jannenevalainen.com logo
microsoft purview roles and scopes jannenevalainen.com

Oikein määritetty käyttöoikeusrakenne on keskeisessä roolissa, kun pyritään varmistamaan organisaation tietoturva ja hallitsemaan pääsyä kriittisiin tietoihin. Käyttöoikeuksien huolellinen suunnittelu ja hallinta voivat estää väärinkäytökset ja minimoida tietovuotojen riskit, kun käyttäjät saavat pääsyn vain niihin resursseihin, joita he todella tarvitsevat tehtäviensä suorittamiseen. Microsoft Purview ei ole tässä poikkeus, vaan se tarjoaa tehokkaan ja monipuolisen ratkaisun käyttöoikeuksien hallintaan roolipohjaisen käyttöoikeusmallin (RBAC, Role-Based Access Control) avulla. Purviewin RBAC-malli mahdollistaa tarkasti määritellyt pääsyoikeudet, mikä auttaa organisaatioita hallitsemaan tietoturvaa ja varmistamaan, että eri käyttäjäryhmillä on pääsy vain heidän roolinsa mukaisiin tietoihin ja palveluihin. Katsotaan seuraavaksi kuinka Purviewissa voidaan määritellä käyttöoikeuksia ja rooleja ylläpitotehtäviin.

Käyttöoikeuksien määrittäminen Purviewissa

Pääset määrittämään Purviewin rooleja avaamalla Purviewin hallintaportaalin ja valitsemalla Settings -> Roles and scopes. Kirjoitushetkellä Roles and scopes -valikko sisältää kolme eri aluetta:

  • Microsoft Entra ID – Tämä sisältää tuttuja hallintarooleja kuten Global admin, Compliance administrator ja Security Reader. Entra ID -rooleja ei voi hallinnoida Purviewin kautta vaan ylläpitäjä ohjataan Entran ylläpitovalikkoon tarvittaessa.
  • Role Groups – Nämä ovat Purviewin toimintaan liittyviä rooleja
  • Adaptive Scopes – kohderyhmiä joita voidaan käyttää esim Retention policyissa.

Voit lukea lisää ryhmistä ja oikeuksista Microsoftin artikkelista (löytyy täältä)
microsoft purview roles

Purview roolit

 On tärkeää huomata että Purview sisältää useita rooleja ja rooliryhmiä (role groups) eikä edes Global adminilla ole kaikkialle oletuksena oikeutta vaan myös tämä rooli voidaan joutua lisäämään Purviewin rooleihin tehtävien hoitamiseksi. Kirjoitushetkellä Purview sisältää 65 sisäänrakennettua role groupia. Löydät ajankohtaisen listauksen role groupeista Microsoftin sivuilta (löytyy täältä). 

microsoft purview roles
Purview sisältää useita käyttöoikeusrooleja

Role groupeja voidaan tarkastella klikkaamalla haluttua Role groupia. Alla on esimerkkinä Privacy Management Viewers role group. Kuten huomaamme Role groupiin on kiinnitetty erilaisia rooleja joiden perusteella käyttövaltuudet myönnetään. Oletuksena Role groupeilla ei ole jäseniä vaan ne täytyy lisätä ryhmään. Sisäänrakennettuja rooliryhmiä ei voi muokata muuta kuin jäsenien osalta mutta ne voidaan kopioida pohjaksi uudelle Role groupille.

purview role group
Esimerkki Purview Role groupista

Luo oma Role group

Sisäänrakennettujen Role groupien lisäksi organisaatiolla voi olla tarvetta luoda omaan ympäristöön soveltuvia käyttöoikeusrooleja. Tämän voi suorittaa Purviewin Role groups valikossa valitsemalla Create Role group.
purview create role group

Kun Role groupille on annettu nimi ja määritetty jäsenet, ryhmälle pitää vielä määrittää käyttöoikeusroolit.Erilaisia rooleja on kirjoitushetkellä 107 kappaletta ja niiden kuvaukset löytyvät samasta, aikaisemmin mainitusta Microsoftin artikkelista (linkki Roles-kohtaan löytyy tästä). Kun sopivat roolit ja jäsenet on määritetty ryhmälle, uusi Role group on käyttövalmis.

purview roles jannenevalainen.com
Roolien lisääminen Role groupille

Adaptive Scopes

Adaptive Scopeja voidaan käyttää hyödyksi luotaessa uusia Communication Compliance Policyja tai Retention Policyja. Adaptive scopen avulla voidaan siis määrittää helpommin kohderyhmä johon vaikkapa dokumenttien Retention Policy osuu.

Adaptive Scopeja voidaan luoda Purviewin Settings -> Roles and scopes ->Adaptive Scopes -alueella. Luotaessa Adaptive Scopea määritetään mihin kohderyhmään kyseinen scope osuu. Valittavana on:

  • Users -valitse käyttäjät scopeen käyttäjäattribuuttien perusteella (name, country, department yms)
  • Sharepoint Sites – tietyt Sharepoint sivustot (Siten nimi/URL yms)
  • Microsoft 365 Groups – tietyt Microsoft 365 ryhmät (nimi, alias, email address yms)
Purview adaptive scopes jannenevalainen.com

Kun Adaptive Scope on luotu sitä voidaan käyttää esimerkiksi Retention Policyjen määrittämisessä. Alla olevassa kuvassa nähdään Adaptive Scopen vaikutus Retention Policya määritettäessä. Normaalisti Retention policyssa on useampia vaihtoehtoja kuten Sharepoint sivustot tai Teams tiimikanavat, valittu Managers retention – niminen Adaptive Scope sisältää kuitenkin vain käyttäjäobjekteja tietyllä attribuutilla (Title=Manager). Tästä syystä Retention policyn kohteet ovatkin vain käyttäjäkohtaisia kohteita kuten Exchange sähköpostilaatikot, Onedrive -tilit tai Teams yksityisviestit.

purview role scope jannenevalainen.com
Adoption scopen vaikutus Retention Policyyn

Hallittua hallintaa

Microsoft Purviewin roolipohjainen käyttöoikeusmalli ja sisäänrakennetut ryhmät tarjoavat organisaatioille joustavan ja turvallisen tavan hallita tietoja laajoissa ympäristöissä. Kun käyttäjille annetaan tarkoin määritellyt roolit, voidaan varmistaa, että heillä on juuri oikeanlainen pääsy vain niihin tietoihin ja resursseihin, joita he työssään tarvitsevat. Sisäisten käyttöoikeus- ja rooliryhmien lisäksi organisaatiot voivat myös rakentaa omalle toiminnalleen tarpeellisia ryhmiä joka antaa käyttöoikeudet vain tarpeellisiin resursseihin. Kun nämä roolit ja ryhmät otetaan käyttöön oikein, organisaatio pystyy keskittämään ja suojaamaan tiedonhallintansa tehokkaasti, pitäen samalla tiedot saatavilla niille jotka niitä työssään tarvitsevat. Tämä parantaa sekä tietoturvaa että organisaation kykyä vastata nopeasti muuttuviin tietosuoja- ja sääntelyvaatimuksiin.

RSS Kyberturvallisuuskeskus
Artikkelit
Sanapilvi
apt Azure AD CVE CVSS forms identiteetti intune kyberrikollisuus kyberturvallisuus kyberturvallisuussuunnitelma MFA Microsoft 365 Microsoft 365 Business Premium Mitä kuuluu Microsoft Passwordless Purview Salasanat Stream supply chain attack Teams tietoturva tuottavuus ubuntu Windows 11 yleinen

Copyright jannenevalainen.com. All rights reserved

Youtube Linkedin

Tietosuojaseloste