管理单元
使用管理单元可将组织细分为较小的单元,并分配只能管理这些单元的成员的特定管理员。 Microsoft Purview 角色组允许你将管理员分配到特定的管理单元。 然后,支持管理单元的 Microsoft Purview 解决方案会将可见性和管理权限限制为该单元的成员。
例如,可以使用管理单元将权限委托给大型跨国组织中的每个地理区域的管理员,或按组织内的部门对管理员访问权限进行分组。 可以创建特定于区域或部门的策略,或查看这些策略和管理单元分配结果的用户活动。 还可以使用管理单元作为策略的初始范围,其中符合策略条件的用户选择取决于管理单元的成员身份。
如果对合规性策略使用自适应范围,请参阅自适应范围如何与Microsoft Entra管理单元配合使用。
以下 Microsoft Purview 合规性解决方案支持管理单元:
解决方案 | 配置支持 |
---|---|
数据生命周期管理 | 角色组、保留策略和保留标签策略 |
Data Loss Prevention (DLP) | 角色组和 DLP 策略 |
通信合规性 | 角色组 和 策略 |
内部风险管理 | 角色组 和 策略 |
记录管理 | 角色组、保留策略、保留标签策略和 自适应范围 |
敏感度标记 | 角色组、敏感度标签策略和自动标记策略 |
管理单元的配置会自动向下流动到以下功能:
- 警报: DLP 警报仅对分配的管理单元中的用户可见
- 活动资源管理器:活动事件仅对分配的管理单元中的用户可见
- 自适应范围:
- 受限管理员只能为这些管理员分配的管理单元中的用户选择、创建、编辑和查看自适应范围
- 当受限管理员配置使用自适应作用域的策略时,该管理员只能选择分配给其管理单元的自适应范围
- 审核日志搜索访问权限
- 通信合规性:
- 策略查找和配置:受限管理员只能为分配给其管理单元的用户创建或管理策略。
- 警报和策略匹配:受限的管理员可以 调查其分配的管理单元中的用户的用户活动。
- 数据生命周期管理和记录管理:
- 内部风险管理:
- 策略查找和配置:受限管理员只能为分配给其管理单元的用户创建或管理策略。
- 用户活动:受限管理员可以开始为分配的管理单元中的用户评分活动或调查用户活动。
- 警报和案例:受限管理员 只能查看和调查 其分配的管理单元中的用户的警报和 案例 。
若要将角色组成员分配给管理单元,必须为管理员分配 角色管理 角色。 若要详细了解 Microsoft Purview 角色组和角色,请参阅 Microsoft Purview 中的角色组。
可以将角色组成员分配给以下内置角色组中的管理单元:
- 通信合规性
- 通信合规性管理员
- 通信合规性分析师
- 通信合规性调查员
- 合规性管理员
- 合规性数据管理员
- 全局读取者
- 信息保护
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
- 内部风险管理
- 内部风险管理管理员
- 预览体验计划风险管理分析员
- 预览体验计划风险管理调查员
- 内部风险管理会话审批者
- 内部风险管理审批者
- 组织管理
- 记录管理
- 安全管理员
- 安全操作员
- 安全信息读取者
分配角色组时,可以选择单个成员或组,然后选择“分配管理单元”选项以选择已在 Microsoft Entra ID 中定义的管理单元:
重要
创建自定义角色组后,分配管理员单位始终可用。 可以为任何自定义角色组分配管理单元。
这些管理员(称为受限管理员)现在可以选择一个或多个分配的管理单元,以自动定义他们创建或编辑的策略的初始范围。 仅当管理员未 (不受限制的管理员) 分配管理单元时,他们才能将策略分配给整个目录,而无需选择单独的管理单元。
重要
将管理单元分配给角色组的成员后,这些受限管理员将无法再查看和编辑现有策略。 但是,这些策略没有操作更改,它们仍然可见,并且可由不受限制的管理员进行编辑。
受限管理员也无法再使用支持管理单元的功能(如活动资源管理器和警报)查看历史数据。 它们对不受限制的管理员保持可见。 今后,受限管理员只能查看其分配的管理单元的此相关数据。
备注
除了能够配置和查看警报外,具有信息保护分析师和信息保护调查员角色的用户还可以使用 Search-UnifiedAuditLog cmdlet 搜索审核日志。
在为 Microsoft Purview 合规性解决方案配置管理单元之前,请确保组织和用户满足以下订阅和许可要求:
Microsoft Purview 许可:
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5/F5 合规性或 F5 安全 & 合规性
- Microsoft 365 E5/A5/G5/F5 信息保护 &治理
- Microsoft 365 E5/A5/F5 内部风险管理
完成以下步骤,通过 Microsoft Purview 合规性解决方案配置和使用管理单元:
Create管理单元来限制Microsoft Entra ID中的角色权限范围。
将用户和通讯组添加到 管理单元。
重要
动态分发组的成员不会自动成为管理单元的成员。
如果创建地理区域或基于部门的管理单元,请使用 动态成员身份规则配置管理单元。
备注
不能将组添加到使用动态成员身份规则的管理单元。 如果需要,请创建两个管理单元,一个用于用户,另一个用于组。
使用 Microsoft Purview 合规性解决方案中支持管理单元的任何角色组将管理单元分配给成员。
现在,当这些受限制的管理员创建或编辑支持管理单元的策略时,他们可以选择管理单元,以便只有这些管理单元中的用户才有资格使用策略:
- 不受限制的管理员 不必选择管理单元作为策略配置的一部分。 他们可以保留整个目录的默认值,或者选择一个或多个管理单元。
- 受限管理员 现在必须选择一个或多个管理单元作为策略配置的一部分。
在策略配置中,选择管理单元的管理员必须包括或排除 ((如果支持) 之前为策略选择的管理单元中的单个用户和组)。
有关特定于每个受支持解决方案的管理单元的信息,请参阅以下部分:
- 对于审核: 使用管理单元限定对审核日志的访问范围
- 对于通信合规性: 如果要将用户权限限定到某个区域或部门,请考虑管理单元
- 对于数据生命周期管理: 对管理单元的支持
- 对于 DLP: 管理单元受限策略
- 对于内部风险管理: 如果要将用户权限限定为区域或部门,请考虑管理单元
- 对于记录管理: 支持管理单元
- 对于敏感度标记: 支持管理单元