Controle de acesso dentro do portal de governança do Microsoft Purview

  • Artigo

O portal de governança do Microsoft Purview usa Coleções no Mapa de Dados do Microsoft Purview para organizar e gerenciar o acesso entre suas fontes, ativos e outros artefatos. Este artigo descreve coleções e gerenciamento de acesso para sua conta no portal de governança do Microsoft Purview.

Importante

Este artigo refere-se às permissões necessárias para o portal de governança do Microsoft Purview e aplicativos como Mapa de Dados do Microsoft Purview, Catálogo de Dados, Data Policy, Data Estate Insights etc. Se você estiver procurando informações de permissões para o centro de conformidade do Microsoft Purview, siga o artigo para obter permissões no portal de conformidade do Microsoft Purview. Você pode usar as políticas de proprietário do Microsoft Purview Data se quiser conceder acesso aos dados em si em seus sistemas de dados. Você pode usar políticas do Microsoft Purview DevOps se quiser conceder acesso aos metadados do sistema de determinados bancos de dados.

Permissões para acessar o portal de governança do Microsoft Purview

Há duas main maneiras de acessar o portal de governança do Microsoft Purview e você precisará de permissões específicas para qualquer um:

  • Para acessar o portal de governança do Microsoft Purview diretamente no https://web.purview.azure.com, você precisará de pelo menos uma função de leitor em uma coleção em seu Mapa de Dados do Microsoft Purview.
  • Para acessar o portal de governança do Microsoft Purview por meio do portal do Azure pesquisando sua conta do Microsoft Purview, abrindo-a e selecionando Abrir o portal de governança do Microsoft Purview, você precisará de pelo menos uma função Leitor em Controle de Acesso (IAM).

Observação

Se você criou sua conta usando uma entidade de serviço, para poder acessar o portal de governança do Microsoft Purview, precisará conceder permissões de administrador de coleção de usuários na coleção raiz.

Coleções

Uma coleção é uma ferramenta que o Mapa de Dados do Microsoft Purview usa para agrupar ativos, fontes e outros artefatos em uma hierarquia para descoberta e para gerenciar o controle de acesso. Todos os acessos aos recursos do portal de governança do Microsoft Purview são gerenciados a partir de coleções no Mapa de Dados do Microsoft Purview.

Funções

O portal de governança do Microsoft Purview usa um conjunto de funções predefinidas para controlar quem pode acessar o que dentro da conta. Essas funções são atualmente:

  • Administrador de coleção – uma função para usuários que precisarão atribuir funções a outros usuários no portal de governança do Microsoft Purview ou gerenciar coleções. Os administradores de coleção podem adicionar usuários a funções em coleções em que são administradores. Eles também podem editar coleções, seus detalhes e adicionar subcolleções. Um administrador de coleção na coleção raiz também tem permissão automaticamente para o portal de governança do Microsoft Purview. Se o administrador da coleção raiz precisar ser alterado, você poderá seguir as etapas na seção abaixo.
  • Curadores de dados – uma função que fornece acesso ao catálogo de dados para gerenciar ativos, configurar classificações personalizadas, criar e gerenciar termos glossários e exibir insights do data estate. Os curadores de dados podem criar, ler, modificar, mover e excluir ativos. Eles também podem aplicar anotações a ativos.
  • Leitores de dados – uma função que fornece acesso somente leitura a ativos de dados, classificações, regras de classificação, coleções e termos glossários.
  • Administrador de fonte de dados – uma função que permite que um usuário gerencie fontes de dados e verificações. Se um usuário for concedido apenas à função de administrador de fonte de dados em uma determinada fonte de dados, ele poderá executar novas verificações usando uma regra de verificação existente. Para criar novas regras de verificação, o usuário também deve ser concedido como leitor de dados ou funções de curador de dados .
  • Leitor de insights – uma função que fornece acesso somente leitura a relatórios de insights para coleções em que o leitor de insights também tem pelo menos a função leitor de dados . Para obter mais informações, consulte permissões de insights.
  • Autor da política – uma função que permite que um usuário exiba, atualize e exclua políticas do Microsoft Purview por meio do aplicativo de política de dados no Microsoft Purview.
  • Administrador de fluxo de trabalho – uma função que permite que um usuário acesse a página de criação do fluxo de trabalho no portal de governança do Microsoft Purview e publique fluxos de trabalho em coleções em que eles têm permissões de acesso. O administrador do fluxo de trabalho só tem acesso à criação e, portanto, precisará de pelo menos permissão do leitor de dados em uma coleção para poder acessar o portal de governança do Purview.

Observação

No momento, a função de autor da política do Microsoft Purview não é suficiente para criar políticas. A função de administrador da fonte de dados do Microsoft Purview também é necessária.

Quem deve ser atribuído a qual função?

Situação do Usuário Funções apropriadas
Eu só preciso encontrar ativos, eu não quero editar nada Leitor de dados
Preciso editar e gerenciar informações sobre ativos Curador de dados
Quero criar classificações personalizadas Curador de dados ou administrador de fonte de dados
Preciso editar o glossário de negócios Curador de dados
Preciso ver o Data Estate Insights para entender a postura de governança do meu patrimônio de dados Curador de dados
A Entidade de Serviço do meu aplicativo precisa enviar dados por push para o Mapa de Dados do Microsoft Purview Curador de dados
Preciso configurar verificações por meio do portal de governança do Microsoft Purview Curador de dados na coleção ou curador de dados e administrador de fonte de dados em que a origem está registrada.
Preciso habilitar uma Entidade de Serviço ou um grupo para configurar e monitorar verificações no Mapa de Dados do Microsoft Purview sem permitir que eles acessem as informações do catálogo Administrador de fonte de dados
Preciso colocar usuários em funções no portal de governança do Microsoft Purview Administrador de coleção
Preciso criar e publicar políticas de acesso Administrador de fonte de dados e autor de política
Preciso criar fluxos de trabalho para minha conta do Microsoft Purview no portal de governança Administrador do fluxo de trabalho
Preciso compartilhar dados de fontes registradas no Microsoft Purview Leitor de dados
Preciso receber dados compartilhados no Microsoft Purview Leitor de dados
Preciso exibir insights para coleções das quais faço parte Leitor de insights ou curador de dados
Preciso criar ou gerenciar nosso SHIR (runtime de integração auto-hospedada) Administrador de fonte de dados
Preciso criar pontos de extremidade privados gerenciados Administrador de fonte de dados

Gráfico mostrando funções do portal de governança do Microsoft Purview

Observação

*Curador de dados – Os curadores de dados só poderão ler insights se forem atribuídos ao curador de dados no nível da coleção raiz. **Permissões de administrador de fonte de dados em Políticas – Os administradores de fonte de dados também podem publicar políticas de dados.

Entender como usar as funções e coleções do portal de governança do Microsoft Purview

Todo o controle de acesso é gerenciado por meio de coleções no Mapa de Dados do Microsoft Purview. As coleções podem ser encontradas no portal de governança do Microsoft Purview. Abra sua conta no portal do Azure e selecione o bloco do portal de governança do Microsoft Purview na página Visão geral. A partir daí, navegue até o mapa de dados no menu esquerdo e selecione a guia 'Coleções'.

Quando uma conta do Microsoft Purview (anteriormente Azure Purview) é criada, ela começa com uma coleção raiz que tem o mesmo nome que a própria conta. O criador da conta é adicionado automaticamente como um Administração de Coleção, Administração de Fonte de Dados, Curador de Dados e Leitor de Dados nesta coleção raiz e pode editar e gerenciar essa coleção.

Fontes, ativos e objetos podem ser adicionados diretamente a essa coleção raiz, mas outras coleções também podem ser adicionadas. Adicionar coleções lhe dará mais controle sobre quem tem acesso aos dados em sua conta.

Todos os outros usuários só poderão acessar informações no portal de governança do Microsoft Purview se eles, ou um grupo em que estão, receberem uma das funções acima. Isso significa que, quando você cria uma conta, ninguém além do criador pode acessar ou usar suas APIs até que elas sejam adicionadas a uma ou mais das funções acima em uma coleção.

Os usuários só podem ser adicionados a uma coleção por um administrador de coleção ou por meio de herança de permissões. As permissões de uma coleção pai são herdadas automaticamente por suas subcolleções. No entanto, você pode optar por restringir a herança de permissão em qualquer coleção. Se você fizer isso, suas subcolleções não herdarão mais permissões do pai e precisarão ser adicionadas diretamente, embora os administradores de coleção herdados automaticamente de uma coleção pai não possam ser removidos.

Você pode atribuir funções a usuários, grupos de segurança e entidades de serviço do Azure Active Directory associadas à sua assinatura.

Atribuir permissões aos usuários

Depois de criar uma conta do Microsoft Purview (anteriormente Azure Purview), a primeira coisa a fazer é criar coleções e atribuir usuários a funções dentro dessas coleções.

Observação

Se você criou sua conta usando uma entidade de serviço, para poder acessar o portal de governança do Microsoft Purview e atribuir permissões aos usuários, precisará conceder permissões de administrador de coleção de usuários na coleção raiz.

Criar coleções

As coleções podem ser personalizadas para a estrutura das fontes em seu Mapa de Dados do Microsoft Purview e podem agir como lixeiras de armazenamento organizadas para esses recursos. Quando você estiver pensando nas coleções que talvez precise, considere como seus usuários acessarão ou descobrirão informações. Suas fontes estão divididas por departamentos? Há grupos especializados nesses departamentos que só precisarão descobrir alguns ativos? Há algumas fontes que devem ser detectáveis por todos os usuários?

Isso informará as coleções e subcolleções necessárias para organizar o mapa de dados de forma mais eficaz.

Novas coleções podem ser adicionadas diretamente ao mapa de dados em que você pode escolher sua coleção pai de uma lista suspensa ou elas podem ser adicionadas do pai como uma subconjunto. Na exibição do mapa de dados, você pode ver todas as suas fontes e ativos ordenados pelas coleções e, na lista, a coleção da origem está listada.

Para obter mais instruções e informações, você pode seguir nosso guia para criar e gerenciar coleções.

Um exemplo de coleções

Agora que temos uma compreensão base de coleções, permissões e como elas funcionam, vamos examinar um exemplo.

Gráfico mostrando uma hierarquia de coleções de exemplo dividida por região e departamento.

Essa é uma maneira de uma organização estruturar seus dados: a partir de sua coleção raiz (Contoso, neste exemplo) as coleções são organizadas em regiões e, em seguida, em departamentos e subdepartamentos. Fontes de dados e ativos podem ser adicionados a qualquer uma dessas coleções para organizar recursos de dados por essas regiões e departamento e gerenciar o controle de acesso nesse sentido. Há um subdepartamento, Receita, que tem diretrizes de acesso estritas, então as permissões precisarão ser bem gerenciadas.

A função de leitor de dados pode acessar informações no catálogo, mas não gerenciá-la ou editá-la. Portanto, para nosso exemplo acima, adicionar a permissão leitor de dados a um grupo na coleção raiz e permitir herança fornecerá a todos os usuários nesse grupo permissões de leitor em fontes e ativos no Mapa de Dados do Microsoft Purview. Isso torna esses recursos detectáveis, mas não editáveis, por todos nesse grupo. Restringir a herança no grupo Receita controlará o acesso a esses ativos. Os usuários que precisam de acesso às informações de receita podem ser adicionados separadamente à coleção receita. Da mesma forma com as funções data curator e data source Administração, as permissões para esses grupos começarão na coleção em que eles são atribuídos e escorrem para subcolleções que não restringiram a herança. Abaixo, temos permissões atribuídas para vários grupos em níveis de coleções na subconjunto Americas.

Gráfico mostrando uma hierarquia de coleções de exemplo dividida por região e departamento, mostrando a distribuição de permissões.

Adicionar usuários a funções

A atribuição de função é gerenciada por meio das coleções. Somente um usuário com a função de administrador de coleção pode conceder permissões a outros usuários nessa coleção. Quando novas permissões precisarem ser adicionadas, um administrador de coleção acessará o portal de governança do Microsoft Purview, navegará até o mapa de dados e, em seguida, a guia coleções e selecionará a coleção em que um usuário precisa ser adicionado. Na guia Atribuições de Função, eles poderão adicionar e gerenciar usuários que precisam de permissões.

Para obter instruções completas, consulte nosso guia de instruções para adicionar atribuições de função.

Alteração de administrador

Pode haver um momento em que o administrador da coleção raiz precisa ser alterado ou um administrador precisa ser adicionado depois que uma conta for criada por um aplicativo. Por padrão, o usuário que cria a conta recebe automaticamente o administrador de coleção para a coleção raiz. Para atualizar o administrador da coleção raiz, há quatro opções:

  • Você pode gerenciar administradores de coleção raiz no portal do Azure:

    1. Entre no portal do Azure e pesquise sua conta do Microsoft Purview.
    2. Selecione Permissão de coleção raiz no menu esquerdo na página da conta do Microsoft Purview.
    3. Selecione Adicionar administrador de coleção raiz para adicionar um administrador. Captura de tela de uma página da conta do Microsoft Purview no portal do Azure com a página de permissão de coleção Raiz selecionada e a opção Adicionar administrador de coleção raiz realçada.
    4. Você também pode selecionar Exibir todos os administradores de coleção raiz a serem levados para a coleção raiz no portal de governança do Microsoft Purview.

  • Você pode atribuir permissões por meio do portal de governança do Microsoft Purview como tem para qualquer outra função.

  • Você pode usar a API REST para adicionar um administrador de coleção. Instruções para usar a API REST para adicionar um administrador de coleção podem ser encontradas em nossa API REST para documentação de coleções. Para obter informações adicionais, você pode ver nossa referência de API REST.

  • Você também pode usar o comando abaixo da CLI do Azure. A id de objeto é opcional. Para obter mais informações e um exemplo, consulte a página de referência de comando da CLI.

    az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]

Próximas etapas

Agora que você tem uma compreensão base das coleções e do controle de acesso, siga os guias abaixo para criar e gerenciar essas coleções ou começar a registrar fontes em seu Mapa de Dados do Microsoft Purview.