Partilhar via

Unidades administrativas

As unidades administrativas no Microsoft Entra ID permitem-lhe restringir permissões administrativas a partes específicas da sua organização Microsoft Entra. Pode criar, eliminar e editar unidades administrativas no Microsoft Entra. No Microsoft Entra, pode gerir os utilizadores ou grupos que são membros da unidade administrativa. Esta funcionalidade permite-lhe subdividir a sua organização em unidades mais pequenas e atribuir administradores específicos para gerir apenas os membros nessas unidades. Os grupos de funções do Microsoft Purview permitem-lhe atribuir administradores a unidades administrativas específicas. As soluções do Microsoft Purview que suportam a unidade administrativa irão restringir as permissões de visibilidade e gestão aos membros da unidade.

Por exemplo, pode utilizar unidades administrativas para delegar permissões a administradores para cada região geográfica numa grande organização multinacional ou para agrupar o acesso de administrador por departamento na sua organização. Pode criar políticas específicas de região ou departamento ou ver a atividade do utilizador como resultado dessas políticas e atribuição de unidade administrativa. Também pode utilizar unidades administrativas como um âmbito inicial para uma política, em que a seleção de utilizadores elegíveis para a política depende da associação em unidades administrativas.

Se estiver a utilizar âmbitos adaptáveis para políticas de conformidade, veja How adaptive scopes work with Microsoft Entra administrative units (Como funcionam os âmbitos adaptáveis com Microsoft Entra unidades administrativas).

Suporte de unidades administrativas no Microsoft Purview

As seguintes soluções de conformidade do Microsoft Purview suportam unidades administrativas:

Solução Suporte de configuração
Gerenciamento do ciclo de vida de dados Grupos de funções, políticas de retenção e políticas de etiquetas de retenção
Data Loss Prevention (DLP) Grupos de funções e políticas DLP
Conformidade em comunicações Grupos de funções e políticas
Gerenciamento de risco interno Grupos de funções e políticas
Gerenciamento de registros Grupos de funções, políticas de retenção, políticas de etiquetas de retenção e âmbitos adaptáveis
Etiquetagem de confidencialidade Grupos de funções, políticas de etiquetas de confidencialidade e políticas de etiquetagem automática

A configuração das unidades administrativas flui automaticamente para as seguintes funcionalidades:

Observação

Prevenção Contra Perda de Dados do Microsoft Purview e Gestão de Riscos Internos, alertas do surface no Microsoft Defender XDR. Microsoft Defender XDR suporta até 100 unidades administrativas.

Permissões para unidades administrativas

Para atribuir um membro do grupo de funções a uma unidade administrativa, tem de ser atribuída aos administradores a função de Gestão de funções. Para saber mais sobre os grupos de funções e funções do Microsoft Purview, consulte Grupos de funções no Microsoft Purview.

Pode atribuir membros do grupo de funções a unidades administrativas nos seguintes grupos de funções incorporados:

  • Conformidade em comunicações
  • Administradores de Conformidade de Comunicações
  • Analistas de Conformidade de Comunicações
  • Investigadores de Conformidade de Comunicações
  • Administrador de Conformidade
  • Administradores de Dados de Conformidade
  • Leitor Global
  • Proteção de Informações
  • Administradores de Proteção de Informações
  • Analista de Proteção de Informações
  • Investigadores de Proteção de Informações
  • Leitores de Proteção de Informações
  • Gerenciamento de riscos internos
  • Administradores da Gestão de Riscos Internos
  • Analistas do Gerenciamento de Risco Interno
  • Investigadores do Gerenciamento de Risco Interno
  • Aprovadores de Sessões de Gestão de Riscos Internos
  • Aprovadores da Gestão de Riscos Internos
  • Gerenciamento de Organização
  • Gerenciamento de Registros
  • Administrador de Segurança
  • Operador de Segurança
  • Leitor de Segurança

Quando atribui grupos de funções, pode selecionar membros ou grupos individuais e, em seguida, selecionar a opção Atribuir unidades de administração para selecionar unidades administrativas que tenham sido definidas no Microsoft Entra ID:

Opção Atribuir unidades de administração ao editar grupos de funções.

Importante

A atribuição de unidades de administração está sempre disponível quando cria grupos de funções personalizados. Pode atribuir unidades administrativas para qualquer grupo de funções personalizado.

Estes administradores, referidos como administradores restritos, podem agora selecionar uma ou mais das unidades administrativas atribuídas para definir automaticamente o âmbito inicial das políticas que criam ou editam. Apenas se os administradores não tiverem unidades administrativas atribuídas (administradores sem restrições), poderão atribuir políticas a todo o diretório sem serem obrigados a selecionar unidades administrativas individuais.

Importante

Depois de atribuir unidades administrativas aos membros dos grupos de funções, estes administradores restritos não podem ver e editar políticas existentes. No entanto, não existe nenhuma alteração operacional a estas políticas e estas permanecem visíveis e podem ser editadas por administradores sem restrições.

Os administradores restritos também não podem ver dados históricos através de funcionalidades que suportam unidades administrativas, como o explorador de atividades e alertas. Permanecem visíveis para administradores sem restrições. No futuro, os administradores restritos podem ver estes dados relacionados apenas para as unidades administrativas atribuídas.

Pré-requisitos para unidades administrativas

Antes de configurar unidades administrativas para soluções de conformidade do Microsoft Purview, certifique-se de que a sua organização e os utilizadores cumprem os seguintes requisitos de subscrição e licenciamento:

  • licenciamento P1 ou P2 Microsoft Entra ID

  • Licenciamento do Microsoft Purview:

    • Microsoft 365 E5/A5/G5
    • Conformidade do Microsoft 365 E5/A5/G5/F5 ou Conformidade & de Segurança F5
    • Microsoft 365 E5/A5/G5/F5 Proteção de Informações & Governação
    • Gestão de Riscos Internos do Microsoft 365 E5/A5/F5

Configurar e utilizar unidades administrativas

Conclua os seguintes passos para configurar e utilizar unidades administrativas com soluções de conformidade do Microsoft Purview:

  1. Crie unidades administrativas para restringir o âmbito das permissões de função no Microsoft Entra ID.

  2. Adicionar utilizadores e grupos de distribuição a unidades administrativas.

    Importante

    Os membros dos Grupos de Distribuição Dinâmica não se tornam automaticamente membros de uma unidade administrativa.

  3. Se criar uma região geográfica ou unidades administrativas baseadas no departamento, configure unidades administrativas com regras de associação dinâmicas.

    Observação

    Não pode adicionar grupos a uma unidade administrativa que utilize regras de associação dinâmicas. Se necessário, crie duas unidades administrativas, uma para os utilizadores e outra para grupos.

  4. Utilize qualquer um dos grupos de funções das soluções de conformidade do Microsoft Purview que suportem unidades administrativas para atribuir unidades administrativas aos membros.

Agora, quando estes administradores restritos criam ou editam políticas que suportam unidades administrativas, podem selecionar unidades administrativas para que apenas os utilizadores nessas unidades administrativas sejam elegíveis para a política:

  • Os administradores sem restrições não têm de selecionar unidades administrativas como parte da configuração da política. Podem manter a predefinição de todo o diretório ou selecionar uma ou mais unidades administrativas.
  • Os administradores restritos têm agora de selecionar uma ou mais unidades administrativas como parte da configuração da política.

Mais à frente na configuração da política, os administradores que selecionaram unidades administrativas têm de incluir ou excluir (se suportado) utilizadores e grupos individuais das unidades administrativas que selecionaram anteriormente para a política.

Para obter informações sobre unidades administrativas específicas de cada solução suportada, consulte as secções seguintes:

Suporte de unidades administrativas para sites do SharePoint (pré-visualização)

Agora, o Microsoft Purview suporta a adição de sites do SharePoint a unidades administrativas. Isto permite-lhe personalizar a visibilidade e o controlo de gestão dos administradores do Microsoft Purview no portal do Microsoft Purview. Este suporte só está disponível para o Microsoft Proteção de Informações políticas de etiquetagem automática e políticas de Prevenção de Perda de Dados da Microsoft que suportam a aplicação em sites do SharePoint.

Observação

Continuará a gerir a criação, eliminação e Microsoft Entra associação a recursos administrativos de Microsoft Entra ID. Qualquer unidade administrativa criada aparece na listagem do Microsoft Purview.

Uma consulta pode demorar até cinco dias a ser totalmente povoada. As alterações não são imediatas. Aguarde até que esta consulta esteja totalmente preenchida antes de associar uma política a uma unidade administrativa.

Configurar unidades administrativas para sites do SharePoint

Siga estes passos para configurar e utilizar unidades administrativas. Estes passos orientam-no ao longo da criação de unidades administrativas, como associar recursos a essa unidade administrativa e como atribuir membros do grupo de funções de conformidade do Microsoft Purview a unidades administrativas. Depois de criar unidades administrativas, utilize os seguintes passos para associar sites do SharePoint à unidade administrativa.

