Назначение разрешений на обнаружение электронных данных на портале соответствия требованиям
Если вы хотите, чтобы пользователи использовали какие-либо средства, связанные с обнаружением электронных данных, в Портал соответствия требованиям Microsoft Purview, необходимо назначить им соответствующие разрешения. Самый простой способ назначить роли — добавить пользователя в соответствующую группу ролей на странице Разрешения на портале соответствия требованиям. В этой статье описываются разрешения, необходимые для выполнения задач обнаружения электронных данных.
Совет
Вы можете просмотреть собственные разрешения на странице обзора обнаружения электронных данных (премиум) на портале соответствия требованиям. Для отображения разрешений должна быть назначена по крайней мере одна роль.
Основная группа ролей, связанная с обнаружением электронных данных, на портале соответствия требованиям называется диспетчером обнаружения электронных данных. В этой группе ролей есть две подгруппы:
Диспетчер обнаружения электронных данных. Диспетчер обнаружения электронных данных может использовать средства поиска eDiscovery для поиска содержимого в организации и выполнения различных действий, связанных с поиском, таких как предварительный просмотр и экспорт результатов поиска. Участники также могут создавать дела и управлять ими в Microsoft Purview eDiscovery (стандартный) и Microsoft Purview eDiscovery (Premium), добавлять и удалять участников в дело, создавать удержания, выполнять поиск, связанные с делом, и получать доступ к данным о случаях. Менеджеры по обнаружению электронных данных могут получать доступ только к создаваемым ими делам. Они не могут получать доступ к делам, созданным другими менеджерами по обнаружению электронных данных.
Администратор обнаружения электронных данных. Администратор обнаружения электронных данных является членом группы ролей диспетчера обнаружения электронных данных и может выполнять те же задачи, связанные с поиском контента и управлением делами, которые может выполнять диспетчер обнаружения электронных данных. Кроме того, администратор, ответственный за обнаружение электронных данных, может выполнять указанные ниже действия.
- Доступ ко всем делам, перечисленным на страницах eDiscovery (Standard) и eDiscovery (Premium) на портале соответствия требованиям.
- Получать доступ к данным дела в обнаружении электронных данных (премиум) для любого дела в организации.
- Управлять всеми делами обнаружения электронных данных после добавления себя в качестве участника дела.
- Удалите участников из дела обнаружения электронных данных. Только администратор обнаружения электронных данных может удалять участников из дела. Пользователь, являющийся членом подгруппы менеджеров по обнаружению электронных данных, не может удалять участников из дела, даже созданного им самим.
Причины, по которым вам могут потребоваться администраторы обнаружения электронных данных в вашей организации, см. в разделе Дополнительные сведения.
Примечание.
Для анализа данных пользователя с помощью eDiscovery (Premium) пользователю (хранителе данных) должна быть назначена лицензия на Office 365 E5 или Microsoft 365 E5. Кроме того, пользователям с лицензией Office 365 E1, Office 365 или Microsoft 365 E3 можно назначить лицензию на надстройку Соответствие требованиям Microsoft 365 E5 или Microsoft 365 eDiscovery и Audit. Администраторам, сотрудникам по обеспечению соответствия требованиям или юридическому персоналу, назначенным в качестве участников и использующим обнаружение электронных данных (премиум) для сбора, просмотра и анализа данных, лицензия E5 не требуется. Дополнительные сведения о лицензировании eDiscovery (премиум) см. в разделе Подписки и лицензирование в eDiscovery (Премиум).
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Перед назначением разрешений
- Для назначения разрешений на обнаружение электронных данных на портале соответствия требованиям необходимо быть членом группы ролей "Управление организацией " или быть назначена роль "Управление ролями".
- Командлет Add-RoleGroupMember в PowerShell для соответствия требованиям безопасности & можно добавить группу безопасности с поддержкой почты в качестве члена подгруппы диспетчеров обнаружения электронных данных в группе ролей eDiscovery Manager . Однако вы не можете добавить группу безопасности с поддержкой почты в подгруппу администраторов обнаружения электронных данных. Дополнительные сведения см. в разделе Дополнительные сведения.
Назначение разрешений на обнаружение электронных данных
Перейдите на портал соответствия требованиям и выполните вход с помощью учетной записи, которая может назначать разрешения.
В левой области выберите Роли & области>Разрешения.
На странице Разрешения в разделе Решения Microsoft Purview выберите Роли.
На странице Группы ролей для решений Microsoft Purview выберите Диспетчер обнаружения электронных данных.
На всплывающей панели Диспетчер обнаружения электронных данных выполните одно из следующих действий в зависимости от разрешений на обнаружение электронных данных, которые вы хотите назначить.
- Нажмите Изменить.
- На странице Управление диспетчером обнаружения электронных данных выберите Выбрать пользователей.
- Найдите и выберите пользователя (или пользователей), который вы хотите добавить в качестве диспетчера обнаружения электронных данных, а затем нажмите кнопку Выбрать.
- Нажмите кнопку Далее.
- Чтобы назначить пользователя (или пользователей) группе ролей Администратор обнаружения электронных данных , выберите Выбрать пользователей.
- Найдите и выберите пользователя (или пользователей), которого вы хотите добавить в качестве администратора обнаружения электронных данных, а затем нажмите кнопку Выбрать.
- Нажмите кнопку Далее.
- На странице Просмотр группы ролей и завершение просмотрите изменения группы ролей. Нажмите кнопку Сохранить , чтобы сохранить изменения в группах ролей обнаружения электронных данных.
Примечание.
Вы также можете использовать командлет Add-eDiscoveryCaseAdmin , чтобы сделать пользователя администратором обнаружения электронных данных. Однако пользователю должна быть назначена роль "Управление обращениями ", прежде чем вы сможете использовать этот командлет, чтобы сделать его администратором обнаружения электронных данных. Дополнительные сведения см. в разделе Add-eDiscoveryCaseAdmin.
На странице Разрешения на портале соответствия требованиям можно также назначить пользователям разрешения, связанные с обнаружением электронных данных, добавив их в группы ролей "Администратор соответствия требованиям", "Управление организацией" и "Рецензент ". Описание ролей управления доступом на основе ролей, связанных с обнаружением электронных данных, назначенных каждой из этих групп ролей, см. в статье Роли управления доступом на основе ролей, связанные с обнаружением электронных данных.
Просмотр разрешений
Разрешения, назначенные пользователям обнаружения электронных данных, отображаются на карта ваши разрешения на вкладке Обзор обнаружения электронных данных, когда каждый пользователь входит в обнаружение на портале соответствия требованиям. В этом карта описываются доступ и роли пользователя, включая ограничения на случаи обнаружения электронных данных.
Роли RBAC, связанные с обнаружением электронных данных
В следующей таблице перечислены связанные с обнаружением электронных данных роли управления доступом на основе ролей на портале соответствия требованиям и указаны встроенные группы ролей, которым по умолчанию назначена каждая роль.
| Role | Администратор соответствия требованиям | Администратор & диспетчера обнаружения электронных данных | Управление организацией | Reviewer |
|---|---|---|---|---|
| Управление обращениями |  |
|
|
|
| Коммуникации | |
|||
| Поиск соответствия | |
|
|
|
| Хранитель | |
|||
| Экспорт | |
|||
| Hold | |
|
|
|
| Управление тегами набора для проверки | |
|||
| Предварительная версия | |
|||
| Проверка | |
|
||
| Расшифровка RMS | |
|||
| Поиск и очистка | |
Выполните следующий диагностический тест, чтобы проверка, назначены ли роли экспорта, предварительного просмотра или поиска назначенной учетной записи администратора.
- Выберите элемент управления Справка в правом верхнем углу Портал соответствия требованиям Microsoft Purview. Введите Diag:edisRBACdiag в поиске (или щелкните эту ссылку), чтобы запустить тест проверки RBAC eDiscovery .
- В разделе Запуск диагностика введите имя участника-пользователя или адрес электронной почты пользователя, пытающегося выполнить задачу экспорта, предварительного просмотра или поиска.
- Выберите Выполнить тесты. Если у пользователя нет необходимых ролей обнаружения электронных данных, назначьте роли для выполнения требуемой задачи.
В следующих разделах описана каждая из ролей управления доступом на основе ролей, связанных с обнаружением электронных данных, перечисленных в предыдущей таблице.
Управление обращениями
Эта роль позволяет пользователям создавать, изменять, удалять и контролировать доступ к случаям обнаружения электронных данных (стандартный) и eDiscovery (премиум) на портале соответствия требованиям. Как упоминалось ранее, пользователю должна быть назначена роль "Управление делами ", прежде чем использовать командлет Add-eDiscoveryCaseAdmin , чтобы сделать его администратором обнаружения электронных данных.
Дополнительные сведения см. в разделе:
Коммуникации
Эта роль позволяет пользователям управлять всеми взаимодействиями с хранителями, указанными в случае обнаружения электронных данных (премиум). Это включает в себя создание уведомлений о удержании, напоминаний о удержании и эскалации в управлении. Пользователь также может отслеживать подтверждение хранителем уведомлений о удержании и управлять доступом к порталу хранителя, который используется каждым хранителем для отслеживания сообщений в случаях, когда они были определены в качестве хранителя.
Дополнительные сведения см. в разделе Работа с коммуникациями в eDiscovery (премиум).
Поиск соответствия
Эта роль позволяет пользователям запускать средство поиска контента на портале соответствия требованиям для поиска почтовых ящиков и общедоступных папок, сайтов SharePoint Online, OneDrive для бизнеса сайтов, Skype для бизнеса бесед, групп Microsoft 365, Microsoft Teams и Viva Engage групп. Эта роль позволяет пользователю получить оценку результатов поиска и создать отчеты об экспорте, но для инициирования действий по поиску контента, таких как предварительный просмотр, экспорт или удаление результатов поиска, требуются другие роли.
В поиске контента и обнаружении электронных данных (стандартный) пользователи, которым назначена роль поиска по соответствию, но не имеют роли предварительного просмотра , могут просмотреть результаты поиска, в котором действие предварительного просмотра было инициировано пользователем, которому назначена роль предварительного просмотра . Пользователь без роли предварительного просмотра может просматривать результаты в течение двух недель после создания первоначального действия предварительного просмотра.
Аналогичным образом пользователи в службе "Поиск контента" и "Обнаружение электронных данных" (стандартный), которым назначена роль "Поиск соответствия требованиям ", но не имеют роли "Экспорт" , могут скачать результаты поиска, в котором действие экспорта было инициировано пользователем, которому назначена роль "Экспорт ". Пользователь без роли "Экспорт" может скачать результаты поиска в течение двух недель после создания первоначального действия экспорта. После этого они не смогут скачать результаты, если кто-то с ролью экспорта не перезапустит экспорт.
Двухнедельный льготный период для предварительного просмотра и экспорта результатов поиска (без соответствующих ролей поиска и экспорта) не применяется к обнаружению электронных данных (премиум). Пользователям должны быть назначены роли Предварительный просмотр и Экспорт для предварительного просмотра и экспорта содержимого в eDiscovery (премиум).
Хранитель
Эта роль позволяет пользователям находить хранителей для случаев обнаружения электронных данных (премиум) и управлять ими, а также использовать сведения из Microsoft Entra ID и других источников для поиска источников данных, связанных с хранителями. Пользователь может связать с хранителями другие источники данных, такие как почтовые ящики, сайты SharePoint и Teams. Пользователь также может по закону удерживать источники данных, связанные с хранителями, чтобы сохранить содержимое в контексте дела.
