مجموعات Microsoft Purview المعماريات وأفضل الممارسات

  • مقالة
  • قراءة خلال 10 دقائق

في صميم Microsoft Purview، تعد خريطة البيانات مكونا أساسيا كخدمة (PaaS) يحتفظ بخريطة محدثة للأصول وبيانات التعريف الخاصة بها عبر مجموعة البيانات الخاصة بك. لترطيب خريطة البيانات ، تحتاج إلى التسجيل ومسح مصادر البيانات الخاصة بك. في المؤسسة، قد يكون هناك الآلاف من مصادر البيانات التي تتم إدارتها وإدارتها من قبل فرق مركزية أو لامركزية.

تدعم المجموعات في Microsoft Purview التعيين التنظيمي لبيانات التعريف. باستخدام المجموعات، يمكنك إدارة مصادر البيانات وعمليات الفحص والأصول والاحتفاظ بها في تسلسل هرمي بدلا من بنية مسطحة. تسمح لك المجموعات بإنشاء نموذج هرمي مخصص لمشهد البيانات استنادا إلى كيفية تخطيط مؤسستك لاستخدام Microsoft Purview لإدارة المشهد الخاص بك.

توفر المجموعة أيضا حدا أمنيا لبياناتك الوصفية في خريطة البيانات. يتم إعداد الوصول إلى المجموعات ومصادر البيانات وبيانات التعريف والاحتفاظ بها استنادا إلى التسلسل الهرمي للمجموعات في Microsoft Purview، باتباع نموذج أقل امتيازا:

  • يتمتع المستخدمون بالحد الأدنى من الوصول الذي يحتاجونه للقيام بعملهم.
  • لا يمكن للمستخدمين الوصول إلى البيانات الحساسة التي لا يحتاجون إليها.

لماذا تحتاج إلى تعريف المجموعات ونموذج تفويض لحساب Microsoft Purview الخاص بك؟

فكر في نشر المجموعات في Microsoft Purview لتلبية المتطلبات التالية:

  • يمكنك تنظيم مصادر البيانات وتوزيع الأصول وتشغيل عمليات الفحص استنادا إلى متطلبات عملك والتوزيع الجغرافي للبيانات وفرق إدارة البيانات أو الأقسام أو وظائف الأعمال.

  • تفويض ملكية مصادر البيانات والأصول إلى الفرق المقابلة عن طريق تعيين الأدوار للمجموعات المقابلة.

  • البحث عن مواد العرض وتصفيتها حسب المجموعات.

تعريف التدرج الهرمي للمجموعة

توصيات التصميم

  • راجع أفضل ممارسات حساب Microsoft Purview وحدد العدد الكافي من حسابات Microsoft Purview المطلوبة في مؤسستك قبل تخطيط بنية المجموعة.

  • نوصي بتصميم بنية المجموعة استنادا إلى متطلبات الأمان وإدارة البيانات وهيكل الإدارة في مؤسستك. راجع النماذج الأصلية للمجموعات الموصى بها في هذه المقالة.

  • لقابلية التوسع في المستقبل، نوصي بإنشاء مجموعة ذات مستوى أعلى لمؤسستك أسفل المجموعة الجذرية. قم بتعيين الأدوار ذات الصلة في مجموعة المستوى الأعلى بدلا من المجموعة الجذرية.

  • ضع في اعتبارك الأمان وإدارة الوصول كجزء من عملية اتخاذ قرارات التصميم عند إنشاء مجموعات في Microsoft Purview.

  • تحتوي كل مجموعة على سمة اسم وسمة اسم مألوفة. إذا كنت تستخدم مدخل إدارة Microsoft Purview لنشر مجموعة، يقوم النظام تلقائيا بتعيين اسم عشوائي مكون من ستة أحرف للمجموعة لتجنب الازدواجية. لتقليل التعقيد، تجنب استخدام الأسماء الصديقة المكررة عبر مجموعاتك، خاصة في نفس المستوى.

  • عندما تستطيع، تجنب تكرار هيكلك التنظيمي في تسلسل هرمي متداخل للغاية للمجموعة. إذا لم تتمكن من تجنب القيام بذلك، فتأكد من استخدام أسماء مختلفة لكل مجموعة في التسلسل الهرمي لتسهيل تمييز المجموعات.

  • قم بأتمتة نشر المجموعات باستخدام واجهة برمجة التطبيقات إذا كنت تخطط لنشر المجموعات وتعيينات الأدوار بشكل مجمع.

  • استخدم اسما أساسيا مخصصا للخدمة (SPN) لتشغيل العمليات على المجموعات وتعيين الدور باستخدام واجهة برمجة التطبيقات. يقلل استخدام SPN من عدد المستخدمين الذين لديهم حقوق غير مُقيدة ويتبع الإرشادات الأقل امتيازًا.

اعتبارات التصميم

  • يتم إنشاء كل حساب Microsoft Purview باستخدام مجموعة جذر افتراضية. اسم المجموعة الجذر هو نفسه اسم حساب Microsoft Purview الخاص بك. لا يمكن إزالة مجموعة الجذر. لتغيير الاسم المألوف لمجموعة الجذر، يمكنك تغيير الاسم المألوف لحساب Microsoft Purview الخاص بك من مركز إدارة Microsoft Purview.

  • يمكن أن تحتوي المجموعات على مصادر البيانات وعمليات الفحص والأصول وتعيينات الأدوار.

  • يمكن أن تحتوي المجموعة على أكبر عدد ممكن من المجموعات الفرعية حسب الحاجة. ولكن يمكن أن تحتوي كل مجموعة على مجموعة أصلية واحدة فقط. لا يمكنك نشر مجموعات أعلى المجموعة الجذرية.

  • يمكن أن تنتمي مصادر البيانات وعمليات الفحص والأصول إلى مجموعة واحدة فقط.

  • يمكن أن يدعم التسلسل الهرمي للمجموعات في Microsoft Purview ما يصل إلى 256 مجموعة، بحد أقصى ثمانية مستويات من العمق. هذا لا يشمل مجموعة الجذر.

  • حسب التصميم، لا يمكنك تسجيل مصادر البيانات عدة مرات في حساب Microsoft Purview واحد. تساعد هذه البنية على تجنب خطر تعيين مستويات مختلفة من التحكم في الوصول إلى مصدر بيانات واحد. إذا استهلكت فرق متعددة بيانات التعريف لمصدر بيانات واحد، فيمكنك تسجيل مصدر البيانات وإدارته في مجموعة أصلية. يمكنك بعد ذلك إنشاء عمليات فحص مناظرة ضمن كل مجموعة فرعية بحيث تظهر الأصول ذات الصلة تحت كل مجموعة فرعية.

  • يتم إرفاق اتصالات النسب والتحف بمجموعة الجذر حتى إذا تم تسجيل مصادر البيانات في مجموعات ذات مستوى أدنى.

  • عند تشغيل فحص جديد، بشكل افتراضي، يتم نشر الفحص في نفس المجموعة مثل مصدر البيانات. يمكنك اختياريا تحديد مجموعة فرعية مختلفة لتشغيل الفحص. ونتيجة لذلك ، ستنتمي الأصول إلى المجموعة الفرعية.

  • حاليا، لا يسمح بنقل مصادر البيانات عبر المجموعات. إذا كنت بحاجة إلى نقل مصدر بيانات ضمن مجموعة مختلفة، فستحتاج إلى حذف جميع مواد العرض، وإزالة مصدر البيانات من المجموعة الأصلية، وإعادة تسجيل مصدر البيانات ضمن المجموعة الوجهة.

  • يسمح بنقل الأصول عبر المجموعات إذا تم منح المستخدم دور أمين البيانات لمجموعات المصدر والوجهة.

  • حاليا، لا يسمح ببعض العمليات، مثل نقل مجموعة وإعادة تسميتها.

  • يمكنك حذف مجموعة إذا لم يكن لديها أي مواد عرض أو عمليات فحص مقترنة أو مصادر بيانات أو مجموعات فرعية.

  • يجب أن تنتمي مصادر البيانات وعمليات الفحص والأصول إلى مجموعة إذا كانت موجودة في خريطة بيانات Microsoft Purview.

تعريف نموذج تفويض

تتم إدارة أدوار مستوى بيانات Microsoft Purview في Microsoft Purview. بعد نشر حساب Microsoft Purview، يتم تعيين الأدوار التالية تلقائيا لمنشئ حساب Microsoft Purview في المجموعة الجذر. يمكنك استخدام مدخل إدارة Microsoft Purview أو طريقة برمجية لتعيين الأدوار وإدارتها مباشرة في Microsoft Purview .

  • يمكن لمسؤولي المجموعة تحرير مجموعات Microsoft Purview وتفاصيلها وإضافة مجموعات فرعية. يمكنهم أيضا إضافة مستخدمين إلى أدوار Microsoft Purview الأخرى في المجموعات التي يكونون مسؤولين فيها.
  • يمكن لمسؤولي مصادر البيانات إدارة مصادر البيانات وعمليات فحص البيانات.
  • يمكن لمنسقي البيانات إنشاء أصول بيانات الكتالوج وقراءتها وتعديلها وحذفها وإنشاء علاقات بين الأصول.
  • يمكن لقارئات البيانات الوصول إلى أصول بيانات الكتالوج ولكن ليس تعديلها.

توصيات التصميم

  • فكر في تنفيذ الوصول في حالات الطوارئ أو استراتيجية كسر الزجاج لدور مسؤول المجموعة على مستوى مجموعة جذر Microsoft Purview لتجنب عمليات التأمين على مستوى حساب Microsoft Purview. توثيق عملية استخدام حسابات الطوارئ.

    ملاحظة

    في بعض وحدات السيناريو، قد تحتاج إلى استخدام حساب طوارئ لتسجيل الدخول إلى Microsoft Purview. قد تحتاج إلى هذا النوع من الحسابات لإصلاح مشكلات الوصول على مستوى المؤسسة عندما لا يتمكن أي شخص آخر من تسجيل الدخول إلى Microsoft Purview أو عندما يتعذر على المسؤولين الآخرين إنجاز عمليات معينة بسبب مشكلات مصادقة الشركة. نوصي بشدة باتباع أفضل ممارسات Microsoft حول تنفيذ حسابات الوصول في حالات الطوارئ باستخدام مستخدمي السحابة فقط.

    اتبع الإرشادات الواردة في هذه المقالة لاستعادة الوصول إلى مجموعة جذر Microsoft Purview في حالة عدم توفر مسؤول المجموعة السابق.

  • تقليل عدد مسؤولي المجموعة الجذرية. قم بتعيين ثلاثة مستخدمين كحد أقصى لمسؤول المجموعة في المجموعة الجذرية، بما في ذلك SPN وحسابات كسر الزجاج. قم بتعيين أدوار مسؤول المجموعة إلى مجموعة المستوى الأعلى أو إلى المجموعات الفرعية بدلا من ذلك.

  • قم بتعيين الأدوار للمجموعات بدلا من المستخدمين الفرديين لتقليل النفقات الإدارية العامة والأخطاء في إدارة الأدوار الفردية.

  • قم بتعيين أصل الخدمة في مجموعة الجذر لأغراض التشغيل التلقائي.

  • لزيادة الأمان، قم بتمكين الوصول المشروط ل Azure AD من خلال المصادقة متعددة العوامل لمسؤولي المجموعة ومسؤولي مصادر البيانات وأمناء البيانات على الأقل. تأكد من استبعاد حسابات الطوارئ من سياسة الوصول المشروط.

اعتبارات التصميم

  • انتقلت إدارة الوصول إلى Microsoft Purview إلى مستوى البيانات. لم تعد أدوار Azure Resource Manager مستخدمة، لذا يجب عليك استخدام Microsoft Purview لتعيين الأدوار.

  • في Microsoft Purview، يمكنك تعيين أدوار للمستخدمين ومجموعات الأمان ومديري الخدمات (بما في ذلك الهويات المدارة) من Azure Active Directory (Azure AD) على مستأجر Azure AD نفسه حيث يتم نشر حساب Microsoft Purview.

  • يجب عليك أولا إضافة حسابات ضيوف إلى مستأجر Azure AD كمستخدمين B2B قبل أن تتمكن من تعيين أدوار Microsoft Purview للمستخدمين الخارجيين.

  • بشكل افتراضي، لا يتمتع مسؤولو المجموعة بحق الوصول إلى قراءة مواد العرض أو تعديلها. ولكن يمكنهم رفع مستوى وصولهم وإضافة أنفسهم إلى المزيد من الأدوار.

  • بشكل افتراضي، يتم توريث جميع تعيينات الأدوار تلقائيا بواسطة جميع المجموعات الفرعية. ولكن يمكنك تمكين تقييد الأذونات الموروثة على أي مجموعة باستثناء المجموعة الجذر. يؤدي تقييد الأذونات الموروثة إلى إزالة الأدوار الموروثة من جميع المجموعات الأصلية، باستثناء دور مسؤول المجموعة.

  • للاتصال ب Azure Data Factory: للاتصال ب Azure Data Factory، يجب أن تكون مسؤول تجميع لمجموعة الجذر.

  • إذا كنت بحاجة إلى الاتصال ب Azure Data Factory للنسب، فامنح دور أمين البيانات للهوية المدارة لمصنع البيانات على مستوى مجموعة جذور Microsoft Purview. عند توصيل "مصنع البيانات" ب Microsoft Purview في واجهة مستخدم التأليف، يحاول "مصنع البيانات" إضافة تعيينات الأدوار هذه تلقائيا. إذا كان لديك دور مسؤول المجموعة على مجموعة جذر Microsoft Purview، فستعمل هذه العملية.

نماذج المجموعات

يمكنك نشر مجموعة Microsoft Purview استنادا إلى نماذج إدارة البيانات والحوكمة المركزية أو اللامركزية أو المختلطة. قم ببناء هذا القرار على متطلبات عملك وأمانك.

مثال 1: تنظيم منطقة واحدة

هذا الهيكل مناسب للمنظمات التي:

  • تستند أساسا في موقع جغرافي واحد.
  • لديك فريق مركزي لإدارة البيانات والحوكمة حيث يقع المستوى التالي من إدارة البيانات في الإدارات أو الفرق أو المشاريع.

يتكون التسلسل الهرمي للمجموعة من هذه الأقسام:

  • جمع الجذر (افتراضي)
  • Contoso (مجموعة المستوى الأعلى)
  • الإدارات (مجموعة مفوضة لكل قسم)
  • Teams أو المشاريع (مزيد من الفصل على أساس المشاريع)

يتم تسجيل كل مصدر بيانات ومسحه ضوئيا في المجموعة المقابلة له. لذلك تظهر الأصول أيضا في نفس المجموعة.

يتم تسجيل مصادر البيانات المشتركة على مستوى المؤسسة ومسحها ضوئيا في مجموعة Hub-Shared.

يتم تسجيل مصادر البيانات المشتركة على مستوى القسم ومسحها ضوئيا في مجموعات القسم.

Screenshot that shows the first Microsoft Purview collections example.

المثال 2: التنظيم المتعدد المناطق

هذا السيناريو مفيد للمؤسسات:

  • التي لها وجود في مناطق متعددة.
  • حيث يكون فريق إدارة البيانات مركزيا أو لامركزيا في كل منطقة.
  • حيث يتم توزيع فرق إدارة البيانات في كل موقع جغرافي.

يتكون التسلسل الهرمي للمجموعة من هذه الأقسام:

  • جمع الجذر (افتراضي)
  • FourCoffee (مجموعة من المستوى الأعلى)
  • المواقع الجغرافية (مجموعات متوسطة المستوى تستند إلى المواقع الجغرافية التي توجد فيها مصادر البيانات ومالكو البيانات)
  • الإدارات (مجموعة مفوضة لكل قسم)
  • Teams أو المشاريع (مزيد من الفصل بناء على الفرق أو المشاريع)

في هذا السيناريو، كل منطقة لديها مجموعة فرعية خاصة بها ضمن مجموعة المستوى الأعلى في حساب Microsoft Purview. يتم تسجيل مصادر البيانات ومسحها ضوئيا في المجموعات الفرعية المقابلة في مواقعها الجغرافية الخاصة. لذلك تظهر الأصول أيضا في التسلسل الهرمي للمجموعة الفرعية للمنطقة.

إذا كان لديك فرق مركزية لإدارة البيانات والحوكمة، فيمكنك منحهم حق الوصول من مجموعة المستوى الأعلى. عندما تفعل ذلك ، فإنهم يحصلون على الإشراف على مجموعة البيانات بأكملها في خريطة البيانات. اختياريا، يمكن للفريق المركزي التسجيل ومسح أي مصادر بيانات مشتركة.

يمكن لفرق إدارة البيانات والحوكمة في المنطقة الحصول على إمكانية الوصول من مجموعاتها المقابلة على مستوى أقل.

يتم تسجيل مصادر البيانات المشتركة على مستوى القسم ومسحها ضوئيا في مجموعات القسم.

Screenshot that shows the second Microsoft Purview collections example.

مثال 3: تحويل البيانات متعدد المناطق

يمكن أن يكون هذا السيناريو مفيدا إذا كنت تريد توزيع إدارة الوصول إلى بيانات التعريف استنادا إلى المواقع الجغرافية وحالات تحويل البيانات. يمكن لعلماء البيانات ومهندسي البيانات الذين يمكنهم تحويل البيانات لجعلها أكثر جدوى إدارة مناطق Raw و Refine. يمكنهم بعد ذلك نقل البيانات إلى مناطق الإنتاج أو المنسقة.

يتكون التسلسل الهرمي للمجموعة من هذه الأقسام:

  • جمع الجذر (افتراضي)
  • Fabrikam (مجموعة المستوى الأعلى)
  • المواقع الجغرافية (مجموعات متوسطة المستوى تستند إلى المواقع الجغرافية التي توجد فيها مصادر البيانات ومالكو البيانات)
  • مراحل تحويل البيانات (الخام، التحسين، الإنتاج/الإشراف)

يمكن لعلماء البيانات ومهندسي البيانات أن يكون لهم دور منسقي البيانات في مناطقهم المقابلة حتى يتمكنوا من تنظيم البيانات الوصفية. يمكن منح قارئ البيانات حق الوصول إلى المنطقة المنسقة لشخصيات البيانات بأكملها ومستخدمي الأعمال.

Screenshot that shows the third Microsoft Purview collections example.

مثال 4: وظائف الأعمال متعددة المناطق

يمكن استخدام هذا الخيار من قبل المؤسسات التي تحتاج إلى تنظيم بيانات التعريف وإدارة الوصول استنادا إلى وظائف الأعمال.

يتكون التسلسل الهرمي للمجموعة من هذه الأقسام:

  • جمع الجذر (افتراضي)
  • AdventureWorks (مجموعة المستوى الأعلى)
  • المواقع الجغرافية (مجموعات متوسطة المستوى تستند إلى المواقع الجغرافية التي توجد فيها مصادر البيانات ومالكو البيانات)
  • وظائف الأعمال الرئيسية أو العملاء (مزيد من الفصل على أساس الوظائف أو العملاء)

تحتوي كل منطقة على مجموعة فرعية خاصة بها ضمن مجموعة المستوى الأعلى في حساب Microsoft Purview. يتم تسجيل مصادر البيانات ومسحها ضوئيا في المجموعات الفرعية المقابلة في مواقعها الجغرافية الخاصة. لذلك تتم إضافة الأصول إلى التسلسل الهرمي للمجموعة الفرعية للمنطقة.

إذا كان لديك فرق مركزية لإدارة البيانات والحوكمة، فيمكنك منحهم حق الوصول من مجموعة المستوى الأعلى. عندما تفعل ذلك ، فإنهم يحصلون على الإشراف على مجموعة البيانات بأكملها في خريطة البيانات. اختياريا، يمكن للفريق المركزي التسجيل ومسح أي مصادر بيانات مشتركة.

يمكن لفرق إدارة البيانات والحوكمة في المنطقة الحصول على إمكانية الوصول من مجموعاتها المقابلة على مستوى أقل. كل وحدة أعمال لديها مجموعة فرعية خاصة بها.

Screenshot that shows the fourth Microsoft Purview collections example.

خيارات إدارة الوصول

إذا كنت ترغب في تنفيذ إضفاء الطابع الديمقراطي على البيانات عبر مؤسسة بأكملها، فقم بتعيين دور قارئ البيانات في مجموعة المستوى الأعلى لإدارة البيانات والحوكمة ومستخدمي الأعمال. قم بتعيين أدوار مسؤول مصدر البيانات وأمين البيانات على مستويات المجموعة الفرعية إلى فرق إدارة البيانات والحوكمة المقابلة.

إذا كنت بحاجة إلى تقييد الوصول إلى البحث عن بيانات التعريف واكتشافها في مؤسستك، فقم بتعيين أدوار قارئ البيانات وأمين البيانات على مستوى المجموعة المحدد. على سبيل المثال، يمكنك تقييد الموظفين الأمريكيين حتى يتمكنوا من قراءة البيانات فقط على مستوى جمع الولايات المتحدة وليس في مجموعة LATAM.

يمكنك تطبيق مجموعة من هذين السيناريوهين في خريطة بيانات Microsoft Purview إذا كانت عملية إضفاء الطابع الديمقراطي على البيانات الإجمالية مطلوبة مع بعض الاستثناءات القليلة لبعض المجموعات. يمكنك تعيين أدوار Microsoft Purview في مجموعة المستوى الأعلى وتقييد التوريث على مجموعات فرعية محددة.

قم بتعيين دور مسؤول المجموعة إلى فريق أمان البيانات المركزي وإدارته في مجموعة المستوى الأعلى. تفويض المزيد من إدارة المجموعات ذات المستوى الأدنى إلى الفرق المقابلة.

الخطوات التالية