Freigeben über


Verwaltungseinheiten

Mit Verwaltungseinheiten können Sie Ihre organization in kleinere Einheiten unterteilen und bestimmte Administratoren zuweisen, die nur die Mitglieder dieser Einheiten verwalten können. Mit Microsoft Purview-Rollengruppen können Sie administratoren bestimmten Verwaltungseinheiten zuweisen. Microsoft Purview-Lösungen, die eine Verwaltungseinheit unterstützen, schränken dann die Sichtbarkeits- und Verwaltungsberechtigungen auf die Mitglieder der Einheit ein.

Sie können beispielsweise Verwaltungseinheiten verwenden, um Berechtigungen an Administratoren für jede geografische Region in einem großen multinationalen organization zu delegieren oder um den Administratorzugriff nach Abteilung innerhalb Ihres organization zu gruppieren. Sie können regions- oder abteilungsspezifische Richtlinien erstellen oder Benutzeraktivitäten als Ergebnis dieser Richtlinien und der Zuweisung von Verwaltungseinheiten anzeigen. Sie können auch Verwaltungseinheiten als anfänglichen Bereich für eine Richtlinie verwenden, wobei die Auswahl von Benutzern, die für die Richtlinie berechtigt sind, von der Mitgliedschaft in Verwaltungseinheiten abhängt.

Wenn Sie adaptive Bereiche für Konformitätsrichtlinien verwenden, finden Sie weitere Informationen unter Funktionsweise adaptiver Bereiche mit Microsoft Entra Verwaltungseinheiten.

Unterstützung von Verwaltungseinheiten in Microsoft Purview

Die folgenden Microsoft Purview-Compliancelösungen unterstützen Verwaltungseinheiten:

Lösung Konfigurationsunterstützung
Datenlebenszyklusverwaltung Rollengruppen, Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungsrichtlinien
Verhinderung von Datenverlust Rollengruppen und DLP-Richtlinien
Kommunikationscompliance Rollengruppen und Richtlinien
Insider-Risikomanagement Rollengruppen und Richtlinien
Datensatzverwaltung Rollengruppen, Aufbewahrungsrichtlinien, Aufbewahrungsbezeichnungsrichtlinien und adaptive Bereiche
Vertraulichkeitsbezeichnung Rollengruppen, Vertraulichkeitsbezeichnungsrichtlinien und Richtlinien für automatische Bezeichnungen

Die Konfiguration für Verwaltungseinheiten wird automatisch auf die folgenden Features heruntergefahren:

Hinweis

Microsoft Defender XDR unterstützt bis zu 100 Verwaltungseinheiten.

Zum Zuweisen eines Rollengruppenmitglieds zu einer Verwaltungseinheit muss Administratoren die Rollenverwaltungsrolle zugewiesen werden. Weitere Informationen zu Microsoft Purview-Rollengruppen und -Rollen finden Sie unter Rollengruppen in Microsoft Purview.

Sie können Rollengruppenmitglieder administrativen Einheiten innerhalb der folgenden integrierten Rollengruppen zuweisen:

  • Kommunikationscompliance
  • Kommunikationscompliance-Administratoren
  • Communication Compliance Analysts
  • Kommunikationscompliance-Prüfer
  • Complianceadministrator
  • Compliancedatenadministratoren
  • Globaler Leser
  • Informationsschutz
  • Information Protection-Administratoren
  • Information Protection-Analyst
  • Information Protection-Ermittler
  • Information Protection-Leser
  • Insider-Risikomanagement
  • Insider-Risikomanagement-Administratoren
  • Insider-Risikomanagement-Analysten.
  • Insider-Risikomanagement-Prüfer
  • Genehmigende Personen der Insider-Risikomanagementsitzung
  • Genehmigende Personen des Insider-Risikomanagements
  • Organisationsverwaltung
  • Datensatzverwaltung
  • Sicherheitsadministrator
  • Sicherheitsoperator
  • Sicherheitsleseberechtigter

Wenn Sie Rollengruppen zuweisen, können Sie einzelne Mitglieder oder Gruppen auswählen und dann die Option Administratoreinheiten zuweisen auswählen, um Verwaltungseinheiten auszuwählen, die in Microsoft Entra ID definiert wurden:

Option

Wichtig

Zuweisen von Administratoreinheiten ist immer verfügbar, wenn Sie benutzerdefinierte Rollengruppen erstellt haben. Sie können Verwaltungseinheiten für jede benutzerdefinierte Rollengruppe zuweisen.

Diese Administratoren, die als eingeschränkte Administratoren bezeichnet werden, können jetzt eine oder mehrere ihrer zugewiesenen Verwaltungseinheiten auswählen, um automatisch den anfänglichen Bereich der Richtlinien zu definieren, die sie erstellen oder bearbeiten. Nur wenn Administratoren keine Verwaltungseinheiten zugewiesen sind (uneingeschränkte Administratoren), können sie Richtlinien dem gesamten Verzeichnis zuweisen, ohne einzelne Verwaltungseinheiten auswählen zu müssen.

Wichtig

Nachdem Sie Den Mitgliedern der Rollengruppen Verwaltungseinheiten zugewiesen haben, können diese eingeschränkten Administratoren vorhandene Richtlinien nicht mehr anzeigen und bearbeiten. Es gibt jedoch keine betrieblichen Änderungen an diesen Richtlinien, und sie bleiben sichtbar und können von uneingeschränkten Administratoren bearbeitet werden.

Eingeschränkte Administratoren können auch keine Verlaufsdaten mehr anzeigen, indem Sie Features verwenden, die Verwaltungseinheiten unterstützen, z. B. Aktivitäts-Explorer und Warnungen. Sie bleiben für uneingeschränkte Administratoren sichtbar. In Zukunft können eingeschränkte Administratoren diese zugehörigen Daten nur für ihre zugewiesenen Verwaltungseinheiten sehen.

Hinweis

Zusätzlich zum Konfigurieren und Anzeigen von Warnungen können Benutzer mit den Rollen Information Protection Analyst und Information Protection Investigator Überwachungsprotokolle mit dem Cmdlet Search-UnifiedAuditLog durchsuchen.

Voraussetzungen für Verwaltungseinheiten

Stellen Sie vor dem Konfigurieren von Verwaltungseinheiten für Microsoft Purview-Compliancelösungen sicher, dass Ihre organization und Benutzer die folgenden Abonnement- und Lizenzierungsanforderungen erfüllen:

  • Microsoft Entra ID P1- oder P2-Lizenzierung

  • Microsoft Purview-Lizenzierung:

    • Microsoft 365 E5/A5/G5
    • Microsoft 365 E5/A5/G5/F5 Compliance oder F5 Security & Compliance
    • Microsoft 365 E5/A5/G5/F5 Information Protection & Governance
    • Microsoft 365 E5/A5/F5 Insider-Risikomanagement

Konfigurieren und Verwenden von Verwaltungseinheiten

Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten mit Microsoft Purview-Compliancelösungen zu konfigurieren und zu verwenden:

  1. Erstellen Sie Verwaltungseinheiten, um den Bereich der Rollenberechtigungen in Microsoft Entra ID einzuschränken.

  2. Fügen Sie Benutzer und Verteilergruppen zu Verwaltungseinheiten hinzu.

    Wichtig

    Mitglieder der dynamischen Verteilung Gruppen werden nicht automatisch Mitglieder einer Verwaltungseinheit.

  3. Wenn Sie eine geografische Region oder abteilungsbasierte Verwaltungseinheiten erstellen, konfigurieren Sie Verwaltungseinheiten mit dynamischen Mitgliedschaftsregeln.

    Hinweis

    Sie können einer Verwaltungseinheit, die dynamische Mitgliedschaftsregeln verwendet, keine Gruppen hinzufügen. Erstellen Sie bei Bedarf zwei Verwaltungseinheiten, eine für Benutzer und eine für Gruppen.

  4. Verwenden Sie eine der Rollengruppen aus den Microsoft Purview-Compliancelösungen, die Verwaltungseinheiten unterstützen, um Mitgliedern Verwaltungseinheiten zuzuweisen.

Wenn diese eingeschränkten Administratoren Jetzt Richtlinien erstellen oder bearbeiten, die Verwaltungseinheiten unterstützen, können sie Verwaltungseinheiten auswählen, sodass nur die Benutzer in diesen Verwaltungseinheiten für die Richtlinie berechtigt sind:

  • Uneingeschränkte Administratoren müssen keine Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen. Sie können die Standardeinstellung des gesamten Verzeichnisses beibehalten oder eine oder mehrere Verwaltungseinheiten auswählen.
  • Eingeschränkte Administratoren müssen jetzt eine oder mehrere Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen.

Weiter in der Richtlinienkonfiguration müssen Administratoren, die Verwaltungseinheiten ausgewählt haben, dann einzelne Benutzer und Gruppen (sofern unterstützt) aus den Verwaltungseinheiten einschließen oder ausschließen, die sie zuvor für die Richtlinie ausgewählt haben.

Informationen zu Verwaltungseinheiten, die für jede unterstützte Lösung spezifisch sind, finden Sie in den folgenden Abschnitten: