Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Questo articolo illustra le autorizzazioni di governance dei dati di Microsoft Purview nel nuovo portale di Microsoft Purview usando Microsoft Purview Unified Catalog.
- Se si usa il Data Catalog classico, vedere Autorizzazioni di governance per il Data Catalog classico.
- Per le autorizzazioni di governance dei dati nel portale di Microsoft Purview classico, vedere autorizzazioni nel portale di governance di Microsoft Purview classico.
La governance dei dati di Microsoft Purview include due soluzioni nel portale di Microsoft Purview: Mappa dati e Unified Catalog. Queste soluzioni usano autorizzazioni a livello di tenant/organizzazione, autorizzazioni di accesso ai dati esistenti e autorizzazioni di dominio/raccolta per fornire agli utenti l'accesso agli strumenti di governance e agli asset di dati.
Il tipo di autorizzazioni disponibili per l'uso dipende dal tipo di account Microsoft Purview.
Controllare il tipo di account
Verificare se l'organizzazione dispone del tipo di account gratuito o aziendale. Per controllare il tipo di account, passare al portale di Microsoft Purview, selezionare la scheda Impostazioni . In Account visualizzare il tipo di account.
Importante
Per gli utenti appena creati in Microsoft Entra ID, la propagazione delle autorizzazioni potrebbe richiedere tempo anche dopo l'applicazione delle autorizzazioni corrette.
Autorizzazioni nella versione enterprise
Tutti gli utenti possono visualizzare gli asset di dati per le origini disponibili in cui dispongono almeno delle autorizzazioni di lettura . Gli utenti proprietari possono gestire i metadati per gli asset in cui dispongono almeno di autorizzazioni di proprietario/scrittura . Altre informazioni sui ruoli di Azure.
Tipi di autorizzazioni
- Autorizzazioni tenant/organizzazione: assegnate a livello aziendale, forniscono autorizzazioni generali e amministrative.
- Unified Catalog autorizzazioni: consente agli utenti di esplorare Unified Catalog e compilare le soluzioni di governance dei dati.
- Autorizzazioni a livello di dominio e raccolta di Mapping dei dati: autorizzazioni in Mappa dati che concedono l'accesso agli asset di dati in Microsoft Purview.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ridurre al minimo il numero di utenti con il ruolo Amministratore globale consente di migliorare la sicurezza per l'organizzazione. Altre informazioni sui ruoli e le autorizzazioni di Microsoft Purview.
Gruppi di ruoli a livello di tenant
Assegnati a livello di organizzazione, i gruppi di ruoli a livello di tenant forniscono autorizzazioni generali e amministrative per Microsoft Purview Data Map e Unified Catalog. Se si gestisce l'account Microsoft Purview o la strategia di governance dei dati dell'organizzazione, è probabilmente necessario appartenere a uno o più di questi gruppi di ruoli:
- Amministratori di Purview
- Amministratori origine dati
- Governance dei dati
Visualizzare le descrizioni di questi ruoli.
Per un elenco completo di tutti i ruoli e i gruppi di ruoli disponibili, non solo per la governance dei dati, vedere ruoli e gruppi di ruoli nei portali Microsoft Defender XDR e Microsoft Purview.
Come assegnare e gestire i gruppi di ruoli
Un utente deve avere il ruolo Gestione ruoli per aggiungere utenti o gruppi a un gruppo di ruoli di Microsoft Purview. Per istruzioni sull'assegnazione e la gestione dei ruoli in Microsoft Purview, vedere autorizzazioni in Microsoft Purview.
autorizzazioni Unified Catalog
Esistono tre livelli di autorizzazioni per consentire agli utenti di accedere alle informazioni in Unified Catalog:
Livello tenant di governance dei dati: gruppo di ruoli a livello di tenant/organizzazione con il ruolo Amministrazione Governance dei dati. Tale ruolo delega il primo livello di accesso per Gli autori di domini di governance. Questo ruolo non viene visualizzato in Unified Catalog, ma influisce sulla possibilità di assegnare autorizzazioni in Unified Catalog.
Autorizzazioni a livello di catalogo: autorizzazioni per concedere la proprietà ai domini di governance e l'accesso alla gestione dell'integrità.
Autorizzazioni a livello di dominio di governance: autorizzazioni per accedere e gestire le risorse all'interno di domini di governance specifici.
