Прочитать на английском

Поделиться через


Разрешения на портале Microsoft Purview

Портал Microsoft Purview поддерживает непосредственное управление разрешениями для пользователей, выполняющих задачи в Microsoft Purview. С помощью области Роли и области в параметрах портала можно управлять разрешениями для пользователей в решениях по обеспечению безопасности данных, управлению данными, а также решениям по обеспечению соответствия требованиям и рискам. Пользователи могут выполнять только определенные задачи, к которым им явно предоставляется доступ. Выбор решений по рискам и соответствию на портале в настоящее время открывает эти решения в Портал соответствия требованиям Microsoft Purview.

Чтобы просмотреть группы ролей в области Роли и области на портале Purview, пользователям необходимо быть глобальным администратором или им должна быть назначена роль "Управление ролями " (роль назначается только группе ролей "Управление организацией "). Роль "Управление ролями" позволяет пользователям просматривать, создавать и изменять группы ролей.

Роли и области на портале Microsoft Purview.

Использование ролей с наименьшими разрешениями

Корпорация Майкрософт всегда рекомендует использовать роли с наименьшими разрешениями. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. При планировании стратегии управления доступом рекомендуется управлять доступом с минимальными привилегиями для пользователей. Минимальные привилегии означает, что вы предоставляете администраторам именно те разрешения, которые им необходимы для выполнения своей работы.

Разрешения Purview

Разрешения на портале Purview основаны на модели разрешений управления доступом на основе ролей (RBAC). RBAC — это та же модель разрешений, которая используется большинством служб Microsoft 365, поэтому, если вы знакомы со структурой разрешений в этих службах, предоставление разрешений на портале Purview аналогично. Важно помнить, что разрешения, управляемые на портале Purview, не охватывают управление всеми разрешениями, необходимыми для каждой отдельной службы. Вам по-прежнему потребуется управлять определенными разрешениями для конкретной службы в Центре администрирования. Например, если вам нужно назначить разрешения для архивации, аудита и политик хранения MRM, необходимо управлять этими разрешениями в Центре администрирования Exchange.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Связи между участниками, ролями и группами ролей

Роль предоставляет разрешения на выполнение набора задач; Например, роль "Управление обращениями" позволяет пользователям работать с случаями обнаружения электронных данных.

Группа ролей — это набор ролей, которые позволяют пользователям выполнять свою работу в решениях по обеспечению соответствия требованиям и управлению на портале Microsoft Purview. Например, добавляя пользователей в группу ролей Управление внутренними рисками , назначенные администраторы, аналитики, следователи и аудиторы настраиваются для получения необходимых разрешений на управление внутренними рисками в одной группе. Портал Microsoft Purview включает группы ролей по умолчанию для задач и функций для каждого решения по обеспечению соответствия требованиям и управления, которым необходимо назначить людей. Как правило, рекомендуется просто добавлять отдельных пользователей в качестве участников в группы ролей по умолчанию по мере необходимости.

Схема, показывающая связь групп ролей с ролями и участниками.

Разрешения, необходимые для использования функций на портале Purview

Чтобы просмотреть все группы ролей по умолчанию, доступные на портале Purview, и роли, назначенные группам ролей по умолчанию, см. в статье Роли и группы ролей на порталах Microsoft Defender XDR и Microsoft Purview.

Управление разрешениями на портале Purview предоставляет пользователям доступ только к функциям соответствия требованиям и управления, доступным на портале Purview. Если вы хотите предоставить разрешения другим функциям, которые отсутствуют на портале Purview, например правилам потока обработки почты Exchange (также называемым правилами транспорта), необходимо использовать Центр администрирования Exchange.

Необходимые разрешения для управления

Доступные текущие роли управления и группы ролей охватывают только широкий доступ к Схема данных Microsoft Purview и Единый каталог. Для большего доступа система управления Microsoft Purview использует сочетание групп ролей, доступа к данным и разрешений для конкретного решения.

Роли Azure на портале Purview

Роли, отображаемые в разделе Microsoft Entra ID области Роли и области, являются Microsoft Entra ролями, и этот раздел виден глобальным администраторам. Эти роли предназначены для выполнения соответствующих должностных обязанностей в ИТ-отделе вашей организации, упрощая предоставление пользователю всех необходимых разрешений в рамках рабочих задач. Вы можете просмотреть пользователей, назначенных каждой роли, выбрав Администратор роль и просмотрев сведения о панели ролей. Чтобы управлять членами роли Microsoft Entra, выберите Управление участниками в Microsoft Entra ID. Этот вариант перенаправляет вас на портал управления Azure.

