Permisos en el portal de cumplimiento de Microsoft Purview

  • Artículo
  • Tiempo de lectura: 16 minutos

El portal de cumplimiento Microsoft Purview admite la administración directa de permisos para los usuarios que realizan tareas de cumplimiento en Microsoft 365. Esta actualización significa que ya no tendrá que usar el Centro de cumplimiento de seguridad & de Office 365 para administrar los permisos de las soluciones de cumplimiento. Con la nueva página Permisos del portal de cumplimiento, puede administrar permisos a los usuarios para tareas de cumplimiento en características como administración de dispositivos, Prevención de pérdida de datos de Microsoft Purview, eDiscovery, administración de riesgos internos, retención y muchas otras. Los usuarios solo pueden realizar las tareas de cumplimiento a las que les conceda acceso explícitamente.

Para ver la pestaña Permisos en el portal de cumplimiento, los usuarios deben ser administradores globales o tener asignado el rol Administración de roles (un rol solo se asigna al grupo de roles Administración de la organización ). El rol Administración de roles permite a los usuarios ver, crear y modificar grupos de roles.

Página Permisos en portal de cumplimiento Microsoft Purview.

Los permisos del portal de cumplimiento se basan en el modelo de permisos de control de acceso basado en rol (RBAC). RBAC es el mismo modelo de permisos que usan la mayoría de los servicios de Microsoft 365, por lo que si está familiarizado con la estructura de permisos de estos servicios, le resultará familiar conceder permisos en el portal de cumplimiento. Es importante recordar que los permisos administrados en el portal de cumplimiento no cubren la administración de todos los permisos necesarios en cada servicio individual. Seguirá teniendo que administrar determinados permisos específicos del servicio en el centro de administración para el servicio específico. Por ejemplo, si necesita asignar permisos para el archivado, la auditoría y las directivas de retención de MRM, tendrá que administrar estos permisos en el Centro de administración de Exchange.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Relación de los miembros, los roles y los grupos de roles

Un rol concede permisos para realizar un conjunto de tareas; por ejemplo, el rol Administración de casos permite a los usuarios trabajar con casos de eDiscovery.

Un grupo de roles es un conjunto de roles que permiten a los usuarios realizar sus trabajos en las soluciones de cumplimiento del portal de cumplimiento. Por ejemplo, al agregar usuarios al grupo de roles Insider Risk Management , los administradores, analistas, investigadores y auditores designados se configuran para los permisos de administración de riesgos internos necesarios en un solo grupo. El portal de cumplimiento incluye grupos de roles predeterminados para tareas y funciones para cada solución de cumplimiento a la que tendrá que asignar personas. Por lo general, se recomienda simplemente agregar usuarios individuales como miembros a los grupos de roles de cumplimiento predeterminados según sea necesario.

Diagrama que muestra la relación de los grupos de roles con los roles y miembros.

Permisos necesarios para usar características en el portal de cumplimiento

Para ver todos los grupos de roles predeterminados que están disponibles en el portal de cumplimiento y los roles asignados a los grupos de roles de forma predeterminada, consulte Roles y grupos de roles en los portales de cumplimiento de Microsoft 365 Defender y Microsoft Purview.

La administración de permisos en el portal de cumplimiento solo proporciona a los usuarios acceso a las características de cumplimiento que están disponibles en el portal de cumplimiento. Si desea conceder permisos a otras características que no están en el portal de cumplimiento, como las reglas de flujo de correo de Exchange (también conocidas como reglas de transporte), deberá usar el Centro de administración de Exchange.

Roles de Azure en el portal de cumplimiento

Los roles que aparecen en la secciónRoles de Azure AD> de la página Permisos del portal de cumplimiento son roles de Azure Active Directory. Estos roles están diseñados para alinearse con las funciones de trabajo en el grupo de TI de su organización, lo que facilita otorgar a una persona todos los permisos necesarios para realizar su trabajo. Puede ver los usuarios asignados actualmente a cada rol seleccionando un rol de Administración y viendo los detalles del panel de roles. Para administrar miembros de un rol de Azure AD, seleccione Administrar miembros en Azure AD. Esta opción le redirige al portal de administración de Azure.

Role Descripción
Administrador global Acceso a todas las características administrativas en todos los servicios de Microsoft 365. Los administradores globales son los únicos que pueden asignar otros roles de administrador. Para más información, consulte Administrador global / Administrador de empresa.
Administrador de datos de cumplimiento Realizar un seguimiento de los datos de su organización a través de Microsoft 365, asegurarse de que están protegidos y obtener información sobre los problemas para ayudar a reducir los riesgos. Para obtener más información, consulte Administrador de datos de cumplimiento.
Administrador de cumplimiento Ayudar a que su organización cumpla con los requisitos normativos, administrar casos de eDiscovery y mantener directivas de gobierno de datos en todas las ubicaciones, identidades y aplicaciones de Microsoft 365. Para obtener más información, consulte Administrador de cumplimiento.
Operador de seguridad Ver, investigar y responder a las amenazas activas a usuarios, dispositivos y contenido de Microsoft 365. Para obtener más información, vea Operador de seguridad de seguridad.
Lector de seguridad Ver e investigar amenazas activas a usuarios, dispositivos y contenido de Microsoft 365, pero, a diferencia del operador de seguridad, no tienen permisos para responder realizando una acción. Para obtener más información, vea Lector de seguridad.
Administrador de seguridad Controlar la seguridad global de la organización mediante la administración de directivas de seguridad, la revisión de análisis de seguridad y los informes en los productos de Microsoft 365, así como mantenerse al día con el panorama de amenazas. Para obtener más información, vea Administrador de seguridad.
Lector global La versión de solo lectura del rol de Administrador global. Ver todas las configuraciones e información administrativa en Microsoft 365. Para más información, vea Lector global.
Administrador de simulación de ataque Crea y administra todos los aspectos de la creación de simulación de ataques, el lanzamiento o la programación de la simulación y la revisión de los resultados de la misma. Para más información, consulte Administrador de simulación de ataque.
Autor de carga de ataque Crea cargas de ataques pero no las inicia ni programa. Para más información, consulte Autor de carga de ataques.

Unidades administrativas (versión preliminar)

Importante

Las unidades administrativas solo se admiten en organizaciones en la nube comercial de Microsoft 365 para la versión preliminar pública.

Las unidades administrativas permiten subdividir la organización en unidades más pequeñas y, a continuación, asignar administradores específicos que solo pueden administrar los miembros de esas unidades. También le permiten asignar unidades administrativas a miembros de grupos de roles en soluciones de Microsoft Purview, de modo que estos administradores puedan administrar solo los miembros (y las características asociadas) de esas unidades administrativas asignadas.

Por ejemplo, podría usar unidades administrativas para delegar permisos a los administradores de cada región geográfica de una organización multinacional grande o para agrupar el acceso de administrador por departamento dentro de la organización. Puede crear directivas específicas de región o departamento o ver la actividad del usuario como resultado de esas directivas y la asignación de unidades administrativas. También puede usar unidades administrativas como ámbito inicial de una directiva, donde la selección de usuarios aptos para la directiva depende de la pertenencia a unidades administrativas.

Compatibilidad con unidades administrativas en Microsoft Purview

Las siguientes soluciones de cumplimiento de Microsoft Purview admiten unidades administrativas:

Solución Descripción de la compatibilidad
Data Loss Prevention (DLP) Grupos de roles y directivas DLP
Etiquetado de confidencialidad Grupos de roles y directivas de etiquetado

Para estas soluciones, las siguientes características también admiten unidades administrativas:

  • Alertas: las alertas DLP solo son visibles de los usuarios de las unidades administrativas asignadas
  • Explorador de actividad: los eventos de actividad solo son visibles desde los usuarios de las unidades administrativas asignadas

También se admiten unidades administrativas para algunos grupos de roles integrados. Puede agregar usuarios y grupos a unidades administrativas para los siguientes grupos de roles integrados:

  • Administrador de cumplimiento
  • Administradores de datos de cumplimiento
  • Lector global
  • Protección de la información
  • Administradores de Information Protection
  • Analista de Information Protection
  • Investigadores de Information Protection
  • Lectores de Information Protection
  • Administración de la organización
  • Administrador de seguridad
  • Operador de seguridad
  • Lector de seguridad

Al asignar grupos de roles, puede seleccionar miembros o grupos individuales y, a continuación, la opción Asignar unidades de administrador para seleccionar las unidades administrativas que se han definido en Azure Active Directory:

Opción Asignar unidades de administrador al editar grupos de roles.

Importante

Asignar unidades de administrador siempre está disponible cuando se han creado grupos de roles personalizados. Puede asignar unidades administrativas para cualquier grupo de roles personalizado.

Estos administradores, a los que se hace referencia como administradores restringidos, ahora pueden seleccionar una o varias de sus unidades administrativas asignadas para definir automáticamente el ámbito inicial de las directivas que crean o editan. Solo si los administradores no tienen unidades administrativas asignadas (administradores sin restricciones), podrán asignar directivas a todo el directorio sin seleccionar unidades administrativas individuales.

Importante

Después de asignar unidades administrativas a los miembros de los grupos de roles, estos administradores restringidos ya no podrán ver y editar las directivas existentes. Sin embargo, no hay ningún cambio operativo en estas directivas y permanecen visibles y pueden ser editadas por administradores sin restricciones.

Los administradores restringidos tampoco podrán ver los datos históricos mediante características que admiten unidades administrativas, como el explorador de actividad y las alertas. Permanecen visibles para los administradores sin restricciones. En el futuro, los administradores restringidos podrán ver estos datos relacionados solo para sus unidades administrativas asignadas.

Requisitos previos para las unidades administrativas

Antes de configurar las unidades administrativas para las soluciones de cumplimiento de Microsoft Purview, asegúrese de que su organización y los usuarios cumplen los siguientes requisitos de suscripción y licencia:

  • licencias de Azure Active Directory Premium

  • Licencias de Microsoft Purview:

    • Microsoft 365 (E5/A5)
    • Cumplimiento de Microsoft 365 E5/A5/F5 y seguridad & de F5 Cumplimiento
    • Gobernanza de Information Protection & Microsoft 365 E5/A5/F5

Configuración y uso de unidades administrativas

Complete los pasos siguientes para configurar y usar unidades administrativas con soluciones de cumplimiento de Microsoft Purview:

  1. Cree unidades administrativas para restringir el ámbito de los permisos de rol en Azure Active Directory (Azure AD).

  2. Agregue usuarios y grupos de distribución a unidades administrativas.

    Importante

    Los miembros de grupos de distribución dinámica no se convierten automáticamente en miembros de una unidad administrativa.

  3. Si crea una región geográfica o unidades administrativas basadas en departamentos, configure unidades administrativas con reglas de pertenencia dinámicas.

    Nota:

    No se pueden agregar grupos a una unidad administrativa que use reglas de pertenencia dinámica. Si es necesario, cree dos unidades administrativas, una para los usuarios y otra para grupos.

  4. Use cualquiera de los grupos de roles de las soluciones de cumplimiento de Microsoft Purview que admiten unidades administrativas para asignar unidades administrativas a los miembros.

Ahora, cuando estos administradores restringidos crean o editan directivas que admiten unidades administrativas, pueden seleccionar unidades administrativas para que solo los usuarios de esas unidades administrativas sean aptos para la directiva:

  • Los administradores sin restricciones no tienen que seleccionar unidades administrativas como parte de la configuración de la directiva. Pueden mantener el valor predeterminado de todo el directorio o seleccionar una o varias unidades administrativas.
  • Los administradores restringidos ahora deben seleccionar una o varias unidades administrativas como parte de la configuración de la directiva.

Más adelante en la configuración de la directiva, los administradores que seleccionaron unidades administrativas deben incluir o excluir (si se admiten) usuarios y grupos individuales de las unidades administrativas que seleccionaron anteriormente para la directiva.

Para obtener información sobre las unidades administrativas específicas de cada solución admitida, consulte las secciones siguientes:

Adición de usuarios o grupos a un grupo de roles integrado de Microsoft Purview

Complete los pasos siguientes para agregar usuarios o grupos a un grupo de roles de Microsoft Purview:

  1. Inicie sesión en el área de permisos del portal de cumplimiento con las credenciales de una cuenta de administrador de su organización de Microsoft 365 y vaya a Permisos para seleccionar el vínculo para ver y administrar roles de cumplimiento en Microsoft 365.

  2. Expanda la sección Soluciones de Microsoft Purview y seleccione Roles.

  3. En la página Grupos de roles para soluciones de Microsoft Purview , seleccione un grupo de roles de Microsoft Purview al que desea agregar usuarios y, a continuación, seleccione Editar en la barra de control.

  4. En la página Editar miembros del grupo de roles , seleccione Elegir usuarios o Elegir grupos.

    Importante

    Los grupos de seguridad solo se admiten en organizaciones en la nube comercial de Microsoft 365.

  5. Active la casilla para todos los usuarios o grupos que quiera agregar al grupo de roles.

  6. Seleccione Seleccionar.

  7. Si los usuarios o grupos seleccionados necesitan acceso para toda la organización como parte de esta asignación de grupos de roles, vaya al paso 10.

  8. Si los usuarios o grupos seleccionados deben asignarse a unidades administrativas, seleccione los usuarios o grupos y seleccione Asignar unidades de administrador.

    Importante

    Las unidades administrativas solo se admiten en organizaciones en la nube comercial de Microsoft 365 para la versión preliminar pública.

  9. En el panel Asignar unidades de administración (versión preliminar), active la casilla de todas las unidades administrativas que desea asignar a los usuarios o grupos. Seleccione Seleccionar.

  10. Seleccione Siguiente y Guardar para agregar los usuarios o grupos al grupo de roles. Seleccione Listo para completar los pasos.

Eliminación de usuarios o grupos de un grupo de roles integrado de Microsoft Purview

Complete los pasos siguientes para quitar usuarios o grupos rom un grupo de roles de Microsoft Purview:

  1. Inicie sesión en el área de permisos del portal de cumplimiento con las credenciales de una cuenta de administrador de la organización de Microsoft 365 y vaya a Permisos para seleccionar el vínculo para ver y administrar los roles de cumplimiento de Microsoft Purview.
  2. Expanda la sección Soluciones de Microsoft Purview y seleccione Roles.
  3. En la página Grupos de roles para soluciones de Microsoft Purview , seleccione un grupo de roles de Microsoft Purview del que quiera quitar usuarios o grupos y, a continuación, seleccione Editar en la barra de control.
  4. En la página Editar miembros del grupo de roles, active la casilla para todos los usuarios o grupos que quiera quitar en el grupo de roles.
  5. Seleccione Quitar miembros y, a continuación, seleccione Siguiente.
  6. Seleccione Guardar para quitar los usuarios o grupos del grupo de roles. Seleccione Listo para completar los pasos.

Creación de un grupo de roles personalizado de Microsoft Purview

Complete los pasos siguientes para crear un grupo de roles personalizado de Microsoft Purview:

  1. Inicie sesión en el área de permisos del portal de cumplimiento con las credenciales de una cuenta de administrador de la organización de Microsoft 365 y vaya a Permisos.

  2. Expanda la sección Soluciones de Microsoft Purview y seleccione Roles.

  3. En la página Grupos de roles para soluciones de Microsoft Purview , seleccione Crear grupo de roles.

  4. En la página Nombre del grupo de roles , escriba un nombre para el grupo de roles personalizado en el campo Nombre . El nombre del grupo de roles no se puede cambiar después de crear el grupo de roles. Si es necesario, escriba una descripción para el grupo de roles personalizado en el campo Descripción . Seleccione Siguiente para continuar.

  5. En la página Agregar roles al grupo de roles , seleccione Elegir roles.

  6. Seleccione las casillas de verificación de los roles que se van a agregar al grupo de roles personalizado. Seleccione Seleccionar.

  7. Seleccione Siguiente para continuar.

  8. En la página Agregar miembros al grupo de roles , seleccione Elegir usuarios (o Elegir grupos , si procede).

    Importante

    Los grupos de seguridad solo se admiten en organizaciones en la nube comercial de Microsoft 365.

  9. Active las casillas para que los usuarios (o grupos) se agreguen al grupo de roles personalizado. Seleccione Seleccionar.

  10. Seleccione Siguiente para continuar.

  11. Si los usuarios o grupos seleccionados necesitan acceso para toda la organización como parte de esta asignación de grupos de roles, vaya al paso 14.

  12. Si los usuarios o grupos seleccionados deben asignarse a unidades administrativas, seleccione los usuarios o grupos y seleccione Asignar unidades de administrador.

    Importante

    Las unidades administrativas solo se admiten en organizaciones en la nube comercial de Microsoft 365 para la versión preliminar pública.

  13. En el panel Asignar unidades de administración (versión preliminar), active la casilla de todas las unidades administrativas que desea asignar a los usuarios o grupos. Seleccione Seleccionar.

  14. Seleccione Siguiente.

  15. En la página Revisar el grupo de roles y finalizar , revise los detalles del grupo de roles personalizado. Si necesita editar la información, seleccione Editar en la sección correspondiente. Cuando toda la configuración sea correcta, seleccione Crear para crear el grupo de roles personalizado o seleccione Cancelar para descartar los cambios y no crear el grupo de roles personalizado.

Actualización de un grupo de roles personalizado de Microsoft Purview

Complete los pasos siguientes para actualizar un grupo de roles personalizado de Microsoft Purview:

  1. Inicie sesión en el área de permisos del portal de cumplimiento con las credenciales de una cuenta de administrador de la organización de Microsoft 365 y vaya a Permisos.
  2. Expanda la sección Soluciones de Microsoft Purview y seleccione Roles.
  3. En la página Grupos de roles para soluciones de Microsoft Purview , seleccione un grupo de roles de Microsoft Purview que quiera actualizar y, a continuación, seleccione Editar en la barra de control.
  4. En la página Nombre del grupo de roles , actualice la descripción del grupo de roles personalizado en el campo Descripción . No se puede cambiar el nombre del grupo de roles personalizado. Seleccione Siguiente.
  5. En la página Editar roles del grupo de roles, puede seleccionar Elegir roles para agregar roles para actualizar los roles asignados al grupo de roles. También puede seleccionar cualquiera de los roles asignados actualmente y seleccionar Quitar roles para quitar los roles del grupo de roles. Después de actualizar los roles, seleccione Siguiente.
  6. En la página Editar miembros del grupo de roles, puede seleccionar Elegir usuarios o Elegir grupos para agregar usuarios o grupos asignados al grupo de roles. Para actualizar las unidades administrativas de los usuarios o grupos, seleccione cualquiera de los grupos o usuarios asignados actualmente y seleccione Asignar unidades de administrador. También puede seleccionar cualquiera de los usuarios y grupos asignados actualmente y seleccionar Quitar miembros para quitar los usuarios o grupos del grupo de roles. Después de actualizar los miembros, seleccione Siguiente.
  7. En la página Revisar el grupo de roles y finalizar , revise los detalles del grupo de roles personalizado. Si necesita editar la información, seleccione Editar en la sección correspondiente. Cuando toda la configuración sea correcta, seleccione Guardar para actualizar el grupo de roles personalizado o seleccione Cancelar para descartar los cambios y no actualizar el grupo de roles personalizado.

Eliminación de un grupo de roles personalizado de Microsoft Purview

Complete los pasos siguientes para eliminar un grupo de roles personalizado de Microsoft Purview:

  1. Inicie sesión en el área de permisos del portal de cumplimiento con las credenciales de una cuenta de administrador de la organización de Microsoft 365 y vaya a Permisos.
  2. Expanda la sección Soluciones de Microsoft Purview y seleccione Roles.
  3. En la página Grupos de roles para soluciones de Microsoft Purview , seleccione un grupo de roles de Microsoft Purview que quiera eliminar y, a continuación, seleccione Eliminar en la barra de control.
  4. En el cuadro de diálogo Eliminar grupo de roles , seleccione Eliminar para eliminar el grupo de roles o seleccione Cancelar para cancelar el proceso de eliminación.