Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Administrative Einheiten in Microsoft Entra ID ermöglichen es Ihnen, Administratorberechtigungen auf bestimmte Teile Ihrer Microsoft Entra organization einzuschränken. Sie können Verwaltungseinheiten in Microsoft Entra erstellen, löschen und bearbeiten. In Microsoft Entra verwalten Sie die Benutzer oder Gruppen, die Mitglieder der Verwaltungseinheit sind. Mit diesem Feature können Sie Ihre organization in kleinere Einheiten unterteilen und bestimmte Administratoren zuweisen, um nur die Mitglieder innerhalb dieser Einheiten zu verwalten. Mit Microsoft Purview-Rollengruppen können Sie Administratoren bestimmten Verwaltungseinheiten zuweisen. Microsoft Purview-Lösungen, die Verwaltungseinheiten unterstützen, schränken die Sichtbarkeits- und Verwaltungsberechtigungen auf die Mitglieder der Einheit ein.
Sie können beispielsweise Verwaltungseinheiten verwenden, um Berechtigungen an Administratoren für jede geografische Region in einem großen multinationalen organization zu delegieren oder um den Administratorzugriff nach Abteilung innerhalb Ihres organization zu gruppieren. Sie können regions- oder abteilungsspezifische Richtlinien erstellen oder Benutzeraktivitäten als Ergebnis dieser Richtlinien und der Zuweisung von Verwaltungseinheiten anzeigen. Sie können auch Verwaltungseinheiten als anfänglichen Bereich für eine Richtlinie verwenden, wobei die Auswahl von Benutzern, die für die Richtlinie berechtigt sind, von der Mitgliedschaft in Verwaltungseinheiten abhängt.
Wenn Sie adaptive Bereiche für Konformitätsrichtlinien verwenden, finden Sie weitere Informationen unter Funktionsweise adaptiver Bereiche mit Microsoft Entra Verwaltungseinheiten.
Unterstützung von Verwaltungseinheiten in Microsoft Purview
Die folgenden Microsoft Purview-Compliancelösungen unterstützen Verwaltungseinheiten:
Die Konfiguration für Verwaltungseinheiten wird automatisch auf die folgenden Features heruntergefahren:
-
Warnungen:
- DLP-Warnungen sind nur für Benutzer in zugewiesenen Verwaltungseinheiten sichtbar.
-
Aktivitäts-Explorer:
- Aktivitätsereignisse sind nur für Benutzer in zugewiesenen Verwaltungseinheiten sichtbar.
-
Adaptive Bereiche:
- Eingeschränkte Administratoren können adaptive Bereiche nur für Benutzer in den zugewiesenen Verwaltungseinheiten dieser Administratoren auswählen, erstellen, bearbeiten und anzeigen.
- Wenn ein eingeschränkter Administrator eine Richtlinie konfiguriert, die adaptive Bereiche verwendet, kann der Administrator nur adaptive Bereiche auswählen, die seinen Verwaltungseinheiten zugewiesen sind.
- Überwachungsprotokoll:
-
Kommunikationscompliance:
- Richtliniensuche und -konfiguration: Eingeschränkte Administratoren können Richtlinien nur für Benutzer erstellen oder verwalten, die ihren Verwaltungseinheiten zugewiesen sind.
- Warnungen und Richtliniengleiche: Eingeschränkte Administratoren können Benutzeraktivitäten nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten untersuchen.
-
Datenlebenszyklusverwaltung und Datensatzverwaltung:
- Richtliniensuche: Eingeschränkte Administratoren sehen nur Richtlinien von Benutzern innerhalb ihrer zugewiesenen Verwaltungseinheiten.
- Löschungsüberprüfung und -überprüfung: Eingeschränkte Administratoren können Prüfer nur innerhalb ihrer zugewiesenen Verwaltungseinheiten hinzufügen und Löschungsüberprüfungen und Elemente anzeigen, die nur von Benutzern innerhalb ihrer zugewiesenen Verwaltungseinheiten verworfen wurden.
-
Insider-Risikomanagement:
- Richtliniensuche und -konfiguration: Eingeschränkte Administratoren können Richtlinien nur für Benutzer erstellen oder verwalten, die ihren Verwaltungseinheiten zugewiesen sind.
- Benutzeraktivitäten: Eingeschränkte Administratoren können mit der Bewertung von Aktivitäten beginnen oder Benutzeraktivitäten nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten untersuchen.
- Warnungen und Fälle: Eingeschränkte Administratoren können Warnungen undFälle nur für Benutzer innerhalb ihrer zugewiesenen Verwaltungseinheiten anzeigen und untersuchen.
Hinweis
Microsoft Purview Data Loss Prevention- und Insider-Risikomanagement-Warnungen in Microsoft Defender XDR. Microsoft Defender XDR unterstützt bis zu 100 Verwaltungseinheiten.
Berechtigungen für Verwaltungseinheiten
Zum Zuweisen eines Rollengruppenmitglieds zu einer Verwaltungseinheit muss Administratoren die Rollenverwaltungsrolle zugewiesen werden. Weitere Informationen zu Microsoft Purview-Rollengruppen und -Rollen finden Sie unter Rollengruppen in Microsoft Purview.
Sie können Rollengruppenmitglieder administrativen Einheiten innerhalb der folgenden integrierten Rollengruppen zuweisen:
- Kommunikationscompliance
- Kommunikationscompliance-Administratoren
- Analysten für die Einhaltung der Kommunikationsvorschriften
- Ermittler für die Einhaltung der Kommunikationsvorschriften
- Complianceadministrator
- Compliancedatenadministratoren
- Globaler Leser
- Informationsschutz
- Information Protection-Administratoren
- Information Protection-Analyst
- Information Protection-Ermittler
- Information Protection-Leser
- Insider-Risikomanagement
- Insider-Risikomanagement-Administratoren
- Insider-Risikomanagement-Analysten.
- Genehmigende Personen des Insider-Risikomanagements
- Insider-Risikomanagement-Prüfer
- Genehmigende Personen der Insider-Risikomanagementsitzung
- Organisationsverwaltung
- Datensatzverwaltung
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
Wenn Sie Rollengruppen zuweisen, können Sie einzelne Mitglieder oder Gruppen auswählen und dann die Option Administratoreinheiten zuweisen auswählen, um Verwaltungseinheiten auszuwählen, die Sie in Microsoft Entra ID definieren:
Wichtig
Zuweisen von Administratoreinheiten ist immer verfügbar, wenn Sie benutzerdefinierte Rollengruppen erstellen. Sie können Verwaltungseinheiten für jede benutzerdefinierte Rollengruppe zuweisen.
Diese Administratoren, die als eingeschränkte Administratoren bezeichnet werden, können eine oder mehrere ihrer zugewiesenen Verwaltungseinheiten auswählen, um automatisch den anfänglichen Gültigkeitsbereich von Richtlinien zu definieren, die sie erstellen oder bearbeiten. Nur wenn Administratoren keine Verwaltungseinheiten zugewiesen sind (uneingeschränkte Administratoren), können sie Richtlinien dem gesamten Verzeichnis zuweisen, ohne dass einzelne Verwaltungseinheiten ausgewählt werden müssen.
Wichtig
Nachdem Sie Den Mitgliedern der Rollengruppen Verwaltungseinheiten zugewiesen haben, können diese eingeschränkten Administratoren vorhandene Richtlinien nicht mehr anzeigen und bearbeiten. Es gibt jedoch keine betrieblichen Änderungen an diesen Richtlinien, und sie bleiben sichtbar und können von uneingeschränkten Administratoren bearbeitet werden.
Eingeschränkte Administratoren können auch keine Verlaufsdaten anzeigen, indem sie Features verwenden, die Verwaltungseinheiten unterstützen, z. B. Aktivitäts-Explorer und Warnungen. Sie bleiben für uneingeschränkte Administratoren sichtbar. In Zukunft können eingeschränkte Administratoren diese zugehörigen Daten nur für ihre zugewiesenen Verwaltungseinheiten anzeigen.
