Unidades administrativas

As unidades administrativas permitem subdividir sua organização em unidades menores e, em seguida, atribuir administradores específicos que podem gerenciar apenas os membros dessas unidades. Eles também permitem atribuir unidades administrativas a membros de grupos de funções em soluções do Microsoft Purview, para que esses administradores possam gerenciar apenas os membros (e recursos associados) dessas unidades administrativas atribuídas.

Por exemplo, você pode usar unidades administrativas para delegar permissões aos administradores de cada região geográfica em uma organização multinacional grande ou para agrupar o acesso de administrador por departamento em sua organização. Você pode criar políticas específicas de região ou departamento ou exibir a atividade do usuário como resultado dessas políticas e atribuição de unidade administrativa. Você também pode usar unidades administrativas como um escopo inicial para uma política, em que a seleção de usuários qualificados para a política depende da associação em unidades administrativas.

Se você estiver usando escopos adaptáveis para políticas de conformidade, consulte Como os escopos adaptáveis funcionam com Microsoft Entra unidades administrativas.

Suporte a unidades administrativas no Microsoft Purview

As seguintes soluções de conformidade do Microsoft Purview dão suporte a unidades administrativas:

Solução	Suporte à configuração
Gerenciamento do ciclo de vida de dados	Grupos de funções, políticas de retenção e políticas de rótulo de retenção
Data Loss Prevention (DLP)	Grupos de funções e políticas DLP
Conformidade em comunicações	Grupos de funções e políticas
Gerenciamento de risco interno	Grupos de funções e políticas
Gerenciamento de registros	Grupos de funções, políticas de retenção, políticas de rótulo de retenção e escopos adaptáveis
Rotulagem de confidencialidade	Grupos de funções, políticas de rótulo de confidencialidade e políticas de rotulagem automática

A configuração de unidades administrativas flui automaticamente para os seguintes recursos:

• Alertas: alertas DLP são visíveis apenas de usuários em unidades administrativas atribuídas
• Gerenciador de atividades: os eventos de atividade são visíveis apenas de usuários em unidades administrativas atribuídas
• Escopos adaptáveis:
  • Os administradores restritos podem selecionar, criar, editar e exibir escopos adaptáveis apenas para usuários nas unidades administrativas atribuídas por esses administradores
  • Quando um administrador restrito configura uma política que está usando escopos adaptáveis, esse administrador só pode selecionar escopos adaptáveis atribuídos às suas unidades administrativas
• Auditar o acesso à pesquisa de log
• Conformidade com a comunicação:
  • Pesquisa e configuração de política: os administradores restritos podem criar ou gerenciar políticas apenas para usuários atribuídos às suas unidades administrativas.
  • Alertas e correspondências de política: os administradores restritos podem investigar as atividades do usuário apenas para usuários em suas unidades administrativas atribuídas.
• Gerenciamento de ciclo de vida de dados e gerenciamento de registros:
  • Pesquisa de política: os administradores restritos verão políticas somente de usuários em suas unidades administrativas atribuídas
  • Revisão e verificação de disposição: os administradores restritos podem adicionar revisores somente de dentro de suas unidades administrativas atribuídas e ver revisões de disposição e itens descartados apenas dos usuários em suas unidades administrativas atribuídas
• Gerenciamento de risco interno:
  • Pesquisa e configuração de política: os administradores restritos podem criar ou gerenciar políticas apenas para usuários atribuídos às suas unidades administrativas.
  • Atividades do usuário: os administradores restritos podem iniciar atividades de pontuação ou investigar atividades do usuário apenas para usuários em suas unidades administrativas atribuídas.
  • Alertas e casos: os administradores restritos podem exibir e investigar alertas e casos somente para usuários em suas unidades administrativas atribuídas.

Você pode adicionar usuários e grupos a unidades administrativas usando os seguintes grupos de funções internos:

• Conformidade em comunicações
• Administradores de Conformidade de Comunicação
• Analistas de Conformidade de Comunicação
• Investigadores de Conformidade de Comunicação
• Administrador de Conformidade
• Administradores de dados de conformidade
• Leitor Global
• Proteção de Informações
• Administradores de Proteção de Informações
• Analista de Proteção de Informações
• Investigadores de Proteção de Informações
• Leitores de Proteção de Informações
• Gerenciamento de riscos internos
• Administradores de Gerenciamento de Riscos Internos
• Analistas do Gerenciamento de Risco Interno
• Investigadores do Gerenciamento de Risco Interno
• Aprovadores de sessão de gerenciamento de risco interno
• Aprovadores de Gerenciamento de Riscos Internos
• Gerenciamento de Organização
• Gerenciamento de Registros
• Administrador de Segurança
• Operador de Segurança
• Leitor de Segurança

Ao atribuir grupos de funções, você pode selecionar membros ou grupos individuais e, em seguida, a opção Atribuir unidades de administrador para selecionar unidades administrativas definidas em Microsoft Entra ID:

Importante

Atribuir unidades de administrador está sempre disponível quando você cria grupos de funções personalizados. Você pode atribuir unidades administrativas para qualquer grupo de funções personalizado.

Esses administradores, conhecidos como administradores restritos, agora podem selecionar uma ou mais de suas unidades administrativas atribuídas para definir automaticamente o escopo inicial das políticas que eles criam ou editam. Somente se os administradores não tiverem unidades administrativas atribuídas (administradores irrestritos), eles poderão atribuir políticas a todo o diretório sem selecionar unidades administrativas individuais.

Importante

Depois de atribuir unidades administrativas a membros dos grupos de funções, esses administradores restritos não poderão mais ver e editar políticas existentes. No entanto, não há nenhuma alteração operacional nessas políticas e elas permanecem visíveis e podem ser editadas por administradores irrestritos.

Os administradores restritos também não poderão mais ver dados históricos usando recursos que dão suporte a unidades administrativas, como explorador de atividades e alertas. Eles permanecem visíveis para administradores irrestritos. Daqui para frente, os administradores restritos poderão ver esses dados relacionados apenas para suas unidades administrativas atribuídas.

Observação

Além de poder configurar e exibir alertas, os usuários com as funções analista de Proteção de Informações e pesquisador de Proteção de Informações podem pesquisar logs de auditoria usando o cmdlet Pesquisa-UnifiedAuditLog.

Pré-requisitos para unidades administrativas

Antes de configurar unidades administrativas para soluções de conformidade do Microsoft Purview, verifique se sua organização e usuários atendem aos seguintes requisitos de assinatura e licenciamento:

• licenciamento P1 ou P2 Microsoft Entra ID

• Licenciamento do Microsoft Purview:

  • Microsoft 365 E5/A5/G5
  • Conformidade Microsoft 365 E5/A5/G5/F5 ou conformidade com & de segurança do F5
  • Microsoft 365 E5/A5/G5/F5 Proteção de Informações & Governança
  • Gerenciamento de risco interno do Microsoft 365 E5/A5/F5

Configurar e usar unidades administrativas

Conclua as seguintes etapas para configurar e usar unidades administrativas com soluções de conformidade do Microsoft Purview:

1. Create unidades administrativas para restringir o escopo das permissões de função no Microsoft Entra ID.

2. Adicione usuários e grupos de distribuição a unidades administrativas.

   Importante

   Membros do Grupos de Distribuição Dinâmica não se tornam automaticamente membros de uma unidade administrativa.

3. Se criar uma região geográfica ou unidades administrativas baseadas em departamento, configure unidades administrativas com regras dinâmicas de associação.

   Observação

   Você não pode adicionar grupos a uma unidade administrativa que usa regras dinâmicas de associação. Se necessário, crie duas unidades administrativas, uma para usuários e outra para grupos.

4. Use qualquer um dos grupos de funções das soluções de conformidade do Microsoft Purview que dão suporte a unidades administrativas para atribuir unidades administrativas aos membros.

Agora, quando esses administradores restritos criam ou editam políticas que dão suporte a unidades administrativas, eles podem selecionar unidades administrativas para que apenas os usuários dessas unidades administrativas sejam qualificados para a política:

• Administradores irrestritos não precisam selecionar unidades administrativas como parte da configuração da política. Eles podem manter o padrão de todo o diretório ou selecionar uma ou mais unidades administrativas.
• Os administradores restritos agora devem selecionar uma ou mais unidades administrativas como parte da configuração da política.

Além da configuração da política, os administradores que selecionaram unidades administrativas devem incluir ou excluir (se houver suporte) usuários individuais e grupos das unidades administrativas selecionadas anteriormente para a política.

Para obter informações sobre unidades administrativas específicas para cada solução com suporte, confira as seguintes seções:

• Para auditoria: escopo do acesso a logs de auditoria usando unidades administrativas
• Para conformidade com a comunicação: considere unidades administrativas se você quiser escopo de permissões de usuário para uma região ou departamento
• Para gerenciamento do ciclo de vida de dados: suporte para unidades administrativas
• Para DLP: políticas restritas da Unidade Administrativa
• Para gerenciamento de risco interno: considere unidades administrativas se você quiser escopo de permissões de usuário para uma região ou departamento
• Para gerenciamento de registros: suporte para unidades administrativas
• Para rotulagem de confidencialidade: suporte para unidades administrativas