Atribuir permissões na Deteção de Dados Eletrónicos (pré-visualização)
Se quiser que os utilizadores utilizem qualquer uma das funcionalidades e funcionalidades da Deteção de Dados Eletrónicos (pré-visualização) no portal do Microsoft Purview, tem de atribuir aos utilizadores as permissões adequadas. A forma mais fácil de atribuir funções é adicionar ao utilizador o grupo de funções adequado na página Grupos de funções no portal do Microsoft Purview. Este artigo descreve as permissões necessárias para realizar tarefas de Deteção de Dados Eletrónicos.
Dica
Comece a utilizar o Microsoft Copilot for Security para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre o Microsoft Copilot for Security no Microsoft Purview.
Funções de Deteção de Dados Eletrónicos e grupos de funções
O grupo de funções principal relacionado com a Deteção de Dados Eletrónicos no portal do Microsoft Purview chama-se Gestor de Deteção de Dados Eletrónicos. Existem dois subgrupos neste grupo de funções:
Gestor de Deteção de Dados Eletrónicos: um Gestor de Deteção de Dados Eletrónicos pode pesquisar localizações de conteúdo na organização e realizar várias ações relacionadas com a pesquisa, como pré-visualizar e exportar resultados de pesquisa na Deteção de Dados Eletrónicos (pré-visualização). Os membros também podem criar e gerir casos, adicionar e remover utilizadores de um caso, criar suspensões de casos, executar pesquisas associadas a um caso e aceder a dados de casos. Gerentes de Descoberta Eletrônica só podem acessar e gerenciar os casos que eles criam. Eles não podem acessar ou gerenciar casos criados por outros Gerentes de Descoberta Eletrônica.
- Pode adicionar um grupo de segurança com capacidade de correio como membro do subgrupo Gestores de Deteção de Dados Eletrónicos no grupo de funções Gestor de Deteção de Dados Eletrónicos ao utilizar o cmdlet Add-RoleGroupMember no PowerShell de Conformidade do & de Segurança. Por exemplo, pode executar o seguinte comando para adicionar um grupo de segurança com capacidade de correio ao grupo de funções Gestor de Deteção de Dados Eletrónicos .
Add-RoleGroupMember "eDiscoveryManager" -Member <name of security group>Os grupos de distribuição do Exchange e os Grupos do Microsoft 365 não são suportados. Tem de utilizar um grupo de segurança com capacidade de correio, que pode criar no PowerShell do Exchange Online ao executar
New-DistributionGroup -Type Security. Também pode criar um grupo de segurança com capacidade de correio (e adicionar membros) no centro de administração do Exchange ou no centro de administração do Microsoft 365. Poderá demorar até 60 minutos depois de o criar para que um novo grupo de segurança com capacidade de correio esteja disponível para adicionar ao grupo de funções Gestores de Deteção de Dados Eletrónicos.Não pode tornar um grupo de segurança com capacidade de correio como Administrador de Deteção de Dados Eletrónicos ao utilizar o cmdlet Add-eDiscoveryCaseAdmin no PowerShell de Conformidade do & de Segurança. Só pode adicionar utilizadores individuais como Administradores de Deteção de Dados Eletrónicos.
Também não pode adicionar um grupo de segurança com capacidade de correio como membro de um caso.
Administrador de Deteção de Dados Eletrónicos: um Administrador de Deteção de Dados Eletrónicos é membro do grupo de funções Gestor de Deteção de Dados Eletrónicos e pode realizar as mesmas tarefas relacionadas com a gestão de casos e pesquisa de conteúdos que um Gestor de Deteção de Dados Eletrónicos pode realizar. Além disso, um Administrador de Descoberta Eletrônica pode:
- Aceda a todos os casos listados na área Deteção de Dados Eletrónicos no portal do Microsoft Purview.
- Configurar as definições da solução de Deteção de Dados Eletrónicos.
- Processo de acesso e retenção de relatórios no âmbito de todos os casos.
- Dados de casos de acesso para qualquer caso na organização.
- Gerenciar qualquer caso de Descoberta Eletrônica depois que se adicionar como membro do caso.
- Remover membros de um caso de Descoberta Eletrônica. Somente um Administrador de Descoberta Eletrônica pode remover membros de um caso. Os usuários que são membros do subgrupo Gerenciador de Descoberta Eletrônica não podem remover membros de um caso, mesmo que o usuário tenha criado o caso.
- Se uma pessoa que é o único membro de um caso de Deteção de Dados Eletrónicos sair da sua organização, ninguém (incluindo membros do grupo de funções Gestão da Organização ou outro membro do grupo de funções do Gestor de Deteção de Dados Eletrónicos) pode aceder a esse caso de Deteção de Dados Eletrónicos porque não é membro de um caso. Nessa situação, não haveria um modo de acessar os dados na ocorrência. No entanto, como um Administrador de Deteção de Dados Eletrónicos pode aceder a todos os casos de Deteção de Dados Eletrónicos na organização, pode ver o caso e adicionar-se a si próprio ou a outro gestor de Deteção de Dados Eletrónicos como membro do caso.
- Um Administrador de Deteção de Dados Eletrónicos pode ver e aceder a todos os casos de Deteção de Dados Eletrónicos, pode auditar e supervisionar todos os casos e pesquisas de conformidade associadas. Esta funcionalidade pode ajudar a evitar qualquer utilização indevida de pesquisas de conformidade ou casos de Deteção de Dados Eletrónicos. E como os Administradores de Deteção de Dados Eletrónicos podem aceder a informações potencialmente confidenciais nos resultados de uma pesquisa de conformidade, deve limitar o número de pessoas que são Administradores de Deteção de Dados Eletrónicos.
Observação
Para analisar os dados de um utilizador quando as funcionalidades de Deteção de Dados Eletrónicos premium estão ativadas, tem de ser atribuída ao utilizador uma licença do Office 365 E5 ou do Microsoft 365 E5. Em alternativa, os utilizadores com uma licença do Office 365 E1, office 365 ou Microsoft 365 E3 podem receber uma licença de Conformidade do Microsoft 365 E5 ou Deteção de Dados Eletrónicos do Microsoft 365 e Auditoria. Os administradores, responsáveis pela conformidade ou pessoal jurídico atribuído a casos como membros e que utilizem funcionalidades premium de Deteção de Dados Eletrónicos para recolher, ver e analisar dados não precisam de uma licença E5. Para obter mais informações sobre subscrições e licenciamento, veja os requisitos de subscrição da Deteção de Dados Eletrónicos.
Antes de atribuir permissões
- Tem de ser membro do grupo de funções Gestão da Organização ou ser-lhe atribuída a função Gestão de Funções para atribuir permissões de Deteção de Dados Eletrónicos no portal do Microsoft Purview.
- Pode utilizar o cmdlet Add-RoleGroupMember no PowerShell de Conformidade do & de Segurança para adicionar um grupo de segurança com capacidade de correio como membro do subgrupo Gestores de Deteção de Dados Eletrónicos no grupo de funções Gestor de Deteção de Dados Eletrónicos. No entanto, não pode adicionar um grupo de segurança com capacidade de correio ao subgrupo Administradores de Deteção de Dados Eletrónicos .
Atribuir permissões de Descoberta Eletrônica
Aceda ao portal do Microsoft Purview e inicie sessão com uma conta que possa atribuir permissões.
Navegue para Grupos de funções de Definições>.
Na página Grupos de funções para soluções do Microsoft Purview , selecione Gestor de Deteção de Dados Eletrónicos.
No painel de lista de opções do Gestor de Deteção de Dados Eletrónicos, efetue um dos seguintes procedimentos com base nas permissões de Deteção de Dados Eletrónicos que pretende atribuir.
- Selecione Editar.
- Na página Gerir Gestor de Deteção de Dados Eletrónicos , selecione Escolher utilizadores ou Escolher grupos.
- Procure e selecione o utilizador (ou utilizadores) que pretende adicionar como Gestor de Deteção de Dados Eletrónicos e, em seguida, selecione Selecionar.
- Selecione Avançar.
- Para atribuir um utilizador (ou utilizadores) ao grupo de funções Administrador de Deteção de Dados Eletrónicos, selecione Escolher utilizadores ou Escolher grupos.
- Procure e selecione o utilizador (ou utilizadores) que pretende adicionar como Administrador de Deteção de Dados Eletrónicos e, em seguida, selecione Selecionar.
- Selecione Avançar.
Se os utilizadores ou grupos selecionados precisarem de acesso ao nível da organização como parte desta atribuição de grupo de funções, vá para o Passo 8.
Se os utilizadores ou grupos selecionados precisarem de ser atribuídos a unidades administrativas, selecione os utilizadores ou grupos e selecione Atribuir unidades de administração.
No painel Atribuir unidades de administração , selecione a caixa de verificação de todas as unidades administrativas que pretende atribuir aos utilizadores ou grupos. Selecione Selecionar.
Selecione Seguinte e Guardar para adicionar os utilizadores ou grupos ao grupo de funções. Selecione Concluído para concluir os passos.
Observação
Também pode utilizar o cmdlet Add-eDiscoveryCaseAdmin para tornar um utilizador um Administrador de Deteção de Dados Eletrónicos. No entanto, tem de ser atribuída ao utilizador a função Gestão de Casos antes de poder utilizar este cmdlet para torná-lo um Administrador de Deteção de Dados Eletrónicos. Para obter mais informações, veja Add-eDiscoveryCaseAdmin.
Na página Grupos de funções no portal do Microsoft Purview, também pode atribuir permissões relacionadas com a Deteção de Dados Eletrónicos aos utilizadores ao adicioná-las aos grupos de funções Administrador de Conformidade, Gestão da Organização e Revisor . Para obter uma descrição das funções de controlo de acesso baseado em funções relacionadas com a Deteção de Dados Eletrónicos atribuídas a cada um destes grupos de funções, veja Funções de controlo de acesso baseadas em funções relacionadas com a Deteção de Dados Eletrónicos.
Funções RBAC relacionadas com a Deteção de Dados Eletrónicos
A tabela seguinte lista as funções de controlo de acesso baseado em funções relacionadas com a Deteção de Dados Eletrónicos no portal do Microsoft Purview e indica os grupos de funções incorporados aos quais cada função é atribuída por predefinição.
| Função | Administrador de Conformidade | Administrador de & do Gestor de Deteção de Dados Eletrónicos | Gerenciamento de Organização | Revisor |
|---|---|---|---|---|
| Gestão de Casos |
|
|
|
|
| Comunicação |
|
|||
| Pesquisa de Conformidade |
|
|
|
|
| Custodian |
|
|||
| Exportar |
|
|||
| Retenção |
|
|
|
|
| Gerir etiquetas do conjunto de revisões |
|
|||
| Visualização |
|
|||
| Revisão |
|
|
||
| Desencriptar do RMS |
|
|||
| Procurar e Remover |
|
Execute o seguinte teste de diagnóstico para verificar se as funções Exportar, Pré-visualizar ou Procurar estão atribuídas à conta de administrador designada.
- Selecione o controlo Ajuda no canto superior direito do portal do Microsoft Purview. Introduza Diag:edisRBACdiag na pesquisa (ou selecione esta ligação) para executar o teste de Verificação RBAC da Deteção de Dados Eletrónicos.
- Na secção Executar diagnóstico, introduza o UPN ou o endereço de e-mail do utilizador que está a tentar executar uma tarefa de exportação, pré-visualização ou pesquisa.
- Selecione Executar Testes. Se o utilizador não tiver as funções de Deteção de Dados Eletrónicos necessárias, atribua as funções para efetuar a tarefa pretendida.
As secções seguintes descrevem cada uma das funções de controlo de acesso baseado em funções relacionadas com a Deteção de Dados Eletrónicos listadas na tabela anterior.
Gestão de Casos
Esta função permite que os utilizadores criem, editem, eliminem e controlem o acesso a casos de Deteção de Dados Eletrónicos (pré-visualização) no portal do Microsoft Purview. Tem de ser atribuída a função gestão de casos a um utilizador antes de poder utilizar o cmdlet Add-eDiscoveryCaseAdmin para torná-lo um Administrador de Deteção de Dados Eletrónicos. Para obter mais informações, veja Introdução à Deteção de Dados Eletrónicos (pré-visualização).
Comunicação
Esta função permite aos utilizadores gerir todas as comunicações com os utilizadores identificados num caso de Deteção de Dados Eletrónicos. Isto inclui a criação de notificações de suspensão, a retenção de lembretes e escalamentos para a gestão. O utilizador também pode controlar a confirmação do utilizador das notificações de suspensão e gerir o acesso ao portal de utilizador que é utilizado por cada utilizador para controlar as comunicações dos casos em que foram incluídas.
Pesquisa de Conformidade
Esta função permite que os utilizadores procurem caixas de correio e pastas públicas, sites do SharePoint, sites do OneDrive, conversações do Skype para Empresas, grupos do Microsoft 365 e Microsoft Teams e grupos Viva Engage. Esta função permite que um utilizador obtenha uma estimativa dos resultados da pesquisa e crie relatórios de exportação, mas são necessárias outras funções para iniciar ações de pesquisa, como pré-visualizar, exportar ou eliminar resultados da pesquisa.
Na Deteção de Dados Eletrónicos (pré-visualização), os utilizadores a quem foi atribuída a função Pesquisa de Compatibilidade, mas que não têm a função Pré-visualizar, podem pré-visualizar os resultados de uma pesquisa na qual a ação de pré-visualização foi iniciada por um utilizador a quem foi atribuída a função de Pré-visualização . O utilizador sem a função Pré-visualizar pode pré-visualizar os resultados até duas semanas após a ação de pré-visualização inicial ter sido criada.
Da mesma forma, os utilizadores na Deteção de Dados Eletrónicos (pré-visualização) a quem é atribuída a função Pesquisa de Compatibilidade , mas que não têm a função Exportar , podem transferir os resultados de uma pesquisa na qual a ação de exportação foi iniciada por um utilizador a quem foi atribuída a função Exportar . O utilizador sem a função Exportar pode transferir os resultados de uma pesquisa até duas semanas após a criação da ação de exportação inicial. Depois disso, não podem transferir os resultados, a menos que alguém com a função Exportar reinicie a exportação.
O período de tolerância de duas semanas para pré-visualizar e exportar resultados de pesquisa (sem as funções de pesquisa e exportação correspondentes) não se aplica quando as funcionalidades premium estão ativadas na Deteção de Dados Eletrónicos. Os utilizadores têm de ter as funções Pré-visualizar e Exportar para pré-visualizar e exportar conteúdo quando as funcionalidades de Deteção de Dados Eletrónicos premium estiverem ativadas.
Custodian
Importante
Esta função aplica-se apenas à experiência de Deteção de Dados Eletrónicos anterior no portal de conformidade do Microsoft Purview. Esta função não concede permissões para capacidades e funcionalidades na Deteção de Dados Eletrónicos (pré-visualização) no portal do Microsoft Purview.
Esta função permite que os utilizadores identifiquem e giram os depositários para casos de Deteção de Dados Eletrónicos geridos no portal de conformidade do Microsoft Purview e utilizem as informações do Microsoft Entra ID e de outras origens para encontrar origens de dados associadas aos depositários. O utilizador pode associar outras origens de dados, como caixas de correio, sites do SharePoint e Teams a depositários num caso. O utilizador também pode colocar uma suspensão legal nas origens de dados associadas aos depositários para preservar o conteúdo no contexto de um caso.
Exportar
A função permite que os utilizadores exportem os resultados da pesquisa para um computador local. Também lhes permite preparar os resultados da pesquisa para análise quando as funcionalidades de Deteção de Dados Eletrónicos premium estão ativadas. Para obter mais informações sobre como exportar resultados de pesquisa, veja Exportar resultados de pesquisa na Deteção de Dados Eletrónicos (pré-visualização).
Retenção
Esta função permite que os utilizadores coloquem conteúdo em suspensão em caixas de correio, pastas públicas, sites, conversações do Skype para Empresas e grupos do Microsoft 365. Quando conteúdo está em espera, os proprietários do conteúdo ainda podem modificar ou excluir o conteúdo original, mas o conteúdo será preservado até que a retenção seja removida ou até que a duração da retenção expire. Para obter mais informações sobre suspensões, consulte Criar uma suspensão na Deteção de Dados Eletrónicos (pré-visualização).
Gerir etiquetas do conjunto de revisões
Esta função permite que os utilizadores criem, editem e eliminem etiquetas de conjuntos de revisão para os casos a que podem aceder. Os utilizadores precisam, pelo menos, de ter a função Rever e esta função para gerir etiquetas durante as revisões.
Visualização
Esta função permite que os utilizadores vejam uma lista de itens que foram devolvidos a partir de uma pesquisa. Também podem abrir e exibir cada item da lista para exibir seu conteúdo.
Revisão
Esta função permite que os utilizadores acedam a conjuntos de revisão na Deteção de Dados Eletrónicos (pré-visualização). Os utilizadores a quem foi atribuída esta função podem ver e abrir a lista de casos dos quais são membros. Depois de o utilizador aceder a um caso de Deteção de Dados Eletrónicos, pode selecionar Rever conjuntos para aceder a dados de casos. Esta função não permite que o utilizador pré-visualize os resultados de uma pesquisa associada ao caso ou efetue outras tarefas de pesquisa ou gestão de casos. Os utilizadores com esta função só podem aceder aos dados num conjunto de revisão.
Desencriptar do RMS
Esta função permite que os utilizadores vejam mensagens de e-mail protegidas por direitos ao pré-visualizar os resultados da pesquisa e exportar mensagens de e-mail protegidas por direitos desencriptadas. Esta função também permite que os utilizadores vejam (e exportem) um ficheiro encriptado com uma tecnologia de encriptação da Microsoft quando o ficheiro encriptado é anexado a uma mensagem de e-mail incluída nos resultados de uma pesquisa de Deteção de Dados Eletrónicos. Além disso, esta função permite aos utilizadores rever e consultar anexos de e-mail encriptados que são adicionados a um conjunto de revisões na Deteção de Dados Eletrónicos (pré-visualização). Para obter mais informações sobre a desencriptação na Desencriptação de Dados Eletrónicos, veja Desencriptação nas ferramentas de Desencriptação no Microsoft 365.
Procurar e Remover
Esta função permite que os utilizadores efetuem a remoção em massa de dados que correspondam aos critérios de uma pesquisa. Para obter mais informações, consulte Localizar e eliminar mensagens de e-mail na Deteção de Dados Eletrónicos (pré-visualização).
Adicionar grupos de funções como membros de casos de Deteção de Dados Eletrónicos
Pode adicionar grupos de funções como membros de casos de Deteção de Dados Eletrónicos para que os membros dos grupos de funções possam aceder e executar tarefas nos casos atribuídos. As funções atribuídas ao grupo de funções definem o que os membros do grupo de funções podem fazer. Em seguida, adicionar um grupo de funções como membro do caso permite que os membros acedam e executem essas tarefas num caso específico.
Tendo este requisito em mente, é importante saber que, se uma função for adicionada ou removida de um grupo de funções, esse grupo de funções será automaticamente removido como membro de qualquer caso do qual o grupo de funções seja membro. O motivo para tal é proteger a sua organização de fornecer inadvertidamente permissões adicionais aos membros de um caso. Da mesma forma, se um grupo de funções for eliminado, será removido de todos os casos em que foi membro.
Antes de adicionar ou remover funções a um grupo de funções que possa ser membro de um caso de Deteção de Dados Eletrónicos, pode executar os seguintes comandos no PowerShell de Conformidade do & de Segurança para obter uma lista de casos dos quais o grupo de funções é membro. Depois de atualizar o grupo de funções, volta a adicionar o grupo de funções como membro desses casos.