合规性管理器入门

项目
05/23/2023

本文内容： 本文可帮助你设置合规性管理器。了解如何访问合规性管理器、 设置角色和权限以及配置 改进操作的自动测试。演练合规性管理器仪表板并了解main页面：“改进操作”页、“解决方案”页、“评估”页和“评估模板”页。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。立即从Microsoft Purview 合规门户试用中心开始。了解有关注册和试用条款的详细信息。

谁可以访问合规性管理器

合规性管理器适用于具有 Office 365 和 Microsoft 365 许可证的组织，以及美国政府社区云 (GCC) 中等版、GCC High 版和国防部 (DoD) 客户。评估可用性和管理功能取决于许可协议。查看服务说明详细信息。

开始之前

组织的 Microsoft 365 全局管理员可能是访问合规性管理器的第一个用户。首次访问合规性管理器时，建议全局管理员登录并设置用户权限，如下所示。

转到Microsoft Purview 合规门户并使用 Microsoft 365 全局管理员帐户登录。
在左侧导航窗格中选择“ 合规性管理器 ”。你将到达合规性管理器仪表板。

访问合规性管理器的直接链接是 https://compliance.microsoft.com/compliancemanager。

设置用户权限并分配角色

合规性管理器使用基于角色的访问控制 (RBAC) 权限模型。只有分配有角色的用户才能访问合规性管理器，每个用户允许的操作受角色类型限制。我们的 RBAC 模型还允许你授予用户对单个评估的访问权限。有关详细信息，请参阅下面的基于角色的评估访问权限。

为组织拥有全局管理员角色的人员可以为合规性管理器设置用户权限。可以在以下任一位置设置权限：

Microsoft Purview 合规门户 (说明)
Azure Active Directory (Azure AD) (说明)

注意

美国政府社区 (GCC) High 和国防部 (DoD) 环境中的客户只能为 Azure AD 中的合规性管理员设置用户权限和角色。有关 Azure AD 说明和角色类型定义，请参阅下文。

在Microsoft Purview 合规门户中设置权限

转到Microsoft Purview 合规门户，然后选择“权限”。
在合规性门户下拉列表下，选择“ 角色”。
找到要向其添加一个或多个用户的角色组，检查组名称左侧的框。 (请参阅下面的角色和相关函数列表。角色组名称模仿角色名称。)
在该组的浮出控件窗格中，选择“成员”标题下的“编辑”。
选择“ 选择成员”。将显示另一个浮出控件窗口。
选择“ + 添加 ”以选择要添加到组的一个或多个用户。
选中要添加的名称旁边的复选框，然后选择底部的“ 添加 ”按钮。
完成用户分配后，依次选择“ 完成”、“ 保存”、“ 关闭”。

在 Azure AD 中设置权限

若要在 Azure AD 中设置权限和分配角色，请参阅使用 Azure Active Directory 向用户分配管理员和非管理员角色。

具有 Azure AD 标识且没有Office 365或 Microsoft 365 订阅的用户无法访问Microsoft Purview 合规门户中的合规性管理器。若要在访问合规性管理器方面寻求帮助，请联系 cmresearch@microsoft.com。

角色类型

下表显示了合规性管理器中每个角色允许的函数。该表还显示了每个 Azure AD 角色如何映射到合规性管理器角色。用户至少需要合规性管理器读取者角色或 Azure AD 全局读取者角色才能访问合规性管理器。

一个用户一次只能持有一个角色。用户角色的任何更改都将覆盖其以前的角色。

用户可以：	合规性管理员角色	Azure AD 角色
读取但不编辑数据	合规性管理器读者	Azure AD 全局读取器、安全读取器
编辑数据 - 例如，可以创建评估和编辑改进操作数据	合规性管理器贡献	合规性管理员
编辑改进操作测试说明	合规性管理器评估方	合规性管理员
管理评估、法规模板和租户数据;分配改进操作	合规性管理器管理	合规性管理员、合规性数据管理员、安全管理员

