التحكم في الوصول في خريطة بيانات Microsoft Purview
يستخدم Microsoft Purview Data Map المجموعات لتنظيم الوصول وإدارته عبر مصادره وأصوله وبياناته الاصطناعية الأخرى. توضح هذه المقالة المجموعات وإدارة الوصول في Microsoft Purview Data Map.
هام
تشير هذه المقالة إلى الأذونات المطلوبة لمدخل إدارة Microsoft Purview وتطبيقات مثل Microsoft Purview Data Map كتالوج البيانات وData Estate Insights وما إلى ذلك. إذا كنت تبحث عن معلومات الأذونات لمركز توافق Microsoft Purview، فاتبع المقالة للحصول على أذونات في مدخل توافق Microsoft Purview.
المجموعات
المجموعة هي أداة يستخدمها Microsoft Purview لتجميع الأصول والمصادر والبيانات الاصطناعية الأخرى في تسلسل هرمي للاكتشاف وإدارة التحكم في الوصول. تتم إدارة جميع الوصولات إلى موارد Microsoft Purview من المجموعات في حساب Microsoft Purview نفسه.
ملاحظة
اعتبارا من 8 نوفمبر 2021، يمكن لمنسقي البيانات الوصول إلى Insights بيانات Microsoft Purview. لا يملك قارئو البيانات حق الوصول إلى Insights ملكية البيانات.
الأدوار
يستخدم Microsoft Purview مجموعة من الأدوار المعرفة مسبقا للتحكم في من يمكنه الوصول إلى ما داخل الحساب. هذه الأدوار هي حاليا:
- مسؤول المجموعة - دور للمستخدمين الذين سيحتاجون إلى تعيين أدوار للمستخدمين الآخرين في Microsoft Purview أو إدارة المجموعات. يمكن لمسؤولي المجموعة إضافة مستخدمين إلى أدوار على المجموعات التي يكونون مسؤولين فيها. يمكنهم أيضا تحرير المجموعات وتفاصيلها وإضافة مقاطع فرعية.
- أمينات البيانات - دور يوفر الوصول إلى كتالوج البيانات لإدارة الأصول وتكوين التصنيفات المخصصة وإعداد مصطلحات المسرد وعرض رؤى ملكية البيانات. يمكن لمنسقي البيانات إنشاء الأصول وقراءتها وتعديلها ونقلها وحذفها. كما يمكنهم تطبيق التعليقات التوضيحية على الأصول.
- قراء البيانات - دور يوفر الوصول للقراءة فقط إلى أصول البيانات والتصنيفات وقواعد التصنيف والمجموعات ومصطلحات المسرد.
- مسؤول مصدر البيانات - دور يسمح للمستخدم بإدارة مصادر البيانات والمسح الضوئي. إذا تم منح مستخدم دور مسؤول مصدر البيانات فقط على مصدر بيانات معين، فيمكنه تشغيل عمليات فحص جديدة باستخدام قاعدة فحص موجودة. لإنشاء قواعد فحص جديدة، يجب منح المستخدم أيضا كأدوار قارئ البيانات أو أمين البيانات .
- كاتب النهج (معاينة) - دور يسمح للمستخدم بعرض نهج Microsoft Purview وتحديثها وحذفها من خلال تطبيق إدارة النهج داخل Microsoft Purview.
- مسؤول سير العمل - دور يسمح للمستخدم بالوصول إلى صفحة تأليف سير العمل في مدخل إدارة Microsoft Purview، ونشر مهام سير العمل على المجموعات التي يمتلك فيها أذونات الوصول. مسؤول سير العمل لديه حق الوصول إلى التأليف فقط، وبالتالي سيحتاج على الأقل إلى إذن قارئ البيانات على مجموعة ليتمكن من الوصول إلى مدخل إدارة Purview.
ملاحظة
في هذا الوقت، دور مؤلف نهج Microsoft Purview غير كاف لإنشاء النهج. دور مسؤول مصدر بيانات Microsoft Purview مطلوب أيضا.
يجب تعيين روبوت Who إلى أي دور؟
| سيناريو المستخدم | الدور المناسب (الأدوار) المناسبة |
|---|---|
| أنا فقط بحاجة إلى العثور على الأصول ، وأنا لا أريد تحرير أي شيء | قارئ البيانات |
| أحتاج إلى تحرير معلومات حول الأصول، وتعيين التصنيفات، وربطها بإدخالات المسرد، وما إلى ذلك. | أمين البيانات |
| أحتاج إلى تحرير مسرد المصطلحات أو إعداد تعريفات تصنيف جديدة | أمين البيانات |
| أحتاج إلى عرض Insights ملكية البيانات لفهم وضع الحوكمة لملكية البيانات الخاصة بي | أمين البيانات |
| يحتاج كيان الخدمة لتطبيقي إلى دفع البيانات إلى Microsoft Purview | أمين البيانات |
| أحتاج إلى إعداد عمليات الفحص عبر مدخل إدارة Microsoft Purview | أمين البيانات على التجميع أو أمين البيانات ومسؤول مصدر البيانات حيث تم تسجيل المصدر. |
| أحتاج إلى تمكين كيان الخدمة أو المجموعة من إعداد عمليات الفحص ومراقبتها في Microsoft Purview دون السماح لهم بالوصول إلى معلومات الكتالوج | مسؤول مصدر البيانات |
| أحتاج إلى وضع المستخدمين في أدوار في Microsoft Purview | مسؤول المجموعة |
| أحتاج إلى إنشاء نهج الوصول ونشرها | مسؤول مصدر البيانات ومؤلف النهج |
| أحتاج إلى إنشاء مهام سير عمل لحساب Microsoft Purview الخاص بي | مسؤول سير العمل |
ملاحظة
*أذونات مسؤول مصدر البيانات على النهج - يمكن لمسؤولي مصدر البيانات أيضا نشر نهج البيانات.
فهم كيفية استخدام أدوار Microsoft Purview ومجموعاته
تتم إدارة جميع عناصر التحكم في الوصول في مجموعات Microsoft Purview. يمكن العثور على مجموعات Microsoft Purview في مدخل إدارة Microsoft Purview. افتح حساب Microsoft Purview في مدخل Microsoft Azure وحدد لوحة مدخل إدارة Microsoft Purview في صفحة نظرة عامة. من هناك، انتقل إلى خريطة البيانات في القائمة اليسرى، ثم حدد علامة التبويب "المجموعات".
عند إنشاء حساب Microsoft Purview، يبدأ بمجموعة جذر لها نفس اسم حساب Microsoft Purview نفسه. تتم إضافة منشئ حساب Microsoft Purview تلقائيا كمسؤول مجموعة، ومسؤول مصدر البيانات، و أمين البيانات، وقارئ البيانات في مجموعة الجذر هذه، ويمكنه تحرير هذه المجموعة وإدارتها.
يمكن إضافة المصادر والأصول والعناصر مباشرة إلى مجموعة الجذر هذه، ولكن يمكن أيضا إضافة مجموعات أخرى. ستمنحك إضافة المجموعات مزيدا من التحكم في من لديه حق الوصول إلى البيانات عبر حساب Microsoft Purview الخاص بك.
يمكن لجميع المستخدمين الآخرين الوصول إلى المعلومات داخل حساب Microsoft Purview فقط إذا تم منحهم، أو مجموعة موجودون فيها، أحد الأدوار المذكورة أعلاه. وهذا يعني أنه عند إنشاء حساب Microsoft Purview، لا يمكن لأي شخص سوى المنشئ الوصول إلى واجهات برمجة التطبيقات الخاصة به أو استخدامها حتى تتم إضافتها إلى دور واحد أو أكثر من الأدوار المذكورة أعلاه في مجموعة.
يمكن إضافة المستخدمين فقط إلى مجموعة بواسطة مسؤول مجموعة، أو من خلال توريث الأذونات. يتم توريث أذونات المجموعة الأصل تلقائيا بواسطة المقاطع الفرعية الخاصة بها. ومع ذلك، يمكنك اختيار تقييد توريث الأذونات على أي مجموعة. إذا قمت بذلك، فلن ترث أقسامها الفرعية الأذونات من الأصل وستحتاج إلى إضافتها مباشرة، على الرغم من أنه لا يمكن إزالة مسؤولي المجموعة الموروثين تلقائيا من مجموعة أصل.
يمكنك تعيين أدوار Microsoft Purview للمستخدمين ومجموعات الأمان وكيانات الخدمة من Azure Active Directory المقترن باشتراك حساب purview الخاص بك.
تعيين أذونات للمستخدمين
بعد إنشاء حساب Microsoft Purview، أول شيء يجب القيام به هو إنشاء مجموعات وتعيين مستخدمين لأدوار داخل تلك المجموعات.
ملاحظة
إذا قمت بإنشاء حساب Microsoft Purview الخاص بك باستخدام كيان خدمة، لتتمكن من الوصول إلى مدخل إدارة Microsoft Purview وتعيين أذونات للمستخدمين، فستحتاج إلى منح أذونات مسؤول مجموعة المستخدمين على مجموعة الجذر. يمكنك استخدام أمر Azure CLI هذا:
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
معرف الكائن اختياري. لمزيد من المعلومات ومثال، راجع صفحة مرجع أمر CLI.
إنشاء مجموعات
يمكن تخصيص المجموعات لبنية المصادر في حساب Microsoft Purview الخاص بك، ويمكن أن تعمل مثل سلال التخزين المنظمة لهذه الموارد. عندما تفكر في المجموعات التي قد تحتاج إليها، فكر في كيفية وصول المستخدمين إلى المعلومات أو اكتشافها. هل تم تقسيم مصادرك حسب الأقسام؟ هل هناك مجموعات متخصصة داخل تلك الأقسام ستحتاج فقط إلى اكتشاف بعض الأصول؟ هل هناك بعض المصادر التي يجب أن تكون قابلة للاكتشاف من قبل جميع المستخدمين؟
سيؤدي ذلك إلى إعلام المجموعات والأقسام الفرعية التي قد تحتاجها لتنظيم خريطة البيانات بشكل أكثر فعالية.
يمكن إضافة مجموعات جديدة مباشرة إلى خريطة البيانات حيث يمكنك اختيار مجموعتها الأصلية من قائمة منسدلة، أو يمكن إضافتها من الأصل كمجموعة فرعية. في طريقة عرض خريطة البيانات، يمكنك رؤية جميع مصادرك وأصولك مرتبة بواسطة المجموعات، وفي القائمة، يتم سرد مجموعة المصدر.
لمزيد من الإرشادات والمعلومات، يمكنك اتباع دليلنا لإنشاء المجموعات وإدارتها.
مثال على المجموعات
الآن بعد أن أصبح لدينا فهم أساسي للمجموعات والأذونات وكيفية عملها، دعونا ننظر إلى مثال.
هذه إحدى الطرق التي قد تقوم بها المؤسسة بتنظيم بياناتها: بدءا من مجموعة الجذر الخاصة بها (Contoso، في هذا المثال) يتم تنظيم مجموعات في مناطق، ثم في أقسام وأقسام فرعية. يمكن إضافة مصادر البيانات والأصول إلى أي مجموعة من هذه المجموعات لتنظيم موارد البيانات بواسطة هذه المناطق والقسم، وإدارة التحكم في الوصول على هذا المنوال. هناك قسم فرعي واحد، الإيرادات، يحتوي على إرشادات وصول صارمة، لذلك ستحتاج الأذونات إلى إدارة محكم.
يمكن لدور قارئ البيانات الوصول إلى المعلومات داخل الكتالوج، ولكن لا يمكنه إدارتها أو تحريرها. لذلك على سبيل المثال أعلاه، فإن إضافة إذن قارئ البيانات إلى مجموعة على مجموعة الجذر والسماح بالتوارث سيمنح جميع المستخدمين في تلك المجموعة أذونات قارئ المجموعة على مصادر Microsoft Purview والأصول. وهذا يجعل هذه الموارد قابلة للاكتشاف، ولكن ليس قابلة للتحرير، من قبل الجميع في تلك المجموعة. سيؤدي تقييد التوريث في مجموعة الإيرادات إلى التحكم في الوصول إلى تلك الأصول. يمكن إضافة المستخدمين الذين يحتاجون إلى الوصول إلى معلومات الإيرادات بشكل منفصل إلى مجموعة الإيرادات. وبالمثل، مع أدوار "أمين البيانات" و"مسؤول مصدر البيانات"، ستبدأ أذونات هذه المجموعات في المجموعة حيث يتم تعيينها وتتفرع إلى المقاطع الفرعية التي لم تقيد التوريث. أدناه قمنا بتعيين أذونات للعديد من المجموعات على مستويات المجموعات في المجموعة الفرعية الأمريكتين.
إضافة مستخدمين إلى الأدوار
تتم إدارة تعيين الدور من خلال المجموعات. يمكن فقط للمستخدم الذي له دور مسؤول المجموعة منح أذونات للمستخدمين الآخرين في تلك المجموعة. عندما تحتاج إلى إضافة أذونات جديدة، سيقوم مسؤول المجموعة بالوصول إلى مدخل إدارة Microsoft Purview، والانتقال إلى خريطة البيانات، ثم علامة التبويب المجموعات، وتحديد المجموعة التي يحتاج المستخدم إلى إضافتها. من علامة التبويب تعيينات الأدوار، سيتمكنون من إضافة المستخدمين الذين يحتاجون إلى أذونات وإدارتهم.
للحصول على الإرشادات الكاملة، راجع دليل الكيفية لإضافة تعيينات الأدوار.
تغيير المسؤول
قد يكون هناك وقت يحتاج فيه مسؤول مجموعة الجذر إلى التغيير. بشكل افتراضي، يتم تعيين المستخدم الذي يقوم بإنشاء حساب Microsoft Purview تلقائيا إلى مجموعة الجذر. لتحديث مسؤول مجموعة الجذر، هناك ثلاثة خيارات:
يمكنك تعيين أذونات من خلال المدخل كما هو الحال مع أي دور آخر.
يمكنك استخدام واجهة برمجة تطبيقات REST لإضافة مسؤول مجموعة. يمكن العثور على إرشادات لاستخدام واجهة برمجة تطبيقات REST لإضافة مسؤول مجموعة في واجهة برمجة تطبيقات REST الخاصة بنا لوثائق المجموعات. للحصول على معلومات إضافية، يمكنك مشاهدة مرجع واجهة برمجة تطبيقات REST.
يمكنك أيضا استخدام الأمر Azure CLI أدناه. معرف الكائن اختياري. لمزيد من المعلومات ومثال، راجع صفحة مرجع أمر CLI.
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
الخطوات التالية
الآن بعد أن أصبح لديك فهم أساسي للمجموعات والتحكم في الوصول، اتبع الإرشادات أدناه لإنشاء هذه المجموعات وإدارتها، أو ابدأ في تسجيل المصادر في مورد Microsoft Purview الخاص بك.