El portal de Microsoft Purview admite la administración directa de permisos para los usuarios que realizan tareas en Microsoft Purview. Con el área Roles y ámbitos de Configuración del portal, puede administrar permisos para los usuarios en las soluciones de seguridad de datos, gobernanza de datos y riesgo y cumplimiento de Purview. Puede limitar a los usuarios para que realicen solo tareas específicas a las que les conceda acceso explícitamente. La selección de soluciones de riesgo y cumplimiento en el portal abre actualmente estas soluciones en el portal de cumplimiento de Microsoft Purview.
Para ver los grupos de roles en el área Roles y ámbitos del portal de Purview, los usuarios deben ser administradores globales o tener asignado el rol De administración de roles (un rol se asigna solo al grupo de roles Administración de la organización ). El rol Administración de roles permite a los usuarios ver, crear y modificar grupos de roles.
Uso de roles con el menor número de permisos
Microsoft siempre recomienda usar roles con los permisos más mínimos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Al planear la estrategia de control de acceso, se recomienda administrar el acceso con los privilegios mínimos para los usuarios. Privilegios mínimos significa que concede a los administradores exactamente el permiso que necesitan para realizar su trabajo.
Permisos de Purview
Los permisos del portal de Purview se basan en el modelo de permisos de control de acceso basado en rol (RBAC). RBAC es el mismo modelo de permisos que usan la mayoría de los servicios de Microsoft 365, por lo que si está familiarizado con la estructura de permisos de estos servicios, le resultará familiar conceder permisos en el portal de Purview. Es importante recordar que los permisos administrados en el portal de Purview no cubren la administración de todos los permisos necesarios en cada servicio individual. Seguirá teniendo que administrar determinados permisos específicos del servicio en el centro de administración para el servicio específico. Por ejemplo, si necesita asignar permisos para las directivas de archivado, auditoría y retención de MRM, tendrá que administrar estos permisos en el Centro de administración de Exchange.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Relación de los miembros, los roles y los grupos de roles
Un rol concede permisos para realizar un conjunto de tareas; por ejemplo, el rol Administración de casos permite a los usuarios trabajar con casos de eDiscovery.
Un grupo de roles es un conjunto de roles que permiten a los usuarios realizar sus trabajos en las soluciones de cumplimiento y gobernanza del portal de Microsoft Purview. Por ejemplo, al agregar usuarios al grupo de roles Insider Risk Management , los administradores, analistas, investigadores y auditores designados se configuran para los permisos de administración de riesgos internos necesarios en un solo grupo. El portal de Microsoft Purview incluye grupos de roles predeterminados para tareas y funciones para cada solución de cumplimiento y gobernanza a la que tendrá que asignar personas. Por lo general, se recomienda simplemente agregar usuarios individuales como miembros a los grupos de roles predeterminados según sea necesario.
Permisos necesarios para usar características en el portal de Purview
La administración de permisos en el portal de Purview solo proporciona a los usuarios acceso a las características de cumplimiento y gobernanza que están disponibles en el portal de Purview. Si desea conceder permisos a otras características que no están en el portal de Purview, como las reglas de flujo de correo de Exchange (también conocidas como reglas de transporte), deberá usar el Centro de administración de Exchange.
Permisos de gobernanza necesarios
Los roles de gobernanza actuales y los grupos de roles disponibles cubren solo el acceso amplio a Data Map y Data Catalog de Microsoft Purview. Para obtener más acceso, la gobernanza de Microsoft Purview usa una combinación de grupos de roles, acceso a datos y permisos específicos de la solución.
Los roles que aparecen en la sección Microsoft Entra ID del área Roles y ámbitos son roles de Microsoft Entra y esta sección es visible para los administradores globales. Estos roles están diseñados para alinearse con las funciones de trabajo en el grupo de TI de su organización, lo que facilita otorgar a una persona todos los permisos necesarios para realizar su trabajo. Puede ver los usuarios asignados actualmente a cada rol seleccionando un rol de administrador y viendo los detalles del panel de roles. Para administrar miembros de un rol de Microsoft Entra, seleccione Administrar miembros en Microsoft Entra ID. Esta opción le redirige al portal de administración de Azure.
Role
Descripción
Administrador global
Acceso a todas las características administrativas en todos los servicios de Microsoft 365. Los administradores globales son los únicos que pueden asignar otros roles de administrador. Para más información, consulte Administrador global / Administrador de empresa.
Administrador de datos de cumplimiento
Realizar un seguimiento de los datos de su organización a través de Microsoft 365, asegurarse de que están protegidos y obtener información sobre los problemas para ayudar a reducir los riesgos. Para obtener más información, consulte Administrador de datos de cumplimiento.
Administrador de cumplimiento
Ayudar a que su organización cumpla con los requisitos normativos, administrar casos de eDiscovery y mantener directivas de gobierno de datos en todas las ubicaciones, identidades y aplicaciones de Microsoft 365. Para obtener más información, consulte Administrador de cumplimiento.
Operador de seguridad
Ver, investigar y responder a las amenazas activas a usuarios, dispositivos y contenido de Microsoft 365. Para obtener más información, vea Operador de seguridad de seguridad.
Lector de seguridad
Vea e investigue las amenazas activas para los usuarios, dispositivos y contenido de Microsoft 365, pero (a diferencia del operador de seguridad) no tienen permisos para responder realizando acciones. Para obtener más información, vea Lector de seguridad.
Administrador de seguridad
Controlar la seguridad global de la organización mediante la administración de directivas de seguridad, la revisión de análisis de seguridad y los informes en los productos de Microsoft 365, así como mantenerse al día con el panorama de amenazas. Para obtener más información, vea Administrador de seguridad.
Lector global
La versión de solo lectura del rol de Administrador global. Ver todas las configuraciones e información administrativa en Microsoft 365. Para más información, vea Lector global.
Administrador de simulación de ataque
Crea y administra todos los aspectos de la creación de simulación de ataques, el lanzamiento o la programación de la simulación y la revisión de los resultados de la misma. Para más información, consulte Administrador de simulación de ataque.
Autor de carga de ataque
Crea cargas de ataques pero no las inicia ni programa. Para más información, consulte Autor de carga de ataques.
Unidades administrativas
Las unidades administrativas permiten subdividir la organización en unidades más pequeñas y, a continuación, asignar administradores específicos que solo pueden administrar los miembros de esas unidades. También le permiten asignar unidades administrativas a miembros de grupos de roles en soluciones de Microsoft Purview, de modo que estos administradores puedan administrar solo los miembros (y las características asociadas) de esas unidades administrativas asignadas. La sección Unidades administrativas del área Roles y ámbitos solo es visible para los usuarios asignados al rol Administrador global . Para obtener más información, vea Unidades administrativas.
Adición de usuarios o grupos a un grupo de roles integrado de Microsoft Purview
Complete los pasos siguientes para agregar usuarios o grupos a un grupo de roles de Microsoft Purview:
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador a la que se le asigna el rol De administración de roles. Vaya aRoles y ámbitos de configuración> para ver y administrar roles de cumplimiento y gobernanza en su organización.
Seleccione Grupos de roles.
En la página Grupos de roles para soluciones de Microsoft Purview , seleccione un grupo de roles de Microsoft Purview al que desea agregar usuarios y, a continuación, seleccione Editar en la barra de control.
En la página Editar miembros del grupo de roles , seleccione Elegir usuarios o Elegir grupos.
Importante
Los grupos de seguridad solo se admiten en organizaciones en la nube comercial de Microsoft 365.
Active la casilla para todos los usuarios o grupos que quiera agregar al grupo de roles.
Seleccione Seleccionar.
Si los usuarios o grupos seleccionados necesitan acceso para toda la organización como parte de esta asignación de grupos de roles, vaya al paso 10.
Si los usuarios o grupos seleccionados deben asignarse a unidades administrativas, seleccione los usuarios o grupos y seleccione Asignar unidades de administrador.
En el panel Asignar unidades de administrador , active la casilla de todas las unidades administrativas que desea asignar a los usuarios o grupos. Seleccione Seleccionar.
Seleccione Siguiente y Guardar para agregar los usuarios o grupos al grupo de roles. Seleccione Listo para completar los pasos.
Eliminación de usuarios o grupos de un grupo de roles integrado de Microsoft Purview
Complete los pasos siguientes para quitar usuarios o grupos de un grupo de roles de Microsoft Purview:
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador a la que se le asigna el rol De administración de roles. Vaya aRoles y ámbitos de configuración> para ver y administrar roles de cumplimiento y gobernanza en su organización.
Seleccione Grupos de roles.
En la página Grupos de roles para soluciones de Microsoft Purview , seleccione un grupo de roles de Microsoft Purview del que quiera quitar usuarios o grupos y, a continuación, seleccione Editar en la barra de control.
En la página Editar miembros del grupo de roles, active la casilla para todos los usuarios o grupos que quiera quitar en el grupo de roles.
Seleccione Quitar miembros y, a continuación, seleccione Siguiente.
Seleccione Guardar para quitar los usuarios o grupos del grupo de roles. Seleccione Listo para completar los pasos.
Creación de un grupo de roles personalizado de Microsoft Purview
Complete los pasos siguientes para crear un grupo de roles personalizado de Microsoft Purview:
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador a la que se le asigna el rol De administración de roles. Vaya aRoles y ámbitos de configuración> para ver y administrar roles de cumplimiento y gobernanza en su organización.
Seleccione Grupos de roles.
En la página Grupos de roles para soluciones de Microsoft Purview , seleccione Crear grupo de roles.
En la página Nombre del grupo de roles , escriba un nombre para el grupo de roles personalizado en el campo Nombre . El nombre del grupo de roles no se puede cambiar después de crear el grupo de roles. Si es necesario, escriba una descripción para el grupo de roles personalizado en el campo Descripción . Seleccione Siguiente para continuar.
En la página Agregar roles al grupo de roles , seleccione Elegir roles.
Seleccione las casillas de verificación de los roles que se van a agregar al grupo de roles personalizado. Seleccione Seleccionar.
Seleccione Siguiente para continuar.
En la página Agregar miembros al grupo de roles , seleccione Elegir usuarios (o Elegir grupos si procede).
Importante
Los grupos de seguridad solo se admiten en organizaciones en la nube comercial de Microsoft 365.
Active las casillas para que los usuarios (o grupos) se agreguen al grupo de roles personalizado. Seleccione Seleccionar.
Seleccione Siguiente para continuar.
Si los usuarios o grupos seleccionados necesitan acceso para toda la organización como parte de esta asignación de grupos de roles, vaya al paso 14.
Si los usuarios o grupos seleccionados deben asignarse a unidades administrativas, seleccione los usuarios o grupos y seleccione Asignar unidades de administrador.
En el panel Asignar unidades de administrador , active la casilla de todas las unidades administrativas que desea asignar a los usuarios o grupos. Seleccione Seleccionar.
Seleccione Siguiente.
En la página Revisar el grupo de roles y finalizar , revise los detalles del grupo de roles personalizado. Si necesita editar la información, seleccione Editar en la sección correspondiente. Cuando toda la configuración sea correcta, seleccione Crear para crear el grupo de roles personalizado o seleccione Cancelar para descartar los cambios y no crear el grupo de roles personalizado.
Actualización de un grupo de roles personalizado de Microsoft Purview
Complete los pasos siguientes para actualizar un grupo de roles personalizado de Microsoft Purview:
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador a la que se le asigna el rol De administración de roles. Vaya aRoles y ámbitos de configuración> para ver y administrar roles de cumplimiento y gobernanza en su organización.
Seleccione Grupos de roles.
En la página Grupos de roles para soluciones de Microsoft Purview , seleccione un grupo de roles de Microsoft Purview que quiera actualizar y, a continuación, seleccione Editar en la barra de control.
En la página Nombre del grupo de roles , actualice la descripción del grupo de roles personalizado en el campo Descripción . No se puede cambiar el nombre del grupo de roles personalizado. Seleccione Siguiente.
En la página Editar roles del grupo de roles, puede seleccionar Elegir roles para agregar roles para actualizar los roles asignados al grupo de roles. También puede seleccionar cualquiera de los roles asignados actualmente y seleccionar Quitar roles para quitar los roles del grupo de roles. Después de actualizar los roles, seleccione Siguiente.
En la página Editar miembros del grupo de roles, puede seleccionar Elegir usuarios o Elegir grupos para agregar usuarios o grupos asignados al grupo de roles. Para actualizar las unidades administrativas de los usuarios o grupos, seleccione cualquiera de los grupos o usuarios asignados actualmente y seleccione Asignar unidades de administrador. También puede seleccionar cualquiera de los usuarios y grupos asignados actualmente y seleccionar Quitar miembros para quitar los usuarios o grupos del grupo de roles. Después de actualizar los miembros, seleccione Siguiente.
En la página Revisar el grupo de roles y finalizar , revise los detalles del grupo de roles personalizado. Si necesita editar la información, seleccione Editar en la sección correspondiente. Cuando toda la configuración sea correcta, seleccione Guardar para actualizar el grupo de roles personalizado o seleccione Cancelar para descartar los cambios y no actualizar el grupo de roles personalizado.
Eliminación de un grupo de roles personalizado de Microsoft Purview
Complete los pasos siguientes para eliminar un grupo de roles personalizado de Microsoft Purview:
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador a la que se le asigna el rol De administración de roles. Vaya aRoles y ámbitos de configuración> para ver y administrar roles de cumplimiento y gobernanza en su organización.
Seleccione Grupos de roles.
En la página Grupos de roles para soluciones de Microsoft Purview , seleccione un grupo de roles de Microsoft Purview que quiera eliminar y, a continuación, seleccione Eliminar en la barra de control.
En el cuadro de diálogo Eliminar grupo de roles , seleccione Eliminar para eliminar el grupo de roles o seleccione Cancelar para cancelar el proceso de eliminación.
Este módulo examina el uso de roles y grupos de roles en el modelo de permisos de Microsoft 365, incluyendo la administración de roles, los procedimientos recomendados a la hora de configurar roles de administrador, la delegación de roles y la elevación de privilegios.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.