Microsoft Purview 门户中的权限

Microsoft Purview 门户支持直接管理在 Microsoft Purview 中执行任务的用户的权限。 使用门户的“设置”中的“角色和范围”区域,可以跨 Purview 数据安全、数据治理以及风险与合规性解决方案管理用户的权限。 可以将用户限制为仅执行显式授予其访问权限的特定任务。 在门户中选择风险和合规性解决方案当前会在Microsoft Purview 合规门户打开这些解决方案。

若要在 Purview 门户的“角色和范围”区域中查看角色组,用户需要是全局管理员,或者需要为用户分配角色管理角色 (角色仅分配给组织管理角色组) 。 “ 角色管理” 角色允许用户查看、创建和修改角色组。

Microsoft Purview 门户中的角色和范围。

使用权限最少的角色

Microsoft始终建议使用权限最少的角色。 最大程度地减少具有 全局管理员角色 的用户数,有助于提高组织的安全性。 规划访问控制策略时, 最佳做法 是管理用户最低权限的访问权限。 最小特权意味着你完全授予管理员执行其工作所需的权限。

Purview 权限

Purview 门户中的权限基于基于角色的访问控制 (RBAC) 权限模型。 RBAC 与大多数 Microsoft 365 服务使用的权限模型相同,因此,如果你熟悉这些服务中的权限结构,那么在 Purview 门户中授予权限是类似的。 请务必记住,Purview 门户中管理的权限并不涵盖每个服务中所需的所有权限的管理。 你仍需要在管理中心内管理特定服务的特定权限。 例如,如果需要分配存档、审核和 MRM 保留策略的权限,则需要在 Exchange 管理中心中管理这些权限。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

成员、角色和角色组之间的关系

角色授予执行一组任务的权限;例如,“案例管理”角色允许用户处理电子数据展示案例。

角色组是一组角色,使用户能够在 Purview 门户Microsoft合规性和治理解决方案中执行其工作。 例如,通过将用户添加到 Insider Risk Management 角色组,在单个组中为指定的管理员、分析师、调查人员和审核员配置必要的内部风险管理权限。 Microsoft Purview 门户包括需要向其分配人员的每个合规性和治理解决方案的任务和功能的默认角色组。 通常,建议根据需要将单个用户作为成员添加到默认角色组。

显示角色组与角色和成员之间关系的图表。

在 Purview 门户中使用功能所需的权限

若要查看 Purview 门户中提供的所有默认角色组以及默认情况下分配给角色组的角色,请参阅 Microsoft Defender XDR 和 Microsoft Purview 门户中的角色和角色组

在 Purview 门户中管理权限仅允许用户访问 Purview 门户中提供的合规性和管理功能。 如果要向不在 Purview 门户中的其他功能(例如 Exchange 邮件流规则 (也称为传输规则) )授予权限,则需要使用 Exchange 管理中心

所需的治理权限

当前可用的治理角色和角色组仅涵盖对Microsoft Purview 数据映射和统一目录的广泛访问。 为了获得更多访问权限,Microsoft Purview 治理使用角色组、数据访问和特定于解决方案的权限的组合。

Purview 门户中的 Azure 角色

在“角色和范围”区域的“Microsoft Entra ID”部分中显示的角色Microsoft Entra角色,此部分对全局管理员可见。 这些角色旨在与组织 IT 组中的工作职能保持一致,从而可以轻松地使人员获得完成其工作所需的所有权限。 可以通过选择管理员角色并查看角色面板详细信息来查看当前分配给每个角色的用户。 若要管理Microsoft Entra角色的成员,请选择“管理Microsoft Entra ID中的成员”。 此选项会将你重定向到 Azure 管理门户。

Role 说明
全局管理员 访问所有 Microsoft 365 服务中的所有管理功能的权限。 只有全局管理员才能分配其他管理员角色。 更多信息,请参阅全局管理员/公司管理员
合规性数据管理员 在 Microsoft 365 中跟踪组织的数据,确保数据受到保护,并深入了解任何问题以帮助缓解风险。 有关详细信息,请参阅合规性数据管理员
合规性管理员 帮助组织遵守任何法规要求,管理电子数据展示案例,并维护 Microsoft 365 位置、标识和应用中的数据治理策略。 有关详细信息,请参阅合规性管理员
安全操作员 查看、调查和响应对 Microsoft 365 用户、设备和内容的活动威胁。 有关详细信息,请参阅安全操作员
安全信息读取者 查看和调查对 Microsoft 365 用户、设备和内容的活动威胁,但 (与安全操作员不同,) 他们无权通过采取行动做出响应。 有关详细信息,请参阅安全信息读取者
安全管理员 通过管理安全策略、查看 Microsoft 365 产品中的安全分析和报告以及及时了解威胁形势来控制组织的总体安全。 有关详细信息,请参阅安全管理员
全局读取者 只读版本的全局管理员角色。 查看 Microsoft 365 中所有设置和管理信息。 有关详细信息,请参阅 全局信息读取者
攻击模拟管理员 创建和管理 攻击模拟 创建、启动/安排模拟以及审查模拟结果的各个方面。 有关详细信息,请参阅 攻击模拟管理员
攻击有效负载作者 创建攻击负载,但不真正开始或计划其目标。 有关详细信息,请参阅攻击有效负载作者

管理单元

使用管理单元可将组织细分为较小的单元,然后分配只能管理这些单元的成员的特定管理员。 它们还允许你将管理单元分配给 Microsoft Purview 解决方案中的角色组的成员,以便这些管理员只能管理这些分配的管理单元 (成员和关联的功能) 。 “角色和范围”区域的“管理单元”部分仅对分配有全局管理员角色的用户可见。 有关详细信息,请参阅 管理单元

将用户或组添加到 Microsoft Purview 内置角色组

完成以下步骤,将用户或组添加到 Microsoft Purview 角色组:

  1. 使用分配有角色管理角色的管理员帐户的凭据登录到 Microsoft Purview 门户。 转到“设置角色和范围”>,查看和管理组织中的合规性和治理角色。

  2. 选择 “角色组”。

  3. “Microsoft Purview 解决方案的角色组 ”页上,选择要向其添加用户的Microsoft Purview 角色组,然后在控制栏上选择“ 编辑 ”。

  4. “编辑角色组成员 ”页上,选择“ 选择用户 ”或“ 选择组”。

    重要

    安全组仅在 Microsoft 365 商业云组织中受支持。

  5. 选中要添加到角色组的所有用户或组的复选框。

  6. 选择 “选择”。

  7. 如果所选用户或组需要组织范围的访问权限作为此角色组分配的一部分,请转到步骤 10。

  8. 如果需要将所选用户或组分配到管理单元,请选择用户或组,然后选择 “分配管理单位”。

  9. “分配管理单元 ”窗格中,选中要分配给用户或组的所有管理单元的复选框。 选择 “选择”。

  10. 选择“ 下一步 ”和“ 保存” ,将用户或组添加到角色组。 选择“ 完成 ”以完成这些步骤。

从 Microsoft Purview 内置角色组中删除用户或组

完成以下步骤,从 Microsoft Purview 角色组中删除用户或组:

  1. 使用分配有角色管理角色的管理员帐户的凭据登录到 Microsoft Purview 门户。 转到“设置角色和范围”>,查看和管理组织中的合规性和治理角色。
  2. 选择 “角色组”。
  3. “Microsoft Purview 解决方案的角色组 ”页上,选择要从中删除用户或组Microsoft Purview 角色组,然后在控制栏上选择 “编辑 ”。
  4. “编辑角色组成员 ”页上,选中要删除到角色组的所有用户或组的复选框。
  5. 选择 “删除成员”,然后选择“ 下一步”。
  6. 选择“ 保存 ”,从角色组中删除用户或组。 选择“ 完成 ”以完成这些步骤。

创建自定义 Microsoft Purview 角色组

完成以下步骤以创建自定义 Microsoft Purview 角色组:

  1. 使用分配有角色管理角色的管理员帐户的凭据登录到 Microsoft Purview 门户。 转到“设置角色和范围”>,查看和管理组织中的合规性和治理角色。

  2. 选择 “角色组”。

  3. “Microsoft Purview 解决方案的角色组 ”页上,选择“ 创建角色组”。

  4. “命名角色组 ”页上,在“名称”字段中输入自定义角色组 的名称 。 创建角色组后,无法更改角色组的名称。 如果需要,请在“说明”字段中输入自定义角色组 的说明 。 选择“下一步”以继续。

  5. “将角色添加到角色组” 页上,选择“ 选择角色”。

  6. 选择要添加到自定义角色组的角色的复选框。 选择 “选择”。

  7. 选择“下一步”以继续。

  8. “将成员添加到角色组”页上,选择“选择 (用户”或“选择组(如果适用) )。

    重要

    安全组仅在 Microsoft 365 商业云组织中受支持。

  9. 选中要添加到自定义角色组的用户 (或组) 复选框。 选择 “选择”。

  10. 选择“下一步”以继续。

  11. 如果所选用户或组需要在此角色组分配过程中进行组织范围的访问,请转到步骤 14。

  12. 如果需要将所选用户或组分配到管理单元,请选择用户或组,然后选择 “分配管理单位”。

  13. “分配管理单元 ”窗格中,选中要分配给用户或组的所有管理单元的复选框。 选择 “选择”。

  14. 选择 下一步

  15. “查看角色组并完成 ”页上,查看自定义角色组的详细信息。 如果需要编辑信息,请在相应的部分中选择 “编辑 ”。 如果所有设置都正确,请选择“ 创建 ”创建自定义角色组,或选择“ 取消 ”放弃更改,而不创建自定义角色组。

更新自定义 Microsoft Purview 角色组

完成以下步骤以更新自定义 Microsoft Purview 角色组:

  1. 使用分配有角色管理角色的管理员帐户的凭据登录到 Microsoft Purview 门户。 转到“设置角色和范围”>,查看和管理组织中的合规性和治理角色。
  2. 选择 “角色组”。
  3. “Microsoft Purview 解决方案的角色组 ”页上,选择要更新的Microsoft Purview 角色组,然后在控件栏上选择“ 编辑 ”。
  4. “命名角色组 ”页上,更新“ 说明 ”字段中自定义角色组的说明。 无法更改自定义角色组的名称。 选择 下一步
  5. “编辑角色组的角色 ”页上,可以选择“ 选择要 添加角色的角色”,以更新分配给角色组的角色。 还可以选择当前分配的任何角色,然后选择“ 删除角色 ”以从角色组中删除角色。 更新角色后,选择“ 下一步”。
  6. “编辑角色组的成员 ”页上,可以选择“ 选择用户 ”或“ 选择组 ”以添加分配给角色组的用户或组。 若要更新用户或组的管理单元,请选择任何当前分配的用户或组,然后选择“ 分配管理单位”。 还可以选择当前分配的任何用户和组,然后选择 “删除成员 ”以从角色组中删除用户或组。 更新成员后,选择“ 下一步”。
  7. “查看角色组并完成 ”页上,查看自定义角色组的详细信息。 如果需要编辑信息,请在相应的部分中选择 “编辑 ”。 如果所有设置都正确,请选择“ 保存 ”以更新自定义角色组,或选择“ 取消 ”放弃更改,而不更新自定义角色组。

删除自定义Microsoft Purview 角色组

完成以下步骤以删除自定义 Microsoft Purview 角色组:

  1. 使用分配有角色管理角色的管理员帐户的凭据登录到 Microsoft Purview 门户。 转到“设置角色和范围”>,查看和管理组织中的合规性和治理角色。
  2. 选择 “角色组”。
  3. “Microsoft Purview 解决方案的角色组 ”页上,选择要删除的Microsoft Purview 角色组,然后在控制栏上选择“ 删除 ”。
  4. “删除角色组 ”对话框中,选择“ 删除 ”以删除角色组,或选择“ 取消 ”以取消删除过程。