管理単位

  • [アーティクル]

管理単位を使用すると、organizationをより小さなユニットに分割し、それらのユニットのメンバーのみを管理できる特定の管理者を割り当てることができます。 Microsoft Purview ロール グループを使用すると、管理者を特定の管理単位に割り当てることができます。 管理単位をサポートする Microsoft Purview ソリューションでは、そのユニットのメンバーに対する可視性と管理アクセス許可が制限されます。

たとえば、管理単位を使用して、大規模な複数国のorganization内の各地理的リージョンの管理者にアクセス許可を委任したり、organization内の部門別に管理者アクセスをグループ化したりできます。 リージョンまたは部署固有のポリシーを作成したり、これらのポリシーと管理単位の割り当ての結果としてユーザー アクティビティを表示したりできます。 また、ポリシーの初期スコープとして管理単位を使用することもできます。ここで、ポリシーの対象となるユーザーの選択は、管理単位のメンバーシップによって異なります。

コンプライアンス ポリシーにアダプティブ スコープを使用している場合は、「アダプティブ スコープがMicrosoft Entra管理単位と連携する方法」を参照してください。

Microsoft Purview での管理単位のサポート

次の Microsoft Purview コンプライアンス ソリューションは、管理単位をサポートしています。

解決方法 構成のサポート
データ ライフサイクル管理 ロール グループ、アイテム保持ポリシー、保持ラベル ポリシー
データ損失防止 (DLP) 役割グループと DLP ポリシー
通信コンプライアンス ロール グループポリシー
インサイダー リスク管理 ロール グループポリシー
レコード管理 ロール グループ、アイテム保持ポリシー、アイテム保持ラベル ポリシーアダプティブ スコープ
秘密度ラベル付け ロール グループ、秘密度ラベル ポリシー、自動ラベル付けポリシー

管理単位の構成は、次の機能に自動的に流れます。

役割グループメンバーを管理単位に割り当てるには、管理者に ロール管理 ロールを割り当てる必要があります。 Microsoft Purview ロール グループとロールの詳細については、「 Microsoft Purview の役割グループ」を参照してください。

次の組み込みの役割グループ内の管理単位に役割グループメンバーを割り当てることができます。

  • 通信コンプライアンス
  • コミュニケーション コンプライアンス管理者
  • コミュニケーション コンプライアンス アナリスト
  • コミュニケーション コンプライアンス調査員
  • コンプライアンス管理者
  • コンプライアンス データ管理者
  • グローバル閲覧者
  • 情報保護
  • Information Protection レベル
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者
  • インサイダー リスクの管理
  • Insider Risk Management 管理者
  • インサイダー リスク管理アナリスト。
  • インサイダー リスク管理調査担当者。
  • インサイダー リスク管理セッションの承認者
  • インサイダー リスク管理の承認者
  • 組織の管理
  • レコード管理
  • セキュリティ管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者

役割グループを割り当てるときに、個々のメンバーまたはグループを選択し、[管理単位の割り当て] オプションを選択して、Microsoft Entra IDで定義されている管理単位を選択できます。

役割グループを編集するときに、[管理ユニットの割り当て] オプションを選択します。

重要

管理者ユニットの割り当て は、カスタム ロール グループを作成したときに常に使用できます。 任意のカスタム ロール グループに管理単位を割り当てることができます。

制限付き管理者と呼ばれるこれらの管理者は、割り当てられた管理単位の 1 つ以上を選択して、作成または編集するポリシーの初期スコープを自動的に定義できるようになりました。 管理者に管理単位 (無制限の管理者) が割り当てられない場合にのみ、個々の管理単位を選択する必要なく、ディレクトリ全体にポリシーを割り当てることができます。

重要

役割グループのメンバーに管理単位を割り当てた後、これらの制限付き管理者は、既存のポリシーを表示および編集できなくなります。 ただし、これらのポリシーに対する運用上の変更はなく、表示されたままであり、無制限の管理者が編集できます。

また、制限付き管理者は、アクティビティ エクスプローラーやアラートなどの管理単位をサポートする機能を使用して履歴データを表示することもできなくなります。 無制限の管理者は引き続き表示されます。 今後、制限付き管理者は、割り当てられた管理単位についてのみ、この関連データを表示できます。

注:

アラートを構成して表示できるだけでなく、Information Protection アナリストロールとInformation Protection調査担当者ロールを持つユーザーは、Search-UnifiedAuditLog コマンドレットを使用して監査ログを検索できます。

管理単位の前提条件

Microsoft Purview コンプライアンス ソリューションの管理単位を構成する前に、organizationとユーザーが次のサブスクリプションとライセンスの要件を満たしていることを確認してください。

  • P1 または P2 ライセンスをMicrosoft Entra IDする

  • Microsoft Purview ライセンス:

    • Microsoft 365 E5/A5/G5
    • Microsoft 365 E5/A5/G5/F5 コンプライアンスまたは F5 セキュリティ & コンプライアンス
    • Microsoft 365 E5/A5/G5/F5 Information Protection & ガバナンス
    • Microsoft 365 E5/A5/F5 Insider Risk Management

管理単位の構成と使用

Microsoft Purview コンプライアンス ソリューションで管理単位を構成して使用するには、次の手順を実行します。

  1. Create管理単位を使用して、Microsoft Entra IDのロールのアクセス許可のスコープを制限します。

  2. ユーザーと配布グループ を管理単位に追加します。

    重要

    動的配布グループのメンバーは、自動的に管理単位のメンバーになりません。

  3. 地理的リージョンまたは部署ベースの管理単位を作成する場合は、 動的メンバーシップ規則を使用して管理単位を構成します。

    注:

    動的メンバーシップ規則を使用する管理単位にグループを追加することはできません。 必要に応じて、ユーザー用とグループ用の 2 つの管理単位を作成します。

  4. 管理単位をサポートする Microsoft Purview コンプライアンス ソリューションのいずれかの役割グループを使用して、管理単位をメンバーに割り当てます。

次に、これらの制限付き管理者が管理単位をサポートするポリシーを作成または編集すると、それらの管理単位のユーザーのみがポリシーの対象になるように管理単位を選択できます。

  • 無制限の管理者 は、ポリシー構成の一部として管理単位を選択する必要はありません。 ディレクトリ全体の既定値をそのまま使用することも、1 つ以上の管理単位を選択することもできます。
  • 制限付き管理者は、 ポリシー構成の一部として 1 つ以上の管理単位を選択する必要があります。

さらにポリシー構成に入ると、管理単位を選択した管理者は、ポリシーに対して以前に選択した管理単位から個々のユーザーとグループを含めるか(サポートされている場合)除外する必要があります。

サポートされている各ソリューションに固有の管理単位については、次のセクションを参照してください。