在電子檔探索 (預覽) 中指派許可權
如果您想要讓使用者在 Microsoft Purview 入口網站中使用任何電子檔探索 (預覽) 功能,您必須為使用者指派適當的許可權。 指派角色最簡單的方式是在 Microsoft Purview 入口網站的 [角色群組] 頁面上,為使用者新增適當的角色群組。 本文說明執行電子檔探索工作所需的許可權。
提示
開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security。
電子檔探索角色和角色群組
Microsoft Purview 入口網站中的主要電子檔探索相關角色群組稱為 eDiscovery Manager。 此角色群組內有兩個子群組:
電子檔探索管理員: 電子檔探索管理員 可以搜尋組織中的內容位置,並在電子檔探索 (預覽) 中執行各種與搜尋相關的動作,例如預覽和導出搜尋結果。 成員也可以建立和管理案例、新增和移除案例的使用者、建立案例保留、執行與案例相關聯的搜尋,以及存取案例數據。 電子文件探索管理員只能存取和管理其建立的案例。 其無法存取或管理其他電子文件探索管理員所建立的案例。
- 您可以使用安全性 & 合規性 PowerShell 中的 Add-RoleGroupMember Cmdlet,在電子檔探索管理員角色群組中新增擁有郵件功能的安全組作為電子檔探索管理員子群組的成員。 例如,您可以執行下列命令,將擁有郵件功能的安全組新增至 電子檔探索管理員 角色群組。
Add-RoleGroupMember "eDiscoveryManager" -Member <name of security group>
不支援 Exchange 通訊群組和Microsoft 365 群組。 您必須使用啟用郵件的安全組,您可以執行 在 Exchange Online PowerShell
New-DistributionGroup -Type Security
中建立此安全組。 您也可以在 Exchange 系統管理中心或Microsoft 365 系統管理中心 (建立擁有郵件功能的安全組,並新增) 成員。 建立新擁有郵件功能的安全組最多可能需要 60 分鐘的時間,才能新增至電子檔探索管理員角色群組。您無法使用安全性 & 合規性 PowerShell 中的 Add-eDiscoveryCaseAdmin Cmdlet,將啟用郵件的安全組設為電子檔探索系統管理員。 您只能將個別使用者新增為電子檔案探索系統管理員。
您也無法將啟用郵件的安全組新增為案例的成員。
電子檔探索系統管理員: 電子檔探索系統管理員 是 電子檔探索 管理員角色群組的成員,可以執行電子檔探索管理員可以執行的相同內容搜尋和案例管理相關工作。 此外,電子文件探索系統管理員還可以︰
- 存取 Microsoft Purview 入口網站中 eDiscovery 區域上列出的所有案例。
- 設定電子檔案探索解決方案設定。
- 存取程式和保存範圍為所有案例的報表。
- 組織中任何案例的存取案例數據。
- 在自行加入為案例的成員之後,管理任何電子文件探索案例。
- 從電子文件探索案例中移除成員。 只有電子文件探索系統管理員可以從案例中移除成員。 身為電子文件探索管理員子群組成員的使用者,即使使用者已建立案例,也無法從案例中移除成員。
- 如果身為電子檔探索案例唯一成員的人員離開您的組織,則沒有人 (包括 組織管理 角色群組的成員或 eDiscovery Manager 角色群組的另一個成員,) 可以存取該電子檔探索案例,因為他們不是案例的成員。 在此情況下,完全無法存取案例的資料。 但是,由於電子檔探索系統管理員可以存取組織中的所有電子檔探索案例,因此他們可以檢視案例,並將自己或其他電子檔探索管理員新增為案例的成員。
- 電子檔探索系統管理員可以檢視和存取所有電子檔探索案例,他們可以稽核和監督所有案例和相關聯的合規性搜尋。 這項功能有助於防止任何誤用合規性搜尋或電子檔探索案例。 此外,由於電子檔探索系統管理員可以在合規性搜尋的結果中存取潛在的敏感性資訊,因此您應該限制電子檔探索系統管理員的數目。
注意事項
若要在啟用進階電子檔探索功能時分析用戶的數據,必須為使用者指派 Office 365 E5 或Microsoft 365 E5 授權。 或者,具有 Office 365 E1 或 Office 365 或Microsoft 365 E3 授權的使用者,可以獲指派Microsoft 365 E5 合規性或Microsoft 365 電子檔探索和稽核附加元件授權。 系統管理員、合規性人員或被指派為案例成員,並使用進階電子檔探索功能來收集、檢視和分析數據的法務人員,不需要 E5 授權。 如需訂用帳戶和授權的詳細資訊,請參閱電子檔探索的 訂 用帳戶需求。
指派許可權之前
- 您必須是 組織管理 角色群組的成員,或被指派 角色管理 角色,才能在 Microsoft Purview 入口網站中指派電子檔探索許可權。
- 您可以在安全性 & 合規性 PowerShell 中使用 Add-RoleGroupMember Cmdlet,將擁有郵件功能的安全組新增為電子檔探索管理員角色群組中電子檔探索管理員子群組的成員。 不過,您無法將擁有郵件功能的安全組新增至 電子檔案探索系統管理員 子群組。
指派電子文件探索權限
移至 Microsoft Purview 入口網站 ,並使用可指派許可權的帳戶登入。
流覽至 [設定>角色群組]。
在 [ Microsoft Purview 解決方案的角色群組 ] 頁面上,選取 [電子檔探索管理員]。
在 [電子檔探索管理員 ] 飛出視窗窗格中,根據您想要指派的電子檔探索許可權執行下列其中一項動作。
- 選取 [編輯]。
- 在 [ 管理電子檔探索管理員] 頁面上,選取 [選擇使用者 ] 或 [選擇群組]。
- 搜尋並選取您要新增為 電子檔探索管理員) 的使用者 (或使用者,然後選取 [ 選取]。
- 選取 [下一步]。
- 若要將使用者 (或使用者指派給 電子檔探索系統管理員 角色群組) ,請選取 [選擇使用者 ] 或 [ 選擇群組]。
- 搜尋並選取您要新增為 電子檔案探索系統管理員) 使用者 (或使用者,然後選取 [ 選取]。
- 選取 [下一步]。
如果選取的使用者或群組在此角色群組指派中需要整個組織的存取權,請移至步驟 8。
如果選取的使用者或群組需要指派給管理單位,請選取使用者或群組,然後選 取 [指派系統管理單位]。
在 [ 指派系統管理單位 ] 窗格上,選取您要指派給使用者或群組之所有管理單位的複選框。 選 取 [選取]。
選 取 [下一步 ] 和 [ 儲存 ],將使用者或群組新增至角色群組。 選 取 [完成 ] 以完成步驟。
注意事項
您也可以使用 Add-eDiscoveryCaseAdmin Cmdlet,讓使用者成為電子檔探索系統管理員。 不過,您必須先將 案例管理 角色指派給使用者,才能使用此 Cmdlet 讓他們成為電子檔探索系統管理員。 如需詳細資訊,請 參閱 Add-eDiscoveryCaseAdmin。
在 Microsoft Purview 入口網站的 [ 角色群組 ] 頁面上,您也可以將使用者新增到 合規性系統管理員、 組織管理和檢 閱者 角色群組,以指派用戶電子檔探索相關許可權。 如需指派給每個角色群組之電子檔探索相關角色型訪問控制角色的說明,請參閱 與電子檔探索相關的角色型訪問控制角色。
與電子檔探索相關的 RBAC 角色
下表列出 Microsoft Purview 入口網站中電子檔探索相關的角色型訪問控制角色,並指出每個角色預設指派給的內建角色群組。
角色 | 合規性系統管理員 | 電子檔探索管理員 & 系統管理員 | 組織管理 | 檢閱者 |
---|---|---|---|---|
案例管理 | ||||
通訊 | ||||
合規性搜尋 | ||||
監管人 | ||||
匯出 | ||||
Hold | ||||
管理檢閱集標籤 | ||||
預覽 | ||||
檢閱 | ||||
RMS 解密 | ||||
搜尋和清除 |
執行下列診斷測試,以檢查匯出、預覽或搜尋角色是否已指派給指定的系統管理員帳戶。
- 選取 Microsoft Purview 入口網站右上方的 [ 說明 ] 控件。 在搜尋 (中輸入 Diag:edisRBACdiag ,或選取此 連結) 執行 電子檔探索 RBAC 檢查 測試。
- 在 [ 執行診斷] 區段中,輸入嘗試執行匯出、預覽或搜尋工作的使用者 UPN 或電子郵件位址。
- 選 取 [執行測試]。 如果使用者沒有必要的電子檔探索角色,請指派角色來執行所需的工作。
下列各節說明上表所列的每個電子檔探索相關角色型訪問控制角色。
案例管理
此角色可讓使用者在 Microsoft Purview 入口網站中建立、編輯、刪除和控制電子檔探索 (預覽) 案例的存取權。 用戶必須獲指派 案例管理 角色,您才能使用 Add-eDiscoveryCaseAdmin Cmdlet 讓他們成為電子檔探索系統管理員。 如需詳細資訊, 請參閱開始使用電子檔探索 (預覽) 。
通訊
此角色可讓使用者管理與電子檔探索案例中識別之使用者的所有通訊。 這包括建立保留通知、保留提醒,以及提升管理。 使用者也可以追蹤使用者對保留通知的通知,以及管理每個使用者用來追蹤包含使用者之案例之通訊的使用者入口網站存取權。
合規性搜尋
