Unidades administrativas

Las unidades administrativas permiten subdividir la organización en unidades más pequeñas y, a continuación, asignar administradores específicos que solo pueden administrar los miembros de esas unidades. También le permiten asignar unidades administrativas a miembros de grupos de roles en soluciones de Microsoft Purview, de modo que estos administradores puedan administrar solo los miembros (y las características asociadas) de esas unidades administrativas asignadas.

Por ejemplo, podría usar unidades administrativas para delegar permisos a los administradores de cada región geográfica de una organización multinacional grande o para agrupar el acceso de administrador por departamento dentro de la organización. Puede crear directivas específicas de región o departamento o ver la actividad del usuario como resultado de esas directivas y la asignación de unidades administrativas. También puede usar unidades administrativas como ámbito inicial de una directiva, donde la selección de usuarios aptos para la directiva depende de la pertenencia a unidades administrativas.

Si usa ámbitos adaptables para directivas de cumplimiento, consulte Cómo funcionan los ámbitos adaptables con Microsoft Entra unidades administrativas.

Compatibilidad con unidades administrativas en Microsoft Purview

Las siguientes soluciones de cumplimiento de Microsoft Purview admiten unidades administrativas:

Solución	Compatibilidad con la configuración
Administración del ciclo de vida de los datos	Grupos de roles, directivas de retención y directivas de etiqueta de retención
Data Loss Prevention (DLP)	Grupos de roles y directivas DLP
Cumplimiento de las comunicaciones	Directivas y gruposde roles
Administración de riesgos internos	Directivas y gruposde roles
Administración de registros	Grupos de roles, directivas de retención, directivas de etiquetas de retención y ámbitos adaptables
Etiquetado de confidencialidad	Grupos de roles, directivas de etiquetas de confidencialidad y directivas de etiquetado automático

La configuración de las unidades administrativas fluye automáticamente a las siguientes características:

• Alertas: las alertas DLP solo son visibles de los usuarios de las unidades administrativas asignadas
• Explorador de actividad: los eventos de actividad solo son visibles desde los usuarios de las unidades administrativas asignadas
• Ámbitos adaptables:
  • Los administradores restringidos solo pueden seleccionar, crear, editar y ver ámbitos adaptables para los usuarios de las unidades administrativas asignadas por esos administradores.
  • Cuando un administrador restringido configura una directiva que usa ámbitos adaptables, ese administrador solo puede seleccionar ámbitos adaptables asignados a sus unidades administrativas.
• Auditar el acceso de búsqueda de registros
• Cumplimiento de comunicaciones:
  • Búsqueda y configuración de directivas: los administradores restringidos solo pueden crear o administrar directivas para los usuarios asignados a sus unidades administrativas.
  • Alertas y coincidencias de directivas: los administradores restringidos solo pueden investigar las actividades del usuario para los usuarios dentro de sus unidades administrativas asignadas.
• Administración del ciclo de vida de los datos y administración de registros:
  • Búsqueda de directivas: los administradores restringidos verán las directivas solo de los usuarios dentro de sus unidades administrativas asignadas.
  • Revisión y comprobación de eliminación: los administradores restringidos solo pueden agregar revisores desde sus unidades administrativas asignadas y ver las revisiones de eliminación y los elementos eliminados solo de los usuarios dentro de sus unidades administrativas asignadas.
• Administración de riesgos internos:
  • Búsqueda y configuración de directivas: los administradores restringidos solo pueden crear o administrar directivas para los usuarios asignados a sus unidades administrativas.
  • Actividades de usuario: los administradores restringidos pueden iniciar actividades de puntuación o investigar las actividades de usuario solo para los usuarios dentro de sus unidades administrativas asignadas.
  • Alertas y casos: los administradores restringidos pueden ver e investigar alertas y casos solo para los usuarios dentro de sus unidades administrativas asignadas.

Puede agregar usuarios y grupos a unidades administrativas mediante los siguientes grupos de roles integrados:

• Cumplimiento de la comunicación
• Administradores de cumplimiento de comunicaciones
• Analistas de cumplimiento de comunicaciones
• Investigadores de cumplimiento de comunicaciones
• Administrador de cumplimiento
• Administradores de datos de cumplimiento
• Lector global
• Protección de la información
• Administradores de Information Protection
• Analista de Information Protection
• Investigadores de Information Protection
• Lectores de Information Protection
• Administración de riesgos de Insider
• Administradores de administración de riesgos internos
• Analistas de administración de riesgos internos
• Investigadores de administración de riesgos internos
• Aprobadores de sesión de Administración de riesgos internos
• Aprobadores de administración de riesgos internos
• Administración de la organización
• Records Management
• Administrador de seguridad
• Operador de seguridad
• Lector de seguridad

Al asignar grupos de roles, puede seleccionar miembros o grupos individuales y, a continuación, la opción Asignar unidades de administrador para seleccionar las unidades administrativas que se han definido en Microsoft Entra ID:

Importante

Asignar unidades de administrador siempre está disponible cuando se han creado grupos de roles personalizados. Puede asignar unidades administrativas para cualquier grupo de roles personalizado.

Estos administradores, a los que se hace referencia como administradores restringidos, ahora pueden seleccionar una o varias de sus unidades administrativas asignadas para definir automáticamente el ámbito inicial de las directivas que crean o editan. Solo si los administradores no tienen unidades administrativas asignadas (administradores sin restricciones), podrán asignar directivas a todo el directorio sin seleccionar unidades administrativas individuales.

Importante

Después de asignar unidades administrativas a los miembros de los grupos de roles, estos administradores restringidos ya no podrán ver y editar las directivas existentes. Sin embargo, no hay ningún cambio operativo en estas directivas y permanecen visibles y pueden ser editadas por administradores sin restricciones.

Los administradores restringidos tampoco podrán ver los datos históricos mediante características que admiten unidades administrativas, como el explorador de actividad y las alertas. Permanecen visibles para los administradores sin restricciones. En el futuro, los administradores restringidos podrán ver estos datos relacionados solo para sus unidades administrativas asignadas.

Nota:

Además de poder configurar y ver alertas, los usuarios con los roles analista de Information Protection y Information Protection investigador pueden buscar registros de auditoría mediante el cmdlet Búsqueda-UnifiedAuditLog.

Requisitos previos para las unidades administrativas

Antes de configurar las unidades administrativas para las soluciones de cumplimiento de Microsoft Purview, asegúrese de que su organización y los usuarios cumplen los siguientes requisitos de suscripción y licencia:

• licencias de Microsoft Entra ID P1 o P2

• Licencias de Microsoft Purview:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance o F5 Security & Compliance
  • gobernanza de Information Protection & Microsoft 365 E5/A5/G5/F5
  • Administración de riesgos internos de Microsoft 365 E5/A5/F5

Configuración y uso de unidades administrativas

Complete los pasos siguientes para configurar y usar unidades administrativas con soluciones de cumplimiento de Microsoft Purview:

1. Create unidades administrativas para restringir el ámbito de los permisos de rol en Microsoft Entra ID.

2. Agregue usuarios y grupos de distribución a unidades administrativas.

   Importante

   Los miembros de Grupos de distribución dinámica no se convierten automáticamente en miembros de una unidad administrativa.

3. Si crea una región geográfica o unidades administrativas basadas en departamentos, configure unidades administrativas con reglas de pertenencia dinámicas.

   Nota:

   No se pueden agregar grupos a una unidad administrativa que use reglas de pertenencia dinámica. Si es necesario, cree dos unidades administrativas, una para los usuarios y otra para grupos.

4. Use cualquiera de los grupos de roles de las soluciones de cumplimiento de Microsoft Purview que admiten unidades administrativas para asignar unidades administrativas a los miembros.

Ahora, cuando estos administradores restringidos crean o editan directivas que admiten unidades administrativas, pueden seleccionar unidades administrativas para que solo los usuarios de esas unidades administrativas sean aptos para la directiva:

• Los administradores sin restricciones no tienen que seleccionar unidades administrativas como parte de la configuración de la directiva. Pueden mantener el valor predeterminado de todo el directorio o seleccionar una o varias unidades administrativas.
• Los administradores restringidos ahora deben seleccionar una o varias unidades administrativas como parte de la configuración de la directiva.

Más adelante en la configuración de la directiva, los administradores que seleccionaron unidades administrativas deben incluir o excluir (si se admiten) usuarios y grupos individuales de las unidades administrativas que seleccionaron anteriormente para la directiva.

Para obtener información sobre las unidades administrativas específicas de cada solución admitida, consulte las secciones siguientes:

• Para la auditoría: determinar el ámbito del acceso a los registros de auditoría mediante unidades administrativas
• Para el cumplimiento de las comunicaciones: considere la posibilidad de usar unidades administrativas si desea limitar los permisos de usuario a una región o departamento.
• Para la administración del ciclo de vida de datos: compatibilidad con unidades administrativas
• Para DLP: directivas restringidas de unidad administrativa
• Para la administración de riesgos internos: considere la posibilidad de usar unidades administrativas si desea limitar los permisos de usuario a una región o departamento.
• Para la administración de registros: compatibilidad con unidades administrativas
• Para el etiquetado de confidencialidad: compatibilidad con unidades administrativas