Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Migrador de Atribuição de Funções do Microsoft Purview é uma aplicação empresarial original da Microsoft no Microsoft Entra ID que executa a sincronização em segundo plano a partir de atribuições de funções do Microsoft Purview para funções de Entra correspondentes. Os serviços do Microsoft 365 utilizam estas funções de Entra para verificar se o administrador tem o nível correto de permissões antes de permitir que as operações de execução prolongada do Microsoft Purview, como a pesquisa e exportação de conteúdos, prossigam.
Mapeamento de funções
A tabela seguinte mostra que funções do Purview mapeiam para cada uma das seguintes funções Entra. Estas funções Entra só concedem a capacidade de executar operações do Purview e não são concedidas outras operações fora do Purview.
| Funções do Purview | Função de Entra mapeada | Descrição |
|---|---|---|
| Análise da Gestão de Riscos Internos Investigação de Gestão de Riscos Internos Pesquisa de Conformidade Exportar Administração de Gestão de Privacidade Análise de Gestão de Privacidade Investigação de Gestão de Privacidade Contribuição Permanente da Gestão de Privacidade Contribuição Temporária da Gestão de Privacidade Visualizador de Gestão de Privacidade Revisor de Investigação de Segurança de Dados |
Leitor de Conteúdos da Carga de Trabalho do Purview | Permite que as operações do Microsoft Purview leiam conteúdo dos serviços do Microsoft 365 (por exemplo, ler um ficheiro no SharePoint). |
| Retenção Investigação de Gestão de Privacidade Investigador de Investigação de Segurança de Dados |
Escritor de Conteúdos da Carga de Trabalho do Purview | Permite que as operações do Microsoft Purview leiam e escrevam conteúdos nos serviços do Microsoft 365 (por exemplo, armazenar itens de correio no Exchange). |
| Pesquisar e Limpar Administração de Investigação de Segurança de Dados Analista de Investigação de Segurança de Dados |
Administrador de Conteúdo da Carga de Trabalho do Purview | Permite que as operações do Microsoft Purview leiam, escrevam e eliminem conteúdos nos serviços do Microsoft 365 (por exemplo, remover mensagens no Microsoft Teams). |
Se um administrador tiver várias funções do Purview que mapeiam para diferentes funções de Entra, recebe a função de Entra de privilégios mais elevado. A ordem de precedência é: Leitor de EscritorEs > Administradores>.
Observação
O Migrador de Atribuição de Funções do Purview gere as funções Leitor de Conteúdo da Carga de Trabalho do Purview, Escritor de Conteúdos da Carga de Trabalho do Purview e Administrador de Conteúdos da Carga de Trabalho do Purview Entra e apenas as funções do Purview listadas são sincronizadas com Entra. Não atribua as funções de Entra no portal do Entra. Estas funções não aparecem no portal do Microsoft Purview, como as que são apresentadas na página de definições .
Registos de auditoria de sincronização
O Migrador de Atribuição de Funções do Purview funciona em dois modos:
- Sincronização em massa inicial: Quando o Migrador de Atribuição de Funções do Purview é ativado pela primeira vez para o seu inquilino, sincroniza todas as atribuições de funções do Purview existentes para Microsoft Entra num único passe. Este processo gera um pico de atividade nos registos de auditoria Microsoft Entra.
- Sincronização contínua: Todas as alterações subsequentes às associações de funções do Purview acionam a sincronização para Microsoft Entra.
Importante
Mantenha a aplicação empresarial Migrador de Atribuição de Funções do Purview ativada no Microsoft Entra ID. O ID da aplicação é 7fe3d988-4f3b-4f33-83bd-1fb921a35ed2. Desativar esta aplicação para a sincronização. As novas atribuições de funções do Purview não são propagadas para Microsoft Entra e as operações de execução prolongada do Purview falham as verificações de autorização no runtime.
A atividade de sincronização migrador de atribuição de funções do Purview é apresentada no Microsoft Entra registos de auditoria com o nome a apresentar PurviewRoleAssignmentMigrator. O campo Novo Valor para cada entrada de registo mostra a função Microsoft Entra atribuída.
Verá dois padrões distintos de atividade:
| Padrão de atividade | Quando ocorre | Volume |
|---|---|---|
| Sincronização em massa | Uma vez, quando o Migrador de Atribuição de Funções do Purview é ativado pela primeira vez para o seu inquilino | Alta — todas as atribuições de funções do Purview existentes são sincronizadas de uma só vez |
| Sincronização contínua | Em curso, após cada alteração a uma associação de função do Purview | Baixa — proporcional à taxa de alterações da função do Purview no seu inquilino |
Se vir um pico repentino de PurviewRoleAssignmentMigrator entradas no seu Microsoft Entra registos de auditoria, este pico nas entradas de registo de auditoria provém da sincronização inicial em massa e não é um sinal de atividade não autorizada.
Importante
Não atribua utilizadores a estas funções de Microsoft Entra diretamente no Microsoft Entra ID. O Migrador de Atribuição de Funções do Purview gere estas atribuições exclusivamente a partir do Purview e substitui quaisquer atribuições manuais no Microsoft Entra na próxima sincronização.
Acesso just-in-time
Por predefinição, o Migrador de Atribuição de Funções do Purview sincroniza as atribuições de funções com as funções Microsoft Entra como atribuições ativas (permanentes). Microsoft Entra Privileged Identity Management (PIM) para Grupos permite que os utilizadores elegíveis ativem a associação just-in-time a grupos. Quando adiciona estes grupos de segurança Microsoft Entra com atribuições elegíveis às funções do Purview, o Migrador de Atribuição de Funções do Purview sincroniza essa mesma associação ao grupo de segurança nas funções de Microsoft Entra correspondentes. Este processo permite que as organizações que exigem atribuições de funções sejam just-in-time no Microsoft Entra aplicar o mesmo modelo para o Microsoft Purview e impor a ativação de funções.
Importante
Dimensione a janela de ativação da associação just-in-time no grupo de segurança para cobrir a duração total das suas operações. Se uma ativação expirar enquanto uma operação de execução prolongada ainda estiver em execução, a operação poderá falhar no próximo marcar de autorização de runtime. Por exemplo, para identificar o tempo que as operações de Deteção de Dados Eletrónicos demoram normalmente, utilize o Gestor de Processos na Deteção de Dados Eletrónicos e defina as durações de ativação em conformidade.