此角色可讓使用者搜尋信箱和公用資料夾、SharePoint 網站、OneDrive 網站、商務用Skype交談、Microsoft 365 群組,以及 Microsoft Teams 和 Viva Engage 群組。 此角色可讓使用者取得搜尋結果的估計值並建立匯出報告,但需要其他角色來起始搜尋動作,例如預覽、匯出或刪除搜尋結果。
在電子檔探索 (預覽) 中,獲指派 合規性搜尋 角色但沒有 預覽 角色的使用者,可以預覽已獲指派 預覽 角色的使用者起始預覽動作的搜尋結果。 沒有 預覽 角色的使用者在建立初始預覽動作后,最多可以預覽兩周的結果。
同樣地,電子檔探索中的使用者 (預覽) 獲指派 合規性搜尋 角色,但沒有 匯 出角色的使用者,可以下載導出動作是由獲指派導 出角色的 使用者起始的搜尋結果。 沒有 匯 出角色的使用者可以在建立初始導出動作后最多兩周下載搜尋結果。 之後,除非具有導 出角色的 人員重新啟動導出,否則他們無法下載結果。
預覽和導出搜尋結果的兩周寬限期 (沒有對應的搜尋和匯出角色) 在電子檔探索中啟用進階功能時並不適用。 啟用進階電子檔探索功能時,必須將 預覽 和 匯 出角色指派給使用者,才能預覽和導出內容。
監管人
重要事項
此角色僅適用於 Microsoft Purview 合規性入口網站中先前的電子檔探索體驗。 此角色不會在 Microsoft Purview 入口網站中授與電子檔探索 (預覽) 功能的任何許可權。
此角色可讓使用者識別及管理在 Microsoft Purview 合規性入口網站中管理電子檔探索案例的監管人,並使用來自 Microsoft Entra ID 和其他來源的資訊來尋找與監管人相關聯的數據源。 用戶可以在案例中建立其他數據源的關聯,例如信箱、SharePoint 網站和 Teams 與監管人。 使用者也可以對與監管人相關聯的數據源進行法務保存,以在案例內容中保留內容。
匯出
角色可讓使用者將搜尋結果匯出至本機計算機。 它也可讓他們在啟用進階電子檔探索功能時,準備搜尋結果以進行分析。 如需匯出搜尋結果的詳細資訊,請參閱 在電子檔探索中匯出搜尋結果 (預覽) 。
Hold
此角色可讓使用者在信箱、公用資料夾、網站、商務用Skype交談,以及Microsoft 365 群組中保留內容。 內容處於保留狀態時,內容的擁有者仍可修改或刪除原始內容,但這個內容會保留到保留狀態移除或保留期間到期為止。 如需保留的詳細資訊,請參閱 在電子檔探索中建立保留 (預覽) 。
管理檢閱集標籤
此角色可讓使用者建立、編輯和刪除可存取之案例的檢閱集標籤。 使用者至少需要有檢 閱 角色和此角色,才能 在檢閱期間管理標籤 。
預覽
此角色可讓用戶檢視從搜尋傳回的項目清單。 其也可開啟和檢視清單中的每個項目,以檢視其內容。
檢閱
此角色可讓使用者存取電子檔探索 (預覽) 中的檢閱集。 獲指派此角色的使用者可以查看並開啟其成員的案例清單。 在使用者存取電子檔探索案例之後,他們可以選取 [ 檢閱集 ] 來存取案例數據。 此角色不允許使用者預覽與案例相關聯的搜尋結果,或執行其他搜尋或案例管理工作。 具有此角色的使用者只能存取檢閱集中的數據。
RMS 解密
此角色可讓使用者在預覽搜尋結果和匯出受版權保護的電子郵件訊息時,檢視受版權保護的電子郵件訊息。 此角色也可讓用戶檢視 (並導出) 在加密檔案附加至電子檔探索搜尋結果中所包含的電子郵件訊息時,使用 Microsoft加密技術 加密的檔案。 此外,此角色可讓使用者檢閱和查詢已新增到電子檔探索 (預覽) 中檢閱集的加密電子郵件附件。 如需電子檔探索中解密的詳細資訊,請參 閱 Microsoft 365 電子檔探索工具中的解密。
搜尋和清除
此角色可讓使用者執行大量移除符合搜尋準則的數據。 如需詳細資訊,請參閱 在電子檔探索中尋找和刪除電子郵件訊息 (預覽) 。
新增角色群組作為電子檔探索案例的成員
您可以將角色群組新增為電子檔探索案例的成員,讓角色群組的成員可以在指派的案例中存取和執行工作。 指派給角色群組的角色會定義角色群組的成員可以執行的動作。 然後,將角色群組新增為案例的成員,可讓成員在特定情況下存取和執行這些工作。
考慮到這項需求,請務必知道,如果角色群組中新增或移除角色,則該角色群組將會自動移除為角色群組所屬任何案例的成員。 這樣做的原因是要保護您的組織,避免不小心為案例成員提供額外的許可權。 同樣地,如果刪除角色群組,則會從其所屬的所有案例中移除該角色群組。
將角色新增至或移除可能是電子檔探索案例成員的角色群組之前,您可以在 安全性 & 合規性 PowerShell 中執行下列命令,以取得角色群組所屬案例的清單。 更新角色群組之後,您會將角色群組新增回為這些案例的成員。