Compartilhar via


Unidades administrativas

As unidades administrativas permitem-lhe subdividir a sua organização em unidades mais pequenas e atribuir administradores específicos que só podem gerir os membros dessas unidades. Os grupos de funções do Microsoft Purview permitem-lhe atribuir administradores a unidades administrativas específicas. As soluções do Microsoft Purview que suportam a unidade administrativa irão restringir as permissões de visibilidade e gestão aos membros da unidade.

Por exemplo, pode utilizar unidades administrativas para delegar permissões a administradores para cada região geográfica numa grande organização multinacional ou para agrupar o acesso de administrador por departamento na sua organização. Pode criar políticas específicas de região ou departamento ou ver a atividade do utilizador como resultado dessas políticas e atribuição de unidade administrativa. Também pode utilizar unidades administrativas como um âmbito inicial para uma política, em que a seleção de utilizadores elegíveis para a política depende da associação em unidades administrativas.

Se estiver a utilizar âmbitos adaptáveis para políticas de conformidade, veja How adaptive scopes work with Microsoft Entra administrative units (Como funcionam os âmbitos adaptáveis com Microsoft Entra unidades administrativas).

Suporte de unidades administrativas no Microsoft Purview

As seguintes soluções de conformidade do Microsoft Purview suportam unidades administrativas:

Solução Suporte de configuração
Gerenciamento do ciclo de vida de dados Grupos de funções, políticas de retenção e políticas de etiquetas de retenção
Data Loss Prevention (DLP) Grupos de funções e políticas DLP
Conformidade em comunicações Grupos de funções e políticas
Gerenciamento de risco interno Grupos de funções e políticas
Gerenciamento de registros Grupos de funções, políticas de retenção, políticas de etiquetas de retenção e âmbitos adaptáveis
Etiquetagem de confidencialidade Grupos de funções, políticas de etiquetas de confidencialidade e políticas de etiquetagem automática

A configuração das unidades administrativas flui automaticamente para as seguintes funcionalidades:

Observação

Microsoft Defender XDR suporta até 100 unidades administrativas.

Para atribuir um membro do grupo de funções a uma unidade administrativa, tem de ser atribuída aos administradores a função de Gestão de funções. Para saber mais sobre os grupos de funções e funções do Microsoft Purview, consulte Grupos de funções no Microsoft Purview.

Pode atribuir membros do grupo de funções a unidades administrativas nos seguintes grupos de funções incorporados:

  • Conformidade em comunicações
  • Administradores de Conformidade de Comunicações
  • Analistas de Conformidade de Comunicações
  • Investigadores de Conformidade de Comunicações
  • Administrador de Conformidade
  • Administradores de Dados de Conformidade
  • Leitor Global
  • Proteção de Informações
  • Administradores de Proteção de Informações
  • Analista de Proteção de Informações
  • Investigadores de Proteção de Informações
  • Leitores de Proteção de Informações
  • Gerenciamento de riscos internos
  • Administradores da Gestão de Riscos Internos
  • Analistas do Gerenciamento de Risco Interno
  • Investigadores do Gerenciamento de Risco Interno
  • Aprovadores de Sessões de Gestão de Riscos Internos
  • Aprovadores da Gestão de Riscos Internos
  • Gerenciamento de Organização
  • Gerenciamento de Registros
  • Administrador de Segurança
  • Operador de Segurança
  • Leitor de Segurança

Quando atribui grupos de funções, pode selecionar membros ou grupos individuais e, em seguida, selecionar a opção Atribuir unidades de administração para selecionar unidades administrativas que tenham sido definidas no Microsoft Entra ID:

Opção Atribuir unidades de administração ao editar grupos de funções.

Importante

A atribuição de unidades de administração está sempre disponível quando cria grupos de funções personalizados. Pode atribuir unidades administrativas para qualquer grupo de funções personalizado.

Estes administradores, referidos como administradores restritos, podem agora selecionar uma ou mais das unidades administrativas atribuídas para definir automaticamente o âmbito inicial das políticas que criam ou editam. Apenas se os administradores não tiverem unidades administrativas atribuídas (administradores sem restrições), poderão atribuir políticas a todo o diretório sem serem obrigados a selecionar unidades administrativas individuais.

Importante

Depois de atribuir unidades administrativas aos membros dos grupos de funções, estes administradores restritos deixarão de poder ver e editar políticas existentes. No entanto, não existe nenhuma alteração operacional a estas políticas e estas permanecem visíveis e podem ser editadas por administradores sem restrições.

Os administradores restritos também deixarão de poder ver dados históricos através de funcionalidades que suportam unidades administrativas, como o explorador de atividades e alertas. Permanecem visíveis para administradores sem restrições. No futuro, os administradores restritos podem ver estes dados relacionados apenas para as unidades administrativas atribuídas.

Observação

Além de poderem configurar e ver alertas, os utilizadores com as funções analista Proteção de Informações e Proteção de Informações Investigador podem procurar registos de auditoria com o cmdlet Search-UnifiedAuditLog.

Pré-requisitos para unidades administrativas

Antes de configurar unidades administrativas para soluções de conformidade do Microsoft Purview, certifique-se de que a sua organização e os utilizadores cumprem os seguintes requisitos de subscrição e licenciamento:

  • licenciamento P1 ou P2 Microsoft Entra ID

  • Licenciamento do Microsoft Purview:

    • Microsoft 365 E5/A5/G5
    • Conformidade do Microsoft 365 E5/A5/G5/F5 ou Conformidade & de Segurança F5
    • Microsoft 365 E5/A5/G5/F5 Proteção de Informações & Governação
    • Gestão de Riscos Internos do Microsoft 365 E5/A5/F5

Configurar e utilizar unidades administrativas

Conclua os seguintes passos para configurar e utilizar unidades administrativas com soluções de conformidade do Microsoft Purview:

  1. Crie unidades administrativas para restringir o âmbito das permissões de função no Microsoft Entra ID.

  2. Adicionar utilizadores e grupos de distribuição a unidades administrativas.

    Importante

    Os membros da Distribuição Dinâmica Grupos não se tornam automaticamente membros de uma unidade administrativa.

  3. Se criar uma região geográfica ou unidades administrativas baseadas no departamento, configure unidades administrativas com regras de associação dinâmicas.

    Observação

    Não pode adicionar grupos a uma unidade administrativa que utilize regras de associação dinâmicas. Se necessário, crie duas unidades administrativas, uma para os utilizadores e outra para grupos.

  4. Utilize qualquer um dos grupos de funções das soluções de conformidade do Microsoft Purview que suportem unidades administrativas para atribuir unidades administrativas aos membros.

Agora, quando estes administradores restritos criam ou editam políticas que suportam unidades administrativas, podem selecionar unidades administrativas para que apenas os utilizadores nessas unidades administrativas sejam elegíveis para a política:

  • Os administradores sem restrições não têm de selecionar unidades administrativas como parte da configuração da política. Podem manter a predefinição de todo o diretório ou selecionar uma ou mais unidades administrativas.
  • Os administradores restritos têm agora de selecionar uma ou mais unidades administrativas como parte da configuração da política.

Mais à frente na configuração da política, os administradores que selecionaram unidades administrativas têm de incluir ou excluir (se suportado) utilizadores e grupos individuais das unidades administrativas que selecionaram anteriormente para a política.

Para obter informações sobre unidades administrativas específicas de cada solução suportada, consulte as secções seguintes: