Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El migratorio de asignación de roles de Microsoft Purview es una aplicación empresarial de primera empresa de Microsoft en Microsoft Entra ID que ejecuta la sincronización en segundo plano desde las asignaciones de roles de Microsoft Purview a los roles de Entra correspondientes. Los servicios de Microsoft 365 usan estos roles de Entra para comprobar que el administrador tiene el nivel correcto de permisos antes de permitir que continúen las operaciones de Microsoft Purview de larga duración, como la búsqueda y exportación de contenido.
Asignación de roles
En la tabla siguiente se muestran los roles de Purview asignados a cada uno de los siguientes roles de Entra. Estos roles de Entra solo conceden la capacidad de ejecutar operaciones de Purview y no se concede ninguna otra operación fuera de Purview.
| Roles de Purview | Rol de Entra asignado | Descripción |
|---|---|---|
| Análisis de administración de riesgos internos Investigación de administración de riesgos internos Búsqueda de cumplimiento Exportar Administración de administración de privacidad Análisis de administración de privacidad Investigación de administración de privacidad Contribución permanente a la administración de la privacidad Contribución temporal a la administración de la privacidad Visor de administración de privacidad Revisor de investigación de seguridad de datos |
Lector de contenido de carga de trabajo de Purview | Permite a las operaciones de Microsoft Purview leer contenido de los servicios de Microsoft 365 (por ejemplo, leer un archivo en SharePoint). |
| Hold Investigación de administración de privacidad Investigador de investigación de seguridad de datos |
Escritor de contenido de carga de trabajo de Purview | Permite que las operaciones de Microsoft Purview lean y escriban contenido en los servicios de Microsoft 365 (por ejemplo, almacenar elementos de correo en Exchange). |
| Buscar y purgar Investigación de seguridad de datos Administración Analista de investigación de seguridad de datos |
Administrador de contenido de carga de trabajo de Purview | Permite que las operaciones de Microsoft Purview lean, escriban y eliminen contenido en los servicios de Microsoft 365 (por ejemplo, purgar mensajes en Microsoft Teams). |
Si un administrador tiene varios roles de Purview que se asignan a roles de Entra diferentes, reciben el rol de Entra con privilegios más altos. El orden de precedencia es: Lector de escritor > de administrador>.
Nota:
El migración de asignación de roles de Purview administra los roles Lector de contenido de carga de trabajo de Purview, Escritor de contenido de cargas de trabajo de Purview y Administrador de contenido de carga de trabajo de Purview Entra roles y solo los roles de Purview enumerados se sincronizan para Entra. No asigne los roles de Entra en el portal de Entra. Estos roles no aparecen en el portal de Microsoft Purview como los que se muestran en la página de configuración .
Registros de auditoría de sincronización
El migración de asignación de roles de Purview funciona en dos modos:
- Sincronización masiva inicial: Cuando el migración de asignación de roles de Purview se activa por primera vez para el inquilino, sincroniza todas las asignaciones de roles de Purview existentes para Microsoft Entra en un solo paso. Este proceso genera una ráfaga de actividad en los registros de auditoría de Microsoft Entra.
- Sincronización continua: Todos los cambios posteriores en las pertenencias a roles de Purview desencadenan la sincronización con Microsoft Entra.
Importante
Mantenga la aplicación migración de asignación de roles de Purview habilitada en Microsoft Entra ID. El identificador de la aplicación es 7fe3d988-4f3b-4f33-83bd-1fb921a35ed2. Deshabilitar esta aplicación detiene la sincronización. Las nuevas asignaciones de roles de Purview no se propagan a Microsoft Entra y las operaciones de Purview de ejecución prolongada no realizan comprobaciones de autorización en tiempo de ejecución.
La actividad de sincronización migración de asignación de roles de Purview aparece en Microsoft Entra registros de auditoría con el nombre para mostrar PurviewRoleAssignmentMigrator. El campo Nuevo valor para cada entrada de registro muestra el rol de Microsoft Entra que se asignó.
Verá dos patrones distintos de actividad:
| Patrón de actividad | Cuando sucede | Volumen |
|---|---|---|
| Sincronización masiva | Una vez, cuando el migración de asignación de roles de Purview se activa por primera vez para el inquilino | Alto: todas las asignaciones de roles de Purview existentes se sincronizan a la vez |
| Sincronización continua | En curso, después de cada cambio en una pertenencia a roles de Purview | Bajo: proporcional a la tasa de cambios de rol de Purview en el inquilino |
Si ve un pico repentino de entradas en los registros de auditoría de PurviewRoleAssignmentMigrator Microsoft Entra, este pico de entradas de registro de auditoría procede de la sincronización masiva inicial y no es un signo de actividad no autorizada.
Importante
No asigne usuarios a estos roles de Microsoft Entra directamente en Microsoft Entra ID. El migración de asignación de roles de Purview administra estas asignaciones exclusivamente desde Purview y sobrescribe las asignaciones manuales en Microsoft Entra en la siguiente sincronización.
Acceso cuando es necesario
De forma predeterminada, el migración de asignación de roles de Purview sincroniza las asignaciones de roles con los roles de Microsoft Entra como asignaciones activas (permanentes). Microsoft Entra Privileged Identity Management (PIM) para grupos permite a los usuarios aptos activar la pertenencia Just-In-Time a los grupos. Al agregar estos Microsoft Entra grupos de seguridad con asignaciones aptas a roles de Purview, el migración de asignación de roles de Purview sincroniza esa misma pertenencia a grupos de seguridad en los roles de Microsoft Entra correspondientes. Este proceso permite a las organizaciones que requieren que las asignaciones de roles sean just-in-time en Microsoft Entra aplicar el mismo modelo para Microsoft Purview y aplicar la activación de roles.
Importante
Ajuste el tamaño de la ventana de activación de pertenencia Just-In-Time en el grupo de seguridad para cubrir toda la duración de las operaciones. Si una activación expira mientras se sigue ejecutando una operación de larga duración, es posible que se produzca un error en la siguiente comprobación de autorización en tiempo de ejecución. Por ejemplo, para identificar cuánto tiempo tardan normalmente las operaciones de exhibición de documentos electrónicos, use El Administrador de procesos en eDiscovery y establezca las duraciones de activación en consecuencia.