика Information Protection и следователя Information Protection могут искать журналы аудита с помощью командлета Search-UnifiedAuditLog.

Предварительные требования для административных единиц

Перед настройкой административных единиц для решений соответствия требованиям Microsoft Purview убедитесь, что ваша организация и пользователи соответствуют следующим требованиям к подписке и лицензированию:

  • лицензирование Microsoft Entra ID P1 или P2

  • Лицензирование Microsoft Purview:

    • Microsoft 365 E5/A5/G5
    • соответствие требованиям Microsoft 365 E5/A5/G5/F5 или F5 & безопасности F5
    • управление Microsoft 365 E5/A5/G5/F5 Information Protection &
    • управление внутренними рисками Microsoft 365 E5/A5/F5

Настройка и использование административных единиц

Выполните следующие действия, чтобы настроить и использовать административные единицы в решениях соответствия требованиям Microsoft Purview.

  1. Create административные единицы для ограничения область разрешений ролей в Microsoft Entra ID.

  2. Добавление пользователей и групп рассылки в административные единицы.

    Важно!

    Члены динамического распределения Группы не становятся автоматически членами административной единицы.

  3. При создании географических регионов или административных единиц на основе отделов настройте административные единицы с правилами динамического членства.

    Примечание

    Нельзя добавлять группы в административную единицу, которая использует правила динамического членства. При необходимости создайте две административные единицы: одну для пользователей, а другую — для групп.

  4. Используйте любую из групп ролей из решений соответствия требованиям Microsoft Purview, поддерживающих административные единицы, для назначения административных единиц участникам.

Теперь, когда администраторы с ограниченным доступом создают или редактируют политики, поддерживающие административные единицы, они могут выбрать административные единицы, чтобы только пользователи в этих административных единицах могли иметь право на использование политики:

  • Неограниченным администраторам не нужно выбирать административные единицы в рамках конфигурации политики. Они могут сохранить значение по умолчанию для всего каталога или выбрать одну или несколько административных единиц.
  • Администраторы с ограниченным доступом теперь должны выбрать одну или несколько административных единиц в рамках конфигурации политики.

Далее в конфигурации политики администраторы, которые выбрали административные единицы, должны включать или исключать (при поддержке) отдельных пользователей и групп из административных единиц, выбранных ранее для политики.

Сведения об административных единицах, характерных для каждого поддерживаемого решения, см. в следующих разделах: