Поделиться через

Административные единицы

  • Статья

Административные единицы в Microsoft Entra ID позволяют ограничить административные разрешения определенными частями вашей Microsoft Entra организации. Вы создаете, удаляете и редактируете административные единицы в Microsoft Entra. В Microsoft Entra вы управляете пользователями или группами, которые являются членами административной единицы. Эта функция позволяет разделить организацию на более мелкие подразделения и назначить определенных администраторов для управления только участниками в этих подразделениях. Группы ролей Microsoft Purview позволяют назначать администраторов определенным административным единицам. Решения Microsoft Purview, поддерживающие административную единицу, затем ограничат разрешения на видимость и управление для членов подразделения.

Например, административные единицы можно использовать для делегирования разрешений администраторам для каждого географического региона в крупной многонациональной организации или для группирования доступа администраторов по отделам в вашей организации. Вы можете создавать политики, относящиеся к региону или отделу, или просматривать действия пользователей в результате этих политик и назначения административной единицы. Административные единицы также можно использовать в качестве начального область для политики, где выбор пользователей, имеющих право на использование политики, зависит от членства в административных единицах.

Если вы используете адаптивные области для политик соответствия требованиям, см. статью Как адаптивные области работают с Microsoft Entra административными единицами.

Поддержка административных единиц в Microsoft Purview

Следующие решения соответствия требованиям Microsoft Purview поддерживают административные единицы:

Решение Поддержка конфигурации
Управление жизненным циклом данных Группы ролей, политики хранения и политики меток хранения
Data Loss Prevention (DLP) Группы ролей и политики защиты от потери данных
Соответствие требованиям к обмену данными Группы ролей и политики
Управление внутренними рисками Группы ролей и политики
Управление записями Группы ролей, политики хранения, политики меток хранения и адаптивные области
Метки конфиденциальности Группы ролей, политики меток конфиденциальности и политики автоматической маркировки

Конфигурация для административных единиц автоматически переходит к следующим функциям:

Примечание.

Защита от потери данных Microsoft Purview и управление внутренними рисками, всплывая оповещение в Microsoft Defender XDR. Microsoft Defender XDR поддерживает до 100 административных единиц.

Разрешения для административных единиц

Чтобы назначить члена группы ролей административной единице, администраторам должна быть назначена роль управления ролями . Дополнительные сведения о группах ролей и ролях Microsoft Purview см. в статье Группы ролей в Microsoft Purview.

Члены группы ролей можно назначать административным единицам в следующих встроенных группах ролей:

  • Соответствие требованиям к обмену данными
  • Администраторы соответствия требованиям к обмену данными
  • Аналитики соответствия требованиям к коммуникациям
  • Следователя по соответствию коммуникациям
  • Администратор соответствия требованиям
  • Администраторы данных соответствия требованиям
  • Глобальный читатель
  • Защита информации
  • Администраторы Information Protection
  • Аналитик Information Protection
  • Исследователи Information Protection
  • Читатели Information Protection
  • Управление внутренними рисками
  • Администраторы управления внутренними рисками
  • Аналитики по управлению внутренними рисками
  • Исследователи управления внутренними рисками
  • Утверждающие сеансы управления внутренними рисками
  • Утверждающие инсайдерские риски
  • Управление организацией
  • Управление записями
  • Администратор безопасности
  • Оператор безопасности
  • Читатель сведений о безопасности

При назначении групп ролей можно выбрать отдельных участников или группы, а затем выбрать параметр Назначить единицы администрирования, чтобы выбрать административные единицы, определенные в Microsoft Entra ID:

Параметр

Важно!

Назначение единиц администрирования всегда доступно при создании настраиваемых групп ролей. Можно назначить административные единицы для любой настраиваемой группы ролей.

Эти администраторы, называемые администраторами с ограниченным доступом, теперь могут выбрать одну или несколько назначенных административных единиц для автоматического определения начального область политик, которые они создают или редактируют. Только если администраторам не назначены административные единицы (неограниченные администраторы), они смогут назначать политики всему каталогу без необходимости выбирать отдельные административные единицы.

Важно!

После назначения административных единиц членам групп ролей эти ограниченные администраторы не смогут просматривать и изменять существующие политики. Однако эти политики не изменяются, и они остаются видимыми и могут быть изменены неограниченными администраторами.

Администраторы с ограниченным доступом также не могут просматривать исторические данные с помощью функций, поддерживающих административные единицы, таких как обозреватель действий и оповещения. Они остаются видимыми для неограниченных администраторов. В дальнейшем ограниченные администраторы могут просматривать эти связанные данные только для назначенных административных единиц.

Предварительные требования для административных единиц

Перед настройкой административных единиц для решений соответствия требованиям Microsoft Purview убедитесь, что ваша организация и пользователи соответствуют следующим требованиям к подписке и лицензированию:

  • лицензирование Microsoft Entra ID P1 или P2

  • Лицензирование Microsoft Purview:

    • Microsoft 365 E5/A5/G5
    • соответствие требованиям Microsoft 365 E5/A5/G5/F5 или F5 & безопасности F5
    • управление Microsoft 365 E5/A5/G5/F5 Information Protection &
    • управление внутренними рисками Microsoft 365 E5/A5/F5

Настройка и использование административных единиц

Выполните следующие действия, чтобы настроить и использовать административные единицы в решениях соответствия требованиям Microsoft Purview.

  1. Создание административных единиц для ограничения область разрешений ролей в Microsoft Entra ID.

  2. Добавление пользователей и групп рассылки в административные единицы.

    Важно!

    Члены динамических групп рассылки не становятся автоматически членами административной единицы.

  3. При создании географических регионов или административных единиц на основе отделов настройте административные единицы с правилами динамического членства.

    Примечание.

    Нельзя добавлять группы в административную единицу, которая использует правила динамического членства. При необходимости создайте две административные единицы: одну для пользователей, а другую — для групп.

  4. Используйте любую из групп ролей из решений соответствия требованиям Microsoft Purview, поддерживающих административные единицы, для назначения административных единиц участникам.

Теперь, когда администраторы с ограниченным доступом создают или редактируют политики, поддерживающие административные единицы, они могут выбрать административные единицы, чтобы только пользователи в этих административных единицах могли иметь право на использование политики:

  • Неограниченным администраторам не нужно выбирать административные единицы в рамках конфигурации политики. Они могут сохранить значение по умолчанию для всего каталога или выбрать одну или несколько административных единиц.
  • Администраторы с ограниченным доступом теперь должны выбрать одну или несколько административных единиц в рамках конфигурации политики.

Далее в конфигурации политики администраторы, которые выбрали административные единицы, должны включать или исключать (при поддержке) отдельных пользователей и групп из административных единиц, выбранных ранее для политики.

Сведения об административных единицах, характерных для каждого поддерживаемого решения, см. в следующих разделах:

Поддержка административных единиц для сайтов SharePoint (предварительная версия)

Microsoft Purview теперь поддерживает добавление сайтов SharePoint в административные единицы. Это позволяет настраивать видимость и управление администраторами Microsoft Purview на портале Microsoft Purview. Эта поддержка доступна только для политик автоматической маркировки Microsoft Information Protection и политик защиты от потери данных Майкрософт, поддерживающих приложения на сайтах SharePoint.

Примечание.

Вы продолжите управлять созданием, удалением и Microsoft Entra членством в ресурсах административной единицы из Microsoft Entra ID. Любая созданная административная единица отображается в списке для Microsoft Purview.

Полное заполнение запроса может занять до пяти дней, изменения не являются немедленным. Дождитесь полного заполнения этого запроса, прежде чем связать политику с административной единицей.

Настройка административных единиц для сайтов SharePoint

Выполните следующие действия, чтобы настроить и использовать административные единицы. Эти действия помогут вам создать административную единицу, связать ресурсы с этой административной единицей и назначить членам группы ролей соответствия Требованиям Microsoft Purview административным единицам. После создания административных единиц выполните следующие действия, чтобы связать сайты SharePoint с административной единицей.

Пользователи Microsoft Purview, имеющие право на эту функцию, теперь могут получить доступ к административным единицам в разделе Роли и области в параметрах портала Microsoft Purview. В разделе Административные единицы выберите административную единицу и измените ее, чтобы связать сайты SharePoint с административной единицей.

Чтобы выполнить следующие действия по настройке сайтов SharePoint в административных единицах для использования в Microsoft Purview, необходимо назначить роль диспетчера расширений единиц администрирования . Эта роль назначается администратором с правами управления ролями в Microsoft Purview с помощью встроенной группы ролей с этой ролью или пользовательской группы ролей.

  1. Перейдите на портал Microsoft Purview.
  2. Выберите se.ttings и выберите Роли и области.
  3. Выберите Административные единицы.
  4. Выберите существующую административную единицу в списке
  5. Нажмите Изменить.
  6. Создайте запрос для связывания сайтов SharePoint с административной единицей.
  7. Используйте любую из групп ролей из решений соответствия требованиям Microsoft Purview, поддерживающих административные единицы, для назначения административных единиц участникам.

Запросы для связывания сайтов SharePoint с административными единицами поддерживают свойства сайта для URL-адреса сайта, имени сайта и RefinableString00-RefinableString99. Эти запросы применяются как к сайтам SharePoint, так и к учетным записям OneDrive, за исключением сайтов SharePoint с общим каналом. Имена свойств сайтов основаны на управляемых свойствах сайта SharePoint. Дополнительные сведения о связывании настраиваемых свойств с управляемыми свойствами (RefinableString00-RefinableString99) см. в статье Использование настраиваемых свойств сайта SharePoint для применения хранения Microsoft 365 с адаптивными областями политики.

Проверка запроса

Чтобы протестировать запрос с помощью поиска SharePoint, выполните следующие действия.

  1. Используя учетную запись с ролью администратора SharePoint, перейдите на страницу https://<your_tenant>.sharepoint.com/search.
  2. Используйте панель поиска, чтобы ввести запрос, показанный в сводке запроса для сайтов SharePoint в административной единице.
  3. Убедитесь, что результаты поиска соответствуют ожидаемым URL-адресам сайта для административной единицы. Если они не соответствуют ожидаемым URL-адресам, проверьте запрос и URL-адреса у соответствующего администратора SharePoint.

Теперь, когда администраторы с ограниченным доступом создают или редактируют политики, поддерживающие административные единицы, они могут выбирать административные единицы таким образом, чтобы только сайты, пользователи или группы SharePoint в этих административных единицах могли иметь право на использование этой политики:

  • Неограниченным администраторам не нужно выбирать административные единицы в рамках конфигурации политики. Они могут сохранить значение по умолчанию для всего каталога или выбрать одну или несколько административных единиц.
  • Администраторы с ограниченным доступом теперь должны выбрать одну или несколько административных единиц в рамках конфигурации политики.

Администраторы, выбирая административные единицы, не могут включать или исключать отдельные сайты SharePoint. Сайты SharePoint поддерживают приложения для всех сайтов, связанных с административной единицей.

Важно!

Вы можете изменить запрос SharePoint для административной единицы, чтобы не было членства на сайте, если вы хотите удалить связанные сайты из административной единицы. Вы можете сделать запрос результатом отсутствия сайтов для отмены членства на сайте.

Просмотр сведений о членстве на сайте SharePoint административной единицы в Purview

После создания запроса SharePoint для административной единицы в Microsoft Purview можно просмотреть членов сайта административной единицы. Членство пользователей и групп в административной единице отображается только на портале Microsoft Entra ID.

Выполните следующие действия, чтобы получить доступ к странице сведений об участнике, чтобы просмотреть элементы сайта SharePoint административной единицы в Microsoft Purview:

  1. Перейдите на портал Microsoft Purview по адресу purview.microsoft.com
  2. Выберите параметры и выберите Роли и области.
  3. Выбор административных единиц
  4. Выберите существующую административную единицу в списке.
  5. Выбор сведений об участнике
  6. Отобразится список участников сайта SharePoint.
  7. В столбце Состояние в списке отображается значение Добавлено для сайтов, добавленных в административную единицу, или Удалено , если сайт ранее был в административной единице, но удаляется после того, как он больше не соответствует запросу SharePoint.
  8. Используйте функцию Экспорт , чтобы скачать список отображаемых сайтов в CSV-файл.

Примечание.

Обновление добавленных или удаленных сайтов в списке сведений о участниках может занять до 5 дней.

Сведения об административных единицах и сайте SharePoint (предварительная версия) в решениях Microsoft Purview см. в следующих разделах: