Microsoft Purview 入口網站中的權限
Microsoft Purview 入口網站支援直接管理在 Purview 內執行工作的使用者Microsoft許可權。 您可以使用入口網站的 [設定] 中的 [角色和範圍] 區域,管理 Purview 資料安全性、數據控管,以及風險和合規性解決方案中用戶的許可權。 您可以限制使用者只執行您明確授與他們存取權的特定工作。 在入口網站中選取風險和合規性解決方案,目前會在 Microsoft Purview 合規性入口網站中開啟這些解決方案。
若要在 Purview 入口網站的 [角色和範圍] 區域中檢視角色群組,用戶必須是全域管理員,或必須獲指派角色管理角色 (角色只會指派給組織管理角色群組) 。 角色管理角色可讓用戶檢視、建立和修改角色群組。
使用許可權最少的角色
Microsoft一律建議您使用許可權最少的角色。 將具有全域 管理員角色 的用戶數目降至最低,有助於改善組織的安全性。 規劃訪問控制策略時, 最佳做法 是為使用者管理最低許可權的存取權。 最低許可權表示您完全授與系統管理員執行其工作所需的許可權。
Purview 許可權
Purview 入口網站中的許可權是以角色型訪問控制 (RBAC) 許可權模型為基礎。 RBAC 是大部分Microsoft 365 服務所使用的相同許可權模型,因此如果您熟悉這些服務中的許可權結構,在 Purview 入口網站中授與許可權將會很熟悉。 請務必記住,Purview 入口網站中管理的許可權並未涵蓋管理每個個別服務所需的所有許可權。 您仍然需要在系統管理中心管理特定服務的特定服務許可權。 例如,如果您需要指派封存、稽核和 MRM 保留原則的許可權,您必須在 Exchange 系統管理中心管理這些許可權。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
成員、角色和角色群組的關係
角色會授與執行一組工作的許可權;例如,案例管理角色可讓使用者使用電子檔探索案例。
角色群組是一組角色,可讓使用者在 Purview 入口網站Microsoft合規性和治理解決方案之間執行其作業。 例如,藉由將使用者新增至 測試人員風險管理 角色群組,指定的系統管理員、分析師、調查人員和稽核員會針對單一群組中必要的內部風險管理許可權進行設定。 Microsoft Purview 入口網站針對您需要指派人員的每個合規性和治理解決方案,包含工作和功能的預設角色群組。 一般而言,建議您視需要將個別使用者新增為預設角色群組的成員。
在 Purview 入口網站中使用功能所需的許可權
若要檢視 Purview 入口網站中可用的所有預設角色群組,以及預設指派給角色群組的角色,請參閱 Microsoft Defender XDR 和 Microsoft Purview 入口網站中的角色和角色群組。
在 Purview 入口網站中管理許可權,只會讓使用者存取 Purview 入口網站內可用的合規性和治理功能。 如果您想要將許可權授與其他不在 Purview 入口網站中的功能,例如 Exchange 郵件流程規則 (也稱為傳輸規則) ,則必須使用 Exchange 系統管理中心。
需要治理許可權
目前可用的治理角色和角色群組僅涵蓋對 Microsoft Purview 數據對應和數據目錄的廣泛存取。 如需更多存取權,Microsoft Purview 治理會使用角色群組、數據存取和解決方案特定許可權的組合。
- 如需使用 新數據目錄預覽的治理許可權,請參閱 治理許可權檔。
- 如需使用傳統數據目錄的治理許可權,請參閱 傳統數據目錄的治理許可權
Purview 入口網站中的 Azure 角色
[角色和範圍] 區域的 [Microsoft Entra ID] 區段中顯示的角色Microsoft Entra 角色,而全域管理員可以看到此區段。 這些角色的設計符合組織 IT 群組中的各個職位,進而能輕鬆地為人員提供完成工作所需的所有權限。 您可以選取系統管理員角色並檢視角色面板詳細數據,以檢視目前指派給每個角色的使用者。 若要管理 Microsoft Entra 角色的成員,請選取 [管理 Microsoft Entra ID 中的成員]。 此選項會將您重新導向至 Azure 管理入口網站。
角色 | 描述 |
---|---|
全域管理員 | 可以存取所有 Microsoft 365 服務中的所有系統管理功能。 只有全域管理員才能指派其他系統管理員角色。 如需詳細資訊,請參閱全域系統管理員/公司系統管理員。 |
合規性資料管理員 | 可以追蹤 Microsoft 365 中的組織資料,確保其受到保護,並深入了解任何問題以協助降低風險。 如需詳細資訊,請參閱合規性資料系統管理員。 |
合規性系統管理員 | 可幫助您的組織遵守任何法規要求、管理電子文件探索案例,並維護 Microsoft 365 各個位置、身分和應用程式的資料監管原則。 如需詳細資訊,請參閱 合規性系統管理員。 |
安全性操作員 | 可檢視、調查和回應 Microsoft 365 使用者、裝置和內容所受的主動威脅。 如需詳細資訊,請參閱 安全性運算子。 |
安全性讀取者 | 檢視和調查您Microsoft 365 使用者、裝置和內容的作用中威脅,但 (不同於安全性操作員) 他們無權採取動作來回應。 如需詳細資訊,請參閱 安全性讀取者。 |
安全性系統管理員 | 可透過管理安全性原則、檢視 Microsoft 365 各項產品的安全性分析和報告,以及在威脅環境中保持最新速度,來控制組織的整體安全性。 如需詳細資訊,請參閱 安全性系統管理員。 |
全域讀取者 | 全域系統管理員 角色的唯讀版本。 在 Microsoft 365 中檢視所有設定和管理資訊。 如需詳細資訊,請參閱 全域讀取者。 |
攻擊模擬系統管理員 | 建立和管理 攻擊模擬系統 創建、模擬的啟動/排程,以及模擬結果審查的所有方面。 詳細資訊,請參閲 攻擊模擬系統管理員。 |
攻擊承載作者 | 建立攻擊承載,但不實際啟動或排程它們。 如需詳細資訊,請參閱 攻擊承載作者。 |
管理單位
管理單位可讓您將組織細分為較小的單位,然後指派只能管理這些單位成員的特定系統管理員。 它們也可讓您將管理單位指派給 Purview 解決方案中的角色群組成員Microsoft,讓這些系統管理員只能管理這些指派之管理單位的成員 (和相關聯的功能) 。 [角色和範圍] 區域的 [管理單位] 區段只會顯示指派全域管理員角色的使用者。 如需詳細資訊,請參閱 管理單位。
將使用者或群組新增至 Microsoft Purview 內建角色群組
完成下列步驟,將使用者或群組新增至 Microsoft Purview 角色群組:
使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 [設定>角色和範圍] ,以檢視及管理組織中的合規性和治理角色。
選取 [角色群組]。
在 [ Microsoft Purview 解決方案的角色群組 ] 頁面上,選取您要新增使用者的Microsoft Purview 角色群組,然後在控制列上選取 [ 編輯 ]。
在 [ 編輯角色群組的成員 ] 頁面上,選取 [選擇使用者 ] 或 [選擇群組]。
重要事項
只有Microsoft 365 個商業雲端組織才支援安全組。
選取您要新增至角色群組之所有使用者或群組的複選框。
選 取 [選取]。
如果選取的使用者或群組在此角色群組指派中需要整個組織的存取權,請移至步驟 10。
如果選取的使用者或群組需要指派給管理單位,請選取使用者或群組,然後選 取 [指派系統管理單位]。
在 [ 指派系統管理單位 ] 窗格上,選取您要指派給使用者或群組之所有管理單位的複選框。 選 取 [選取]。
選 取 [下一步 ] 和 [ 儲存 ],將使用者或群組新增至角色群組。 選 取 [完成 ] 以完成步驟。
從 Microsoft Purview 內建角色群組中移除使用者或群組
完成下列步驟,從 Microsoft Purview 角色群組中移除使用者或群組:
- 使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 [設定>角色和範圍] ,以檢視及管理組織中的合規性和治理角色。
- 選取 [角色群組]。
- 在 [ Microsoft Purview 解決方案的角色群組 ] 頁面上,選取您要從中移除使用者或群組的Microsoft Purview 角色群組,然後在控制列上選取 [ 編輯 ]。
- 在 [ 編輯角色群組的成員 ] 頁面上,選取您要移除至角色群組之所有使用者或群組的複選框。
- 選 取 [移除成員],然後選取 [ 下一步]。
- 選 取 [儲存 ] 以從角色群組中移除使用者或群組。 選 取 [完成 ] 以完成步驟。
建立自定義Microsoft Purview 角色群組
完成下列步驟以建立自定義Microsoft Purview 角色群組:
使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 [設定>角色和範圍] ,以檢視及管理組織中的合規性和治理角色。
選取 [角色群組]。
在 [ Microsoft Purview 解決方案的角色群組 ] 頁面上,選取 [ 建立角色群組]。
在 [ 為角色群組命名 ] 頁面的 [名稱] 字段中 輸入自定義角色群組的名稱。 建立角色群組之後,無法變更角色群組的名稱。 如有需要,請在 [描述] 字段中輸入自定義角色群組的 描述 。 選取 [下一步] 繼續。
在 [ 將角色新增至角色群組 ] 頁面上,選取 [選擇角色]。
選取要新增至自定義角色群組之角色的複選框。 選 取 [選取]。
選取 [下一步] 繼續。
在 [ 將成員新增至角色群組 ] 頁面上,選取 [ (選擇使用者 ] 或 [如果適用,則 選擇群組) ] 。
重要事項
只有Microsoft 365 個商業雲端組織才支援安全組。
選取要新增至自定義角色群組的使用者 (或群組) 複選框。 選 取 [選取]。
選取 [下一步] 繼續。
如果選取的使用者或群組在此角色群組指派過程中需要整個組織的存取權,請移至步驟 14。
如果選取的使用者或群組需要指派給管理單位,請選取使用者或群組,然後選 取 [指派系統管理單位]。
在 [ 指派系統管理單位 ] 窗格上,選取您要指派給使用者或群組之所有管理單位的複選框。 選 取 [選取]。
選取 [下一步]。
在 [ 檢閱角色群組並完成] 頁面上,檢閱自定義角色群組的詳細數據。 如果您需要編輯資訊,請在適當的區段中選取 [ 編輯 ]。 當所有設定都正確時,請選取 [建立 ] 以建立自定義角色群組,或選取 [取消 ] 以捨棄變更,而不是建立自定義角色群組。
更新自定義Microsoft Purview 角色群組
完成下列步驟以更新自訂Microsoft Purview 角色群組:
- 使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 [設定>角色和範圍] ,以檢視及管理組織中的合規性和治理角色。
- 選取 [角色群組]。
- 在 [ Microsoft Purview 解決方案的角色群組 ] 頁面上,選取您要更新的Microsoft Purview 角色群組,然後在控制列上選取 [ 編輯 ]。
- 在 [ 為角色群組命名 ] 頁面上,更新 [描述] 字段中自定義角色群組的 描述 。 無法變更自定義角色群組的名稱。 選取 [下一步]。
- 在 [角色群組的編輯角色 ] 頁面上,您可以選取 [選擇角色 ] 來新增角色,以更新指派給角色群組的角色。 您也可以選取任何目前指派的角色,然後選取 [移除角色 ] 以從角色群組中移除角色。 更新角色之後,請選取 [ 下一步]。
- 在 [ 編輯角色群組的成員 ] 頁面上,您可以選取 [ 選擇使用者 ] 或 [選擇群組 ] 來新增指派給角色群組的使用者或群組。 若要更新使用者或群組的管理單位,請選取任何目前指派的使用者或群組,然後選取 [ 指派系統管理單位]。 您也可以選取任何目前指派的使用者和群組,然後選取 [移除成員 ] 以從角色群組中移除使用者或群組。 更新成員之後,請選取 [ 下一步]。
- 在 [ 檢閱角色群組並完成] 頁面上,檢閱自定義角色群組的詳細數據。 如果您需要編輯資訊,請在適當的區段中選取 [ 編輯 ]。 當所有設定都正確時 ,請選 取 [儲存] 以更新自定義角色群組,或選取 [取消 ] 以捨棄變更,而不是更新自定義角色群組。
刪除自定義Microsoft Purview 角色群組
完成下列步驟以刪除自訂Microsoft Purview 角色群組:
- 使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 [設定>角色和範圍] ,以檢視及管理組織中的合規性和治理角色。
- 選取 [角色群組]。
- 在 [ Microsoft Purview 解決方案的角色群組 ] 頁面上,選取您要刪除Microsoft Purview 角色群組,然後選取控制列上的 [ 刪除 ]。
- 在 [ 刪除角色群組 ] 對話框中,選取 [ 刪除 ] 以刪除角色群組,或選取 [取消 ] 以取消刪除程式。