Asignación de permisos en eDiscovery (versión preliminar)
Artículo
Si desea que los usuarios usen cualquiera de las funcionalidades y características de eDiscovery (versión preliminar) en el portal de Microsoft Purview, debe asignar a los usuarios los permisos adecuados. La manera más fácil de asignar roles es agregar al usuario el grupo de roles adecuado en la página Grupos de roles del portal de Microsoft Purview. En este artículo se describen los permisos necesarios para realizar tareas de exhibición de documentos electrónicos.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Roles y grupos de roles de eDiscovery
El grupo de roles principal relacionado con eDiscovery en el portal de Microsoft Purview se denomina Administrador de exhibición de documentos electrónicos. Hay dos subgrupos dentro de este grupo de roles:
Administrador de exhibición de documentos electrónicos: un Administrador de exhibición de documentos electrónicos puede buscar ubicaciones de contenido en la organización y realizar diversas acciones relacionadas con la búsqueda, como la vista previa y la exportación de resultados de búsqueda en eDiscovery (versión preliminar). Los miembros también pueden crear y administrar casos, agregar y quitar usuarios para un caso, crear retenciones de casos, ejecutar búsquedas asociadas a un caso y acceder a datos de casos. Los supervisores de eDiscovery solo pueden acceder y supervisar los casos que crean. No pueden acceder ni supervisar los casos creados por otros supervisores de eDiscovery.
Puede agregar un grupo de seguridad habilitado para correo como miembro del subgrupo administradores de exhibición de documentos electrónicos en el grupo de roles administrador de eDiscovery mediante el cmdlet Add-RoleGroupMember en PowerShell de cumplimiento de & seguridad. Por ejemplo, puede ejecutar el siguiente comando para agregar un grupo de seguridad habilitado para correo al grupo de roles Supervisor de eDiscovery.
Add-RoleGroupMember "eDiscoveryManager" -Member <name of security group>
No se admiten grupos de distribución y Grupos de Microsoft 365 de Exchange. Debe usar un grupo de seguridad habilitado para correo, que puede crear en Exchange Online PowerShell ejecutando New-DistributionGroup -Type Security. También puede crear un grupo de seguridad habilitado para correo (y agregar miembros) en Centro de administración de Exchange o en el Centro de administración de Microsoft 365. Puede tardar hasta 60 minutos después de crearlo para que un nuevo grupo de seguridad habilitado para correo esté disponible para agregarlo al grupo de roles Supervisor de eDiscovery.
No se puede convertir un grupo de seguridad habilitado para correo en un administrador de exhibición de documentos electrónicos mediante el cmdlet Add-eDiscoveryCaseAdmin en PowerShell de cumplimiento de & seguridad. Solo puede agregar usuarios individuales como administradores de eDiscovery.
Tampoco puede agregar un grupo de seguridad habilitado para correo como miembro de un caso.
Administrador de eDiscovery: un administrador de exhibición de documentos electrónicos es miembro del grupo de roles administrador de exhibición de documentos electrónicos y puede realizar las mismas tareas relacionadas con la búsqueda de contenido y la administración de casos que un Administrador de exhibición de documentos electrónicos puede realizar. Además, un administrador de eDiscovery puede:
Acceda a todos los casos que aparecen en el área eDiscovery del portal de Microsoft Purview.
Configuración de la solución eDiscovery.
Acceda al proceso y mantenga los informes en el ámbito de todos los casos.
Acceda a los datos de casos en cualquier caso de la organización.
Administrar cualquier caso de eDiscovery después de agregarse como miembro del caso.
Quitar miembros de un caso de eDiscovery Solo un administrador de eDiscovery puede quitar miembros de un caso. Los usuarios que son miembros del subgrupo Supervisor de eDiscovery no pueden quitar miembros de un caso, incluso si el usuario creó el caso.
Si una persona que es el único miembro de un caso de exhibición de documentos electrónicos deja la organización, nadie (incluidos los miembros del grupo de roles Administración de la organización u otro miembro del grupo de roles Supervisor de eDiscovery) puede acceder a ese caso de exhibición de documentos electrónicos porque no es miembro de un caso. En esta situación, no habría ninguna manera de tener acceso a los datos del caso. Pero como un supervisor de eDiscovery puede acceder a todos los casos de exhibición de documentos electrónicos de la organización, puede ver el caso y agregarse a sí mismo u otro supervisor de eDiscovery como miembro del caso.
Un administrador de eDiscovery puede ver y acceder a todos los casos de eDiscovery, puede auditar y supervisar todos los casos y las búsquedas de cumplimiento asociadas. Esta funcionalidad puede ayudar a evitar cualquier uso incorrecto de las búsquedas de cumplimiento o los casos de exhibición de documentos electrónicos. Y dado que los administradores de eDiscovery pueden acceder a información potencialmente confidencial en los resultados de una búsqueda de cumplimiento, debe limitar el número de personas que son administradores de eDiscovery.
Nota
Para analizar los datos de un usuario cuando se habilitan las características premium de eDiscovery, se debe asignar al usuario una licencia de Office 365 E5 o Microsoft 365 E5. Como alternativa, a los usuarios con una licencia de Office 365 E1, Office 365 o Microsoft 365 E3 se les puede asignar una Microsoft 365 cumplimiento de E5 o Microsoft 365 licencia de complemento de exhibición de documentos electrónicos y auditoría. Los administradores, los responsables de cumplimiento o el personal legal que están asignados a casos como miembros y usan características de exhibición de documentos electrónicos premium para recopilar, ver y analizar datos no necesitan una licencia E5. Para obtener más información sobre las suscripciones y las licencias, consulte los requisitos de suscripción para eDiscovery.
Antes de asignar permisos
Debe ser miembro del grupo de roles Administración de la organización o tener asignado el rol Administración de roles para asignar permisos de exhibición de documentos electrónicos en el portal de Microsoft Purview.
Puede usar el cmdlet Add-RoleGroupMember en Security & Compliance PowerShell para agregar un grupo de seguridad habilitado para correo como miembro del subgrupo Supervisores de eDiscovery en el grupo de roles Supervisor de eDiscovery. Sin embargo, no puede agregar un grupo de seguridad habilitado para correo al subgrupo Administradores de eDiscovery.
En la página grupos de role para soluciones de Microsoft Purview, seleccione Supervisor de eDiscovery.
En el panel flotante Supervisor de eDiscovery, realice una de las siguientes acciones en función de los permisos de exhibición de documentos electrónicos que quiera asignar.
Seleccione Editar.
En la página Administrar administrador de exhibición de documentos electrónicos , seleccione Elegir usuarios o Elegir grupos.
Busque y seleccione el usuario (o usuarios) que desea agregar como Supervisor de eDiscoveryy, a continuación, seleccione Seleccionar.
Seleccione Siguiente.
Para asignar un usuario (o usuarios) al grupo de roles administrador de exhibición de documentos electrónicos , seleccione Elegir usuarios o Elegir grupos.
Busque y seleccione el usuario (o usuarios) que desea agregar como Administrador de eDiscoveryy, a continuación, seleccione Seleccionar.
Seleccione Siguiente.
Si los usuarios o grupos seleccionados necesitan acceso a toda la organización como parte de esta asignación de grupos de roles, vaya al paso 8.
Si los usuarios o grupos seleccionados deben asignarse a unidades administrativas, seleccione los usuarios o grupos y seleccione Asignar unidades de administrador.
En el panel Asignar unidades de administrador , active la casilla de todas las unidades administrativas que desea asignar a los usuarios o grupos. Seleccione Seleccionar.
Seleccione Siguiente y Guardar para agregar los usuarios o grupos al grupo de roles. Seleccione Listo para completar los pasos.
Nota
También puede usar el cmdlet Add-eDiscoveryCaseAdmin para convertir a un usuario en administrador de eDiscovery. Sin embargo, el usuario debe tener asignado el rol de Administración de casos antes de poder usar este cmdlet para convertirlo en administrador de eDiscovery. Para obtener más información, vea Add-eDiscoveryCaseAdmin.
En la página Grupos de roles del portal de Microsoft Purview, también puede asignar a los usuarios permisos relacionados con eDiscovery agregándolos a los grupos de roles Administrador de cumplimiento, Administración de la organización y Revisor . Para obtener una descripción de los roles de control de acceso basado en rol relacionados con la exhibición de documentos electrónicos asignados a cada uno de estos grupos de roles, vea Roles de control de acceso basado en roles relacionados con eDiscovery.
Roles RBAC relacionados con eDiscovery
En la tabla siguiente se enumeran los roles de control de acceso basado en rol relacionados con eDiscovery en el portal de Microsoft Purview y se indican los grupos de roles integrados a los que se asigna cada rol de forma predeterminada.
Role
Administrador de cumplimiento
Supervisor y Administrador de eDiscovery
Administración de la organización
Reviewer
Administración de casos
Comunicación
Búsqueda de cumplimiento
Custodio
Exportar
Hold
Administrar etiquetas de conjunto de revisión
Preview
Revisar
Descifrado de RMS
Buscar y purgar
Ejecute la siguiente prueba de diagnóstico para comprobar si los roles Export, Preview, o Search, están asignados a la cuenta de administrador designada.
Seleccione el control Ayuda en la parte superior derecha del portal de Microsoft Purview. Escriba Diag:edisRBACdiag en la búsqueda (o seleccione este vínculo) para ejecutar la prueba de Comprobación de RBAC de exhibición de documentos electrónicos.
En la sección Ejecutar diagnósticos, escriba el UPN o la dirección de correo electrónico del usuario que intenta ejecutar una tarea de exportación, vista previa o búsqueda.
Seleccione Ejecutar pruebas. Si el usuario no tiene los roles de exhibición de documentos electrónicos necesarios, asigne los roles para realizar la tarea deseada.
En las secciones siguientes se describe cada uno de los roles de control de acceso basado en roles relacionados con eDiscovery enumerados en la tabla anterior.
Administración de casos
Este rol permite a los usuarios crear, editar, eliminar y controlar el acceso a casos de exhibición de documentos electrónicos (versión preliminar) en el portal de Microsoft Purview. Se debe asignar a un usuario el rol Administración de casos para poder usar el cmdlet Add-eDiscoveryCaseAdmin para convertirlo en administrador de eDiscovery. Para obtener más información, vea Introducción a eDiscovery (versión preliminar).
Comunicación
Este rol permite a los usuarios administrar todas las comunicaciones con los usuarios identificados en un caso de exhibición de documentos electrónicos. Esto incluye la creación de notificaciones de suspensión, avisos de suspensión y escalaciones a la administración. El usuario también puede realizar un seguimiento de la confirmación de usuario de las notificaciones de suspensión y administrar el acceso al portal de usuarios que usa cada usuario para realizar un seguimiento de las comunicaciones de los casos en los que se incluyeron.
Búsqueda de cumplimiento
Este rol permite a los usuarios buscar buzones de correo y carpetas públicas, sitios de SharePoint, sitios de OneDrive, conversaciones Skype Empresarial, grupos de Microsoft 365 y Microsoft Teams y grupos de Viva Engage. Este rol permite a un usuario obtener una estimación de los resultados de búsqueda y crear informes de exportación, pero se necesitan otros roles para iniciar acciones de búsqueda, como la vista previa, la exportación o la eliminación de resultados de búsqueda.
En eDiscovery (versión preliminar), los usuarios a los que se les asigna el rol De búsqueda de cumplimiento pero que no tienen el rol Vista previa pueden obtener una vista previa de los resultados de una búsqueda en la que un usuario al que se le ha asignado el rol Vista previa ha iniciado la acción de vista previa. El usuario sin el rol de Vista previapuede obtener una vista previa de los resultados hasta dos semanas después de crear la acción de vista previa inicial.
De forma similar, los usuarios de eDiscovery (versión preliminar) a los que se les asigna el rol Búsqueda de cumplimiento pero no tienen el rol Exportar pueden descargar los resultados de una búsqueda en la que un usuario al que se le ha asignado el rol Exportar inició la acción de exportación. El usuario sin el rol Exportar puede descargar los resultados de una búsqueda hasta dos semanas después de crear la acción de exportación inicial. Después, no podrán descargar los resultados a menos que alguien con el rol Exportar reinicie la exportación.
El período de gracia de dos semanas para obtener una vista previa y exportar los resultados de búsqueda (sin los roles de búsqueda y exportación correspondientes) no se aplica cuando las características premium están habilitadas en eDiscovery. A los usuarios se les deben asignar los roles Vista previa y Exportar para obtener una vista previa y exportar contenido cuando se habilitan las características de eDiscovery premium.
Custodio
Importante
Este rol solo se aplica a la experiencia de exhibición de documentos electrónicos anterior en el portal de cumplimiento Microsoft Purview. Este rol no concede permisos para funcionalidades y características en eDiscovery (versión preliminar) en el portal de Microsoft Purview.
Este rol permite a los usuarios identificar y administrar custodios para casos de exhibición de documentos electrónicos administrados en el portal de cumplimiento Microsoft Purview y usar la información de Microsoft Entra ID y otros orígenes para buscar orígenes de datos asociados a los custodios. El usuario puede asociar otros orígenes de datos, como buzones, sitios de SharePoint y Teams, con custodios en un caso. El usuario también puede establecer una suspensión legal en los orígenes de datos asociados a los custodios para conservar el contenido en el contexto de un caso.
Exportar
El rol permite a los usuarios exportar los resultados de búsqueda a un equipo local. También les permite preparar los resultados de búsqueda para su análisis en cuando se habilitan las características de exhibición de documentos electrónicos premium. Para obtener más información sobre la exportación de resultados de búsqueda, vea Exportar resultados de búsqueda en eDiscovery (versión preliminar).
Hold
Este rol permite a los usuarios colocar contenido en espera en buzones, carpetas públicas, sitios, conversaciones de Skype Empresarial y grupos de Microsoft 365. Cuando el contenido está suspendido, los propietarios del contenido pueden seguir modificando o eliminando el contenido original, pero este se conservará hasta que se elimine la suspensión o hasta que expire la duración de la suspensión. Para obtener más información sobre las retenciones, vea Crear una suspensión en eDiscovery (versión preliminar).
Administrar etiquetas de conjunto de revisión
Este rol permite a los usuarios crear, editar y eliminar etiquetas de conjunto de revisión para los casos a los que pueden acceder. Los usuarios deben tener al menos el rol Revisar y este rol para administrar etiquetas durante las revisiones.
Preview
Este rol permite a los usuarios ver una lista de elementos devueltos desde una búsqueda. También pueden abrir y ver cada elemento de la lista para ver su contenido.
Revisar
Este rol permite a los usuarios acceder a conjuntos de revisión en eDiscovery (versión preliminar). Los usuarios a los que se les asigna este rol pueden ver y abrir la lista de casos de los que son miembros. Una vez que el usuario accede a un caso de exhibición de documentos electrónicos, puede seleccionar Revisar conjuntos para acceder a los datos de casos. Este rol no permite al usuario obtener una vista previa de los resultados de una búsqueda asociada al caso ni realizar otras tareas de búsqueda o administración de casos. Los usuarios con este rol solo pueden acceder a los datos de un conjunto de revisión.
Descifrado de RMS
Este rol permite a los usuarios ver mensajes de correo electrónico protegidos por derechos al obtener una vista previa de los resultados de búsqueda y exportar mensajes de correo electrónico protegidos por derechos descifrados. Este rol también permite a los usuarios ver (y exportar) un archivo cifrado con un tecnología de cifrado de Microsoft cuando el archivo cifrado se adjunta a un mensaje de correo electrónico que se incluye en los resultados de una búsqueda de exhibición de documentos electrónicos. Además, este rol permite a los usuarios revisar y consultar datos adjuntos de correo electrónico cifrados que se agregan a un conjunto de revisión en eDiscovery (versión preliminar). Para obtener más información sobre el descifrado en eDiscovery, vea Descifrado en Microsoft 365 herramientas de exhibición de documentos electrónicos.
Agregar grupos de roles como miembros de casos de exhibición de documentos electrónicos
Puede agregar grupos de roles como miembros de casos de eDiscovery para que los miembros de los grupos de roles puedan acceder a las tareas y realizarlas en los casos asignados. Los roles asignados al grupo de roles definen qué pueden hacer los miembros del grupo de roles. Después, agregar un grupo de roles como miembro del caso permite a los miembros acceder a esas tareas y realizarlas en un caso específico.
Teniendo en cuenta este requisito, es importante saber que, si se agrega o quita un rol de un grupo de roles, ese grupo de roles se quitará automáticamente como miembro de cualquier caso del que sea miembro el grupo de roles. El motivo es proteger su organización de proporcionar accidentalmente permisos adicionales a los miembros de un caso. De forma similar, si se elimina un grupo de roles, se quita de todos los casos de los que era miembro.
Antes de agregar o quitar roles a un grupo de roles que pueda ser miembro de un caso de exhibición de documentos electrónicos, puede ejecutar los siguientes comandos en Security & Compliance PowerShell para obtener una lista de los casos a los que pertenece el grupo de roles. Después de actualizar el grupo de roles, vuelva a agregar el grupo de roles como miembro de esos casos.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.