Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте шесть групп ролей для настройки функций управления внутренними рисками. Чтобы сделать управление внутренними рисками доступным в качестве пункта меню в Microsoft Purview и продолжить выполнение следующих действий по настройке, вам необходимо назначить одну из следующих ролей или групп ролей:
- роль глобального администратора идентификатора Microsoft Entra
- Роль администратора соответствия требованиям Microsoft Entra идентификатора
- Группа ролей Управления организацией Microsoft Purview
- Группа ролей "Администратор соответствия требованиям Microsoft Purview"
- Группа ролей "Управление внутренними рисками"
- Группа ролей "Администраторы управления внутренними рисками"
В зависимости от того, как вы хотите управлять политиками и оповещениями управления внутренними рисками, назначьте пользователей определенным группам ролей для управления различными наборами функций управления внутренними рисками. Вы можете назначить пользователей с различными обязанностями по соответствию определенным группам ролей для управления разными областями функций управления внутренними рисками. Или вы можете назначить все учетные записи пользователей для назначенных администраторов, аналитиков, следователей и зрителей группе ролей Управление внутренними рисками . Используйте одну или несколько групп ролей, чтобы наилучшим образом соответствовать требованиям к управлению соответствием.
Важно!
После настройки групп ролей может потребоваться до 30 минут, чтобы разрешения группы ролей применялись к назначенным пользователям в вашей организации.
При работе с управлением внутренними рисками выберите один из следующих параметров группы ролей и действий решения:
| Действия | Управление внутренними рисками | Администраторы управления внутренними рисками | Аналитики по управлению внутренними рисками | Исследователи управления внутренними рисками | Аудиторы по управлению внутренними рисками | Утверждающие инсайдерские риски |
|---|---|---|---|---|---|---|
| Доступ & изучение оповещений | Да | Нет | Да | Да | Нет | Нет |
| Доступ к & расследованию случаев | Да | Нет | Да | Да | Нет | Нет |
| Доступ к & просмотр записей судебно-медицинских доказательств | Да | Нет | Нет | Да | Нет | Нет |
| Доступ & просмотр содержимого Обозреватель | Да | Нет | Нет | Да | Нет | Нет |
| Доступ к аналитике | Да | Да | Да | Нет | Нет | Нет |
| Утверждение запросов на сбор медицинских доказательств | Да | Нет | Нет | Нет | Нет | Да |
| Настройка адаптивной защиты | Да | Да | Нет | Нет | Нет | Нет |
| Настройка шаблонов уведомлений | Да | Нет | Да | Да | Нет | Нет |
| Настройка политик и параметров | Да | Да | Нет | Нет | Нет | Нет |
| Создание запроса на сбор судебно-медицинских доказательств | Да | Да | Нет | Нет | Нет | Нет |
| Просмотр журналов аудита & экспорта | Да | Нет | Нет | Нет | Да | Нет |
| Вкладка "Просмотр адаптивной защиты пользователей" | Да | Нет | Да | Да | Нет | Нет |
| Просмотр отчетов об оповещениях и обращениях | Да | Да | Да | Да | Нет | Нет |
| Просмотр графов рисков данных для оповещений | Да | Нет | Да | Да | Нет | Нет |
Важно!
Убедитесь, что во встроенных группах ролей "Управление внутренними рисками " или "Администраторы управления внутренними рисками " всегда есть хотя бы один пользователь (в зависимости от выбранного варианта), чтобы конфигурация управления внутренними рисками не попала в сценарий "нулевой администратор", если определенные пользователи покидают вашу организацию.
Члены следующих ролей могут назначать пользователей группам ролей Управление внутренними рисками и иметь те же разрешения решения, включенные в группу ролей Администраторы управления внутренними рисками :
- Глобальный администратор идентификатора Microsoft Entra
- Администратор соответствия идентификаторам Microsoft Entra
- Управление организацией Microsoft Purview
- Администратор соответствия требованиям Microsoft Purview
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Добавление пользователей в группу ролей Управление внутренними рисками
- Войдите на портал Microsoft Purview с учетной записью администратора в организации Microsoft 365.
- Выберите Параметры в правом верхнем углу страницы, выберите Роли и группы, а затем в области навигации слева выберите Группы ролей .
- Выберите группу ролей Управление внутренними рисками , а затем нажмите кнопку Изменить.
- Выберите Выбрать пользователей, а затем установите флажки для всех пользователей, которые вы хотите добавить в группу ролей.
- Нажмите кнопку Выбрать, а затем нажмите кнопку Далее.
- Нажмите кнопку Сохранить , чтобы добавить пользователей в группу ролей, а затем нажмите кнопку Готово.
Рассмотрите административные единицы, если вы хотите область разрешения пользователей в регионе или отделе
Административные единицы в управлении внутренними рисками можно использовать для область разрешений пользователей в определенном географическом регионе или отделе. Например, глобальная компания, у которой есть дочерние компании по всему миру, может захотеть создать подразделение администрирования, которое предоставляет немецкий область для исследователей, чтобы они могли видеть действия пользователей только для немецких пользователей.
Чтобы использовать единицы администрирования в управлении внутренними рисками, необходимо сначала создать подразделения администрирования , если они еще не созданы, а затем назначить их членам групп ролей. После назначения единиц администрирования участникам групп ролей эти участники становятся ограниченными администраторами и имеют ограниченный доступ к параметрам управления внутренними рисками, политикам и данным пользователей в организации. Участники, не являющиеся назначенными административными единицами, являются неограниченными администраторами и имеют доступ ко всем параметрам, политикам и данным пользователей.
Важно!
Администраторы с ограниченным доступом не могут получать доступ к оповещениям пользователей, назначенных им через группы безопасности или группы рассылки, добавленные в административные единицы. Такие оповещения пользователей видны только неограниченным администраторам. Корпорация Майкрософт рекомендует добавлять пользователей непосредственно в административные единицы, чтобы убедиться, что их оповещения также видны администраторам с ограниченными правами с назначенными административными единицами.
Влияние области администрирования на роли управления внутренними рисками
В следующей таблице показано, как при принудительном применении единицы администрирования влияют на каждое сочетание задачи и роли управления внутренними рисками.
Примечание.
Область действия в следующей таблице означает, что действия администратора для этой роли ограничены назначенной им единицей администрирования.
| Задача | Управление внутренними рисками на уровне | Администратор управления внутренними рисками | Аналитики по управлению внутренними рисками в пределах | Следователи по управлению внутренними рисками с ограниченной областью | Утверждающие инсайдерские риски с ограниченной областью |
|---|---|---|---|---|---|
| Доступ к аналитике | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено |
| Доступ и изучение оповещений | Области | Никогда не разрешено | Области | Области | Никогда не разрешено |
| Доступ к обращениям и расследование | Области | Никогда не разрешено | Области | Области | Никогда не разрешено |
| Доступ и просмотр записей судебно-медицинских доказательств | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено | Не разрешено, если область действия ограничена | Никогда не разрешено |
| Доступ и просмотр обозревателя содержимого | Без ограничений | Никогда не разрешено | Никогда не разрешено | Без ограничений | Никогда не разрешено |
| Утверждение запросов на сбор медицинских доказательств | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено | Не разрешено, если область действия ограничена |
| Назначение или переназначение оповещений | Не разрешено, если область действия ограничена | Никогда не разрешено | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено |
| Назначение или переназначение случаев | Не разрешено, если область действия ограничена | Никогда не разрешено | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено |
| Настройка адаптивной защиты | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено |
| Настройка глобальных параметров | Без ограничений | Без ограничений | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено |
| Настройка шаблонов уведомлений | Без ограничений | Никогда не разрешено | Без ограничений | Без ограничений | Никогда не разрешено |
| Настройка политик | Области | Области | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено |
| Настройка групп пользователей с приоритетом | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено |
| Настройка политик с учетом приоритета пользователей | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено |
| Создание запроса на сбор судебно-медицинских доказательств | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено |
| Создание быстрых политик | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено |
| Исследование активности пользователей | Области | Никогда не разрешено | Никогда не разрешено | Области | Никогда не разрешено |
| Запуск действий по оценке для пользователей | Области | Области | Области | Области | Никогда не разрешено |
| Вкладка "Просмотр адаптивной защиты пользователей" | Не разрешено, если область действия ограничена | Никогда не разрешено | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено |
| Просмотр отчетов об оповещениях и обращениях | Области | Области | Области | Области | Области |
| Просмотр графов рисков данных для оповещений | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
| Просмотр отчета о работоспособности устройства | Не разрешено, если область действия ограничена | Не разрешено, если область действия ограничена | Никогда не разрешено | Никогда не разрешено | Никогда не разрешено |
Примечание.
Адаптивные области можно использовать вместе с единицами администрирования. Если одна или несколько единиц администрирования область группами ролей для вашей организации, они ограничивают адаптивные области, которые можно выбрать при создании или изменении политики.