对评估和法规的基于角色的访问

可以向用户分配角色，以便根据法规授予对特定评估或所有评估的访问权限。当你需要确保只有满足某些法规要求的人员才能访问该数据时，以这些方式授予用户访问权限非常有用。

这四个角色提供对评估的访问权限：

合规性管理器读者
合规性管理器贡献
合规性管理器评估方
合规性管理器管理

根据角色允许的活动，可以对每个评估执行的操作进行限制。

若要向用户授予对某个法规的评估或所有评估的访问权限，请打开其详细信息页，然后选择“ 管理用户访问权限 ”以按角色添加用户。如果用户在Microsoft Purview 合规门户中分配了一个角色以全面访问合规性管理器，则你为他们分配的特定评估的任何角色将仅适用于该评估。

详细信息：

有关更详细的说明，请参阅授予用户对评估的访问权限。
有关更详细的说明，请参阅授予用户对法规的访问权限。
详细了解如何在合规性管理器设置中管理所有用户对评估的访问权限。

开始高级评估试用版

合规性管理器高级评估试用版是快速设置与组织最相关的评估的好方法。我们的库包含 360 多个法规模板，符合世界各地的政府法规和行业标准。详细了解高级评估试用版。

合规性管理器设置

可以通过选择屏幕右上角的 “合规性管理器设置 ”来查找特定合规性管理器函数的设置。设置类型包括：

测试源：允许关闭或打开改进操作的自动测试
管理用户历史记录：允许管理与改进操作关联的用户数据，包括将改进操作重新分配给其他用户的功能
用户访问：允许查看和管理用户角色，以便访问评估或评估模板

只有拥有全局管理员或合规性管理员角色的用户才能访问合规性管理器设置。

注意

GCC High 和 DoD 环境中的客户无法使用自动测试功能，因为这些环境中不提供安全功能分数。 GCC High 和 DoD 客户需要手动实施并测试其改进操作。

自动测试的测试源

合规性管理器可检测各种信号，以提供改进操作的自动测试和监视。此自动化派生自三个主要源：内置、Microsoft 安全功能分数和 Microsoft Defender for Cloud () 获取有关自动测试源的详细信息。合规性管理器还会检测来自Microsoft Priva (此功能处于预览状态的信号;了解) 的详细信息。成功测试并实施改进操作后，你将获得该操作的最大可能分数，该分数将计入总体合规性分数。

初始设置

虽然自动测试有助于最大限度地提高合规性活动的效率，但你可以完全控制是否应用自动测试。以下是合规性管理器最初设置的内容以及如何进行更改：

首次使用合规性管理器时，自动测试默认为可以自动测试的所有操作启用。大约需要 7 天时间才能完全收集数据并将该数据纳入合规性分数。
可以关闭所有操作的自动测试，这将禁用合规性管理器针对改进操作的所有自动化活动。还可以选择用于自动测试的单个改进操作。有关说明，请参阅管理自动测试设置。

如何判断哪些操作是自动测试的

在 “改进操作 ”页上，找到“ 测试源 ”列。如果值列为 “自动”，则操作由合规性管理器自动测试。如果值为 “手动”，则由组织测试该操作。如果值为 Parent，则该操作将继承它链接到的另一个操作的测试状态。获取有关改进操作测试源的详细信息。

添加或更新操作时

当自动化可用于现有改进操作或添加新的自动改进操作时，默认行为取决于当前设置以及是否已将数据引入改进操作。将自己的测试数据或证据添加到改进操作中时，会关闭该操作的自动测试，以确保合规性管理器不会覆盖任何数据。

如果已将数据添加到现有改进操作：

默认情况下，自动测试对于操作保持关闭状态。可以选择重新打开它。

如果尚未向改进操作添加数据，或者将新的自动操作添加到合规性管理器时，测试行为将遵循当前设置：

如果对所有操作或每个操作的设置都处于打开，则自动测试处于打开阶段。
如果所有操作的设置都处于关闭状态，则自动测试处于关闭状态。

管理自动测试设置

组织的全局管理员可以随时更改自动测试的设置。可以关闭常见改进操作的自动测试，也可以对单个操作启用自动测试。按照以下说明更改自动测试设置。

注意

只有全局管理员可以为所有改进操作打开或关闭自动更新。合规性管理器管理员可以为单个操作启用自动更新，但不能针对所有操作启用自动更新。

在Microsoft Purview 合规门户中选择“设置”。
在“设置”页上，选择“ 合规性管理器”。
从左侧导航栏中选择“ 测试源 ”。
选择用于测试改进操作的所需选项：
1. 为所有操作启用自动测试
2. 关闭所有操作的自动测试
3. 启用每个操作的自动测试
如果选择“ 按改进操作启用”，将显示一个列表，其中显示符合测试条件的所有改进操作。默认情况下将检查所有操作，因此需要取消 选中不希望自动 测试的操作。
选择“ 保存” 以保存设置。你将在屏幕顶部收到一条确认消息，指出你的选择已保存。如果收到失败通知，请重试。

管理用户历史记录

“管理用户历史记录”设置可帮助你快速确定哪些用户在合规性管理器中执行了改进操作。与改进操作关联的可识别用户数据包括改进操作的状态及其上传的文档。了解和检索此类数据可能是组织自己的合规性需求所必需的。

用户历史记录设置还允许你将所有改进操作从一个用户重新分配给另一个用户。

若要查找用户历史记录设置，请执行以下操作：

在Microsoft Purview 合规门户中选择“设置”。
在“设置”页上，选择“ 合规性管理器”。
从左侧导航栏中选择“ 管理用户历史记录 ”。

“管理用户历史记录”页显示按电子邮件地址分配到改进操作的所有用户的列表。使用“ 搜索 ”按钮，通过键入特定用户的电子邮件地址来快速查找该用户。

在每个用户的电子邮件地址右侧， “选择 ”下拉菜单提供了导出报表、重新分配改进操作或删除历史记录的选项。有关每个选项的详细信息，请参阅下面的每个部分。

导出用户历史记录数据报表

可以导出包含当前分配给用户的改进操作列表的 Excel 文件。报告还列出了该用户上传的所有证据文件。此信息可帮助你重新分配开放式改进操作。

报告反映改进操作自创建日期起的状态。它不是以前对其状态或分配所做的所有更改的历史报告， (了解如何从改进操作页) 导出报表。

按照以下步骤按用户导出报表：

在Microsoft Purview 合规门户中选择“设置”。
在“设置”页上，选择“ 合规性管理器”。
从左侧导航中选择 “管理用户历史记录 ”。
通过搜索列表电子邮件地址，或选择“ 搜索 ”并输入用户的电子邮件地址来查找目标用户。
在 “选择” 下拉菜单中，选择“ 导出报表”。
生成报表的 Excel 文件后，可以将其打开并将其保存到本地计算机。

将改进操作重新分配给其他用户

可以将改进操作从一个用户重新分配给另一个用户。重新分配操作时，文档上传历史记录不会更改，但最初上传文档的用户的名称不再显示在改进操作中。

按照以下步骤将改进操作重新分配给其他用户：

在Microsoft Purview 合规门户中选择“设置”。
在“设置”页上，选择“ 合规性管理器”。
从左侧导航中选择 “管理用户历史记录 ”。
通过搜索列表电子邮件地址或选择“ 搜索 ”并输入该用户的电子邮件地址来查找用户。
在 “选择” 下拉菜单中，选择 “重新分配改进操作”。将显示 “重新分配改进操作 ”浮出控件窗格。
在 “搜索用户 ”字段中，输入要向其分配改进操作的用户的姓名或电子邮件地址。
在 “改进操作将分配到”下看到目标用户的名称时，选择该用户，然后选择“ 分配操作”。
重新分配完成后，你将在浮出控件窗格中看到一条确认消息，确认先前用户的所有改进操作已重新分配给新用户。如果收到重新分配失败通知，请关闭窗口并重试。若要关闭浮出控件窗格，请选择“ 完成”。

新被代理人会收到一封电子邮件，指出他们已分配到改进操作。电子邮件包含指向改进操作详细信息页的直接链接。

注意

如果重新分配具有挂起更新的操作，如果在重新分配后接受更新，则重新分配电子邮件中操作的直接链接将中断。可以通过在接受更新后将操作重新分配给用户来解决此问题。详细了解改进操作的更新。

删除用户历史记录

删除用户的历史记录将删除他们作为改进操作的所有者，并将从合规性管理器中的所有其他字段中删除他们的姓名。删除用户的历史记录时，他们拥有的改进操作在分配新用户之前不会显示 “已分配到 ”值。上传到改进操作的任何文档都将显示 “删除用户 ”来代替已删除的用户的名称。删除用户历史记录是永久性的。

若要删除用户的历史记录，请执行以下步骤：

在 “合规性管理器设置”中， 选择“ 管理用户历史记录”。
通过搜索页面上的列表电子邮件地址，或者选择“ 搜索 ”并输入该用户的电子邮件地址来查找用户。
在 “选择” 下拉菜单中，选择 “删除历史记录”。
此时会显示一个窗口，要求确认永久删除用户历史记录。若要继续删除，请选择“ 删除历史记录”。若要离开而不删除历史记录，请选择“ 取消”。
你将返回到 “管理用户历史记录 ”页，顶部会显示一条确认消息，指出用户历史记录已删除。

用户访问权限

“设置”的“用户访问”部分显示具有允许访问一个或多个评估角色的所有用户的列表。在此页中，你可以对角色分配进行更改。

授予用户访问评估的权限时：用户将仅有权访问该评估。
授予用户访问法规的权限时：用户将有权访问使用该法规创建的任何评估，包括现有评估以及将来创建的任何评估。

若要添加或删除评估和法规的用户访问角色，请执行以下步骤：

在 “合规性管理器设置”中， 选择“ 用户访问”。
选中要编辑其角色的一个或多个用户的名称旁边的复选框。
根据是否编辑评估或法规的角色：在名称列表上方的“编辑评估角色”或“编辑法规角色”下拉菜单中，选择“添加评估/法规权限”或“删除评估/法规权限”。
添加角色：在浮出控件窗格中，转到与要添加 (读者、评估者或参与者) 的角色对应的选项卡，然后选择“ 添加评估/法规”。在下一个浮出控件窗格中，选中评估/法规旁边的复选框，然后选择 “应用”，然后选择“ 保存”。
删除角色：在浮出控件窗格中，转到与要删除的角色对应的选项卡， (读者、评估者或参与者) 。选择要删除其访问权限的评估/法规旁边的按钮，然后在“ 删除 ”列中选择 X 标记。
1. 此时会显示 “删除访问权限？” 确认框。选择“ 确认 ”以删除用户的角色，或选择“ 取消 ”取消。评估的名称现在将从“角色”选项卡中删除。
2. 在浮出控件窗格中选择 “保存 ”。在选择“ 保存” 按钮之前，角色删除不会完成。选择 “关闭 ”将取消进程，而不会保存角色删除。

“ 用户访问 ”页上的用户列表现在将反映所做的更改。

注意

在 Azure AD 中设置了合规性管理器权限的管理员不会显示在 “用户访问 ”页上。这意味着，如果用户有权访问一个或多个评估，并且其角色是全局管理员、合规性管理员、合规性数据管理员或安全管理员，则不会在此页面上显示。详细了解如何在 Azure AD 中设置合规性管理器权限。

详细信息：

从评估的详细信息页访问有关分配用户角色的这些说明。

了解合规性管理器仪表板

合规性管理器仪表板旨在提供当前合规性状况的概览视图。

整体合规性分数

合规性分数在顶部突出显示。它显示一个百分比，该百分比基于完成满足关键数据保护标准和法规的改进操作的可达到的分数。 Microsoft 操作的积分（由我的 Microsoft 管理）也计入合规性分数。

首次使用合规性管理器时，初始分数基于 Microsoft 365 数据保护基线。此基线评估适用于所有组织，是一组包含常见行业法规和标准的控制措施。合规性管理器会检查现有的 Microsoft 365 解决方案，并根据当前的隐私和安全设置提供初始评估。添加与组织相关的评估时，分数对你来说越有意义。

了解详细信息：了解如何计算合规性分数。

关键性改进措施

本部分列出了现在可以采取的主要改进措施，以对总体合规性分数产生最大的积极影响。选择“ 查看所有改进操作” ，转到改进操作页。

影响分数的解决方案

本部分重点介绍包含可对你分数产生积极影响的改进操作的解决方案，以及这些解决方案中未完成的改进操作数。选择“ 查看所有解决方案 ”以访问解决方案页面。

合规性分数细目

本部分以两种不同的方式提供分数的更详细视图：

类别：显示数据保护类别中总分数的百分比，例如“保护信息”或“管理设备”。
评估：显示管理特定合规性和数据保护标准、法规或法律（如 GDPR 或 NIST 800-53）评估的进度百分比。

筛选仪表板视图

可以筛选仪表板视图，仅查看与特定法规和标准、解决方案、操作类型、评估组或数据保护类别相关的项。以这种方式筛选视图还会筛选仪表板的分数，根据筛选条件显示在可能的总积分中获得了多少分。

应用筛选器：

在仪表板的右上角选择“筛选”。
从“ 筛选器 ”浮出控件窗格中选择筛选条件，然后选择“ 应用”。

应用筛选器后，你将看到实时调整的分数。合规性分数百分比和细分信息以及改进操作和解决方案现在仅与筛选条件涵盖的数据相关。如果注销合规性管理器，则重新登录时，筛选的视图将保留。

删除筛选器：

在合规性分数上方的 “已应用筛选器 ”标题中，选择要删除的单个筛选器旁边的 X ;或
选择仪表板右上角的“筛选器”，然后在“筛选器”浮出控件窗格中，选择“清除筛选器”。

“改进操作”页

改进操作是由组织管理的操作。使用改进操作有助于集中合规性活动，并与数据保护法规和标准保持一致。每个改进操作都提供了详细的实施指南和链接，用于将你启动到适当的解决方案中。可以将改进操作分配给组织中的用户以执行实现和测试工作。还可以在改进操作中存储文档、备注和记录状态更新。

查看改进操作

合规性管理器仪表板显示关键改进操作。若要查看所有改进操作，请选择仪表板上的“改进操作”选项卡，这会转到改进操作页面。还可以在仪表板上的关键改进操作列表下选择“查看所有改进操作”，以访问改进操作页面。

“改进操作”页显示组织管理的所有改进操作。 Microsoft 管理的操作可以在每个评估中查看， (详细了解 Microsoft 操作) 。

如果改进操作页面上有一长串操作，则筛选视图可能会有所帮助。选择操作列表右上角的 “筛选器 ”。出现 “筛选器 ”浮出控件窗格时，请从可用选项中选择条件。还可以通过选择右上角的“ 组 ”来自定义视图。在下拉菜单中，选择可按组、解决方案、类别、操作类型或状态查看。

此页面的默认视图不显示测试状态为 “已通过”的改进操作。若要查看已通过测试的操作，检查“筛选器”浮出控件窗格中的“已通过”框。只有测试状态为 “已通过” 的操作才会计入分数。某些操作可能会显示 挂起的更新标签。 详细了解改进操作的更新。

改进操作页显示每个改进操作的以下数据点：

产品：正在评估的产品。
实现的点数：通过完成操作，在可用总数中实现的点数。
法规：与操作相关的法规或标准。
组：将操作分配到的组。
解决方案：可以转到其中执行操作的解决方案。
评估：包含操作的评估数。选择数字以查看相关评估的列表;你将只看到你有权访问的评估 (了解详细信息) 。
类别：相关数据保护类别 (，例如，保护信息、管理设备等) 。
测试状态：
- 无 - 未记录状态更新
- 未评估 - 测试尚未开始
- 已通过 - 已成功测试实现
- 失败的低风险 - 测试失败，低风险
- 失败的中等风险 - 测试失败，中等风险
- 失败的高风险 - 测试失败，高风险
- 范围外 - 操作不在评估范围内，不会影响分数
- 要检测到 - 对于手动测试，指示操作已实现但尚未测试;对于自动测试，指示操作正在等待自动化结果
- 无法检测到 - 无法确定自动状态
- 部分测试 - 自动评分，授予部分分数
操作类型：指示改进操作是技术性的，这意味着它可以在解决方案或产品中实现，还是非技术性的，这将在技术解决方案之外实现。
分配给：分配到操作以执行工作的用户。
测试源：指示操作的测试源是手动、自动还是继承自父级。

了解如何分配改进操作并执行工作。

“解决方案”页

“ 解决方案 ”页显示按解决方案组织的已赚取积分和潜在积分的份额。从此视图中查看剩余的要点和改进操作有助于了解哪些解决方案需要更立即的关注。

通过选择合规性管理器仪表板上的“解决方案”选项卡来查找解决方案页面。还可以在仪表板的右上角部分选择“解决方案”下的“查看影响分数的所有解决方案”。若要筛选解决方案视图，请执行以下操作：

选择评估列表左上角的 “筛选器 ”。
在“筛选器”浮出控件窗格中，在所需条件 (法规、解决方案、操作类型、组、类别) 旁边放置检查。
选择“ 应用 ”按钮。筛选器窗格将关闭，你将看到筛选后的视图。

还可以通过从评估列表上方的“组 ”下拉菜单中选择 分组类型来修改视图，以便按组、产品或法规查看评估。

从解决方案页执行操作

“ 解决方案 ”页显示与改进操作相关的组织解决方案。下表列出了每个解决方案对总体分数的贡献、该解决方案中实现的和可能的分数，以及该解决方案中分组的可提高分数的改进操作的剩余数量。

可通过两种方式从此屏幕执行操作：

在目标解决方案行的“ 剩余操作” 列下，选择超链接编号。你将看到改进操作屏幕的筛选视图，其中显示了该解决方案的未经测试的改进操作。
在目标解决方案行的“ 打开解决方案 ”列下，选择“ 打开”。你将在Microsoft Purview 合规门户、Microsoft 365 Defender门户或其管理中心到达解决方案的位置，可在其中执行建议的操作。

“评估”页

“ 评估 ”页列出了为组织设置的所有评估。合规性分数分母由所有跟踪的评估决定。添加更多评估时，你将在改进操作页面上看到更多改进操作列出，并且合规性分数分母也会增加。

页面顶部附近的 “激活/法规 ”计数器显示当前正在使用的法规数，以及组织可以使用的总数。详细了解现行法规。

评估页汇总了有关每个评估的关键信息：

评估：评估的名称
状态：
- 完成 - 所有控件的状态为“已通过”，或者至少传递一个控件，其余控件“范围外”
- 不完整 - 至少有一个控件的状态为“失败”
- 无 - 尚未测试所有控件
- 正在进行 - 改进操作具有任何其他状态，包括“正在进行”、“部分信用”或“未检测到”
评估进度：完成工作完成的百分比，由成功测试的控件数衡量
改进操作：满足控件实现的已完成操作数
Microsoft 操作：满足 Microsoft 控件实现的已完成操作数
组：评估所属的组的名称
产品：关联产品，例如 Microsoft 365 或为评估定义的其他产品
法规：适用于评估的监管标准、政策或法律

若要筛选评估视图，请执行以下操作：

选择评估列表左上角的 “筛选器 ”。
在“筛选器”浮出控件窗格中，检查所需的条件。
选择“ 应用 ”按钮。筛选器窗格将关闭，你将看到筛选后的视图。