Migración de asignación de roles de Purview

El migratorio de asignación de roles de Microsoft Purview es una aplicación empresarial de primera empresa de Microsoft en Microsoft Entra ID que ejecuta la sincronización en segundo plano desde las asignaciones de roles de Microsoft Purview a los roles de Entra correspondientes. Los servicios de Microsoft 365 usan estos roles de Entra para comprobar que el administrador tiene el nivel correcto de permisos antes de permitir que continúen las operaciones de Microsoft Purview de larga duración, como la búsqueda y exportación de contenido.

Asignación de roles

En la tabla siguiente se muestran los roles de Purview asignados a cada uno de los siguientes roles de Entra. Estos roles de Entra solo conceden la capacidad de ejecutar operaciones de Purview y no se concede ninguna otra operación fuera de Purview.

Roles de Purview Rol de Entra asignado Descripción
Análisis de administración de riesgos internos

Investigación de administración de riesgos internos

Búsqueda de cumplimiento

Exportar

Administración de administración de privacidad

Análisis de administración de privacidad

Investigación de administración de privacidad

Contribución permanente a la administración de la privacidad

Contribución temporal a la administración de la privacidad

Visor de administración de privacidad

Revisor de investigación de seguridad de datos
Lector de contenido de carga de trabajo de Purview Permite a las operaciones de Microsoft Purview leer contenido de los servicios de Microsoft 365 (por ejemplo, leer un archivo en SharePoint).
Hold

Investigación de administración de privacidad

Investigador de investigación de seguridad de datos
Escritor de contenido de carga de trabajo de Purview Permite que las operaciones de Microsoft Purview lean y escriban contenido en los servicios de Microsoft 365 (por ejemplo, almacenar elementos de correo en Exchange).
Buscar y purgar

Investigación de seguridad de datos Administración

Analista de investigación de seguridad de datos
Administrador de contenido de carga de trabajo de Purview Permite que las operaciones de Microsoft Purview lean, escriban y eliminen contenido en los servicios de Microsoft 365 (por ejemplo, purgar mensajes en Microsoft Teams).

Si un administrador tiene varios roles de Purview que se asignan a roles de Entra diferentes, reciben el rol de Entra con privilegios más altos. El orden de precedencia es: Lector de escritor > de administrador>.

Nota:

El migración de asignación de roles de Purview administra los roles Lector de contenido de carga de trabajo de Purview, Escritor de contenido de cargas de trabajo de Purview y Administrador de contenido de carga de trabajo de Purview Entra roles y solo los roles de Purview enumerados se sincronizan para Entra. No asigne los roles de Entra en el portal de Entra. Estos roles no aparecen en el portal de Microsoft Purview como los que se muestran en la página de configuración .

Registros de auditoría de sincronización

El migración de asignación de roles de Purview funciona en dos modos:

  • Sincronización masiva inicial: Cuando el migración de asignación de roles de Purview se activa por primera vez para el inquilino, sincroniza todas las asignaciones de roles de Purview existentes para Microsoft Entra en un solo paso. Este proceso genera una ráfaga de actividad en los registros de auditoría de Microsoft Entra.
  • Sincronización continua: Todos los cambios posteriores en las pertenencias a roles de Purview desencadenan la sincronización con Microsoft Entra.

Captura de pantalla del flujo de sincronización de migración de asignación de roles de Microsoft Purview que muestra cómo se asignan las asignaciones de roles de Purview a Microsoft Entra roles.

Importante

Mantenga la aplicación migración de asignación de roles de Purview habilitada en Microsoft Entra ID. El identificador de la aplicación es 7fe3d988-4f3b-4f33-83bd-1fb921a35ed2. Deshabilitar esta aplicación detiene la sincronización. Las nuevas asignaciones de roles de Purview no se propagan a Microsoft Entra y las operaciones de Purview de ejecución prolongada no realizan comprobaciones de autorización en tiempo de ejecución.

La actividad de sincronización migración de asignación de roles de Purview aparece en Microsoft Entra registros de auditoría con el nombre para mostrar PurviewRoleAssignmentMigrator. El campo Nuevo valor para cada entrada de registro muestra el rol de Microsoft Entra que se asignó.

Verá dos patrones distintos de actividad:

Patrón de actividad Cuando sucede Volumen
Sincronización masiva Una vez, cuando el migración de asignación de roles de Purview se activa por primera vez para el inquilino Alto: todas las asignaciones de roles de Purview existentes se sincronizan a la vez
Sincronización continua En curso, después de cada cambio en una pertenencia a roles de Purview Bajo: proporcional a la tasa de cambios de rol de Purview en el inquilino

Si ve un pico repentino de entradas en los registros de auditoría de PurviewRoleAssignmentMigrator Microsoft Entra, este pico de entradas de registro de auditoría procede de la sincronización masiva inicial y no es un signo de actividad no autorizada.

Importante

No asigne usuarios a estos roles de Microsoft Entra directamente en Microsoft Entra ID. El migración de asignación de roles de Purview administra estas asignaciones exclusivamente desde Purview y sobrescribe las asignaciones manuales en Microsoft Entra en la siguiente sincronización.

Acceso cuando es necesario

De forma predeterminada, el migración de asignación de roles de Purview sincroniza las asignaciones de roles con los roles de Microsoft Entra como asignaciones activas (permanentes). Microsoft Entra Privileged Identity Management (PIM) para grupos permite a los usuarios aptos activar la pertenencia Just-In-Time a los grupos. Al agregar estos Microsoft Entra grupos de seguridad con asignaciones aptas a roles de Purview, el migración de asignación de roles de Purview sincroniza esa misma pertenencia a grupos de seguridad en los roles de Microsoft Entra correspondientes. Este proceso permite a las organizaciones que requieren que las asignaciones de roles sean just-in-time en Microsoft Entra aplicar el mismo modelo para Microsoft Purview y aplicar la activación de roles.

Importante

Ajuste el tamaño de la ventana de activación de pertenencia Just-In-Time en el grupo de seguridad para cubrir toda la duración de las operaciones. Si una activación expira mientras se sigue ejecutando una operación de larga duración, es posible que se produzca un error en la siguiente comprobación de autorización en tiempo de ejecución. Por ejemplo, para identificar cuánto tiempo tardan normalmente las operaciones de exhibición de documentos electrónicos, use El Administrador de procesos en eDiscovery y establezca las duraciones de activación en consecuencia.