Управление доступом на портале управления Microsoft Purview
Портал управления Microsoft Purview использует коллекции в Схема данных Microsoft Purview для организации доступа к источникам, ресурсам и другим артефактам и управления ими. В этой статье описаны коллекции и управление доступом для учетной записи на портале управления Microsoft Purview.
Важно!
В этой статье рассматриваются разрешения, необходимые для портала управления Microsoft Purview, а также такие приложения, как Схема данных Microsoft Purview, Каталог данных, политика данных, аналитика ресурсов данных и т. д. Если вы ищете сведения о разрешениях для Центра соответствия требованиям Microsoft Purview, ознакомьтесь со статьей разрешения в Портал соответствия требованиям Microsoft Purview. Вы можете использовать политики владельца данных Microsoft Purview , если хотите предоставить доступ к самим данным в ваших системах данных. Вы можете использовать политики Microsoft Purview DevOps , если хотите предоставить доступ к системным метаданным определенных баз данных.
Разрешения на доступ к порталу управления Microsoft Purview
Существует два main способа доступа к порталу управления Microsoft Purview, и вам потребуются определенные разрешения для любого из них:
- Чтобы получить доступ к порталу управления Microsoft Purview непосредственно по адресу https://web.purview.azure.com, вам потребуется по крайней мере роль читателя в коллекции в Схема данных Microsoft Purview.
- Чтобы получить доступ к порталу управления Microsoft Purview через портал Azure путем поиска учетной записи Microsoft Purview, ее открытия и выбора open Microsoft Purview, вам потребуется по крайней мере роль читателя в разделе контроль доступа (IAM).
Примечание.
Если вы создали учетную запись с помощью субъекта-службы, чтобы получить доступ к порталу управления Microsoft Purview, необходимо предоставить администраторам коллекции пользователей разрешения на корневую коллекцию.
Коллекции
Коллекция — это средство, которое Схема данных Microsoft Purview использует для группировки ресурсов, источников и других артефактов в иерархию для обеспечения возможности обнаружения и управления доступом. Все доступы к ресурсам портала управления Microsoft Purview управляются из коллекций в Схема данных Microsoft Purview.
Роли
Портал управления Microsoft Purview использует набор предопределенных ролей для управления доступом к данным в учетной записи. В настоящее время следующие роли:
- Администратор коллекции — роль для пользователей, которым потребуется назначать роли другим пользователям на портале управления Microsoft Purview или управлять коллекциями. Администраторы коллекций могут добавлять пользователей в роли в коллекциях, где они администраторы. Они также могут изменять коллекции, их сведения и добавлять вложенные коллекции. Администратор коллекции в корневой коллекции также автоматически имеет разрешение на портал управления Microsoft Purview. Если необходимо изменить администратора корневой коллекции , выполните действия, описанные в разделе ниже.
- Кураторы данных — роль, которая предоставляет доступ к каталогу данных для управления ресурсами, настройки пользовательских классификаций, создания терминов глоссария и управления ими, а также просмотра аналитических сведений о пространстве данных. Кураторы данных могут создавать, читать, изменять, перемещать и удалять ресурсы. Они также могут применять заметки к ресурсам.
- Средства чтения данных — роль, которая предоставляет доступ только для чтения к ресурсам данных, классификациям, правилам классификации, коллекциям и терминам глоссария.
- Администратор источника данных — роль, которая позволяет пользователю управлять источниками данных и проверками. Если пользователю предоставляется только роль администратора источника данных в заданном источнике данных, он может выполнять новые проверки с помощью существующего правила проверки. Чтобы создать новые правила сканирования, пользователю также необходимо предоставить роль читателя данных или куратора данных .
- Читатель аналитических сведений — роль, которая предоставляет доступ только для чтения к аналитическим отчетам для коллекций, где читатель аналитических сведений также имеет по крайней мере роль читателя данных . Дополнительные сведения см. в разделе Разрешения аналитики.
- Автор политики — роль, которая позволяет пользователю просматривать, обновлять и удалять политики Microsoft Purview с помощью приложения Политики данных в Microsoft Purview.
- Администратор рабочих процессов — роль, которая позволяет пользователю получать доступ к странице создания рабочих процессов на портале управления Microsoft Purview и публиковать рабочие процессы в коллекциях, где у него есть разрешения на доступ. Администратор рабочего процесса имеет только доступ к разработке, поэтому для доступа к порталу управления Purview потребуется по крайней мере разрешение на чтение данных в коллекции.
Примечание.
В настоящее время роли автора политики Microsoft Purview недостаточно для создания политик. Также требуется роль администратора источника данных Microsoft Purview.
Кому должна быть назначена роль?
| Сценарий пользователя | Соответствующие роли |
|---|---|
| Мне просто нужно найти ресурсы, я не хочу ничего редактировать | Средство чтения данных |
| Мне нужно редактировать сведения об ресурсах и управлять ими | Куратор данных |
| Я хочу создать пользовательские классификации | Куратор данных или администратор источника данных |
| Мне нужно изменить бизнес-глоссарий | Куратор данных |
| Мне нужно просмотреть Аналитику по хранилищу данных, чтобы понять состояние управления для моего хранилища данных. | Куратор данных |
| Субъект-служба моего приложения должен отправлять данные в Схема данных Microsoft Purview | Куратор данных |
| Мне нужно настроить проверки на портале управления Microsoft Purview | Куратор данных для сбора или куратора данных и администратора источника данных, где зарегистрирован источник. |
| Мне нужно включить субъект-службу или группу для настройки и мониторинга проверок в Схема данных Microsoft Purview, не разрешая им доступ к сведениям каталога | Администратор источника данных |
| Мне нужно поместить пользователей в роли на портале управления Microsoft Purview | Администратор коллекции |
| Мне нужно создать и опубликовать политики доступа | Администратор источника данных и автор политики |
| Мне нужно создать рабочие процессы для учетной записи Microsoft Purview на портале управления | Администратор рабочего процесса |
| Мне нужно предоставить общий доступ к данным из источников, зарегистрированных в Microsoft Purview | Средство чтения данных |
| Мне нужно получать общие данные в Microsoft Purview | Средство чтения данных |
| Мне нужно просмотреть аналитические сведения о коллекциях, в которые я вхожу | Читатель аналитических сведений или куратор данных |
| Мне нужно создать локальную среду выполнения интеграции (SHIR) или управлять ею. | Администратор источника данных |
| Мне нужно создать управляемые частные конечные точки | Администратор источника данных |
Примечание.
*Куратор данных . Кураторы данных могут читать аналитические сведения только в том случае, если они назначены куратором данных на корневом уровне коллекции. **Разрешения администратора источников данных для политик . Администраторы источников данных также могут публиковать политики данных.
Сведения об использовании ролей и коллекций портала управления Microsoft Purview
Управление доступом осуществляется с помощью коллекций в Схема данных Microsoft Purview. Коллекции можно найти на портале управления Microsoft Purview. Откройте учетную запись в портал Azure и выберите плитку портала управления Microsoft Purview на странице Обзор. Оттуда перейдите к карте данных в меню слева, а затем выберите вкладку "Коллекции".
При создании учетной записи Microsoft Purview (ранее Azure Purview) она начинается с корневой коллекции с тем же именем, что и у самой учетной записи. Создатель учетной записи автоматически добавляется в качестве Администратор коллекции, Администратор источника данных, куратора данных и средства чтения данных в этой корневой коллекции, а также может изменять эту коллекцию и управлять ею.
Источники, ресурсы и объекты можно добавлять непосредственно в эту корневую коллекцию, но также и другие коллекции. Добавление коллекций позволит вам получить больший контроль над доступом к данным в вашей учетной записи.
Все остальные пользователи могут получить доступ к информации на портале управления Microsoft Purview, только если им или группе, в которую они входят, предоставлена одна из указанных выше ролей. Это означает, что при создании учетной записи никто, кроме создателя, не сможет получить доступ или использовать ее API до тех пор, пока они не будут добавлены к одной или нескольким из указанных выше ролей в коллекции.
Пользователи могут быть добавлены в коллекцию только администратором коллекции или путем наследования разрешений. Разрешения родительской коллекции автоматически наследуются ее вложенными коллекциями. Однако вы можете ограничить наследование разрешений для любой коллекции. В этом случае его вложенные коллекции больше не наследуют разрешения от родительского элемента и их необходимо добавить напрямую, хотя администраторы коллекции, которые автоматически наследуются от родительской коллекции, не могут быть удалены.
Вы можете назначать роли пользователям, группам безопасности и субъектам-службам из Azure Active Directory, связанной с вашей подпиской.
Назначение разрешений пользователям
После создания учетной записи Microsoft Purview (ранее Azure Purview) первое, что нужно сделать, это создать коллекции и назначить пользователей ролям в этих коллекциях.
Примечание.
Если вы создали учетную запись с помощью субъекта-службы, чтобы иметь доступ к порталу управления Microsoft Purview и назначать разрешения пользователям, необходимо предоставить администратору коллекции пользователей разрешения на корневую коллекцию.
Создание коллекций
Коллекции можно настроить для структуры источников в Схема данных Microsoft Purview и действовать как организованные хранилища для этих ресурсов. Когда вы думаете о коллекциях, которые могут потребоваться, подумайте о том, как пользователи будут получать доступ к информации или обнаруживать их. Ваши источники разбиты на отделы? Существуют ли специализированные группы в тех отделах, которым потребуется только обнаружить некоторые ресурсы? Есть ли некоторые источники, которые должны быть доступны для всех пользователей?
Это будет информировать коллекции и вложенные сборы, которые могут потребоваться для наиболее эффективной организации карты данных.
Новые коллекции можно добавить непосредственно на карту данных, где можно выбрать родительскую коллекцию из раскрывающегося списка, или добавить их из родительской коллекции в качестве вложенной коллекции. В представлении карты данных отображаются все источники и ресурсы, упорядоченные по коллекциям, а в списке указана коллекция источника.
Дополнительные инструкции и сведения см. в нашем руководстве по созданию коллекций и управлению ими.
Пример коллекций
Теперь, когда у нас есть базовое представление о коллекциях, разрешениях и их работе, рассмотрим пример.
Это один из способов организации структурировать свои данные: начиная с корневой коллекции (Contoso, в этом примере) коллекции организованы по регионам, а затем по отделам и подотделам. Источники данных и ресурсы можно добавить в любую из этих коллекций, чтобы упорядочить ресурсы данных по этим регионам и отделам, а также управлять доступом по этим направлениям. Существует одна поддепартамент Revenue, которая имеет строгие правила доступа, поэтому разрешениями нужно будет жестко управлять.
Роль читателя данных может получать доступ к информации в каталоге, но не управлять ими и не изменять их. Таким образом, в приведенном выше примере добавление разрешения на чтение данных в группу в корневой коллекции и разрешение наследования даст всем пользователям в этой группе разрешения читателя на источники и ресурсы в Схема данных Microsoft Purview. Это делает эти ресурсы обнаруживаемыми, но не редактируемыми, всеми участниками этой группы. Ограничение наследования в группе Revenue будет управлять доступом к этим ресурсам. Пользователи, которым требуется доступ к сведениям о доходах, могут быть добавлены отдельно в коллекцию Revenue. Аналогичным образом с ролями куратора данных и источника данных Администратор разрешения для этих групп будут начинаться с коллекции, где они назначены, и переходить к вложенным коллекциям, которые не ограничивают наследование. Ниже мы назначили разрешения для нескольких групп на уровнях коллекций в подсоборке Для Америки.
Добавление пользователей в роли
Управление назначением ролей осуществляется через коллекции. Только пользователь с ролью администратора коллекции может предоставлять разрешения другим пользователям в этой коллекции. Если необходимо добавить новые разрешения, администратор коллекции получит доступ к порталу управления Microsoft Purview, перейдите на карту данных, затем на вкладку коллекции и выберите коллекцию, в которую необходимо добавить пользователя. На вкладке Назначения ролей пользователи смогут добавлять пользователей, которым нужны разрешения, и управлять ими.
Полные инструкции см. в руководстве по добавлению назначений ролей.
Изменение администратора
Может потребоваться изменить администратора корневой коллекции или добавить администратора после создания учетной записи приложением. По умолчанию пользователь, создающий учетную запись, автоматически назначается администратору коллекции корневой коллекции. Чтобы обновить корневой администратор коллекции, существует четыре варианта:
Администраторы корневой коллекции могут управлять в портал Azure:
- Войдите в портал Azure и найдите учетную запись Microsoft Purview.
- Выберите Разрешение корневой коллекции в меню слева на странице учетной записи Microsoft Purview.
- Выберите Добавить администратора корневой коллекции , чтобы добавить администратора.
- Вы также можете выбрать Просмотреть всех администраторов корневой коллекции , которые будут приняты в корневую коллекцию на портале управления Microsoft Purview.
Вы можете назначить разрешения на портале управления Microsoft Purview , как и для любой другой роли.
Для добавления администратора коллекции можно использовать REST API. Инструкции по добавлению администратора коллекции с помощью REST API можно найти в документации по REST API для коллекций. Дополнительные сведения см. в справочнике по REST API.
Вы также можете использовать приведенную ниже команду Azure CLI. Идентификатор объекта необязателен. Дополнительные сведения и пример см. на странице справочника по командам CLI.
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
Дальнейшие действия
Теперь, когда у вас есть базовое представление о коллекциях и управлении доступом, следуйте приведенным ниже руководствам, чтобы создать эти коллекции и управлять ими или приступить к регистрации источников в Схема данных Microsoft Purview.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по