Дополнительные сведения см. в статье Работа с хранителями в eDiscovery (премиум).
Экспорт
Роль позволяет пользователям экспортировать результаты поиска контента на локальный компьютер. Она также позволяет подготовить результаты поиска для анализа в eDiscovery (премиум).
Дополнительные сведения об экспорте результатов поиска см. в статье Экспорт результатов поиска из Портал соответствия требованиям Microsoft Purview.
Hold
Эта роль позволяет пользователям размещать содержимое на удержание в почтовых ящиках, общедоступных папках, сайтах, беседах Skype для бизнеса и группах Microsoft 365. Если содержимое находится на удержании, его владельцы по-прежнему могут изменять или удалять его, но исходный контент будет сохранен до отмены удержания или истечения его срока.
Дополнительные сведения об удержании см. в разделе:
- Создание удержания в обнаружении электронных данных (стандартный)
- Создание удержания в обнаружении электронных данных (премиум)
Управление тегами набора для проверки
Эта роль позволяет пользователям создавать, изменять и удалять теги набора проверок для случаев, к которые они могут получить доступ. Пользователи должны по крайней мере иметь роль "Проверка " и эту роль для управления тегами во время проверок.
Предварительная версия
Эта роль позволяет пользователям просматривать список элементов, возвращенных из поиска контента. Пользователи также могут открывать и просматривать каждый элемент из списка, чтобы просмотреть его содержимое.
Проверка
Эта роль позволяет пользователям получать доступ к наборам проверок в eDiscovery (премиум). Пользователи, которым назначена эта роль, могут просматривать и открывать список дел на странице eDiscovery > Premium на портале соответствия требованиям, участниками которого они являются. Когда пользователь обращается к делу eDiscovery (Premium), он может выбрать Просмотр наборов для доступа к данным о случаях. Эта роль не позволяет пользователю просматривать результаты поиска в коллекции, связанного с делом, или выполнять другие задачи поиска или управления делами. Пользователи с этой ролью могут получить доступ только к данным в наборе для проверки.
Расшифровка RMS
Эта роль позволяет пользователям просматривать защищенные правами сообщения электронной почты при предварительном просмотре результатов поиска и экспорте расшифрованных сообщений электронной почты, защищенных правами. Эта роль также позволяет пользователям просматривать (и экспортировать) файл, зашифрованный с помощью технологии шифрования Майкрософт , когда зашифрованный файл присоединяется к сообщению электронной почты, включенному в результаты поиска eDiscovery. Кроме того, эта роль позволяет пользователям просматривать и запрашивать зашифрованные вложения электронной почты, которые добавляются в набор проверки в eDiscovery (премиум). Дополнительные сведения о расшифровке в eDiscovery см. в разделе Расшифровка в средствах microsoft 365 eDiscovery.
Поиск и очистка
Эта роль позволяет пользователям выполнять массовое удаление данных в соответствии с критериями поиска контента. Дополнительные сведения см. в статье Поиск и удаление сообщений электронной почты в организации.
Добавление групп ролей в качестве членов случаев обнаружения электронных данных
Вы можете добавлять группы ролей в качестве членов случаев обнаружения электронных данных (стандартный) и eDiscovery (премиум), чтобы члены групп ролей могли получать доступ к назначенным делам и выполнять задачи в назначенных случаях. Роли, назначенные группе ролей, определяют, что члены группы ролей могут делать. Затем добавление группы ролей в качестве участника дела позволяет участникам получать доступ к этим задачам и выполнять их в определенном случае. Дополнительные сведения о добавлении групп ролей в качестве членов вариантов см. в разделе:
- Начало работы с eDiscovery (стандарт)
- Добавление или удаление участников из дела eDiscovery (Премиум)
Учитывая это требование, важно знать, что при добавлении или удалении роли из группы ролей эта группа ролей будет автоматически удалена как член группы ролей в любом случае. Причина этого заключается в том, чтобы защитить организацию от непреднамеренного предоставления дополнительных разрешений участникам дела. Аналогичным образом, если группа ролей удаляется, она удаляется из всех случаев, в которые она входила.
Перед добавлением или удалением ролей в группе ролей, которая может быть участником дела eDiscovery, можно выполнить следующие команды в PowerShell по обеспечению безопасности & соответствия требованиям, чтобы получить список случаев, в которые входит группа ролей. После обновления группы ролей вы добавляете ее обратно в качестве участника этих случаев.
Получение списка случаев обнаружения электронных данных (стандартный), которым назначена группа ролей
Get-ComplianceCase -RoleGroup "Name of role group"
Получение списка случаев обнаружения электронных данных (premium), которым назначена группа ролей
Get-ComplianceCase -RoleGroup "Name of role group" -CaseType AdvancedEdiscovery
Дополнительная информация
Зачем создавать администратора, ответственного за обнаружение электронных данных? Как уже упоминалось ранее, администратор обнаружения электронных данных является членом группы ролей диспетчера электронных данных , который может просматривать и получать доступ ко всем случаям обнаружения электронных данных в вашей организации. Эта возможность доступа ко всем делам eDiscovery имеет две важные цели:
- Если пользователь, который является единственным участником дела eDiscovery, покидает вашу организацию, никто (включая членов группы ролей "Управление организацией " или другого участника группы ролей диспетчера электронных данных ) не сможет получить доступ к делу обнаружения электронных данных, так как он не является участником дела. В этой ситуации доступ к данным в деле будет невозможен. Но так как администратор обнаружения электронных данных может получить доступ ко всем случаям обнаружения электронных данных в организации, он может просмотреть дело и добавить себя или другого менеджера по обнаружению электронных данных в качестве участника дела.
- Так как администратор обнаружения электронных данных может просматривать и получать доступ ко всем случаям обнаружения электронных данных (стандартный) и eDiscovery (премиум), он может выполнять аудит и контролировать все случаи и связанные с ними поиски соответствия. Эта функция помогает предотвратить любое неправильное использование поиска соответствия требованиям или случаев обнаружения электронных данных. Так как администраторы обнаружения электронных данных могут получать доступ к потенциально конфиденциальной информации в результатах поиска соответствия требованиям, следует ограничить число пользователей, которые являются администраторами обнаружения электронных данных.
Можно ли добавить группу в качестве члена группы ролей Диспетчера обнаружения электронных данных? Как упоминалось ранее, вы можете добавить группу безопасности с поддержкой почты в качестве члена подгруппы диспетчеров обнаружения электронных данных в группе ролей диспетчера электронных данных с помощью командлета Add-RoleGroupMember в PowerShell по обеспечению соответствия требованиям безопасности &. Например, можно выполнить следующую команду, чтобы добавить группу безопасности с поддержкой почты в группу ролей диспетчера обнаружения электронных данных.
Add-RoleGroupMember "eDiscovery Manager" -Member <name of security group>Группы рассылки Exchange и Группы Microsoft 365 не поддерживаются. Необходимо использовать группу безопасности с поддержкой почты, которую можно создать в Exchange Online PowerShell, запустив
New-DistributionGroup -Type Security. Вы также можете создать группу безопасности с поддержкой почты (и добавить участников) в Центре администрирования Exchange или в Центр администрирования Microsoft 365. После создания новой группы безопасности с поддержкой почты может потребоваться до 60 минут, чтобы добавить ее в группу ролей Диспетчеры обнаружения электронных данных.Кроме того, как упоминалось ранее, вы не можете сделать группу безопасности с поддержкой почты администратором обнаружения электронных данных с помощью командлета Add-eDiscoveryCaseAdmin в PowerShell для обеспечения соответствия требованиям безопасности &. В качестве администраторов обнаружения электронных данных можно добавлять только отдельных пользователей.
Вы также не можете добавить группу безопасности с поддержкой почты в качестве участника дела.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по