Microsoft Defender for Office 365 和 Microsoft Purview 中的角色和角色组
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Defender门户、Microsoft Purview 门户以及经典 Microsoft Purview 合规性和治理门户已取代安全 & 合规中心,成为管理组织Microsoft Defender for Office 365和Microsoft Purview 角色和角色组的位置。 有关这些门户中权限的详细信息,请参阅以下文章:
- 在Microsoft Defender门户中Email &协作权限
- Microsoft Purview 门户中的权限
- Microsoft Purview 合规性门户中的权限
- Microsoft Purview 治理门户中的权限
这些门户允许向执行设备管理、数据丢失防护、电子数据展示、保留等任务的人员授予权限。 这些人员只能执行你明确授予其访问权限的任务。 若要访问这些门户,用户必须是全局管理员或Defender for Office 365 (Email &协作角色组中的一个或多个角色组的成员,) 或 Purview (Microsoft Purview 解决方案角色组) 。 Microsoft Purview 门户 (预览版) 提供对数据治理、数据安全性以及风险与合规性解决方案的访问权限。 在门户中选择风险和合规性解决方案当前会在经典 Microsoft Purview 合规门户中打开这些解决方案。
这些门户中的权限基于基于角色的访问控制 (RBAC) 权限模型。 RBAC 与 Exchange 使用的权限模型相同,因此,如果你熟悉Exchange Online,则在这些门户中授予权限非常相似。 但是,请务必记住,Exchange Online中的角色组和Defender for Office 365或 Purview 合规性的角色组不共享成员身份或权限。 例如,虽然Exchange Online中存在组织管理角色组,但授予的权限和角色组成员与 Defender for Office 365 和 Purview 合规性中的组织管理角色组不同。
本文包含Defender for Office 365和Microsoft Purview 角色和角色组的清单。
注意
在Microsoft Defender XDR预览版程序中,还提供了其他Microsoft Defender 365 RBAC 模型。 此 RBAC 模型中的权限不同于本文所述的Defender for Office 365权限。 有关详细信息,请参阅 Microsoft Defender XDR 基于角色的访问控制 (RBAC)。
Microsoft Defender for Office 365 和 Microsoft Purview 中的角色组
本部分中的表列出了 Microsoft Defender 门户和 Microsoft Purview 门户中提供的默认角色组,以及默认情况下分配给角色组的角色。 若要向用户授予在 Defender for Office 365 或 Microsoft Purview 中执行任务的权限,请将他们添加到相应的角色组。
在 Defender for Office 365 或 Microsoft Purview 中管理权限允许用户访问其各自门户中提供的安全性、合规性和治理功能。 若要向其他功能(如 Exchange 邮件流规则 (也称为传输规则) )授予权限,需要在 Exchange Online 中授予权限。 有关详细信息,请参阅 Exchange Online 中权限。
注意
若要查看本文中所述的“ 权限 ”选项卡,需要是管理员。具体而言,需要分配角色 管理 角色,默认情况下,该角色仅分配给 组织管理和Purview 管理员 角色组。 “角色管理”角色还允许查看、创建和修改角色组。
角色组 | 说明 | 分配的默认角色 |
---|---|---|
攻击模拟器管理员 | 请勿使用此角色组。 在 Microsoft Entra ID 中使用攻击模拟管理员角色。 | 攻击模拟器管理员 |
攻击模拟器有效负载作者 | 请勿使用此角色组。 在 Microsoft Entra ID 中使用攻击有效负载作者角色。 | 攻击模拟器有效负载作者 |
审核管理器 | 管理审核日志设置以及搜索、查看和导出审核日志。 | 审核日志 仅供查看审核日志 |
审核读取器 | 搜索、查看和导出审核日志。 | 仅供查看审核日志 |
计费管理员 | 配置计费功能。 | 计费管理员 |
通信合规性 | 向所有通信合规性角色提供权限:管理员、分析师、调查员和查看者。 | 案例管理 通信合规性管理员 通信合规性分析员 通信合规性案例管理 通信合规性调查员 通信合规性查看者 数据分类反馈提供程序 数据连接器管理员 范围管理器 View-Only 案例 |
通信合规性管理员 | 通信合规性管理员,可以创建/编辑策略和定义全局设置。 | 通信合规性管理员 通信合规性案例管理 数据连接器管理员 范围管理器 |
通信合规性分析师 | 通信合规性分析人员,可以调查策略匹配项、查看消息元数据并采取修正操作。 | 通信合规性分析员 通信合规性案例管理 |
通信合规性调查员 | 通信合规性分析人员,可以调查策略匹配项、查看消息内容并采取修正操作。 | 案例管理 通信合规性分析员 通信合规性案例管理 通信合规性调查员 数据分类反馈提供程序 View-Only 案例 |
通信合规性查看器 | 可访问可用报表和小组件的通信合规性查看器。 | 通信合规性案例管理 通信合规性查看者 |
合规性管理员¹ | 成员可以管理设备管理、数据丢失防护、报告和保留相关的设置。 | 管理员单元扩展管理器 案例管理 通信合规性管理员 通信合规性案例管理 合规性管理员 合规性管理器管理 合规性搜索 凭据读取器 凭据编写器 数据分类反馈提供程序 数据分类反馈审阅者 数据连接器管理员 数据调查管理 数据映射读取器 设备管理 处置管理 DLP 合规性管理 Hold IB 合规性管理 信息保护管理员 信息保护分析师 信息保护读者 内部风险管理管理员 见解读取者 管理通知 组织配置 RecordManagement 保留管理 扫描读取器 扫描编写器 范围管理器 源读取器 源编写器 仅供查看审核日志 View-Only 案例 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only 管理警报 仅查看收件人 View-Only 记录管理 View-Only 保留管理 |
合规性数据管理员 | 成员可以管理设备管理、数据保护、数据丢失防护、报告和保留的设置。 | 合规性管理员 合规性管理器管理 合规性搜索 设备管理 处置管理 DLP 合规性管理 IB 合规性管理 信息保护管理员 信息保护分析师 信息保护读者 管理通知 组织配置 RecordManagement 保留管理 范围管理器 敏感度标签管理员 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only 管理警报 仅查看收件人 View-Only 记录管理 View-Only 保留管理 |
合规性管理器管理员 | 管理模板创建和修改。 | 合规性管理器管理 合规性管理器评估 合规性管理器参与者 合规性管理器读者 数据连接器管理员 |
合规性管理器评估员 | 创建评估、实施改进操作并更新改进操作的测试状态。 | 合规性管理器评估 合规性管理器参与者 合规性管理器读者 数据连接器管理员 |
合规性管理器参与者 | 创建评估并执行工作以实施改进操作。 | 合规性管理器参与者 合规性管理器读者 数据连接器管理员 |
合规性管理器读者 | 查看除管理员功能之外的所有合规性管理器内容。 | 合规性管理器读者 |
内容资源管理器内容查看器 | 在内容资源管理器中查看内容文件。 | 数据分类内容查看器 |
内容资源管理器列表查看器 | 仅以列表格式查看内容资源管理器中的所有项目。 | 数据分类列表查看器 |
数据目录策展人 | 对目录数据对象执行创建、读取、修改和删除操作,并在对象之间建立关系。 | 数据映射读取器 数据映射编写器 |
Data Estate Insights 管理员 | 提供跨平台和提供程序的所有见解报告的管理员访问权限。 | 数据映射读取器 见解读取者 见解编写器 |
数据资产见解读取器 | 跨平台和提供程序提供对所有见解报告的只读访问权限。 | 数据映射读取器 见解读取者 |
数据治理 | 授予对 Microsoft Purview 中的数据治理角色的访问权限。 | 数据治理管理员 |
数据调查员 | 对邮箱、SharePoint Online 网站和OneDrive for Business位置执行搜索。 | 通信 合规性搜索 Custodian 数据调查管理 导出 预览 审阅 RMS 解密 搜索和清除 |
数据安全管理 | 查看所有数据安全态势管理见解,使用 CoPilot 实现安全性,并 (数据丢失防护、信息保护和内部风险管理) 管理Microsoft Purview 数据安全解决方案。 | 案例管理 Custodian 数据分类内容查看器 数据分类列表查看器 数据连接器管理员 数据映射读取器 数据安全查看器 信息保护管理员 信息保护分析师 信息保护调查员 信息保护读者 内部风险管理管理员 内部风险管理分析 内部风险管理审批 内部风险管理审核 内部风险管理调查 内部风险管理报告管理员 内部风险管理会话 见解读取者 Purview 评估管理员 审阅 扫描读取器 源读取器 View-Only 案例 |
数据源管理员 | 管理数据源和数据扫描。 | 凭据读取器 凭据编写器 扫描读取器 扫描编写器 源读取器 源编写器 |
电子数据展示管理员 | 成员可以执行搜索并将邮箱、SharePoint Online 网站和 OneDrive for Business 位置置于保留状态。 成员还可以创建和管理电子数据展示案例、向案例添加和删除成员、创建和编辑与案例关联的内容搜索,以及访问电子数据展示 (Premium) 中的案例数据。 电子数据展示管理员是电子数据展示管理员角色组的成员,该成员已分配有其他权限。 除了电子数据展示管理器可以执行的任务外,电子数据展示管理员可以:
电子数据展示管理器和电子数据展示管理员之间的主要区别在于,电子数据展示管理员可以访问合规性门户中电子 数据展示案例 页上列出的所有案例。 电子数据展示经理只能访问他们创建的案例或他们所属的案例。 有关使用户成为电子数据展示管理员的详细信息,请参阅 在合规性门户中分配电子数据展示权限。 |
案例管理 通信 合规性搜索 Custodian 导出 Hold 管理审阅集标记 预览 审阅 RMS 解密 |
完全数据匹配上传管理员 | 上传精确数据匹配的数据。 | 精确数据匹配上传管理员 |
全局读取器 | 成员对报表、警报具有只读访问权限,并可以查看所有配置和设置。 全局读取器和安全读取器之间的主要区别在于全局读取器可以访问 配置和设置。 |
合规性管理器读者 安全信息读取者 敏感度标签读取器 服务保障视图 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only 管理警报 仅查看收件人 View-Only 记录管理 View-Only 保留管理 |
信息保护 | 完全控制所有信息保护功能,包括敏感度标签及其策略、DLP、所有分类器类型、活动和内容资源管理器,以及所有相关报表。 | 数据分类内容查看器 数据分类列表查看器 数据映射读取器 信息保护管理员 信息保护分析师 信息保护调查员 信息保护读者 见解读取者 Purview 评估管理员 扫描读取器 源读取器 |
信息保护管理员 | 创建、编辑和删除 DLP 策略、敏感度标签及其策略以及所有分类器类型。 管理终结点 DLP 设置和自动标记策略的模拟模式。 | 数据映射读取器 信息保护管理员 见解读取者 Purview 评估管理员 扫描读取器 源读取器 |
信息保护分析师 | 访问和管理 DLP 警报和活动资源管理器。 仅查看对 DLP 策略、敏感度标签及其策略以及所有分类器类型的访问。 | 数据分类列表查看器 数据映射读取器 信息保护分析师 见解读取者 Purview 评估管理员 |
信息保护调查员 | 访问和管理 DLP 警报、活动资源管理器和内容资源管理器。 仅查看对 DLP 策略、敏感度标签及其策略以及所有分类器类型的访问。 | 数据分类内容查看器 数据分类列表查看器 数据映射读取器 信息保护分析师 信息保护调查员 见解读取者 Purview 评估管理员 扫描读取器 源读取器 |
信息保护读取器 | 仅查看 DLP 策略和敏感度标签及其策略的报表。 | 信息保护读者 |
内部风险管理 | 使用此角色组来管理单个组中组织的预览体验成员风险管理。 通过添加指定管理员、分析师和支持人员的所有用户帐户,可在单个组中配置预览体验计划风险管理权限。 此角色组包含所有预览体验计划风险管理权限角色。 此角色组是快速开始内部风险管理的最简单方法,非常适合不需要为单独的用户组定义的单独权限的组织。 | 案例管理 Custodian 数据连接器管理员 内部风险管理管理员 内部风险管理分析 内部风险管理审批 内部风险管理审核 内部风险管理调查 内部风险管理报告管理员 内部风险管理会话 审阅 View-Only 案例 |
内部风险管理管理员 | 使用此角色组最初配置内部风险管理,稍后将内部风险管理员隔离到定义的组中。 此角色组的用户可以创建、阅读、更新和删除预览体验计划风险管理策略、全局设置和角色组分配。 | 案例管理 数据连接器管理员 内部风险管理管理员 View-Only 案例 |
预览体验计划风险管理分析员 | 使用此组可向充当内部风险案例分析员的用户分配权限。 此角色组的用户可以访问所有预览体验计划风险管理警报、案例和通知模板。 他们无法访问内部风险内容资源管理器。 | 案例管理 内部风险管理分析 View-Only 案例 |
内部风险管理审批者 | 仅供内部审批使用。 | 内部风险管理审批 |
内部风险管理审核员 | 使用此组可向审核内部风险管理活动的用户分配权限。 此角色组中的用户可以访问内部风险审核日志。 | 内部风险管理审核 |
预览体验计划风险管理调查员 | 使用此组可向充当内部风险数据调查员的用户分配权限。 此角色组的用户可以访问所有事例的预览体验计划风险管理警报、案例、通知模板和内容资源管理器。 | 案例管理 Custodian 内部风险管理调查 审阅 View-Only 案例 |
内部风险管理会话审批者 | 仅供内部审批使用。 | 内部风险管理会话 |
IRM 参与者 | 此角色组可见,但仅供后台服务使用。 | 内部风险管理永久贡献 内部风险管理临时贡献 |
知识管理员 | 配置知识、学习、分配培训和其他智能功能。 | 知识管理员 |
邮件流管理员 | 成员可以在 Defender 门户中监视和查看邮件流见解和报表。 全局管理员可以将普通用户添加到此组,但如果该用户不是 Exchange 管理员 组的成员,则用户无权访问与 Exchange 管理员相关的任务。 | Exchange 管理员 仅查看收件人 |
组织管理¹ | 成员可以控制访问这些门户中的功能的权限,还可以管理设备管理、数据丢失防护、报告和保留的设置。 非全局管理员的用户必须是 Exchange 管理员,才能查看由 基本移动性和安全性 管理的 Microsoft 365 (以前称为移动设备管理或 MDM) 的设备并采取操作。 全局管理员会自动添加为此角色组的成员,但在 Security & Compliance PowerShell 中的 Get-RoleGroupMember cmdlet 的输出中看不到他们。 重要提示:Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。 |
管理员单元扩展管理器 审核日志 案例管理 通信合规性管理员 通信合规性案例管理 合规性管理员 合规性管理器管理 合规性搜索 数据连接器管理员 设备管理 DLP 合规性管理 Hold IB 合规性管理 内部风险管理管理员 许可证使用情况读取器 管理通知 组织配置 优先级清理管理员 优先级清理查看器 Quarantine RecordManagement 保留管理 角色管理 范围管理器 搜索和清除 安全管理员 安全信息读取者 敏感度标签管理员 敏感度标签读取器 服务保障视图 标记参与者 标记管理器 标记读取器 仅供查看审核日志 View-Only 案例 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only 管理警报 仅查看收件人 View-Only 记录管理 View-Only 保留管理 |
隐私管理 | 在Microsoft Purview 合规门户中管理隐私管理解决方案的访问控制。 | 案例管理 合规性管理器参与者 合规性管理器读者 数据分类内容查看器 数据分类列表查看器 数据映射读取器 见解读取者 隐私管理管理员 隐私管理分析 隐私管理调查 隐私管理永久贡献 隐私管理临时贡献 隐私管理查看器 源读取器 使用者权限请求管理员 View-Only 案例 |
隐私管理管理员 | 可以创建/编辑策略和定义全局设置的隐私管理解决方案的管理员。 | 案例管理 合规性管理器参与者 合规性管理器读者 数据映射读取器 见解读取者 隐私管理管理员 源读取器 View-Only 案例 |
隐私管理分析师 | 隐私管理解决方案的分析师,可以调查策略匹配项、查看消息元数据并采取修正操作。 | 案例管理 合规性管理器读者 数据分类列表查看器 数据映射读取器 见解读取者 隐私管理分析 View-Only 案例 |
隐私管理分析师 | 隐私管理解决方案的分析师,可以调查策略匹配项、查看消息元数据并采取修正操作。 | 案例管理 合规性管理器读者 数据分类列表查看器 数据映射读取器 见解读取者 隐私管理分析 View-Only 案例 |
隐私管理参与者 | 管理隐私管理案例参与者访问权限。 | 合规性管理器读者 隐私管理永久贡献 隐私管理临时贡献 |
隐私管理调查员 | 隐私管理解决方案的调查人员,可以调查策略匹配项、查看消息内容并采取修正操作。 | 案例管理 合规性管理器读者 数据分类内容查看器 数据分类列表查看器 隐私管理调查 View-Only 案例 |
隐私管理查看器 | 可访问可用仪表板和小组件的隐私管理解决方案的查看器。 | 合规性管理器读者 数据分类列表查看器 隐私管理查看器 |
Purview 管理员 | 创建、编辑和删除域并执行角色分配。 | 管理员单元扩展管理器 Purview 域管理器 角色管理 |
隔离管理员 | 成员可以访问所有隔离操作。 有关详细信息,请参阅 在 EOP 中以管理员身份管理隔离的邮件和文件 | Quarantine |
记录管理 | 成员可以配置记录管理的所有方面,包括保留标签和处置评审。 | 处置管理 RecordManagement 保留管理 范围管理器 |
Reviewer | 成员可以访问 电子数据展示 (高级版) 案例中的审阅集。 此角色组的成员可以在电子数据展示>高级页面上查看并打开其所属Microsoft Purview 合规门户的案例列表。 用户访问电子数据展示 (Premium) 案例后,可以选择“ 查看集 ”以访问案例数据。 此角色不允许用户预览与案例关联的集合搜索结果,也不能执行其他搜索或案例管理任务。 此角色组的成员只能访问评审集中的数据。 | 审阅 |
安全管理员 | 成员可以访问标识保护中心、Privileged Identity Management、监视Microsoft 365 服务运行状况以及 Defender 和合规性门户的许多安全功能。 默认情况下,此角色组可能看起来没有任何成员。 但是,Microsoft Entra ID的安全管理员角色分配给此角色组。 因此,此角色组从 Microsoft Entra ID 继承安全管理员角色的功能和成员身份。 若要集中管理权限,请在Microsoft Entra 管理中心中添加和删除组成员。 有关详细信息,请参阅Microsoft Entra内置角色。 如果在这些门户中编辑此角色组 (成员身份或角色) ,则这些更改仅适用于安全性和符合性区域,不适用于任何其他服务。 此角色组包括安全读取者角色的所有只读权限,以及针对相同服务的许多其他管理权限:Azure 信息保护、标识保护中心、Privileged Identity Management、监视Microsoft 365 服务运行状况以及 Defender 和合规性门户。 |
审核日志 合规性管理器管理 设备管理 DLP 合规性管理 IB 合规性管理 管理通知 Quarantine 安全管理员 敏感度标签管理员 标记参与者 标记管理器 标记读取器 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only 管理警报 |
安全操作员 | 成员可以管理安全警报,还可以查看安全功能的报告和设置。 | 合规性搜索 管理通知 安全信息读取者 标记参与者 标记读取器 Tenant AllowBlockList 管理器 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only 管理警报 |
安全信息读取者 | 成员对 Identity Protection Center、Privileged Identity Management、Monitor Microsoft 365 服务运行状况以及 Defender 和合规性门户的许多安全功能具有只读访问权限。 默认情况下,此角色组可能看起来没有任何成员。 但是,Microsoft Entra ID的安全读取者角色分配给此角色组。 因此,此角色组从 Microsoft Entra ID 继承安全读取者角色的功能和成员身份。 若要集中管理权限,请在Microsoft Entra 管理中心中添加和删除组成员。 有关详细信息,请参阅Microsoft Entra内置角色。 如果在门户中编辑此角色组 (成员身份或角色) ,则这些更改仅适用于安全性和合规性领域,而不适用于任何其他服务。 |
合规性管理器读者 安全信息读取者 敏感度标签读取器 标记读取器 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only 管理警报 |
服务保证用户 | 成员可以访问合规性门户中的“服务保证”部分。 “服务保证”提供的报告和文档描述了 Microsoft 为存储在 Microsoft 365 中的客户数据提供的安全措施。 它还针对 Microsoft 365 提供独立的第三方审核报告。 有关详细信息,请参阅 合规性门户中的服务保障。 | 服务保障视图 |
使用者权限请求管理员 | 创建使用者权限请求。 | 案例管理 合规性管理器参与者 合规性管理器读者 使用者权限请求管理员 View-Only 案例 |
使用者权限请求审批者 | 能够批准主题权限请求的审批者。 | 合规性管理器读者 使用者权限请求审批者 |
监管审核 | 成员可以创建和管理用于定义哪类通讯在组织中易受到审查的策略。 有关详细信息,请参阅 为组织配置通信合规性策略。 | 监督评审管理员 |
注意
¹ 此角色组不会向成员分配搜索审核日志或使用任何可能包含 Exchange 数据的报告(例如 DLP 或Defender for Office 365报表)所需的权限。 若要搜索审核日志或查看所有报表,必须在 Exchange Online 中向用户分配权限。 此操作是必需的,因为用于搜索审核日志的基础 cmdlet 是Exchange Online cmdlet。 全局管理员可以搜索审核日志并查看所有报告,因为它们会自动添加为 Exchange Online 中的组织管理角色组的成员。 有关详细信息,请参阅 在合规性门户中搜索审核日志。
Microsoft Defender for Office 365 和 Microsoft Purview 中的角色
本部分中的表列出了可用角色及其默认分配到的角色组。
默认情况下,未分配给组织管理角色组的角色标记为 *
Role | 说明 | 默认角色组分配 |
---|---|---|
管理员单元扩展管理器 | 合规性管理员 组织管理 Purview 管理员 |
|
* 攻击模拟器管理员 | 请勿使用此角色。 在 Microsoft Entra ID 中使用攻击模拟管理员角色。 | 攻击模拟器管理员 |
攻击模拟器有效负载作者 | 请勿使用此角色。 在 Microsoft Entra ID 中使用攻击有效负载作者角色。 | |
数据映射读取器 | Data Estate Insights 管理员 隐私管理 隐私管理管理员 隐私管理分析师 隐私管理参与者 隐私管理调查员 隐私管理查看器 |
|
* 攻击模拟器有效负载作者 | 请勿在门户中使用此角色。 在 Microsoft Entra ID 中使用相应的角色。 | 攻击模拟器有效负载作者 |
审核日志 | 打开并配置组织的审核,查看组织的审核报告,然后将这些报告导出到文件。 | 审核管理器 组织管理 安全管理员 |
* 计费管理员 | 允许对所选功能使用计费管理员。 | 帐务管理员 |
案例管理 | 创建、编辑、删除和控制对电子数据展示事例的访问。 | 通信合规性 通信合规性调查员 合规性管理员 电子数据展示管理员 内部风险管理 内部风险管理管理员 预览体验计划风险管理分析员 预览体验计划风险管理调查员 组织管理 隐私管理 隐私管理管理员 隐私管理分析师 隐私管理调查员 使用者权限请求管理员 |
* 通信 | 管理与电子数据展示 (Premium) 案例中标识的保管人的所有通信。 创建保留通知、保留提醒和升级到管理层。 跟踪保管人对保留通知的确认,并管理对每个保管人门户的访问权限,该门户在案例中由每个保管人用来跟踪他们被标识为保管人的案件的通信。 | 数据调查员 电子数据展示管理员 |
通信合规性管理员 | 用于管理通信合规性功能中的策略。 | 通信合规性 通信合规性管理员 合规性管理员 组织管理 |
* 通信合规性分析 | 用于执行调查,修正通信合规性功能中的消息冲突。 只能查看消息元数据。 | 通信合规性 通信合规性分析师 通信合规性调查员 |
通信合规性案例管理 | 用于访问通信合规性案例。 | 通信合规性 通信合规性管理员 通信合规性分析师 通信合规性调查员 通信合规性查看器 合规性管理员 组织管理 |
* 通信合规性调查 | 用于在通信合规性功能中执行调查、修正和审查消息冲突。 可以查看消息元数据和消息。 | 通信合规性 通信合规性调查员 |
* 通信合规性查看器 | 用于访问通信合规性功能中的报表和小组件。 | 通信合规性 通信合规性查看器 |
合规性管理员 | 查看和编辑符合性功能的设置和报告。 | 合规管理员 合规数据管理员 组织管理 |
合规性管理器管理 | 管理模板创建和修改。 | 合规管理员 合规数据管理员 合规性管理器管理员 组织管理 安全管理员 |
* 合规性管理器评估 | 创建评估、实施改进操作并更新改进操作的测试状态。 | 合规性管理器管理员 合规性管理器评估员 |
* 合规性管理器贡献 | 创建评估并执行工作以实施改进操作。 | 合规性管理器管理员 合规性管理器评估员 合规性管理器参与者 隐私管理 隐私管理管理员 使用者权限请求管理员 |
* 合规性管理器读取者 | 查看除管理员功能之外的所有合规性管理器内容。 | 合规性管理器管理员 合规性管理器评估员 合规性管理器参与者 合规性管理器读者 全局读取者 隐私管理 隐私管理管理员 隐私管理分析师 隐私管理参与者 隐私管理调查员 隐私管理查看器 安全信息读取者 使用者权限请求管理员 使用者权限请求审批者 |
合规性搜索 | 跨邮箱执行搜索并获取结果的估计值。 | 合规管理员 合规数据管理员 数据调查员 电子数据展示管理员 组织管理 安全操作员 |
* 凭据读取器 | 读取在租户中创建的不同凭据。 | 合规性管理员 数据源管理员 |
* 凭据编写器 | 创建和编辑凭据。 | 合规性管理员 数据源管理员 |
* 保管人 | 识别和管理电子数据展示 (Premium) 案例的保管人,并使用来自Microsoft Entra ID和其他源的信息查找与保管人关联的数据源。 将邮箱、SharePoint 网站和 Teams 等其他数据源与案例中的保管人相关联。 对与保管人关联的数据源进行法定保留,以在案例上下文中保留内容。 | 数据调查员 电子数据展示管理员 内部风险管理 预览体验计划风险管理调查员 |
* 数据分类内容查看器 | 在内容资源管理器中查看文件的就地呈现。 | 内容资源管理器内容查看器 信息保护 信息保护调查员 隐私管理 隐私管理调查员 |
* 数据分类反馈提供程序 | 允许在内容资源管理器中向分类器提供反馈。 | 通信合规性 通信合规性调查员 合规性管理员 |
* 数据分类反馈审阅者 | 允许在反馈资源管理器中查看来自分类器的反馈。 | 合规性管理员 |
* 数据分类列表查看器 | 在内容资源管理器中查看文件列表。 | 内容资源管理器列表查看器 信息保护 信息保护分析师 信息保护调查员 隐私管理 隐私管理分析师 隐私管理调查员 隐私管理查看器 |
数据连接器管理员 | 创建和管理连接器以导入和存档 Microsoft 365 中的非Microsoft数据。 | 通信合规性 通信合规性管理员 合规性管理员 合规性管理器管理员 合规性管理器评估员 合规性管理器参与者 内部风险管理 内部风险管理管理员 组织管理 |
* 数据治理管理员 | 委托业务域创建者和其他应用程序级权限的第一级访问权限。 | 数据治理 |
* 数据调查管理 | 创建、编辑、删除和控制对数据调查的访问。 | 合规性管理员 数据调查员 |
* 数据映射读取器 | 读取对数据映射对象的操作。 | 合规性管理员 数据目录策展人 数据资产见解读取器 信息保护 信息保护管理员 信息保护分析师 信息保护调查员 |
* 数据映射编写器 | 对数据映射对象创建、读取、修改和删除操作,并建立对象之间的关系。 | 数据目录策展人 |
数据安全查看器 | 查看对数据安全态势管理仪表板见解的访问权限。 允许用户使用 Copilot for Security 查看详细信息。 | 数据安全管理 |
设备管理 | 查看和编辑设备管理功能的设置和报告。 | 合规管理员 合规数据管理员 组织管理 安全管理员 |
* 处置管理 | 控制在 Defender 和合规性门户中访问手动处置的权限。 | 合规管理员 合规数据管理员 记录管理 |
DLP 合规性管理 | 查看和编辑数据丢失防护的设置和报告, (DLP) 策略。 | 合规管理员 合规数据管理员 组织管理 安全管理员 |
* 精确数据匹配上传管理员 | 允许用户上传数据进行精确数据匹配。 | 完全数据匹配上传管理员 |
* Exchange 管理员 | 允许 Exchange 管理员使用所选功能。 | 邮件流管理员 |
* 出口 | 导出从搜索返回的邮箱和网站内容。 | 数据调查员 电子数据展示管理员 |