Autorizzazioni per la ricerca nella Unified Catalog completa
Non sono necessarie autorizzazioni specifiche in Unified Catalog per poter eseguire ricerche nel Unified Catalog. Tuttavia, la ricerca Unified Catalog restituirà solo gli asset di dati rilevanti che si dispone delle autorizzazioni per visualizzare in Mappa dati. Gli utenti possono trovare un asset di dati in Unified Catalog quando:
- L'utente cerca i prodotti dati in un dominio di governance in cui dispone delle autorizzazioni di lettura catalogo.
- L'utente dispone delle autorizzazioni di lettura dati per un dominio o una raccolta in Mappa dati in cui è archiviato l'asset.
- L'utente dispone almeno delle autorizzazioni di lettura per una risorsa di Azure o Microsoft Fabric disponibile.
Importante
Gli utenti che dispongono già delle autorizzazioni di lettura in Azure potrebbero avere accesso agli asset in Unified Catalog che non si intende avere. Se non si vuole che abbiano tale accesso, è necessario rimuovere le relative autorizzazioni.
Le autorizzazioni per questi asset vengono gestite rispettivamente a livello di risorsa e a livello di mappa dati.
Se il catalogo è ben curato, gli utenti aziendali quotidiani non devono eseguire ricerche nel catalogo completo. Dovrebbero essere in grado di trovare i dati di cui hanno bisogno nei prodotti dati. Per altre informazioni sulla configurazione del Unified Catalog, vedere Introduzione alla governance dei dati e pianificare Unified Catalog.
Autorizzazioni a livello di catalogo
Le autorizzazioni a livello di catalogo forniscono solo l'accesso di alto livello all'interno di Unified Catalog e comprendono questi ruoli:
- Autore del dominio di governance
- Lettore catalogo globale
- Proprietario dell'integrità dei dati
- Lettore integrità dati
Visualizzare le descrizioni di questi ruoli.
Come assegnare ruoli a livello di catalogo
- Accedere al portale di Microsoft Purview usando le credenziali per un account amministratore a cui è assegnato il ruolo Di governance dei dati .
- Passare a Impostazioni e selezionare Unified Catalog.
- Selezionare Ruoli e autorizzazioni.
- Selezionare Governance Domain Creators o un altro ruolo, quindi selezionare l'icona Aggiungi utente.
- Cercare l'utente da aggiungere e quindi selezionare l'utente.
- Seleziona Salva.
Autorizzazioni a livello di dominio di governance
Le autorizzazioni di dominio di governance forniscono l'accesso all'interno di un dominio di governance specifico. Queste autorizzazioni devono essere concesse agli esperti di dati e agli utenti aziendali per leggere e gestire gli oggetti all'interno del dominio di governance. Le autorizzazioni di dominio di governance possono essere concesse solo da un utente che detiene il ruolo di proprietario del dominio di governance .
Visualizzare l'elenco di questi ruoli e descrizioni.
Consiglio
È importante che il ruolo di proprietario del dominio di governance sia gestito da un utente dell'organizzazione che esegue la governance dei dati o Unified Catalog. Questo ruolo è essenziale per la creazione di entità come domini di governance, prodotti dati e termini di glossario. È consigliabile avere almeno due persone assegnate come proprietari del dominio di governance.
Come assegnare ruoli di dominio di governance
Un utente deve essere proprietario del dominio di governance nel dominio di governance per assegnare i ruoli di dominio di governance. Questo ruolo viene assegnato dagli amministratori di governance dei dati o dagli autori di domini di governance.
I ruoli di dominio di governance vengono assegnati nella scheda Ruoli in un dominio di governance. Per istruzioni sull'assegnazione dei ruoli, vedere come gestire i domini di governance.
ruoli Unified Catalog
Importante
Assicurarsi di comprendere la differenza tra i due ruoli lettore di catalogo:
Lettore catalogo globale consente agli utenti di accedere ai concetti aziendali pubblicati dai domini di governance pubblicati.
Il lettore del catalogo locale riduce notevolmente l'accesso ai domini di governance. Quando si assegnano utenti a questo ruolo all'interno di un dominio di governance:
- Solo gli utenti avranno accesso lettore ai concetti pubblicati all'interno di tale dominio di governance.
- Un utente con questo ruolo può anche avere altri ruoli, ad esempio Proprietario del prodotto dati o Amministratore dati, che consentono di visualizzare i concetti aziendali pubblicati da altri domini di governance.
