Berechtigungen im Microsoft Purview-Portal
Das Microsoft Purview-Portal unterstützt die direkte Verwaltung von Berechtigungen für Benutzer, die Aufgaben in Microsoft Purview ausführen. Mithilfe des Bereichs Rollen und Bereiche in den Einstellungen für das Portal können Sie Berechtigungen für Benutzer in Ihren Purview-Lösungen für Datensicherheit, Datengovernance sowie Risiko- und Compliancelösungen verwalten. Sie können Benutzer so einschränken, dass sie nur bestimmte Aufgaben ausführen, auf die Sie ihnen explizit Zugriff gewähren. Durch Auswahl von Risiko- und Compliancelösungen im Portal werden diese Lösungen derzeit im Microsoft Purview-Complianceportal geöffnet.
Um Rollengruppen im Bereich Rollen und Bereiche im Purview-Portal anzuzeigen, müssen Benutzer ein globaler Administrator sein oder der Rolle "Rollenverwaltung " zugewiesen werden (eine Rolle wird nur der Rollengruppe "Organisationsverwaltung " zugewiesen). Mit der Rollenverwaltungsrolle können Benutzer Rollengruppen anzeigen, erstellen und ändern.
Verwenden von Rollen mit den geringsten Berechtigungen
Microsoft empfiehlt immer, Rollen mit den geringsten Berechtigungen zu verwenden. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Bei der Planung Ihrer Zugriffssteuerungsstrategie ist es eine bewährte Methode , den Zugriff für die geringsten Rechte für Ihre Benutzer zu verwalten. Die geringste Berechtigung bedeutet, dass Sie Ihren Administratoren genau die Berechtigung erteilen, die sie für ihre Arbeit benötigen.
Purview-Berechtigungen
Berechtigungen im Purview-Portal basieren auf dem Berechtigungsmodell der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). RBAC ist dasselbe Berechtigungsmodell, das von den meisten Microsoft 365-Diensten verwendet wird. Wenn Sie also mit der Berechtigungsstruktur in diesen Diensten vertraut sind, ist das Erteilen von Berechtigungen im Purview-Portal ähnlich. Beachten Sie, dass die im Purview-Portal verwalteten Berechtigungen nicht die Verwaltung aller Berechtigungen abdecken, die für jeden einzelnen Dienst erforderlich sind. Sie müssen weiterhin bestimmte dienstspezifische Berechtigungen im Admin Center für den jeweiligen Dienst verwalten. Wenn Sie beispielsweise Berechtigungen für Archivierungs-, Überwachungs- und MRM-Aufbewahrungsrichtlinien zuweisen müssen, müssen Sie diese Berechtigungen im Exchange Admin Center verwalten.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Beziehung zwischen Mitgliedern, Rollen und Rollengruppen
Eine Rolle gewährt Berechtigungen zum Ausführen einer Reihe von Aufgaben. Beispielsweise können Benutzer mit der Rolle "Fallverwaltung" mit eDiscovery-Fällen arbeiten.
Eine Rollengruppe besteht aus einer Reihe von Rollen, mit denen Benutzer ihre Aufgaben in Compliance- und Governancelösungen im Microsoft Purview-Portal erledigen können. Durch das Hinzufügen von Benutzern zur Rollengruppe Insider-Risikomanagement werden beispielsweise designierte Administratoren, Analysten, Ermittler und Prüfer für die erforderlichen Berechtigungen für das Insider-Risikomanagement in einer einzigen Gruppe konfiguriert. Das Microsoft Purview-Portal enthält Standardrollengruppen für Aufgaben und Funktionen für jede Compliance- und Governancelösung, der Sie Personen zuweisen müssen. Im Allgemeinen wird empfohlen, den Standardrollengruppen nach Bedarf einfach einzelne Benutzer als Mitglieder hinzuzufügen.
Erforderliche Berechtigungen für die Verwendung von Features im Purview-Portal
Informationen zum Anzeigen aller Standardrollengruppen, die im Purview-Portal verfügbar sind, und die Rollen, die den Rollengruppen standardmäßig zugewiesen sind, finden Sie unter Rollen und Rollengruppen im Microsoft Defender XDR- und Microsoft Purview-Portal.
Durch die Verwaltung von Berechtigungen im Purview-Portal erhalten Benutzer nur Zugriff auf die Compliance- und Governancefeatures, die im Purview-Portal verfügbar sind. Wenn Sie Berechtigungen für andere Features erteilen möchten, die sich nicht im Purview-Portal befinden, z. B. Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet), müssen Sie das Exchange Admin Center verwenden.
Erforderliche Governanceberechtigungen
Die derzeit verfügbaren Governancerollen und Rollengruppen decken nur den umfassenden Zugriff auf die Microsoft Purview Data Map und Unified Catalog ab. Für mehr Zugriff verwendet die Microsoft Purview-Governance eine Kombination aus Rollengruppen, Datenzugriff und lösungsspezifischen Berechtigungen.
- Informationen zu Governanceberechtigungen mit Microsoft Purview Unified Catalog finden Sie unter Governanceberechtigungen.
- Informationen zu Governanceberechtigungen mit klassischen Data Catalog finden Sie unter Governanceberechtigungen für klassische Data Catalog.
Azure-Rollen im Purview-Portal
Die Rollen, die im Abschnitt Microsoft Entra ID des Bereichs Rollen und Bereiche angezeigt werden, sind Microsoft Entra Rollen, und dieser Abschnitt ist für globale Administratoren sichtbar. Diese Rollen sind so konzipiert, dass Sie den Aufgaben in der IT-Gruppe Ihrer Organisation entsprechen, sodass einer Person ganz einfach alle Berechtigungen gewährt werden können, die sie für ihre Arbeit benötigt. Sie können die Benutzer anzeigen, die derzeit jeder Rolle zugewiesen sind, indem Sie eine Admin Rolle auswählen und die Details des Rollenbereichs anzeigen. Um Mitglieder einer Microsoft Entra-Rolle zu verwalten, wählen Sie Mitglieder in Microsoft Entra ID verwalten aus. Durch diese Option werden Sie zum Azure-Verwaltungsportal weitergeleitet.
Rolle | Beschreibung |
---|---|
Globaler Administrator | Zugriff auf alle Verwaltungsfunktionen in allen Microsoft 365-Diensten. Nur globale Administratoren können weitere Administratorrollen zuweisen. Weitere Informationen finden Sie unter Globaler Administrator/Unternehmensadministrator. |
Compliancedatenadministrator | Verfolgen Sie die Daten Ihrer Organisation in Microsoft 365 nach, stellen Sie sicher, dass sie geschützt sind, und erhalten Sie Einblicke in alle Probleme, um Risiken zu minimieren. Weitere Informationen finden Sie unter Compliancedatenadministrator. |
Complianceadministrator | Tragen Sie dazu bei, dass Ihre Organisation alle behördlichen Bestimmungen einhält und eDiscovery-Fälle verwalten sowie Richtlinien zur Datengovernance über Microsoft 365-Standorte, -Identitäten und -Apps hinweg aufrechterhalten kann. Weitere Informationen finden Sie unter Complianceadministrator. |
Sicherheitsoperator | Zeigen Sie aktive Bedrohungen für Ihre Microsoft 365-Benutzer, -Geräte und -Inhalte an und untersuchen und reagieren Sie auf sie. Weitere Informationen finden Sie unter Sicherheitsoperator. |
Benutzer mit Leseberechtigung für Sicherheitsfunktionen | Sie können aktive Bedrohungen für Ihre Microsoft 365-Benutzer, -Geräte und -Inhalte anzeigen und untersuchen, aber (im Gegensatz zum Security-Operator) nicht berechtigt sind, mit Maßnahmen zu reagieren. Weitere Informationen finden Sie unter Benutzer mit Leseberechtigung für Sicherheitsfunktionen. |
Sicherheitsadministrator | Steuern Sie die Gesamtsicherheit Ihres Unternehmens, indem Sie Sicherheitsrichtlinien verwalten, Sicherheitsanalysen und Berichte zu Microsoft 365-Produkten überprüfen und im Hinblick auf Bedrohungen immer auf dem neuesten Stand bleiben. Weitere Informationen finden Sie unter Sicherheitsadministrator. |
Globaler Leser | Die Version mit reiner Leseberechtigung der Rolle globaler Administrator. Zeigen Sie alle Einstellungen und Verwaltungsinformationen in Microsoft 365 an. Weitere Informationen finden Sie unter Globaler Leser. |
Angriffssimulationsadministrator | Erstellen und verwalten Sie alle Aspekte einer Angriffssimulation: Erstellung und Einführung/Planung einer Simulation sowie Überprüfung der Ergebnisse von Simulationen. Weitere Informationen finden Sie unter Angriffssimulationsadministrator. |
Angriffsnutzlastautor | Erstellen Sie Angriffsnutzlasten, ohne sie tatsächlich zu starten oder zu planen. Weitere Informationen finden Sie unter Angriffsnutzlastautor. |
Verwaltungseinheiten
Mithilfe von Verwaltungseinheiten können Sie Ihre organization in kleinere Einheiten unterteilen und dann bestimmte Administratoren zuweisen, die nur die Mitglieder dieser Einheiten verwalten können. Sie ermöglichen es Ihnen auch, Mitgliedern von Rollengruppen in Microsoft Purview-Lösungen Verwaltungseinheiten zuzuweisen, sodass diese Administratoren nur die Mitglieder (und die zugehörigen Features) dieser zugewiesenen Verwaltungseinheiten verwalten können. Der Abschnitt Administrative Einheiten des Bereichs Rollen und Bereiche ist nur für Benutzer sichtbar, denen die Rolle "Globaler Administrator " zugewiesen ist. Weitere Informationen finden Sie unter Verwaltungseinheiten.
Hinzufügen von Benutzern oder Gruppen zu einer integrierten Microsoft Purview-Rollengruppe
Führen Sie die folgenden Schritte aus, um Einer Microsoft Purview-Rollengruppe Benutzer oder Gruppen hinzuzufügen:
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto an, dem die Rollenverwaltungsrolle zugewiesen ist. Wechseln Sie zu Einstellungen>Rollen und Bereiche, um Compliance- und Governancerollen in Ihrem organization anzuzeigen und zu verwalten.
Wählen Sie Rollengruppen aus.
Wählen Sie auf der Seite Rollengruppen für Microsoft Purview-Lösungen eine Microsoft Purview-Rollengruppe aus, der Sie Benutzer hinzufügen möchten, und wählen Sie dann auf der Steuerungsleiste Bearbeiten aus.
Wählen Sie auf der Seite Mitglieder der Rollengruppe bearbeiten die Option Benutzer auswählen oder Gruppen auswählen aus.
Wichtig
Sicherheitsgruppen werden nur in kommerziellen Cloudorganisationen von Microsoft 365 unterstützt.
Aktivieren Sie das Kontrollkästchen für alle Benutzer oder Gruppen, die Sie der Rollengruppe hinzufügen möchten.
Wählen Sie Auswählen aus.
Wenn die ausgewählten Benutzer oder Gruppen im Rahmen dieser Rollengruppenzuweisung organization-weiten Zugriff benötigen, fahren Sie mit Schritt 10 fort.
Wenn die ausgewählten Benutzer oder Gruppen Administrativen Einheiten zugewiesen werden müssen, wählen Sie die Benutzer oder Gruppen und dann Administratoreinheiten zuweisen aus.
Aktivieren Sie im Bereich Administratoreinheiten zuweisen das Kontrollkästchen für alle Verwaltungseinheiten, die Sie den Benutzern oder Gruppen zuweisen möchten. Wählen Sie Auswählen aus.
Wählen Sie Weiter und Speichern aus, um die Benutzer oder Gruppen der Rollengruppe hinzuzufügen. Wählen Sie Fertig aus, um die Schritte auszuführen.
Entfernen von Benutzern oder Gruppen aus einer integrierten Microsoft Purview-Rollengruppe
Führen Sie die folgenden Schritte aus, um Benutzer oder Gruppen aus einer Microsoft Purview-Rollengruppe zu entfernen:
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto an, dem die Rollenverwaltungsrolle zugewiesen ist. Wechseln Sie zu Einstellungen>Rollen und Bereiche, um Compliance- und Governancerollen in Ihrem organization anzuzeigen und zu verwalten.
- Wählen Sie Rollengruppen aus.
- Wählen Sie auf der Seite Rollengruppen für Microsoft Purview-Lösungen eine Microsoft Purview-Rollengruppe aus, aus der Sie Benutzer oder Gruppen entfernen möchten, und wählen Sie dann auf der Steuerleiste Bearbeiten aus.
- Aktivieren Sie auf der Seite Mitglieder der Rollengruppe bearbeiten das Kontrollkästchen für alle Benutzer oder Gruppen, die Sie in die Rollengruppe entfernen möchten.
- Wählen Sie Mitglieder entfernen und dann Weiter aus.
- Wählen Sie Speichern aus, um die Benutzer oder Gruppen aus der Rollengruppe zu entfernen. Wählen Sie Fertig aus, um die Schritte auszuführen.
Erstellen einer benutzerdefinierten Microsoft Purview-Rollengruppe
Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Microsoft Purview-Rollengruppe zu erstellen:
Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto an, dem die Rollenverwaltungsrolle zugewiesen ist. Wechseln Sie zu Einstellungen>Rollen und Bereiche, um Compliance- und Governancerollen in Ihrem organization anzuzeigen und zu verwalten.
Wählen Sie Rollengruppen aus.
Wählen Sie auf der Seite Rollengruppen für Microsoft Purview-Lösungendie Option Rollengruppe erstellen aus.
Geben Sie auf der Seite Rollengruppe benennen einen Namen für die benutzerdefinierte Rollengruppe in das Feld Name ein. Der Name der Rollengruppe kann nach der Erstellung der Rollengruppe nicht mehr geändert werden. Geben Sie bei Bedarf eine Beschreibung für die benutzerdefinierte Rollengruppe in das Feld Beschreibung ein. Wählen Sie Weiter aus, um fortzufahren.
Wählen Sie auf der Seite Rollen zur Rollengruppe hinzufügen die Option Rollen auswählen aus.
Aktivieren Sie die Kontrollkästchen für die Rollen, die der benutzerdefinierten Rollengruppe hinzugefügt werden sollen. Wählen Sie Auswählen aus.
Wählen Sie Weiter aus, um fortzufahren.
Wählen Sie auf der Seite Mitglieder zur Rollengruppe hinzufügen die Option Benutzer auswählen (oder ggf. Gruppen auswählen ) aus.
Wichtig
Sicherheitsgruppen werden nur in kommerziellen Cloudorganisationen von Microsoft 365 unterstützt.
Aktivieren Sie die Kontrollkästchen für die Benutzer (oder Gruppen), die der benutzerdefinierten Rollengruppe hinzugefügt werden sollen. Wählen Sie Auswählen aus.
Wählen Sie Weiter aus, um fortzufahren.
Wenn die ausgewählten Benutzer oder Gruppen organization-weiten Zugriff im Rahmen dieser Rollengruppenzuweisung benötigen, fahren Sie mit Schritt 14 fort.
Wenn die ausgewählten Benutzer oder Gruppen Administrativen Einheiten zugewiesen werden müssen, wählen Sie die Benutzer oder Gruppen und dann Administratoreinheiten zuweisen aus.
Aktivieren Sie im Bereich Administratoreinheiten zuweisen das Kontrollkästchen für alle Verwaltungseinheiten, die Sie den Benutzern oder Gruppen zuweisen möchten. Wählen Sie Auswählen aus.
Wählen Sie Weiter aus.
Überprüfen Sie auf der Seite Rollengruppe überprüfen und fertig stellen die Details für die benutzerdefinierte Rollengruppe. Wenn Sie die Informationen bearbeiten müssen , wählen Sie bearbeiten im entsprechenden Abschnitt aus. Wenn alle Einstellungen korrekt sind, wählen Sie Erstellen aus, um die benutzerdefinierte Rollengruppe zu erstellen, oder wählen Sie Abbrechen aus, um die Änderungen zu verwerfen und nicht die benutzerdefinierte Rollengruppe zu erstellen.
Aktualisieren einer benutzerdefinierten Microsoft Purview-Rollengruppe
Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Microsoft Purview-Rollengruppe zu aktualisieren:
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto an, dem die Rollenverwaltungsrolle zugewiesen ist. Wechseln Sie zu Einstellungen>Rollen und Bereiche, um Compliance- und Governancerollen in Ihrem organization anzuzeigen und zu verwalten.
- Wählen Sie Rollengruppen aus.
- Wählen Sie auf der Seite Rollengruppen für Microsoft Purview-Lösungen eine Microsoft Purview-Rollengruppe aus, die Sie aktualisieren möchten, und wählen Sie dann auf der Steuerungsleiste Bearbeiten aus.
- Aktualisieren Sie auf der Seite Rollengruppe benennen die Beschreibung für die benutzerdefinierte Rollengruppe im Feld Beschreibung . Der Name der benutzerdefinierten Rollengruppe kann nicht geändert werden. Wählen Sie Weiter aus.
- Auf der Seite Rollen der Rollengruppe bearbeiten können Sie Rollen auswählen, um Rollen hinzuzufügen, um die der Rollengruppe zugewiesenen Rollen zu aktualisieren. Sie können auch eine der derzeit zugewiesenen Rollen auswählen und Rollen entfernen auswählen, um die Rollen aus der Rollengruppe zu entfernen. Nachdem Sie die Rollen aktualisiert haben, wählen Sie Weiter aus.
- Auf der Seite Mitglieder der Rollengruppe bearbeiten können Sie Benutzer auswählen oder Gruppen auswählen auswählen, um der Rollengruppe zugewiesene Benutzer oder Gruppen hinzuzufügen. Um die Verwaltungseinheiten für Benutzer oder Gruppen zu aktualisieren, wählen Sie einen der aktuell zugewiesenen Benutzer oder Gruppen und dann Administratoreinheiten zuweisen aus. Sie können auch alle derzeit zugewiesenen Benutzer und Gruppen auswählen und Mitglieder entfernen auswählen, um die Benutzer oder Gruppen aus der Rollengruppe zu entfernen. Nachdem Sie die Mitglieder aktualisiert haben, wählen Sie Weiter aus.
- Überprüfen Sie auf der Seite Rollengruppe überprüfen und fertig stellen die Details für die benutzerdefinierte Rollengruppe. Wenn Sie die Informationen bearbeiten müssen , wählen Sie bearbeiten im entsprechenden Abschnitt aus. Wenn alle Einstellungen korrekt sind, wählen Sie Speichern aus, um die benutzerdefinierte Rollengruppe zu aktualisieren, oder wählen Sie Abbrechen aus, um die Änderungen zu verwerfen und die benutzerdefinierte Rollengruppe nicht zu aktualisieren.
Löschen einer benutzerdefinierten Microsoft Purview-Rollengruppe
Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Microsoft Purview-Rollengruppe zu löschen:
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto an, dem die Rollenverwaltungsrolle zugewiesen ist. Wechseln Sie zu Einstellungen>Rollen und Bereiche, um Compliance- und Governancerollen in Ihrem organization anzuzeigen und zu verwalten.
- Wählen Sie Rollengruppen aus.
- Wählen Sie auf der Seite Rollengruppen für Microsoft Purview-Lösungen eine Microsoft Purview-Rollengruppe aus, die Sie löschen möchten, und klicken Sie dann auf der Steuerleiste auf Löschen .
- Wählen Sie im Dialogfeld Rollengruppe löschendie Option Löschen aus, um die Rollengruppe zu löschen, oder wählen Sie Abbrechen aus, um den Löschvorgang abzubrechen.