Microsoft Purview ポータルのアクセス許可
Microsoft Purview ポータルでは、Microsoft Purview 内でタスクを実行するユーザーのアクセス許可を直接管理できます。 ポータルの [設定] の [ロールとスコープ] 領域を使用すると、Purview データセキュリティ、データ ガバナンス、リスクとコンプライアンス ソリューション全体でユーザーのアクセス許可を管理できます。 ユーザーに対して、明示的にアクセス権を付与する特定のタスクのみを実行するように制限できます。 現在、ポータルでリスクとコンプライアンス のソリューションを選択すると、Microsoft Purview コンプライアンス ポータルでこれらのソリューションが開きます。
Purview ポータルの [ロールとスコープ] 領域でロール グループを表示するには、ユーザーがグローバル管理者であるか、ロール管理ロールを割り当てる必要があります (ロールは Organization Management ロール グループにのみ割り当てられます)。 ロール管理ロールを使用すると、ユーザーはロール グループを表示、作成、変更できます。
アクセス許可が最も少ないロールを使用する
Microsoft では、アクセス許可が最も少ないロールを常に使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 アクセス制御戦略を計画するときは、ユーザーの最小特権のアクセスを管理することをお 勧めします 。 最小特権とは、管理者が自分の仕事をするために必要なアクセス許可を正確に付与することを意味します。
Purview のアクセス許可
Purview ポータルのアクセス許可は、ロールベースのアクセス制御 (RBAC) アクセス許可モデルに基づいています。 RBAC は、ほとんどの Microsoft 365 サービスで使用されているのと同じアクセス許可モデルであるため、これらのサービスのアクセス許可構造に慣れている場合は、Purview ポータルでアクセス許可を付与することも同様です。 Purview ポータルで管理されるアクセス許可は、各サービスで必要なすべてのアクセス許可の管理をカバーしているわけではありません。 引き続き、特定のサービスの管理センターで特定のサービス固有のアクセス許可を管理する必要があります。 たとえば、アーカイブ、監査、MRM アイテム保持ポリシーのアクセス許可を割り当てる必要がある場合は、 Exchange 管理センターでこれらのアクセス許可を管理する必要があります。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
メンバー、役割、役割グループの関係
ロールは、一連のタスクを実行するためのアクセス許可を付与します。たとえば、ケース管理ロールを使用すると、ユーザーは電子情報開示ケースを操作できます。
ロール グループは、ユーザーが Microsoft Purview ポータルのコンプライアンスおよびガバナンス ソリューション全体でジョブを実行できるようにするロールのセットです。 たとえば、 Insider Risk Management ロール グループにユーザーを追加すると、指定された管理者、アナリスト、調査担当者、および監査者が、1 つのグループで必要なインサイダー リスク管理アクセス許可用に構成されます。 Microsoft Purview ポータルには、ユーザーを割り当てる必要があるコンプライアンスおよびガバナンス ソリューションごとに、タスクと機能の既定の役割グループが含まれています。 通常、必要に応じて、個々のユーザーをメンバーとして既定の役割グループに追加することをお勧めします。
Purview ポータルで機能を使用するために必要なアクセス許可
Purview ポータルで使用可能なすべての既定の役割グループと、既定で役割グループに割り当てられているロールを表示するには、Microsoft Defender XDRポータルと Microsoft Purview ポータルの役割と役割グループに関するページを参照してください。
Purview ポータルでアクセス許可を管理すると、ユーザーは Purview ポータル内で使用できるコンプライアンスとガバナンス機能にのみアクセスできます。 Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) など、Purview ポータルにない他の機能にアクセス許可を付与する場合は、 Exchange 管理センターを使用する必要があります。
必要なガバナンスのアクセス許可
使用可能な現在のガバナンス ロールとロール グループは、Microsoft Purview データ マップと統合カタログへの広範なアクセスのみを対象としています。 より多くのアクセスを得るための Microsoft Purview ガバナンスでは、ロール グループ、データ アクセス、ソリューション固有のアクセス許可の組み合わせを使用します。
- Microsoft Purview 統合カタログを使用したガバナンスのアクセス許可については、「ガバナンスのアクセス許可」を参照してください。
- クラシック Data Catalogを使用したガバナンスアクセス許可については、「クラシック Data Catalogのガバナンスアクセス許可」を参照してください。
Purview ポータルでの Azure ロール
[ロールとスコープ] 領域の [Microsoft Entra ID] セクションに表示されるロールはMicrosoft Entraロールであり、このセクションはグローバル管理者に表示されます。 これらのロールは、組織の IT グループの職務に合わせて設計されており、仕事を遂行するために必要なすべての権限をユーザーに簡単に付与できます。 各ロールに現在割り当てられているユーザーを表示するには、管理ロールを選択し、ロール パネルの詳細を表示します。 Microsoft Entra ロールのメンバーを管理するには、Microsoft Entra IDで [メンバーの管理] を選択します。 この選択により、Azure 管理ポータルにリダイレクトされます。
役割 | 内容 |
---|---|
全体管理者 | Microsoft 365 サービスのすべての管理機能にアクセスできます。 他の管理者ロールを割り当てることができるのは全体管理者だけです。 詳細については、「グローバル管理者または会社の管理者」を参照してください。 |
コンプライアンス データ管理者 | Microsoft 365 全体の組織のデータを追跡し、保護されていることを確認し、あらゆる問題を把握して分析しリスクを軽減する手伝いをします。 詳細については、「コンプライアンス データ管理者」を参照してください。 |
コンプライアンス管理者 | 組織が規制要件を遵守し続けること、電子情報開示ケースを管理すること、および Microsoft 365 の使用場所、ID、アプリ全体のデータ ガバナンス ポリシーを維持します。 詳細については、「コンプライアンス管理者」を参照してください。 |
セキュリティ オペレーター | このロールを持つユーザーは、Microsoft 365 のユーザー、デバイス、コンテンツに対するアクティブな脅威を表示、調査、および対処します。 詳細については、「セキュリティ オペレーター」を参照してください。 |
セキュリティ閲覧者 | Microsoft 365 ユーザー、デバイス、コンテンツに対するアクティブな脅威を表示して調査しますが、(セキュリティ オペレーターとは異なり)、対応するアクセス許可がありません。 詳細については、「セキュリティ 閲覧者」を参照してください。 |
セキュリティ管理者 | このロールを持つユーザーは、セキュリティ ポリシーを管理し、Microsoft 365 製品全体のセキュリティ分析とレポートを確認し、脅威の情勢を十分に把握し迅速に対処して、組織の全体的なセキュリティを制御します。 詳細については、「セキュリティ 管理者」を参照してください。 |
グローバル閲覧者 | 読み取り専用バージョンの グローバル閲覧者 のロール。 Microsoft 365 のすべての設定と管理情報を表示します。 詳細については、「グローバル閲覧者」を参照してください。 |
攻撃のシミュレーションの管理者 | 攻撃シミュレーションの作成、シミュレーションの開始/スケジューリング、シミュレーション結果の確認のすべての側面を作成および管理します。 詳細については、「攻撃のシミュレーションの管理者」を参照してください。 |
攻撃のペイロードの作成者 | 攻撃のペイロードを作成しますが、実際に起動することやスケジュールすることはしません。 詳細については、「攻撃のペイロードの作成者」を参照してください。 |
管理単位
管理単位を使用すると、organizationをより小さなユニットに分割し、それらのユニットのメンバーのみを管理できる特定の管理者を割り当てることができます。 また、Microsoft Purview ソリューションの役割グループのメンバーに管理単位を割り当てることもできます。これにより、これらの管理者は、割り当てられた管理単位のメンバー (および関連する機能) のみを管理できます。 [ロールとスコープ] 領域の [管理単位] セクションは、グローバル管理者ロールが割り当てられているユーザーにのみ表示されます。 詳細については、「 管理単位」を参照してください。
Microsoft Purview 組み込みロール グループにユーザーまたはグループを追加する
Microsoft Purview ロール グループにユーザーまたはグループを追加するには、次の手順を実行します。
ロール管理ロールが割り当てられている管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。 [設定]>[ロールとスコープ] に移動して、organizationのコンプライアンスロールとガバナンス ロールを表示および管理します。
[ ロール グループ] を選択します。
[ Microsoft Purview ソリューションの役割グループ ] ページで、ユーザーを追加する Microsoft Purview ロール グループを選択し、コントロール バーの [編集 ] を選択します。
[ ロール グループのメンバーの編集] ページで、[ ユーザーの選択 ] または [ グループの選択] を選択します。
重要
セキュリティ グループは、Microsoft 365 商用クラウド組織でのみサポートされています。
役割グループに追加するすべてのユーザーまたはグループのチェック ボックスをオンにします。
[ 選択] を選択します。
選択したユーザーまたはグループがこのロール グループの割り当ての一部としてorganizationワイド アクセスする必要がある場合は、手順 10 に進みます。
選択したユーザーまたはグループを管理単位に割り当てる必要がある場合は、ユーザーまたはグループを選択し、[ 管理ユニットの割り当て] を選択します。
[ 管理単位の割り当て ] ウィンドウで、ユーザーまたはグループに割り当てるすべての管理単位のチェック ボックスをオンにします。 [ 選択] を選択します。
[次へ] と [保存] を選択して、ユーザーまたはグループをロール グループに追加します。 [ 完了] を選択 して手順を完了します。
Microsoft Purview 組み込みロール グループからユーザーまたはグループを削除する
Microsoft Purview ロール グループからユーザーまたはグループを削除するには、次の手順を実行します。
- ロール管理ロールが割り当てられている管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。 [設定]>[ロールとスコープ] に移動して、organizationのコンプライアンスロールとガバナンス ロールを表示および管理します。
- [ ロール グループ] を選択します。
- [ Microsoft Purview ソリューションの役割グループ ] ページで、ユーザーまたはグループを削除する Microsoft Purview ロール グループを選択し、コントロール バーの [編集 ] を選択します。
- [ 役割グループのメンバーの編集] ページで、役割グループに対して削除するすべてのユーザーまたはグループのチェック ボックスをオンにします。
- [ メンバーの削除] を選択し、[ 次へ] を選択します。
- [ 保存] を 選択して、ロール グループからユーザーまたはグループを削除します。 [ 完了] を選択 して手順を完了します。
カスタム Microsoft Purview ロール グループを作成する
カスタム Microsoft Purview ロール グループを作成するには、次の手順を実行します。
ロール管理ロールが割り当てられている管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。 [設定]>[ロールとスコープ] に移動して、organizationのコンプライアンスロールとガバナンス ロールを表示および管理します。
[ ロール グループ] を選択します。
[ Microsoft Purview ソリューションの役割グループ ] ページで、[ 役割グループの作成] を選択します。
[ ロール グループの名前] ページで、[名前] フィールドにカスタム ロール グループの 名前 を入力します。 役割グループの作成後、役割グループの名前を変更することはできません。 必要に応じて、[説明] フィールドにカスタム ロール グループの 説明 を入力します。 [次へ] を選んで続行します。
[ 役割グループにロールを追加する] ページで、[ロールの 選択] を 選択します。
カスタム ロール グループに追加するロールのチェック ボックスをオンにします。 [ 選択] を選択します。
[次へ] を選んで続行します。
[ ロール グループにメンバーを追加する ] ページで、[ ユーザーの選択 ] (または該当する場合は [グループの選択] ) を選択します。
重要
セキュリティ グループは、Microsoft 365 商用クラウド組織でのみサポートされています。
カスタム ロール グループに追加するユーザー (またはグループ) のチェック ボックスをオンにします。 [ 選択] を選択します。
[次へ] を選んで続行します。
選択したユーザーまたはグループがこのロール グループの割り当ての一部としてorganizationワイド アクセスする必要がある場合は、手順 14 に進みます。
選択したユーザーまたはグループを管理単位に割り当てる必要がある場合は、ユーザーまたはグループを選択し、[ 管理ユニットの割り当て] を選択します。
[ 管理単位の割り当て ] ウィンドウで、ユーザーまたはグループに割り当てるすべての管理単位のチェック ボックスをオンにします。 [ 選択] を選択します。
[次へ] を選択します。
[ ロール グループを確認して完了] ページで、カスタム ロール グループの詳細を確認します。 情報を編集する必要がある場合は、適切なセクションで [編集 ] を選択します。 すべての設定が正しい場合は、[ 作成 ] を選択してカスタム ロール グループを作成するか、[ キャンセル ] を選択して変更を破棄し、カスタム ロール グループを作成しません。
カスタム Microsoft Purview ロール グループを更新する
カスタム Microsoft Purview ロール グループを更新するには、次の手順を実行します。
- ロール管理ロールが割り当てられている管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。 [設定]>[ロールとスコープ] に移動して、organizationのコンプライアンスロールとガバナンス ロールを表示および管理します。
- [ ロール グループ] を選択します。
- [ Microsoft Purview ソリューションの役割グループ ] ページで、更新する Microsoft Purview 役割グループを選択し、コントロール バーの [編集 ] を選択します。
- [ 役割グループに名前を付 けます] ページで、[説明] フィールドのカスタム ロール グループの 説明 を更新します。 カスタム ロール グループの名前は変更できません。 [次へ] を選択します。
- [ 役割グループの役割の編集] ページで、[ロールの 選択 ] を選択して、役割グループに割り当てられたロールを更新する役割を追加できます。 また、現在割り当てられているロールのいずれかを選択し、[ ロールの削除 ] を選択して、ロール グループからロールを削除することもできます。 ロールを更新したら、[ 次へ] を選択します。
- [ 役割グループのメンバーの編集] ページで、[ユーザーの 選択 ] または [グループの選択] を選択 して、ロール グループに割り当てられたユーザーまたはグループを追加できます。 ユーザーまたはグループの管理単位を更新するには、現在割り当てられているいずれかのユーザーまたはグループを選択し、[ 管理ユニットの割り当て] を選択します。 また、現在割り当てられているユーザーとグループのいずれかを選択し、[ メンバーの削除 ] を選択して、ロール グループからユーザーまたはグループを削除することもできます。 メンバーを更新したら、[ 次へ] を選択します。
- [ ロール グループを確認して完了] ページで、カスタム ロール グループの詳細を確認します。 情報を編集する必要がある場合は、適切なセクションで [編集 ] を選択します。 すべての設定が正しい場合は、[ 保存] を 選択してカスタム ロール グループを更新するか 、[キャンセル ] を選択して変更を破棄し、カスタム ロール グループを更新しません。
カスタム Microsoft Purview ロール グループを削除する
カスタム Microsoft Purview ロール グループを削除するには、次の手順を実行します。
- ロール管理ロールが割り当てられている管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。 [設定]>[ロールとスコープ] に移動して、organizationのコンプライアンスロールとガバナンス ロールを表示および管理します。
- [ ロール グループ] を選択します。
- [ Microsoft Purview ソリューションの役割グループ ] ページで、削除する Microsoft Purview ロール グループを選択し、コントロール バーの [削除] を選択 します 。
- [ 役割グループの削除 ] ダイアログで、[ 削除 ] を選択して役割グループを削除するか、[ キャンセル ] を選択して削除プロセスを取り消します。