Hold | 将邮箱、网站和公用文件夹中的内容置于保留状态。 保留时,内容的副本存储在安全位置。 内容所有者仍能够修改或删除原始内容。 | 合规性管理员 电子数据展示管理员 组织管理 |
IB 合规性管理 | 查看、创建、删除、修改和测试信息屏障策略。 | 合规管理员 合规数据管理员 组织管理 安全管理员 |
* 信息保护 管理员 | 创建、编辑和删除 DLP 策略、敏感度标签及其策略以及所有分类器类型。 管理终结点 DLP 设置和自动标记策略的模拟模式。 | 合规管理员 合规数据管理员 信息保护 信息保护管理员 |
* 信息保护分析师 | 访问和管理 DLP 警报和活动资源管理器。 仅查看对 DLP 策略、敏感度标签及其策略以及所有分类器类型的访问。 | 合规管理员 合规数据管理员 信息保护 信息保护分析师 信息保护调查员 |
* 信息保护调查员 | 访问和管理 DLP 警报、活动资源管理器和内容资源管理器。 仅查看对 DLP 策略、敏感度标签及其策略以及所有分类器类型的访问。 | 信息保护 信息保护调查员 |
* 信息保护阅读器 | 仅查看 DLP 策略和敏感度标签及其策略的报表。 | 合规管理员 合规数据管理员 信息保护 信息保护读者 |
内部风险管理管理员 | 创建、编辑、删除和控制对预览体验成员风险管理功能的访问权限。 | 合规性管理员 内部风险管理 内部风险管理管理员 组织管理 |
* 内部风险管理分析 | 访问所有内部风险管理警报、案例和通知模板。 | 内部风险管理 预览体验计划风险管理分析员 |
* 内部风险管理审批 | 在隐私管理解决方案中执行调查、修正和审查消息冲突。 可以查看消息元数据和完整消息。 | 内部风险管理 内部风险管理审批者 |
* 内部风险管理审核 | 允许查看预览体验成员风险审核线索。 | 内部风险管理 内部风险管理审核员 |
* 内部风险管理调查 | 访问所有案例的所有内部风险管理警报、案例、通知模板和内容资源管理器。 | 内部风险管理 预览体验计划风险管理调查员 |
* 内部风险管理永久贡献 | 此角色组可见,但仅供后台服务使用。 | IRM 参与者 |
* 内部风险管理报告管理员 | 内部风险管理 | |
* 内部风险管理会话 | 在隐私管理解决方案中对消息冲突进行调查和修正。 只能查看消息元数据。 | 内部风险管理 内部风险管理会话审批者 |
* 内部风险管理临时贡献 | 此角色组可见,但仅供后台服务使用。 | IRM 参与者 |
* 见解读取者 | 提供对 Data Estate Insights 应用中所有 Insights 报表的只读访问权限。 见解读取者至少需要具有对集合的数据读取者角色访问权限才能查看有关该特定集合的报告。 | 合规性管理员 Data Estate Insights 管理员 数据资产见解读取器 信息保护 信息保护管理员 信息保护分析师 信息保护调查员 隐私管理 隐私管理管理员 隐私管理分析师 隐私管理调查员 隐私管理查看器 |
* 见解编写器 | Data Estate Insights 管理员 | |
* 知识管理员 | 配置知识、学习、分配培训和其他智能功能。 | 知识管理员 |
许可证使用情况读取器 | 组织管理 | |
管理警报 | 查看和编辑警报的设置和报告。 | 合规管理员 合规数据管理员 组织管理 安全管理员 安全操作员 |
* 管理审阅集标记 | 此角色允许用户创建、编辑和删除他们可以访问的案例的审阅集标记。 | 电子数据展示管理员 |
组织配置 | 运行、查看和导出审核报告,并管理 DLP、设备和保留的合规性策略。 | 合规管理员 合规数据管理员 组织管理 |
* 预览 | 查看从内容搜索返回的项目列表,并打开列表中的每个项以查看其内容。 | 数据调查员 电子数据展示管理员 |
优先级清理管理员 | 组织管理 | |
优先级清理查看器 | 组织管理 | |
* 隐私管理管理员 | 在隐私管理中管理策略,并有权访问解决方案的所有功能。 | 隐私管理 隐私管理管理员 |
* 隐私管理分析 | 在隐私管理中对消息冲突进行调查和修正。 只能查看消息元数据。 | 隐私管理 隐私管理分析师 |
* 隐私管理调查 | 在隐私管理中执行调查、修正和审查消息冲突。 可以查看消息元数据和完整消息。 | 隐私管理 隐私管理调查员 |
* 隐私管理永久贡献 | 作为永久参与者访问隐私管理案例。 | 隐私管理 隐私管理参与者 |
* 隐私管理临时贡献 | 作为临时参与者访问隐私管理案例。 | 隐私管理 隐私管理参与者 |
* 隐私管理查看器 | 访问隐私管理中的仪表板和小组件。 | 隐私管理 隐私管理查看器 |
* Purview 域管理器 | 创建、编辑和删除域并执行角色分配。 | Purview 管理员 |
* Purview 评估管理员 | 创建和管理 Microsoft 365 Purview 评估实验室。 | 信息保护 信息保护管理员 信息保护分析师 信息保护调查员 |
隔离 | 允许查看和释放隔离的电子邮件。 | 组织管理 隔离管理员 安全管理员 |
RecordManagement | 查看和编辑记录管理功能的配置。 | 合规管理员 合规数据管理员 组织管理 记录管理 |
保留管理 | 管理保留策略、保留标签和保留标签策略。 包括从这些策略中添加和删除自适应范围以及创建、删除和修改自适应范围的权限。 | 合规管理员 合规数据管理员 组织管理 记录管理 |
* 回顾 | 此角色允许用户访问电子数据展示 (高级版) 案例中的审阅集。 分配有此角色的用户可以在电子数据展示>高级页面上查看并打开其所属Microsoft Purview 合规门户的案例列表。 用户访问电子数据展示 (Premium) 案例后,可以选择“ 查看集 ”以访问案例数据。 此角色不允许用户预览与案例关联的集合搜索结果,也不能执行其他搜索或案例管理任务。 具有此角色的用户只能访问评审集中的数据。 | 数据调查员 电子数据展示管理员 内部风险管理 预览体验计划风险管理调查员 Reviewer |
* RMS 解密 | 导出搜索结果时解密受 RMS 保护的内容。 | 数据调查员 电子数据展示管理员 |
角色管理 | 管理角色组成员身份并创建或删除自定义角色组。 | 组织管理 Purview 管理员 |
* 扫描读取器 | 读取在租户中创建的不同扫描。 | 合规性管理员 数据源管理员 信息保护 信息保护管理员 信息保护调查员 |
* 扫描编写器 | 在租户中创建、更新和删除扫描。 | 合规性管理员 数据源管理员 |
范围管理器 | 使管理员能够创建、编辑、删除和控制对组织中的自适应范围等范围功能的访问权限。 | 通信合规性 通信合规性管理员 合规管理员 合规数据管理员 组织管理 记录管理 |
搜索和清除 | 允许用户批量删除符合内容搜索条件的数据。 | 数据调查员 组织管理 |
安全管理员 | 查看和编辑安全功能的配置和报告。 | 组织管理 安全管理员 |
安全信息读取者 | 查看安全功能的配置和报告。 | 全局读取者 组织管理 安全操作员 安全信息读取者 |
敏感度标签管理员 | 查看、创建、修改和删除敏感度标签。 | 合规数据管理员 组织管理 安全管理员 |
敏感度标签读取器 | 查看敏感度标签的配置和使用情况。 | 全局读取者 组织管理 安全信息读取者 |
服务保障视图 | 从“服务保障”部分下载可用文档。 内容包括使用 Microsoft 365 功能管理法规合规性和安全风险的独立审核、合规性文档以及与信任相关的指南。 | 全局读取者 组织管理 服务保证用户 |
* 源读取器 | 读取租户中创建的不同源。 | 合规性管理员 数据源管理员 信息保护 信息保护管理员 信息保护调查员 隐私管理 隐私管理管理员 |
* 源编写器 | 在租户中创建、更新和删除源。 | 合规性管理员 数据源管理员 |
* 使用者权限请求管理员 | 管理监督评审策略,包括要审查的通信以及应执行评审的人员。 | 隐私管理 使用者权限请求管理员 |
* 使用者权限请求审批者 | 创建、编辑、删除和控制对保管人的访问权限。 | 使用者权限请求审批者 |
* 监督评审管理员 | 管理监督评审策略,包括要审查的通信和应进行评审的人员。 | 监管审核 |
标记参与者 | 允许查看和更新现有标记。 | 组织管理 安全管理员 安全操作员 |
标记管理器 | 查看、更新、创建和删除用户标记。 | 组织管理 安全管理员 |
标记读取器 | 对现有用户标记的只读访问权限。 | 组织管理 安全管理员 安全操作员 安全信息读取者 |
* Tenant AllowBlockList 管理器 | 管理租户允许/阻止列表设置。 | 安全操作员 |
仅供查看审核日志 | 查看和导出审核报告。 由于这些报表可能包含敏感信息,因此应仅将此角色分配给有查看此信息的明确需要的人员。 | 审核管理器 审核读取器 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 |
仅查看事例 | 通信合规性 通信合规性调查员 合规性管理员 内部风险管理 内部风险管理管理员 预览体验计划风险管理分析员 预览体验计划风险管理调查员 组织管理 隐私管理 隐私管理管理员 隐私管理分析师 隐私管理调查员 使用者权限请求管理员 |
|
仅查看设备管理 | 查看设备管理功能的配置和报告。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 安全信息读取者 |
仅查看 DLP 合规性管理 | 查看数据丢失防护的设置和报告, (DLP) 策略。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 安全信息读取者 |
仅查看 IB 合规性管理 | 查看信息屏障功能的配置和报告。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 安全信息读取者 |
仅查看管理警报 | 查看“管理警报”功能的配置和报告。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 安全信息读取者 |
仅查看收件人 | 查看有关用户和组的信息。 | 合规管理员 合规数据管理员 全局读取者 邮件流管理员 组织管理 |
仅查看记录管理 | 查看记录管理功能的配置。 | 合规管理员 合规数据管理员 全局读取者 组织管理 |
仅查看保留期管理 | 查看保留策略、保留标签和保留标签策略的配置。 | 合规管理员 合规数据管理员 全局读取者 组织管理 |