Il ruolo Lettore catalogo locale è utile quando, ad esempio, è necessario limitare l'accesso a un dominio di governance per soddisfare i requisiti normativi o legali. Tuttavia, l'uso eccessivo di questo ruolo ostacola un approccio federato alla governance dei dati.
Nota
L'osservabilità dei dati usa gli stessi ruoli degli altri Unified Catalog. I lettori del catalogo non saranno in grado di accedere alla visualizzazione più ampia di Esplora osservabilità dati nell'integrità dell'area dati e potranno visualizzare solo i concetti pubblicati. Data Steward, Data Product Owners, Governance Domain Owners e Governance Domain Creators hanno accesso alle visualizzazioni di osservabilità dei dati sia nei concetti che possono visualizzare che nella vista di gestione dell'integrità dei dati che consente un'esplorazione e una visualizzazione più ampie nell'intera area dati.
| Livello di autorizzazione | Ruolo | Descrizione |
|---|---|---|
| Tenant | Gruppo di ruoli Data Governance | Concede l'accesso ai ruoli di governance dei dati all'interno di Microsoft Purview. |
| Gruppo di ruoli Amministratori origine dati | Gestire le origini dati e le analisi dei dati nel Microsoft Purview Data Map. | |
| Gruppo di ruoli Amministratori di Purview | Creare, modificare ed eliminare domini ed eseguire assegnazioni di ruolo. | |
| Catalogo | Amministratore della governance dei dati | Delega il primo livello di accesso per Gli autori di domini di governance e altre autorizzazioni a livello di catalogo. |
| Proprietario dell'integrità dei dati | Può creare, aggiornare e leggere elementi nell'area Gestione integrità di Unified Catalog. | |
| Lettore integrità dati | Può leggere gli artefatti nell'area Gestione integrità di Unified Catalog. | |
| Lettore catalogo globale | Può leggere gli artefatti pubblicati tra domini di governance in cui non è specificato un lettore di catalogo locale. | |
| Autore del dominio di governance | Può creare domini e delegare il proprietario del dominio di governance (o rimane proprietario del dominio di governance per impostazione predefinita). | |
| Dominio di governance | Proprietario del prodotto dati* | Può creare, aggiornare e leggere prodotti dati solo all'interno del dominio di governance. Può leggere e creare relazioni con i concetti nei domini di governance. |
| Lettore profili dati | Ha accesso per esplorare le informazioni dettagliate sui profili dati e può eseguire il drill-down dei risultati della profilatura per esplorare le statistiche a livello di colonna. Si tratta di un ruolo secondario che richiede che l'utente contenga anche il ruolo Lettore di dominio governance e il ruolo Lettore catalogo globale o Lettore catalogo locale. | |
| Amministratore profilo dati | Può eseguire processi di profilatura dei dati e accedere ai dettagli delle informazioni dettagliate sulla profilatura. Questo ruolo può anche esplorare tutte le informazioni dettagliate sulla qualità dei dati e monitorare i processi di profilatura. Questo ruolo non può creare regole e non può eseguire l'analisi della qualità dei dati. Si tratta di un ruolo secondario che richiede che l'utente contenga anche i ruoli Lettore dominiogovernance eProprietario del prodotto dati . | |
| Lettore metadati data quality | È possibile esplorare informazioni dettagliate sulla qualità dei dati ,ad eccezione delle informazioni dettagliate a livello di colonna dei risultati di profilatura, della definizione delle regole di qualità dei dati e dei punteggi a livello di regola. Questo ruolo non può accedere ai record degli errori e non può eseguire processi di profilatura e analisi della qualità dei dati. Si tratta di un ruolo secondario che richiede che l'utente contenga anche il ruolo Lettore di dominio governance e il ruolo Lettore catalogo globale o Lettore catalogo locale. | |
| Lettore di qualità dei dati | Può esplorare tutte le informazioni dettagliate sulla qualità dei dati e le definizioni delle regole di qualità dei dati. Questo ruolo non può eseguire processi di analisi della qualità dei dati e profilatura dei dati e non può accedere alle informazioni dettagliate a livello di colonna di profilatura dei dati come informazioni dettagliate a livello di colonna. Si tratta di un ruolo secondario che richiede che l'utente contenga anche il ruolo Lettore di dominio governance e il ruolo Lettore catalogo globale o Lettore catalogo locale. | |
| Data Quality Steward | Può usare funzionalità di qualità dei dati come la gestione delle regole di qualità dei dati, l'analisi della qualità dei dati, le informazioni dettagliate sulla qualità dei dati, la pianificazione della qualità dei dati, il monitoraggio dei processi e la configurazione di soglie e avvisi. Si tratta di un ruolo secondario che richiede che l'utente contenga anche i ruoli Lettore dominiogovernance eProprietario del prodotto dati . | |
| Data Steward* | Può creare, aggiornare e leggere elementi e criteri all'interno del dominio di governance. Può anche leggere artefatti da altri domini di governance. | |
| Proprietario del dominio di governance | Può delegare tutte le altre autorizzazioni del dominio di governance, configurare gli avvisi di analisi della qualità dei dati a livello di dominio, configurare la pianificazione a livello di dominio per il processo di analisi della qualità dei dati e impostare i criteri di accesso a livello di dominio. | |
| Lettore di dominio di governance | Può leggere i metadati del dominio di governance per i domini pubblicati a cui vengono aggiunti. | |
| Lettore catalogo locale | Può leggere i concetti pubblicati solo nel dominio di governance a cui viene concesso l'accesso. Poiché questo ruolo limita notevolmente l'ambito di chi può accedere e gestire i dati, è consigliabile limitare l'uso di questo ruolo in modo da poter usare meglio un approccio federato alla governance dei dati. |
*Per poter aggiungere asset di dati a un prodotto dati, i proprietari dei prodotti dati e gli amministratori dei dati hanno anche bisogno delle autorizzazioni mappa dati per leggere tali asset di dati in Data Map.
Autorizzazioni mappa dati
Mappa dati usa un set di ruoli predefiniti per controllare chi può accedere a ciò che all'interno dell'account. Domini e raccolte sono strumenti usati da Mappa dati per raggruppare asset, origini e altri elementi in una gerarchia per individuabilità e per gestire il controllo di accesso all'interno di Mappa dati.
Trovare una descrizione di ogni ruolo e informazioni su come aggiungere ruoli e limitare l'accesso tramite raccolte.
Per informazioni più dettagliate sui ruoli disponibili nelle raccolte, vedere a chi devono essere assegnati i ruoli o l'esempio di raccolte.
Consiglio
Se si è un amministratore dei dati o un proprietario del prodotto dati per Unified Catalog, è consigliabile avere anche le autorizzazioni di Mapping dei dati.
Esempio di ciclo di vita degli asset di dati
Per informazioni sul funzionamento delle autorizzazioni tra mapping dei dati e Unified Catalog, esaminare la tabella seguente sull'intero ciclo di vita di una tabella Azure SQL nell'ambiente:
| Passaggio | Ruolo | Livello di autorizzazione |
|---|---|---|
| 1. Il database Azure SQL è registrato nella mappa dati | Amministratore origine dati | Mappa dati |
| 2. Il database Azure SQL viene analizzato in Mappa dati | Curatore dei dati o amministratore dell'origine dati | Mappa dati |
| 3. Il tavolo Azure SQL è curato e certificato | Curatore dati | Mappa dati |
| 4. Viene creato un dominio di governance nell'account Microsoft Purview | Autore del dominio di governance | Catalogo |
| 5. Viene creato un prodotto dati nel dominio di governance | Proprietario del dominio di governance e/o proprietario del prodotto dati | Dominio di governance |
| 6. La tabella Azure SQL viene aggiunta come asset al prodotto dati | Proprietario e/o amministratore del prodotto dati | Dominio di governance |
| 7. Un criterio di accesso viene aggiunto al prodotto dati | Proprietario e/o amministratore del prodotto dati | Dominio di governance |
| 8. Un utente cerca Unified Catalog, cercando asset di dati che corrispondono alle proprie esigenze | Autorizzazioni per asset o autorizzazioni per il lettore di dati | Autorizzazioni asset o autorizzazioni mappa dati |
| 9. Un utente cerca i prodotti dati, cercando un prodotto che soddisfi le proprie esigenze | Lettore catalogo globale | Catalogo |
| 10. Un utente richiede l'accesso alle risorse nel prodotto dati | Lettore catalogo globale | Catalogo |
| 11. Un utente visualizza Data Health Insights per tenere traccia dell'integrità dei Data Catalog | Lettore integrità dati | Catalogo |
| 12. Un utente vuole sviluppare un nuovo report per tenere traccia dell'avanzamento dell'integrità dei dati nel catalogo | Proprietario dell'integrità dei dati | Catalogo |