Административные единицы в Microsoft Purview

Используя административные единицы в Microsoft Entra ID, вы можете разделить организацию на более мелкие подразделения и ограничить административные разрешения определенными частями организации Microsoft Entra. Вы можете создавать, удалять и изменять административные единицы в Microsoft Entra, а также управлять пользователями или группами, которые являются членами каждой единицы.

Microsoft Purview интегрируется с административными единицами, позволяя назначать членов группы ролей определенным единицам. Решения Microsoft Purview, поддерживающие административные единицы, ограничивают разрешения на видимость и управление для членов назначенной единицы.

Например, административные единицы можно использовать для делегирования разрешений администраторам для каждого географического региона в крупной многонациональной организации или для группирования доступа администраторов по отделам. Затем можно создать политики, относящиеся к региону или отделу, и просмотреть действия пользователей в результате этих политик и назначений административных единиц. Административные единицы также можно использовать в качестве начального область для политики, где пользователи, имеющие право на использование политики, зависят от членства в административной единице.

Если вы используете адаптивные области для политик соответствия требованиям, см. статью Как адаптивные области работают с Microsoft Entra административными единицами.

Поддерживаемые решения

Следующие решения Microsoft Purview поддерживают административные единицы:

Решение	Поддержка конфигурации
Управление жизненным циклом данных	Группы ролей, политики хранения и политики меток хранения
Data Loss Prevention (DLP)	Группы ролей и политики защиты от потери данных
Соответствие требованиям к обмену данными	Группы ролей и политики
Управление внутренними рисками	Группы ролей и политики
Управление записями	Группы ролей, политики хранения, политики меток хранения и адаптивные области
Метки конфиденциальности	Группы ролей, политики меток конфиденциальности и политики автоматической маркировки

Конфигурация для административных единиц автоматически переходит к следующим функциям:

• Оповещения:
  • Оповещения защиты от потери данных видны только пользователям в назначенных административных единицах.
• Обозреватель действий:
  • События действий видны только пользователям в назначенных административных единицах.
• Адаптивные области:
  • Администраторы с ограниченным доступом могут выбирать, создавать, изменять и просматривать адаптивные области только для пользователей в назначенных администраторам административных единицах.
  • Когда администратор с ограниченным доступом настраивает политику, которая использует адаптивные области, администратор может выбрать только адаптивные области, назначенные их административным единицам.
• Журнал аудита:
  • Доступ к поиску.
• Соответствие требованиям к обмену данными.
  • Подстановка и настройка политик. Администраторы с ограниченным доступом могут создавать политики или управлять ими только для пользователей, назначенных их административным единицам.
  • Оповещения и совпадения политик. Ограниченные администраторы могут исследовать действия пользователей только для пользователей в назначенных административных единицах.
• Управление жизненным циклом данных и записями.
  • Подстановка политик. Ограниченные администраторы видят политики только у пользователей в назначенных административных единицах.
  • Проверка и проверка ликвидации. Администраторы с ограниченным доступом могут добавлять рецензентов только из назначенных административных единиц и просматривать проверки ликвидации и элементы, удаленные только от пользователей в назначенных административных единицах.
• Управление внутренними рисками.
  • Подстановка и настройка политик. Администраторы с ограниченным доступом могут создавать политики или управлять ими только для пользователей, назначенных их административным единицам.
  • Действия пользователей. Администраторы с ограниченным доступом могут начинать оценку действий или исследовать действия пользователей только для пользователей в назначенных административных единицах.
  • Оповещения и случаи. Администраторы с ограниченным доступом могут просматривать и исследовать оповещения и случаи только для пользователей в назначенных административных единицах.

Примечание.

Хотя оповещение о защите от потери данных и управление внутренними рисками отображаются в Microsoft Defender XDR, Microsoft Defender XDR поддерживает только административные единицы для защиты от потери данных. Microsoft Defender XDR поддерживает до 100 административных единиц.

Разрешения для административных единиц

Чтобы назначить члена группы ролей административной единице, администраторам должна быть назначена роль управления ролями . Дополнительные сведения об управлении группами ролей и ролями в Microsoft Purview см. в разделе Разрешения на портале Microsoft Purview. Полный список групп ролей по умолчанию и назначенных им ролей см. в статье Группы ролей в Microsoft Purview.

Члены группы ролей можно назначать административным единицам в следующих встроенных группах ролей:

Группа ролей	Область решения
Соответствие требованиям к обмену данными	Соответствие требованиям к обмену данными
Администраторы соответствия требованиям к обмену данными	Соответствие требованиям к обмену данными
Аналитики по соблюдению коммуникационных требований	Соответствие требованиям к обмену данными
Следователи по вопросам соблюдения коммуникационных норм	Соответствие требованиям к обмену данными
Администратор соответствия	Перекрестное решение
Администраторы данных соответствия требованиям	Перекрестное решение
Глобальное средство чтения	Перекрестное решение
Защита информации	Защита информации
Администраторы Information Protection	Защита информации
Аналитик Information Protection	Защита информации
Исследователи Information Protection	Защита информации
Читатели Information Protection	Защита информации
Управление внутренними рисками	Управление внутренними рисками
Администраторы управления внутренними рисками	Управление внутренними рисками
Аналитики по управлению внутренними рисками	Управление внутренними рисками
Утверждающие инсайдерские риски	Управление внутренними рисками
Исследователи управления внутренними рисками	Управление внутренними рисками
Утверждающие сеансы управления внутренними рисками	Управление внутренними рисками
Управление организацией	Перекрестное решение
Управление записями	Управление записями
Администратор безопасности	Перекрестное решение
Оператор безопасности	Перекрестное решение
Читатель сведений о безопасности	Перекрестное решение

При назначении групп ролей можно выбрать отдельных участников или группы, а затем выбрать параметр Назначить единицы администрирования, чтобы выбрать административные единицы, определенные в Microsoft Entra ID:

Важно!

Назначение единиц администрирования всегда доступно при создании пользовательских групп ролей. Можно назначить административные единицы для любой настраиваемой группы ролей.

Эти администраторы, называемые администраторами с ограниченным доступом, могут выбрать одну или несколько назначенных административных единиц для автоматического определения начального область политик, которые они создают или редактируют. Если администраторам не назначены административные единицы (неограниченные администраторы), они могут назначать политики всему каталогу без необходимости выбирать отдельные административные единицы.

Важно!

После назначения административных единиц членам групп ролей эти ограниченные администраторы не смогут просматривать и изменять существующие политики. Однако эти политики не изменяются, и они остаются видимыми и могут быть изменены неограниченными администраторами.

Администраторы с ограниченным доступом также не могут просматривать исторические данные с помощью функций, поддерживающих административные единицы, таких как обозреватель действий и оповещения. Они остаются видимыми для неограниченных администраторов. В дальнейшем ограниченные администраторы могут просматривать эти связанные данные только для назначенных административных единиц.

Предварительные требования для административных единиц

Перед настройкой административных единиц для решений Microsoft Purview убедитесь, что ваша организация и пользователи соответствуют следующим требованиям к подписке и лицензированию:

• лицензирование Microsoft Entra ID P1 или P2

• Лицензирование Microsoft Purview (одна из следующих подписок):

  • Microsoft 365 E5/A5/G5
  • соответствие требованиям Microsoft 365 E5/A5/G5/F5 или F5 & безопасности F5
  • управление Microsoft 365 E5/A5/G5/F5 Information Protection &
  • управление внутренними рисками Microsoft 365 E5/A5/F5

  Дополнительные сведения о вариантах лицензирования для функций Microsoft Purview см. в описании службы Microsoft Purview.

Настройка административных единиц

Выполните следующие действия, чтобы настроить и использовать административные единицы в решениях Microsoft Purview.

1. Создание административных единиц для ограничения область разрешений ролей в Microsoft Entra ID.

2. Добавление пользователей и групп рассылки в административные единицы.

   Важно!

   Члены динамических групп рассылки не становятся автоматически членами административной единицы.

3. Если вы создаете административные единицы на основе географических регионов или отделов, настройте административные единицы с помощью правил динамического членства.

   Примечание.

   Нельзя добавлять группы в административную единицу, которая использует правила динамического членства. При необходимости создайте две административные единицы: одну для пользователей, а другую — для групп.

4. Используйте любую из групп ролей из решений Microsoft Purview, поддерживающих административные единицы, для назначения административных единиц участникам.

Когда администраторы с ограниченным доступом создают или редактируют политики, поддерживающие административные единицы, они могут выбрать административные единицы, чтобы только пользователи в этих административных единицах могли иметь право на использование политики:

• Неограниченным администраторам не нужно выбирать административные единицы в рамках конфигурации политики. Они могут сохранить значение по умолчанию для всего каталога или выбрать одну или несколько административных единиц.
• Администраторы с ограниченным доступом должны выбрать одну или несколько административных единиц в рамках конфигурации политики.

Далее в конфигурации политики администраторы, которые выбирают административные единицы, должны включать или исключать (при поддержке) отдельных пользователей и групп из административных единиц, выбранных ранее для политики.

Сведения об административных единицах, характерных для каждого поддерживаемого решения, см. в следующих разделах:

• Для аудита: определение области доступа к журналам аудита с помощью административных единиц
• Для обеспечения соответствия требованиям к обмену данными: рассмотрите административные единицы, если вы хотите область разрешения пользователей в регион или отдел.
• Для управления жизненным циклом данных: поддержка административных единиц
• Для защиты от потери данных: политики ограниченного доступа к административным единицам
• Для управления внутренними рисками: рассмотрите административные единицы, если вы хотите область разрешения пользователей в регионе или отделе.
• Для управления записями: поддержка административных единиц
• Для маркировки конфиденциальности: поддержка административных единиц

Поддержка сайтов SharePoint для административных единиц

Microsoft Purview теперь поддерживает добавление сайтов SharePoint в административные единицы. С помощью этой функции вы можете настроить видимость и управление администраторами Microsoft Purview на портале Microsoft Purview. Эта поддержка доступна только для политик автоматической маркировки Майкрософт Information Protection и политик защиты от потери данных Майкрософт, поддерживающих приложения на сайтах SharePoint.

