Unidades administrativas

Las unidades administrativas de Microsoft Entra ID permiten restringir los permisos administrativos a partes específicas de la organización Microsoft Entra. Puede crear, eliminar y editar unidades administrativas en Microsoft Entra. En Microsoft Entra, se administran los usuarios o grupos que son miembros de la unidad administrativa. Esta característica le permite subdividir la organización en unidades más pequeñas y asignar administradores específicos para administrar solo los miembros dentro de esas unidades. Los grupos de roles de Microsoft Purview permiten asignar administradores a unidades administrativas específicas. Las soluciones de Microsoft Purview que admiten unidades administrativas restringen los permisos de visibilidad y administración a los miembros de la unidad.

Por ejemplo, puede usar unidades administrativas para delegar permisos a los administradores de cada región geográfica de una organización multinacional grande o para agrupar el acceso de administrador por departamento dentro de la organización. Puede crear directivas específicas de región o departamento o ver la actividad del usuario como resultado de esas directivas y la asignación de unidades administrativas. También puede usar unidades administrativas como ámbito inicial de una directiva, donde la selección de usuarios aptos para la directiva depende de la pertenencia a unidades administrativas.

Si usa ámbitos adaptables para directivas de cumplimiento, consulte Cómo funcionan los ámbitos adaptables con Microsoft Entra unidades administrativas.

Compatibilidad con unidades administrativas en Microsoft Purview

Las siguientes soluciones de cumplimiento de Microsoft Purview admiten unidades administrativas:

La configuración de las unidades administrativas fluye automáticamente a las siguientes características:

• Alertas:
  • Las alertas DLP solo son visibles para los usuarios de las unidades administrativas asignadas
• Explorador de actividad:
  • Los eventos de actividad solo son visibles para los usuarios de las unidades administrativas asignadas
• Ámbitos adaptables:
  • Los administradores restringidos solo pueden seleccionar, crear, editar y ver ámbitos adaptables para los usuarios de las unidades administrativas asignadas por esos administradores.
  • Cuando un administrador restringido configura una directiva que usa ámbitos adaptables, el administrador solo puede seleccionar ámbitos adaptables asignados a sus unidades administrativas.
• Registro de auditoría:
  • Acceso de búsqueda
• Cumplimiento de comunicaciones:
  • Búsqueda y configuración de directivas: los administradores restringidos solo pueden crear o administrar directivas para los usuarios asignados a sus unidades administrativas.
  • Alertas y coincidencias de directivas: los administradores restringidos solo pueden investigar las actividades del usuario para los usuarios dentro de sus unidades administrativas asignadas.
• Administración del ciclo de vida de los datos y administración de registros:
  • Búsqueda de directivas: los administradores restringidos solo ven las directivas de los usuarios dentro de sus unidades administrativas asignadas.
  • Revisión y comprobación de eliminación: los administradores restringidos solo pueden agregar revisores desde sus unidades administrativas asignadas y ver las revisiones de eliminación y los elementos eliminados solo de los usuarios dentro de sus unidades administrativas asignadas.
• Administración de riesgos internos:
  • Búsqueda y configuración de directivas: los administradores restringidos solo pueden crear o administrar directivas para los usuarios asignados a sus unidades administrativas.
  • Actividades de usuario: los administradores restringidos pueden iniciar actividades de puntuación o investigar las actividades de usuario solo para los usuarios dentro de sus unidades administrativas asignadas.
  • Alertas y casos: los administradores restringidos pueden ver e investigar alertas y casos solo para los usuarios dentro de sus unidades administrativas asignadas.

Permisos para unidades administrativas

Para asignar un miembro de grupo de roles a una unidad administrativa, se debe asignar a los administradores el rol De administración de roles. Para obtener más información sobre los roles y grupos de roles de Microsoft Purview, consulte Grupos de roles en Microsoft Purview.

Puede asignar miembros de grupo de roles a unidades administrativas dentro de los siguientes grupos de roles integrados:

• Cumplimiento de la comunicación
• Administradores de cumplimiento de comunicaciones
• Analistas de cumplimiento de comunicaciones
• Investigadores de cumplimiento de comunicaciones
• Administrador de cumplimiento
• Administradores de datos de cumplimiento
• Lector global
• Protección de la información
• Administradores de Information Protection
• Analista de Information Protection
• Investigadores de Information Protection
• Lectores de Information Protection
• Administración de riesgos de Insider
• Administradores de administración de riesgos internos
• Analistas de administración de riesgos internos
• Aprobadores de administración de riesgos internos
• Investigadores de administración de riesgos internos
• Aprobadores de sesión de Administración de riesgos internos
• Administración de la organización
• Records Management
• Administrador de seguridad
• Operador de seguridad
• Lector de seguridad

Al asignar grupos de roles, puede seleccionar miembros o grupos individuales y, a continuación, seleccionar la opción Asignar unidades de administrador para seleccionar las unidades administrativas que defina en Microsoft Entra ID:

Estos administradores, a los que se hace referencia como administradores restringidos, pueden seleccionar una o varias de sus unidades administrativas asignadas para definir automáticamente el ámbito inicial de las directivas que crean o editan. Solo si los administradores no tienen unidades administrativas asignadas (administradores sin restricciones), pueden asignar directivas a todo el directorio sin necesidad de seleccionar unidades administrativas individuales.

Requisitos previos para las unidades administrativas

Antes de configurar las unidades administrativas para las soluciones de cumplimiento de Microsoft Purview, asegúrese de que su organización y los usuarios cumplen los siguientes requisitos de suscripción y licencia:

• licencias de Microsoft Entra ID P1 o P2

• Licencias de Microsoft Purview:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance o F5 Security & Compliance
  • gobernanza de Information Protection & Microsoft 365 E5/A5/G5/F5
  • Administración de riesgos internos de Microsoft 365 E5/A5/F5

Configuración y uso de unidades administrativas

Complete los pasos siguientes para configurar y usar unidades administrativas con soluciones de cumplimiento de Microsoft Purview:

1. Cree unidades administrativas para restringir el ámbito de los permisos de rol en Microsoft Entra ID.

2. Agregue usuarios y grupos de distribución a unidades administrativas.

   Importante

   Los miembros de grupos de distribución dinámica no se convierten automáticamente en miembros de una unidad administrativa.

3. Si crea unidades administrativas basadas en departamentos o regiones geográficas, configure unidades administrativas con reglas de pertenencia dinámicas.

   Nota:

   No se pueden agregar grupos a una unidad administrativa que use reglas de pertenencia dinámica. Si es necesario, cree dos unidades administrativas, una para los usuarios y otra para grupos.

4. Use cualquiera de los grupos de roles de las soluciones de cumplimiento de Microsoft Purview que admiten unidades administrativas para asignar unidades administrativas a los miembros.

Cuando estos administradores restringidos crean o editan directivas que admiten unidades administrativas, pueden seleccionar unidades administrativas para que solo los usuarios de esas unidades administrativas sean aptos para la directiva:

• Los administradores sin restricciones no tienen que seleccionar unidades administrativas como parte de la configuración de la directiva. Pueden mantener el valor predeterminado de todo el directorio o seleccionar una o varias unidades administrativas.
• Los administradores restringidos deben seleccionar una o varias unidades administrativas como parte de la configuración de la directiva.

Más adelante en la configuración de la directiva, los administradores que seleccionen unidades administrativas deben incluir o excluir (si se admiten) usuarios y grupos individuales de las unidades administrativas que seleccionaron anteriormente para la directiva.

Para obtener información sobre las unidades administrativas específicas de cada solución admitida, consulte las secciones siguientes:

• Para la auditoría: determinar el ámbito del acceso a los registros de auditoría mediante unidades administrativas
• Para el cumplimiento de las comunicaciones: considere la posibilidad de usar unidades administrativas si desea limitar los permisos de usuario a una región o departamento.
• Para la administración del ciclo de vida de datos: compatibilidad con unidades administrativas
• Para DLP: directivas restringidas de unidad administrativa
• Para la administración de riesgos internos: considere la posibilidad de usar unidades administrativas si desea limitar los permisos de usuario a una región o departamento.
• Para la administración de registros: compatibilidad con unidades administrativas
• Para el etiquetado de confidencialidad: compatibilidad con unidades administrativas

Compatibilidad con unidades administrativas para sitios de SharePoint

Microsoft Purview ahora admite la adición de sitios de SharePoint a unidades administrativas. Esta característica le permite personalizar la visibilidad y el control de administración de los administradores de Microsoft Purview en el portal de Microsoft Purview. Esta compatibilidad solo está disponible para las directivas de etiquetado automático de Microsoft Information Protection y las directivas de prevención de pérdida de datos de Microsoft que admiten la aplicación en sitios de SharePoint.

Una consulta puede tardar hasta cinco días en rellenarse por completo. Los cambios no son inmediatos. Espere hasta que la consulta se rellene por completo antes de asociar una directiva a una unidad administrativa.

Configuración de unidades administrativas para sitios de SharePoint

Siga estos pasos para configurar y usar unidades administrativas. Estos pasos le guían a través de la creación de unidades administrativas, cómo asociar recursos a esa unidad administrativa y cómo asignar miembros del grupo de roles de cumplimiento de Microsoft Purview a unidades administrativas. Una vez creadas las unidades administrativas, siga estos pasos para asociar sitios de SharePoint a la unidad administrativa.

