在合規性入口網站中指派電子檔探索許可權
提示
新的 Microsoft Purview 入口網站現已提供電子檔探索 (預覽) 。 若要深入瞭解如何使用新的電子檔探索體驗,請參閱 瞭解電子檔探索 (預覽) 。
如果您想要讓使用者在 Microsoft Purview 合規性入口網站 中使用任何電子檔案探索相關工具,您必須為其指派適當的許可權。 指派角色最簡單的方式是在合規性入口網站的 [許可權 ] 頁面上 ,將適當的角色群組新增至該人員。 本文說明執行電子檔探索工作所需的許可權。
提示
您可以在合規性入口網站的電子檔探索 (Premium) 概觀頁面上檢視自己的許可權。 您必須至少指派一個角色,才能顯示您的許可權。
合規性入口網站中的主要電子檔探索相關角色群組稱為 eDiscovery Manager。 此角色群組內有兩個子群組:
電子檔探索管理員 - 電子檔探索管理員可以使用電子檔探索搜尋工具來搜尋組織中的內容位置,並執行各種與搜尋相關的動作,例如預覽和導出搜尋結果。 成員也可以在 Microsoft Purview 電子文件探索 (Standard) 和 Microsoft Purview 電子文件探索 (Premium) 中建立和管理案例、新增和移除案例的成員、建立案例保留、執行與案例相關聯的搜尋,以及存取案例數據。 電子文件探索管理員只能存取和管理其建立的案例。 其無法存取或管理其他電子文件探索管理員所建立的案例。
電子檔探索系統管理員 - 電子檔探索系統管理員是電子檔探索管理員角色群組的成員,可以執行電子檔探索管理員可以執行的相同內容搜尋和案例管理相關工作。 此外,電子文件探索系統管理員還可以︰
- 存取合規性入口網站中 eDiscovery (Standard) 和 eDiscovery (Premium) 頁面上列出的所有案例。
- 存取組織中任何案例的電子文件探索 (進階版) 案例資料。
- 在自行加入為案例的成員之後,管理任何電子文件探索案例。
- 從電子文件探索案例中移除成員。 只有電子文件探索系統管理員可以從案例中移除成員。 身為電子文件探索管理員子群組成員的使用者,即使使用者已建立案例,也無法從案例中移除成員。
如需組織中可能想要電子檔探索系統管理員的原因,請參閱 詳細資訊。
注意事項
若要使用 eDiscovery (Premium) 來分析使用者的數據,使用者 (數據) 的監管人必須獲指派 Office 365 E5 或 Microsoft 365 E5 授權。 或者,具有 Office 365 E1 或 Office 365 或 Microsoft 365 E3 授權的使用者,可以獲指派 Microsoft 365 E5 合規性 或Microsoft 365 電子檔探索和稽核附加元件授權。 系統管理員、合規性人員或被指派為案例成員,並使用電子檔探索 (進階) 來收集、檢視和分析數據,而不需要 E5 授權。 如需 eDiscovery (Premium) 授權的詳細資訊,請參閱 電子檔探索 (Premium) 中的訂閱和授權 。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
指派許可權之前
- 您必須是 組織管理 角色群組的成員,或獲指派 角色管理 角色,才能在合規性入口網站中指派電子檔探索許可權。
- 您可以在安全性 & 合規性 PowerShell 中使用 Add-RoleGroupMember Cmdlet,將擁有郵件功能的安全組新增為電子檔探索管理員角色群組中電子檔探索管理員子群組的成員。 不過,您無法將擁有郵件功能的安全組新增至 電子檔案探索系統管理員 子群組。 如需詳細資訊,請 參閱詳細資訊。
指派電子文件探索權限
注意事項
在有限的時間內,此傳統電子檔探索體驗也可在新的 Microsoft Purview 入口網站中使用。 在電子檔探索 (預覽) 體驗設定中啟用合規性入口網站傳統電子檔探索體驗,以在新的 Microsoft Purview 入口網站中顯示傳統體驗。
移至 合規性入口網站 ,並使用可指派許可權的帳戶登入。
在左窗格中,選 取 [角色 & 範圍權>限]。
在 [權 限] 頁面的 [ Microsoft Purview 解決方案] 底下,選取 [ 角色]。
在 [ Microsoft Purview 解決方案的角色群組 ] 頁面上,選取 [電子檔探索管理員]。
在 [電子檔探索管理員 ] 飛出視窗窗格中,根據您想要指派的電子檔探索許可權執行下列其中一項動作。
- 選取 [編輯]。
- 在 [ 管理電子檔探索管理員] 頁面上,選取 [選擇使用者]。
- 搜尋並選取您要新增為 電子檔探索管理員) 的使用者 (或使用者,然後選取 [ 選取]。
- 選取 [下一步]。
- 若要將使用者 (或使用者指派) 至 電子檔探索系統管理員 角色群組,請選取 [ 選擇使用者]。
- 搜尋並選取您要新增為 電子檔案探索系統管理員) 使用者 (或使用者,然後選取 [ 選取]。
- 選取 [下一步]。
- 在 [ 檢閱角色群組並完成] 頁面上,檢閱角色群組變更。 選 取 [儲存 ] 以將變更儲存至電子檔探索角色群組。
注意事項
您也可以使用 Add-eDiscoveryCaseAdmin Cmdlet,讓使用者成為電子檔探索系統管理員。 不過,您必須先將 案例管理 角色指派給使用者,才能使用此 Cmdlet 讓他們成為電子檔探索系統管理員。 如需詳細資訊,請 參閱 Add-eDiscoveryCaseAdmin。
在合規 性 入口網站的 [許可權] 頁面上,您也可以將使用者新增至合規性 系統管理員、 組織管理和檢 閱者 角色群組,以指派用戶電子檔探索相關許可權。 如需指派給每個角色群組之電子檔探索相關角色型訪問控制角色的說明,請參閱 與電子檔探索相關的角色型訪問控制角色。
檢視許可權
當每個使用者登入合規性入口網站中的 [探索] 時,為電子檔探索使用者指派的許可權會顯示在 [電子檔探索概觀] 索引卷標上的 [您的許可權] 卡片上。 此卡片概述使用者的存取和角色,包括電子檔探索案例的任何限制。
與電子檔探索相關的 RBAC 角色
下表列出合規性入口網站中電子檔探索相關的角色型訪問控制角色,並指出每個角色預設指派給的內建角色群組。
角色 | 合規性系統管理員 | 電子檔探索管理員 & 系統管理員 | 組織管理 | 檢閱者 |
---|---|---|---|---|
案例管理 | ||||
通訊 | ||||
合規性搜尋 | ||||
監管人 | ||||
匯出 | ||||
Hold | ||||
管理檢閱集標籤 | ||||
預覽 | ||||
檢閱 | ||||
RMS 解密 | ||||
搜尋和清除 |
執行下列診斷測試,以檢查匯出、預覽或搜尋角色是否已指派給指定的系統管理員帳戶。
注意事項
在有限的時間內,此傳統電子檔探索體驗也可在新的 Microsoft Purview 入口網站中使用。 在電子檔探索 (預覽) 體驗設定中啟用合規性入口網站傳統電子檔探索體驗,以在新的 Microsoft Purview 入口網站中顯示傳統體驗。
- 選取 Microsoft Purview 合規性入口網站 右上方的 [說明] 控制件。 在搜尋 (中輸入 Diag:edisRBACdiag ,或選取此 連結) 執行 電子檔探索 RBAC 檢查 測試。
- 在 [ 執行診斷] 區段中,輸入嘗試執行匯出、預覽或搜尋工作的使用者 UPN 或電子郵件位址。
- 選 取 [執行測試]。 如果使用者沒有必要的電子檔探索角色,請指派角色來執行所需的工作。
下列各節說明上表所列的每個電子檔探索相關角色型訪問控制角色。
案例管理
此角色可讓使用者在合規性入口網站中建立、編輯、刪除和控制電子檔探索 (Standard) 和電子檔探索 (進階) 案例的存取權。 如先前所述,必須先將 案例管理 角色指派給使用者,您才能使用 Add-eDiscoveryCaseAdmin Cmdlet,讓他們成為電子檔探索系統管理員。
如需詳細資訊,請參閱:
通訊
此角色可讓使用者管理與 eDiscovery (Premium) 案例中識別之監管人的所有通訊。 這包括建立保留通知、保留提醒,以及提升管理。 使用者也可以追蹤監管人通知的保留通知,並管理每個監管人用來追蹤其身為監管人之案例之通訊的監管人入口網站存取權。
如需詳細資訊, 請參閱使用電子檔探索 (Premium) 中的通訊 。
合規性搜尋
此角色可讓使用者在合規性入口網站中執行內容搜尋工具,以搜尋信箱和公用資料夾、SharePoint Online 網站、商務用 OneDrive 網站、商務用 Skype 交談、Microsoft 365 群組,以及Microsoft Teams 和 Viva Engage 群組。 此角色可讓使用者取得搜尋結果的估計值並建立匯出報告,但需要其他角色來起始內容搜尋動作,例如預覽、匯出或刪除搜尋結果。
在內容搜尋和電子檔探索 (Standard) 中,獲指派合規性搜尋角色但沒有預覽角色的使用者,可以預覽已由獲指派預覽角色的使用者起始的搜尋結果。 沒有 預覽 角色的使用者在建立初始預覽動作后,最多可以預覽兩周的結果。
同樣地,內容搜尋和電子檔探索中的使用者 (Standard) 獲指派合規性搜尋角色,但沒有匯出角色的使用者,可以下載匯出動作是由獲指派導出角色的使用者起始的搜尋結果。 沒有 匯 出角色的使用者可以在建立初始導出動作后最多兩周下載搜尋結果。 之後,除非具有導 出角色的 人員重新啟動導出,否則他們無法下載結果。
預覽和導出搜尋結果的兩周寬限期 (沒有對應的搜尋和導出角色) 不適用於 eDiscovery (Premium) 。 用戶必須獲指派 預覽 和 導 出角色,才能在電子檔探索 (進階) 中預覽和導出內容。
監管人
此角色可讓使用者識別及管理 eDiscovery (Premium) 案例的監管人,並使用來自 Microsoft Entra ID 和其他來源的資訊來尋找與監管人相關聯的數據源。 用戶可以在案例中建立其他數據源的關聯,例如信箱、SharePoint 網站和 Teams 與監管人。 使用者也可以對與監管人相關聯的數據源進行法務保存,以在案例內容中保留內容。
如需詳細資訊,請 參閱在 eDiscovery (Premium) 中與監管人合作 。
匯出
角色可讓使用者將內容搜尋的結果導出至本機計算機。 它也可讓他們準備搜尋結果,以便在 eDiscovery (Premium) 中進行分析。
如需匯出搜尋結果的詳細資訊,請參閱從 Microsoft Purview 合規性入口網站 匯出搜尋結果。
Hold
此角色可讓使用者在信箱、公用資料夾、網站、商務用 Skype 交談,以及Microsoft 365 群組中保留內容。 內容處於保留狀態時,內容的擁有者仍可修改或刪除原始內容,但這個內容會保留到保留狀態移除或保留期間到期為止。
如需保留的詳細資訊,請參閱:
管理檢閱集標籤
此角色可讓使用者建立、編輯和刪除可存取之案例的檢閱集標籤。 使用者至少需要有檢 閱 角色和此角色,才能 在檢閱期間管理標籤 。
預覽
此角色可讓用戶檢視從內容搜尋傳回的專案清單。 其也可開啟和檢視清單中的每個項目,以檢視其內容。
檢閱
此角色可讓使用者存取 eDiscovery (Premium) 中的檢 閱集。 獲指派此角色的使用者可以在合規性入口網站中屬於其成員的 電子檔探索 > 進 階頁面上查看並開啟案例清單。 在使用者存取 eDiscovery (Premium) 案例之後,他們可以選取 [ 檢閱集 ] 來存取案例數據。 此角色不允許使用者預覽與案例相關聯的集合搜尋結果,或執行其他搜尋或案例管理工作。 具有此角色的使用者只能存取檢閱集中的數據。
RMS 解密
此角色可讓使用者在預覽搜尋結果和匯出受版權保護的電子郵件訊息時,檢視受版權保護的電子郵件訊息。 此角色也可讓用戶檢視 (並導出) 在加密檔案附加至電子檔探索搜尋結果中所包含的電子郵件訊息時,使用 Microsoft加密技術 加密的檔案。 此外,此角色可讓使用者檢閱和查詢已新增到 eDiscovery (Premium) 中檢閱集的加密電子郵件附件。 如需電子檔探索中解密的詳細資訊,請參 閱 Microsoft 365 電子檔探索工具中的解密。
搜尋和清除
此角色可讓使用者執行大量移除符合內容搜尋準則的數據。 如需詳細資訊,請 參閱搜尋和刪除組織中的電子郵件訊息。
新增角色群組作為電子檔探索案例的成員
您可以將角色群組新增為電子檔探索 (Standard) 和電子檔探索 (進階) 案例的成員,讓角色群組的成員可以在指派的案例中存取和執行工作。 指派給角色群組的角色會定義角色群組的成員可以執行的動作。 然後,將角色群組新增為案例的成員,可讓成員在特定情況下存取和執行這些工作。 如需將角色群組新增為案例成員的詳細資訊,請參閱:
考慮到這項需求,請務必知道,如果角色群組中新增或移除角色,則該角色群組將會自動移除為角色群組所屬任何案例的成員。 這樣做的原因是要保護您的組織,避免不小心為案例成員提供額外的許可權。 同樣地,如果刪除角色群組,則會從其所屬的所有案例中移除該角色群組。
將角色新增至或移除可能是電子檔探索案例成員的角色群組之前,您可以在 安全性 & 合規性 PowerShell 中執行下列命令,以取得角色群組所屬案例的清單。 更新角色群組之後,您會將角色群組新增回為這些案例的成員。
取得指派角色群組 Standard) 案例的電子檔探索 (清單
Get-ComplianceCase -RoleGroup "Name of role group"
取得角色群組指派給進階) 案例 (電子檔探索清單
Get-ComplianceCase -RoleGroup "Name of role group" -CaseType AdvancedEdiscovery
其他相關資訊
為什麼要建立 eDiscovery 管理員? 如先前所述,電子檔探索系統管理員是 電子檔探索 管理員角色群組的成員,可檢視和存取組織中的所有電子檔探索案例。 此存取所有電子檔探索案例的能力有兩個重要用途:
- 如果身為電子檔探索案例唯一成員的人員離開您的組織,則沒有人 (包括 組織管理 角色群組的成員或 eDiscovery Manager 角色群組的另一個成員,) 可以存取該電子檔探索案例,因為他們不是案例的成員。 在此情況下,完全無法存取案例的資料。 但是,由於電子檔探索系統管理員可以存取組織中的所有電子檔探索案例,因此他們可以檢視案例,並將自己或其他電子檔探索管理員新增為案例的成員。
- 由於電子檔探索系統管理員可以檢視和存取所有電子檔探索 (Standard) 和電子檔探索 (進階) 案例,因此他們可以稽核和監督所有案例和相關聯的合規性搜尋。 這項功能有助於防止任何誤用合規性搜尋或電子檔探索案例。 此外,由於電子檔探索系統管理員可以在合規性搜尋的結果中存取潛在的敏感性資訊,因此您應該限制電子檔探索系統管理員的數目。
我可以將群組新增為電子檔探索管理員角色群組的成員嗎? 如先前所述,您可以使用安全性 & 合規性 PowerShell 中的 Add-RoleGroupMember Cmdlet,將啟用郵件的安全組新增為電子檔探索管理員角色群組中電子檔探索管理員子群組的成員。 例如,您可以執行下列命令,將擁有郵件功能的安全組新增至 電子檔探索管理員 角色群組。
Add-RoleGroupMember "eDiscoveryManager" -Member <name of security group>
不支援 Exchange 通訊群組和 Microsoft 365 群組。 您必須使用啟用郵件的安全組,您可以在 powerShell Exchange Online 中執行 來
New-DistributionGroup -Type Security
建立此安全組。 您也可以 (建立擁有郵件功能的安全組,並在 Exchange 系統管理中心或 Microsoft 365 系統管理中心 中新增 ) 的成員。 建立新擁有郵件功能的安全組最多可能需要 60 分鐘的時間,才能新增至電子檔探索管理員角色群組。此外,如先前所述,您無法在安全性 & 合規性 PowerShell 中使用 Add-eDiscoveryCaseAdmin Cmdlet,將啟用郵件的安全組設為電子檔探索系統管理員。 您只能將個別使用者新增為電子檔案探索系統管理員。
您也無法將啟用郵件的安全組新增為案例的成員。