管理單位
管理單位可讓您將組織細分為較小的單位,並指派只能管理這些單位成員的特定系統管理員。 Microsoft Purview 角色群組可讓您將系統管理員指派給特定的管理單位。 Microsoft支援管理單位的 Purview 解決方案,接著會將可見度和管理許可權限制為該單位的成員。
例如,您可以使用管理單位,將許可權委派給大型多國家/地區組織中每個地理區域的系統管理員,或由組織內的部門將系統管理員存取權分組。 您可以建立區域或部門特定的原則,或檢視因這些原則和管理單位指派而產生的用戶活動。 您也可以使用管理單位作為原則的初始範圍,其中符合原則資格的使用者選擇取決於管理單位的成員資格。
如果您針對合規性政策使用調適型範圍,請參閱調適型範圍如何與 Microsoft Entra 管理單位搭配使用。
Microsoft Purview 中的管理單位支援
下列Microsoft Purview 合規性解決方案支援管理單位:
解決方案 | 組態支援 |
---|---|
資料生命週期管理 | 角色群組、保留原則和保留標籤原則 |
Data Loss Prevention (DLP) | 角色群組和 DLP 原則 |
通訊合規性 | 角色群組 和 原則 |
內部風險管理 | 角色群組 和 原則 |
記錄管理 | 角色群組、保留原則、保留標籤原則和 調適型範圍 |
敏感度標籤 | 角色群組、敏感度標籤原則和自動套用標籤原則 |
管理單位設定會自動流向下列功能:
- 警示:只有指派的管理單位中的使用者才能看見 DLP 警示
- 活動總管:活動事件只能從指派的管理單位中的使用者看到
-
調適型範圍:
- 受限制的系統管理員只能為系統管理員指派的管理單位中的用戶選取、建立、編輯及檢視調適型範圍
- 當受限制的系統管理員設定使用調適型範圍的原則時,該系統管理員只能選取指派給其管理單位的調適型範圍
- 稽核記錄搜尋存取
- 通訊合規性:
- 原則查閱和設定:受限制的系統管理員只能為指派給其管理單位的使用者建立或管理原則。
- 警示和原則相符專案:受限制的系統管理員 只能調查其指派管理單位內用戶的用戶活動。
- 資料生命週期管理和記錄管理:
- 測試人員風險管理:
- 原則查閱和設定:受限制的系統管理員只能為指派給其管理單位的使用者建立或管理原則。
- 用戶活動:受限制的系統管理員可以 啟動評分活動 ,或 僅調查其指派管理單位內用戶的用戶活動。
- 警示和案例:受限制的系統管理員 只能檢視和調查 其指派管理單位內使用者的警示和 案例 。
注意事項
Microsoft Defender 全面偵測回應 最多支援100個管理單位。
若要將角色群組成員指派給管理單位,系統管理員必須獲指派 角色管理 角色。 若要深入瞭解 Microsoft Purview 角色群組和角色,請參閱 Purview 中的角色群組Microsoft。
您可以將角色群組成員指派給下列內建角色群組內的管理單位:
- 通訊合規性
- 通訊合規性系統管理員
- 通訊合規性分析師
- 通訊合規性調查人員
- 合規性系統管理員
- 合規性數據管理員
- 全域讀取者
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
- 測試人員風險管理
- 測試人員風險管理管理員
- 測試人員風險管理分析員
- 測試人員風險管理調查員
- 測試人員風險管理會話核准者
- 測試人員風險管理核准者
- 組織管理
- 記錄管理
- 安全性系統管理員
- 安全性操作員
- 安全性讀取者
當您指派角色群組時,您可以選取個別成員或群組,然後選取 [指派系統管理單位] 選項,以選取已在 Microsoft Entra ID 中定義的管理單位:
重要事項
當您建立自定義角色群組時,一律可以使用指派系統管理員單位。 您可以為任何自定義角色群組指派管理單位。
這些稱為受限制系統管理員的系統管理員,現在可以選取一或多個指派的管理單位,自動定義他們建立或編輯的原則初始範圍。 只有當系統管理員沒有將管理單位指派 (不受限制的系統管理員) 時,他們才能將原則指派給整個目錄,而不需要選取個別的管理單位。
重要事項
將管理單位指派給角色群組的成員之後,這些受限制的系統管理員將無法再查看和編輯現有的原則。 不過,這些原則沒有操作上的變更,而且會保持可見,而且可以由不受限制的系統管理員編輯。
受限制的系統管理員也無法再使用支援管理單位的功能來查看歷程記錄數據,例如活動總管和警示。 不受限制的系統管理員仍可看見它們。 接下來,受限制的系統管理員只能查看其指派之管理單位的這項相關數據。
注意事項
除了能夠設定和檢視警示之外,具有 資訊保護 分析師和 資訊保護 背景工作角色的使用者也可以使用 Search-UnifiedAuditLog Cmdlet 來搜尋稽核記錄。
管理單位的必要條件
設定 Microsoft Purview 合規性解決方案的管理單位之前,請確定您的組織和使用者符合下列訂用帳戶和授權需求:
Microsoft Purview 授權:
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5/F5 合規性或 F5 安全性 & 合規性
- Microsoft 365 E5/A5/G5/F5 資訊保護 & 控管
- Microsoft 365 E5/A5/F5 測試人員風險管理
設定和使用管理單位
完成下列步驟,以設定及使用具有 Microsoft Purview 合規性解決方案的管理單位:
建立管理單位以限制 Microsoft Entra ID 中的角色許可權範圍。
將使用者和通訊群組新 增至管理單位。
重要事項
動態散發 群組 的成員不會自動成為管理單位的成員。
如果建立地理區域或以部門為基礎的管理單位,請使用 動態成員資格規則來設定管理單位。
注意事項
您無法將群組新增至使用動態成員資格規則的管理單位。 如有需要,請建立兩個管理單位,一個用於使用者,另一個用於群組。
使用支援管理單位的 Microsoft Purview 合規性解決方案中的任何角色群組,將管理單位指派給成員。
現在,當這些受限制的系統管理員建立或編輯支援管理單位的原則時,他們可以選取管理單位,讓只有這些管理單位中的使用者才符合原則的資格:
- 不受限制的系統管理員 不需要選取管理單位作為原則設定的一部分。 他們可以保留整個目錄的預設值,或選取一或多個管理單位。
- 受限制的系統管理員 現在必須選取一或多個管理單位作為原則設定的一部分。
在原則設定中,如果支援) 先前為原則選取的管理單位中的個別使用者和群組,則選取管理單位的系統管理員必須包含或排除 (。
如需每個支援解決方案特定之管理單位的相關信息,請參閱下列各節:
- 稽核: 使用管理單位界定稽核記錄的存取範圍
- 通訊合規性: 如果您想要將用戶權力限定在區域或部門,請考慮管理單位
- 數據生命週期管理: 支援管理單位
- 針對 DLP: 管理單位限制原則
- 針對內部風險管理: 如果您想要將用戶權力限定在區域或部門,請考慮管理單位
- 記錄管理: 支援管理單位
- 針對敏感度標籤: 支援管理單位