Voraussetzungen für Verwaltungseinheiten
Stellen Sie vor dem Konfigurieren von Verwaltungseinheiten für Microsoft Purview-Compliancelösungen sicher, dass Ihre organization und Benutzer die folgenden Abonnement- und Lizenzierungsanforderungen erfüllen:
Microsoft Purview-Lizenzierung:
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5/F5 Compliance oder F5 Security & Compliance
- Microsoft 365 E5/A5/G5/F5 Information Protection & Governance
- Microsoft 365 E5/A5/F5 Insider-Risikomanagement
Konfigurieren und Verwenden von Verwaltungseinheiten
Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten mit Microsoft Purview-Compliancelösungen zu konfigurieren und zu verwenden:
Erstellen Sie Verwaltungseinheiten, um den Bereich der Rollenberechtigungen in Microsoft Entra ID einzuschränken.
Fügen Sie Benutzer und Verteilergruppen zu Verwaltungseinheiten hinzu.
Wichtig
Mitglieder dynamischer Verteilergruppen werden nicht automatisch Mitglieder einer Verwaltungseinheit.
Wenn Sie eine geografische Region oder abteilungsbasierte Verwaltungseinheiten erstellen, konfigurieren Sie Verwaltungseinheiten mit dynamischen Mitgliedschaftsregeln.
Hinweis
Sie können einer Verwaltungseinheit, die dynamische Mitgliedschaftsregeln verwendet, keine Gruppen hinzufügen. Erstellen Sie bei Bedarf zwei Verwaltungseinheiten, eine für Benutzer und eine für Gruppen.
Verwenden Sie eine der Rollengruppen aus den Microsoft Purview-Compliancelösungen, die Verwaltungseinheiten unterstützen, um Mitgliedern Verwaltungseinheiten zuzuweisen.
Wenn diese eingeschränkten Administratoren Richtlinien erstellen oder bearbeiten, die Verwaltungseinheiten unterstützen, können sie Verwaltungseinheiten auswählen, sodass nur die Benutzer in diesen Verwaltungseinheiten für die Richtlinie berechtigt sind:
- Uneingeschränkte Administratoren müssen keine Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen. Sie können den Standardwert des gesamten Verzeichnisses beibehalten oder eine oder mehrere Verwaltungseinheiten auswählen.
- Eingeschränkte Administratoren müssen eine oder mehrere Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen.
Später in der Richtlinienkonfiguration müssen Administratoren, die Verwaltungseinheiten auswählen, einzelne Benutzer und Gruppen (sofern unterstützt) aus den Verwaltungseinheiten einschließen oder ausschließen, die sie zuvor für die Richtlinie ausgewählt haben.
Informationen zu Verwaltungseinheiten, die für jede unterstützte Lösung spezifisch sind, finden Sie in den folgenden Abschnitten:
- Für die Überwachung: Eingrenzen des Zugriffs auf Überwachungsprotokolle mithilfe von Verwaltungseinheiten
- Kommunikationscompliance: Erwägen Sie Verwaltungseinheiten, wenn Sie Benutzerberechtigungen auf eine Region oder Abteilung festlegen möchten.
- Für die Datenlebenszyklusverwaltung: Unterstützung für Verwaltungseinheiten
- Für DLP: Richtlinien für eingeschränkte Verwaltungseinheiten
- Für insider-Risikomanagement: Erwägen Sie Verwaltungseinheiten, wenn Sie Benutzerberechtigungen auf eine Region oder Abteilung festlegen möchten.
- Für die Datensatzverwaltung: Unterstützung für Verwaltungseinheiten
- Für Vertraulichkeitsbezeichnungen: Unterstützung für Verwaltungseinheiten
Unterstützung von Verwaltungseinheiten für SharePoint-Websites
Microsoft Purview unterstützt jetzt das Hinzufügen von SharePoint-Websites zu Verwaltungseinheiten. Mit diesem Feature können Sie die Sichtbarkeits- und Verwaltungssteuerung von Microsoft Purview-Administratoren im Microsoft Purview-Portal anpassen. Diese Unterstützung ist nur für Richtlinien zur automatischen Bezeichnung von Microsoft Information Protection und Richtlinien zur Verhinderung von Datenverlust von Microsoft verfügbar, die Anwendungen auf SharePoint-Websites unterstützen.
Hinweis
Sie verwalten das Erstellen, Löschen und Microsoft Entra Ressourcenmitgliedschaft in Microsoft Entra ID. Jede verwaltungseinheit, die Sie erstellen, wird in der Auflistung für Microsoft Purview angezeigt.
Es kann bis zu fünf Tage dauern, bis eine Abfrage vollständig ausgefüllt ist. Änderungen erfolgen nicht sofort. Warten Sie, bis die Abfrage vollständig ausgefüllt ist, bevor Sie einer Verwaltungseinheit eine Richtlinie zuordnen.
Konfigurieren von Verwaltungseinheiten für SharePoint-Websites
Führen Sie die folgenden Schritte aus, um Verwaltungseinheiten zu konfigurieren und zu verwenden. Diese Schritte führen Sie durch die Erstellung von Verwaltungseinheiten, das Zuordnen von Ressourcen zu dieser Verwaltungseinheit und das Zuweisen von Mitgliedern der Microsoft Purview-Compliancerollengruppe zu Verwaltungseinheiten. Nachdem Sie Verwaltungseinheiten erstellt haben, führen Sie die folgenden Schritte aus, um sharePoint-Websites der Verwaltungseinheit zuzuordnen.
Microsoft Purview-Kunden, die auf dieses Feature berechtigt sind, können jetzt unter den Einstellungen für Rollen und Bereiche in den Microsoft Purview-Portaleinstellungen auf Verwaltungseinheiten zugreifen. Wählen Sie unter Administrative Einheiten eine Verwaltungseinheit aus, und bearbeiten Sie sie, um sharePoint-Websites der Verwaltungseinheit zuzuordnen.
Um die folgenden Schritte zum Konfigurieren von SharePoint-Websites in Verwaltungseinheiten für die Verwendung in Microsoft Purview auszuführen, muss Ihnen die Rolle administrator unit extension manager zugewiesen sein. Ein Administrator mit Rollenverwaltungsrechten in Microsoft Purview weist diese Rolle entweder mithilfe einer integrierten Rollengruppe mit dieser Rolle oder mithilfe einer benutzerdefinierten Rollengruppe zu.
- Wechseln Sie zum Microsoft Purview-Portal.
- Wählen Sie Einstellungen und dann Rollen und Bereiche aus.
- Wählen Sie Verwaltungseinheiten aus.
- Wählen Sie eine vorhandene Verwaltungseinheit aus der Liste aus.
- Wählen Sie Bearbeiten aus.
- Erstellen Sie eine Abfrage, um SharePoint-Websites der Verwaltungseinheit zuzuordnen.
- Verwenden Sie eine der Rollengruppen aus den Microsoft Purview-Compliancelösungen, die Verwaltungseinheiten unterstützen, um Mitgliedern Verwaltungseinheiten zuzuweisen.
Abfragen zum Zuordnen von SharePoint-Websites zu Verwaltungseinheiten unterstützen Websiteeigenschaften für Website-URL, Websitename und RefinableString00-RefinableString99. Diese Abfragen gelten sowohl für SharePoint-Websites als auch für OneDrive-Konten, mit Ausnahme freigegebener SharePoint-Kanalwebsites. Die Eigenschaftennamen für Websites basieren auf verwalteten SharePoint-Websiteeigenschaften. Weitere Informationen zum Zuordnen von benutzerdefinierten Eigenschaften zu verwalteten Eigenschaften (RefinableString00-RefinableString99) finden Sie unter Verwenden von benutzerdefinierten SharePoint-Websiteeigenschaften zum Anwenden der Microsoft 365-Aufbewahrung mit adaptiven Richtlinienbereichen.
Testen Ihrer Abfrage
Führen Sie die folgenden Schritte aus, um Ihre Abfrage mit der SharePoint-Suche zu testen:
- Wenn einem Konto die SharePoint-Administratorrolle zugewiesen ist, wechseln Sie zu
https://<your_tenant>.sharepoint.com/search. - Verwenden Sie die Suchleiste, um die Abfrage einzugeben, die in der Abfragezusammenfassung für Ihre SharePoint-Websites in der Verwaltungseinheit angezeigt wird.
- Stellen Sie sicher, dass die Suchergebnisse mit den erwarteten Website-URLs für Ihre Verwaltungseinheit übereinstimmen. Wenn dies nicht der Fall ist, überprüfen Sie Ihre Abfrage und die URLs mit dem zuständigen Administrator für SharePoint.
Wenn Eingeschränkte Administratoren Richtlinien erstellen oder bearbeiten, die Verwaltungseinheiten unterstützen, können sie Verwaltungseinheiten auswählen, sodass nur die SharePoint-Websites, -Benutzer oder -Gruppen in diesen Verwaltungseinheiten für die Richtlinie berechtigt sind:
- Uneingeschränkte Administratoren müssen keine Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen. Sie können den Standardwert des gesamten Verzeichnisses beibehalten oder eine oder mehrere Verwaltungseinheiten auswählen.
- Eingeschränkte Administratoren müssen eine oder mehrere Verwaltungseinheiten als Teil der Richtlinienkonfiguration auswählen.
Administratoren, die Verwaltungseinheiten auswählen, können einzelne SharePoint-Websites nicht einschließen oder ausschließen. SharePoint-Websites unterstützen Anwendungen für alle Websites, die der Verwaltungseinheit zugeordnet sind.
Wichtig
Um zugeordnete Websites aus einer Verwaltungseinheit zu entfernen, bearbeiten Sie eine SharePoint-Abfrage für eine Verwaltungseinheit, damit keine Websitemitgliedschaften vorhanden sind. Um die Websitemitgliedschaft zu löschen, führen Sie für die Abfrage keine Websites aus.
Anzeigen von Details zur SharePoint-Websitemitgliedschaft in Der Verwaltungseinheit in Purview
Nachdem Sie eine SharePoint-Abfrage für eine Verwaltungseinheit in Microsoft Purview erstellt haben, können Sie die Websitemitglieder der Verwaltungseinheit anzeigen. Sie können die Benutzer- und Gruppenmitgliedschaft einer Verwaltungseinheit nur im Microsoft Entra ID-Portal anzeigen.
Führen Sie die folgenden Schritte aus, um auf die Seite mit den Mitgliedsdetails zuzugreifen, um SharePoint-Websitemitglieder einer Verwaltungseinheit in Microsoft Purview anzuzeigen:
- Wechseln Sie zum Microsoft Purview-Portal unter purview.microsoft.com.
- Wählen Sie Einstellungen und dann Rollen und Bereiche aus.
- Wählen Sie Verwaltungseinheiten aus.
- Wählen Sie eine vorhandene Verwaltungseinheit aus der Liste aus.
- Wählen Sie Mitgliedsdetails aus.
- Zeigen Sie die Liste der SharePoint-Websitemitglieder an.
- Überprüfen Sie die Spalte Status in der Liste, in der Für Websites hinzugefügt zur Verwaltungseinheit hinzugefügt oder Entfernt angezeigt wird , wenn sich die Website zuvor in der Verwaltungseinheit befand, aber einmal entfernt wurde, keine Übereinstimmung mehr für die SharePoint-Abfrage.
- Verwenden Sie die Export-Funktion , um eine Liste der angezeigten Websites in eine CSV-Datei herunterzuladen.
Hinweis
Es kann bis zu fünf Tage dauern, bis die Liste mit den Mitgliedsdetails hinzugefügte oder entfernte Websites aktualisiert wurde.
Informationen zu Verwaltungseinheiten und der SharePoint-Website in Microsoft Purview-Lösungen finden Sie unter:
- DLP: Richtlinien für eingeschränkte Verwaltungseinheiten
- Vertraulichkeitsbezeichnungen: Unterstützung für Verwaltungseinheiten