在电子数据展示 (预览) 中分配权限
如果希望用户在 Microsoft Purview 门户中使用任何电子数据展示 (预览版) 功能和功能,则必须向用户分配适当的权限。 分配角色的最简单方法是在 Microsoft Purview 门户的“角色组”页上向用户添加相应的角色组。 本文介绍执行电子数据展示任务所需的权限。
提示
开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security。
电子数据展示角色和角色组
Microsoft Purview 门户中与电子数据展示相关的主角色组称为 电子数据展示管理器。 此角色组中有两个子组:
电子数据展示管理器: 电子数据展示经理 可以在组织中搜索内容位置,并执行各种与搜索相关的操作,例如在电子数据展示 (预览) 导出搜索结果。 成员还可以创建和管理案例、为案例添加和删除用户、创建案例保留、运行与案例关联的搜索以及访问案例数据。 电子数据展示管理器只能访问和管理其创建的案例。 它们无法访问或管理由其他电子数据展示管理器创建的案例。
- 可以使用 Security & Compliance PowerShell 中的 Add-RoleGroupMember cmdlet,将启用邮件的安全组添加为电子数据展示管理器角色组中电子数据展示管理器子组的成员。 例如,可以运行以下命令,将启用邮件的安全组添加到 电子数据展示管理器 角色组。
Add-RoleGroupMember "eDiscoveryManager" -Member <name of security group>不支持 Exchange 通讯组和 Microsoft 365 组。 必须使用启用邮件的安全组,可以通过运行
New-DistributionGroup -Type Security在 Exchange Online PowerShell 中创建该安全组。 还可以 (创建启用邮件的安全组,并在 Exchange 管理中心 或 Microsoft 365 管理中心中添加成员) 。 创建后最多可能需要 60 分钟才能将启用邮件的新安全组添加到电子数据展示管理员角色组。无法使用 Security & Compliance PowerShell 中的 Add-eDiscoveryCaseAdmin cmdlet 将启用邮件的安全组设为电子数据展示管理员。 只能将单个用户添加为电子数据展示管理员。
也不能将启用邮件的安全组添加为案例的成员。
电子数据展示管理员: 电子数据展示管理员 是 电子数据展示管理员 角色组的成员,可以执行与电子数据展示管理员可执行的相同内容搜索和案例管理相关任务。 此外,电子数据展示管理员可以:
- 访问 Microsoft Purview 门户中 电子数据展示 区域中列出的所有事例。
- 配置电子数据展示解决方案设置。
- 访问进程并保存范围限定为所有案例的报表。
- 访问组织中任何案例的案例数据。
- 将其自己添加为任何电子数据展示事例的成员后管理这些事例。
- 从电子数据展示案例中删除成员。 只有电子数据展示管理员可以从案例中删除成员。 作为电子数据展示管理器子组成员的用户无法从案例中删除成员,即使用户创建了案例也是如此。
- 如果某个电子数据展示案例的唯一成员离开你的组织,则任何 (包括 组织管理 角色组的成员或 电子数据展示管理员 角色组的其他成员) 都可以访问该电子数据展示案例,因为他们不是案例的成员。 在这种情况下,将无法访问事例中的数据。 但是,由于电子数据展示管理员可以访问组织中的所有电子数据展示案例,因此他们可以查看案例,并将自己或其他电子数据展示管理员添加为该案例的成员。
- 电子数据展示管理员可以查看和访问所有电子数据展示案例,他们可以审核和监督所有案例和相关合规性搜索。 此功能有助于防止滥用合规性搜索或电子数据展示案例。 而且,由于电子数据展示管理员可以访问合规性搜索结果中潜在的敏感信息,因此应限制电子数据展示管理员的人数。
注意
若要在启用高级电子数据展示功能时分析用户的数据,必须为该用户分配 Office 365 E5 或 Microsoft 365 E5 许可证。 或者,可以为具有 Office 365 E1、Office 365 或 Microsoft 365 E3 许可证的用户分配Microsoft 365 E5 合规性或Microsoft 365 电子数据展示和审核加载项许可证。 将案例分配为成员并使用高级电子数据展示功能来收集、查看和分析数据的管理员、合规性官员或法律人员不需要 E5 许可证。 有关订阅和许可的详细信息,请参阅电子数据展示的 订阅要求 。
分配权限之前
- 你必须是 “组织管理 ”角色组的成员或分配有 “角色管理” 角色,才能在 Microsoft Purview 门户中分配电子数据展示权限。
- 可以使用 Security & Compliance PowerShell 中的 Add-RoleGroupMember cmdlet 将已启用邮件的安全组添加为电子数据展示管理器角色组中电子数据展示管理器子组的成员。 但是,不能将已启用邮件的安全组添加到 电子数据展示管理员 子组。
分配电子数据展示权限
转到 Microsoft Purview 门户 ,并使用可以分配权限的帐户登录。
导航到 “设置”“>角色组”。
在 “Microsoft Purview 解决方案的角色组 ”页上,选择“ 电子数据展示管理器”。
在 “电子数据展示管理器 ”浮出控件窗格中,根据要分配的电子数据展示权限执行以下操作之一。
- 选择“编辑”。
- 在 “管理电子数据展示管理器 ”页上,选择“ 选择用户 ”或“ 选择组”。
- 搜索并选择要添加为 电子数据展示管理器的用户 (或) 用户,然后选择“ 选择”。
- 选择 下一步。
- 若要将用户 (或) 用户分配到 电子数据展示管理员 角色组,请选择“ 选择用户 ”或“ 选择组”。
- 搜索并选择要添加为 电子数据展示管理员的用户 (或用户) ,然后选择“ 选择”。
- 选择 下一步。
如果所选用户或组需要在此角色组分配过程中进行组织范围的访问,请转到步骤 8。
如果需要将所选用户或组分配到管理单元,请选择用户或组,然后选择 “分配管理单位”。
在 “分配管理单元 ”窗格中,选中要分配给用户或组的所有管理单元的复选框。 选择 “选择”。
选择“ 下一步 ”和“ 保存” ,将用户或组添加到角色组。 选择“ 完成 ”以完成这些步骤。
注意
还可以使用 Add-eDiscoveryCaseAdmin cmdlet 使用户成为电子数据展示管理员。 但是,必须先向用户分配 案例管理 角色,然后才能使用此 cmdlet 使其成为电子数据展示管理员。 有关详细信息,请参阅 Add-eDiscoveryCaseAdmin。
在 Microsoft Purview 门户的“角色组”页上,还可以通过将用户添加到合规性管理员、组织管理和审阅者角色组来分配与电子数据展示相关的权限。 有关分配给每个角色组的电子数据展示相关基于角色的访问控制角色的说明,请参阅与 电子数据展示相关的基于角色的访问控制角色。
与电子数据展示相关的 RBAC 角色
下表列出了 Microsoft Purview 门户中与电子数据展示相关的基于角色的访问控制角色,并指示每个角色默认分配到的内置角色组。
| Role | 合规性管理员 | 电子数据展示管理器 & 管理员 | 组织管理 | Reviewer |
|---|---|---|---|---|
| 案例管理 |
|
|
|
|
| 通信 |
|
|||
| 合规性搜索 |
|
|
|
|
| Custodian |
|
|||
| 导出 |
|
|||
| Hold |
|
|
|
|
| 管理审阅集标记 |
|
|||
| 预览 |
|
|||
| 审阅 |
|
|
||
| RMS 解密 |
|
|||
| 搜索和清除 |
|
运行以下诊断测试,检查是否向指定的管理员帐户分配了 导出、 预览或 搜索角色。
- 选择 Microsoft Purview 门户右上角的 “帮助” 控件。 在搜索 (输入 Diag:edisRBACdiag 或选择此 链接) 运行 电子数据展示 RBAC 检查 测试。
- 在 “运行诊断 ”部分中,输入尝试运行导出、预览或搜索任务的用户的 UPN 或电子邮件地址。
- 选择“ 运行测试”。 如果用户没有必要的电子数据展示角色,请分配角色以执行所需的任务。
以下部分介绍上表中列出的每个与电子数据展示相关的基于角色的访问控制角色。
案例管理
此角色允许用户在 Microsoft Purview 门户中创建、编辑、删除和控制对电子数据展示 (预览版) 访问。 必须先为用户分配 案例管理 角色,然后才能使用 Add-eDiscoveryCaseAdmin cmdlet 使其成为电子数据展示管理员。 有关详细信息,请参阅 电子数据展示 (预览版入门) 。
通信
此角色允许用户管理与电子数据展示案例中标识的用户的所有通信。 这包括创建保留通知、保留提醒和升级到管理层。 用户还可以跟踪用户对保留通知的确认,并管理对用户门户的访问权限,每个用户使用该门户跟踪包含通知的通信。
合规性搜索
此角色允许用户搜索邮箱和公用文件夹、SharePoint 网站、OneDrive 网站、Skype for Business 对话、Microsoft 365 个组、Microsoft Teams 和 Viva Engage 组。 此角色允许用户获取搜索结果的估算值并创建导出报告,但需要其他角色来启动搜索操作,例如预览、导出或删除搜索结果。
在电子数据展示 (预览) 中,分配有 合规性搜索 角色但没有 预览 角色的用户可以预览已由分配有 预览角色的用户 启动的搜索结果。 没有预览角色的用户可以在创建初始 预览 操作后最多两周内预览结果。
同样,电子数据展示 (预览版) ,如果用户分配有 合规性搜索 角色,但没有 “导出” 角色,则可以下载由分配有“ 导出 ”角色的用户启动导出操作的搜索结果。 没有 “导出” 角色的用户可以在创建初始导出操作后最多两周下载搜索结果。 之后,除非具有 “导出” 角色的人员重新启动导出,否则他们无法下载结果。
在电子数据展示中启用高级功能时,预览和导出搜索结果的两周宽限期 (没有相应的搜索和导出角色) 不适用。 启用高级电子数据展示功能后,必须向用户分配 预览 和 导出 角色以预览和导出内容。
Custodian
重要
此角色仅适用于 Microsoft Purview 合规性门户中以前的电子数据展示体验。 此角色不会授予电子数据展示 (预览版) Microsoft Purview 门户中的功能和功能的任何权限。
此角色允许用户识别和管理在 Microsoft Purview 合规性门户中托管的电子数据展示案例的保管人,并使用Microsoft Entra ID 和其他源中的信息来查找与保管人关联的数据源。 用户可以将邮箱、SharePoint 网站和 Teams 等其他数据源与案例中的保管人相关联。 用户还可以对与保管人关联的数据源进行法定保留,以在案例上下文中保留内容。
导出
该角色允许用户将搜索结果导出到本地计算机。 它还允许他们在启用高级电子数据展示功能时准备搜索结果以供分析。 有关导出搜索结果的详细信息,请参阅 在电子数据展示 (预览版中导出搜索结果) 。
Hold
此角色允许用户将内容置于邮箱、公用文件夹、网站、Skype for Business 对话和Microsoft 365 个组中。 当内容处于保留状态时,内容所有者仍然可以修改或删除原始内容,但内容将被保留,直到保留被删除或保留到期。 有关保留的详细信息,请参阅 在电子数据展示 (预览版中创建保留) 。
管理审阅集标记
此角色允许用户创建、编辑和删除他们可以访问的案例的审阅集标记。 用户至少需要具有 “审阅 ”角色和此角色才能在评审期间 管理标记 。
预览
此角色允许用户查看从搜索返回的项目列表。 他们还可以打开并查看列表中的每个项目以查看其内容。
审阅
此角色允许用户访问电子数据展示 (预览版) 中的审阅集。 分配有此角色的用户可以查看并打开他们所属的案例列表。 用户访问电子数据展示案例后,可以选择“ 查看集 ”以访问案例数据。 此角色不允许用户预览与案例关联的搜索结果,也不能执行其他搜索或案例管理任务。 具有此角色的用户只能访问评审集中的数据。
RMS 解密
此角色允许用户在预览搜索结果和导出解密的权限保护电子邮件时查看受权限保护的电子邮件。 当加密文件附加到电子数据展示搜索结果中包含的电子邮件时,此角色还允许用户查看 (和导出) 使用 Microsoft加密技术 加密的文件。 此外,此角色允许用户查看和查询添加到电子数据展示 (预览) 审阅集的加密电子邮件附件。 有关电子数据展示中的解密的详细信息,请参阅 Microsoft 365 电子数据展示工具中的解密。
搜索和清除
此角色允许用户批量删除符合搜索条件的数据。 有关详细信息,请参阅 在电子数据展示中查找和删除电子邮件 (预览版) 。
将角色组添加为电子数据展示案例的成员
可以将角色组添加为电子数据展示事例的成员,以便角色组的成员可以访问并执行分配的事例中的任务。 分配给角色组的角色定义角色组的成员可以执行的操作。 然后,将角色组添加为案例的成员允许成员在特定情况下访问和执行这些任务。
考虑到这一要求,请务必知道,如果角色组添加或删除了角色,则该角色组将作为角色组成员的任何情况下自动删除。 这样做的原因是为了防止组织无意中向案例成员提供其他权限。 同样,如果删除了某个角色组,则会从其所属的所有情况下将其删除。
在向可能是电子数据展示案例成员的角色组添加或删除角色之前,可以在 安全性 & 合规性 PowerShell 中运行以下命令,以获取角色组所属的案例列表。 更新角色组后,将角色组添加回作为这些事例的成员。