Microsoft Entra ID 中的管理單元允許您將管理權限限制在 Microsoft Entra 組織的特定部分。 你可以在 Microsoft Entra 中建立、刪除和編輯管理單位。 在 Microsoft Entra 中,你管理的是管理單位成員的使用者或群組。 此功能允許您將組織細分為較小的單位,並指派特定管理員只管理該單位內的成員。 Microsoft Purview 角色群組允許您將管理員指派到特定的管理單位。 支援管理單位的 Microsoft Purview 解決方案限制了單位成員的可見性與管理權限。
例如,你可以使用管理單位將權限委派給大型跨國組織中每個地理區域的管理員,或是依部門將管理員存取權分組。 您可以建立區域或部門專屬政策,或查看這些政策及行政單位分配所導致的使用者活動。 您也可以將管理單位作為政策的初始範圍,選擇符合政策資格的使用者取決於是否屬於管理單位。
如果你正在使用自適應範圍來執行合規政策,請參閱《自適應範圍如何與 Microsoft Entra 管理單元合作》。
Microsoft Purview 中的管理單位支援
以下 Microsoft Purview 合規解決方案支援管理單位:
| 解決方案 | 配置支援 |
|---|---|
| 資料生命週期管理 | 角色群組、保留政策與保留標籤政策 |
| Data Loss Prevention (DLP) | 角色群組與 DLP政策 |
| 通訊合規性 | 角色群組 與 政策 |
| 內部風險管理 | 角色群組 與 政策 |
| 記錄管理 | 角色群組、保留政策、保留標籤政策與 自適應範圍 |
| 敏感性標示 | 角色群組、敏感性標籤政策與自動標籤政策 |
行政單位的配置會自動流向以下功能:
-
警示:
- DLP 警示僅對指定管理單位的使用者可見
-
活動探索器:
- 活動事件 僅對指定管理單位的使用者可見
-
自適應瞄準鏡:
- 受限制管理員只能選擇、建立、編輯及檢視其分配管理單元內使用者的自適應範圍
- 當受限管理員配置使用自適應範圍的政策時,管理員只能選擇分配給其管理單元的自適應範圍
- 審核日誌:
-
溝通合規:
- 政策查詢與設定:受限管理員只能為分配至其管理單位的使用者建立或管理政策。
- 警示與政策匹配:受限制管理員 只能調查其分配管理單位內使用者的活動。
- 資料生命週期管理與紀錄管理:
-
內部風險管理:
- 政策查詢與設定:受限管理員只能為分配至其管理單位的使用者建立或管理政策。
- 使用者活動:受限制管理員可開始對其指定管理單位內使用者進行評分或調查使用者活動。
- 警示與案件:受限制管理員 只能查看並調查 其分配管理單位內使用者的警示與 案件 。
注意事項
Microsoft Purview 資料外洩防護及內部風險管理表層警示,包含 Microsoft Defender 全面偵測回應。 Microsoft Defender 全面偵測回應最多 100 個管理單元。
行政單位的許可
若要將角色群組成員指派至行政單位,管理員必須被指派 角色 管理角色。 欲了解更多關於 Microsoft Purview 角色群組與角色的資訊,請參閱 Microsoft Purview 中的角色群組。
你可以將角色群組成員指派到以下內建角色群組中的管理單位:
- 通訊合規性
- 通訊合規管理員
- 通訊合規性分析師
- 通訊合規性調查員
- 合規性系統管理員
- 合規資料管理員
- 全域讀取者
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
- 測試人員風險管理
- 內部風險管理管理員
- 測試人員風險管理分析員
- 內部風險管理(Insider Risk Management)申請者
- 測試人員風險管理調查員
- 內部風險管理會議審核者
- 組織管理
- 記錄管理
- 安全性系統管理員
- 安全性操作員
- 安全性讀取者
當你指派角色群組時,可以選擇個別成員或群組,然後選擇「指派管理員單位」選項,以選擇你在 Microsoft Entra ID 中定義的管理單位:
重要事項
當你建立自訂角色群組時,分配管理單位總是可以使用。 你可以為任何自訂角色群組指派管理單位。
這些管理員稱為受限管理員,可以選擇一個或多個分配給他們的管理單元,自動定義他們建立或編輯的初始政策範圍。 只有當管理員沒有分配管理單元 () 無限制管理員時,才能在不需選擇個別管理單元的情況下,將政策指派給整個目錄。
重要事項
當你將管理單位指派給角色群組成員後,這些受限制的管理員就無法看到或編輯現有政策。 然而,這些政策沒有實質上的操作變更,且仍可見且可由不受限制的管理員編輯。
受限制的管理員也無法透過支援管理單元的功能(如活動總管與警示)查看歷史資料。 這些資料對不受限制的管理員仍可見。 未來,受限制管理員只能查看其分配行政單位的相關資料。
行政單位的先決條件
在為 Microsoft Purview 合規解決方案配置管理單位前,請確保您的組織與使用者符合以下訂閱與授權要求:
Microsoft Purview 授權:
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5/F5 合規或 F5 安全 & 合規
- Microsoft 365 E5/A5/G5/F5 資訊保護 &治理
- Microsoft 365 E5/A5/F5 內部風險管理
配置與使用管理單位
完成以下步驟以配置及使用管理單元,配合 Microsoft Purview 合規解決方案:
建立管理單元以限制 Microsoft Entra ID 中的角色權限範圍。
將使用者和分發群組加入 管理單元。
重要事項
動態分發群組的成員不會自動成為行政單位的成員。
若您建立地理區域或部門管理單位,請設定包含 動態會員規則的行政單位。
注意事項
你無法將群組加入使用動態成員規則的管理單位。 如有需要,建立兩個管理單元,一個給使用者,一個給群組。
使用支援管理單位的 Microsoft Purview 合規解決方案中的任何角色群組,將管理單位指派給成員。
當這些受限制管理員建立或編輯支援管理單元的政策時,他們可以選擇管理單元,使只有該管理單元的使用者有資格使用該政策:
- 非限制管理員 不必在政策設定中選擇管理單元。 他們可以保留整個目錄的預設值,或選擇一個或多個管理單元。
- 受限管理員 必須在政策設定中選擇一個或多個管理單元。
在政策設定後期,管理員選擇管理單元時,必須包含或排除 ((若支援) 個別使用者與群組,則是先前為政策選擇的管理單元。
關於各支援解決方案特定行政單位的資訊,請參閱以下章節:
- 對於稽核而言:利用管理單元來界定稽核日誌的存取範圍
- 為了通訊合規: 如果你想將使用者權限範圍限定在某個區域或部門,可以考慮管理單位
- 針對資料生命週期管理: 支援管理單元
- 對於DLP: 行政單位限制政策
- 針對內部風險管理: 若想將使用者權限範圍設定為區域或部門,請考慮行政單位
- 關於檔案管理: 支援行政單位
- 敏感性標示: 支援行政單位
管理單位支援 SharePoint 網站
Microsoft Purview 現在支援將 SharePoint 網站加入管理單位。 此功能讓您能在 Microsoft Purview 入口網站中,客製化對 Microsoft Purview 管理員的可見性與管理控制。 此支援僅適用於 Microsoft 資訊保護自動標籤政策及支援應用程式至 SharePoint 網站的 Microsoft 資料遺失防護政策。
注意事項
你可以透過 Microsoft Entra ID 管理管理單元的建立、刪除,以及 Microsoft Entra 資源成員資格。 您建立的任何行政單位都會出現在 Microsoft Purview 的列表中。
查詢資料可能需要長達五天才能完全填滿。 改變不是立刻發生的。 等查詢完全填滿後,再將保單與行政單位關聯。
為 SharePoint 網站設定管理單位
請依照以下步驟 配置及使用行政單位。 這些步驟引導您建立管理單位、如何將資源關聯到該管理單位,以及如何將 Microsoft Purview 合規角色群組成員指派至管理單位。 建立管理單元後,請依照以下步驟將 SharePoint 網站與管理單元關聯。
