Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Портал Microsoft Purview поддерживает непосредственное управление разрешениями для пользователей, выполняющих задачи в Microsoft Purview. С помощью области Роли и области в разделе Параметры портала можно управлять разрешениями для пользователей в решениях по обеспечению безопасности данных, управлению данными, а также в решениях для управления рисками и соответствием требованиям. Пользователи могут выполнять только определенные задачи, к которым им явно предоставляется доступ.
Чтобы просмотреть группы ролей в области Роли и области на портале Microsoft Purview, пользователям необходимо быть глобальным администратором или назначить роль "Управление ролями " (роль назначается только группе ролей "Управление организацией "). Роль "Управление ролями" позволяет пользователям просматривать, создавать и изменять группы ролей.
Использование ролей с наименьшими разрешениями
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. При планировании стратегии управления доступом рекомендуется управлять доступом с минимальными привилегиями для пользователей. Минимальные привилегии означает, что вы предоставляете администраторам именно те разрешения, которые им необходимы для выполнения своей работы.
Разрешения Microsoft Purview
На портале Microsoft Purview используется модель разрешений управления доступом на основе ролей (RBAC). Большинство служб Microsoft 365 используют RBAC, поэтому, если вы знакомы со структурой разрешений в этих службах, предоставление разрешений на портале Microsoft Purview аналогично. Разрешения, которыми вы управляете на портале Microsoft Purview, не охватывают управление всеми разрешениями, необходимыми для каждой отдельной службы. Вам по-прежнему необходимо управлять определенными разрешениями для конкретной службы в Центре администрирования для конкретной службы. Например, если вам нужно назначить разрешения на архивацию, аудит и политики хранения MRM, необходимо управлять этими разрешениями в Центре администрирования Exchange.
Конкретные рекомендации по разрешениям решения Microsoft Purview см. в следующих статьях:
- Адаптивная защита — управление внутренними рисками
- Административные единицы
- Аудит
- Политики сбора
- Соответствие требованиям к обмену данными
- Диспетчер соответствия требованиям
- Классификация данных — Обозреватель действий
- Классификация данных — Обозреватель содержимого
- Классификация данных — Data Explorer
- Управление данными — Единый каталог
- Передача данных — классическая Каталог данных
- Управление жизненным циклом данных
- Защита от потери данных
- Исследования по безопасности данных
- Управление состоянием безопасности данных
- Управление состоянием безопасности данных для ИИ
- Подключение устройства
- Обнаружение электронных данных
- Информационные барьеры
- Управление внутренними рисками
- Управление привилегированным доступом
- Управление записями
- Агент рассмотрения в защите от потери данных)
- Агент рассмотрения в управлении внутренними рисками
- Security Copilot для Purview
- Типы конфиденциальной информации — настраиваемые
- Типы конфиденциальной информации — точное соответствие данных
- Метки конфиденциальности
Чтобы просмотреть все группы ролей по умолчанию, доступные на портале Microsoft Purview, и роли, назначенные группам ролей по умолчанию, см. в статье Роли и группы ролей на порталах Microsoft Defender XDR и Microsoft Purview.
Управление разрешениями на портале Microsoft Purview предоставляет пользователям доступ только к функциям соответствия требованиям и управления, доступным на портале Microsoft Purview. Чтобы предоставить разрешения другим функциям, которые отсутствуют на портале Microsoft Purview, таким как правила потока обработки почты Exchange (также известные как правила транспорта), используйте Центр администрирования Exchange.
Текущие роли управления и группы ролей охватывают только широкий доступ к Схема данных Microsoft Purview и Единый каталог. Для большего доступа система управления Microsoft Purview использует сочетание групп ролей, доступа к данным и разрешений для конкретного решения.
Связи между участниками, ролями и группами ролей
Роль предоставляет разрешения на выполнение набора задач. Например, роль "Управление делами " позволяет пользователям работать с случаями обнаружения электронных данных.
Группа ролей — это набор ролей, которые позволяют пользователям выполнять свою работу в решениях по обеспечению соответствия требованиям и управлению на портале Microsoft Purview. Например, добавляя пользователей в группу ролей Управление внутренними рисками , назначенные администраторы, аналитики, следователи и аудиторы получают необходимые разрешения на управление внутренними рисками в одной группе. Портал Microsoft Purview включает группы ролей по умолчанию для задач и функций для каждого решения по обеспечению соответствия требованиям и управления, которым необходимо назначить людей. Как правило, при необходимости добавьте отдельных пользователей в качестве участников в группы ролей по умолчанию.
Azure роли на портале Microsoft Purview
Роли, которые отображаются в разделе Microsoft Entra ID области Роли и области, являются Microsoft Entra ролями, и глобальные администраторы могут просмотреть этот раздел. Эти роли соответствуют функциям работы в ИТ-группе вашей организации, что упрощает предоставление пользователю всех разрешений, необходимых для выполнения своей работы. Вы можете просмотреть пользователей, назначенных каждой роли, выбрав роль администратора и просмотрев сведения о панели ролей. Чтобы управлять членами Microsoft Entra роли, выберите Управление участниками в Microsoft Entra ID. Этот вариант перенаправляет вас на портал управления Azure.
| Role | Описание |
|---|---|
| Автор полезных данных атаки | Создавайте полезные данные атаки, но не запускайте и не планируйте их. Дополнительные сведения см. в разделе Автор полезных данных атаки. |
| Администратор симуляции атаки | Создавайте и управляйте всеми аспектами создания симуляции атаки, запуском и планированием симуляции, а также просмотром результатов симуляции. Дополнительные сведения см. в разделе Администраторы симуляции атаки. |
| Администратор соответствия требованиям | Помощь вашей организации в соблюдении любых нормативных требований, управление делами обнаружения электронных данных и ведение политик управления данными в расположениях, удостоверениях и приложениях Microsoft 365. Дополнительные сведения см. в разделе Администратор соответствия требованиям. |
| Администратор данных соответствия требованиям | Отслеживание данных вашей организации в службах Microsoft 365, обеспечение их защиты и получение аналитики о любых проблемах для уменьшения рисков. Дополнительные сведения см. в разделе Администратор данных соответствия требованиям. |
| Глобальный администратор | Доступ ко всем возможностям администрирования во всех службах Microsoft 365. Только глобальные администраторы могут назначать другие административные роли. Дополнительные сведения см. в разделе Глобальный администратор / администратор компании. |
| Глобальный читатель | Вариант роли Глобального администратора с правами только чтения. Просмотр всех параметров и административной информации во всех продуктах Microsoft 365. Дополнительные сведения см. в разделе Глобальный читатель. |
| Администратор безопасности | Контроль общей безопасности вашей организации посредством управления политиками безопасности, просмотра аналитики и отчетов о безопасности в различных продуктах Microsoft 365, а также получения последних данных о текущем ландшафте угроз. Дополнительные сведения см. в разделе Администратор безопасности. |
| Оператор безопасности | Просмотр и изучение активных угроз безопасности пользователей Microsoft 365, устройств, работающих с этой службой, и хранящегося в ней содержимого, а также реагирование на эти угрозы. Дополнительные сведения см. в разделе Оператор безопасности. |
| Читатель сведений о безопасности | Просматривайте и изучайте активные угрозы для пользователей, устройств и содержимого Microsoft 365, но (в отличие от оператора безопасности) у них нет разрешений на реагирование, принимая меры. Дополнительные сведения см. в разделе Читатель сведений о безопасности. |
Добавление пользователей или групп во встроенную группу ролей Microsoft Purview
Чтобы добавить пользователей или группы в группу ролей Microsoft Purview, выполните следующие действия.
Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
Выберите Группы ролей.
В разделе Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, в которую нужно добавить пользователей. Выберите Изменить на панели управления.
В разделе Изменение членов группы ролей выберите Выбрать пользователей или Выбрать группы.
Важно!
Группы безопасности поддерживаются только в коммерческих облачных организациях Microsoft 365.
Установите флажок для всех пользователей или групп, которые вы хотите добавить в группу ролей.
Выберите Выбрать.
Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 10.
Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.
В разделе Назначение единиц администрирования установите флажок для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.
Выберите Далее и Сохранить , чтобы добавить пользователей или группы в группу ролей. Нажмите кнопку Готово , чтобы выполнить действия.
Удаление пользователей или групп из встроенной группы ролей Microsoft Purview
Выполните следующие действия, чтобы удалить пользователей или группы из группы ролей Microsoft Purview.
- Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
- Выберите Группы ролей.
- В разделе Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, из которой вы хотите удалить пользователей или группы, а затем выберите Изменить на панели управления.
- В разделе Изменение членов группы ролей выберите поле проверка для всех пользователей или групп, которые нужно удалить из группы ролей.
- Выберите Удалить участников, а затем нажмите кнопку Далее.
- Нажмите кнопку Сохранить , чтобы удалить пользователей или группы из группы ролей. Нажмите кнопку Готово , чтобы выполнить действия.
Создание настраиваемой группы ролей Microsoft Purview
Выполните следующие действия, чтобы создать пользовательскую группу ролей Microsoft Purview.
Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
Выберите Группы ролей.
В разделе Группы ролей для решений Microsoft Purview выберите Создать группу ролей.
В поле Имя группы ролей введите имя настраиваемой группы ролей в поле Имя . Вы не сможете изменить имя группы ролей после ее создания. При необходимости введите описание настраиваемой группы ролей в поле Описание . Нажмите кнопку Далее, чтобы продолжить.
В разделе Добавление ролей в группу ролей выберите Выбрать роли.
Установите флажки для ролей, которые нужно добавить в настраиваемую группу ролей. Выберите Выбрать.
Нажмите кнопку Далее, чтобы продолжить.
В разделе Добавление участников в группу ролей выберите Выбрать пользователей (или Выбрать группы , если применимо).
Важно!
Группы безопасности поддерживаются только в коммерческих облачных организациях Microsoft 365.
Установите флажки для пользователей (или групп), которые нужно добавить в настраиваемую группу ролей. Выберите Выбрать.
Нажмите кнопку Далее, чтобы продолжить.
Если выбранные пользователи или группы нуждаются в доступе на уровне организации в рамках этого назначения группы ролей, перейдите к шагу 14.
Если выбранные пользователи или группы должны быть назначены административным единицам, выберите пользователей или группы и выберите Назначить единицы администрирования.
В разделе Назначение единиц администрирования установите флажок для всех административных единиц, которые вы хотите назначить пользователям или группам. Выберите Выбрать.
Нажмите кнопку Далее.
В разделе Просмотр группы ролей и завершение просмотрите сведения о настраиваемой группе ролей. Если необходимо изменить сведения, выберите Изменить в соответствующем разделе. Если все параметры заданы правильно, нажмите кнопку Создать , чтобы создать настраиваемую группу ролей, или кнопку Отмена , чтобы отменить изменения и не создавать настраиваемую группу ролей.
Обновление настраиваемой группы ролей Microsoft Purview
Выполните следующие действия, чтобы обновить настраиваемую группу ролей Microsoft Purview.
- Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
- Выберите Группы ролей.
- В разделе Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, которую вы хотите обновить, а затем выберите Изменить на панели управления.
- В разделе Имя группы ролей обновите описание настраиваемой группы ролей в поле Описание . Имя настраиваемой группы ролей изменить нельзя. Нажмите кнопку Далее.
- В разделе Изменение ролей группы ролей выберите Выбрать роли для добавления ролей, чтобы обновить роли, назначенные группе ролей. Вы также можете выбрать любую из назначенных ролей и выбрать Удалить роли , чтобы удалить роли из группы ролей. После обновления ролей нажмите кнопку Далее.
- В разделе Изменение членов группы ролей выберите Выбрать пользователей или Выбрать группы , чтобы добавить пользователей или группы, назначенные группе ролей. Чтобы обновить административные единицы для пользователей или групп, выберите любого из назначенных пользователей или групп и выберите Назначить единицы администрирования. Вы также можете выбрать любого из назначенных пользователей и групп и выбрать Удалить участников , чтобы удалить пользователей или группы из группы ролей. После обновления участников нажмите кнопку Далее.
- В разделе Просмотр группы ролей и завершение просмотрите сведения о настраиваемой группе ролей. Если необходимо изменить сведения, выберите Изменить в соответствующем разделе. Если все параметры заданы правильно, нажмите кнопку Сохранить , чтобы обновить настраиваемую группу ролей, или нажмите кнопку Отмена , чтобы отменить изменения и не обновлять настраиваемую группу ролей.
Удаление настраиваемой группы ролей Microsoft Purview
Выполните следующие действия, чтобы удалить пользовательскую группу ролей Microsoft Purview.
- Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора, назначенной роли управления ролями . Перейдите в раздел Параметры>Роли и области для просмотра ролей соответствия требованиям и управления в организации и управления ими.
- Выберите Группы ролей.
- В разделе Группы ролей для решений Microsoft Purview выберите группу ролей Microsoft Purview, которую требуется удалить, а затем выберите Удалить на панели управления.
- На странице Удалить группу ролей выберите Удалить , чтобы удалить группу ролей, или нажмите кнопку Отмена , чтобы отменить процесс удаления.