Microsoft Entra ID の管理単位を使用すると、管理アクセス許可をMicrosoft Entra organizationの特定の部分に制限できます。 Microsoft Entraで管理単位を作成、削除、および編集できます。 Microsoft Entraでは、管理単位のメンバーであるユーザーまたはグループを管理します。 この機能を使用すると、organizationをより小さなユニットに分割し、特定の管理者を割り当ててそれらのユニット内のメンバーのみを管理できます。 Microsoft Purview ロール グループを使用すると、管理者を特定の管理単位に割り当てることができます。 管理単位をサポートする Microsoft Purview ソリューションは、可視性と管理アクセス許可をユニットのメンバーに制限します。
たとえば、管理単位を使用して、大規模な複数国のorganization内の各地域の管理者にアクセス許可を委任したり、organization内の部門別に管理者アクセスをグループ化したりできます。 リージョンまたは部署固有のポリシーを作成したり、これらのポリシーと管理単位の割り当ての結果としてユーザー アクティビティを表示したりできます。 また、ポリシーの初期スコープとして管理単位を使用することもできます。ここで、ポリシーの対象となるユーザーの選択は、管理単位のメンバーシップによって異なります。
コンプライアンス ポリシーにアダプティブ スコープを使用している場合は、「アダプティブ スコープがMicrosoft Entra管理単位と連携する方法」を参照してください。
Microsoft Purview での管理単位のサポート
次の Microsoft Purview コンプライアンス ソリューションは、管理単位をサポートしています。
管理単位の構成は、次の機能に自動的に流れます。
-
アラート:
- DLP アラートは、割り当てられた管理単位のユーザーにのみ表示されます
-
アクティビティ エクスプローラー:
- アクティビティ イベント は、割り当てられた管理単位のユーザーにのみ表示されます
-
アダプティブ スコープ:
- 制限付き管理者は、それらの管理者に割り当てられた管理単位のユーザーに対してのみ 、アダプティブ スコープ を選択、作成、編集、表示できます
- 制限付き管理者がアダプティブ スコープを使用するポリシーを構成する場合、管理者は管理単位に割り当てられているアダプティブ スコープのみを選択できます
- 監査ログ:
-
コミュニケーション コンプライアンス:
- ポリシーの参照と構成: 制限付き管理者は、管理単位に割り当てられたユーザーに対してのみポリシーを作成または管理できます。
- アラートとポリシーの一致: 制限付き管理者は、 割り当てられた管理単位内のユーザーに対してのみユーザー アクティビティを調査できます。
- データ ライフサイクル管理とレコード管理:
-
インサイダー リスク管理:
- ポリシーの参照と構成: 制限付き管理者は、管理単位に割り当てられたユーザーに対してのみポリシーを作成または管理できます。
- ユーザー アクティビティ: 制限付き管理者は、 アクティビティのスコア付けを開始 したり、 割り当てられた管理単位内のユーザーに対してのみユーザー アクティビティを調査したりできます。
- アラートとケース: 制限付き管理者は、割り当てられた管理単位内のユーザーに対してのみ、アラートとケースを表示および調査できます。
注:
Microsoft Defender XDRのMicrosoft Purview データ損失防止とインサイダー リスク管理の画面アラート。 Microsoft Defender XDRでは、最大 100 個の管理単位がサポートされます。
管理単位のアクセス許可
役割グループメンバーを管理単位に割り当てるには、管理者に ロール管理 ロールを割り当てる必要があります。 Microsoft Purview ロール グループとロールの詳細については、「 Microsoft Purview の役割グループ」を参照してください。
次の組み込みの役割グループ内の管理単位に役割グループメンバーを割り当てることができます。
- 通信コンプライアンス
- コミュニケーション コンプライアンス管理者
- コミュニケーション コンプライアンス アナリスト
- コミュニケーション コンプライアンス調査担当者
- コンプライアンス管理者
- コンプライアンス データ管理者
- グローバル閲覧者
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
- インサイダー リスクの管理
- Insider Risk Management 管理者
- インサイダー リスク管理アナリスト。
- インサイダー リスク管理の承認者
- インサイダー リスク管理調査担当者。
- インサイダー リスク管理セッションの承認者
- 組織の管理
- レコード管理
- セキュリティ管理者
- セキュリティ オペレーター
- セキュリティ閲覧者
役割グループを割り当てるときは、個々のメンバーまたはグループを選択してから、[管理単位の割り当て] オプションを選択して、Microsoft Entra ID で定義する管理単位を選択できます。
![役割グループを編集するときに、[管理ユニットの割り当て] オプションを選択します。](media/assign-admin-units.png#lightbox)
重要
管理者ユニットの割り当て は、カスタム ロール グループを作成するときに常に使用できます。 任意のカスタム ロール グループに管理単位を割り当てることができます。
これらの管理者は、制限付き管理者と呼ばれ、割り当てられた 1 つ以上の管理単位を選択して、作成または編集するポリシーの初期スコープを自動的に定義できます。 管理者が管理単位 (無制限の管理者) を割り当てない場合にのみ、個々の管理単位を選択する必要なく、ディレクトリ全体にポリシーを割り当てることができます。
重要
役割グループのメンバーに管理単位を割り当てた後、これらの制限付き管理者は既存のポリシーを表示および編集できません。 ただし、これらのポリシーに対する運用上の変更はなく、表示されたままであり、無制限の管理者が編集できます。
制限付き管理者は、アクティビティ エクスプローラーやアラートなどの管理単位をサポートする機能を使用して履歴データを表示することもできません。 無制限の管理者は引き続き表示されます。 今後、制限付き管理者は、割り当てられた管理単位についてのみ、この関連データを確認できます。
管理単位の前提条件
Microsoft Purview コンプライアンス ソリューションの管理単位を構成する前に、organizationとユーザーが次のサブスクリプションとライセンスの要件を満たしていることを確認してください。
Microsoft Purview ライセンス:
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5/F5 コンプライアンスまたは F5 セキュリティ & コンプライアンス
- Microsoft 365 E5/A5/G5/F5 Information Protection & ガバナンス
- Microsoft 365 E5/A5/F5 Insider Risk Management
管理単位の構成と使用
Microsoft Purview コンプライアンス ソリューションで管理単位を構成して使用するには、次の手順を実行します。
Microsoft Entra ID でロールのアクセス許可のスコープを制限する管理単位を作成します。
ユーザーと配布グループ を管理単位に追加します。
重要
動的配布グループのメンバーは、自動的に管理単位のメンバーになりません。
地理的リージョンまたは部署ベースの管理単位を作成する場合は、 動的メンバーシップ規則を使用して管理単位を構成します。
注:
動的メンバーシップ規則を使用する管理単位にグループを追加することはできません。 必要に応じて、ユーザー用とグループ用の 2 つの管理単位を作成します。
管理単位をサポートする Microsoft Purview コンプライアンス ソリューションのいずれかの役割グループを使用して、管理単位をメンバーに割り当てます。
これらの制限付き管理者は、管理単位をサポートするポリシーを作成または編集するときに、管理単位を選択して、それらの管理単位内のユーザーのみがポリシーの対象になるようにすることができます。
- 無制限の管理者 は、ポリシー構成の一部として管理単位を選択する必要はありません。 ディレクトリ全体の既定値をそのまま使用することも、1 つ以上の管理単位を選択することもできます。
- 制限付き管理者は、 ポリシー構成の一部として 1 つ以上の管理単位を選択する必要があります。
ポリシー構成の後半で、管理単位を選択する管理者は、ポリシーに対して以前に選択した管理単位の個々のユーザーとグループを含めるか、(サポートされている場合は) 除外する必要があります。
サポートされている各ソリューションに固有の管理単位については、次のセクションを参照してください。
- 監査の場合: 管理単位を使用した監査ログへのアクセスのスコープ
- 通信コンプライアンスの 場合: ユーザーのアクセス許可をリージョンまたは部署にスコープを設定する場合は、管理単位を検討してください
- データ ライフサイクル管理の場合: 管理単位のサポート
- DLP の場合: 管理単位の制限付きポリシー
- インサイダー リスク管理の 場合: ユーザーのアクセス許可をリージョンまたは部署にスコープを設定する場合は、管理単位を検討してください
- レコード管理の場合: 管理単位のサポート
- 秘密度ラベル付けの場合: 管理単位のサポート
SharePoint サイトの管理単位のサポート (プレビュー)
Microsoft Purview では、管理単位への SharePoint サイトの追加がサポートされるようになりました。 この機能を使用すると、Microsoft Purview ポータル内の Microsoft Purview 管理者の可視性と管理制御を調整できます。 このサポートは、SharePoint サイトへのアプリケーションをサポートする Microsoft Information Protection自動ラベル付けポリシーと Microsoft データ損失防止ポリシーでのみ使用できます。
注:
管理単位の作成、削除、Microsoft Entraリソース メンバーシップは、Microsoft Entra ID から管理します。 作成した管理単位は、Microsoft Purview の一覧に表示されます。
クエリが完全に設定されるまでに最大 5 日かかる場合があります。 変更は即時ではありません。 ポリシーを管理単位に関連付ける前に、クエリが完全に設定されるまで待ちます。
SharePoint サイトの管理単位を構成する
管理単位を構成して使用するには、次の手順に従います。 これらの手順では、管理単位の作成、その管理単位にリソースを関連付ける方法、および管理単位に Microsoft Purview コンプライアンス ロール グループ メンバーを割り当てる方法について説明します。 管理単位を作成したら、次の手順に従って SharePoint サイトを管理単位に関連付けます。
この機能を利用できる Microsoft Purview のお客様は、Microsoft Purview ポータル設定の [ロールとスコープ] で管理単位にアクセスできるようになりました。 [ 管理単位] で、管理単位を選択して編集し、SharePoint サイトを管理単位に関連付けます。
次の手順を実行して、管理単位内の SharePoint サイトを Microsoft Purview で使用するように構成するには、 管理者ユニット拡張機能マネージャー の役割が割り当てられている必要があります。 Microsoft Purview のロール管理権限を持つ管理者は、このロールを持つ組み込みのロール グループを使用するか、 カスタム ロール グループを使用して、このロールを割り当てます。
- Microsoft Purview ポータルに移動します。
- 設定を選択し、[ロールとスコープ] を選択します。
- [ 管理単位] を選択します。
- 一覧から既存の管理単位を選択します。
- [編集] を選択します。
- SharePoint サイトを管理単位に関連付けるクエリを作成します。
- 管理単位をサポートする Microsoft Purview コンプライアンス ソリューションのいずれかの役割グループを使用して、管理単位をメンバーに割り当てます。
SharePoint サイトを管理単位に関連付けるクエリでは、サイト URL、サイト名、RefinableString00-RefinableString99 のサイト プロパティがサポートされます。 これらのクエリは、共有チャネル SharePoint サイトを除き、 SharePoint サイトと OneDrive アカウントの両方に適用されます。 サイトのプロパティ名は、SharePoint サイトで管理されているプロパティに基づいています。 カスタム プロパティを管理プロパティ (RefinableString00-RefinableString99) に関連付ける方法の詳細については、「 カスタム SharePoint サイト プロパティを使用して Microsoft 365 アイテム保持をアダプティブ ポリシー スコープに適用する」を参照してください。
クエリをテストする
SharePoint 検索でクエリをテストするには、次の手順を実行します。
- アカウントに SharePoint 管理者ロールが割り当てられている場合は、[
https://<your_tenant>.sharepoint.com/search] に移動します。 - 検索バーを使用して、管理単位で SharePoint サイトの クエリの概要 に表示されるクエリを入力します。
- 検索結果が、管理単位のサイト URL と一致することを確認します。 一致しない場合は、SharePoint の管理者にクエリと URL を確認します。
制限付き管理者は、管理単位をサポートするポリシーを作成または編集するときに、管理単位を選択して、それらの管理単位内の SharePoint サイト、ユーザー、またはグループのみがポリシーの対象になるようにすることができます。
- 無制限の管理者 は、ポリシー構成の一部として管理単位を選択する必要はありません。 ディレクトリ全体の既定値をそのまま使用することも、1 つ以上の管理単位を選択することもできます。
- 制限付き管理者は、 ポリシー構成の一部として 1 つ以上の管理単位を選択する必要があります。
管理単位を選択する管理者は、個々の SharePoint サイトを含めたり除外したりすることはできません。 SharePoint サイトは、管理単位に関連付けられているすべてのサイトへのアプリケーションをサポートします。
重要
管理単位から関連付けられているサイトを削除するには、管理単位の SharePoint クエリを編集して、サイト メンバーシップが表示されないようにします。 サイト メンバーシップをクリアするには、クエリ結果にサイトを作成しません。
管理単位の SharePoint サイト メンバーシップの詳細を Purview で表示する
Microsoft Purview で管理単位の SharePoint クエリを作成した後、管理単位のサイト メンバーを表示できます。 管理単位のユーザーおよびグループ メンバーシップは、Microsoft Entra ID ポータルでのみ表示できます。
次の手順を実行して、メンバーの詳細ページにアクセスして、Microsoft Purview の管理単位の SharePoint サイト メンバーを表示します。
- purview.microsoft.com の Microsoft Purview ポータルに移動します。
- 設定を選択し、[ロールとスコープ] を選択します。
- [ 管理単位] を選択します。
- 一覧から既存の管理単位を選択します。
- [ メンバーの詳細] を選択します。
- SharePoint サイト メンバーの一覧を表示します。
- 一覧の [State ]\(状態\) 列を確認します。[管理単位に追加されたサイトの 追加] または [ 削除済み ] (サイトが以前に管理単位に含まれているが、SharePoint クエリと一致しなくなった場合は削除される) が表示されます。
- 表示されているサイトの一覧を CSV ファイルにダウンロードするには、 Export 関数を使用します。
注:
メンバーの詳細リストが追加または削除されたサイトを更新するまでに最大 5 日かかる場合があります。
Microsoft Purview ソリューションの管理単位と SharePoint サイト (プレビュー) の詳細については、次を参照してください。
- DLP: 管理単位の制限付きポリシー
- 秘密度ラベル: 管理単位のサポート