Asignación de permisos de exhibición de documentos electrónicos en el portal de cumplimiento
Si quiere que los usuarios usen cualquiera de las herramientas relacionadas con la exhibición de documentos electrónicos en el portal de cumplimiento de Microsoft Purview, debe asignarles los permisos adecuados. La manera más fácil de asignar roles es agregar a la persona el grupo de roles adecuado en la página Permisos en el portal de cumplimiento. En este artículo se describen los permisos necesarios para realizar tareas de exhibición de documentos electrónicos.
Sugerencia
Puede ver sus propios permisos en la página de información general de eDiscovery (Premium) en el portal de cumplimiento. Debe tener al menos un rol asignado para que se muestren los permisos.
El grupo de roles principal relacionado con la exhibición de documentos electrónicos en el portal de cumplimiento se denomina Administrador de exhibición de documentos electrónicos. Hay dos subgrupos dentro de este grupo de roles:
Administrador de exhibición de documentos electrónicos: Un administrador de exhibición de documentos electrónicos puede usar herramientas de búsqueda de exhibición de documentos electrónicos para buscar ubicaciones de contenido en la organización y realizar diversas acciones relacionadas con la búsqueda, como obtener una vista previa y exportar los resultados de búsqueda. Los miembros también pueden crear y administrar casos en Microsoft Purview eDiscovery (Estándar) y Microsoft Purview eDiscovery (Premium), agregar y quitar miembros a un caso, crear suspensiones de casos, ejecutar búsquedas asociadas a un caso y acceder a los datos del caso. Los supervisores de eDiscovery solo pueden acceder y supervisar los casos que crean. No pueden acceder ni supervisar los casos creados por otros supervisores de eDiscovery.
Administrador de exhibición de documentos electrónicos: Un administrador de exhibición de documentos electrónicos es miembro del grupo de roles Administrador de exhibición de documentos electrónicos y puede realizar las mismas tareas relacionadas con la búsqueda de contenido y la administración de casos que puede realizar un administrador de exhibición de documentos electrónicos. Además, un administrador de exhibición de documentos electrónicos puede:
- Acceda a todos los casos que aparecen en las páginas eDiscovery (Estándar) y eDiscovery (Premium) en el portal de cumplimiento.
- Acceder a los datos de los casos en eDiscovery (Premium) para cualquier caso en la organización.
- Administrar cualquier caso de eDiscovery después de agregarse como miembro del caso.
- Quitar miembros de un caso de eDiscovery Solo un administrador de eDiscovery puede quitar miembros de un caso. Los usuarios que son miembros del subgrupo administrador de eDiscovery no pueden quitar miembros de un caso, incluso si el usuario creó el caso.
Para conocer los motivos por los que es posible que quiera que los administradores de exhibición de documentos electrónicos de su organización, vea Más información.
Nota:
Para analizar los datos de un usuario mediante eDiscovery (Premium), el usuario (el custodio de los datos) debe tener asignada una licencia de Office 365 E5 o Microsoft 365 E5. Como alternativa, a los usuarios con una licencia de Office 365 E1, Office 365 o Microsoft 365 E3 se les puede asignar una Microsoft 365 cumplimiento de E5 o Microsoft 365 licencia de complemento de exhibición de documentos electrónicos y auditoría. Los administradores, responsables de cumplimiento o personal legal asignados a casos como miembros y usan eDiscovery (Premium) para recopilar, ver y analizar datos no necesitan una licencia E5. Para obtener más información sobre las licencias de eDiscovery (Premium), vea Suscripciones y licencias en eDiscovery (Premium).
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Antes de asignar permisos
- Debe ser miembro del grupo de roles Administración de la organización o tener asignado el rol Administración de rolespara asignar permisos de exhibición de documentos electrónicos en el portal de cumplimiento.
- Puede usar el cmdlet Add-RoleGroupMember en Security & Compliance PowerShell para agregar un grupo de seguridad habilitado para correo como miembro del subgrupo Administradores de exhibición de documentos electrónicos en el grupo de roles Administrador de exhibición de documentos electrónicos. Sin embargo, no puede agregar un grupo de seguridad habilitado para correo al subgrupo Administradores de exhibición de documentos electrónicos. Para obtener más información, vea Más información.
Asignar permisos de eDiscovery
Vaya al portal de cumplimiento e inicie sesión con una cuenta que pueda asignar permisos.
En el panel izquierdo, seleccione Roles y ámbitos>Permisos.
En la página Permisos, en soluciones de Microsoft Purview, seleccione Roles.
En la página grupos de role para soluciones de Microsoft Purview, seleccione Administrador de exhibición de documentos electrónicos.
En el panel flotante Administrador de exhibición de documentos electrónicos, realice una de las siguientes acciones en función de los permisos de exhibición de documentos electrónicos que quiera asignar.
- Seleccione Editar.
- En la página Administrar administrador de exhibición de documentos electrónicos, seleccione Elegir usuarios.
- Busque y seleccione el usuario (o usuarios) que desea agregar como Administrador de exhibición de documentos electrónicosy, a continuación, seleccione Seleccionar.
- Seleccione Siguiente.
- Para asignar un usuario (o usuarios) al grupo de roles Administrador de exhibición de documentos electrónicos, seleccione Elegir usuarios.
- Busque y seleccione el usuario (o usuarios) que desea agregar como Administrador de exhibición de documentos electrónicosy, a continuación, seleccione Seleccionar.
- Seleccione Siguiente.
- En el Revise el grupo de roles y finalicepágina, revise los cambios del grupo de roles. Seleccione Guardar para guardar los cambios en los grupos de roles de exhibición de documentos electrónicos.
Nota:
También puede usar el cmdlet Add-eDiscoveryCaseAdmin para convertir a un usuario en administrador de exhibición de documentos electrónicos. Sin embargo, el usuario debe tener asignado el rol de Administración de casos antes de poder usar este cmdlet para convertirlo en administrador de exhibición de documentos electrónicos. Para obtener más información, vea Add-eDiscoveryCaseAdmin.
En la página Permisos del portal de cumplimiento, también puede asignar permisos relacionados con la exhibición de documentos electrónicos a los usuarios agregándolos a los grupos de roles de Administrador de cumplimiento, Administración de la organización y Revisor. Para obtener una descripción de los roles de control de acceso basado en rol relacionados con la exhibición de documentos electrónicos asignados a cada uno de estos grupos de roles, vea Roles de control de acceso basado en roles relacionados con eDiscovery.
Visualización de permisos
Los permisos asignados a los usuarios de exhibición de documentos electrónicos se muestran en la tarjeta Sus permisos en la pestaña Información general de exhibición de documentos electrónicos cuando cada usuario inicia sesión en Detección en el portal de cumplimiento. Esta tarjeta describe el acceso y los roles del usuario, incluidas las limitaciones de los casos de exhibición de documentos electrónicos.
Roles RBAC relacionados con eDiscovery
En la tabla siguiente se enumeran los roles de control de acceso basado en roles relacionados con la exhibición de documentos electrónicos en el portal de cumplimiento e indica los grupos de roles integrados a los que se asigna cada rol de forma predeterminada.
| Role | Administrador de cumplimiento | Administrador de eDiscovery y Administrador | Administración de la organización | Reviewer |
|---|---|---|---|---|
| Administración de casos |  |
|
|
|
| Comunicación | |
|||
| Búsqueda de cumplimiento | |
|
|
|
| Custodio | |
|||
| Exportar | |
|||
| Hold | |
|
|
|
| Administrar etiquetas de conjunto de revisión | |
|||
| Preview | |
|||
| Revisar | |
|
||
| Descifrado de RMS | |
|||
| Buscar y purgar | |
Ejecute la siguiente prueba de diagnóstico para comprobar si los roles Export, Preview, o Search, están asignados a la cuenta de administrador designada.
- Seleccione el control Ayuda en la parte superior derecha del portal de cumplimiento de Microsoft Purview. Escriba Diag:edisRBACdiag en la búsqueda (o seleccione este vínculo) para ejecutar la prueba de Comprobación de RBAC de exhibición de documentos electrónicos.
- En la sección Ejecutar diagnósticos, escriba el UPN o la dirección de correo electrónico del usuario que intenta ejecutar una tarea de exportación, vista previa o búsqueda.
- Seleccione Ejecutar pruebas. Si el usuario no tiene los roles de exhibición de documentos electrónicos necesarios, asigne los roles para realizar la tarea deseada.
En las secciones siguientes se describe cada uno de los roles de control de acceso basado en roles relacionados con eDiscovery enumerados en la tabla anterior.
Administración de casos
Este rol permite a los usuarios crear, editar, eliminar y controlar el acceso a los casos de exhibición de documentos electrónicos (Estándar) y de exhibición de documentos electrónicos (Premium) en el portal de cumplimiento. Como se explicó anteriormente, se debe asignar a un usuario el rol de Administración de casos para poder usar el cmdlet Add-eDiscoveryCaseAdmin para convertirlo en administrador de exhibición de documentos electrónicos.
Para obtener más información, consulte:
Comunicación
Este rol permite a los usuarios administrar todas las comunicaciones con los custodios identificados en un caso de exhibición de documentos electrónicos (Premium). Esto incluye la creación de notificaciones de suspensión, avisos de suspensión y escalaciones a la administración. El usuario también puede realizar un seguimiento de la confirmación del custodio de las notificaciones de suspensión y administrar el acceso al portal de custodios que usa cada custodio para realizar un seguimiento de las comunicaciones de los casos en los que se identificaron como custodio.
Para obtener más información, vea Trabajar con comunicaciones en eDiscovery (Premium).
Búsqueda de cumplimiento
Este rol permite a los usuarios ejecutar la herramienta de búsqueda de contenido en el portal de cumplimiento para buscar buzones y carpetas públicas, sitios de SharePoint Online, sitios de OneDrive para la Empresa, conversaciones de Skype Empresarial, grupos de Microsoft 365 y grupos de Microsoft Teams, y grupos de Viva Engage. Este rol permite a un usuario obtener una estimación de los resultados de la búsqueda y crear informes de exportación, pero se necesitan otros roles para iniciar acciones de búsqueda de contenido, como obtener una vista previa, exportar o eliminar resultados de búsqueda.
En la búsqueda de contenido y la exhibición de documentos electrónicos (Estándar), los usuarios a los que se les asigna el rol de búsqueda de cumplimiento pero que no tienen el rol de Vista previa pueden obtener una vista previa de los resultados de una búsqueda en la que un usuario que tenga asignado el rol de vista previa ha iniciado la acción de Vista previa. El usuario sin el rol de Vista previapuede obtener una vista previa de los resultados hasta dos semanas después de crear la acción de vista previa inicial.
Del mismo modo, los usuarios de búsqueda de contenido y eDiscovery (Estándar) a los que se les asigna el rol de búsqueda de cumplimiento, pero que no tienen el rol Exportar, pueden descargar los resultados de una búsqueda en la que un usuario que tenga asignado el rol Exportar de inició de la acción de exportación. El usuario sin el rol Exportar puede descargar los resultados de una búsqueda hasta dos semanas después de crear la acción de exportación inicial. Después, no podrán descargar los resultados a menos que alguien con el rol Exportar reinicie la exportación.
El período de gracia de dos semanas para obtener una vista previa y exportar los resultados de búsqueda (sin los roles de búsqueda y exportación correspondientes) no se aplica a eDiscovery (Premium). Los usuarios deben tener asignados los roles deVista previa y Exportar para obtener una vista previa y exportar contenido en eDiscovery (Premium).
Custodio
Este rol permite a los usuarios identificar y administrar custodios para casos de exhibición de documentos electrónicos (Premium) y usar la información del Microsoft Entra ID y otros orígenes para buscar orígenes de datos asociados con los custodios. El usuario puede asociar otros orígenes de datos, como buzones, sitios de SharePoint y Teams, con custodios en un caso. El usuario también puede establecer una suspensión legal en los orígenes de datos asociados a los custodios para conservar el contenido en el contexto de un caso.
Para obtener más información, vea Trabajar con custodios en eDiscovery (Premium).
Exportar
El rol permite a los usuarios exportar los resultados de una búsqueda de contenido a un equipo local. También les permite preparar los resultados de búsqueda para su análisis en eDiscovery (Premium).
Para obtener más información sobre cómo exportar resultados de búsqueda, vea Exportar resultados de búsqueda desde el portal de cumplimiento de Microsoft Purview.
Hold
Este rol permite a los usuarios colocar contenido en espera en buzones, carpetas públicas, sitios, conversaciones de Skype Empresarial y grupos de Microsoft 365. Cuando el contenido está suspendido, los propietarios del contenido pueden seguir modificando o eliminando el contenido original, pero este se conservará hasta que se elimine la suspensión o hasta que expire la duración de la suspensión.
Para obtener más información acerca de las suspensiones, vea:
- Crear una suspensión en exhibición de documentos electrónicos (Estándar)
- crear una suspensión en eDiscovery (Premium)
Administrar etiquetas de conjunto de revisión
Este rol permite a los usuarios crear, editar y eliminar etiquetas de conjunto de revisión para los casos a los que pueden acceder. Los usuarios deben tener al menos el rol Revisar y este rol para administrar etiquetas durante las revisiones.
Preview
Este rol permite a los usuarios ver una lista de elementos devueltos desde una búsqueda de contenido. También pueden abrir y ver cada elemento de la lista para ver su contenido.
Revisar
Este rol permite a los usuarios acceder a conjuntos de revisión en eDiscovery (Premium). Los usuarios a los que se les asigna este rol pueden ver y abrir la lista de casos en la página eDiscovery > Premium del portal de cumplimiento del que son miembros. Una vez que el usuario accede a un caso de exhibición de documentos electrónicos (Premium), puede seleccionar Conjuntos de revisión para acceder a los datos del caso. Este rol no permite al usuario obtener una vista previa de los resultados de una búsqueda de recopilación asociada al caso ni realizar otras tareas de búsqueda o administración de casos. Los usuarios con este rol solo pueden acceder a los datos de un conjunto de revisión.
Descifrado de RMS
Este rol permite a los usuarios ver mensajes de correo electrónico protegidos por derechos al obtener una vista previa de los resultados de búsqueda y exportar mensajes de correo electrónico protegidos por derechos descifrados. Este rol también permite a los usuarios ver (y exportar) un archivo cifrado con un tecnología de cifrado de Microsoft cuando el archivo cifrado se adjunta a un mensaje de correo electrónico que se incluye en los resultados de una búsqueda de exhibición de documentos electrónicos. Además, este rol permite a los usuarios revisar y consultar datos adjuntos de correo electrónico cifrados que se agregan a un conjunto de revisión en eDiscovery (Premium). Para obtener más información sobre el descifrado en eDiscovery, vea Descifrado en Microsoft 365 herramientas de exhibición de documentos electrónicos.
Buscar y purgar
Este rol permite a los usuarios realizar la eliminación masiva de los datos que coinciden con los criterios de una búsqueda de contenido. Para obtener más información, vea Buscar y eliminar mensajes de correo electrónico en la organización.
Agregar grupos de roles como miembros de casos de exhibición de documentos electrónicos
Puede agregar grupos de roles como miembros de casos de exhibición de documentos electrónicos (Estándar) y de exhibición de documentos electrónicos (Premium) para que los miembros de los grupos de roles puedan acceder y realizar tareas en los casos asignados. Los roles asignados al grupo de roles definen qué pueden hacer los miembros del grupo de roles. Después, agregar un grupo de roles como miembro del caso permite a los miembros acceder a esas tareas y realizarlas en un caso específico. Para obtener más información sobre cómo agregar grupos de roles como miembros de casos, vea:
- Introducción a eDiscovery (Estándar)
- Agregar o quitar miembros de un caso de exhibición de documentos electrónicos (Premium)
Teniendo en cuenta este requisito, es importante saber que, si se agrega o quita un rol de un grupo de roles, ese grupo de roles se quitará automáticamente como miembro de cualquier caso del que sea miembro el grupo de roles. El motivo es proteger su organización de proporcionar accidentalmente permisos adicionales a los miembros de un caso. Del mismo modo, si se elimina un grupo de roles, se quita de todos los casos de los que era miembro.
Antes de agregar o quitar roles a un grupo de roles que pueda ser miembro de un caso de exhibición de documentos electrónicos, puede ejecutar los siguientes comandos en Security & Compliance PowerShell para obtener una lista de los casos a los que pertenece el grupo de roles. Después de actualizar el grupo de roles, vuelva a agregar el grupo de roles como miembro de esos casos.
Obtener una lista de casos de exhibición de documentos electrónicos (Estándar) a los que se asigna un grupo de roles
Get-ComplianceCase -RoleGroup "Name of role group"
Obtener una lista de casos de eDiscovery (Premium) a los que se asigna un grupo de roles
Get-ComplianceCase -RoleGroup "Name of role group" -CaseType AdvancedEdiscovery
Más información
¿Por qué crear un administrador de eDiscovery? Como se explicó anteriormente, un administrador de exhibición de documentos electrónicos es miembro del grupo de roles Administrador de exhibición de documentos electrónicos que puede ver y tener acceso a todos los casos de exhibición de documentos electrónicos de su organización. Esta capacidad para tener acceso a todos los casos de exhibición de documentos electrónicos tiene dos fines importantes:
- Si una persona que es el único miembro de un caso de exhibición de documentos electrónicos deja la organización, nadie (incluidos los miembros del grupo de roles Administración de la organización u otro miembro del grupo de roles Administrador de exhibición de documentos electrónicos) puede acceder a ese caso de exhibición de documentos electrónicos porque no es miembro de un caso. En esta situación, no habría ninguna manera de tener acceso a los datos del caso. Pero como un administrador de exhibición de documentos electrónicos puede acceder a todos los casos de exhibición de documentos electrónicos de la organización, puede ver el caso y agregarse a sí mismo u otro administrador de exhibición de documentos electrónicos como miembro del caso.
- Dado que un administrador de exhibición de documentos electrónicos puede ver y acceder a todos los casos de eDiscovery (Estándar) y eDiscovery (Premium), puede auditar y supervisar todos los casos y las búsquedas de cumplimiento asociadas. Esta funcionalidad puede ayudar a evitar cualquier uso incorrecto de las búsquedas de cumplimiento o los casos de exhibición de documentos electrónicos. Y dado que los administradores de exhibición de documentos electrónicos pueden acceder a información potencialmente confidencial en los resultados de una búsqueda de cumplimiento, debe limitar el número de personas que son administradores de exhibición de documentos electrónicos.
¿Puedo agregar un grupo como miembro del grupo de roles administrador de exhibición de documentos electrónicos? Como se explicó anteriormente, puede agregar un grupo de seguridad habilitado para correo como miembro del subgrupo Administradores de exhibición de documentos electrónicos en el grupo de roles Administrador de exhibición de documentos electrónicos mediante el cmdlet Add-RoleGroupMember en Security & Compliance PowerShell. Por ejemplo, puede ejecutar el siguiente comando para agregar un grupo de seguridad habilitado para correo al grupo de roles de administrador de exhibición de documentos electrónicos.
Add-RoleGroupMember "eDiscovery Manager" -Member <name of security group>No se admiten grupos de distribución y Grupos de Microsoft 365 de Exchange. Debe usar un grupo de seguridad habilitado para correo, que puede crear en Exchange Online PowerShell ejecutando
New-DistributionGroup -Type Security. También puede crear un grupo de seguridad habilitado para correo (y agregar miembros) en Centro de administración de Exchange o en el Centro de administración de Microsoft 365. Puede tardar hasta 60 minutos después de crearlo para que un nuevo grupo de seguridad habilitado para correo esté disponible para agregarlo al grupo de roles Administradores de exhibición de documentos electrónicos.Además, como se indicó anteriormente, no puede convertir un grupo de seguridad habilitado para correo en un administrador de exhibición de documentos electrónicos mediante el cmdlet Add-eDiscoveryCaseAdmin en Security & Compliance PowerShell. Solo puede agregar usuarios individuales como administradores de exhibición de documentos electrónicos.
Tampoco puede agregar un grupo de seguridad habilitado para correo como miembro de un caso.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de