在合规性门户中分配电子数据展示权限

  • 项目

如果希望用户使用Microsoft Purview 合规门户中的任何与电子数据展示相关的工具,则必须为其分配适当的权限。 分配角色的最简单方法是在合规性门户的 “权限” 页上添加相应角色组的人员。 本文介绍执行电子数据展示任务所需的权限。

提示

可以在合规性门户中的电子数据展示 (高级版) 概述页上查看自己的权限。 必须至少分配一个角色才能显示权限。

合规性门户中与电子数据展示相关的主角色组称为 电子数据展示管理器。 此角色组中有两个子组:

  • 电子数据展示管理器 - 电子数据展示管理器可以使用电子数据展示搜索工具搜索组织中的内容位置,并执行各种与搜索相关的操作,例如预览和导出搜索结果。 成员还可以在 Microsoft Purview 电子数据展示 (Standard) 中创建和管理案例,Microsoft Purview 电子数据展示 (Premium) 、向案例添加和删除成员、创建案例保留、运行与案例关联的搜索以及访问案例数据。 电子数据展示管理器只能访问和管理其创建的案例。 它们无法访问或管理由其他电子数据展示管理器创建的案例。

  • 电子数据展示管理员 - 电子数据展示管理员是电子数据展示管理员角色组的成员,可以执行与电子数据展示管理员可执行的相同内容搜索和案例管理相关任务。 此外,电子数据展示管理员可以:

    • 在合规性门户中访问 电子数据展示 (标准) 电子数据展示 (高级) 页上列出的所有事例。
    • 在电子数据展示(高级版)中访问组织中任何案例的案例数据。
    • 将其自己添加为任何电子数据展示事例的成员后管理这些事例。
    • 从电子数据展示案例中删除成员。 只有电子数据展示管理员可以从案例中删除成员。 作为电子数据展示管理器子组成员的用户无法从案例中删除成员,即使用户创建了案例也是如此。

    有关你可能希望组织中的电子数据展示管理员的原因,请参阅 详细信息

注意

若要使用电子数据展示 (Premium) 分析用户的数据,必须为用户 (数据) 的保管人分配Office 365 E5或Microsoft 365 E5许可证。 或者,可以向具有Office 365 E1、Office 365或Microsoft 365 E3许可证的用户分配Microsoft 365 E5 合规或 Microsoft 365 电子数据展示和审核加载项许可证。 被分配为案例的成员并使用电子数据展示 (Premium) 收集、查看和分析数据的管理员、合规性官员或法律人员不需要 E5 许可证。 有关电子数据展示 (Premium) 许可的详细信息,请参阅 电子数据展示 (Premium) 中的订阅和许可

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

分配权限之前

  • 你必须是 组织管理 角色组的成员或分配有 角色管理 角色才能在合规性门户中分配电子数据展示权限。
  • 可以使用 Security & Compliance PowerShell 中的 Add-RoleGroupMember cmdlet 将已启用邮件的安全组添加为电子数据展示管理器角色组中电子数据展示管理器子组的成员。 但是,不能将已启用邮件的安全组添加到 电子数据展示管理员 子组。 有关详细信息,请参阅 详细信息

分配电子数据展示权限

  1. 转到 合规性门户 ,并使用可分配权限的帐户登录。

  2. 在左窗格中,选择“角色 & 作用域权限>”。

  3. “权限” 页上的 “Microsoft Purview 解决方案”下,选择“ 角色”。

  4. “Microsoft Purview 解决方案的角色组 ”页上,选择“ 电子数据展示管理器”。

  5. “电子数据展示管理器 ”浮出控件窗格中,根据要分配的电子数据展示权限执行以下操作之一。

    • 选择“编辑”。
    • “管理电子数据展示管理器 ”页上,选择“ 选择用户”。
    • 搜索并选择要添加为 电子数据展示管理器的用户 (或) 用户,然后选择“ 选择”。
    • 选择“下一步”。
    • 若要将用户 (或) 的用户分配到 电子数据展示管理员 角色组,请选择“ 选择用户”。
    • 搜索并选择要添加为 电子数据展示管理员的用户 (或用户) ,然后选择“ 选择”。
    • 选择“下一步”。
    • 在“ 查看角色组并完成 ”页上,查看角色组更改。 选择“ 保存 ”以保存对电子数据展示角色组所做的更改。

注意

还可以使用 Add-eDiscoveryCaseAdmin cmdlet 使用户成为电子数据展示管理员。 但是,必须先向用户分配 案例管理 角色,然后才能使用此 cmdlet 使其成为电子数据展示管理员。 有关详细信息,请参阅 Add-eDiscoveryCaseAdmin

在合规性门户的“权限”页上,还可以通过将用户添加到合规性管理员组织管理和审阅者角色组来分配与电子数据展示相关的权限。 有关分配给每个角色组的电子数据展示相关基于角色的访问控制角色的说明,请参阅与 电子数据展示相关的基于角色的访问控制角色

