Permissões no portal de conformidade do Microsoft Purview

  • Artigo

O portal de conformidade do Microsoft Purview dá suporte ao gerenciamento direto de permissões para usuários que executam tarefas de conformidade no Microsoft 365. Usando a nova página Permissões no portal de conformidade, você pode gerenciar permissões aos usuários para tarefas de conformidade em recursos como gerenciamento de dispositivos, Prevenção Contra Perda de Dados do Microsoft Purview, descoberta eletrônica, gerenciamento de risco interno, retenção e muitos outros. Os usuários podem executar apenas as tarefas de conformidade às quais você concede acesso explicitamente.

Para exibir a guia Permissões no portal de conformidade, os usuários precisam ser administradores globais ou precisam ser atribuídos à função Gerenciamento de Função (uma função é atribuída apenas ao grupo de funções gerenciamento de organização ). A função Gerenciamento de Funções permite que os usuários exibam, criem e modifiquem grupos de funções.

Página permissões no portal de conformidade do Microsoft Purview.

As permissões no portal de conformidade são baseadas no modelo de permissões RBAC (controle de acesso baseado em função). O RBAC é o mesmo modelo de permissões usado pela maioria dos serviços do Microsoft 365, portanto, se você estiver familiarizado com a estrutura de permissões nesses serviços, a concessão de permissões no portal de conformidade será familiar. É importante lembrar que as permissões gerenciadas no portal de conformidade não abrangem o gerenciamento de todas as permissões necessárias em cada serviço individual. Você ainda precisará gerenciar determinadas permissões específicas de serviço no centro de administração para o serviço específico. Por exemplo, se você precisar atribuir permissões para políticas de arquivamento, auditoria e retenção de MRM, precisará gerenciar essas permissões no centro de administração do Exchange.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Relação de membros, funções e grupos de função

Uma função concede permissões para fazer um conjunto de tarefas; por exemplo, a função Gerenciamento de Casos permite que os usuários trabalhem com casos de descoberta eletrônica.

Um grupo de funções é um conjunto de funções que permite que os usuários façam seus trabalhos em soluções de conformidade no portal de conformidade. Por exemplo, ao adicionar usuários ao grupo de funções do Insider Risk Management , administradores, analistas, investigadores e auditores designados são configurados para as permissões necessárias de gerenciamento de risco interno em um único grupo. O portal de conformidade inclui grupos de funções padrão para tarefas e funções para cada solução de conformidade à qual você precisará atribuir pessoas. Geralmente, recomendamos simplesmente adicionar usuários individuais como membros aos grupos de funções de conformidade padrão, conforme necessário.

Diagrama que mostra a relação de grupos de funções para membros e funções.

Permissões necessárias para usar recursos no portal de conformidade

Para exibir todos os grupos de funções padrão que estão disponíveis no portal de conformidade e as funções atribuídas aos grupos de funções por padrão, consulte Funções e grupos de funções nos portais de conformidade do Microsoft 365 Defender e do Microsoft Purview.

Gerenciar permissões no portal de conformidade só dá aos usuários acesso aos recursos de conformidade que estão disponíveis no portal de conformidade. Se você quiser conceder permissões a outros recursos que não estão no portal de conformidade, como regras de fluxo de email do Exchange (também conhecidas como regras de transporte), precisará usar o centro de administração do Exchange.

Funções do Azure no portal de conformidade

As funções que aparecem na seção Azure AD>Roles da página Permissões do portal de conformidade são funções do Azure Active Directory. Essas funções foram projetadas para se alinharem com funções de trabalho no grupo de TI da sua organização, tornando mais fácil dar a uma pessoa todas as permissões necessárias para realizar o trabalho. Atualmente, você pode exibir os usuários atribuídos a cada função selecionando uma função Administração e exibindo os detalhes do painel de função. Para gerenciar membros de uma função Azure AD, selecione Gerenciar membros no Azure AD. Essa escolha redireciona você para o portal de gerenciamento do Azure.

Função Descrição
Administrador global Acesso a todos os recursos administrativos em todos os serviços do Microsoft 365. Somente os administradores globais podem atribuir outras funções de administrador. Para saber mais, confira administrador global/administrador da empresa.
Administrador de dados de conformidade Acompanhe os dados da sua organização no Microsoft 365, certifique-se de que estejam protegidos e obtenha insights sobre quaisquer problemas para ajudar a atenuar os riscos. Para obter mais informações, confira o Administrador de Dados de Conformidade.
Administrador de conformidade Ajude sua organização a se manter em conformidade com quaisquer requisitos regulatórios, gerenciar casos de descoberta eletrônica e manter políticas de governança de dados em locais, identidades e aplicativos do Microsoft 365. Para saber mais, confira o Administrador de Conformidade.
Operador de segurança Exibir, investigar e responder a ameaças ativas a seus usuários, dispositivos e conteúdo da Microsoft 365. Para obter mais informações, confira Operador de Segurança.
Leitor de segurança Exiba e investigue ameaças ativas aos usuários, dispositivos e conteúdo do Microsoft 365, mas (ao contrário do operador de segurança) eles não têm permissões para responder tomando medidas. Para obter mais informações, confira o Leitor de Segurança.
Administrador de segurança Controle a segurança global da sua organização, gerenciando políticas de segurança, analisando análises e relatórios de segurança em produtos da Microsoft 365 e ficando sempre atualizado sobre o panorama das ameaças. Para obter mais informações, confira aSegurança do Administrador.
Leitor global A versão somente leitura do Administrador Global. Exibir todas as configurações e informações administrativas no Microsoft 365. Para saber mais, confira Leitor Global..
Administrador de ataque Crie e gerencie todos os aspectos de criação de simulação de ataque, lançamento/agendamento de uma simulação, e a revisão dos resultados da simulação. Para obter mais informações, consulte Administrador de simulação de ataques.
Autor do conteúdo de ataque Crie cargas úteis de ataque mas não as inicie ou agende. Para obter mais informações, consulte Autor do conteúdo de ataque.

Unidades administrativas

As unidades administrativas permitem subdividir sua organização em unidades menores e, em seguida, atribuir administradores específicos que podem gerenciar apenas os membros dessas unidades. Eles também permitem atribuir unidades administrativas a membros de grupos de funções em soluções do Microsoft Purview, para que esses administradores possam gerenciar apenas os membros (e recursos associados) dessas unidades administrativas atribuídas.

Por exemplo, você pode usar unidades administrativas para delegar permissões aos administradores de cada região geográfica em uma organização multinacional grande ou para agrupar o acesso de administrador por departamento em sua organização. Você pode criar políticas específicas de região ou departamento ou exibir a atividade do usuário como resultado dessas políticas e atribuição de unidade administrativa. Você também pode usar unidades administrativas como um escopo inicial para uma política, em que a seleção de usuários qualificados para a política depende da associação em unidades administrativas.

Suporte a unidades administrativas no Microsoft Purview

As seguintes soluções de conformidade do Microsoft Purview dão suporte a unidades administrativas:

Solução Suporte à configuração
Gerenciamento do ciclo de vida de dados Grupos de funções, políticas de retenção e políticas de rótulo de retenção
Data Loss Prevention (DLP) Grupos de funções e políticas DLP
Conformidade em comunicações Escopos adaptáveis
Gerenciamento de registros Grupos de funções, políticas de retenção, políticas de rótulo de retenção e escopos adaptáveis
Rotulagem de confidencialidade Grupos de funções, políticas de rótulo de confidencialidade e políticas de rotulagem automática

A configuração de unidades administrativas flui automaticamente para os seguintes recursos:

  • Alertas: alertas DLP são visíveis apenas de usuários em unidades administrativas atribuídas
  • Gerenciador de atividades: os eventos de atividade são visíveis apenas de usuários em unidades administrativas atribuídas
  • Escopos adaptáveis:
    • Os administradores restritos podem selecionar, criar, editar e exibir escopos adaptáveis apenas para usuários nas unidades administrativas atribuídas por esses administradores
    • Quando um administrador restrito configura uma política que está usando escopos adaptáveis, esse administrador só pode selecionar escopos adaptáveis atribuídos às suas unidades administrativas
  • Auditar o acesso à pesquisa de log
  • Gerenciamento de ciclo de vida de dados e gerenciamento de registros:
    • Pesquisa de política: os administradores restritos verão políticas somente de usuários em suas unidades administrativas atribuídas
    • Revisão e verificação de disposição: os administradores restritos podem adicionar revisores somente de dentro de suas unidades administrativas atribuídas e ver revisões de disposição e itens descartados apenas dos usuários em suas unidades administrativas atribuídas

Você pode adicionar usuários e grupos a unidades administrativas usando os seguintes grupos de funções internos:

  • Administrador de Conformidade
  • Administradores de dados de conformidade
  • Leitor Global
  • Proteção de Informações
  • Administradores de Proteção de Informações
  • Analista de Proteção de Informações
  • Investigadores de Proteção de Informações
  • Leitores de Proteção de Informações
  • Gerenciamento de Organização
  • Gerenciamento de Registros
  • Administrador de Segurança
  • Operador de Segurança
  • Leitor de Segurança

Ao atribuir grupos de funções, você pode selecionar membros ou grupos individuais e, em seguida, a opção Atribuir unidades de administrador para selecionar unidades administrativas definidas no Azure Active Directory:

Atribua a opção unidades de administrador ao editar grupos de funções.

Importante

Atribuir unidades de administrador está sempre disponível quando você cria grupos de funções personalizados. Você pode atribuir unidades administrativas para qualquer grupo de funções personalizado.

Esses administradores, conhecidos como administradores restritos, agora podem selecionar uma ou mais de suas unidades administrativas atribuídas para definir automaticamente o escopo inicial das políticas que eles criam ou editam. Somente se os administradores não tiverem unidades administrativas atribuídas (administradores irrestritos), eles poderão atribuir políticas a todo o diretório sem selecionar unidades administrativas individuais.

Importante

Depois de atribuir unidades administrativas a membros dos grupos de funções, esses administradores restritos não poderão mais ver e editar políticas existentes. No entanto, não há nenhuma alteração operacional nessas políticas e elas permanecem visíveis e podem ser editadas por administradores irrestritos.

Os administradores restritos também não poderão mais ver dados históricos usando recursos que dão suporte a unidades administrativas, como explorador de atividades e alertas. Eles permanecem visíveis para administradores irrestritos. Daqui para frente, os administradores restritos poderão ver esses dados relacionados apenas para suas unidades administrativas atribuídas.

Observação

Além de poder configurar e exibir alertas, os usuários com as funções analista de Proteção de Informações e investigador de Proteção de Informações podem pesquisar logs de auditoria usando o cmdlet Search-UnifiedAuditLog.

Pré-requisitos para unidades administrativas

Antes de configurar unidades administrativas para soluções de conformidade do Microsoft Purview, verifique se sua organização e usuários atendem aos seguintes requisitos de assinatura e licenciamento:

  • licenciamento Azure Active Directory Premium

  • Licenciamento do Microsoft Purview:

    • Microsoft 365 E5/A5
    • Conformidade do Microsoft 365 E5/A5/F5 e segurança & F5 Conformidade
    • Microsoft 365 E5/A5/F5 Proteção de Informações & Governança

Configurar e usar unidades administrativas

Conclua as seguintes etapas para configurar e usar unidades administrativas com soluções de conformidade do Microsoft Purview:

  1. Crie unidades administrativas para restringir o escopo das permissões de função no Azure Active Directory (Azure AD).

  2. Adicione usuários e grupos de distribuição a unidades administrativas.

    Importante

    Membros de Grupos de Distribuição Dinâmica não se tornam automaticamente membros de uma unidade administrativa.

  3. Se criar uma região geográfica ou unidades administrativas baseadas em departamento, configure unidades administrativas com regras dinâmicas de associação.

    Observação

    Você não pode adicionar grupos a uma unidade administrativa que usa regras dinâmicas de associação. Se necessário, crie duas unidades administrativas, uma para usuários e outra para grupos.

  4. Use qualquer um dos grupos de funções das soluções de conformidade do Microsoft Purview que dão suporte a unidades administrativas para atribuir unidades administrativas aos membros.

