Назначение разрешений в обнаружении электронных данных (предварительная версия)
Если вы хотите, чтобы пользователи использовали какие-либо возможности и функции обнаружения электронных данных (предварительная версия) на портале Microsoft Purview, необходимо назначить пользователям соответствующие разрешения. Самый простой способ назначить роли — добавить пользователя соответствующую группу ролей на странице Группы ролейна портале Microsoft Purview. В этой статье описываются разрешения, необходимые для выполнения задач обнаружения электронных данных.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Роли и группы ролей обнаружения электронных данных
Основная группа ролей, связанная с обнаружением электронных данных, на портале Microsoft Purview называется диспетчером обнаружения электронных данных. В этой группе ролей есть две подгруппы:
Диспетчер обнаружения электронных данных. Диспетчер обнаружения электронных данных может искать содержимое в организации и выполнять различные действия, связанные с поиском, такие как предварительный просмотр и экспорт результатов поиска в eDiscovery (предварительная версия). Участники также могут создавать дела и управлять ими, добавлять и удалять пользователей для дела, создавать удержания дела, выполнять поиск, связанные с делом, и получать доступ к данным о случаях. Менеджеры по обнаружению электронных данных могут получать доступ только к создаваемым ими делам. Они не могут получать доступ к делам, созданным другими менеджерами по обнаружению электронных данных.
- Вы можете добавить группу безопасности с поддержкой почты в качестве члена подгруппы диспетчеров обнаружения электронных данных в группе ролей диспетчера электронных данных с помощью командлета Add-RoleGroupMember в PowerShell для обеспечения соответствия требованиям безопасности &. Например, можно выполнить следующую команду, чтобы добавить группу безопасности с поддержкой почты в группу ролей диспетчера обнаружения электронных данных.
Add-RoleGroupMember "eDiscoveryManager" -Member <name of security group>
Группы рассылки Exchange и Группы Microsoft 365 не поддерживаются. Необходимо использовать группу безопасности с поддержкой почты, которую можно создать в Exchange Online PowerShell, запустив
New-DistributionGroup -Type Security
. Вы также можете создать группу безопасности с поддержкой почты (и добавить участников) в Центре администрирования Exchange или в Центр администрирования Microsoft 365. После создания новой группы безопасности с поддержкой почты может потребоваться до 60 минут, чтобы добавить ее в группу ролей Диспетчеры обнаружения электронных данных.Вы не можете сделать группу безопасности с поддержкой почты администратором обнаружения электронных данных с помощью командлета Add-eDiscoveryCaseAdmin в PowerShell для обеспечения соответствия требованиям безопасности &. В качестве администраторов обнаружения электронных данных можно добавлять только отдельных пользователей.
Вы также не можете добавить группу безопасности с поддержкой почты в качестве участника дела.
Администратор обнаружения электронных данных. Администратор обнаружения электронных данных является членом группы ролей Диспетчер обнаружения электронных данных и может выполнять те же задачи, связанные с поиском контента и управлением делами, которые может выполнять диспетчер обнаружения электронных данных. Кроме того, администратор, ответственный за обнаружение электронных данных, может выполнять указанные ниже действия.
- Доступ ко всем делам, перечисленным в области обнаружения электронных данных на портале Microsoft Purview.
- Настройка параметров решения для обнаружения электронных данных.
- Доступ к процессам и удержанию отчетов в пределах всех случаев.
- Доступ к данным о случаях для любого случая в организации.
- Управлять всеми делами обнаружения электронных данных после добавления себя в качестве участника дела.
- Удалите участников из дела обнаружения электронных данных. Только администратор обнаружения электронных данных может удалять участников из дела. Пользователь, являющийся членом подгруппы менеджеров по обнаружению электронных данных, не может удалять участников из дела, даже созданного им самим.
- Если пользователь, который является единственным участником дела eDiscovery, покидает вашу организацию, никто (включая членов группы ролей "Управление организацией " или другого участника группы ролей диспетчера электронных данных ) не сможет получить доступ к делу обнаружения электронных данных, так как он не является участником дела. В этой ситуации доступ к данным в деле будет невозможен. Но так как администратор обнаружения электронных данных может получить доступ ко всем случаям обнаружения электронных данных в организации, он может просмотреть дело и добавить себя или другого менеджера по обнаружению электронных данных в качестве участника дела.
- Администратор обнаружения электронных данных может просматривать и получать доступ ко всем случаям обнаружения электронных данных, выполнять аудит и контролировать все случаи и связанные с ними поисковые запросы. Эта функция помогает предотвратить любое неправильное использование поиска соответствия требованиям или случаев обнаружения электронных данных. Так как администраторы обнаружения электронных данных могут получать доступ к потенциально конфиденциальной информации в результатах поиска соответствия требованиям, следует ограничить число пользователей, которые являются администраторами обнаружения электронных данных.
Примечание.
Чтобы проанализировать данные пользователя при включении функций обнаружения электронных данных уровня "Премиум", ему должна быть назначена лицензия на Office 365 E5 или Microsoft 365 E5. Кроме того, пользователям с лицензией Office 365 E1, Office 365 или Microsoft 365 E3 можно назначить лицензию на надстройку Соответствие требованиям Microsoft 365 E5 или Microsoft 365 eDiscovery и Audit. Администраторам, сотрудникам по соответствию требованиям или юридическим сотрудникам, которые назначены в качестве участников и используют премиум-функции обнаружения электронных данных для сбора, просмотра и анализа данных, лицензия E5 не требуется. Дополнительные сведения о подписках и лицензировании см. в разделе Требования к подписке для обнаружения электронных данных.
Перед назначением разрешений
- Для назначения разрешений на обнаружение электронных данных на портале Microsoft Purview необходимо быть членом группы ролей "Управление организацией " или быть назначена роль "Управление ролями".
- Командлет Add-RoleGroupMember в PowerShell для соответствия требованиям безопасности & можно добавить группу безопасности с поддержкой почты в качестве члена подгруппы диспетчеров обнаружения электронных данных в группе ролей eDiscovery Manager . Однако вы не можете добавить группу безопасности с поддержкой почты в подгруппу администраторов обнаружения электронных данных.
Назначение разрешений на обнаружение электронных данных
Перейдите на портал Microsoft Purview и выполните вход с помощью учетной записи, которая может назначать разрешения.
Перейдите в раздел Параметры Группы>ролей.
На странице Группы ролей для решений Microsoft Purview выберите Диспетчер обнаружения электронных данных.
На всплывающей панели Диспетчер обнаружения электронных данных выполните одно из следующих действий в зависимости от разрешений на обнаружение электронных данных, которые вы хотите назначить.
- Нажмите Изменить.
- На странице Управление диспетчером обнаружения электронных данных выберите Выбрать пользователей или Выбрать группы.
- Найдите и выберите пользователя (или пользователей), который вы хотите добавить в качестве диспетчера обнаружения электронных данных, а затем нажмите кнопку Выбрать.
- Нажмите кнопку Далее.
- Чтобы назначить пользователя (или пользователей) группе ролей Администратор обнаружения электронных данных , выберите Выбрать пользователей или Выбрать группы.
- Найдите и выберите пользователя (или пользователей), которого вы хотите добавить в качестве администратора обнаружения электронных данных, а затем нажмите кнопку Выбрать.
- Нажмите кнопку Далее.
Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 8.
Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.
На панели Назначение единиц администрирования установите флажок для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.
Выберите Далее и Сохранить , чтобы добавить пользователей или группы в группу ролей. Нажмите кнопку Готово , чтобы выполнить действия.
Примечание.
Вы также можете использовать командлет Add-eDiscoveryCaseAdmin , чтобы сделать пользователя администратором обнаружения электронных данных. Однако пользователю должна быть назначена роль "Управление обращениями ", прежде чем вы сможете использовать этот командлет, чтобы сделать его администратором обнаружения электронных данных. Дополнительные сведения см. в разделе Add-eDiscoveryCaseAdmin.
На странице Группы ролей на портале Microsoft Purview можно также назначить пользователям разрешения, связанные с обнаружением электронных данных, добавив их в группы ролей "Администратор соответствия требованиям", "Управление организацией" и "Рецензент ". Описание ролей управления доступом на основе ролей, связанных с обнаружением электронных данных, назначенных каждой из этих групп ролей, см. в статье Роли управления доступом на основе ролей, связанные с обнаружением электронных данных.
Роли RBAC, связанные с обнаружением электронных данных
В следующей таблице перечислены связанные с обнаружением электронных данных роли управления доступом на основе ролей на портале Microsoft Purview и указаны встроенные группы ролей, которым каждая роль назначается по умолчанию.
Role | Администратор соответствия требованиям | Администратор & диспетчера обнаружения электронных данных | Управление организацией | Reviewer |
---|---|---|---|---|
Управление обращениями | ||||
Коммуникации | ||||
Поиск соответствия | ||||
Хранитель | ||||
Экспорт | ||||
Hold | ||||
Управление тегами набора для проверки | ||||
Предварительная версия | ||||
Проверка | ||||
Расшифровка RMS | ||||
Поиск и очистка |
Выполните следующий диагностический тест, чтобы проверка, назначены ли роли экспорта, предварительного просмотра или поиска назначенной учетной записи администратора.
- Выберите элемент управления Справка в правом верхнем углу портала Microsoft Purview. Введите Diag:edisRBACdiag в поиске (или щелкните эту ссылку), чтобы запустить тест проверки RBAC eDiscovery .
- В разделе Запуск диагностика введите имя участника-пользователя или адрес электронной почты пользователя, пытающегося выполнить задачу экспорта, предварительного просмотра или поиска.
- Выберите Выполнить тесты. Если у пользователя нет необходимых ролей обнаружения электронных данных, назначьте роли для выполнения требуемой задачи.
В следующих разделах описана каждая из ролей управления доступом на основе ролей, связанных с обнаружением электронных данных, перечисленных в предыдущей таблице.
Управление обращениями
Эта роль позволяет пользователям создавать, изменять, удалять и контролировать доступ к делам обнаружения электронных данных (предварительная версия) на портале Microsoft Purview. Прежде чем использовать командлет Add-eDiscoveryCaseAdmin, пользователю должна быть назначена роль "Управление случаями", чтобы сделать его администратором обнаружения электронных данных. Дополнительные сведения см. в статье Начало работы с обнаружением электронных данных (предварительная версия).
Коммуникации
Эта роль позволяет пользователям управлять всеми сообщениями с пользователями, указанными в случае обнаружения электронных данных. Это включает в себя создание уведомлений о удержании, напоминаний о удержании и эскалации в управлении. Пользователь также может отслеживать подтверждение пользователем уведомлений о удержании и управлять доступом к пользовательскому порталу, который используется каждым пользователем для отслеживания сообщений в случаях, когда они были включены.
Поиск соответствия
Эта роль позволяет пользователям искать почтовые ящики и общедоступные папки, сайты SharePoint, сайты OneDrive, беседы Skype для бизнеса, группы Microsoft 365, Microsoft Teams и Viva Engage группы. Эта роль позволяет пользователю получить оценку результатов поиска и создать отчеты об экспорте, но для инициирования действий поиска, таких как предварительный просмотр, экспорт или удаление результатов поиска, требуются другие роли.
В eDiscovery (предварительная версия) пользователи, которым назначена роль поиска соответствия требованиям , но не имеют роли предварительного просмотра , могут просмотреть результаты поиска, в котором действие предварительного просмотра было инициировано пользователем, которому назначена роль предварительного просмотра . Пользователь без роли предварительного просмотра может просматривать результаты в течение двух недель после создания первоначального действия предварительного просмотра.
Аналогичным образом пользователи в eDiscovery (предварительная версия), которым назначена роль "Поиск соответствия требованиям ", но не имеют роли "Экспорт" , могут скачать результаты поиска, в котором действие экспорта было инициировано пользователем, которому назначена роль "Экспорт ". Пользователь без роли "Экспорт" может скачать результаты поиска в течение двух недель после создания первоначального действия экспорта. После этого они не смогут скачать результаты, если кто-то с ролью экспорта не перезапустит экспорт.
Двухнедельный льготный период для предварительного просмотра и экспорта результатов поиска (без соответствующих ролей поиска и экспорта) не применяется, если в обнаружении электронных данных включены функции premium. Пользователям должны быть назначены роли предварительного просмотра и экспорта для предварительного просмотра и экспорта содержимого, если включены функции обнаружения электронных данных уровня "Премиум".
Хранитель
Важно!
Эта роль применяется только к предыдущему интерфейсу обнаружения электронных данных в Портал соответствия требованиям Microsoft Purview. Эта роль не предоставляет никаких разрешений на возможности и функции в обнаружении электронных данных (предварительная версия) на портале Microsoft Purview.
Эта роль позволяет пользователям определять хранителей и управлять ими для случаев обнаружения электронных данных, управляемых в Портал соответствия требованиям Microsoft Purview, а также использовать информацию из Microsoft Entra ID и других источников для поиска источников данных, связанных с хранителями. Пользователь может связать с хранителями другие источники данных, такие как почтовые ящики, сайты SharePoint и Teams. Пользователь также может по закону удерживать источники данных, связанные с хранителями, чтобы сохранить содержимое в контексте дела.
Экспорт
Роль позволяет пользователям экспортировать результаты поиска на локальный компьютер. Она также позволяет подготовить результаты поиска для анализа при включении функций обнаружения электронных данных уровня "Премиум". Дополнительные сведения об экспорте результатов поиска см. в разделе Экспорт результатов поиска в eDiscovery (предварительная версия).
Hold
Эта роль позволяет пользователям размещать содержимое на удержание в почтовых ящиках, общедоступных папках, сайтах, беседах Skype для бизнеса и группах Microsoft 365. Если содержимое находится на удержании, его владельцы по-прежнему могут изменять или удалять его, но исходный контент будет сохранен до отмены удержания или истечения его срока. Дополнительные сведения о удержаниях см. в разделе Создание удержания в eDiscovery (предварительная версия).
Управление тегами набора для проверки
Эта роль позволяет пользователям создавать, изменять и удалять теги набора проверок для случаев, к которые они могут получить доступ. Пользователи должны по крайней мере иметь роль "Проверка " и эту роль для управления тегами во время проверок.
Предварительная версия
Эта роль позволяет пользователям просматривать список элементов, возвращенных из поиска. Пользователи также могут открывать и просматривать каждый элемент из списка, чтобы просмотреть его содержимое.
Проверка
Эта роль позволяет пользователям получать доступ к наборам проверок в eDiscovery (предварительная версия). Пользователи, которым назначена эта роль, могут просматривать и открывать список вариантов, участниками которых они являются. Когда пользователь обращается к делу обнаружения электронных данных, он может выбрать Проверить наборы, чтобы получить доступ к данным о случаях. Эта роль не позволяет пользователю просматривать результаты поиска, связанного с делом, или выполнять другие задачи поиска или управления обращениями. Пользователи с этой ролью могут получить доступ только к данным в наборе для проверки.
Расшифровка RMS
Эта роль позволяет пользователям просматривать защищенные правами сообщения электронной почты при предварительном просмотре результатов поиска и экспорте расшифрованных сообщений электронной почты, защищенных правами. Эта роль также позволяет пользователям просматривать (и экспортировать) файл, зашифрованный с помощью технологии шифрования Майкрософт , когда зашифрованный файл присоединяется к сообщению электронной почты, включенному в результаты поиска eDiscovery. Кроме того, эта роль позволяет пользователям просматривать и запрашивать зашифрованные вложения электронной почты, которые добавляются в набор проверки в обнаружении электронных данных (предварительная версия). Дополнительные сведения о расшифровке в eDiscovery см. в разделе Расшифровка в средствах microsoft 365 eDiscovery.
Поиск и очистка
Эта роль позволяет пользователям выполнять массовое удаление данных, соответствующих критериям поиска. Дополнительные сведения см. в разделе Поиск и удаление сообщений электронной почты в eDiscovery (предварительная версия).
Добавление групп ролей в качестве членов случаев обнаружения электронных данных
Группы ролей можно добавлять в качестве членов случаев обнаружения электронных данных, чтобы члены групп ролей могли получать доступ к назначенным делам и выполнять задачи в назначенных случаях. Роли, назначенные группе ролей, определяют, что члены группы ролей могут делать. Затем добавление группы ролей в качестве участника дела позволяет участникам получать доступ к этим задачам и выполнять их в определенном случае.
Учитывая это требование, важно знать, что при добавлении или удалении роли из группы ролей эта группа ролей будет автоматически удалена как член группы ролей в любом случае. Причина этого заключается в том, чтобы защитить организацию от непреднамеренного предоставления дополнительных разрешений участникам дела. Аналогичным образом, если группа ролей удаляется, она удаляется из всех случаев, в которые она входила.
Перед добавлением или удалением ролей в группе ролей, которая может быть участником дела eDiscovery, можно выполнить следующие команды в PowerShell по обеспечению безопасности & соответствия требованиям, чтобы получить список случаев, в которые входит группа ролей. После обновления группы ролей вы добавляете ее обратно в качестве участника этих случаев.