Role Описание
Глобальный администратор Доступ ко всем возможностям администрирования во всех службах Microsoft 365. Только глобальные администраторы могут назначать другие административные роли. Дополнительные сведения см. в разделе Глобальный администратор / администратор компании.
Администратор данных соответствия требованиям Отслеживание данных вашей организации в службах Microsoft 365, обеспечение их защиты и получение аналитики о любых проблемах для уменьшения рисков. Дополнительные сведения см. в разделе Администратор данных соответствия требованиям.
Администратор соответствия требованиям Помощь вашей организации в соблюдении любых нормативных требований, управление делами обнаружения электронных данных и ведение политик управления данными в расположениях, удостоверениях и приложениях Microsoft 365. Дополнительные сведения см. в разделе Администратор соответствия требованиям.
Оператор безопасности Просмотр и изучение активных угроз безопасности пользователей Microsoft 365, устройств, работающих с этой службой, и хранящегося в ней содержимого, а также реагирование на эти угрозы. Дополнительные сведения см. в разделе Оператор безопасности.
Читатель сведений о безопасности Просматривайте и изучайте активные угрозы для пользователей, устройств и содержимого Microsoft 365, но (в отличие от оператора безопасности) у них нет разрешений на реагирование, принимая меры. Дополнительные сведения см. в разделе Читатель сведений о безопасности.
Администратор безопасности Контроль общей безопасности вашей организации посредством управления политиками безопасности, просмотра аналитики и отчетов о безопасности в различных продуктах Microsoft 365, а также получения последних данных о текущем ландшафте угроз. Дополнительные сведения см. в разделе Администратор безопасности.
Глобальный читатель Вариант роли Глобального администратора с правами только чтения. Просмотр всех параметров и административной информации во всех продуктах Microsoft 365. Дополнительные сведения см. в разделе Глобальный читатель.
Администратор симуляции атаки Создавайте и управляйте всеми аспектами создания симуляции атаки, запуском и планированием симуляции, а также просмотром результатов симуляции. Дополнительные сведения см. в разделе Администраторы симуляции атаки.
Автор полезных данных атаки Создавайте полезные данные атаки, но не запускайте и не планируйте их. Дополнительные сведения см. в разделе Автор полезных данных атаки.

Административные единицы

Административные единицы позволяют разделить организацию на более мелкие подразделения, а затем назначить определенных администраторов, которые могут управлять только членами этих подразделений. Они также позволяют назначать административные единицы членам групп ролей в решениях Microsoft Purview, чтобы эти администраторы могли управлять только членами (и связанными функциями) назначенных административных единиц. Раздел Административные единицы области Роли и области отображается только для пользователей, которым назначена роль глобального администратора . Дополнительные сведения см. в разделе Административные единицы.

Добавление пользователей или групп во встроенную группу ролей Microsoft Purview

Чтобы добавить пользователей или группы в группу ролей Microsoft Purview, выполните следующие действия.

  1. Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора, которому назначена роль управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.

  2. Выберите Группы ролей.

  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, в которую вы хотите добавить пользователей, а затем выберите Изменить на панели управления.

  4. На странице Изменение членов группы ролей выберите Выбрать пользователей или Выбрать группы.

    Важно!

    Группы безопасности поддерживаются только в коммерческих облачных организациях Microsoft 365.

  5. Установите флажок для всех пользователей или групп, которые вы хотите добавить в группу ролей.

  6. Выберите Выбрать.

  7. Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 10.

  8. Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.

  9. На панели Назначение единиц администрирования установите флажок для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.

  10. Выберите Далее и Сохранить , чтобы добавить пользователей или группы в группу ролей. Нажмите кнопку Готово , чтобы выполнить действия.

Удаление пользователей или групп из встроенной группы ролей Microsoft Purview

Выполните следующие действия, чтобы удалить пользователей или группы из группы ролей Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора, которому назначена роль управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
  2. Выберите Группы ролей.
  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, из которой нужно удалить пользователей или группы, а затем на панели управления выберите Изменить .
  4. На странице Изменение членов группы ролей установите флажок для всех пользователей или групп, которые вы хотите удалить в группу ролей.
  5. Выберите Удалить участников, а затем нажмите кнопку Далее.
  6. Нажмите кнопку Сохранить , чтобы удалить пользователей или группы из группы ролей. Нажмите кнопку Готово , чтобы выполнить действия.

Создание настраиваемой группы ролей Microsoft Purview

Выполните следующие действия, чтобы создать пользовательскую группу ролей Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора, которому назначена роль управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.

  2. Выберите Группы ролей.

  3. На странице Группы ролей для решений Microsoft Purview выберите Создать группу ролей.

  4. На странице Имя группы ролей введите имя настраиваемой группы ролей в поле Имя . Имя группы ролей нельзя изменить после создания группы ролей. При необходимости введите описание настраиваемой группы ролей в поле Описание . Нажмите кнопку Далее, чтобы продолжить.

  5. На странице Добавление ролей в группу ролей выберите Выбрать роли.

  6. Установите флажки для ролей, которые нужно добавить в настраиваемую группу ролей. Выберите Выбрать.

  7. Нажмите кнопку Далее, чтобы продолжить.

  8. На странице Добавление участников в группу ролей выберите Выбрать пользователей (или Выбрать группы , если применимо).

    Важно!

    Группы безопасности поддерживаются только в коммерческих облачных организациях Microsoft 365.

  9. Установите флажки для пользователей (или групп), которые нужно добавить в настраиваемую группу ролей. Выберите Выбрать.

  10. Нажмите кнопку Далее, чтобы продолжить.

  11. Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 14.

  12. Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.

  13. На панели Назначение единиц администрирования установите флажок для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.

  14. Нажмите кнопку Далее.

  15. На странице Просмотр группы ролей и завершение просмотрите сведения о настраиваемой группе ролей. Если необходимо изменить сведения, выберите Изменить в соответствующем разделе. Если все параметры заданы правильно, нажмите кнопку Создать , чтобы создать настраиваемую группу ролей, или кнопку Отмена , чтобы отменить изменения и не создавать настраиваемую группу ролей.

Обновление настраиваемой группы ролей Microsoft Purview

Выполните следующие действия, чтобы обновить настраиваемую группу ролей Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора, которому назначена роль управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
  2. Выберите Группы ролей.
  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, которую требуется обновить, а затем выберите Изменить на панели управления.
  4. На странице Имя группы ролей обновите описание настраиваемой группы ролей в поле Описание . Имя настраиваемой группы ролей изменить нельзя. Нажмите кнопку Далее.
  5. На странице Изменение ролей группы ролей можно выбрать Выбрать роли , чтобы добавить роли, чтобы обновить роли, назначенные группе ролей. Вы также можете выбрать любую из назначенных ролей и выбрать Удалить роли , чтобы удалить роли из группы ролей. После обновления ролей нажмите кнопку Далее.
  6. На странице Изменение членов группы ролей можно выбрать Выбрать пользователей или Выбрать группы , чтобы добавить пользователей или группы, назначенные группе ролей. Чтобы обновить административные единицы для пользователей или групп, выберите любого из назначенных пользователей или групп и выберите Назначить единицы администрирования. Вы также можете выбрать любого из назначенных пользователей и групп и выбрать Удалить участников , чтобы удалить пользователей или группы из группы ролей. Обновив участников, нажмите кнопку Далее.
  7. На странице Просмотр группы ролей и завершение просмотрите сведения о настраиваемой группе ролей. Если необходимо изменить сведения, выберите Изменить в соответствующем разделе. Если все параметры заданы правильно, нажмите кнопку Сохранить , чтобы обновить настраиваемую группу ролей, или нажмите кнопку Отмена , чтобы отменить изменения и не обновлять настраиваемую группу ролей.

Удаление настраиваемой группы ролей Microsoft Purview

Выполните следующие действия, чтобы удалить пользовательскую группу ролей Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора, которому назначена роль управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
  2. Выберите Группы ролей.
  3. На странице Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, которую нужно удалить, а затем на панели управления выберите Удалить .
  4. В диалоговом окне Удаление группы ролей выберите Удалить , чтобы удалить группу ролей, или нажмите кнопку Отмена , чтобы отменить процесс удаления.