Примечание.

Вы управляете созданием, удалением и Microsoft Entra членством в ресурсах с Microsoft Entra ID. Любая созданная административная единица отображается в списке для Microsoft Purview.

Полное заполнение запроса может занять до пяти дней. Изменения не являются мгновенными. Дождитесь полного заполнения запроса, прежде чем связать политику с административной единицей.

Настройка сайтов SharePoint для административных единиц

Выполните следующие действия, чтобы настроить административные единицы. Эти шаги помогут вам создать административную единицу, связать ресурсы с этой административной единицей и назначить членов группы ролей Microsoft Purview административным единицам. После создания административных единиц выполните следующие действия, чтобы связать сайты SharePoint с административной единицей.

Пользователи Microsoft Purview, имеющие право на эту функцию, теперь могут получить доступ к административным единицам в разделе Роли и области в параметрах портала Microsoft Purview. В разделе Административные единицы выберите административную единицу и измените ее, чтобы связать сайты SharePoint с административной единицей.

Чтобы выполнить следующие действия по настройке сайтов SharePoint в административных единицах для использования в Microsoft Purview, необходимо назначить роль диспетчера расширений единиц администрирования . Администратор с правами управления ролями в Microsoft Purview назначает эту роль либо с помощью встроенной группы ролей с этой ролью, либо с помощью настраиваемой группы ролей.

1. Перейдите на портал Microsoft Purview.
2. Выберите Параметры и роли и области.
3. Выберите Административные единицы.
4. Выберите существующую административную единицу в списке.
5. Нажмите Изменить.
6. Создайте запрос для связывания сайтов SharePoint с административной единицей.
7. Используйте любую из групп ролей из решений Microsoft Purview, поддерживающих административные единицы, для назначения административных единиц участникам.

Запросы для связывания сайтов SharePoint с административными единицами поддерживают свойства сайта для URL-адреса сайта, имени сайта и RefinableString00-RefinableString99. Эти запросы применяются как к сайтам SharePoint, так и к учетным записям OneDrive, за исключением сайтов SharePoint с общим каналом. Имена свойств сайтов основаны на управляемых свойствах сайта SharePoint. Дополнительные сведения о связывании настраиваемых свойств с управляемыми свойствами (RefinableString00-RefinableString99) см. в статье Использование настраиваемых свойств сайта SharePoint для применения хранения Microsoft 365 с областями адаптивной политики.

Проверка запроса

Чтобы протестировать запрос с помощью поиска SharePoint, выполните следующие действия.

1. С учетной записью, назначенной ролью администратора SharePoint, перейдите на страницу https://<your_tenant>.sharepoint.com/search.
2. Используйте панель поиска, чтобы ввести запрос, показанный в сводке запроса для сайтов SharePoint в административной единице.
3. Убедитесь, что результаты поиска соответствуют ожидаемым URL-адресам сайта для административной единицы. Если они не соответствуют ожидаемым URL-адресам, проверьте запрос и URL-адреса у соответствующего администратора SharePoint.

Такое же ограниченное и неограниченное поведение администратора применяется к политикам, включающим сайты SharePoint. Кроме того, администраторы, выбирая административные единицы, не могут включать или исключать отдельные сайты SharePoint. Сайты SharePoint поддерживают приложения для всех сайтов, связанных с административной единицей.

Важно!

Чтобы удалить связанные сайты из административной единицы, измените запрос SharePoint для административной единицы, чтобы не было членства на сайте. Чтобы удалить членство в сайте, запрос не приведет к созданию сайтов.

Просмотр членства на сайте SharePoint

После создания запроса SharePoint для административной единицы в Microsoft Purview можно просмотреть членов сайта административной единицы. На портале Microsoft Entra ID можно просмотреть только членство пользователей и групп административной единицы.

Выполните следующие действия, чтобы получить доступ к странице сведений об участнике, и ознакомьтесь с разделом Члены сайта SharePoint административной единицы в Microsoft Purview:

1. Перейдите на портал Microsoft Purview.
2. Выберите Параметры и роли и области.
3. Выберите Административные единицы.
4. Выберите существующую административную единицу в списке.
5. Выберите Сведения об участнике.
6. Просмотрите список участников сайта SharePoint.
7. Проверьте столбец Состояние в списке, в котором отображается Добавлено для сайтов, добавленных в административную единицу, или Удалено , если сайт был ранее в административной единице, но удаляется, когда он больше не соответствует запросу SharePoint.
8. Используйте функцию Экспорт , чтобы скачать список отображаемых сайтов в CSV-файл.

Примечание.

Обновление добавленных или удаленных сайтов в списке сведений о участниках может занять до пяти дней.

Сведения об административных единицах и сайте SharePoint в решениях Microsoft Purview см. в следующих разделах:

• Защита от потери данных: политики с ограниченным доступом к административной единице
• Метки конфиденциальности: поддержка административных единиц