有資格使用此功能的 Microsoft Purview 客戶,現在可以在 Microsoft Purview 入口網站設定中的角色與範圍中存取管理單位。 在 管理單元中,選擇一個行政單元並編輯,將 SharePoint 網站與該管理單元關聯。
要完成以下步驟,在管理單位內設定 SharePoint 網站以供 Microsoft Purview 使用,您必須指定 管理員單位擴充管理員 角色。 擁有 Microsoft Purview 角色管理權限的管理員會指派此角色,無論是使用內建的角色群組,或是自訂 的角色群組。
- 前往 Microsoft Purview 入口網站。
- 選擇 設定 並選擇 角色與範圍。
- 選擇 行政單位。
- 從列表中選擇現有的行政單位。
- 選取 [編輯]。
- 建立查詢,將 SharePoint 網站與管理單元關聯。
- 使用支援管理單位的 Microsoft Purview 合規解決方案中的任何角色群組,將管理單位指派給成員。
將 SharePoint 網站與管理單元關聯的查詢支援網站 URL、網站名稱及 RefinableString00-RefinableString99 的網站屬性。 這些查詢適用於 SharePoint 網站和 OneDrive 帳號,唯獨共享 通道的 SharePoint 網站除外。 網站的屬性名稱是以 SharePoint 網站管理屬性為基礎。 欲了解更多關於將自訂屬性關聯到受管理屬性 (RefinableString00-RefinableString99) ,請參閱 「使用 Custom SharePoint 網站屬性來套用 365 保留與自適應政策範圍」Microsoft。
測試查詢
要測試你的查詢與 SharePoint 搜尋,請完成以下步驟:
- 當帳號被指定為 SharePoint 管理員角色時,請前往
https://<your_tenant>.sharepoint.com/search。 - 請使用搜尋欄輸入查詢 摘要 中顯示的查詢,針對管理單位中的 SharePoint 網站。
- 請確認搜尋結果是否符合您所在行政單位的預期網站網址。 如果不是,請使用 SharePoint 的相關系統管理員檢查您的查詢和 URL。
當受限制管理員建立或編輯支援管理單元的政策時,他們可以選擇管理單元,使該管理單元中只有 SharePoint 網站、使用者或群組符合該政策的資格:
- 非限制管理員 不必在政策設定中選擇管理單元。 他們可以保留整個目錄的預設值,或選擇一個或多個管理單元。
- 受限管理員 必須在政策設定中選擇一個或多個管理單元。
管理員在選擇管理單元時,無法包含或排除個別 SharePoint 網站。 SharePoint 網站支援對所有與管理單位相關的網站進行應用程式。
重要事項
若要從管理單元移除相關網站,請編輯管理單元的 SharePoint 查詢,使其不產生任何站點成員。 要確認網站會員資格,請讓查詢結果顯示沒有網站。
在 Purview 查看管理單位 SharePoint 網站成員資訊
在 Microsoft Purview 建立管理單位的 SharePoint 查詢後,您可以查看該管理單位的網站成員。 您只能從 Microsoft Entra ID 入口網站查看管理單元的使用者與群組成員。
請完成以下步驟,以進入 Microsoft Purview 中管理單位的 SharePoint 網站成員:
- 請前往Microsoft Purview入口網站 purview.microsoft.com。
- 選擇 設定 並選擇 角色與範圍。
- 選擇 行政單位。
- 從列表中選擇現有的行政單位。
- 選擇 會員詳情。
- 查看 SharePoint 網站成員名單。
- 請檢查清單中的 狀態 欄位,該 欄位顯示新增 至管理單元的網站,或若該網站原本屬於管理單元,但因不再符合 SharePoint 查詢而被移除,則顯示已 移除 。
- 使用 匯出 功能將顯示網站清單下載成 CSV 檔案。
注意事項
會員資料清單更新新增或移除網站可能需要長達五天時間。
關於 Microsoft Purview 解決方案中管理單位及 SharePoint 網站的資訊,請參見: