Unidades administrativas
As unidades administrativas permitem-lhe subdividir a sua organização em unidades mais pequenas e atribuir administradores específicos que só podem gerir os membros dessas unidades. Os grupos de funções do Microsoft Purview permitem-lhe atribuir administradores a unidades administrativas específicas. As soluções do Microsoft Purview que suportam a unidade administrativa irão restringir as permissões de visibilidade e gestão aos membros da unidade.
Por exemplo, pode utilizar unidades administrativas para delegar permissões a administradores para cada região geográfica numa grande organização multinacional ou para agrupar o acesso de administrador por departamento na sua organização. Pode criar políticas específicas de região ou departamento ou ver a atividade do utilizador como resultado dessas políticas e atribuição de unidade administrativa. Também pode utilizar unidades administrativas como um âmbito inicial para uma política, em que a seleção de utilizadores elegíveis para a política depende da associação em unidades administrativas.
Se estiver a utilizar âmbitos adaptáveis para políticas de conformidade, veja How adaptive scopes work with Microsoft Entra administrative units (Como funcionam os âmbitos adaptáveis com Microsoft Entra unidades administrativas).
As seguintes soluções de conformidade do Microsoft Purview suportam unidades administrativas:
A configuração das unidades administrativas flui automaticamente para as seguintes funcionalidades:
- Alertas: os alertas DLP são visíveis apenas dos utilizadores em unidades administrativas atribuídas
- Explorador de atividades: os eventos de atividade são visíveis apenas de utilizadores em unidades administrativas atribuídas
- Âmbitos adaptáveis:
- Os administradores restritos podem selecionar, criar, editar e ver âmbitos adaptáveis apenas para os utilizadores nas unidades administrativas atribuídas por esses administradores
- Quando um administrador restrito configura uma política que está a utilizar âmbitos adaptáveis, esse administrador só pode selecionar âmbitos adaptáveis atribuídos às respetivas unidades administrativas
- Acesso à pesquisa de registos de auditoria
- Conformidade de comunicação:
- Pesquisa e configuração de políticas: os administradores restritos podem criar ou gerir políticas apenas para os utilizadores atribuídos às respetivas unidades administrativas.
- Alertas e correspondências de políticas: os administradores restritos podem investigar atividades de utilizador apenas para utilizadores nas unidades administrativas atribuídas.
- Gestão do ciclo de vida de dados e gestão de registos:
- Pesquisa de políticas: os administradores restritos verão políticas apenas de utilizadores nas unidades administrativas atribuídas
- Revisão e verificação de eliminação: os administradores restritos só podem adicionar revisores a partir das unidades administrativas atribuídas e ver as revisões de eliminação e os itens eliminados apenas dos utilizadores nas unidades administrativas atribuídas
- Gestão de riscos internos:
- Pesquisa e configuração de políticas: os administradores restritos podem criar ou gerir políticas apenas para os utilizadores atribuídos às respetivas unidades administrativas.
- Atividades de utilizador: os administradores restritos podem iniciar atividades de classificação ou investigar atividades de utilizador apenas para utilizadores nas unidades administrativas atribuídas.
- Alertas e casos: os administradores restritos podem ver e investigar alertas e casos apenas para utilizadores nas unidades administrativas atribuídas.
Para atribuir um membro do grupo de funções a uma unidade administrativa, tem de ser atribuída aos administradores a função de Gestão de funções. Para saber mais sobre os grupos de funções e funções do Microsoft Purview, consulte Grupos de funções no Microsoft Purview.
Pode atribuir membros do grupo de funções a unidades administrativas nos seguintes grupos de funções incorporados:
- Conformidade em comunicações
- Administradores de Conformidade de Comunicações
- Analistas de Conformidade de Comunicações
- Investigadores de Conformidade de Comunicações
- Administrador de Conformidade
- Administradores de Dados de Conformidade
- Leitor Global
- Proteção de Informações
- Administradores de Proteção de Informações
- Analista de Proteção de Informações
- Investigadores de Proteção de Informações
- Leitores de Proteção de Informações
- Gerenciamento de riscos internos
- Administradores da Gestão de Riscos Internos
- Analistas do Gerenciamento de Risco Interno
- Investigadores do Gerenciamento de Risco Interno
- Aprovadores de Sessões de Gestão de Riscos Internos
- Aprovadores da Gestão de Riscos Internos
- Gerenciamento de Organização
- Gerenciamento de Registros
- Administrador de Segurança
- Operador de Segurança
- Leitor de Segurança
Quando atribui grupos de funções, pode selecionar membros ou grupos individuais e, em seguida, selecionar a opção Atribuir unidades de administração para selecionar unidades administrativas que tenham sido definidas no Microsoft Entra ID:
Importante
A atribuição de unidades de administração está sempre disponível quando cria grupos de funções personalizados. Pode atribuir unidades administrativas para qualquer grupo de funções personalizado.
Estes administradores, referidos como administradores restritos, podem agora selecionar uma ou mais das unidades administrativas atribuídas para definir automaticamente o âmbito inicial das políticas que criam ou editam. Apenas se os administradores não tiverem unidades administrativas atribuídas (administradores sem restrições), poderão atribuir políticas a todo o diretório sem serem obrigados a selecionar unidades administrativas individuais.
Importante
Depois de atribuir unidades administrativas aos membros dos grupos de funções, estes administradores restritos deixarão de poder ver e editar políticas existentes. No entanto, não existe nenhuma alteração operacional a estas políticas e estas permanecem visíveis e podem ser editadas por administradores sem restrições.
Os administradores restritos também deixarão de poder ver dados históricos através de funcionalidades que suportam unidades administrativas, como o explorador de atividades e alertas. Permanecem visíveis para administradores sem restrições. No futuro, os administradores restritos poderão ver estes dados relacionados apenas para as unidades administrativas atribuídas.
Observação
Além de poderem configurar e ver alertas, os utilizadores com as funções analista Proteção de Informações e Proteção de Informações Investigador podem procurar registos de auditoria com o cmdlet Search-UnifiedAuditLog.
Antes de configurar unidades administrativas para soluções de conformidade do Microsoft Purview, certifique-se de que a sua organização e os utilizadores cumprem os seguintes requisitos de subscrição e licenciamento:
Licenciamento do Microsoft Purview:
- Microsoft 365 E5/A5/G5
- Conformidade do Microsoft 365 E5/A5/G5/F5 ou Conformidade & de Segurança F5
- Microsoft 365 E5/A5/G5/F5 Proteção de Informações & Governação
- Gestão de Riscos Internos do Microsoft 365 E5/A5/F5
Conclua os seguintes passos para configurar e utilizar unidades administrativas com soluções de conformidade do Microsoft Purview:
Create unidades administrativas para restringir o âmbito das permissões de função no Microsoft Entra ID.
Adicionar utilizadores e grupos de distribuição a unidades administrativas.
Importante
Os membros da Distribuição Dinâmica Grupos não se tornam automaticamente membros de uma unidade administrativa.
Se criar uma região geográfica ou unidades administrativas baseadas no departamento, configure unidades administrativas com regras de associação dinâmicas.
Observação
Não pode adicionar grupos a uma unidade administrativa que utilize regras de associação dinâmicas. Se necessário, crie duas unidades administrativas, uma para os utilizadores e outra para grupos.
Utilize qualquer um dos grupos de funções das soluções de conformidade do Microsoft Purview que suportem unidades administrativas para atribuir unidades administrativas aos membros.
Agora, quando estes administradores restritos criam ou editam políticas que suportam unidades administrativas, podem selecionar unidades administrativas para que apenas os utilizadores nessas unidades administrativas sejam elegíveis para a política:
- Os administradores sem restrições não têm de selecionar unidades administrativas como parte da configuração da política. Podem manter a predefinição de todo o diretório ou selecionar uma ou mais unidades administrativas.
- Os administradores restritos têm agora de selecionar uma ou mais unidades administrativas como parte da configuração da política.
Mais à frente na configuração da política, os administradores que selecionaram unidades administrativas têm de incluir ou excluir (se suportado) utilizadores e grupos individuais das unidades administrativas que selecionaram anteriormente para a política.
Para obter informações sobre unidades administrativas específicas de cada solução suportada, consulte as secções seguintes:
- Para auditoria: Âmbito do acesso aos registos de auditoria com unidades administrativas
- Para conformidade de comunicações: considere as unidades administrativas se quiser definir o âmbito das permissões de utilizador para uma região ou departamento
- Para a gestão do ciclo de vida dos dados: Suporte para unidades administrativas
- Para DLP: Políticas restritas da Unidade Administrativa
- Para gestão de riscos internos: considere as unidades administrativas se quiser definir o âmbito das permissões de utilizador para uma região ou departamento
- Para gestão de registos: suporte para unidades administrativas
- Para etiquetagem de confidencialidade: Suporte para unidades administrativas