Agora, quando esses administradores restritos criam ou editam políticas que dão suporte a unidades administrativas, eles podem selecionar unidades administrativas para que apenas os usuários dessas unidades administrativas sejam qualificados para a política:

  • Administradores irrestritos não precisam selecionar unidades administrativas como parte da configuração da política. Eles podem manter o padrão de todo o diretório ou selecionar uma ou mais unidades administrativas.
  • Os administradores restritos agora devem selecionar uma ou mais unidades administrativas como parte da configuração da política.

Além da configuração da política, os administradores que selecionaram unidades administrativas devem incluir ou excluir (se houver suporte) usuários individuais e grupos das unidades administrativas selecionadas anteriormente para a política.

Para obter informações sobre unidades administrativas específicas para cada solução com suporte, confira as seguintes seções:

Adicionar usuários ou grupos a um grupo de funções internos do Microsoft Purview

Conclua as seguintes etapas para adicionar usuários ou grupos a um grupo de funções do Microsoft Purview:

  1. Entre na área de permissões do portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365 e acesse Permissões para selecionar o link para exibir e gerenciar funções de conformidade no Microsoft 365.

  2. Expanda a seção soluções do Microsoft Purview e selecione Funções.

  3. Na página Grupos de funções para soluções do Microsoft Purview , selecione um grupo de funções do Microsoft Purview ao qual deseja adicionar usuários e selecione Editar na barra de controle.

  4. Na página Editar membros do grupo de funções , selecione Escolher usuários ou Escolher grupos.

    Importante

    Os grupos de segurança têm suporte apenas em organizações de nuvem comercial do Microsoft 365.

  5. Selecione a caixa de seleção para todos os usuários ou grupos que você deseja adicionar ao grupo de funções.

  6. Selecione Selecionar.

  7. Se os usuários ou grupos selecionados precisarem de acesso em toda a organização como parte dessa atribuição de grupo de funções, vá para a Etapa 10.

  8. Se os usuários ou grupos selecionados precisarem ser atribuídos a unidades administrativas, selecione os usuários ou grupos e selecione Atribuir unidades de administrador.

  9. No painel Atribuir unidades de administrador , selecione a caixa de seleção para todas as unidades administrativas que você deseja atribuir aos usuários ou grupos. Selecione Selecionar.

  10. Selecione Avançar e Salvar para adicionar os usuários ou grupos ao grupo de funções. Selecione Concluído para concluir as etapas.

Remover usuários ou grupos de um grupo de funções internos do Microsoft Purview

Conclua as seguintes etapas para remover usuários ou grupos de um grupo de funções do Microsoft Purview:

  1. Entre na área de permissões do portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365 e acesse Permissões para selecionar o link para exibir e gerenciar as funções de conformidade do Microsoft Purview.
  2. Expanda a seção soluções do Microsoft Purview e selecione Funções.
  3. Na página Grupos de funções para soluções do Microsoft Purview , selecione um grupo de funções do Microsoft Purview do qual você deseja remover usuários ou grupos e selecione Editar na barra de controle.
  4. Na página Editar membros do grupo de funções , selecione a caixa de seleção para todos os usuários ou grupos que você deseja remover para o grupo de funções.
  5. Selecione Remover membros e selecione Avançar.
  6. Selecione Salvar para remover os usuários ou grupos do grupo de funções. Selecione Concluído para concluir as etapas.

Criar um grupo de funções personalizado do Microsoft Purview

Conclua as seguintes etapas para criar um grupo de funções personalizado do Microsoft Purview:

  1. Entre na área de permissões do portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365 e acesse Permissões.

  2. Expanda a seção soluções do Microsoft Purview e selecione Funções.

  3. Na página Grupos de funções para soluções do Microsoft Purview , selecione Criar grupo de funções.

  4. Na página Nomear o grupo de função , insira um nome para o grupo de função personalizado no campo Nome . O nome do grupo de funções não pode ser alterado após a criação do grupo de funções. Se necessário, insira uma descrição para o grupo de função personalizado no campo Descrição . Selecione Avançar para continuar.

  5. Na página Adicionar funções ao grupo de funções, selecione Escolher funções.

  6. Selecione as caixas de seleção para as funções a serem adicionadas ao grupo de função personalizado. Selecione Selecionar.

  7. Selecione Avançar para continuar.

  8. Na página Adicionar membros ao grupo de funções , selecione Escolher usuários (ou Escolher grupos , se aplicável).

    Importante

    Os grupos de segurança têm suporte apenas em organizações de nuvem comercial do Microsoft 365.

  9. Selecione as caixas de seleção para os usuários (ou grupos) a serem adicionados ao grupo de funções personalizado. Selecione Selecionar.

  10. Selecione Avançar para continuar.

  11. Se os usuários ou grupos selecionados precisarem de acesso em toda a organização como parte dessa atribuição de grupo de funções, vá para a Etapa 14.

  12. Se os usuários ou grupos selecionados precisarem ser atribuídos a unidades administrativas, selecione os usuários ou grupos e selecione Atribuir unidades de administrador.

  13. No painel Atribuir unidades de administrador , selecione a caixa de seleção para todas as unidades administrativas que você deseja atribuir aos usuários ou grupos. Selecione Selecionar.

  14. Selecione Avançar.

  15. Na página Examinar o grupo de funções e concluir , examine os detalhes do grupo de funções personalizado. Se você precisar editar as informações, selecione Editar na seção apropriada. Quando todas as configurações estiverem corretas, selecione Criar para criar o grupo de função personalizado ou selecione Cancelar para descartar as alterações e não criar o grupo de funções personalizado.

Atualizar um grupo de funções personalizado do Microsoft Purview

Conclua as seguintes etapas para atualizar um grupo de funções personalizado do Microsoft Purview:

  1. Entre na área de permissões do portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365 e acesse Permissões.
  2. Expanda a seção soluções do Microsoft Purview e selecione Funções.
  3. Na página Grupos de funções para soluções do Microsoft Purview , selecione um grupo de funções do Microsoft Purview que você deseja atualizar e selecione Editar na barra de controle.
  4. Na página Nomear o grupo de funções , atualize a descrição do grupo de função personalizado no campo Descrição . O nome do grupo de função personalizado não pode ser alterado. Selecione Avançar.
  5. Na página Editar funções do grupo de funções, você pode selecionar Escolher funções para adicionar funções para atualizar as funções atribuídas ao grupo de funções. Você também pode selecionar qualquer uma das funções atribuídas no momento e selecionar Remover funções para remover as funções do grupo de funções. Depois de atualizar as funções, selecione Avançar.
  6. Na página Editar membros do grupo de funções , você pode selecionar Escolher usuários ou Escolher grupos para adicionar usuários ou grupos atribuídos ao grupo de funções. Para atualizar as unidades administrativas para usuários ou grupos, selecione qualquer um dos usuários ou grupos atribuídos no momento e selecione Atribuir unidades de administrador. Você também pode selecionar qualquer um dos usuários e grupos atribuídos no momento e selecionar Remover membros para remover os usuários ou grupos do grupo de funções. Depois de atualizar os membros, selecione Avançar.
  7. Na página Examinar o grupo de funções e concluir , examine os detalhes do grupo de funções personalizado. Se você precisar editar as informações, selecione Editar na seção apropriada. Quando todas as configurações estiverem corretas, selecione Salvar para atualizar o grupo de funções personalizado ou selecione Cancelar para descartar as alterações e não atualizar o grupo de função personalizado.

Excluir um grupo de funções personalizado do Microsoft Purview

Conclua as seguintes etapas para excluir um grupo de funções personalizado do Microsoft Purview:

  1. Entre na área de permissões do portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365 e acesse Permissões.
  2. Expanda a seção soluções do Microsoft Purview e selecione Funções.
  3. Na página Grupos de Funções para soluções do Microsoft Purview , selecione um grupo de funções do Microsoft Purview que você deseja excluir e selecione Excluir na barra de controle.
  4. Na caixa de diálogo Excluir grupo de funções , selecione Excluir para excluir o grupo de funções ou selecione Cancelar para cancelar o processo de exclusão.