適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 中的角色和角色群組
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
Microsoft Defender 入口網站、Microsoft Purview 入口網站,以及傳統Microsoft Purview 合規性與治理入口網站已取代安全性 & 合規性中心作為管理組織 適用於 Office 365 的 Microsoft Defender 和Microsoft Purview 角色和角色群組的位置。 如需這些入口網站中許可權的詳細資訊,請參閱下列文章:
- 在 Microsoft Defender 入口網站中 Email & 共同作業許可權
- Microsoft Purview 入口網站中的權限
- Microsoft Purview 合規性入口網站中的權限
- Microsoft Purview 治理入口網站中的許可權
這些入口網站可讓您將許可權授與執行裝置管理、數據外洩防護、電子檔探索、保留等工作的人員。 這些人員只能執行您已明確授與權限的工作。 若要存取這些入口網站,用戶必須是全域管理員或 適用於 Office 365 的 Defender 中一或多個角色群組的成員, (Email & 共同作業角色群組) 或 Purview (Microsoft Purview 解決方案角色群組) 。 Microsoft Purview 入口網站 (預覽) 提供數據控管、數據安全性,以及風險和合規性解決方案的存取權。 在入口網站中選取風險和合規性解決方案,目前會在傳統 Microsoft Purview 合規性入口網站中開啟這些解決方案。
這些入口網站中的許可權是以角色型訪問控制 (RBAC) 許可權模型為基礎。 RBAC 是 Exchange 所使用的相同許可權模型,因此如果您熟悉 Exchange Online,則授與這些入口網站中的許可權非常類似。 但是,請務必記住,Exchange Online 和角色群組中 適用於 Office 365 的 Defender 或 Purview 合規性的角色群組不會共享成員資格或許可權。 例如,雖然組織管理角色群組存在於 Exchange Online 中,但授與的許可權和角色群組成員與 適用於 Office 365 的 Defender 和 Purview 合規性中的組織管理角色群組不同。
本文包含 適用於 Office 365 的 Defender 和 Microsoft Purview 角色和角色群組的清查。
注意事項
在 Microsoft Defender 全面偵測回應 預覽程式中,也提供不同的 Microsoft Defender 365 RBAC 模型。 此 RBAC 模型中的許可權與本文中所述的 適用於 Office 365 的 Defender 許可權不同。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應角色型存取控制 (RBAC)。
適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 中的角色群組
本節中的表格列出 Microsoft Defender 入口網站和 Microsoft Purview 入口網站中可用的預設角色群組,以及預設指派給角色群組的角色。 若要將許可權授與使用者以在 適用於 Office 365 的 Defender 或 Microsoft Purview 中執行工作,請將這些許可權新增至適當的角色群組。
管理 適用於 Office 365 的 Defender 或 Microsoft Purview 中的許可權,可讓使用者存取其各自入口網站中可用的安全性、合規性和治理功能。 若要將許可權授與其他功能,例如 Exchange 郵件流程規則 (也稱為傳輸規則) ,您必須在 Exchange Online 中授與許可權。 如需詳細資訊,請參閱 Exchange Online 中的權限。
注意事項
若要如本文所述檢視 [許可權] 索引 標籤, 您必須是系統管理員。具體而言,您必須獲指派 角色管理 角色,且該角色預設只會指派給 組織管理和Purview 系統管理員 角色群組。 角色管理角色也可讓您檢視、建立和修改角色群組。
角色群組 | 描述 | 已指派預設角色 |
---|---|---|
攻擊模擬器系統管理員 | 請勿使用此角色群組。 在 Microsoft Entra ID 中使用攻擊模擬系統管理員角色。 | 攻擊模擬器 管理員 |
攻擊模擬器承載作者 | 請勿使用此角色群組。 在 Microsoft Entra ID 中使用攻擊承載作者角色。 | 攻擊模擬器承載作者 |
稽核管理員 | 管理稽核記錄設定和搜尋、檢視和導出稽核記錄。 | 稽核記錄 僅限檢視稽核記錄 |
稽核讀取者 | 搜尋、檢視和導出稽核記錄。 | 僅限檢視稽核記錄 |
計費管理員 | 設定計費功能。 | 計費 管理員 |
通訊合規性 | 提供所有通訊合規性角色的許可權:系統管理員、分析師、調查人員和查看器。 | 案例管理 通訊合規性系統管理員 通訊合規性分析 通訊合規性案例管理 通訊合規性調查 通訊合規性檢視者 數據分類意見反應提供者 數據連接器 管理員 範圍管理員 View-Only 案例 |
通訊合規性系統管理員 | 可建立/編輯原則及定義全域設定的通訊合規性系統管理員。 | 通訊合規性系統管理員 通訊合規性案例管理 數據連接器 管理員 範圍管理員 |
通訊合規性分析師 | 通訊合規性的分析師,可調查原則相符專案、檢視訊息中繼數據,以及採取補救動作。 | 通訊合規性分析 通訊合規性案例管理 |
通訊合規性調查人員 | 可調查原則相符專案、檢視訊息內容,以及採取補救動作的通訊合規性分析師。 | 案例管理 通訊合規性分析 通訊合規性案例管理 通訊合規性調查 數據分類意見反應提供者 View-Only 案例 |
通訊合規性查看器 | 可存取可用報表和小工具的通訊合規性查看器。 | 通訊合規性案例管理 通訊合規性檢視者 |
合規性系統管理員¹ | 成員可以管理裝置管理、資料外洩防護、報告和保留的設定。 | 管理員 單元延伸模組管理員 案例管理 通訊合規性系統管理員 通訊合規性案例管理 合規性系統管理員 合規性管理員系統管理 合規性搜尋 認證讀取器 認證寫入器 數據分類意見反應提供者 數據分類意見反應檢閱者 數據連接器 管理員 資料調查管理 數據對應讀取器 裝置管理 處置管理 DLP 合規性管理 保留 IB 合規性管理 資訊保護系統管理員 資訊保護分析員 資訊保護讀者 測試人員風險管理系統管理員 深入解析讀者 管理警示 組織組態 RecordManagement 保留管理 掃描讀取器 掃描寫入器 範圍管理員 來源讀取器 來源寫入器 僅限檢視稽核記錄 View-Only 案例 僅限檢視裝置管理 僅限檢視 DLP 合規性管理 僅限檢視 IB 合規性管理 僅限檢視管理警示 僅限檢視收件者 僅限檢視記錄管理 僅限檢視保留管理 |
合規性資料系統管理員 | 成員可以管理裝置管理、資料保護、資料外洩防護、報告和保留的設定。 | 合規性系統管理員 合規性管理員系統管理 合規性搜尋 裝置管理 處置管理 DLP 合規性管理 IB 合規性管理 資訊保護系統管理員 資訊保護分析員 資訊保護讀者 管理警示 組織組態 RecordManagement 保留管理 範圍管理員 敏感度標籤系統管理員 僅限檢視稽核記錄 僅限檢視裝置管理 僅限檢視 DLP 合規性管理 僅限檢視 IB 合規性管理 僅限檢視管理警示 僅限檢視收件者 僅限檢視記錄管理 僅限檢視保留管理 |
合規性管理員系統管理員 | 管理範本的建立和修改。 | 合規性管理員系統管理 合規性管理員評估 合規性管理員貢獻 合規性管理員讀取者 數據連接器 管理員 |
合規性管理員評估者 | 建立評量、實作改進動作,以及更新改進動作的測試狀態。 | 合規性管理員評估 合規性管理員貢獻 合規性管理員讀取者 數據連接器 管理員 |
合規性管理員參與者 | 建立評量並執行工作以實作改進動作。 | 合規性管理員貢獻 合規性管理員讀取者 數據連接器 管理員 |
合規性管理員讀取者 | 檢視系統管理員功能以外的所有合規性管理員內容。 | 合規性管理員讀取者 |
內容總管內容查看器 | 在內容總管中檢視內容檔案。 | 數據分類內容查看器 |
內容總管清單查看器 | 僅以清單格式檢視內容總管中的所有專案。 | 數據分類清單查看器 |
資料目錄 者 | 在目錄數據物件上執行建立、讀取、修改和刪除動作,並在對象之間建立關聯性。 | 數據對應讀取器 數據對應寫入器 |
數據資產深入解析系統管理員 | 提供系統管理員跨平臺和提供者的所有深入解析報告存取權。 | 數據對應讀取器 深入解析讀者 深入解析寫入器 |
數據資產深入解析讀者 | 提供跨平臺和提供者的所有深入解析報表的唯讀存取權。 | 數據對應讀取器 深入解析讀者 |
數據控管 | 授與 Purview 內數據控管角色Microsoft存取權。 | 數據控管管理員 |
資料調查人員 | 在信箱、SharePoint Online 網站和商務用 OneDrive 位置上執行搜尋。 | 通訊 合規性搜尋 監管人 資料調查管理 匯出 預覽 檢閱 RMS 解密 搜尋和清除 |
數據安全性管理 | 檢視所有數據安全性狀態管理深入解析、使用 CoPilot for Security,以及管理 (數據外洩防護、資訊保護 和測試人員風險管理) Microsoft Purview 數據安全性解決方案。 | 案例管理 監管人 數據分類內容查看器 數據分類清單查看器 數據連接器 管理員 數據對應讀取器 數據安全性查看器 資訊保護系統管理員 資訊保護分析員 資訊保護調查人員 資訊保護讀者 測試人員風險管理系統管理員 測試人員風險管理分析 測試人員風險管理核准 測試人員風險管理稽核 測試人員風險管理調查 測試人員風險管理報告系統管理員 測試人員風險管理會話 深入解析讀者 Purview 評估系統管理員 檢閱 掃描讀取器 來源讀取器 View-Only 案例 |
數據源管理員 | 管理數據源和數據掃描。 | 認證讀取器 認證寫入器 掃描讀取器 掃描寫入器 來源讀取器 來源寫入器 |
電子文件探索管理員 | 這類成員可以執行搜尋及暫時停用信箱、SharePoint Online 網站和商務用 OneDrive 位置。 成員也可以建立和管理電子檔探索案例、新增和移除案例中的成員、建立和編輯與案例相關聯的內容搜尋,以及存取 eDiscovery (Premium) 中的案例數據。 電子文件探索系統管理員是獲派額外權限的電子文件探索管理員角色群組成員。 除了電子文件探索管理員可以執行的工作以外,電子文件探索系統管理員可以:
