Microsoft Purview ガバナンス ポータル内のアクセス制御
Microsoft Purview ガバナンス ポータルでは、Microsoft Purview データ マップのコレクションを使用して、ソース、資産、およびその他の成果物全体のアクセスを整理および管理します。 この記事では、Microsoft Purview ガバナンス ポータルでアカウントのコレクションとアクセス管理について説明します。
重要
この記事では、Microsoft Purview ガバナンス ポータルに必要なアクセス許可と、Microsoft Purview データ マップ、Data Catalog、データ ポリシー、Data Estate Insights などのアプリケーションについて説明します。Microsoft Purview コンプライアンス センターのアクセス許可情報をお探しの場合は、Microsoft Purview コンプライアンス ポータルのアクセス許可に関する記事に従ってください。 データ システム内のデータ自体へのアクセスを許可する場合は、 Microsoft Purview データ所有者ポリシー を使用できます。 特定のデータベースのシステム メタデータへのアクセスを許可する場合は、 Microsoft Purview DevOps ポリシー を使用できます。
Microsoft Purview ガバナンス ポータルにアクセスするためのアクセス許可
Microsoft Purview ガバナンス ポータルにアクセスするには、次の 2 つのメイン方法があり、次のいずれかの特定のアクセス許可が必要です。
- で Microsoft Purview ガバナンス ポータルにhttps://web.purview.azure.com直接アクセスするには、Microsoft Purview データ マップ内のコレクションに対して少なくとも閲覧者ロールが必要です。
- Microsoft Purview アカウントを検索して開き、[Microsoft Purview ガバナンス ポータルを開く] を選択して、Azure portalから Microsoft Purview ガバナンス ポータルにアクセスするには、少なくとも Access Control (IAM) の下の閲覧者ロールが必要です。
注:
サービス プリンシパルを使用してアカウントを作成した場合、Microsoft Purview ガバナンス ポータルにアクセスできるようにするには、 ルート コレクションに対するユーザー コレクション管理者のアクセス許可を付与する必要があります。
コレクション
コレクションは、Microsoft Purview データ マップが資産、ソース、およびその他の成果物を検出し、アクセス制御を管理するために階層にグループ化するために使用するツールです。 Microsoft Purview ガバナンス ポータルのリソースへのすべてのアクセスは、Microsoft Purview データ マップのコレクションから管理されます。
役割
Microsoft Purview ガバナンス ポータルでは、定義済みのロールのセットを使用して、アカウント内の内容にアクセスできるユーザーを制御します。 現在、これらのロールは次のとおりです。
- コレクション管理者 - Microsoft Purview ガバナンス ポータルで他のユーザーにロールを割り当てるか、コレクションを管理する必要があるユーザーのロール。 コレクション管理者は、自分が管理者であるコレクションのロールにユーザーを追加できます。 また、コレクションとその詳細を編集したり、サブコレクションを追加したりすることもできます。 ルート コレクションのコレクション管理者も、Microsoft Purview ガバナンス ポータルに対するアクセス許可を自動的に持っています。 ルート コレクション管理者を変更する必要がある場合は、以下のセクションの手順に従うことができます。
- データ キュレーター - 資産の管理、カスタム分類の構成、用語集の用語の作成と管理、データ資産の分析情報の表示を行うためにデータ カタログへのアクセスを提供するロール。 データ キュレーターは、アセットの作成、読み取り、変更、移動、削除を行うことができます。 また、アセットに注釈を適用することもできます。
- データ リーダー - データ 資産、分類、分類規則、コレクション、用語集の用語への読み取り専用アクセスを提供するロール。
- データ ソース管理者 - ユーザーがデータ ソースとスキャンを管理できるようにするロール。 ユーザーが特定の データ ソースのデータ ソース管理者 ロールにのみ付与されている場合は、既存のスキャン ルールを使用して新しいスキャンを実行できます。 新しいスキャン ルールを作成するには、ユーザーに データ 閲覧者 ロールまたは データ キュレーター ロールも付与する必要があります。
- Insights 閲覧者 - 分析情報閲覧者 が少なくとも データ閲覧 者ロールを持つコレクションの分析情報レポートへの読み取り専用アクセスを提供するロール。 詳細については、「分析情報のアクセス許可」を参照してください。
- ポリシー作成者 - ユーザーが Microsoft Purview 内のデータ ポリシー アプリを使用して Microsoft Purview ポリシーを表示、更新、削除できるようにするロール。
- ワークフロー管理者 - ユーザーが Microsoft Purview ガバナンス ポータルのワークフロー作成ページにアクセスし、アクセス許可を持つコレクションにワークフローを発行できるようにするロール。 ワークフロー管理者はオーサリングにのみアクセスできるため、Purview ガバナンス ポータルにアクセスするには、コレクションに対する少なくともデータ閲覧者のアクセス許可が必要です。
注:
現時点では、Microsoft Purview ポリシー作成者ロールでは、ポリシーを作成するのに十分ではありません。 Microsoft Purview データ ソース管理者ロールも必要です。
どのロールに誰を割り当てる必要がありますか?
| ユーザー シナリオ | 適切なロール |
|---|---|
| 私は資産を見つける必要がある、私は何も編集したくない | データ リーダー |
| 資産に関する情報を編集して管理する必要がある | データ キュレーター |
| カスタム分類を作成する | データ キュレーター または データ ソース管理者 |
| ビジネス用語集を編集する必要がある | データ キュレーター |
| データ資産のガバナンス態勢を理解するには、Data Estate Insights を表示する必要があります | データ キュレーター |
| アプリケーションのサービス プリンシパルがデータをMicrosoft Purview データ マップにプッシュする必要がある | データ キュレーター |
| Microsoft Purview ガバナンス ポータルを使用してスキャンを設定する必要がある | ソースが登録されているコレクション または データ キュレーター および データ ソース管理者のデータ キュレーター。 |
| サービス プリンシパルまたはグループがカタログの情報にアクセスすることを許可せずに、Microsoft Purview データ マップでスキャンを設定および監視できるようにする必要があります | データ ソース管理者 |
| Microsoft Purview ガバナンス ポータルでユーザーをロールに配置する必要がある | コレクション管理者 |
| アクセス ポリシーを作成して発行する必要がある | データ ソース管理者とポリシー作成者 |
| ガバナンス ポータルで Microsoft Purview アカウントのワークフローを作成する必要がある | ワークフロー管理者 |
| Microsoft Purview に登録されているソースからデータを共有する必要がある | データ リーダー |
| Microsoft Purview で共有データを受信する必要がある | データ リーダー |
| の一部であるコレクションの分析情報を表示する必要がある | Insights リーダー または データ キュレーター |
| セルフホステッド統合ランタイム (SHIR) を作成または管理する必要がある | データ ソース管理者 |
| マネージド プライベート エンドポイントを作成する必要がある | データ ソース管理者 |
注:
*データ キュレーター - データ キュレーターは、ルート コレクション レベルでデータ キュレーターが割り当てられている場合にのみ分析情報を読み取ることができます。 **データ ソース管理者のポリシーに対するアクセス許可 - データ ソース管理者は、データ ポリシーを発行することもできます。
Microsoft Purview ガバナンス ポータルのロールとコレクションを使用する方法について説明します
すべてのアクセス制御は、Microsoft Purview データ マップのコレクションを通じて管理されます。 コレクションは、 Microsoft Purview ガバナンス ポータルにあります。 Azure portalでアカウントを開き、[概要] ページで [Microsoft Purview ガバナンス ポータル] タイルを選択します。 そこから、左側のメニューのデータ マップに移動し、[コレクション] タブを選択します。
Microsoft Purview (旧称 Azure Purview) アカウントが作成されると、アカウント自体と同じ名前のルート コレクションから始まります。 アカウントの作成者は、このルート コレクションのコレクション 管理、データ ソース 管理、データ キュレーター、データ リーダーとして自動的に追加され、このコレクションを編集および管理できます。
ソース、アセット、オブジェクトは、このルート コレクションに直接追加できますが、他のコレクションにも追加できます。 コレクションを追加すると、アカウント全体でデータにアクセスできるユーザーをより詳細に制御できます。
他のすべてのユーザーは、Microsoft Purview ガバナンス ポータル内の情報にアクセスできるのは、そのユーザーまたはグループに上記のいずれかのロールが付与されている場合のみです。 つまり、アカウントを作成する場合、作成者以外は 、コレクション内の上記の 1 つ以上のロールに追加されるまで、その API にアクセスしたり使用したりすることはできません。
ユーザーをコレクションに追加できるのは、コレクション管理者またはアクセス許可の継承のみです。 親コレクションのアクセス許可は、そのサブコレクションによって自動的に継承されます。 ただし、任意のコレクションに 対するアクセス許可の継承を制限 することもできます。 これを行うと、そのサブコレクションは親からアクセス許可を継承しなくなり、直接追加する必要がありますが、親コレクションから自動的に継承されるコレクション管理者は削除できません。
サブスクリプションに関連付けられている Azure Active Directory から、ユーザー、セキュリティ グループ、およびサービス プリンシパルにロールを割り当てることができます。
ユーザーにアクセス許可を割り当てる
Microsoft Purview (旧称 Azure Purview) アカウントを作成した後、まずコレクションを作成し、それらのコレクション内のロールにユーザーを割り当てます。
注:
サービス プリンシパルを使用してアカウントを作成した場合、Microsoft Purview ガバナンス ポータルにアクセスし、ユーザーにアクセス許可を割り当てるには、 ルート コレクションに対するユーザー コレクション管理者アクセス許可を付与する必要があります。
コレクションを作成する
コレクションは、Microsoft Purview データ マップ内のソースの構造に合わせてカスタマイズでき、これらのリソースの整理された棚番のように機能できます。 必要なコレクションについて考えるときは、ユーザーが情報にアクセスしたり、情報を検出したりする方法を検討してください。 ソースは部門別に分割されていますか? これらの部門には、一部の資産のみを検出する必要がある特殊なグループがありますか? すべてのユーザーが検出できるソースはありますか?
