合规性管理器入门
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
谁可以访问合规性管理器
合规性管理器适用于具有 Office 365 和 Microsoft 365 个许可证的组织,以及美国政府社区云 (GCC) 中等、GCC High 和国防部 (DoD) 客户。 评估可用性和管理功能由你的许可协议决定。 查看服务说明详细信息。
登录
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到以下门户之一:
- Microsoft Purview 门户。 若要了解有关此门户的详细信息,请参阅 了解新的 Microsoft Purview 门户。
- Microsoft Purview 合规门户。 若要了解有关此门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 在左侧导航窗格中选择“ 合规性管理器 ”。 到达合规性管理器仪表板。
设置用户权限并分配角色
合规性管理器使用基于角色的访问控制 (RBAC) 权限模型。 只有分配有角色的用户才能访问合规性管理器,每个用户允许的操作受 角色类型限制。 我们的 RBAC 模型还允许你授予用户对单个评估的访问权限。 有关详细信息,请参阅下面的 基于角色的评估访问权限 。
为组织拥有全局管理员角色的人员可以设置合规性管理器的用户权限。 可以在以下位置之一设置权限:
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
注意
具有Microsoft Entra标识且没有Office 365或Microsoft 365 订阅的用户无法访问Microsoft Purview 合规门户中的合规性管理器。 若要在访问合规性管理器方面寻求帮助,请联系 cmresearch@microsoft.com。
注意
美国政府社区 (GCC) High 和国防部 (DoD) 环境中的客户只能在 Microsoft Entra ID 中为合规性管理器设置用户权限和角色。 请参阅Microsoft Entra权限说明和角色类型定义。
角色类型
下表显示了合规性管理器中每个角色允许的函数。 该表还显示了每个Microsoft Entra角色如何映射到合规性管理器角色。 用户至少需要合规性管理器读取者角色或Microsoft Entra全局读取者角色才能访问合规性管理器。
一个用户一次只能持有一个角色。 用户角色中的任何更改都覆盖其以前的角色。
用户可以: | 合规性管理员角色 | Microsoft Entra角色 |
---|---|---|
读取但不编辑数据 | 合规性管理器读者 | Microsoft Entra全局读取器、安全读取器 |
编辑数据和创建评估 - 例如,可以编辑改进操作状态、输入笔记、上传证据;可以创建评估 | 合规性管理器参与者 | 合规性管理员 |
仅编辑数据 - 无法创建评估 | 合规性管理器评估方 | 合规性管理员 |
管理评估、法规模板和租户数据;分配改进操作 | 合规性管理器管理 | 合规性管理员、合规性数据管理员、安全管理员 |
对评估和法规的基于角色的访问
可以向用户分配角色,以便根据法规授予对特定评估或所有评估的访问权限。 当你需要确保只有满足某些法规要求的人员才能访问该数据时,以这些方式授予用户访问权限非常有用。
这四个角色提供对评估的访问权限:
- 合规性管理器读者
- 合规性管理器参与者
- 合规性管理器评估方
- 合规性管理器管理
根据角色允许的活动,可以对每个评估执行的操作进行限制。
若要向用户授予对某个法规的评估或所有评估的访问权限,请打开其详细信息页,然后选择“ 管理用户访问权限 ”以按角色添加用户。 如果用户在Microsoft Purview 合规门户中分配了一个角色以全面访问合规性管理器,则你为他们分配的特定评估的任何角色仅适用于该评估。
详细信息:
- 有关更详细的说明 ,请参阅授予用户对评估的访问权限 。
- 有关更详细的说明 ,请参阅授予用户对法规的访问权限 。
- 详细了解如何在合规性管理器设置中 管理所有用户对评估的访问权限 。
开始高级评估试用版
合规性管理器高级评估试用版是快速创建与组织最相关的评估的好方法。 我们的库包含 360 多个法规模板,符合世界各地的政府法规和行业标准。 详细了解 高级评估试用版。
合规性管理器设置
合规性管理器设置的位置取决于所使用的门户:
在 Microsoft Purview 门户中,选择页面顶部的 “设置” 图标,然后选择“ 合规性管理器”。
在Microsoft Purview 合规门户中,导航到“合规性管理器”。 选择页面右上角的 “合规性管理器设置 ”。
合规性管理器的设置类型包括:
- 测试源:允许关闭或打开改进操作的自动测试。
- 管理用户历史记录:用于管理与改进操作关联的用户数据,包括将改进操作重新分配给其他用户的功能。
- 用户访问:允许查看和管理用户角色,以便访问评估或评估模板。
- 连接器:此设置仅在 Microsoft Purview 门户中的“设置”页上显示,并允许激活和管理非Microsoft服务的连接器。 获取有关在此门户中 访问连接器 的详细信息。
拥有合规性管理器管理员角色或全局管理员角色的用户可以访问合规性管理器设置。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
注意
GCC High 和 DoD 环境中的客户无法使用自动测试功能,因为这些环境中不提供安全功能分数。 GCC High 和 DoD 客户需要手动实施并测试其改进操作。
自动测试的测试源
合规性管理器会检测各种信号,以提供改进操作的自动测试和监视。 此自动化派生自三个主要源:内置、Microsoft安全功能分数和 Microsoft Defender for Cloud (获取有关) 自动测试源的详细信息。 合规性管理器还会检测来自Microsoft Priva (此功能处于预览状态的信号;了解) 的详细信息。 成功测试并实施改进操作后,你将获得该操作的最大可能分数,该分数将计入总体合规性分数。
初始设置
虽然自动测试有助于最大限度地提高合规性活动的效率,但你可以完全控制是否应用自动测试。 以下是合规性管理器最初设置的内容以及如何进行更改:
首次使用合规性管理器时,自动测试默认为可以自动测试的所有操作启用。 大约需要 7 天时间才能完全收集数据并将该数据纳入合规性分数。
可以关闭所有操作的自动测试,这将禁用合规性管理器针对改进操作的所有自动化活动。 还可以选择用于自动测试的单个改进操作。 有关说明,请参阅 管理自动测试设置 。
如何判断哪些操作是自动测试的
在改进操作的详细信息页上,顶部信息栏中的 “测试类型 状态”显示如何测试操作。 如果值列为 “自动”,则会自动测试操作。 如果值为 “手动”,则由组织测试该操作。 获取有关 改进操作测试类型的详细信息。
添加或更新操作时
当自动化可用于现有改进操作或添加新的自动改进操作时,默认行为取决于当前设置以及是否已 将数据引入改进操作。 将自己的测试数据或证据添加到改进操作中时,会关闭该操作的自动测试,以确保合规性管理器不会覆盖任何数据。
如果已将数据添加到现有改进操作:
- 默认情况下,自动测试对于操作保持 关闭 状态。 可以选择重新打开它。
如果尚未向改进操作添加数据,或者将新的自动操作添加到合规性管理器时,测试行为将遵循当前设置:
- 如果对所有操作或每个操作的设置都处于打开,则自动测试处于打开阶段。
- 如果所有操作的设置都处于关闭状态,则自动测试处于关闭状态。
管理自动测试设置
组织的合规性管理器管理员和全局管理员可以随时更改自动测试的设置。 可以关闭常见改进操作的自动测试,也可以对单个操作启用自动测试。 按照以下说明更改自动测试设置。 更改设置时,该设置将反映在审核日志中。 详细了解 审核日志中的合规性管理器活动。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
在“合规性管理器”中,选择页面右上角的“ 合规性管理器设置 ”。
从左侧导航栏中选择“ 测试源 ”。
选择用于测试改进操作的所需选项:
- 为所有操作启用自动测试。
- 关闭所有操作的自动测试。
- 启用每个操作的自动测试。
如果选择“ 按改进操作启用”,列表会显示所有符合测试条件的改进操作。 默认情况下会检查所有操作,因此需要取消 选中不希望自动 测试的操作。
选择“ 保存” 以保存设置。 屏幕顶部会显示一条确认消息,指示已保存所选内容。 如果收到失败通知,请重试。
管理用户历史记录
“管理用户历史记录”设置可帮助你快速确定哪些用户在合规性管理器中执行了改进操作。 与改进操作关联的可识别用户数据包括改进操作的状态及其上传的文档。 了解和检索这种类型的数据可能是组织自己的合规性需求所必需的。
用户历史记录设置还允许你将所有改进操作从一个用户重新分配给另一个用户。
若要查找用户历史记录设置,请执行以下操作:
在“合规性管理器”中,选择页面右上角的“ 合规性管理器设置 ”。
从左侧导航栏中选择“ 管理用户历史记录 ”。
“ 管理用户历史记录 ”页显示按电子邮件地址分配到改进操作的所有用户的列表。 使用“ 搜索 ”按钮,通过键入特定用户的电子邮件地址来快速查找该用户。
在每个用户的电子邮件地址右侧, “选择 ”下拉菜单提供了导出报表、重新分配改进操作或删除历史记录的选项。 有关每个选项的详细信息,请参阅下面的每个部分。
导出用户历史记录数据报表
可以导出包含当前分配给用户的改进操作列表的 Excel 文件。 报告还列出了该用户上传的所有证据文件。 此信息可帮助你重新分配开放式改进操作。
报告反映改进操作自创建日期起的状态。 它不是以前对其状态或分配所做的所有更改的历史报告, (了解如何 从改进操作页) 导出报表 。
按照以下步骤按用户导出报表:
在“合规性管理器”中,选择页面右上角的 “合规性管理器设置 ”。
从左侧导航栏中选择“ 管理用户历史记录 ”。
通过搜索列表电子邮件地址,或选择“ 搜索 ”并输入用户的电子邮件地址来查找目标用户。
在 “选择” 下拉菜单中,选择“ 导出报表”。
生成报表的 Excel 文件后,可以将其打开并将其保存到本地计算机。
将改进操作重新分配给其他用户
可以将改进操作的所有权从一个用户重新分配给另一个用户。 重新分配操作时,证据上传历史记录不会更改,但最初上传证据的用户的名称不再显示在改进操作中。
按照以下步骤将改进操作重新分配给其他用户:
在“合规性管理器”中,选择页面右上角的“ 合规性管理器设置 ”。
从左侧导航栏中选择“ 管理用户历史记录 ”。
通过搜索列表电子邮件地址或选择“ 搜索 ”并输入该用户的电子邮件地址来查找用户。
在 “选择” 下拉菜单中,选择 “重新分配改进操作”。 此时会显示 “重新分配改进操作 ”浮出控件窗格。
在 “搜索用户 ”字段中,输入要向其分配改进操作的用户的姓名或电子邮件地址。
在 “改进操作将分配到”下看到目标用户的名称时,选择该用户,然后选择“ 分配操作”。
重新分配完成后,浮出控件窗格中会显示一条确认消息,确认先前用户的所有改进操作已重新分配给新用户。 如果收到重新分配失败通知,请关闭窗口并重试。 若要关闭浮出控件窗格,请选择“ 完成”。
新所有者会收到一封电子邮件,指出他们已分配到改进操作。 电子邮件包含指向改进操作详细信息页的直接链接。
注意
如果重新分配具有挂起更新的操作,如果在重新分配后接受更新,则重新分配电子邮件中操作的直接链接将中断。 可以通过在接受更新后将操作重新分配给用户来解决此问题。 详细了解 改进操作的更新。
删除用户历史记录
删除用户的历史记录会删除他们作为改进操作的所有者,并从合规性管理器中的所有其他字段中删除他们的姓名。 删除用户的历史记录时,他们拥有的改进操作在分配了新用户之前不会显示 “已分配给 ”值。 上传到改进操作的证据显示 删除了用户 ,以取代已删除的用户的名称。 删除用户历史记录是永久性的。
若要删除用户的历史记录,请执行以下步骤:
在“合规性管理器”中,选择页面右上角的“ 合规性管理器设置 ”。
从左侧导航栏中选择“ 管理用户历史记录 ”。
通过搜索页面上的列表电子邮件地址,或者选择“ 搜索 ”并输入该用户的电子邮件地址来查找用户。
在 “选择” 下拉菜单中,选择 “删除历史记录”。
一个窗口要求你确认永久删除用户历史记录。 若要继续删除,请选择“ 删除历史记录”。 若要离开而不删除历史记录,请选择“ 取消”。
返回到 “管理用户历史记录 ”页,顶部显示一条确认消息,指示用户历史记录已删除。
用户访问权限
“设置”的“用户访问”部分显示具有允许访问一个或多个评估角色的所有用户的列表。 在此页中,你可以对角色分配进行更改。 更改设置时,该设置将反映在审核日志中。 详细了解 审核日志中的合规性管理器活动。
- 授予用户访问 评估的权限时:用户仅有权访问该评估。
- 授予用户访问 法规的权限时:用户将有权访问使用该法规创建的任何评估,包括现有评估和将来创建的任何评估。
若要添加或删除评估和法规的用户访问角色,请执行以下步骤:
在“合规性管理器”中,选择页面右上角的 “合规性管理器设置 ”。
从左侧导航栏中选择“ 用户访问 ”。
选中要编辑其角色的一个或多个用户的名称旁边的复选框。
根据是否编辑评估或法规的角色:在名称列表上方的“编辑评估角色”或“编辑法规角色”下拉菜单中,选择“添加评估/法规权限”或“删除评估/法规权限”。
添加角色:在浮出控件窗格中,转到与要添加 (读者、评估者或参与者) 的角色对应的选项卡,然后选择“ 添加评估/法规”。 在下一个浮出控件窗格中,选中评估/法规旁边的复选框,然后选择 “应用”,然后选择“ 保存”。
删除角色:在浮出控件窗格中,转到与要删除的角色对应的选项卡, (读者、评估者或参与者) 。 选择要删除其访问权限的评估/法规旁边的按钮,然后在“ 删除 ”列中选择 X 标记。
此时会显示 “删除访问权限?” 确认框。 选择“ 确认 ”以删除用户的角色,或选择“ 取消 ”取消。 评估的名称现在将从“角色”选项卡中删除。
在浮出控件窗格中选择 “保存 ”。 在选择“ 保存” 按钮之前,角色删除不会完成。 选择 “关闭 ”将取消进程,而不会保存角色删除。
“ 用户访问 ”页上的用户列表现在将反映所做的更改。
注意
在 Microsoft Entra ID 中设置了合规性管理器权限的管理员不会显示在“用户访问”页上。 这意味着,如果用户有权访问一个或多个评估,并且其角色是全局管理员、合规性管理员、合规性数据管理员或安全管理员,则不会在此页面上显示。 详细了解如何 设置合规性管理器权限。
详细信息:
- 从评估的详细信息页访问有关分配用户角色的这些说明。
了解合规性管理器仪表板
合规性管理器仪表板旨在提供当前合规性状况的概览视图。
“概述”页
合规性分数
合规性分数在 “概述 ”页顶部突出显示。 该分数是基于完成满足关键数据保护标准和法规的改进操作可达到的分数的百分比。 Microsoft操作(由我的Microsoft管理)的分数也会计入合规性分数。
首次使用合规性管理器时,初始分数基于 Microsoft 365 数据保护基线。 此基线评估适用于所有组织,是一组包含常见行业法规和标准的控制措施。 合规性管理器会检查现有 Microsoft 365 解决方案,并根据当前的隐私和安全设置提供初始评估。 添加与组织相关的评估时,分数对你来说越有意义。
了解详细信息:了解如何计算合规性分数。
关键性改进措施
本部分列出了现在可以采取的主要改进措施,以对总体合规性分数产生最大的积极影响。 选择“ 查看所有改进操作” ,转到改进操作页。
影响分数的解决方案
本部分重点介绍包含可对你分数产生积极影响的改进操作的解决方案,以及这些解决方案中未完成的改进操作数。 选择“ 查看所有解决方案 ”以访问解决方案页面。
合规性分数细目
本部分以两种不同的方式提供分数的更详细视图:
- 类别:显示数据保护类别中总分数的百分比,例如“保护信息”或“管理设备”。
- 评估:显示管理特定合规性和数据保护标准、法规或法律(如 GDPR 或 NIST 800-53)评估的进度百分比。
筛选仪表板视图
可以筛选仪表板视图,仅查看与特定法规和标准、解决方案、操作类型、评估组或数据保护类别相关的项。 以这种方式筛选视图还会筛选仪表板的分数,根据筛选条件显示在可能的总积分中获得了多少分。
应用筛选器:
- 在仪表板的右上角选择“筛选”。
- 从“ 筛选器 ”浮出控件窗格中选择筛选条件,然后选择“ 应用”。
应用筛选器后,你将看到实时调整的分数。 合规性分数百分比和细分信息以及改进操作和解决方案现在仅与筛选条件涵盖的数据相关。 如果注销合规性管理器,则重新登录时,筛选的视图将保留。
删除筛选器:
- 在合规性分数上方的 “已应用筛选器 ”标题中,选择要删除的单个筛选器旁边的 X ;或
- 选择仪表板右上角的“筛选器”,然后在“筛选器”浮出控件窗格中,选择“清除筛选器”。
“改进操作”页
改进操作 是建议的操作,可帮助集中合规性活动并与数据保护法规和标准保持一致。 每个改进操作都提供了详细的实施指南和链接,用于将你启动到适当的解决方案中。 可以将改进操作分配给组织中的用户以执行实现和测试工作。 还可以在改进操作中存储证据、备注和记录状态更新。
“解决方案”页
“ 解决方案 ”页显示按解决方案组织的已赚取积分和潜在积分的份额。 从此视图中查看剩余的要点和改进操作有助于了解哪些解决方案需要更立即的关注。
通过选择合规性管理器仪表板上的“解决方案”选项卡来查找解决方案页面。 还可以在仪表板的右上角部分选择“解决方案”下的“查看影响分数的所有解决方案”。 若要筛选解决方案视图,请执行以下操作:
- 选择评估列表左上角的 “筛选器 ”。
- 在“筛选器”浮出控件窗格中,在所需条件 (法规、解决方案、操作类型、组、类别) 旁边放置检查。
- 选择“ 应用 ”按钮。 筛选器窗格将关闭,你会看到筛选后的视图。
还可以通过从评估列表上方的“组 ”下拉菜单中选择 分组类型来修改视图,以便按组、产品或法规查看评估。
从解决方案页执行操作
“ 解决方案 ”页显示与改进操作相关的组织解决方案。 下表列出了每个解决方案对总体分数的贡献、该解决方案中实现的和可能的分数,以及该解决方案中分组的可提高分数的改进操作的剩余数量。
可通过两种方式从此屏幕执行操作:
在目标解决方案行的“ 剩余操作” 列下,选择超链接编号。 你将看到改进操作屏幕的筛选视图,其中显示了该解决方案的未经测试的改进操作。
在目标解决方案行的“ 打开解决方案 ”列下,选择“ 打开”。 可以在Microsoft Purview 合规门户、Microsoft Defender门户或其管理中心到达解决方案的位置,可在其中执行建议的操作。
“评估”页
“ 评估 ”页列出了为组织设置的所有评估。 合规性分数分母由所有跟踪的评估决定。 添加更多评估时,会在改进操作页面上列出更多改进操作,合规性分数分母也会增加。 请参阅 生成和管理评估 ,了解评估状态以及如何创建新评估。
“法规”页
法规模板是在合规性管理器中创建评估的框架。 “ 法规 ”页显示法规模板列表和关键详细信息。 页面顶部附近的 已用免费法规许可证/购买的法规许可证使用 计数器显示当前正在使用的现行法规数量,占组织可以使用的总数中的一部分。 有关详细信息 ,请参阅法规可用性和许可 。
“策略”页
“ 策略 ”页列出了你设置的策略,以提醒你在合规性管理器中影响合规性分数的关键更改。 若要了解详细信息 ,请访问合规性管理器警报和警报策略 。
“警报”页
“ 警报 ”页列出了设置的策略生成的警报,这些策略用于跟踪合规性管理器中影响合规性分数的更改。 若要了解详细信息 ,请访问合规性管理器警报和警报策略 。
“报表”页
“ 报表 ”页显示合规性管理器中过去七天内活动的历史记录报告。 可以通过 调整筛选器来查找过去六个月的数据。
“ 报告” 页显示合规性分数以及表示组织整体合规性状况的图表。 选择“ 查看详细报表 ”以显示详细的历史记录报表页。 下表列出了上个月有分数更改的改进操作。 操作更改大约需要 24 小时才能反映在报告中。
从表中的行中选择一个改进操作,以查看一个详细信息窗格,其中介绍了操作、相关法规、关联的评估和分数更新。 可以通过选择“ 转到操作”启动操作。 选择窗格上的“ 历史记录 ”选项卡,查看操作的分数历史记录。
按日期范围、法规和服务筛选
在历史记录报表页上,可以调整筛选器以扩大或优化表中显示的操作视图。 选择 “日期范围 ”筛选器以选择最多可以检索六个月前数据的区域。 选择“ 添加筛选器 ”,根据法规或云服务应用适用于操作的其他筛选器。
后续步骤
开始 设置评估。