安全与合规中心内的权限
提示
是否知道可以在 Microsoft 365 Defender 中免费试用Office 365计划 2 中的功能? 在Microsoft 365 Defender门户试用中心使用为期 90 天的Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
适用对象
安全&合规中心允许你向执行符合性任务的人员授予权限,例如设备管理、数据丢失防护、电子数据展示、保留等。 这些人员只能执行你明确授予其访问权限的任务。 若要访问安全&合规中心,用户需要是全局管理员或一个或多个安全&合规中心角色组的成员。
安全&合规中心中的权限基于基于角色的访问控制 (RBAC) 权限模型。 RBAC 是 Exchange 使用的相同权限模型,因此如果你熟悉 Exchange,则在安全&合规中心授予权限将非常相似。 但是,请务必记住,Exchange 角色组和安全&合规中心角色组不共享成员身份或权限。 尽管二者都有一个组织管理角色组,但这两个角色组并不相同。 角色组授予的权限以及角色组的成员都有区别。 下面列出了安全&合规中心角色组。
成员、角色和角色组之间的关系
角色 可授予执行一组任务的权限;例如,事例管理角色可以让人员处理电子数据展示事例。
角色组 是一组角色,使用户能够跨安全&合规中心执行其工作。 例如,合规性管理员角色组) 案例管理、内容搜索和组织配置 (以及其他) 的角色包括 (,因为合规性管理员需要这些任务的权限才能完成其工作。
安全&合规中心包含用于将人员分配到的最常见任务和函数的默认角色组。 建议将单个用户作为 成员 添加到默认角色组。
安全&合规中心中的角色组
下表列出了安全&合规中心中可用的默认角色组,以及默认分配给角色组的角色。 若要向用户授予执行合规性任务的权限,请将其添加到相应的安全&合规中心角色组。
在安全&合规中心管理权限仅允许用户访问安全&合规中心本身中可用的合规性功能。 如果要授予对安全&合规中心中其他符合性功能(如 Exchange 邮件流规则 (也称为传输规则) )的权限,则需要使用 Exchange 管理中心 (EAC) 。 有关详细信息,请参阅 Exchange Online 中权限。
若要了解如何授予对安全&合规中心的访问权限,请查看 向用户授予对 Microsoft Purview 管理中心的访问权限。
备注
若要在安全&合规中心查看“权 限”选项 卡,需要是管理员。具体而言,需要为你分配 角色管理 角色,默认情况下,该角色仅分配给安全&合规中心中的 组织管理 角色组。 此外, 角色管理 角色允许用户查看、创建和修改角色组。
| 角色组 | 说明 | 分配的默认角色 |
|---|---|---|
| 攻击模拟管理员 | 请勿在安全&合规中心中使用此角色组。 在 Azure AD 中使用相应的角色。 | 攻击模拟器管理员 |
| 攻击模拟器有效负载作者 | 请勿在安全&合规中心中使用此角色组。 在 Azure AD 中使用相应的角色。 | 攻击模拟器有效负载作者 |
| 通信合规性 | 为所有通信合规性角色提供权限:管理员、分析师、调查员和查看者。 | 案例管理 通信合规性管理员 通信合规性分析员 通信合规性案例管理 通信合规性调查员 通信合规性查看者 数据分类反馈提供程序 数据连接器管理员 View-Only案例 |
| 通信合规性管理员 | 通信合规性的管理员,可以创建/编辑策略并定义全局设置。 | 通信合规性管理员 通信合规性案例管理 数据连接器管理员 |
| 通信合规性分析师 | 可调查策略匹配项、查看消息元数据并执行修正操作的通信符合性分析器。 | 通信合规性分析员 通信合规性案例管理 |
| 通信合规性调查员 | 可调查策略匹配项、查看消息内容并执行修正操作的通信合规性分析人员。 | 案例管理 通信合规性分析员 通信合规性案例管理 通信合规性调查员 数据分类反馈提供程序 View-Only案例 |
| 通信合规性查看器 | 可访问可用报表和小组件的通信符合性查看器。 | 通信合规性案例管理 通信合规性查看者 |
| 合规性管理员1 | 成员可以管理设备管理、数据丢失防护、报告和保留相关的设置。 | 案例管理 通信合规性管理员 通信合规性案例管理 合规管理员 合规性搜索 数据分类反馈提供程序 数据分类反馈审阅者 数据连接器管理员 数据调查管理 设备管理 处置管理 DLP 合规性管理 Hold IB 合规性管理 信息保护管理员 信息保护分析师 信息保护调查员 信息保护读者 预览体验成员风险管理管理员 管理通知 组织配置 RecordManagement 保留管理 仅供查看审核日志 View-Only案例 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only管理警报 仅查看收件人 View-Only记录管理 View-Only保留管理 |
| 合规数据管理员 | 成员可以管理设备管理、数据保护、数据丢失防护、报表和保存的设置。 | 合规管理员 合规性搜索 数据连接器管理员 设备管理 处置管理 DLP 合规性管理 IB 合规性管理 信息保护管理员 信息保护分析师 信息保护调查员 信息保护读者 管理通知 组织配置 RecordManagement 保留管理 敏感度标签管理员 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only管理警报 仅查看收件人 View-Only记录管理 View-Only保留管理 |
| 合规性管理器管理员 | 管理模板的创建和修改。 | 合规性管理器管理 合规性管理器评估 合规性管理器贡献 合规性管理器读者 数据连接器管理员 |
| 合规性管理器评估员 | 为改进操作创建评估、实施改进操作和更新测试状态。 | 合规性管理器评估 合规性管理器贡献 合规性管理器读者 数据连接器管理员 |
| 合规性管理器参与者 | 创建评估并执行工作以实现改进操作。 | 合规性管理器贡献 合规性管理器读者 数据连接器管理员 |
| 合规性管理器读者 | 查看除管理员函数以外的所有合规性管理器内容。 | 合规性管理器读者 |
| 内容资源管理器内容查看器 | 在内容资源管理器中查看内容文件。 | 数据分类内容查看器 |
| 内容资源管理器列表查看器 | 仅以列表格式查看内容资源管理器中的所有项。 | 数据分类列表查看器 |
| 数据调查员 | 对邮箱、SharePoint Online 网站和OneDrive for Business位置执行搜索。 | 通信 合规性搜索 Custodian 数据调查管理 导出 预览 审阅 RMS 解密 搜索和清除 |
| 电子数据展示管理员 | 成员可以执行搜索并将邮箱、SharePoint Online 网站和 OneDrive for Business 位置置于保留状态。 成员还可以创建和管理电子数据展示案例、向案例添加和删除成员、创建和编辑与案例关联的内容搜索,以及访问电子数据展示 (高级) 中的案例数据。 电子数据展示管理员是电子数据展示管理员角色组的成员,该成员已分配有其他权限。 除了电子数据展示管理器可以执行的任务外,电子数据展示管理员还可以:
电子数据展示管理器与电子数据展示管理员之间的主要区别在于,电子数据展示管理员可以访问安全&合规中心 电子数据展示案例 页上列出的所有事例。 电子数据展示管理器只能访问他们创建的案例或它们所属的案例。 有关使用户成为电子数据展示管理员的详细信息,请参阅 安全&合规中心中分配电子数据展示权限。 |
案例管理 通信 合规性搜索 Custodian 导出 Hold 预览 审阅 RMS 解密 |
| 全局读取者 | 成员对报表、警报具有只读访问权限,并且可以查看所有配置和设置。 全局读取器和安全读取器之间的主要区别是全局读取器可以访问 配置和设置。 |
安全信息读取者 敏感度标签读取器 服务保障视图 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only管理警报 仅查看收件人 View-Only记录管理 View-Only保留管理 |
| 信息保护 | 完全控制所有信息保护功能,包括敏感度标签及其策略、DLP、所有分类器类型、活动和内容资源管理器以及所有相关报告。 | 数据分类内容查看器 信息保护管理员 信息保护分析师 信息保护调查员 信息保护读者 |
| 信息保护管理员 | 创建、编辑和删除 DLP 策略、敏感度标签及其策略以及所有分类器类型。 管理自动标记策略的终结点 DLP 设置和模拟模式。 | 信息保护管理员 |
| 信息保护分析师 | 访问和管理 DLP 警报和活动资源管理器。 仅查看对 DLP 策略、敏感度标签及其策略以及所有分类器类型的访问权限。 | 数据分类列表查看器 信息保护分析师 |
| 信息保护调查员 | 访问和管理 DLP 警报、活动资源管理器和内容资源管理器。 仅查看对 DLP 策略、敏感度标签及其策略以及所有分类器类型的访问权限。 | 数据分类内容查看器 信息保护分析师 信息保护调查员 |
| 信息保护读取器 | 对 DLP 策略、敏感度标签及其策略的报表的仅查看访问权限。 | 信息保护读者 |
| 内部风险管理 | 使用此角色组来管理单个组中组织的预览体验成员风险管理。 通过添加指定管理员、分析师和支持人员的所有用户帐户,可在单个组中配置预览体验计划风险管理权限。 此角色组包含所有预览体验计划风险管理权限角色。 这是快速开始使用预览体验计划风险管理的最简单方法,非常适合不需要为单独的用户组定义单独权限的组织。 | 案例管理 数据连接器管理员 预览体验成员风险管理管理员 预览体验成员风险管理分析 预览体验成员风险管理审核 预览体验成员风险管理调查 预览体验成员风险管理会话 View-Only案例 |
| 预览体验成员风险管理管理员 | 使用此角色组最初配置预览体验成员风险管理,然后将预览体验成员风险管理员隔离到定义的组中。 此角色组的用户可以创建、阅读、更新和删除预览体验计划风险管理策略、全局设置和角色组分配。 | 案例管理 数据连接器管理员 预览体验成员风险管理管理员 View-Only案例 |
| 预览体验计划风险管理分析员 | 使用此组为将充当预览体验成员案例分析员的用户分配权限。 此角色组的用户可以访问所有预览体验计划风险管理警报、案例和通知模板。 他们无法访问预览体验成员风险内容资源管理器。 | 案例管理 预览体验成员风险管理分析 View-Only案例 |
| 预览体验成员风险管理审核员 | 使用此组向将审核内部风险管理活动的用户分配权限。 此角色组中的用户可以访问内部风险审核日志。 | 预览体验成员风险管理审核 |
| 预览体验计划风险管理调查员 | 使用此组为将充当预览体验成员、风险数据执行者的用户分配权限。 此角色组的用户可以访问所有事例的预览体验计划风险管理警报、案例、通知模板和内容资源管理器。 | 案例管理 预览体验成员风险管理调查 View-Only案例 |
| 预览体验成员风险管理会话审批者 | 管理用于会话录制的组修改请求。 | 预览体验成员风险管理会话 |
| IRM 参与者 | 此角色组可见,但仅由后台服务使用。 | 预览体验成员风险管理永久贡献 预览体验成员风险管理临时贡献 |
| 知识管理员 | 配置知识、学习、分配培训和其他智能功能。 | 知识管理员 |
| 邮件流管理员 | 成员可以在安全&合规中心监视和查看邮件流见解和报表。 全局管理员可以将普通用户添加到此组,但是,如果用户不是 Exchange 管理员组的成员,则用户将无权访问与 Exchange 管理员相关的任务。 | 仅查看收件人 |
| 组织管理1 | 成员可以控制访问安全&合规中心功能的权限,还可以管理设备管理、数据丢失防护、报表和保存的设置。 不是全局管理员的用户必须是 Exchange 管理员,才能查看由 Microsoft 365 基本移动性和安全性管理的设备, (以前称为移动设备管理或 MDM) 。 全局管理员会自动添加为此角色组的成员,但不会在安全&合规性 PowerShell 中 Get-RoleGroupMember cmdlet 的输出中看到这些管理员。 |
审核日志 案例管理 通信合规性管理员 通信合规性案例管理 合规管理员 合规性搜索 数据连接器管理员 设备管理 DLP 合规性管理 Hold IB 合规性管理 预览体验成员风险管理管理员 管理通知 组织配置 Quarantine RecordManagement 保留管理 角色管理 搜索和清除 安全管理员 安全信息读取者 敏感度标签管理员 敏感度标签读取器 服务保障视图 标记参与者 标记管理器 标记读取器 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only案例 View-Only管理警报 仅查看收件人 View-Only记录管理 View-Only保留管理 |
| 隐私管理 | 在Microsoft Purview 合规门户中管理 Priva 的访问控制。 | 案例管理 数据分类内容查看器 数据分类列表查看器 隐私管理管理员 隐私管理分析 隐私管理调查 隐私管理永久贡献 隐私管理临时贡献 隐私管理查看器 使用者权限请求管理员 View-Only案例 |
| 隐私管理管理员 | 隐私管理解决方案的管理员,可以创建/编辑策略并定义全局设置。 | 案例管理 隐私管理管理员 View-Only案例 |
| 隐私管理分析师 | 隐私管理解决方案的分析师,可以调查策略匹配项、查看消息元数据并采取修正措施。 | 案例管理 数据分类列表查看器 隐私管理分析 View-Only案例 |
| 隐私管理参与者 | 管理隐私管理案例的参与者访问权限。 | 隐私管理永久贡献 隐私管理临时贡献 |
| 隐私管理调查人员 | 隐私管理解决方案的调查人员,可以调查策略匹配项、查看消息内容并采取补救措施。 | 案例管理 数据分类内容查看器 数据分类列表查看器 隐私管理调查 View-Only案例 |
| 隐私管理查看者 | 可访问可用仪表板和小组件的隐私管理解决方案的查看器。 | 数据分类列表查看器 隐私管理查看器 |
| 隔离管理员 | 成员可以访问所有隔离操作。 有关详细信息,请参阅 EOP 中的管理员身份管理隔离的消息和文件 | Quarantine |
| 记录管理 | 成员可以配置记录管理的所有方面,包括保留标签和处置评审。 | 处置管理 RecordManagement 保留管理 |
| Reviewer | 成员可以访问 电子数据展示 (高级) 案例中的审阅集。 此角色组的成员可以在电子 数据展示>高级 页面上查看并打开其成员Microsoft Purview 合规门户中的案例列表。 用户访问电子数据展示 (高级) 案例后,可以选择 “审阅”集 来访问案例数据。 此角色不允许用户预览与案例关联的集合搜索结果,也不允许执行其他搜索或案例管理任务。 此角色组的成员只能访问审阅集中的数据。 | 审阅 |
| 安全管理员 | 成员可以访问标识保护中心、Privileged Identity Management、Monitor Microsoft 365 服务运行状况和安全&合规中心的多种安全功能。 默认情况下,此角色组可能看起来没有任何成员。 但是,Azure Active Directory 中的安全管理员角色分配给此角色组。 因此,此角色组从 Azure Active Directory 继承安全管理员角色的功能和成员身份。 若要集中管理权限,请在 Azure Active Directory 管理中心添加和删除组成员。 有关详细信息,请参阅 Azure AD内置角色。 如果在安全&合规中心中编辑此角色组 (成员身份或角色) ,则这些更改仅适用于安全&合规中心,而不适用于任何其他服务。 此角色组包括安全读取者角色的所有只读权限,以及一些针对相同服务的其他管理权限:Azure 信息保护、标识保护中心、Privileged Identity Management、Monitor Microsoft 365 服务运行状况和安全&合规中心。 |
审核日志 设备管理 DLP 合规性管理 IB 合规性管理 管理通知 Quarantine 安全管理员 敏感度标签管理员 标记参与者 标记管理器 标记读取器 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only管理警报 |
| 安全操作员 | 成员可以管理安全警报,还可以查看安全功能的报告和设置。 | 合规性搜索 管理通知 安全信息读取者 标记参与者 标记读取器 租户 AllowBlockList Manager 仅供查看审核日志 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only管理警报 |
| 安全信息读取者 | 成员对标识保护中心、Privileged Identity Management、监视 Microsoft 365 服务运行状况和安全&合规中心的许多安全功能具有只读访问权限。 默认情况下,此角色组可能看起来没有任何成员。 但是,Azure Active Directory 中的安全读取者角色分配给此角色组。 因此,此角色组从 Azure Active Directory 继承安全读取者角色的功能和成员身份。 若要集中管理权限,请在 Azure Active Directory 管理中心添加和删除组成员。 有关详细信息,请参阅 Azure AD内置角色。 如果在安全&合规中心中编辑此角色组 (成员身份或角色) ,则这些更改仅适用于安全&合规中心,而不适用于任何其他服务。 |
安全信息读取者 敏感度标签读取器 标记读取器 View-Only 设备管理 View-Only DLP 合规性管理 View-Only IB 合规性管理 View-Only管理警报 |
| 服务保证用户 | 成员可以访问安全&合规中心中的“服务保障”部分。 “服务保证”提供的报告和文档描述了 Microsoft 为存储在 Microsoft 365 中的客户数据提供的安全措施。 它还针对 Microsoft 365 提供独立的第三方审核报告。 有关详细信息,请参阅 安全&合规中心中的服务保证。 | 服务保障视图 |
| 使用者权限请求管理员 | 创建使用者权限请求。 | 案例管理 使用者权限请求管理员 View-Only案例 |
| 监管审核 | 成员可以创建和管理用于定义哪类通讯在组织中易受到审查的策略。 有关详细信息,请参阅为 组织配置通信合规性策略。 | 监督评审管理员 |
备注
1 此角色组不为成员分配搜索审核日志或使用任何可能包含 Exchange 数据的报表(例如 DLP 或Defender for Office 365报表)所需的权限。 若要搜索审核日志或查看所有报表,必须在Exchange Online中为用户分配权限。 这是因为用于搜索审核日志的基础 cmdlet 是 Exchange Online cmdlet。 全局管理员可以搜索审核日志并查看所有报表,因为它们会自动添加为Exchange Online中的组织管理角色组的成员。 有关详细信息,请参阅 安全&合规中心中的“搜索审核日志”。
安全&合规中心中的角色
下表列出了默认情况下分配给的可用角色和角色组。
请注意,默认情况下,不会将以下角色分配给组织管理角色组:
- 攻击模拟器管理员
- 攻击模拟器有效负载作者
- 通信
- 通信合规性分析员
- 通信合规性调查员
- 通信合规性查看者
- 合规性管理器管理
- 合规性管理器评估
- 合规性管理器贡献
- 合规性管理器读者
- Custodian
- 数据分类内容查看器
- 数据分类反馈提供程序
- 数据分类反馈审阅者
- 数据分类列表查看器
- 数据调查管理
- 处置管理
- 导出
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
- 预览体验成员风险管理分析
- 预览体验成员风险管理审核
- 预览体验成员风险管理调查
- 预览体验成员风险管理永久贡献
- 预览体验成员风险管理会话
- 预览体验成员风险管理临时贡献
- 知识管理员
- 预览
- 隐私管理管理员
- 隐私管理分析
- 隐私管理调查
- 隐私管理永久贡献
- 隐私管理临时贡献
- 隐私管理查看器
- 审阅
- RMS 解密
- 使用者权限请求管理员
- 监督评审管理员
- 租户 AllowBlockList Manager
| Role | 说明 | 默认角色组分配 |
|---|---|---|
| 攻击模拟器管理员 | 请勿在安全&合规中心中使用此角色。 在 Azure AD 中使用相应的角色。 | 攻击模拟器管理员 |
| 攻击模拟器有效负载作者 | 请勿在安全&合规中心中使用此角色。 在 Azure AD 中使用相应的角色。 | 攻击模拟器有效负载作者 |
| 审核日志 | 打开并配置组织的审核,查看组织的审核报告,然后将这些报告导出到文件。 | 组织管理 安全管理员 |
| 案例管理 | 创建、编辑、删除和控制对电子数据展示事例的访问。 | 通信合规性 通信合规性调查员 合规管理员 电子数据展示管理员 内部风险管理 预览体验成员风险管理管理员 预览体验计划风险管理分析员 预览体验计划风险管理调查员 组织管理 隐私管理 隐私管理管理员 隐私管理分析师 隐私管理调查人员 使用者权限请求管理员 |
| 通信 | 管理与电子数据展示 (高级) 案例中标识的保管人的所有通信。 创建保留通知、保留提醒和升级到管理。 跟踪保管人对保留通知的确认,并管理对保管人门户的访问权限。在一个案例中,每个保管人都使用该门户跟踪被标识为保管人的情况的通信。 | 数据调查员 电子数据展示管理员 |
| 通信合规性管理员 | 用于管理通信合规性功能中的策略。 | 通信合规性 通信合规性管理员 合规管理员 组织管理 |
| 通信合规性分析员 | 用于在通信合规性功能中对消息冲突进行调查和修正。 只能查看消息元数据。 | 通信合规性 通信合规性分析师 通信合规性调查员 |
| 通信合规性案例管理 | 用于访问通信符合性案例。 | 通信合规性 通信合规性管理员 通信合规性分析师 通信合规性调查员 通信合规性查看器 合规管理员 组织管理 |
| 通信合规性调查员 | 用于在通信合规性功能中执行调查、修正和查看消息冲突。 可以查看消息元数据和消息。 | 通信合规性 通信合规性调查员 |
| 通信合规性查看者 | 用于访问通信合规性功能中的报表和小组件。 | 通信合规性 通信合规性查看器 |
| 合规性管理员 | 查看和编辑符合性功能的设置和报表。 | 合规管理员 合规数据管理员 组织管理 |
| 合规性管理器管理 | 管理模板的创建和修改。 | 合规性管理器管理员 |
| 合规性管理器评估 | 为改进操作创建评估、实施改进操作和更新测试状态。 | 合规性管理器管理员 合规性管理器评估员 |
| 合规性管理器贡献 | 创建评估并执行工作以实现改进操作。 | 合规性管理器管理员 合规性管理器评估员 合规性管理器参与者 |
| 合规性管理器读者 | 查看除管理员函数以外的所有合规性管理器内容。 | 合规性管理器管理员 合规性管理器评估员 合规性管理器参与者 合规性管理器读者 |
| 合规性搜索 | 跨邮箱执行搜索,并获取结果的估计值。 | 合规管理员 合规数据管理员 数据调查员 电子数据展示管理员 组织管理 安全操作员 |
| Custodian | 识别和管理电子数据展示 (高级) 案例的保管人,并使用 Azure Active Directory 和其他源中的信息查找与保管人关联的数据源。 将其他数据源(例如邮箱、SharePoint 网站和 Teams)与事例中的保管人关联。 对与保管人关联的数据源进行法律保留,以在案件上下文中保留内容。 | 数据调查员 电子数据展示管理员 |
| 数据分类内容查看器 | 在内容资源管理器中查看文件的就地呈现。 | 内容资源管理器内容查看器 信息保护 信息保护调查员 隐私管理 隐私管理调查人员 |
| 数据分类反馈提供程序 | 允许向内容资源管理器中的分类器提供反馈。 | 通信合规性 通信合规性调查员 合规管理员 |
| 数据分类反馈审阅者 | 允许在反馈资源管理器中查看来自分类器的反馈。 | 合规管理员 |
| 数据分类列表查看器 | 查看内容资源管理器中的文件列表。 | 内容资源管理器列表查看器 信息保护分析师 隐私管理 隐私管理分析师 隐私管理调查人员 隐私管理查看者 |
| 数据连接器管理员 | 创建和管理连接器以在 Microsoft 365 中导入和存档非 Microsoft 数据。 | 通信合规性 通信合规性管理员 合规管理员 合规数据管理员 合规性管理器管理员 合规性管理器评估员 合规性管理器参与者 内部风险管理 预览体验成员风险管理管理员 组织管理 |
| 数据调查管理 | 创建、编辑、删除和控制对数据调查的访问。 | 合规管理员 数据调查员 |
| 设备管理 | 查看和编辑设备管理功能的设置和报表。 | 合规管理员 合规数据管理员 组织管理 安全管理员 |
| 处置管理 | 控制在安全&合规中心中访问手动处置的权限。 | 合规管理员 合规数据管理员 记录管理 |
| DLP 合规性管理 | 查看和编辑数据丢失防护 (DLP) 策略的设置和报告。 | 合规管理员 合规数据管理员 组织管理 安全管理员 |
| Export | 导出从搜索返回的邮箱和网站内容。 | 数据调查员 电子数据展示管理员 |
| Hold | 将内容放在邮箱、网站和公用文件夹中。 保留时,内容的副本存储在安全位置。 内容所有者仍能够修改或删除原始内容。 | 合规管理员 电子数据展示管理员 组织管理 |
| IB 合规性管理 | 查看、创建、删除、修改和测试信息屏障策略。 | 合规管理员 合规数据管理员 组织管理 安全管理员 |
| 信息保护管理员 | 创建、编辑和删除 DLP 策略、敏感度标签及其策略以及所有分类器类型。 管理自动标记策略的终结点 DLP 设置和模拟模式。 | 合规管理员 合规数据管理员 信息保护 信息保护管理员 |
| 信息保护分析师 | 访问和管理 DLP 警报和活动资源管理器。 仅查看对 DLP 策略、敏感度标签及其策略以及所有分类器类型的访问权限。 | 合规管理员 合规数据管理员 信息保护 信息保护分析师 信息保护调查员 |
| 信息保护调查员 | 访问和管理 DLP 警报、活动资源管理器和内容资源管理器。 仅查看对 DLP 策略、敏感度标签及其策略以及所有分类器类型的访问权限。 | 合规管理员 合规数据管理员 信息保护 信息保护调查员 |
| 信息保护读者 | 对 DLP 策略、敏感度标签及其策略的报表的仅查看访问权限。 | 合规管理员 合规数据管理员 信息保护 信息保护读者 |
| 预览体验成员风险管理管理员 | 创建、编辑、删除和控制对预览体验成员风险管理功能的访问。 | 合规管理员 内部风险管理 预览体验成员风险管理管理员 组织管理 |
| 预览体验成员风险管理分析 | 访问所有内部风险管理警报、案例和通知模板。 | 内部风险管理 预览体验计划风险管理分析员 |
| 预览体验成员风险管理审核 | 允许查看预览体验成员风险审核线索。 | 内部风险管理 预览体验成员风险管理审核员 |
| 预览体验成员风险管理调查 | 访问所有案例的所有内部风险管理警报、案例、通知模板和内容资源管理器。 | 内部风险管理 预览体验计划风险管理调查员 |
| 预览体验成员风险管理永久贡献 | 此角色组可见,但仅由后台服务使用。 | IRM 参与者 |
| 预览体验成员风险管理会话 | 允许管理用于会话录制的组修改请求。 | 内部风险管理 预览体验成员风险管理会话审批者 |
| 预览体验成员风险管理临时贡献 | 此角色组可见,但仅由后台服务使用。 | IRM 参与者 |
| 知识管理员 | 配置知识、学习、分配培训和其他智能功能。 | 知识管理员 |
| 管理警报 | 查看和编辑警报的设置和报表。 | 合规管理员 合规数据管理员 组织管理 安全管理员 安全操作员 |
| 组织配置 | 运行、查看和导出审核报告,并管理 DLP、设备和保留的符合性策略。 | 合规管理员 合规数据管理员 组织管理 |
| 预览 | 查看从内容搜索返回的项目列表,并打开列表中的每个项以查看其内容。 | 数据调查员 电子数据展示管理员 |
| 隐私管理管理员 | 在隐私管理中管理策略,并有权访问解决方案的所有功能。 | 隐私管理 隐私管理管理员 |
| 隐私管理分析 | 在隐私管理中对违反消息的行为进行调查和修正。 只能查看消息元数据。 | 隐私管理 隐私管理分析师 |
| 隐私管理调查 | 在隐私管理中执行调查、修正和审查消息冲突。 可以查看消息元数据和完整消息。 | 隐私管理 隐私管理调查人员 |
| 隐私管理永久贡献 | 作为永久参与者的访问隐私管理案例。 | 隐私管理 隐私管理参与者 |
| 隐私管理临时贡献 | 以临时参与者身份访问隐私管理案例。 | 隐私管理 隐私管理参与者 |
| 隐私管理查看器 | 访问隐私管理中的仪表板和小组件。 | 隐私管理 隐私管理查看者 |
| 隔离 | 允许查看和发布隔离的电子邮件。 | 隔离管理员 安全管理员 组织管理 |
| RecordManagement | 查看和编辑记录管理功能的配置。 | 合规管理员 合规数据管理员 组织管理 记录管理 |
| 保留管理 | 管理保留策略、保留标签和保留标签策略。 | 合规管理员 合规数据管理员 组织管理 记录管理 |
| 审阅 | 此角色允许用户访问电子数据展示 (高级) 事例中的审阅集。 分配此角色的用户可以在电子 数据展示>高级 页面上查看并打开其成员Microsoft Purview 合规门户中的案例列表。 用户访问电子数据展示 (高级) 案例后,可以选择 “审阅”集 来访问案例数据。 此角色不允许用户预览与案例关联的集合搜索结果,也不允许执行其他搜索或案例管理任务。 具有此角色的用户只能访问审阅集中的数据。 | 数据调查员 电子数据展示管理员 Reviewer |
| RMS 解密 | 导出搜索结果时解密受 RMS 保护的内容。 | 数据调查员 电子数据展示管理员 |
| 角色管理 | 管理角色组成员身份并创建或删除自定义角色组。 | 组织管理 |
| 搜索和清除 | 允许用户批量删除与内容搜索条件匹配的数据。 | 数据调查员 组织管理 |
| 安全管理员 | 查看和编辑安全功能的配置和报表。 | 组织管理 安全管理员 |
| 安全信息读取者 | 查看安全功能的配置和报表。 | 全局读取者 组织管理 安全操作员 安全信息读取者 |
| 敏感度标签管理员 | 查看、创建、修改和删除敏感度标签。 | 合规数据管理员 组织管理 安全管理员 |
| 敏感度标签读取器 | 查看敏感度标签的配置和使用情况。 | 全局读取者 组织管理 安全信息读取者 |
| 服务保障视图 | 从“服务保障”部分下载可用文档。 内容包括用于使用 Microsoft 365 功能管理法规合规性和安全风险的独立审核、合规性文档和与信任相关的指南。 | 全局读取者 组织管理 服务保证用户 |
| 监督评审管理员 | 管理监督审查策略,包括要审查的通信和应审查的人员。 | 监管审核 |
| 标记参与者 | 查看和更新现有用户标记的成员身份。 | 组织管理 安全管理员 安全操作员 |
| 标记管理器 | 查看、更新、创建和删除用户标记。 | 组织管理 安全管理员 |
| 标记读取器 | 对现有用户标记的只读访问权限。 | 安全信息读取者 |
| 租户 AllowBlockList Manager | 管理租户允许块列表设置。 | 安全操作员 |
| 仅供查看审核日志 | 查看和导出审核报告。 由于这些报表可能包含敏感信息,因此应仅将此角色分配给明确需要查看此信息的人员。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 |
| 仅查看案例 | 通信合规性 通信合规性调查员 合规管理员 内部风险管理 预览体验成员风险管理管理员 预览体验计划风险管理分析员 Insider RiskManagement Investigators 组织管理 隐私管理 隐私管理管理员 隐私管理分析师 隐私管理调查人员 使用者权限请求管理员 |
|
| 仅视图设备管理 | 查看设备管理功能的配置和报表。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 安全信息读取者 |
| 仅视图 DLP 符合性管理 | 查看 DLP) 策略 (数据丢失防护的设置和报告。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 安全信息读取者 |
| 仅查看 IB 合规性管理 | 查看信息屏障功能的配置和报表。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 安全信息读取者 |
| 仅查看管理警报 | 查看“管理警报”功能的配置和报表。 | 合规管理员 合规数据管理员 全局读取者 组织管理 安全管理员 安全操作员 安全信息读取者 |
| 仅查看收件人 | 查看有关用户和组的信息。 | 合规管理员 合规数据管理员 全局读取者 邮件流管理员 组织管理 |
| 仅查看记录管理 | 查看记录管理功能的配置。 | 合规管理员 合规数据管理员 全局读取者 组织管理 |
| 仅视图保留管理 | 查看保留策略、保留标签和保留标签策略的配置。 | 合规管理员 合规数据管理员 全局管理员 组织管理 |