Los clientes de Microsoft Purview con derecho a esta característica ahora pueden acceder a las unidades administrativas en roles y ámbitos en la configuración del portal de Microsoft Purview. En Unidades administrativas, seleccione una unidad administrativa y edítela para asociar sitios de SharePoint a la unidad administrativa.

Para completar los pasos siguientes para configurar sitios de SharePoint dentro de unidades administrativas para su uso en Microsoft Purview, debe tener asignado el rol administrador de extensiones de unidad de administración . Un administrador con derechos de administración de roles en Microsoft Purview asigna este rol, ya sea mediante un grupo de roles integrado con este rol o mediante un grupo de roles personalizado.

1. Vaya al portal de Microsoft Purview.
2. Seleccione configuración y seleccione Roles y ámbitos.
3. Seleccione Unidades administrativas.
4. Seleccione una unidad administrativa existente de la lista.
5. Seleccione Editar.
6. Cree una consulta para asociar sitios de SharePoint a la unidad administrativa.
7. Use cualquiera de los grupos de roles de las soluciones de cumplimiento de Microsoft Purview que admiten unidades administrativas para asignar unidades administrativas a los miembros.

Las consultas para asociar sitios de SharePoint con unidades administrativas admiten propiedades de sitio para la dirección URL del sitio, el nombre del sitio y RefinableString00-RefinableString99. Estas consultas se aplican tanto a sitios de SharePoint como a cuentas de OneDrive, a excepción de los sitios de SharePoint de canal compartido. Los nombres de propiedad de los sitios se basan en las propiedades administradas del sitio de SharePoint. Para obtener más información sobre cómo asociar propiedades personalizadas a propiedades administradas (RefinableString00-RefinableString99), vea Uso de propiedades de sitio de SharePoint personalizadas para aplicar la retención de Microsoft 365 con ámbitos de directiva adaptable.

Probar su consulta

Para probar la consulta con la búsqueda de SharePoint, siga estos pasos:

1. Con una cuenta asignada al rol de administrador de SharePoint, vaya a https://<your_tenant>.sharepoint.com/search.
2. Use la barra de búsqueda para escribir la consulta que se muestra en el resumen de consulta de los sitios de SharePoint en la unidad administrativa.
3. Compruebe que los resultados de la búsqueda coinciden con las direcciones URL de sitio esperadas para la unidad administrativa. Si no es así, compruebe la consulta y las direcciones URL con el administrador de SharePoint correspondiente.

Cuando los administradores restringidos crean o editan directivas que admiten unidades administrativas, pueden seleccionar unidades administrativas para que solo los sitios, usuarios o grupos de SharePoint de esas unidades administrativas sean aptos para la directiva:

• Los administradores sin restricciones no tienen que seleccionar unidades administrativas como parte de la configuración de la directiva. Pueden mantener el valor predeterminado de todo el directorio o seleccionar una o varias unidades administrativas.
• Los administradores restringidos deben seleccionar una o varias unidades administrativas como parte de la configuración de la directiva.

Los administradores que seleccionan unidades administrativas no pueden incluir ni excluir sitios de SharePoint individuales. Los sitios de SharePoint admiten la aplicación en todos los sitios asociados a la unidad administrativa.

Visualización de los detalles de pertenencia al sitio de SharePoint de la unidad administrativa en Purview

Después de crear una consulta de SharePoint para una unidad administrativa en Microsoft Purview, puede ver los miembros del sitio de la unidad administrativa. Solo puede ver la pertenencia a usuarios y grupos de una unidad administrativa desde el portal de Microsoft Entra ID.

Complete los pasos siguientes para acceder a la página de detalles del miembro para ver los miembros del sitio de SharePoint de una unidad administrativa en Microsoft Purview:

1. Vaya al portal de Microsoft Purview en purview.microsoft.com.
2. Seleccione configuración y seleccione Roles y ámbitos.
3. Seleccione Unidades administrativas.
4. Seleccione una unidad administrativa existente de la lista.
5. Seleccione Detalles de miembro.
6. Vea la lista de miembros del sitio de SharePoint.
7. Compruebe la columna Estado de la lista, que muestra Agregado para sitios agregados a la unidad administrativa o Eliminado si el sitio estaba anteriormente en la unidad administrativa, pero se quita una vez que ya no coincide con la consulta de SharePoint.
8. Use la función Exportar para descargar una lista de los sitios mostrados en un archivo CSV.

Para obtener información sobre las unidades administrativas y el sitio de SharePoint en soluciones de Microsoft Purview, vea:

• DLP: directivas restringidas de unidad administrativa
• Etiquetas de confidencialidad: compatibilidad con unidades administrativas