Microsoft Purview 入口網站支援直接管理在 Microsoft Purview 內執行工作的使用者許可權。 藉由使用入口網站設定中的 [角色和範圍] 區域,您可以管理 Purview 資料安全性、資料控管,以及風險和合規性解決方案中使用者的許可權。 您可以限制使用者僅執行您明確授予他們存取權的特定工作。
若要在 Microsoft Purview 入口網站的 [角色和範圍] 區域中檢視角色群組,使用者必須是全域系統管理員,或必須獲指派角色管理角色, (角色只會指派給 [組織管理] 角色群組) 。 角色管理角色可讓使用者檢視、建立和修改角色群組。
使用權限最少的角色
Microsoft 建議您使用權限最少的角色。 將具有 全域系統管理員角色 的使用者數目降到最低,有助於改善組織的安全性。 規劃存取控制策略時, 最佳實務 是管理使用者最低權限的存取權。 最低權限表示您完全授予管理員執行工作所需的權限。
Microsoft Purview 許可權
Microsoft Purview 入口網站會使用角色型存取控制 (RBAC) 許可權模型。 大部分的 Microsoft 365 服務都會使用 RBAC,因此如果您熟悉這些服務中的許可權結構,則在 Microsoft Purview 入口網站中授與許可權類似。 您在 Microsoft Purview 入口網站中管理的許可權不涵蓋每個個別服務中所需的所有許可權的管理。 您仍然需要在系統管理中心中針對特定服務管理特定服務特定許可權。 例如,如果您需要指派封存、稽核和 MRM 保留原則的許可權,則必須在 Exchange 系統管理中心管理這些許可權。
如需特定的 Microsoft Purview 解決方案許可權指引,請參閱下列文章:
- 調適性保護 - 內部風險管理
- 行政單位
- 稽核
- 收集政策
- 通訊合規性
- 合規性管理員
- 資料分類 - 活動總管
- 資料分類 - 內容總管
- 資料分類 - Data Explorer
- 資料控管 - 整合式目錄
- 資料監督 - 傳統資料目錄
- 資料生命週期管理
- 資料外洩防護
- 資料安全性調查
- 資料安全性態勢管理
- 適用於 AI 的資料安全性態勢管理
- 裝置上線
- eDiscovery
- 資訊屏障
- 內部風險管理
- 特權存取管理
- 記錄管理
- 資料外洩防護) 中的分級代理程式
- 測試人員風險管理中的分級代理程式
- 適用於 Purview 的 Security Copilot
- 敏感性資訊類型 - 自訂
- 敏感性資訊類型 - 精確資料比對
- 敏感度標籤
若要檢視 Microsoft Purview 入口網站中可用的所有預設角色群組,以及預設指派給角色群組的角色,請參閱 Microsoft Defender 全面偵測回應 和 Microsoft Purview 入口網站中的角色和角色群組。
在 Microsoft Purview 入口網站中管理許可權只會讓使用者存取 Microsoft Purview 入口網站內可用的合規性和治理功能。 若要將許可權授與 Microsoft Purview 入口網站中不在此限的其他功能,例如 Exchange 郵件流程規則 (也稱為傳輸規則) ,請使用 Exchange 系統管理中心。
目前的治理角色和角色群組僅涵蓋 Microsoft Purview 資料對應和整合式目錄的廣泛存取權。 如需更多存取權,Microsoft Purview 控管會使用角色群組、資料存取和解決方案特定許可權的組合。
成員、角色和角色群組的關係
角色會授與執行一組工作的權限。 例如, 案例管理 角色可讓使用者使用電子檔探索案例。
角色群組是一組角色,可讓使用者在 Microsoft Purview 入口網站中跨合規性和治理解決方案執行其工作。 例如,藉由將使用者新增至 測試人員風險管理 角色群組,指定的系統管理員、分析師、調查人員和稽核員會在單一群組中取得必要的測試人員風險管理許可權。 Microsoft Purview 入口網站包含您需要指派人員的每個合規性和治理解決方案之工作和函式的預設角色群組。 一般而言,視需要將個別使用者新增為預設角色群組的成員。
Microsoft Purview 入口網站中的 Azure 角色
出現在 [角色和範圍] 區域的 Microsoft Entra ID 區段中的角色是 Microsoft Entra 角色,全域系統管理員可以看到此區段。 這些角色與組織 IT 組中的工作職能一致,可以輕鬆授予人員完成工作所需的所有權限。 您可以選取管理員角色並檢視角色面板詳細資料,以檢視目前指派給每個角色的使用者。 若要管理 Microsoft Entra 角色的成員,請選取 [管理 Microsoft Entra ID 中的成員]。 此選項會將您重新導向至 Azure 管理入口網站。
| 角色 | 描述 |
|---|---|
| 攻擊承載作者 | 建立攻擊承載,但不實際啟動或排程它們。 如需詳細資訊,請參閱 攻擊承載作者。 |
| 攻擊模擬系統管理員 | 建立和管理 攻擊模擬系統 創建、模擬的啟動/排程,以及模擬結果審查的所有方面。 詳細資訊,請參閲 攻擊模擬系統管理員。 |
| 合規性系統管理員 | 可幫助您的組織遵守任何法規要求、管理電子文件探索案例,並維護 Microsoft 365 各個位置、身分和應用程式的資料監管原則。 如需詳細資訊,請參閱 合規性系統管理員。 |
| 合規性資料管理員 | 可以追蹤 Microsoft 365 中的組織資料,確保其受到保護,並深入了解任何問題以協助降低風險。 如需詳細資訊,請參閱合規性資料系統管理員。 |
| 全域管理員 | 可以存取所有 Microsoft 365 服務中的所有系統管理功能。 只有全域管理員才能指派其他系統管理員角色。 如需詳細資訊,請參閱全域系統管理員/公司系統管理員。 |
| 全域讀取者 | 全域系統管理員 角色的唯讀版本。 在 Microsoft 365 中檢視所有設定和管理資訊。 如需詳細資訊,請參閱 全域讀取者。 |
| 安全性系統管理員 | 可透過管理安全性原則、檢視 Microsoft 365 各項產品的安全性分析和報告,以及在威脅環境中保持最新速度,來控制組織的整體安全性。 如需詳細資訊,請參閱 安全性系統管理員。 |
| 安全性操作員 | 可檢視、調查和回應 Microsoft 365 使用者、裝置和內容所受的主動威脅。 如需詳細資訊,請參閱 安全性運算子。 |
| 安全性讀取者 | 檢視和調查對 Microsoft 365 使用者、裝置和內容的作用中威脅,但 (與安全性操作員不同,) 他們沒有透過採取動作來回應的許可權。 如需詳細資訊,請參閱 安全性讀取者。 |
將使用者或群組新增至 Microsoft Purview 內建角色群組
完成下列步驟,將使用者或群組新增至 Microsoft Purview 角色群組:
使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 設定>角色和範圍 ,以檢視和管理組織中的合規性和治理角色。
選取 [角色群組]。
在 [Microsoft Purview 解決方案的角色群組] 上,選取您要新增使用者的 Microsoft Purview 角色群組。 選取控制列上的 編輯 。
在 [編輯角色群組的成員] 上,選取 [ 選擇使用者 ] 或 [ 選擇群組]。
重要事項
安全性群組僅在 Microsoft 365 商業雲端組織中支援。
選取您要新增至角色群組的所有使用者或群組的核取方塊。
選取 選取。
如果選取的使用者或群組需要全組織存取權作為此角色群組指派的一部分,請移至步驟 10。
如果需要將選取的使用者或群組指派給管理單位,請選取使用者或群組,然後選取 指派管理單位。
在 [指派管理單位] 上,選取您要指派給使用者或群組之所有管理單位的核取方塊。 選取 選取。
選取 [下一步 ] 和 [儲存] ,將使用者或群組新增至角色群組。 選取 [完成] 以完成步驟。
從 Microsoft Purview 內建角色群組移除使用者或群組
完成下列步驟,從 Microsoft Purview 角色群組移除使用者或群組:
- 使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 設定>角色和範圍 ,以檢視和管理組織中的合規性和治理角色。
- 選取 [角色群組]。
- 在 [Microsoft Purview 解決方案的角色群組] 上,選取您要從中移除使用者或群組的 Microsoft Purview 角色群組,然後選取控制列上的 [編輯]。
- 在 [編輯角色群組的成員] 上,選取您要從角色群組移除之所有使用者或群組的核取方塊。
- 選取 [移除成員],然後選取 [下一步]。
- 選取 [儲存] 以從角色群組移除使用者或群組。 選取 [完成] 以完成步驟。
建立自定義 Microsoft Purview 角色群組
完成下列步驟以建立自定義 Microsoft Purview 角色群組:
使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 設定>角色和範圍 ,以檢視和管理組織中的合規性和治理角色。
選取 [角色群組]。
在 [Microsoft Purview 解決方案的角色群組] 上,選取 [ 建立角色群組]。
在 [名稱角色群組] 上,在 [名稱 ] 欄位中輸入自訂角色群組的名稱。 建立角色群組之後,您無法變更角色群組的名稱。 如有需要,請在 [描述] 欄位中輸入自訂角色群組的描述。 選取 [下一步] 繼續。
在 [將角色新增至角色群組] 上,選取 [選擇角色]。
選取要新增至自訂角色群組的角色核取方塊。 選取 選取。
選取 [下一步] 繼續。
在 [將成員新增至角色群組] 上,選取 [ 選擇使用者 (] 或 [ 選擇群組 ] (如果適用) )。
重要事項
安全性群組僅在 Microsoft 365 商業雲端組織中支援。
選取要新增至自訂角色群組的使用者 (或群組的核取方塊) 。 選取 選取。
選取 [下一步] 繼續。
如果選取的使用者或群組需要全組織存取權作為此角色群組指派的一部分,請移至步驟 14。
如果需要將選取的使用者或群組指派給管理單位,請選取使用者或群組,然後選取 指派管理單位。
在 [指派管理單位] 上,選取您要指派給使用者或群組之所有管理單位的核取方塊。 選取 選取。
選取 [下一步]。
在 檢閱角色群組並完成,檢閱自訂角色群組的詳細數據。 如果您需要編輯資訊,請選取適當區段中的 [編輯]。 當所有設定都正確時,請選取 [ 建立 ] 以建立自訂角色群組,或選取 [ 取消 ] 以捨棄變更,而不建立自訂角色群組。
更新自定義 Microsoft Purview 角色群組
完成下列步驟以更新自定義 Microsoft Purview 角色群組:
- 使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 設定>角色和範圍 ,以檢視和管理組織中的合規性和治理角色。
- 選取 [角色群組]。
- 在 [Microsoft Purview 解決方案的角色群組] 上,選取您要更新的 Microsoft Purview 角色群組,然後選取控制列上的 [編輯]。
- 在 [ 為角色群組命名] 上,更新 [描述] 欄位中自訂角色群組的描述。 您無法變更自訂角色群組的名稱。 選取 [下一步]。
- 在 [編輯角色群組的角色] 上,選取 [ 選擇角色 ] 以新增角色,以更新指派給角色群組的角色。 您也可以選取任何目前指派的角色,然後選取 [移除角色] 以從角色群組中移除角色。 更新角色之後,請選取 [ 下一步]。
- 在 [編輯角色群組的成員] 上,選取 [ 選擇使用者 ] 或 [ 選擇群組 ] 以新增指派給角色群組的使用者或群組。 若要更新使用者或群組的管理單位,請選取任何目前指派的使用者或群組,然後選取指派管理單位。 您也可以選取任何目前指派的使用者和群組,然後選取 [移除成員] 以從角色群組中移除使用者或群組。 更新成員之後,請選取 [下一步]。
- 在 檢閱角色群組並完成,檢閱自訂角色群組的詳細數據。 如果您需要編輯資訊,請選取適當區段中的 [編輯]。 當所有設定都正確時,請選取 [儲存] 以更新自訂角色群組,或選取 [取消] 以捨棄變更,而不更新自訂角色群組。
刪除自定義 Microsoft Purview 角色群組
完成下列步驟,以刪除自定義 Microsoft Purview 角色群組:
- 使用指派角色管理角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。 移至 設定>角色和範圍 ,以檢視和管理組織中的合規性和治理角色。
- 選取 [角色群組]。
- 在 [Microsoft Purview 解決方案的角色群組] 上,選取您要刪除的 Microsoft Purview 角色群組,然後選取控制列上的 [刪除]。
- 在 [刪除角色群組] 上,選取 [刪除] 以刪除角色群組,或選取 [取消] 以取消刪除程式。