Compartir vía


Unidades administrativas

Las unidades administrativas permiten subdividir la organización en unidades más pequeñas y asignar administradores específicos que solo pueden administrar los miembros de esas unidades. Los grupos de roles de Microsoft Purview permiten asignar administradores a unidades administrativas específicas. Las soluciones de Microsoft Purview que admiten la unidad administrativa restringirán los permisos de visibilidad y administración a los miembros de la unidad.

Por ejemplo, podría usar unidades administrativas para delegar permisos a los administradores de cada región geográfica de una organización multinacional grande o para agrupar el acceso de administrador por departamento dentro de la organización. Puede crear directivas específicas de región o departamento o ver la actividad del usuario como resultado de esas directivas y la asignación de unidades administrativas. También puede usar unidades administrativas como ámbito inicial de una directiva, donde la selección de usuarios aptos para la directiva depende de la pertenencia a unidades administrativas.

Si usa ámbitos adaptables para directivas de cumplimiento, consulte Cómo funcionan los ámbitos adaptables con Microsoft Entra unidades administrativas.

Compatibilidad con unidades administrativas en Microsoft Purview

Las siguientes soluciones de cumplimiento de Microsoft Purview admiten unidades administrativas:

Solución Compatibilidad con la configuración
Administración del ciclo de vida de los datos Grupos de roles, directivas de retención y directivas de etiqueta de retención
Data Loss Prevention (DLP) Grupos de roles y directivas DLP
Cumplimiento de las comunicaciones Directivas y gruposde roles
Administración de riesgos internos Directivas y gruposde roles
Administración de registros Grupos de roles, directivas de retención, directivas de etiquetas de retención y ámbitos adaptables
Etiquetado de confidencialidad Grupos de roles, directivas de etiquetas de confidencialidad y directivas de etiquetado automático

La configuración de las unidades administrativas fluye automáticamente a las siguientes características:

Para asignar un miembro de grupo de roles a una unidad administrativa, se debe asignar a los administradores el rol De administración de roles. Para obtener más información sobre los roles y grupos de roles de Microsoft Purview, consulte Grupos de roles en Microsoft Purview.

Puede asignar miembros de grupo de roles a unidades administrativas dentro de los siguientes grupos de roles integrados:

  • Cumplimiento de la comunicación
  • Administradores de cumplimiento de comunicaciones
  • Analistas de cumplimiento de comunicaciones
  • Investigadores de cumplimiento de comunicaciones
  • Administrador de cumplimiento
  • Administradores de datos de cumplimiento
  • Lector global
  • Protección de la información
  • Administradores de Information Protection
  • Analista de Information Protection
  • Investigadores de Information Protection
  • Lectores de Information Protection
  • Administración de riesgos de Insider
  • Administradores de administración de riesgos internos
  • Analistas de administración de riesgos internos
  • Investigadores de administración de riesgos internos
  • Aprobadores de sesión de Administración de riesgos internos
  • Aprobadores de administración de riesgos internos
  • Administración de la organización
  • Records Management
  • Administrador de seguridad
  • Operador de seguridad
  • Lector de seguridad

Al asignar grupos de roles, puede seleccionar miembros o grupos individuales y, a continuación, seleccionar la opción Asignar unidades de administrador para seleccionar las unidades administrativas que se han definido en Microsoft Entra ID:

Opción Asignar unidades de administrador al editar grupos de roles.

Importante

Asignar unidades de administrador siempre está disponible cuando se han creado grupos de roles personalizados. Puede asignar unidades administrativas para cualquier grupo de roles personalizado.

Estos administradores, a los que se hace referencia como administradores restringidos, ahora pueden seleccionar una o varias de sus unidades administrativas asignadas para definir automáticamente el ámbito inicial de las directivas que crean o editan. Solo si los administradores no tienen unidades administrativas asignadas (administradores sin restricciones), podrán asignar directivas a todo el directorio sin necesidad de seleccionar unidades administrativas individuales.

Importante

Después de asignar unidades administrativas a los miembros de los grupos de roles, estos administradores restringidos ya no podrán ver y editar las directivas existentes. Sin embargo, no hay ningún cambio operativo en estas directivas y permanecen visibles y pueden ser editadas por administradores sin restricciones.

Los administradores restringidos tampoco podrán ver los datos históricos mediante características que admiten unidades administrativas, como el explorador de actividad y las alertas. Permanecen visibles para los administradores sin restricciones. En el futuro, los administradores restringidos podrán ver estos datos relacionados solo para sus unidades administrativas asignadas.

Nota:

Además de poder configurar y ver alertas, los usuarios con los roles analista de Information Protection y Information Protection investigador pueden buscar registros de auditoría mediante el cmdlet Search-UnifiedAuditLog.

Requisitos previos para las unidades administrativas

Antes de configurar las unidades administrativas para las soluciones de cumplimiento de Microsoft Purview, asegúrese de que su organización y los usuarios cumplen los siguientes requisitos de suscripción y licencia:

  • licencias de Microsoft Entra ID P1 o P2

  • Licencias de Microsoft Purview:

    • Microsoft 365 E5/A5/G5
    • Microsoft 365 E5/A5/G5/F5 Compliance o F5 Security & Compliance
    • gobernanza de Information Protection & Microsoft 365 E5/A5/G5/F5
    • Administración de riesgos internos de Microsoft 365 E5/A5/F5

Configuración y uso de unidades administrativas

Complete los pasos siguientes para configurar y usar unidades administrativas con soluciones de cumplimiento de Microsoft Purview:

  1. Create unidades administrativas para restringir el ámbito de los permisos de rol en Microsoft Entra ID.

  2. Agregue usuarios y grupos de distribución a unidades administrativas.

    Importante

    Los miembros de Grupos de distribución dinámica no se convierten automáticamente en miembros de una unidad administrativa.

  3. Si crea una región geográfica o unidades administrativas basadas en departamentos, configure unidades administrativas con reglas de pertenencia dinámicas.

    Nota:

    No se pueden agregar grupos a una unidad administrativa que use reglas de pertenencia dinámica. Si es necesario, cree dos unidades administrativas, una para los usuarios y otra para grupos.

  4. Use cualquiera de los grupos de roles de las soluciones de cumplimiento de Microsoft Purview que admiten unidades administrativas para asignar unidades administrativas a los miembros.

Ahora, cuando estos administradores restringidos crean o editan directivas que admiten unidades administrativas, pueden seleccionar unidades administrativas para que solo los usuarios de esas unidades administrativas sean aptos para la directiva:

  • Los administradores sin restricciones no tienen que seleccionar unidades administrativas como parte de la configuración de la directiva. Pueden mantener el valor predeterminado de todo el directorio o seleccionar una o varias unidades administrativas.
  • Los administradores restringidos ahora deben seleccionar una o varias unidades administrativas como parte de la configuración de la directiva.

Más adelante en la configuración de la directiva, los administradores que seleccionaron unidades administrativas deben incluir o excluir (si se admiten) usuarios y grupos individuales de las unidades administrativas que seleccionaron anteriormente para la directiva.

Para obtener información sobre las unidades administrativas específicas de cada solución admitida, consulte las secciones siguientes: