Kontrol akses di portal tata kelola Microsoft Purview
Portal tata kelola Microsoft Purview menggunakan Koleksi dalam Peta Data Microsoft Purview untuk mengatur dan mengelola akses di seluruh sumber, aset, dan artefak lainnya. Artikel ini menjelaskan koleksi dan manajemen akses untuk akun Anda di portal tata kelola Microsoft Purview.
Penting
Artikel ini mengacu pada izin yang diperlukan untuk portal tata kelola Microsoft Purview, dan aplikasi seperti Peta Data Microsoft Purview, Data Catalog, Data Estate Insights, dll. Jika Anda mencari informasi izin untuk pusat kepatuhan Microsoft Purview, ikuti artikel untuk izin di portal kepatuhan Microsoft Purview.
Koleksi
Koleksi adalah alat yang digunakan Peta Data Microsoft Purview untuk mengelompokkan aset, sumber, dan artefak lainnya ke dalam hierarki untuk kemudahan ditemukan dan mengelola kontrol akses. Semua akses ke sumber daya portal tata kelola Microsoft Purview dikelola dari koleksi di Peta Data Microsoft Purview.
Peran
Portal tata kelola Microsoft Purview menggunakan serangkaian peran yang telah ditentukan sebelumnya untuk mengontrol siapa yang dapat mengakses apa yang ada di dalam akun. Peran tersebut adalah:
- Administrator koleksi - peran untuk pengguna yang perlu menetapkan peran kepada pengguna lain di portal tata kelola Microsoft Purview atau mengelola koleksi. Admin koleksi dapat menambahkan pengguna ke peran di koleksi tempat mereka menjadi admin. Admin koleksi juga dapat mengedit koleksi, detail, dan menambahkan subkoleksi. Administrator koleksi pada koleksi akar juga secara otomatis memiliki izin ke portal tata kelola Microsoft Purview. Jika administrator koleksi akar Anda perlu diubah, Anda dapat mengikuti langkah-langkah di bagian di bawah ini.
- Kurator data - peran yang menyediakan akses ke katalog data untuk mengelola aset, mengonfigurasi klasifikasi kustom, menyiapkan istilah glosarium, dan menampilkan wawasan data estate. Kurator data dapat membuat, membaca, memodifikasi, memindahkan, dan menghapus aset. Mereka juga dapat menerapkan anotasi ke aset.
- Pembaca data - peran yang menyediakan akses baca-saja ke aset data, klasifikasi, aturan klasifikasi, koleksi, dan istilah glosarium.
- Kontributor berbagi data - Peran yang dapat berbagi data dalam organisasi dan dengan organisasi lain menggunakan kemampuan berbagi data di Microsoft Purview. Kontributor berbagi data dapat melihat, membuat, memperbarui, dan menghapus berbagi yang dikirim dan diterima.
- Administrator sumber data - peran yang memungkinkan pengguna mengelola sumber data dan pemindaian. Jika pengguna hanya diberikan peran Admin sumber data pada sumber data tertentu, mereka dapat menjalankan pemindaian baru menggunakan aturan pemindaian yang ada. Untuk membuat aturan pemindaian baru, pengguna juga harus diberikan peran Pembaca data atau Kurator data.
- Pembaca insight - peran yang memberikan akses baca-saja ke laporan insight untuk koleksi yang pembaca insight-nya juga memiliki setidaknya peran Pembaca data. Untuk informasi selengkapnya, lihat izin insight.
- Pembuat kebijakan (Pratinjau) - peran yang memungkinkan pengguna untuk melihat, memperbarui, dan menghapus kebijakan Microsoft Purview melalui aplikasi manajemen kebijakan dalam Microsoft Purview.
- Administrator alur kerja - peran yang memungkinkan pengguna untuk mengakses halaman penulisan alur kerja di portal tata kelola Microsoft Purview, dan menerbitkan alur kerja pada koleksi tempat mereka memiliki izin aksesnya. Administrator alur kerja hanya memiliki akses ke penulisan, sehingga akan memerlukan setidaknya izin Pembaca data pada koleksi untuk dapat mengakses portal tata kelola Purview.
Catatan
Saat ini, peran penulis kebijakan Microsoft Purview tidak cukup untuk membuat kebijakan. Peran admin sumber data Microsoft Purview juga diperlukan.
Siapa yang harus ditugaskan untuk peran apa?
| Skenario Pengguna | Peran yang Sesuai |
|---|---|
| Saya hanya perlu menemukan aset, saya tidak ingin mengedit apa pun | Pembaca data |
| Saya perlu mengedit informasi tentang aset, menempatkan klasifikasi terhadapnya, mengaitkannya dengan entri glosarium, dll. | Kurator data |
| Saya perlu mengedit glosarium atau menyiapkan definisi klasifikasi baru | Kurator data |
| Saya perlu melihat Data Estate Insights untuk memahami postur tata kelola data estate saya | Kurator data |
| Perwakilan Layanan aplikasi saya perlu mendorong data ke Peta Data Microsoft Purview | Kurator data |
| Saya perlu menyiapkan pemindaian melalui portal tata kelola Microsoft Purview | Kurator data pada koleksi atau kurator data dan administrator sumber data tempat sumber didaftarkan. |
| Saya perlu mengaktifkan Perwakilan Layanan atau grup untuk menyiapkan dan memantau pemindaian di Peta Data Microsoft Purview tanpa mengizinkan mereka mengakses informasi katalog | Administrator sumber data |
| Saya perlu menempatkan pengguna ke dalam peran di portal tata kelola Microsoft Purview | Administrator koleksi |
| Saya perlu membuat dan menerbitkan kebijakan akses | Administrator sumber data dan pembuat kebijakan |
| Saya perlu membuat alur kerja untuk akun Microsoft Purview saya di portal tata kelola | Administrator alur kerja |
| Saya perlu berbagi data dari sumber yang terdaftar di Microsoft Purview | Kontributor berbagi data |
| Saya perlu melihat insight untuk koleksi yang saya ikuti | Pembaca insight atau kurator data |
Catatan
*Izin administrator sumber data pada Kebijakan - Administrator sumber data juga dapat menerbitkan kebijakan data.
Memahami cara menggunakan peran dan koleksi portal tata kelola Microsoft Purview
Semua kontrol akses dikelola melalui koleksi di Peta Data Microsoft Purview. Koleksi dapat ditemukan di portal tata kelola Microsoft Purview. Buka akun Anda di portal Azure dan pilih petak portal tata kelola Microsoft Purview di halaman Gambaran Umum. Dari sana, navigasikan ke peta data di menu kiri, lalu pilih tab 'Koleksi'.
Saat akun Microsoft Purview (sebelumnya Azure Purview) dibuat, akun dimulai dengan koleksi akar yang memiliki nama yang sama dengan akun itu sendiri. Pembuat akun secara otomatis ditambahkan sebagai Admin Koleksi, Admin Sumber Data, Kurator Data, dan Pembaca Data pada koleksi akar ini, dan dapat mengedit dan mengelola koleksi ini.
Sumber, aset, dan objek dapat ditambahkan langsung ke koleksi akar ini, tetapi begitu juga koleksi lainnya. Menambahkan koleksi akan memberi Anda kontrol lebih besar atas siapa yang memiliki akses ke data di seluruh akun Anda.
Semua pengguna lain hanya dapat mengakses informasi dalam portal tata kelola Microsoft Purview jika mereka, atau grup tempat mereka berada, diberi salah satu peran di atas. Ini berarti, ketika Anda membuat akun, tidak ada seorang pun selain pembuat yang dapat mengakses atau menggunakan API-nya sampai mereka ditambahkan ke satu atau beberapa peran di atas dalam koleksi.
Pengguna hanya dapat ditambahkan ke koleksi oleh admin koleksi, atau melalui pewarisan izin. Izin dari koleksi induk secara otomatis diwarisi oleh subkoleksinya. Namun, Anda dapat memilih untuk membatasi pewarisan izin pada koleksi mana pun. Jika Anda melakukan ini, subkoleksi tidak akan lagi mewarisi izin dari induk dan perlu ditambahkan secara langsung, meskipun admin koleksi yang secara otomatis diwarisi dari koleksi induk tidak dapat dihapus.
Anda dapat menetapkan peran kepada pengguna, grup keamanan, dan perwakilan layanan dari Azure Active Directory yang terkait dengan langganan Anda.
Menetapkan izin ke pengguna Anda
Setelah membuat akun Microsoft Purview (sebelumnya Azure Purview), hal pertama yang harus dilakukan adalah membuat koleksi dan menetapkan pengguna ke peran dalam koleksi tersebut.
Catatan
Jika Anda membuat akun menggunakan perwakilan layanan, untuk dapat mengakses portal tata kelola Microsoft Purview dan menetapkan izin kepada pengguna, Anda harus memberikan izin admin koleksi pengguna pada koleksi akar. Anda dapat menggunakan perintah Azure CLI ini:
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
Object-id bersifat opsional. Untuk informasi selengkapnya dan contohnya, lihat halaman referensi perintah CLI.
Buat kumpulan
Koleksi dapat disesuaikan untuk struktur sumber dalam Peta Data Microsoft Purview Anda, dan dapat bertindak seperti tempat penyimpanan terorganisir untuk sumber daya ini. Ketika Anda berpikir tentang koleksi yang mungkin Anda butuhkan, pertimbangkan bagaimana pengguna Anda akan mengakses atau menemukan informasinya. Apakah sumber Anda dipisahkan berdasarkan departemen? Apakah ada kelompok khusus dalam departemen-departemen yang hanya perlu menggunakan beberapa aset? Apakah ada beberapa sumber yang harus digunakan oleh semua pengguna Anda?
Pertanyaan ini akan menginformasikan koleksi dan subkoleksi yang mungkin Anda perlukan untuk mengatur peta data Anda dengan cara paling efektif.
Koleksi baru dapat ditambahkan langsung ke peta data di mana Anda dapat memilih koleksi induk mereka dari menu tarik-turun, atau mereka dapat ditambahkan dari induk sebagai subkoleksi. Dalam tampilan peta data, Anda dapat melihat semua sumber dan aset yang diurutkan berdasarkan koleksi, dan dalam daftar, koleksi sumber tercantum.
Untuk petunjuk dan informasi lebih lanjut, Anda dapat mengikuti panduan kami untuk membuat dan mengelola koleksi.
Contoh koleksi
Sekarang kita memiliki pemahaman dasar tentang koleksi, izin, dan cara kerjanya, mari kita lihat contohnya.
Ini adalah salah satu cara organisasi dapat menyusun data mereka: Dimulai dengan koleksi root mereka (Contoso, dalam contoh ini) koleksi diatur ke dalam wilayah, dan kemudian ke dalam departemen dan subdepartemen. Sumber data dan aset dapat ditambahkan ke salah satu koleksi ini untuk mengatur sumber daya data oleh wilayah dan departemen ini, dan mengelola kontrol akses di sepanjang jalur tersebut. Ada satu subdepartmen, Pendapatan, yang memiliki pedoman akses yang ketat sehingga izin harus dikelola dengan ketat.
Peran pembaca data dapat mengakses informasi dalam katalog, tetapi tidak mengelola atau mengeditnya. Jadi untuk contoh kami di atas, menambahkan izin Pembaca Data ke grup pada koleksi akar dan memungkinkan pewarisan akan memberi semua pengguna dalam izin pembaca grup tersebut pada sumber dan aset di Peta Data Microsoft Purview. Hal ini membuat sumber daya ini dapat ditemukan, tetapi tidak dapat diedit, oleh semua orang dalam grup tersebut. Membatasi pewarisan pada grup Pendapatan akan mengontrol akses ke aset tersebut. Pengguna yang membutuhkan akses ke informasi pendapatan dapat ditambahkan secara terpisah ke koleksi Pendapatan. Demikian pula dengan peran Kurator Data dan Admin Sumber Data, izin untuk grup tersebut akan dimulai pada koleksi di mana mereka ditugaskan dan turun ke subkoleksi yang belum membatasi warisan. Di bawah ini kami telah menetapkan izin untuk beberapa grup di tingkat koleksi di subkoleksi Amerika.
Menetapkan pengguna ke peran
Tugas peran dikelola melalui koleksi. Hanya pengguna dengan peran admin koleksi yang dapat memberikan izin kepada pengguna lain pada koleksi tersebut. Saat izin baru perlu ditambahkan, admin koleksi akan mengakses portal tata kelola Microsoft Purview, menavigasi ke peta data, lalu tab koleksi, dan memilih koleksi yang perlu ditambahkan pengguna. Dari tab Penetapan Peran, mereka akan dapat menambahkan dan mengelola pengguna yang memerlukan izin.
Untuk petunjuk lengkap, lihat panduan cara menambahkan penetapan peran.
Perubahan administrator
Mungkin ada saatnya admin koleksi akar Anda perlu diubah. Secara default, pengguna yang membuat akun secara otomatis diberi admin koleksi ke koleksi akar. Untuk memperbarui admin koleksi akar, ada empat opsi:
Anda dapat mengelola administrator koleksi akar di portal Azure:
- Masuk ke portal Azure dan cari akun Microsoft Purview Anda.
- Pilih Izin pengumpulan akar dari menu sisi kiri di halaman akun Microsoft Purview Anda.
- Pilih Tambahkan admin koleksi akar untuk menambahkan administrator.
- Anda juga dapat memilih Lihat semua admin koleksi akar yang akan dibawa ke koleksi akar di portal tata kelola Microsoft Purview.
Anda dapat menetapkan izin melalui portal tata kelola Microsoft Purview seperti yang Anda miliki untuk peran lain.
Anda dapat menggunakan REST API untuk menambahkan administrator koleksi. Petunjuk penggunaan REST API untuk menambahkan admin koleksi dapat ditemukan di REST API untuk dokumentasi koleksi. Untuk informasi tambahan, Anda dapat melihat referensi REST API.
Anda juga dapat menggunakan perintah Azure CLI di bawah ini. Object-id bersifat opsional. Untuk informasi selengkapnya dan contohnya, lihat halaman referensi perintah CLI.
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
Langkah berikutnya
Sekarang setelah Anda memiliki pemahaman dasar tentang koleksi, dan kontrol akses, ikuti panduan di bawah ini untuk membuat dan mengelola koleksi tersebut, atau mulai mendaftarkan sumber ke Peta Data Microsoft Purview Anda.