これにより、データ マップを最も効果的に整理するために必要な可能性があるコレクションとサブコレクションが通知されます。
新しいコレクションは、ドロップダウンから親コレクションを選択できるデータ マップに直接追加することも、親からサブ コレクションとして追加することもできます。 データ マップ ビューでは、コレクションによって並べ替えられたすべてのソースと資産が表示され、一覧にはソースのコレクションが一覧表示されます。
詳細な手順と情報については、 コレクションの作成と管理に関するガイドに従ってください。
コレクションの例
コレクション、アクセス許可、およびそれらがどのように機能するかについての基本理解を得たので、例を見てみましょう。
これは、organizationがデータを構造化する方法の 1 つです。ルート コレクション (この例では Contoso) コレクションをリージョンに編成してから、部署とサブ区分に編成します。 これらのコレクションのいずれかにデータ ソースと資産を追加して、これらのリージョンと部門によってデータ リソースを整理し、それらの行に沿ってアクセス制御を管理できます。 厳密なアクセス ガイドラインを持つ 1 つのサブパーティションである Revenue があり、アクセス許可を厳しく管理する必要があります。
データ閲覧者ロールはカタログ内の情報にアクセスできますが、管理または編集することはできません。 そのため、上の例では、ルート コレクションのグループにデータ リーダーアクセス許可を追加し、継承を許可すると、そのグループ リーダーのすべてのユーザーに、Microsoft Purview データ マップ内のソースと資産に対するアクセス許可が付与されます。 これにより、これらのリソースは、そのグループ内のすべてのユーザーが検出できますが、編集することはできません。 収益グループの継承を制限すると、それらの資産へのアクセスが制御されます。 収益情報にアクセスする必要があるユーザーは、Revenue コレクションに個別に追加できます。 Data Curator ロールと Data Source 管理 ロールと同様に、これらのグループのアクセス許可は、割り当てられているコレクションから開始され、継承を制限していないサブコレクションにトリクルダウンされます。 以下では、Americas サブ コレクションのコレクション レベルで複数のグループに対するアクセス許可を割り当てます。
ロールにユーザーを追加する
ロールの割り当ては、コレクションを通じて管理されます。 コレクション管理者ロールを持つユーザーのみが、そのコレクションの他のユーザーにアクセス許可を付与できます。 新しいアクセス許可を追加する必要がある場合、コレクション管理者は Microsoft Purview ガバナンス ポータルにアクセスし、データ マップに移動してから[コレクション] タブに移動し、ユーザーを追加する必要があるコレクションを選択します。 [ロールの割り当て] タブから、アクセス許可を必要とするユーザーを追加および管理できます。
完全な手順については、 ロールの割り当てを追加するためのハウツー ガイドを参照してください。
管理者の変更
ルート コレクション管理者を変更する必要がある場合や、アプリケーションによってアカウントを作成した後に管理者を追加する必要がある場合があります。 既定では、アカウントを作成するユーザーには、コレクション管理者がルート コレクションに自動的に割り当てられます。 ルート コレクション管理者を更新するには、次の 4 つのオプションがあります。
ルート コレクション管理者は、Azure portalで管理できます。
- Azure portalにサインインし、Microsoft Purview アカウントを検索します。
- Microsoft Purview アカウント ページの左側のメニューから [ ルート コレクションのアクセス許可 ] を選択します。
- [ ルート コレクション管理者の追加] を選択して、管理者を追加します。
![[ルート コレクションのアクセス許可] ページが選択され、[ルート コレクション管理者の追加] オプションが強調表示されているAzure portalの Microsoft Purview アカウント ページのスクリーンショット。](media/catalog-permissions/root-collection-admin.png)
- Microsoft Purview ガバナンス ポータルで [すべてのルート コレクション管理者を表示 ] を選択して、ルート コレクションに移動することもできます。
他のロール の場合と同様に、Microsoft Purview ガバナンス ポータルを使用してアクセス許可を割り当てることができます 。
REST API を使用して、コレクション管理者を追加できます。 REST API を使用してコレクション管理者を追加する手順については、コレクション 用の REST API に関するドキュメントを参照してください。 詳細については、 REST API リファレンスを参照してください。
次の Azure CLI コマンドを使用することもできます。 object-id は省略可能です。 詳細と例については、 CLI コマンドリファレンスページを参照してください。
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
次の手順
コレクションの基本理解とアクセス制御が整ったら、以下のガイドに従ってこれらのコレクションを作成および管理するか、ソースをMicrosoft Purview データ マップに登録します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示