Os clientes do Microsoft Purview com direito a esta funcionalidade podem agora aceder a Unidades administrativas nas definições do portal Funções e âmbitos do Microsoft Purview. Em Unidades administrativas, selecione uma unidade administrativa e edite-a para associar sites do SharePoint à unidade administrativa.

Para concluir os seguintes passos para configurar sites do SharePoint em unidades administrativas para utilização no Microsoft Purview, tem de ter a função de gestor de extensões de unidade de administração atribuída. Esta função é atribuída por um administrador com direitos de gestão de funções no Microsoft Purview, quer através de um grupo de funções incorporado com esta função, quer através de um grupo de funções personalizado.

  1. Aceda ao portal do Microsoft Purview.
  2. Selecione se.ttings e selecione Funções e âmbitos.
  3. Selecione Unidades administrativas.
  4. Selecionar uma unidade administrativa existente na lista
  5. Selecione Editar.
  6. Crie uma consulta para associar sites do SharePoint à unidade administrativa.
  7. Utilize qualquer um dos grupos de funções das soluções de conformidade do Microsoft Purview que suportem unidades administrativas para atribuir unidades administrativas aos membros.

As consultas para associar sites do SharePoint a unidades administrativas suportam propriedades do site para URL do Site, Nome do site e RefinableString00-RefinableString99. Estas consultas aplicam-se tanto a sites do SharePoint como a contas do OneDrive, com exceção dos sites sharePoint do canal partilhado. Os nomes de propriedades para sites são baseados nas propriedades gerenciadas do site em SharePoint. Para obter mais informações sobre como associar propriedades personalizadas a propriedades geridas (RefinableString00-RefinableString99), consulte Utilizar Propriedades personalizadas do Site SharePoint para Aplicar a Retenção do Microsoft 365 com Âmbitos de Política Adaptáveis.

Teste sua consulta

Para testar a consulta com a pesquisa do SharePoint, conclua os seguintes passos:

  1. Com uma conta com a função de administrador do SharePoint, aceda a https://<your_tenant>.sharepoint.com/search.
  2. Utilize a barra de pesquisa para introduzir a consulta apresentada no resumo da consulta dos seus sites do SharePoint na unidade administrativa.
  3. Verifique se os resultados da pesquisa correspondem aos URLs do site esperados para a unidade administrativa. Se não, verifique a consulta e as URLs com o administrador relevante do SharePoint.

Agora, quando os administradores restritos criam ou editam políticas que suportam unidades administrativas, podem selecionar unidades administrativas para que apenas os sites, utilizadores ou grupos do SharePoint nessas unidades administrativas sejam elegíveis para a política:

  • Os administradores sem restrições não têm de selecionar unidades administrativas como parte da configuração da política. Podem manter a predefinição de todo o diretório ou selecionar uma ou mais unidades administrativas.
  • Os administradores restritos têm agora de selecionar uma ou mais unidades administrativas como parte da configuração da política.

Os administradores que selecionam unidades administrativas não podem incluir ou excluir sites individuais do SharePoint. Os sites do SharePoint suportam a aplicação para todos os sites associados à unidade administrativa.

Importante

Pode editar uma consulta do SharePoint para uma unidade administrativa para não resultar em associações a sites se quiser remover sites associados de uma unidade administrativa. Pode fazer com que a consulta resulte em nenhum site para limpar a associação ao site.

Ver detalhes de associação a sites do SharePoint da unidade administrativa no Purview

Depois de criar uma consulta do SharePoint para uma unidade administrativa no Microsoft Purview, pode ver os membros do site da unidade administrativa. A associação utilizador e grupo de uma unidade administrativa só é visível no portal do Microsoft Entra ID.

Conclua os seguintes passos para aceder à página de detalhes do membro para ver os membros do site SharePoint de uma unidade administrativa no Microsoft Purview:

  1. Navegue para o portal do Microsoft Purview em purview.microsoft.com
  2. Selecione definições e selecione Funções e âmbitos.
  3. Selecionar Unidades administrativas
  4. Selecione uma unidade administrativa existente na lista.
  5. Selecionar Detalhes do Membro
  6. É apresentada uma lista de membros do site SharePoint.
  7. A coluna Estado na lista mostra Adicionado para sites adicionados à unidade administrativa ou Removidos se o site estava anteriormente na unidade administrativa, mas for removido uma vez que já não seja uma correspondência para a consulta do SharePoint.
  8. Utilize a função Exportar para transferir uma lista dos sites apresentados para um ficheiro CSV.

Observação

A atualização dos sites adicionados ou removidos poderá demorar até 5 dias.

Para obter informações sobre unidades administrativas e o site do SharePoint (pré-visualização) em soluções do Microsoft Purview, consulte: