Zugriffssteuerung in Microsoft Purview

Microsoft Purview verwendet Sammlungen, um den Zugriff auf seine Quellen, Ressourcen und anderen Artefakte zu organisieren und zu verwalten. In diesem Artikel werden Sammlungen und die Zugriffsverwaltung in Ihrem Microsoft Purview-Konto beschrieben.

Sammlungen

Eine Sammlung ist ein Tool, das in Microsoft Purview zum Gruppieren von Ressourcen, Quellen und anderen Artefakte in einer Hierarchie eingesetzt wird. Dies dient der verbesserten Auffindbarkeit und der Verwaltung der Zugriffssteuerung. Der gesamte Zugriff auf die Ressourcen von Microsoft Purview wird über Sammlungen im Microsoft Purview-Konto selbst verwaltet.

Hinweis

Ab dem 8. November 2021 ist Microsoft Purview Data Estate Insights für Datenkuratoren zugänglich. Datenleser haben keinen Zugriff auf Insights.

Rollen

Microsoft Purview verwendet eine Reihe vordefinierter Rollen, um zu steuern, wer innerhalb des Kontos worauf zugreifen kann. Diese Rollen sind derzeit:

  • Collection administrator (Sammlungsadministrator): Dies ist eine Rolle für Benutzer, die anderen Benutzer in Microsoft Purview Rollen zuweisen oder Sammlungen verwalten müssen. Sammlungsadministrator*innen können Benutzer*innen zu Rollen für Sammlungen hinzufügen, deren Administrator*innen sie sind. Darüber hinaus können sie Sammlungen und deren Details bearbeiten und untergeordnete Sammlungen hinzufügen.
  • Datenkuratoren: Eine Rolle, die Zugriff auf den Datenkatalog bietet, um Assets zu verwalten, benutzerdefinierte Klassifizierungen zu konfigurieren, Glossarbegriffe einzurichten und Datenbestandserkenntnisse zu erhalten. Datenkuratoren können Assets erstellen, lesen, ändern, verschieben und löschen. Sie können auch Anmerkungen auf Assets anwenden.
  • Datenleser - eine Rolle, die nur Lesezugriff auf Datenbestände, Klassifizierungen, Klassifizierungsregeln, Sammlungen und Glossarbegriffe bietet.
  • Datenquellenadministrator: Eine Rolle, die es einem Benutzer ermöglicht, Datenquellen und Überprüfungen zu verwalten. Wenn ein Benutzer nur die Rolle des Datenquellenadministrators für eine bestimmte Datenquelle hat, kann er neue Überprüfungen mithilfe einer vorhandenen Überprüfungsregel ausführen. Um neue Überprüfungsregeln erstellen zu können, muss der Benutzer auch über die Rolle des Datenlesers oder des Datenkurators verfügen.
  • Richtlinienautor (Vorschau): eine Rolle, mit der ein Benutzer Microsoft Purview-Richtlinien über die Richtlinienverwaltungs-App in Microsoft Purview anzeigen, aktualisieren und löschen kann
  • Workflowadministrator: Eine Rolle, mit der ein Benutzer auf die Seite zur Workflowerstellung im Microsoft Purview-Governanceportal zugreifen und Workflows für Sammlungen veröffentlichen kann, in denen er über Zugriffsberechtigungen verfügt. Workflowadministratoren haben nur Zugriff auf die Erstellung und benötigen daher mindestens die Berechtigung „Datenleser“ für eine Sammlung, um auf das Purview-Governanceportal zugreifen zu können.

Hinweis

Zu diesem Zeitpunkt reicht die Microsoft Purview-Rolle des Richtlinienautor nicht aus, um Richtlinien zu erstellen. Zusätzlich ist die Microsoft Purview-Rolle des Datenquellenadministrators erforderlich.

Wem sollte welche Rolle zugewiesen werden?

Benutzerszenario Geeignete Rollen
Ich muss Ressourcen nur finden können und möchte keine Bearbeitungen durchführen Datenleser
Ich muss Informationen zu Ressourcen bearbeiten, entsprechende Klassifizierungen zuweisen, Glossareinträge dafür zuordnen usw. Datenkurator
Ich muss das Glossar bearbeiten oder neue Klassifizierungsdefinitionen einrichten Datenkurator
Ich muss Insights anzeigen, um den Governancestatus meines Datenbestands zu verstehen. Datenkurator
Der Dienstprinzipal meiner Anwendung muss Daten per Pushvorgang an Microsoft Purview übertragen Datenkurator
Ich muss Überprüfungen über das Microsoft Purview-Governanceportal einrichten. Datenkurator oder Datenkurator und Datenquellenadministrator für die Sammlung, in der die Quelle registriert ist
Ich muss einen Dienstprinzipal oder eine Gruppe aktivieren, um Überprüfungen in Microsoft Purview einzurichten und zu überwachen, ohne dass diese Zugriff auf die Informationen des Katalogs haben. Datenquellenadministrator
Ich muss Benutzern in Microsoft Purview Rollen zuweisen Collection administrator (Sammlungsadministrator)
Ich muss Zugriffsrichtlinien erstellen und veröffentlichen. Datenquellenadministrator und Richtlinienautor
Ich muss Workflows für mein Microsoft Purview-Konto erstellen. Workflowadministrator

Chart showing Microsoft Purview roles

Hinweis

*Berechtigungen als Datenquellenadministrator für Richtlinien: Datenquellenadministratoren können auch Datenrichtlinien veröffentlichen.

Grundlegendes zur Verwendung der Rollen und Sammlungen von Microsoft Purview

Die gesamte Zugriffssteuerung wird in den Microsoft Purview-Sammlungen verwaltet. Die Microsoft Purview-Sammlungen befinden sich im Microsoft Purview-Governanceportal. Öffnen Sie Ihr Microsoft Purview-Konto im Azure-Portal und wählen Sie auf der Seite „Übersicht“ die Kachel für das Microsoft Purview-Governanceportal aus. Navigieren Sie von dort aus zur Data Map im linken Menü und wählen Sie dann die Registerkarte „Sammlungen“ aus.

Wenn ein Microsoft Purview-Konto erstellt wird, beginnt es mit einer Stammsammlung, die den gleichen Namen wie das Purview-Konto trägt. Der Ersteller des Microsoft Purview-Kontos wird dieser Stammsammlung automatisch als Sammlungsadministrator, Datenquellenadministrator, Datenverwalter und Datenleser hinzugefügt und kann diese Sammlung bearbeiten und verwalten.

Quellen, Ressourcen und Objekte, aber auch andere Sammlungen, können dieser Stammsammlung direkt hinzugefügt werden. Durch das Hinzufügen von Sammlungen erhalten Sie mehr Kontrolle darüber, wer Zugriff auf die Daten in Ihrem Microsoft Purview-Konto hat.

Alle anderen Benutzer können nur auf Informationen innerhalb des Microsoft Purview-Kontos zugreifen, wenn sie oder eine Gruppe, in der sie sich befinden, einer der oben genannten Rollen zugewiesen ist. Das bedeutet, dass nach dem Erstellen eines Microsoft Purview-Kontos niemand außer dem Ersteller auf die APIs zugreifen oder diese nutzen kann, bis er eine oder mehrere der oben genannten Rollen in einer Sammlung hinzugefügt hat.

Benutzer können einer Sammlung nur durch den Sammlungsadministrator hinzugefügt werden, oder indem ihnen eine entsprechende Berechtigung vererbt wird. Die Berechtigungen einer übergeordneten Sammlung werden automatisch von ihren untergeordneten Sammlungen geerbt. Sie können die Berechtigungsvererbung jedoch bei jeder Sammlung beliebig einschränken. Wenn Sie dies tun, werden Berechtigungen nicht mehr an untergeordnete Sammlungen vererbt, sondern müssen direkt hinzugefügt werden. Sammlungsadministratoren, die automatisch von einer übergeordneten Sammlung geerbt wurden, können allerdings nicht entfernt werden.

Sie können Microsoft Purview-Rollen Benutzern, Sicherheitsgruppen und Dienstprinzipalen aus Ihrem Azure Active Directory zuweisen, das mit dem Abonnement Ihres Purview-Kontos verbunden ist.

Zuweisen von Berechtigungen für Ihre Benutzer

Nachdem Sie ein Microsoft Purview-Konto erstellt haben, müssen Sie als Nächstes Sammlungen erstellen und den Benutzern Rollen innerhalb dieser Sammlungen zuweisen.

Hinweis

Wenn Sie Ihr Microsoft Purview-Konto mit einem Dienstprinzipal erstellt haben, müssen Sie einer Benutzersammlung Admin-Rechte für die Stammsammlung erteilen, um auf das Microsoft Purview-Governanceportal zugreifen und Benutzern Berechtigungen zuweisen zu können. Sie können dafür diesen Azure CLI-Befehl verwenden:

az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]

Die Objekt-ID ist optional. Weitere Informationen und ein Beispiel finden Sie auf der Referenzseite zum CLI-Befehl.

Erstellen von Sammlungen

Sammlungen können entsprechend der Quellenstruktur in Ihrem Microsoft Purview-Konto angepasst werden und fungieren wie organisierte Speicherbehälter für diese Ressourcen. Wenn Sie die benötigten Sammlungen planen, sollten Sie zuerst überlegen, wie Ihre Benutzer auf Informationen zugreifen oder diese durchsuchen. Sind Ihre Quellen nach Abteilungen aufgeteilt? Gibt es spezielle Gruppen innerhalb dieser Abteilungen, die nur auf einige Ressourcen zugreifen müssen? Gibt es bestimmte Quellen, die für alle Benutzer sichtbar sein müssen?

Dadurch können Sie Entscheidungen über die Sammlungen und Untersammlungen treffen, die Sie benötigen, um Ihre Data Map effektiv zu organisieren.

Sie können neue Sammlungen entweder zur Data Map hinzufügen, wo Sie die zugehörige übergeordnete Sammlung aus einem Dropdown-Menü auswählen müssen, oder Sie fügen sie direkt als untergeordnete Sammlung in einer übergeordneten Sammlung hinzu. In der Data Map-Ansicht können Sie alle Ihre Quellen und Ressourcen nach Sammlungen sortiert anzeigen lassen und in der Liste wird die jeweilige Sammlung der Quelle aufgeführt.

Weitere Anweisungen und Informationen finden Sie in unserem Leitfaden zum Erstellen und Verwalten von Sammlungen.

Beispiel für eine Sammlung

Nachdem wir nun über grundlegende Kenntnisse zu Sammlungen, Berechtigungen und deren Funktionsweisen verfügen, sehen wir uns ein Beispiel an.

Chart showing a sample collections hierarchy broken up by region and department.

Dies ist eine Möglichkeit, wie eine Organisation ihre Daten strukturieren kann: Beginnend mit ihrer Stammsammlung (in diesem Beispiel Contoso) werden die Sammlungen in Regionen und dann in Abteilungen und Unterabteilungen organisiert. Datenquellen und Ressourcen können zu jeder dieser Sammlungen hinzugefügt werden, um die Datenressourcen nach Regionen und Abteilungen aufzuteilen und die Zugriffssteuerung entsprechend zu verwalten. Es gibt eine Unterabteilung, „Umsatz“, mit strengen Zugriffsrichtlinien, d. h. dass Berechtigungen besonders streng verwaltet werden müssen.

Die Rolle Datenleser kann zwar auf Informationen innerhalb des Katalogs zugreifen, aber diese weder verwalten noch bearbeiten. In unserem obigen Beispiel erhalten alle Benutzer in einer Gruppe Leseberechtigungen für Microsoft Purview-Quellen und -Ressourcen, wenn Sie der Gruppe in der Stammsammlung die Berechtigung „Datenleser“ hinzufügen und eine Vererbung zulassen. Dadurch können diese Ressourcen von allen Benutzern dieser Gruppe durchsucht, aber nicht bearbeitet werden. Durch das Einschränken der Vererbung für die Gruppe „Umsatz“ wird der Zugriff auf diese Ressourcen gesteuert. Benutzer, die Zugriff auf Umsatzinformationen benötigen, können der Umsatz-Sammlung separat hinzugefügt werden. Ebenso wie bei den Rollen „Datenkurator“ und „Datenquellenadministrator“ gelten die Berechtigungen für diese Gruppen zunächst für die Sammlung, in der sie erstmals zugewiesen wurden, und werden auf untergeordnete Sammlungen übertragen, für die die Vererbung nicht eingeschränkt wurde. Im untenstehenden Diagramm haben wir auf Sammlungsebene Berechtigungen für mehrere Gruppen in der Untersammlung „Nord-, Mittel- und Südamerika“ zugewiesen.

Chart showing a sample collections hierarchy broken up by region and department showing permissions distribution.

Benutzer zu Rollen hinzufügen

Die Rollenzuweisung wird über die Sammlungen verwaltet. Nur ein Benutzer mit der Rolle Sammlungsadministrator kann anderen Benutzern in dieser Sammlung Berechtigungen zuweisen. Wenn neue Berechtigungen hinzugefügt werden müssen, greift ein Sammlungsadministrator auf das Microsoft Purview-Governanceportal zu und navigiert dort zu Data Map und dann zur Registerkarte „Sammlungen“. Dort wählt er die Sammlung aus, in der ein Benutzer hinzugefügt werden muss. Auf der Registerkarte „Rollenzuweisungen“ kann er Benutzer hinzufügen und verwalten, die Berechtigungen benötigen.

Eine vollständige Anleitung finden Sie in unserer Anleitung zum Hinzufügen von Rollenzuweisungen.

Administratoränderung

Irgendwann kann es notwendig sein, den Stammsammlungsadministrator zu ändern. Standardmäßig wird der Benutzer, der das Microsoft Purview-Konto erstellt, automatisch als Sammlungsadministrator der Stammsammlung zugewiesen. Um den Stammsammlungsadministrator zu aktualisieren, gibt es drei Möglichkeiten:

Nächste Schritte

Da Sie nun über grundlegende Kenntnisse zu Sammlungen und zur Zugriffssteuerung verfügen, können Sie entweder mithilfe der folgenden Anleitungen Sammlungen erstellen und verwalten oder mit der Registrierung von Quellen in Ihrer Microsoft Purview-Ressource beginnen.