查看权限

每个用户在合规性门户中登录“发现”时,电子数据展示“概述”选项卡上的“你的权限”卡上会显示为电子数据展示用户分配的权限。 此卡概述了用户的访问权限和角色,包括电子数据展示案例的任何限制。

电子数据展示 (高级版) 你的权限卡。

下表列出了合规性门户中与电子数据展示相关的基于角色的访问控制角色,并指示每个角色默认分配到的内置角色组。

Role 合规性管理员 电子数据展示管理器 & 管理员 组织管理 Reviewer
案例管理 复选标记。 复选标记。 复选标记。
通信 复选标记。
合规性搜索 复选标记。 复选标记。 复选标记。
Custodian 复选标记。
导出 复选标记。
Hold 复选标记。 复选标记。 复选标记。
管理审阅集标记 复选标记。
预览 复选标记。
审阅 复选标记。 复选标记
RMS 解密 复选标记
搜索和清除 复选标记

运行以下诊断测试以检查是否向指定的管理员帐户分配了导出预览搜索角色。

  1. 选择Microsoft Purview 合规门户右上角的“帮助”控件。 在搜索 (输入 Diag:edisRBACdiag 或选择此 链接) 运行 电子数据展示 RBAC 检查 测试。
  2. “运行诊断”部分中,输入尝试运行导出、预览或搜索任务的用户的 UPN 或电子邮件地址。
  3. 选择“ 运行测试”。 如果用户没有必要的电子数据展示角色,请分配角色以执行所需的任务。

以下部分介绍上表中列出的每个与电子数据展示相关的基于角色的访问控制角色。

案例管理

此角色允许用户在合规性门户中创建、编辑、删除和控制对电子数据展示 (标准) 和电子数据展示 (高级) 案例的访问权限。 如前所述,必须先向用户分配 案例管理 角色,然后才能使用 Add-eDiscoveryCaseAdmin cmdlet 使其成为电子数据展示管理员。

有关更多信息,请参阅:

通信

此角色允许用户管理与电子数据展示 (Premium) 案例中标识的保管人的所有通信。 这包括创建保留通知、保留提醒和升级到管理层。 用户还可以跟踪保管人对保留通知的确认,并管理对保管人门户的访问权限,每个保管人使用该门户来跟踪他们被标识为保管人的情况的通信。

有关详细信息,请参阅 在电子数据展示中处理通信 (Premium)

此角色允许用户在合规性门户中运行内容搜索工具,以搜索邮箱和公用文件夹、SharePoint Online 网站、OneDrive for Business网站、Skype for Business对话、Microsoft 365 组和 Microsoft Teams 以及Viva Engage组。 此角色允许用户获取搜索结果的估算值并创建导出报表,但需要其他角色来启动内容搜索操作,例如预览、导出或删除搜索结果。

在“内容搜索和电子数据展示 (标准) ”中,分配有 合规性搜索 角色但没有 “预览” 角色的用户可以预览分配有 预览角色的用户 已在其中启动预览操作的搜索结果。 没有预览角色的用户可以在创建初始 预览 操作后最多两周内预览结果。

同样,在内容搜索和电子数据展示 (标准) 分配了 合规性搜索 角色但没有 “导出” 角色的用户可以下载由分配有“ 导出 ”角色的用户启动导出操作的搜索结果。 没有 “导出” 角色的用户可以在创建初始导出操作后最多两周下载搜索结果。 之后,除非具有 “导出” 角色的人员重新启动导出,否则他们无法下载结果。

预览和导出搜索结果的两周宽限期 (没有相应的搜索和导出角色) 不适用于电子数据展示 (Premium) 。 必须向用户分配 预览导出 角色才能预览和导出电子数据展示 (Premium) 中的内容。

Custodian

此角色允许用户识别和管理电子数据展示 (Premium) 案例的保管人,并使用来自Microsoft Entra ID和其他源的信息查找与保管人关联的数据源。 用户可以将邮箱、SharePoint 网站和 Teams 等其他数据源与案例中的保管人相关联。 用户还可以对与保管人关联的数据源进行法定保留,以在案例上下文中保留内容。

有关详细信息,请参阅 在电子数据展示 (Premium) 中使用保管人

导出

该角色允许用户将内容搜索的结果导出到本地计算机。 它还允许他们准备在电子数据展示 (Premium) 中进行分析的搜索结果。

有关导出搜索结果的详细信息,请参阅从Microsoft Purview 合规门户导出搜索结果

Hold

此角色允许用户将内容置于邮箱、公用文件夹、网站、Skype for Business对话和 Microsoft 365 组中。 当内容处于保留状态时,内容所有者仍然可以修改或删除原始内容,但内容将被保留,直到保留被删除或保留到期。

有关保留的详细信息,请参阅:

管理审阅集标记

此角色允许用户创建、编辑和删除他们可以访问的案例的审阅集标记。 用户至少需要具有 “审阅 ”角色和此角色才能在评审期间 管理标记

预览

此角色允许用户查看从内容搜索返回的项目列表。 他们还可以打开并查看列表中的每个项目以查看其内容。

审阅

此角色允许用户访问 电子数据展示 (Premium) 中的审阅集。 分配有此角色的用户可以在其所属的符合性门户的 电子数据展示 > 高级 版页面上查看并打开案例列表。 用户访问电子数据展示 (Premium) 案例后,可以选择“ 查看集 ”以访问案例数据。 此角色不允许用户预览与案例关联的集合搜索结果,也不能执行其他搜索或案例管理任务。 具有此角色的用户只能访问评审集中的数据。

RMS 解密

此角色允许用户在预览搜索结果和导出解密的权限保护电子邮件时查看受权限保护的电子邮件。 当加密文件附加到电子数据展示搜索结果中包含的电子邮件时,此角色还允许用户查看 (和导出) 使用 Microsoft 加密技术 加密的文件。 此外,此角色允许用户查看和查询添加到电子数据展示 (高级版) 中的审阅集的加密电子邮件附件。 有关电子数据展示中的解密的详细信息,请参阅 Microsoft 365 电子数据展示工具中的解密

搜索和清除

此角色允许用户批量删除符合内容搜索条件的数据。 有关详细信息,请参阅 在组织中搜索和删除电子邮件

将角色组添加为电子数据展示案例的成员

可以将角色组添加为电子数据展示 (标准) 和电子数据展示 (高级) 案例的成员,以便角色组的成员可以在分配的案例中访问和执行任务。 分配给角色组的角色定义角色组的成员可以执行的操作。 然后,将角色组添加为案例的成员允许成员在特定情况下访问和执行这些任务。 有关将角色组添加为案例成员的详细信息,请参阅:

考虑到这一要求,请务必知道,如果角色组添加或删除了角色,则该角色组将作为角色组成员的任何情况下自动删除。 这样做的原因是为了防止组织无意中向案例成员提供其他权限。 同样,如果删除了某个角色组,则会从其所属的所有情况下将其删除。

在向可能是电子数据展示案例成员的角色组添加或删除角色之前,可以在 安全性 & 合规性 PowerShell 中运行以下命令,以获取角色组所属的案例列表。 更新角色组后,将角色组添加回作为这些事例的成员。

获取电子数据展示 (标准) 分配给角色组的情况列表

Get-ComplianceCase -RoleGroup "Name of role group"

获取电子数据展示 (高级版) 角色组分配到的情况的列表

Get-ComplianceCase -RoleGroup "Name of role group" -CaseType AdvancedEdiscovery

更多信息

  • 为什么要创建电子数据展示管理员? 如前所述,电子数据展示管理员是 电子数据展示管理员 角色组的成员,该角色组可以查看和访问组织中的所有电子数据展示案例。 访问所有电子数据展示事例这一功能有两个重要用途:

    • 如果某个电子数据展示案例的唯一成员离开你的组织,则任何 (包括 组织管理 角色组的成员或 电子数据展示管理员 角色组的其他成员) 都可以访问该电子数据展示案例,因为他们不是案例的成员。 在这种情况下,将无法访问事例中的数据。 但是,由于电子数据展示管理员可以访问组织中的所有电子数据展示案例,因此他们可以查看案例,并将自己或其他电子数据展示管理员添加为该案例的成员。
    • 由于电子数据展示管理员可以查看和访问所有电子数据展示 (Standard) 和电子数据展示 (Premium) 案例,因此他们可以审核和监督所有案例和相关合规性搜索。 此功能有助于防止滥用合规性搜索或电子数据展示案例。 而且,由于电子数据展示管理员可以访问合规性搜索结果中潜在的敏感信息,因此应限制电子数据展示管理员的人数。

  • 是否可以将组添加为电子数据展示管理器角色组的成员? 如前所述,可以使用 Security & Compliance PowerShell 中的 Add-RoleGroupMember cmdlet,将启用邮件的安全组添加为电子数据展示管理器角色组中电子数据展示管理器子组的成员。 例如,可以运行以下命令,将启用邮件的安全组添加到 电子数据展示管理器 角色组。

    Add-RoleGroupMember "eDiscovery Manager" -Member <name of security group>

    不支持 Exchange 通讯组和Microsoft 365 组。 必须使用启用邮件的安全组,可以通过运行 New-DistributionGroup -Type Security在 PowerShell Exchange Online 中创建该安全组。 还可以 (创建启用邮件的安全组,并在 Exchange 管理中心或Microsoft 365 管理中心中添加成员 ) 。 创建后最多可能需要 60 分钟才能将启用邮件的新安全组添加到电子数据展示管理员角色组。

    此外,如前所述,无法使用 Security & Compliance PowerShell 中的 Add-eDiscoveryCaseAdmin cmdlet 将启用邮件的安全组设为电子数据展示管理员。 只能将单个用户添加为电子数据展示管理员。

    也不能将启用邮件的安全组添加为案例的成员。