Microsoft Purview 合规性门户中的权限

Microsoft Purview 合规门户支持直接管理在 Microsoft 365 中执行合规性任务的用户的权限。 使用合规性门户中的新“权限”页,可以在设备管理、Microsoft Purview 数据丢失防护、电子数据展示、内部风险管理、保留等功能中管理用户对合规性任务的权限。 用户只能执行你显式授予其访问权限的符合性任务。

若要查看合规性门户中的“ 权限 ”选项卡,用户需要是全局管理员或需要分配 角色管理 角色, (角色仅分配给 组织管理 角色组) 。 “ 角色管理” 角色允许用户查看、创建和修改角色组。

Microsoft Purview 合规门户中的权限页。

合规性门户中的权限基于基于角色的访问控制 (RBAC) 权限模型。 RBAC 与大多数 Microsoft 365 服务使用的权限模型相同,因此,如果你熟悉这些服务中的权限结构,则熟悉在合规性门户中授予权限。 请务必记住,在合规性门户中管理的权限并不涵盖每个服务中所需的所有权限的管理。 你仍需要在管理中心内管理特定服务的特定权限。 例如,如果需要分配存档、审核和 MRM 保留策略的权限,则需要在 Exchange 管理中心中管理这些权限。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

成员、角色和角色组之间的关系

角色授予执行一组任务的权限;例如,“案例管理”角色允许用户处理电子数据展示案例。

角色组是一组角色,使用户能够在合规性门户上跨合规性解决方案执行其作业。 例如,通过将用户添加到 Insider Risk Management 角色组,在单个组中为指定的管理员、分析师、调查人员和审核员配置必要的内部风险管理权限。 合规性门户包括需要向其分配人员的每个合规性解决方案的任务和功能的默认角色组。 通常,建议根据需要将单个用户作为成员添加到默认合规性角色组。

显示角色组与角色和成员之间关系的图表。

在合规性门户中使用功能所需的权限

若要查看合规性门户中提供的所有默认角色组以及默认情况下分配给角色组的角色,请参阅 Microsoft 365 Defender 和 Microsoft Purview 合规性门户中的角色和角色组

在合规性门户中管理权限仅允许用户访问合规性门户中提供的合规性功能。 如果要向不在合规性门户中的其他功能(例如 Exchange 邮件流规则 (也称为传输规则) )授予权限,则需要使用 Exchange 管理中心

合规性门户中的 Azure 角色

合规性门户“权限”页的“Azure AD>角色”部分中显示的角色是 Azure Active Directory 角色。 这些角色旨在与组织 IT 组中的工作职能保持一致,从而可以轻松地使人员获得完成其工作所需的所有权限。 可以通过选择管理员角色并查看角色面板详细信息来查看当前分配给每个角色的用户。 若要管理 Azure AD 角色的成员,请选择“管理 Azure AD 中的成员”。 此选项会将你重定向到 Azure 管理门户。

Role 说明
全局管理员 访问所有 Microsoft 365 服务中的所有管理功能的权限。 只有全局管理员才能分配其他管理员角色。 更多信息,请参阅全局管理员/公司管理员
合规性数据管理员 在 Microsoft 365 中跟踪组织的数据,确保数据受到保护,并深入了解任何问题以帮助缓解风险。 有关详细信息,请参阅合规性数据管理员
合规性管理员 帮助组织遵守任何法规要求,管理电子数据展示案例,并维护 Microsoft 365 位置、标识和应用中的数据治理策略。 有关详细信息,请参阅合规性管理员
安全操作员 查看、调查和响应对 Microsoft 365 用户、设备和内容的活动威胁。 有关详细信息,请参阅安全操作员
安全信息读取者 查看和调查 Microsoft 365 用户、设备和内容受到的活动威胁,但与安全操作员不同, () 他们无权通过采取行动做出响应。 有关详细信息,请参阅安全信息读取者
安全管理员 通过管理安全策略、查看 Microsoft 365 产品中的安全分析和报告以及及时了解威胁形势来控制组织的总体安全。 有关详细信息,请参阅安全管理员
全局读取者 只读版本的全局管理员角色。 查看 Microsoft 365 中所有设置和管理信息。 有关详细信息,请参阅 全局信息读取者
攻击模拟管理员 创建和管理 攻击模拟 创建、启动/安排模拟以及审查模拟结果的各个方面。 有关详细信息,请参阅 攻击模拟管理员
攻击有效负载作者 创建攻击负载,但不真正开始或计划其目标。 有关详细信息,请参阅攻击有效负载作者

管理单元

使用管理单元可将组织细分为较小的单元,然后分配只能管理这些单元的成员的特定管理员。 它们还允许你将管理单元分配给 Microsoft Purview 解决方案中的角色组的成员,以便这些管理员只能管理这些分配的管理单元 (成员和关联的功能) 。

例如,可以使用管理单元将权限委托给大型跨国组织中的每个地理区域的管理员,或者按组织内的部门对管理员的访问权限进行分组。 可以创建特定于区域或部门的策略,或查看这些策略和管理单元分配结果的用户活动。 还可以使用管理单元作为策略的初始范围,其中符合策略条件的用户选择取决于管理单元的成员身份。

Microsoft Purview 中的管理单元支持

以下 Microsoft Purview 合规性解决方案支持管理单元:

解决方案 配置支持
数据生命周期管理 角色组、保留策略和保留标签策略
Data Loss Prevention (DLP) 角色组和 DLP 策略
通信合规性 自适应范围
记录管理 角色组、保留策略、保留标签策略自适应范围
敏感度标记 角色组、敏感度标签策略和自动标记策略

管理单元的配置会自动向下流动到以下功能:

  • 警报: DLP 警报仅对分配的管理单元中的用户可见
  • 活动资源管理器:活动事件仅对分配的管理单元中的用户可见
  • 自适应范围
    • 受限管理员只能为这些管理员分配的管理单元中的用户选择、创建、编辑和查看自适应范围
    • 当受限管理员配置使用自适应作用域的策略时,该管理员只能选择分配给其管理单元的自适应范围
  • 审核日志搜索访问权限
  • 数据生命周期管理和记录管理:
    • 策略查找:受限管理员只能查看其分配的管理单元内用户的策略
    • 处置评审和验证:受限管理员只能从其分配的管理单元内添加审阅者,并查看仅从其分配的管理单元内的用户释放的处置评审和项目

可以使用以下内置角色组将用户和组添加到管理单元:

  • 合规性管理员
  • 合规性数据管理员
  • 全局读取者
  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者
  • 组织管理
  • 记录管理
  • 安全管理员
  • 安全操作员
  • 安全信息读取者

分配角色组时,可以选择单个成员或组,然后选择 “分配管理单位 ”选项以选择已在 Azure Active Directory 中定义的管理单元:

编辑角色组时分配管理员单位选项。

重要

创建自定义角色组后,分配管理员单位始终可用。 可以为任何自定义角色组分配管理单元。

这些管理员(称为受限管理员)现在可以选择一个或多个分配的管理单元,以自动定义他们创建或编辑的策略的初始范围。 仅当管理员未 (不受限制的管理员) 分配管理单元时,他们才能在不选择单个管理单元的情况下将策略分配到整个目录。

重要

将管理单元分配给角色组的成员后,这些受限管理员将无法再查看和编辑现有策略。 但是,这些策略没有操作更改,它们仍然可见,并且可由不受限制的管理员进行编辑。

受限管理员也无法再使用支持管理单元的功能(如活动资源管理器和警报)查看历史数据。 它们对不受限制的管理员保持可见。 今后,受限管理员只能查看其分配的管理单元的此相关数据。

注意

除了能够配置和查看警报外,具有信息保护分析师信息保护调查员角色的用户还可以使用 Search-UnifiedAuditLog cmdlet 搜索审核日志。

管理单元的先决条件

在为 Microsoft Purview 合规性解决方案配置管理单元之前,请确保组织和用户满足以下订阅和许可要求:

  • Azure Active Directory Premium许可

  • Microsoft Purview 许可:

    • Microsoft 365 E5/A5
    • Microsoft 365 E5/A5/F5 合规性和 F5 安全性&合 规
    • Microsoft 365 E5/A5/F5 信息保护&治理

配置和使用管理单元

完成以下步骤,通过 Microsoft Purview 合规性解决方案配置和使用管理单元:

  1. 创建管理单元 以限制 Azure Active Directory (Azure AD) 中的角色权限范围。

  2. 将用户和通讯组添加到 管理单元。

    重要

    动态通讯组的成员不会自动成为管理单元的成员。

  3. 如果创建地理区域或基于部门的管理单元,请使用 动态成员身份规则配置管理单元。

    注意

    不能将组添加到使用动态成员身份规则的管理单元。 如果需要,请创建两个管理单元,一个用于用户,另一个用于组。

  4. 使用 Microsoft Purview 合规性解决方案中支持管理单元的任何角色组将管理单元分配给成员。

现在,当这些受限制的管理员创建或编辑支持管理单元的策略时,他们可以选择管理单元,以便只有这些管理单元中的用户才有资格使用策略:

  • 不受限制的管理员 不必选择管理单元作为策略配置的一部分。 他们可以保留整个目录的默认值,或者选择一个或多个管理单元。
  • 受限管理员 现在必须选择一个或多个管理单元作为策略配置的一部分。

在策略配置中,选择管理单元的管理员必须包括或排除 ((如果支持) 之前为策略选择的管理单元中的单个用户和组)。

有关特定于每个受支持解决方案的管理单元的信息,请参阅以下部分:

将用户或组添加到 Microsoft Purview 内置角色组

完成以下步骤,将用户或组添加到 Microsoft Purview 角色组:

  1. 使用 Microsoft 365 组织中管理员帐户的凭据登录到合规性门户的权限区域,然后转到 “权限” ,选择链接以查看和管理 Microsoft 365 中的合规性角色。

  2. 展开 “Microsoft Purview 解决方案 ”部分,然后选择“ 角色”。

  3. “Microsoft Purview 解决方案的角色组 ”页上,选择要向其添加用户的 Microsoft Purview 角色组,然后在控件栏上选择“ 编辑 ”。

  4. “编辑角色组成员 ”页上,选择“ 选择用户 ”或“ 选择组”。

    重要

    仅 Microsoft 365 商业云组织中支持安全组。

  5. 选中要添加到角色组的所有用户或组的复选框。

  6. 选择 “选择”。

  7. 如果所选用户或组需要组织范围的访问权限作为此角色组分配的一部分,请转到步骤 10。

  8. 如果需要将所选用户或组分配到管理单元,请选择用户或组,然后选择 “分配管理单位”。

  9. “分配管理单元 ”窗格中,选中要分配给用户或组的所有管理单元的复选框。 选择 “选择”。

  10. 选择“ 下一步 ”和“ 保存” ,将用户或组添加到角色组。 选择“ 完成 ”以完成这些步骤。

从 Microsoft Purview 内置角色组中删除用户或组

完成以下步骤以从 Microsoft Purview 角色组中删除用户或组:

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到合规性门户的权限区域,然后转到 “权限” ,选择链接以查看和管理 Microsoft Purview 合规性角色。
  2. 展开 “Microsoft Purview 解决方案 ”部分,然后选择“ 角色”。
  3. “Microsoft Purview 解决方案的角色组 ”页上,选择要从中删除用户或组的 Microsoft Purview 角色组,然后在控件栏上选择“ 编辑 ”。
  4. “编辑角色组成员 ”页上,选中要删除到角色组的所有用户或组的复选框。
  5. 选择 “删除成员”,然后选择“ 下一步”。
  6. 选择“ 保存 ”,从角色组中删除用户或组。 选择“ 完成 ”以完成这些步骤。

创建自定义 Microsoft Purview 角色组

完成以下步骤以创建自定义 Microsoft Purview 角色组:

  1. 使用 Microsoft 365 组织中管理员帐户的凭据登录到合规性门户的权限区域,然后转到“权限”。

  2. 展开 “Microsoft Purview 解决方案 ”部分,然后选择“ 角色”。

  3. “Microsoft Purview 解决方案的角色组 ”页上,选择“ 创建角色组”。

  4. “命名角色组 ”页上,在“名称”字段中输入自定义角色组 的名称 。 创建角色组后,无法更改角色组的名称。 如果需要,请在“说明”字段中输入自定义角色组 的说明 。 选择“下一步”以继续。

  5. “将角色添加到角色组” 页上,选择“ 选择角色”。

  6. 选择要添加到自定义角色组的角色的复选框。 选择 “选择”。

  7. 选择“下一步”以继续。

  8. “将成员添加到角色组”页上,选择“选择 (用户”或“选择组(如果适用) )。

    重要

    仅 Microsoft 365 商业云组织中支持安全组。

  9. 选中要添加到自定义角色组的用户 (或组) 复选框。 选择 “选择”。

  10. 选择“下一步”以继续。

  11. 如果所选用户或组需要在此角色组分配过程中进行组织范围的访问,请转到步骤 14。

  12. 如果需要将所选用户或组分配到管理单元,请选择用户或组,然后选择 “分配管理单位”。

  13. “分配管理单元 ”窗格中,选中要分配给用户或组的所有管理单元的复选框。 选择 “选择”。

  14. 选择“下一步”。

  15. “查看角色组并完成 ”页上,查看自定义角色组的详细信息。 如果需要编辑信息,请在相应的部分中选择 “编辑 ”。 如果所有设置都正确,请选择“ 创建 ”创建自定义角色组,或选择“ 取消 ”放弃更改,而不创建自定义角色组。

更新自定义 Microsoft Purview 角色组

完成以下步骤以更新自定义 Microsoft Purview 角色组:

  1. 使用 Microsoft 365 组织中管理员帐户的凭据登录到合规性门户的权限区域,然后转到“权限”。
  2. 展开 “Microsoft Purview 解决方案 ”部分,然后选择“ 角色”。
  3. “Microsoft Purview 解决方案的角色组 ”页上,选择要更新的 Microsoft Purview 角色组,然后在控件栏上选择“ 编辑 ”。
  4. “命名角色组 ”页上,更新“ 说明 ”字段中自定义角色组的说明。 无法更改自定义角色组的名称。 选择“下一步”。
  5. “编辑角色组的角色 ”页上,可以选择“ 选择要 添加角色的角色”,以更新分配给角色组的角色。 还可以选择当前分配的任何角色,然后选择“ 删除角色 ”以从角色组中删除角色。 更新角色后,选择“ 下一步”。
  6. “编辑角色组的成员 ”页上,可以选择“ 选择用户 ”或“ 选择组 ”以添加分配给角色组的用户或组。 若要更新用户或组的管理单元,请选择任何当前分配的用户或组,然后选择“ 分配管理单位”。 还可以选择当前分配的任何用户和组,然后选择 “删除成员 ”以从角色组中删除用户或组。 更新成员后,选择“ 下一步”。
  7. “查看角色组并完成 ”页上,查看自定义角色组的详细信息。 如果需要编辑信息,请在相应的部分中选择 “编辑 ”。 如果所有设置都正确,请选择“ 保存 ”以更新自定义角色组,或选择“ 取消 ”放弃更改,而不更新自定义角色组。

删除自定义 Microsoft Purview 角色组

完成以下步骤以删除自定义 Microsoft Purview 角色组:

  1. 使用 Microsoft 365 组织中管理员帐户的凭据登录到合规性门户的权限区域,然后转到“权限”。
  2. 展开 “Microsoft Purview 解决方案 ”部分,然后选择“ 角色”。
  3. “Microsoft Purview 解决方案的角色组 ”页上,选择要删除的 Microsoft Purview 角色组,然后在控制栏上选择“ 删除 ”。
  4. “删除角色组 ”对话框中,选择“ 删除 ”以删除角色组,或选择“ 取消 ”以取消删除过程。