電子檔探索管理員與電子檔探索系統管理員之間的主要差異在於電子檔探索系統管理員可以存取合規性入口網站中 [電子檔探索案例 ] 頁面上所列的所有案例。 電子檔探索管理員只能存取他們所建立的案例,或是其所屬案例。 如需讓使用者成為電子檔探索系統管理員的詳細資訊,請參閱 在合規性入口網站中指派電子檔探索許可權。 |
案例管理 通訊 合規性搜尋 監管人 匯出 保留 管理檢閱集標籤 預覽 檢閱 RMS 解密 |
精確數據比對上傳管理員 | 上傳數據以進行精確數據比對。 | 精確數據比對上傳 管理員 |
全域讀取者 | 成員具有報表、警示的唯讀存取權,而且可以查看所有組態和設定。 全域讀取者和安全性讀取者之間的主要差異在於全域讀取者可以存取 組態和設定。 |
合規性管理員讀取者 安全性讀取者 敏感度標籤讀取器 服務保證檢視 僅限檢視稽核記錄 僅限檢視裝置管理 僅限檢視 DLP 合規性管理 僅限檢視 IB 合規性管理 僅限檢視管理警示 僅限檢視收件者 僅限檢視記錄管理 僅限檢視保留管理 |
資訊保護 | 完全控制所有信息保護功能,包括敏感度標籤及其原則、DLP、所有分類器類型、活動和內容總管,以及所有相關報告。 | 數據分類內容查看器 數據分類清單查看器 數據對應讀取器 資訊保護系統管理員 資訊保護分析員 資訊保護調查人員 資訊保護讀者 深入解析讀者 Purview 評估系統管理員 掃描讀取器 來源讀取器 |
資訊保護系統管理員 | 建立、編輯和刪除 DLP 原則、敏感度標籤及其原則,以及所有分類器類型。 管理自動套用標籤原則的端點 DLP 設定和模擬模式。 | 數據對應讀取器 資訊保護系統管理員 深入解析讀者 Purview 評估系統管理員 掃描讀取器 來源讀取器 |
資訊保護分析員 | 存取和管理 DLP 警示和活動總管。 只檢視 DLP 原則、敏感度標籤及其原則,以及所有分類器類型。 | 數據分類清單查看器 數據對應讀取器 資訊保護分析員 深入解析讀者 Purview 評估系統管理員 |
資訊保護調查人員 | 存取和管理 DLP 警示、活動總管和內容總管。 只檢視 DLP 原則、敏感度標籤及其原則,以及所有分類器類型。 | 數據分類內容查看器 數據分類清單查看器 數據對應讀取器 資訊保護分析員 資訊保護調查人員 深入解析讀者 Purview 評估系統管理員 掃描讀取器 來源讀取器 |
資訊保護讀者 | 只檢視 DLP 原則和敏感度標籤及其原則的報告存取權。 | 資訊保護讀者 |
內部風險管理 | 使用此角色群組來管理單一群組中的組織測試人員風險管理。 新增指定系統管理員、分析師和調查人員的所有使用者帳戶,就可以在單一群組中設定測試人員風險管理權限。 此角色群組包含所有測試人員風險管理權限角色。 此角色群組是快速開始使用內部風險管理的最簡單方式,非常適合不需要為個別使用者群組定義個別許可權的組織。 | 案例管理 監管人 數據連接器 管理員 測試人員風險管理系統管理員 測試人員風險管理分析 測試人員風險管理核准 測試人員風險管理稽核 測試人員風險管理調查 測試人員風險管理報告系統管理員 測試人員風險管理會話 檢閱 View-Only 案例 |
測試人員風險管理管理員 | 使用此角色群組一開始設定測試人員風險管理,稍後再將內部風險系統管理員隔離到已定義的群組。 此角色群組中的使用者可以建立、讀取、更新及刪除測試人員風險管理原則、全域設定和角色群組指派。 | 案例管理 數據連接器 管理員 測試人員風險管理系統管理員 View-Only 案例 |
測試人員風險管理分析員 | 使用此群組將許可權指派給擔任內部風險案例分析師的使用者。 此角色群組中的使用者可以存取所有測試人員風險管理警示、案例和通知範本。 他們無法存取內部風險內容總管。 | 案例管理 測試人員風險管理分析 View-Only 案例 |
測試人員風險管理核准者 | 僅供內部核准使用。 | 測試人員風險管理核准 |
測試人員風險管理稽核員 | 使用此群組將許可權指派給稽核內部風險管理活動的使用者。 此角色群組中的使用者可以存取測試人員風險稽核記錄。 | 測試人員風險管理稽核 |
測試人員風險管理調查員 | 使用此群組將許可權指派給擔任內部風險數據調查員的使用者。 此角色群組中的使用者可以存取所有測試人員風險管理警示、案例、通知範本和所有案例的內容總管。 | 案例管理 監管人 測試人員風險管理調查 檢閱 View-Only 案例 |
測試人員風險管理會話核准者 | 僅供內部核准使用。 | 測試人員風險管理會話 |
IRM 參與者 | 此角色群組是可見的,但僅供背景服務使用。 | 測試人員風險管理永久貢獻 測試人員風險管理暫時貢獻 |
知識系統管理員 | 設定知識、學習、指派訓練和其他智慧型功能。 | 知識 管理員 |
郵件流程系統管理員 | 成員可以在Defender入口網站中監視和檢視郵件流程深入解析和報告。 全域管理員可以將一般使用者新增至此群組,但如果使用者不是 Exchange 管理員 群組的成員,使用者就無法存取 Exchange 系統管理員相關工作。 | Exchange 系統管理員 僅限檢視收件者 |
組織管理¹ | 成員可以控制存取這些入口網站中功能的許可權,也可以管理裝置管理、數據外洩防護、報告和保留的設定。 非全域系統管理員的用戶必須是 Exchange 系統管理員,才能在Microsoft 365 (之前稱為行動 裝置管理 或 MDM) 基本行動性和安全性 所管理的裝置上查看並採取動作。 全域系統管理員會自動新增為此角色群組的成員,但您不會在安全性 & 合規性 PowerShell 中 Get-RoleGroupMember Cmdlet 的輸出中看到這些系統管理員。 重要事項:Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。 |
管理員 單元延伸模組管理員 稽核記錄 案例管理 通訊合規性系統管理員 通訊合規性案例管理 合規性系統管理員 合規性管理員系統管理 合規性搜尋 數據連接器 管理員 裝置管理 DLP 合規性管理 保留 IB 合規性管理 測試人員風險管理系統管理員 授權使用量讀取器 管理警示 組織組態 優先順序清除 管理員 優先順序清除查看器 隔離 RecordManagement 保留管理 角色管理 範圍管理員 搜尋和清除 安全性系統管理員 安全性讀取者 敏感度標籤系統管理員 敏感度標籤讀取器 服務保證檢視 卷標參與者 標記管理員 標籤讀取器 僅限檢視稽核記錄 View-Only 案例 僅限檢視裝置管理 僅限檢視 DLP 合規性管理 僅限檢視 IB 合規性管理 僅限檢視管理警示 僅限檢視收件者 僅限檢視記錄管理 僅限檢視保留管理 |
隱私權管理 | 在 Microsoft Purview 合規性入口網站 中管理隱私權管理解決方案的訪問控制。 | 案例管理 合規性管理員貢獻 合規性管理員讀取者 數據分類內容查看器 數據分類清單查看器 數據對應讀取器 深入解析讀者 隱私權管理 管理員 隱私權管理分析 隱私權管理調查 隱私權管理永久貢獻 隱私權管理暫時貢獻 隱私權管理查看器 來源讀取器 主體許可權要求 管理員 View-Only 案例 |
隱私權管理系統管理員 | 隱私權管理解決方案的系統管理員,可建立/編輯原則並定義全域設定。 | 案例管理 合規性管理員貢獻 合規性管理員讀取者 數據對應讀取器 深入解析讀者 隱私權管理 管理員 來源讀取器 View-Only 案例 |
隱私權管理分析師 | 隱私權管理解決方案的分析師,可調查原則相符專案、檢視訊息中繼數據,以及採取補救動作。 | 案例管理 合規性管理員讀取者 數據分類清單查看器 數據對應讀取器 深入解析讀者 隱私權管理分析 View-Only 案例 |
隱私權管理分析師 | 隱私權管理解決方案的分析師,可調查原則相符專案、檢視訊息中繼數據,以及採取補救動作。 | 案例管理 合規性管理員讀取者 數據分類清單查看器 數據對應讀取器 深入解析讀者 隱私權管理分析 View-Only 案例 |
隱私權管理參與者 | 管理隱私權管理案例的參與者存取權。 | 合規性管理員讀取者 隱私權管理永久貢獻 隱私權管理暫時貢獻 |
隱私權管理調查人員 | 隱私權管理解決方案的調查人員,可調查原則相符專案、檢視訊息內容,以及採取補救動作。 | 案例管理 合規性管理員讀取者 數據分類內容查看器 數據分類清單查看器 隱私權管理調查 View-Only 案例 |
隱私權管理查看器 | 可存取可用儀錶板和小工具的隱私權管理解決方案查看器。 | 合規性管理員讀取者 數據分類清單查看器 隱私權管理查看器 |
Purview 系統管理員 | 建立、編輯和刪除網域,並執行角色指派。 | 管理員 單元延伸模組管理員 Purview 網域管理員 角色管理 |
隔離系統管理員 | 成員可以存取所有隔離動作。 如需詳細資訊,請 參閱在 EOP 中以系統管理員身分管理隔離的郵件和檔案 | 隔離 |
記錄管理 | 成員可以設定記錄管理的所有層面,包括保留標籤和處置檢閱。 | 處置管理 RecordManagement 保留管理 範圍管理員 |
檢閱者 | 成員可以在 電子檔探索 (進階) 案例中存取檢閱集。 此角色群組的成員可以在其成員所在 Microsoft Purview 合規性入口網站 的電子檔探索>進階頁面上查看並開啟案例清單。 在使用者存取 eDiscovery (Premium) 案例之後,他們可以選取 [ 檢閱集 ] 來存取案例數據。 此角色不允許使用者預覽與案例相關聯的集合搜尋結果,或執行其他搜尋或案例管理工作。 此角色群組的成員只能存取檢閱集中的數據。 | 檢閱 |
安全性系統管理員 | 成員可以存取 Identity Protection Center、Privileged Identity Management、監視Microsoft 365 服務健康狀態,以及 Defender 和合規性入口網站的許多安全性功能。 根據預設,此角色群組可能沒有任何成員。 不過,Microsoft Entra ID的安全性系統管理員角色會指派給此角色群組。 因此,此角色群組會從 Microsoft Entra ID 繼承安全性系統管理員角色的功能和成員資格。 若要集中管理許可權,請在 Microsoft Entra 系統管理中心 中新增和移除群組成員。 如需詳細資訊,請參閱 Microsoft Entra 內建角色。 如果您在這些入口網站中編輯此角色群組, (成員資格或角色) ,這些變更僅適用於安全性與合規性領域,不適用於任何其他服務。 此角色群組包含安全性讀取者角色的所有唯讀許可權,以及相同服務的許多其他系統管理許可權:Azure 資訊保護、Identity Protection Center、Privileged Identity Management、監視Microsoft 365 服務健康狀態,以及 Defender 和合規性入口網站。 |
稽核記錄 合規性管理員系統管理 裝置管理 DLP 合規性管理 IB 合規性管理 管理警示 隔離 安全性系統管理員 敏感度標籤系統管理員 卷標參與者 標記管理員 標籤讀取器 僅限檢視稽核記錄 僅限檢視裝置管理 僅限檢視 DLP 合規性管理 僅限檢視 IB 合規性管理 僅限檢視管理警示 |
安全性操作員 | 成員可以管理安全性警示,也可以檢視安全性功能的報告和設定。 | 合規性搜尋 管理警示 安全性讀取者 卷標參與者 標籤讀取器 租使用者 AllowBlockList Manager 僅限檢視稽核記錄 僅限檢視裝置管理 僅限檢視 DLP 合規性管理 僅限檢視 IB 合規性管理 僅限檢視管理警示 |
安全性讀取者 | 成員可以只讀存取 Identity Protection Center、Privileged Identity Management、監視Microsoft 365 服務健康狀態,以及 Defender 和合規性入口網站的許多安全性功能。 根據預設,此角色群組可能沒有任何成員。 不過,Microsoft Entra ID 的安全性讀取者角色會指派給此角色群組。 因此,此角色群組會從 Microsoft Entra ID 繼承安全性讀取者角色的功能和成員資格。 若要集中管理許可權,請在 Microsoft Entra 系統管理中心 中新增和移除群組成員。 如需詳細資訊,請參閱 Microsoft Entra 內建角色。 如果您在入口網站中編輯此角色群組 (成員資格或角色) ,這些變更只會套用至安全性與合規性領域,而不適用於任何其他服務。 |
合規性管理員讀取者 安全性讀取者 敏感度標籤讀取器 標籤讀取器 僅限檢視裝置管理 僅限檢視 DLP 合規性管理 僅限檢視 IB 合規性管理 僅限檢視管理警示 |
服務保證使用者 | 成員可以在合規性入口網站中存取服務保證區段。 服務保證會針對儲存在 Microsoft 365 中的客戶資料,提供描述 Microsoft 安全性做法的報告和文件。 此外,這個區段也會提供 Microsoft 365 的獨立第三方稽核報告。 如需詳細資訊,請參閱 合規性入口網站中的服務保證。 | 服務保證檢視 |
主體許可權要求管理員 | 建立主體許可權要求。 | 案例管理 合規性管理員貢獻 合規性管理員讀取者 主體許可權要求 管理員 View-Only 案例 |
主體權利要求核准者 | 能夠核准主體許可權要求的核准者。 | 合規性管理員讀取者 主體權利要求核准者 |
主管檢閱 | 成員可以建立和管理原則,該原則定義了組織中要被檢視的是那些通訊。 如需詳細資訊,請參閱設定貴組織的通訊合規性原則。 | 主管檢閱系統管理員 |
注意事項
¹ 此角色群組不會為成員指派搜尋稽核記錄所需的許可權,也不會使用可能包含 Exchange 數據的任何報告,例如 DLP 或 適用於 Office 365 的 Defender 報告。 若要搜尋稽核記錄或檢視所有報告,使用者必須在 Exchange Online 中獲指派權限。 此動作是必要的,因為用來搜尋稽核記錄的基礎 Cmdlet 是 Exchange Online Cmdlet。 全域系統管理員可以搜尋稽核記錄並檢視所有報告,因為它們會自動新增為 Exchange Online 中組織管理角色群組的成員。 如需詳細資訊,請 參閱在合規性入口網站中搜尋稽核記錄。
適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 中的角色
本節中的表格列出可用的角色,以及預設指派給這些角色群組的角色群組。
默認未指派給組織管理角色群組的角色會標示為 *
角色 | 描述 | 預設角色群組指派 |
---|---|---|
管理員 單元延伸模組管理員 | 合規性系統管理員 組織管理 Purview 系統管理員 |
|
* 攻擊模擬器 管理員 | 請勿使用此角色。 在 Microsoft Entra ID 中使用攻擊模擬系統管理員角色。 | 攻擊模擬器系統管理員 |
攻擊模擬器承載作者 | 請勿使用此角色。 在 Microsoft Entra ID 中使用攻擊承載作者角色。 | |
數據對應讀取器 | 數據資產深入解析系統管理員 隱私權管理 隱私權管理系統管理員 隱私權管理分析師 隱私權管理參與者 隱私權管理調查人員 隱私權管理查看器 |
|
* 攻擊模擬器承載作者 | 請勿在入口網站中使用此角色。 在 Microsoft Entra ID 中使用對應的角色。 | 攻擊模擬器承載作者 |
稽核記錄 | 開啟並設定組織的稽核、檢視組織的稽核報告,然後將這些報告導出至檔案。 | 稽核管理員 組織管理 安全性系統管理員 |
* 計費 管理員 | 允許計費系統管理員使用選取的功能。 | 計費管理員 |
案例管理 | 建立、編輯、刪除及控制電子文件探索案例的存取權。 | 通訊合規性 通訊合規性調查人員 合規性系統管理員 eDiscovery 管理員 測試人員風險管理 測試人員風險管理管理員 測試人員風險管理分析員 測試人員風險管理調查員 組織管理 隱私權管理 隱私權管理系統管理員 隱私權管理分析師 隱私權管理調查人員 主體許可權要求管理員 |
* 通信 | 管理與 eDiscovery (Premium) 案例中所識別監管人的所有通訊。 建立保留通知、保留提醒,以及呈報至管理。 追蹤監管人通知保留通知,並管理每個監管人在案例中所使用之監管人入口網站的存取權,以追蹤其識別為監管人的案例通訊。 | 資料調查人員 電子文件探索管理員 |
通訊合規性系統管理員 | 用來管理通訊合規性功能中的原則。 | 通訊合規性 通訊合規性系統管理員 合規性系統管理員 組織管理 |
* 通訊合規性分析 | 用來在通訊合規性功能中執行訊息違規的調查、補救。 只能檢視訊息中繼數據。 | 通訊合規性 通訊合規性分析師 通訊合規性調查人員 |
通訊合規性案例管理 | 用來存取通訊合規性案例。 | 通訊合規性 通訊合規性系統管理員 通訊合規性分析師 通訊合規性調查人員 通訊合規性查看器 合規性系統管理員 組織管理 |
* 通訊合規性調查 | 用來在通訊合規性功能中執行調查、補救和檢閱訊息違規。 可以檢視訊息中繼數據和訊息。 | 通訊合規性 通訊合規性調查人員 |
* 通訊合規性查看器 | 用來存取通訊合規性功能中的報表和小工具。 | 通訊合規性 通訊合規性查看器 |
合規性系統管理員 | 檢視及編輯合規性功能的設定和報告。 | 合規性系統管理員 合規性資料系統管理員 組織管理 |
合規性管理員系統管理 | 管理範本的建立和修改。 | 合規性系統管理員 合規性資料系統管理員 合規性管理員系統管理員 組織管理 安全性系統管理員 |
* 合規性管理員評定 | 建立評量、實作改進動作,以及更新改進動作的測試狀態。 | 合規性管理員系統管理員 合規性管理員評估者 |
* 合規性管理員貢獻 | 建立評量並執行工作以實作改進動作。 | 合規性管理員系統管理員 合規性管理員評估者 合規性管理員參與者 隱私權管理 隱私權管理系統管理員 主體許可權要求管理員 |
* 合規性管理員讀者 | 檢視系統管理員功能以外的所有合規性管理員內容。 | 合規性管理員系統管理員 合規性管理員評估者 合規性管理員參與者 合規性管理員讀取者 全域讀取者 隱私權管理 隱私權管理系統管理員 隱私權管理分析師 隱私權管理參與者 隱私權管理調查人員 隱私權管理查看器 安全性讀取者 主體許可權要求管理員 主體權利要求核准者 |
合規性搜尋 | 跨信箱執行搜尋,並取得結果的估計。 | 合規性系統管理員 合規性資料系統管理員 資料調查人員 電子文件探索管理員 組織管理 安全性操作員 |
* 認證讀取器 | 讀取在租使用者中建立的不同認證。 | 合規性系統管理員 數據源管理員 |
* 認證寫入器 | 建立和編輯認證。 | 合規性系統管理員 數據源管理員 |
* 保管人 | 識別和管理 eDiscovery (Premium) 案例的監管人,並使用來自 Microsoft Entra ID 和其他來源的信息來尋找與監管人相關聯的數據源。 在案例中將其他資料來源 (例如信箱、SharePoint 網站及 Teams) 與監管人建立關聯。 在與監管人相關聯的資料來源進行法務保存措施,以便在案例的內容中保留內容。 | 資料調查人員 電子文件探索管理員 測試人員風險管理 測試人員風險管理調查員 |
* 數據分類內容查看器 | 在內容總管中檢視檔案的就地轉譯。 | 內容總管內容查看器 資訊保護 資訊保護調查人員 隱私權管理 隱私權管理調查人員 |
* 數據分類意見反應提供者 | 允許在內容總管中提供意見反應給分類器。 | 通訊合規性 通訊合規性調查人員 合規性系統管理員 |
* 數據分類意見反應檢閱者 | 允許在意見反應總管中檢閱來自分類器的意見反應。 | 合規性系統管理員 |
* 數據分類清單查看器 | 在內容總管中檢視檔案清單。 | 內容總管清單查看器 資訊保護 資訊保護分析員 資訊保護調查人員 隱私權管理 隱私權管理分析師 隱私權管理調查人員 隱私權管理查看器 |
數據連接器 管理員 | 建立和管理連接器,以在 Microsoft 365 中匯入和封存非Microsoft數據。 | 通訊合規性 通訊合規性系統管理員 合規性系統管理員 合規性管理員系統管理員 合規性管理員評估者 合規性管理員參與者 測試人員風險管理 測試人員風險管理管理員 組織管理 |
* 數據控管管理員 | 委派商務網域建立者和其他應用層級許可權的第一層存取權。 | 數據控管 |
* 數據調查管理 | 建立、編輯、刪除和控制對數據調查的存取。 | 合規性系統管理員 資料調查人員 |
* 數據對應讀取器 | 讀取數據對應物件上的動作。 | 合規性系統管理員 資料目錄 者 數據資產深入解析讀者 資訊保護 資訊保護系統管理員 資訊保護分析員 資訊保護調查人員 |
* 數據對應寫入器 | 建立、讀取、修改和刪除數據對應物件上的動作,以及建立對象之間的關聯性。 | 資料目錄 者 |
數據安全性查看器 | 檢視數據安全性狀態管理儀錶板深入解析的存取權。 允許使用者使用 Copilot for Security 來檢視詳細數據。 | 數據安全性管理 |
裝置管理 | 檢視及編輯裝置管理功能的設定和報告。 | 合規性系統管理員 合規性資料系統管理員 組織管理 安全性系統管理員 |
* 處置管理 | 控制在 Defender 和合規性入口網站中存取手動處置的許可權。 | 合規性系統管理員 合規性資料系統管理員 記錄管理 |
DLP 合規性管理 | 檢視及編輯資料外洩防護 (DLP) 原則的設定和報告。 | 合規性系統管理員 合規性資料系統管理員 組織管理 安全性系統管理員 |
* 精確數據比對上傳 管理員 | 可讓用戶上傳數據以進行精確數據比對。 | 精確數據比對上傳管理員 |
* Exchange 系統管理員 | 允許 Exchange 系統管理員使用選取的功能。 | 郵件流程系統管理員 |
* 出口 | 匯出從搜尋傳回的信箱和網站內容。 | 資料調查人員 電子文件探索管理員 |
保留 | 保留信箱、網站和公用資料夾中的內容。 保留時,內容複本會儲存在安全的位置。 內容擁有者仍然可以修改或刪除原始內容。 | 合規性系統管理員 eDiscovery 管理員 組織管理 |
IB 合規性管理 | 檢視、建立、移除、修改及測試資訊屏障原則。 | 合規性系統管理員 合規性資料系統管理員 組織管理 安全性系統管理員 |
* 資訊保護 管理員 | 建立、編輯和刪除 DLP 原則、敏感度標籤及其原則,以及所有分類器類型。 管理自動套用標籤原則的端點 DLP 設定和模擬模式。 | 合規性系統管理員 合規性資料系統管理員 資訊保護 資訊保護系統管理員 |
* 資訊保護 分析師 | 存取和管理 DLP 警示和活動總管。 只檢視 DLP 原則、敏感度標籤及其原則,以及所有分類器類型。 | 合規性系統管理員 合規性資料系統管理員 資訊保護 資訊保護分析員 資訊保護調查人員 |
* 資訊保護 馬利 | 存取和管理 DLP 警示、活動總管和內容總管。 只檢視 DLP 原則、敏感度標籤及其原則,以及所有分類器類型。 | 資訊保護 資訊保護調查人員 |
* 資訊保護 讀取者 | 只檢視 DLP 原則和敏感度標籤及其原則的報告存取權。 | 合規性系統管理員 合規性資料系統管理員 資訊保護 資訊保護讀者 |
測試人員風險管理系統管理員 | 建立、編輯、刪除及控制對測試人員風險管理功能的存取。 | 合規性系統管理員 測試人員風險管理 測試人員風險管理管理員 組織管理 |
* 測試人員風險管理分析 | 存取所有內部風險管理警示、案例和通知範本。 | 測試人員風險管理 測試人員風險管理分析員 |
* 測試人員風險管理核准 | 在隱私權管理解決方案中執行調查、補救和檢閱訊息違規。 可以檢視訊息元數據和完整訊息。 | 測試人員風險管理 測試人員風險管理核准者 |
* 測試人員風險管理稽核 | 允許檢視測試人員風險稽核記錄。 | 測試人員風險管理 測試人員風險管理稽核員 |
* 測試人員風險管理調查 | 存取所有內部風險管理警示、案例、通知範本,以及所有案例的內容總管。 | 測試人員風險管理 測試人員風險管理調查員 |
* 測試人員風險管理永久貢獻 | 此角色群組是可見的,但僅供背景服務使用。 | IRM 參與者 |
* 測試人員風險管理報告系統管理員 | 測試人員風險管理 | |
* 測試人員風險管理會話 | 在隱私權管理解決方案中執行訊息違規的調查和補救。 只能檢視訊息元數據。 | 測試人員風險管理 測試人員風險管理會話核准者 |
* 測試人員風險管理暫時貢獻 | 此角色群組是可見的,但僅供背景服務使用。 | IRM 參與者 |
* 深入解析讀者 | 提供數據資產深入解析應用程式中所有 Insights 報表的唯讀存取權。 深入解析讀取者必須至少具有集合的數據讀取者角色存取權,才能檢視有關該特定集合的報告。 | 合規性系統管理員 數據資產深入解析系統管理員 數據資產深入解析讀者 資訊保護 資訊保護系統管理員 資訊保護分析員 資訊保護調查人員 隱私權管理 隱私權管理系統管理員 隱私權管理分析師 隱私權管理調查人員 隱私權管理查看器 |
* 深入解析寫入器 | 數據資產深入解析系統管理員 | |
* 知識 管理員 | 設定知識、學習、指派訓練和其他智慧型功能。 | 知識系統管理員 |
授權使用量讀取器 | 組織管理 | |
管理警示 | 檢視及編輯警示的設定和報告。 | 合規性系統管理員 合規性資料系統管理員 組織管理 安全性系統管理員 安全性操作員 |
* 管理檢閱集標籤 | 此角色可讓使用者建立、編輯和刪除可存取之案例的檢閱集標籤。 | 電子文件探索管理員 |
組織組態 | 針對 DLP、裝置及保留執行、檢視及匯出稽核報告和管理合規性原則。 | 合規性系統管理員 合規性資料系統管理員 組織管理 |
* 預覽 | 檢視從內容搜尋傳回的項目清單,並且從清單開啟每個項目以檢視其內容。 | 資料調查人員 電子文件探索管理員 |
優先順序清除 管理員 | 組織管理 | |
優先順序清除查看器 | 組織管理 | |
* 隱私權管理 管理員 | 管理隱私權管理中的原則,並可存取解決方案的所有功能。 | 隱私權管理 隱私權管理系統管理員 |
* 隱私權管理分析 | 在隱私權管理中執行訊息違規的調查和補救。 只能檢視訊息元數據。 | 隱私權管理 隱私權管理分析師 |
* 隱私權管理調查 | 在隱私權管理中執行調查、補救和檢閱訊息違規。 可以檢視訊息元數據和完整訊息。 | 隱私權管理 隱私權管理調查人員 |
* 隱私權管理永久貢獻 | 以永久參與者身分存取隱私權管理案例。 | 隱私權管理 隱私權管理參與者 |
* 隱私權管理暫時貢獻 | 暫時參與者身分存取隱私權管理案例。 | 隱私權管理 隱私權管理參與者 |
* 隱私權管理查看器 | 在隱私權管理中存取儀錶板和小工具。 | 隱私權管理 隱私權管理查看器 |
* Purview 網域管理員 | 建立、編輯和刪除網域,並執行角色指派。 | Purview 系統管理員 |
* Purview 評估系統管理員 | 建立和管理 Microsoft 365 Purview 評估實驗室。 | 資訊保護 資訊保護系統管理員 資訊保護分析員 資訊保護調查人員 |
隔離區 | 允許檢視和釋放隔離的電子郵件。 | 組織管理 隔離系統管理員 安全性系統管理員 |
RecordManagement | 檢視和編輯記錄管理功能的設定。 | 合規性系統管理員 合規性資料系統管理員 組織管理 記錄管理 |
保留管理 | 管理保留原則、保留標籤和保留標籤原則。 包含從這些原則新增和移除調適型範圍,以及建立、刪除和修改調適型範圍的許可權。 | 合規性系統管理員 合規性資料系統管理員 組織管理 記錄管理 |
* 回顧 | 此角色可讓使用者存取電子檔探索 (進階) 案例中的檢閱集。 獲指派此角色的使用者可以在屬於其成員之 Microsoft Purview 合規性入口網站 的 [電子檔探索>進階] 頁面上查看並開啟案例清單。 在使用者存取 eDiscovery (Premium) 案例之後,他們可以選取 [ 檢閱集 ] 來存取案例數據。 此角色不允許使用者預覽與案例相關聯的集合搜尋結果,或執行其他搜尋或案例管理工作。 具有此角色的使用者只能存取檢閱集中的數據。 | 資料調查人員 電子文件探索管理員 測試人員風險管理 測試人員風險管理調查員 檢閱者 |
* RMS 解密 | 在匯出搜尋結果時解密受 RMS 保護的內容。 | 資料調查人員 電子文件探索管理員 |
角色管理 | 管理角色群組成員資格,以及建立或刪除自訂角色群組。 | 組織管理 Purview 系統管理員 |
* 掃描讀取器 | 讀取在租使用者中建立的不同掃描。 | 合規性系統管理員 數據源管理員 資訊保護 資訊保護系統管理員 資訊保護調查人員 |
* 掃描寫入器 | 在租使用者中建立、更新和刪除掃描。 | 合規性系統管理員 數據源管理員 |
範圍管理員 | 可讓系統管理員建立、編輯、刪除和控制對組織中調適型範圍等功能的存取。 | 通訊合規性 通訊合規性系統管理員 合規性系統管理員 合規性資料系統管理員 組織管理 記錄管理 |
搜尋和清除 | 讓人員大量移除符合內容搜尋準則的資料。 | 資料調查人員 組織管理 |
安全性系統管理員 | 檢視及編輯安全性功能的設定和報告。 | 組織管理 安全性系統管理員 |
安全性讀取者 | 檢視安全性功能的設定和報告。 | 全域讀取者 組織管理 安全性操作員 安全性讀取者 |
敏感度標籤系統管理員 | 檢視、建立、修改及移除敏感度標籤。 | 合規性資料系統管理員 組織管理 安全性系統管理員 |
敏感度標籤讀取器 | 檢視敏感度標籤的設定和使用方式。 | 全域讀取者 組織管理 安全性讀取者 |
服務保證檢視 | 從 [服務保證] 區段下載可用的文件。 內容包括獨立的稽核、合規性檔,以及使用 Microsoft 365 功能來管理法規合規性和安全性風險的信任相關指引。 | 全域讀取者 組織管理 服務保證使用者 |
* 來源讀取器 | 讀取在租使用者中建立的不同來源。 | 合規性系統管理員 數據源管理員 資訊保護 資訊保護系統管理員 資訊保護調查人員 隱私權管理 隱私權管理系統管理員 |
* 來源寫入器 | 在租使用者中建立、更新和刪除來源。 | 合規性系統管理員 數據源管理員 |
* 主體許可權要求 管理員 | 管理主管檢閱原則,包括要檢閱哪些通訊,以及誰可以執行檢閱。 | 隱私權管理 主體許可權要求管理員 |
* 主體權利要求核准者 | 建立、編輯、刪除和控制監管人的存取權。 | 主體權利要求核准者 |
* 監督檢閱系統管理員 | 管理監督檢閱原則,包括要檢閱哪些通訊,以及誰應該進行檢閱。 | 主管檢閱 |
卷標參與者 | 啟用現有標籤的檢視和更新。 | 組織管理 安全性系統管理員 安全性操作員 |
標記管理員 | 檢視、更新、建立和刪除使用者標籤。 | 組織管理 安全性系統管理員 |
標籤讀取器 | 現有使用者標籤的唯讀取權。 | 組織管理 安全性系統管理員 安全性操作員 安全性讀取者 |
* 租使用者 AllowBlockList Manager | 管理租用戶允許/封鎖清單設定。 | 安全性操作員 |
僅限檢視稽核記錄 | 檢視及匯出稽核報告。 由於這些報告可能包含敏感性資訊,因此您應該僅將此角色指派給明確需要檢視此資訊的人員。 | 稽核管理員 稽核讀取者 合規性系統管理員 合規性資料系統管理員 全域讀取者 組織管理 安全性系統管理員 安全性操作員 |
僅限檢視案例 | 通訊合規性 通訊合規性調查人員 合規性系統管理員 測試人員風險管理 測試人員風險管理管理員 測試人員風險管理分析員 測試人員風險管理調查員 組織管理 隱私權管理 隱私權管理系統管理員 隱私權管理分析師 隱私權管理調查人員 主體許可權要求管理員 |
|
僅限檢視裝置管理 | 檢視裝置管理功能的設定和報告。 | 合規性系統管理員 合規性資料系統管理員 全域讀取者 組織管理 安全性系統管理員 安全性操作員 安全性讀取者 |
僅限檢視 DLP 合規性管理 | 檢視資料外洩防護 (DLP) 原則的設定和報告。 | 合規性系統管理員 合規性資料系統管理員 全域讀取者 組織管理 安全性系統管理員 安全性操作員 安全性讀取者 |
僅限檢視 IB 合規性管理 | 檢視資訊屏障功能的設定和報告。 | 合規性系統管理員 合規性資料系統管理員 全域讀取者 組織管理 安全性系統管理員 安全性操作員 安全性讀取者 |
僅限檢視管理警示 | 檢視管理警示功能的設定和報告。 | 合規性系統管理員 合規性資料系統管理員 全域讀取者 組織管理 安全性系統管理員 安全性操作員 安全性讀取者 |
僅限檢視收件者 | 檢視使用者和群組的相關資訊。 | 合規性系統管理員 合規性資料系統管理員 全域讀取者 郵件流程系統管理員 組織管理 |
僅限檢視記錄管理 | 檢視記錄管理功能的設定。 | 合規性系統管理員 合規性資料系統管理員 全域讀取者 組織管理 |
僅限檢視保留管理 | 檢視保留原則、保留標籤和保留卷標原則的設定。 | 合規性系統管理員 合規性資料系統管理員 全域讀取者 組織管理 |