Управление политиками доступа к продуктам данных

Примечание.

В этой статье объясняется, как настроить политики доступа для бизнес-концепций, включая домены управления, продукты данных, критически важные элементы данных и термины глоссария, а также управление запросами доступа. Если вам нужно запросить доступ для себя, см. статью Запрос доступа к продуктам данных.

Доступ к продукту данных в Единый каталог Microsoft Purview предоставляет пользователям разрешения на продукт данных и разрешения на ресурсы данных в продукте данных. В этой статье объясняется, как управлять доступом к продуктам данных и настраивать систему для предоставления доступа пользователям, запрашивающим его.

В этой статье описывается:

Разрешения

  • Для просмотра политик и управления ими на уровне домена управления требуются разрешения владельца домена управления.
  • Для просмотра политик и управления ими на уровне продукта данных требуются разрешения владельца продукта данных.
  • Для просмотра политик и управления ими в критических элементах данных или терминах глоссария требуются разрешения администратора данных.
  • Единый каталог читатели могут просматривать и запрашивать доступ к продуктам данных.
  • Руководители и лица, утверждающие конфиденциальность запросов на доступ, также должны иметь как минимум средство чтения каталога, чтобы иметь возможность использовать Единый каталог и утверждать запросы в рамках многоуровневого утверждения.

Рекомендации

В этом случае утверждающие запросы должны предоставить доступ к отдельным ресурсам данных вручную в рамках процесса утверждения или указать для этого поставщика доступа.

Продукт не применяет политики, такие как аттестации (включая аттестацию без копирования). Потребитель данных подтверждает, что он будет следовать этим политикам при запросе доступа.

Пропуск политик доступа и настройки рабочего процесса

Если вы используете внешнее решение для управления доступом или не хотите получать запросы на доступ к продукту данных, эту функцию можно отключить во время проверки продукта данных. При отключении управления доступом к продукту данных к нему не применяются политики доступа из бизнес-концепций, рабочих процессов или кнопки запроса доступа.

Чтобы отключить процесс доступа к продукту данных, выполните следующие действия:

  1. Выберите продукт данных в состоянии черновика.
  2. Перейдите на вкладку Управление политиками .
  3. Прокрутите вниз до раздела рабочих процессов на вкладке до флажка Отключить управление доступом и убедитесь, что он установлен.

Настройка политик доступа к продуктам данных

Для создания политик доступа обычно требуются разрешения владельца продукта данных или администратора данных.

Совет

Для управления политиками доступа продукт данных должен находиться в неопубликованном состоянии.

  1. На портале Microsoft Purview откройте Единый каталог.

  2. В разделе Управление каталогом выберите Продукты данных, а затем выберите продукт данных.

  3. На странице сведений о продукте данных выберите Управление политиками. Здесь можно просмотреть и изменить значения по умолчанию, назначенные набору политик доступа к продуктам данных по умолчанию. Выбранные значения влияют на то, что потребители данных видят в форме запроса на доступ и действия, которые им нужно выполнить.

  4. В разделе Разрешенный доступ добавьте цели использования, которые являются авторизованными для доступа к продукту данных и его использования. По умолчанию предоставляются три цели. Вы можете добавить дополнительные цели и их описания, которые потребитель может выбрать в форме доступа к запросу.

  5. В разделе Требования к утверждению определите, требуется ли утверждение руководителя или проверка конфиденциальности и соответствия требованиям.

    Примечание.

    Если выбрать эти параметры, в форме запроса на доступ показано, что требуется утверждающий менеджер или проверка конфиденциальности и соответствия требованиям. Руководитель потребителя в Microsoft Entra ID уведомляется о первом уровне утверждения. Рецензент конфиденциальности, названный потребителем в форме запроса, уведомляется о своем утверждении. Запрос сначала проверяется менеджером, затем рецензентом конфиденциальности, а затем утверждающими запросы на доступ для утверждения и предоставления доступа. Необязательный уровень поставщика доступа является последним, если он выбран. Состояние запроса является окончательным только после завершения всех настроенных уровней утверждения.

  6. В раскрывающемся списке Требования к утверждению в разделе Утверждающие запросы доступа выберите пользователей, которым необходимо утвердить запрос на доступ. Первый утверждающий, который примет меры, утверждает запрос и продолжает предоставлять доступ к ресурсам данных вручную, записывает состояние доступа, подготовленного в каждом ресурсе, и указывает инструкции или комментарии для потребителя данных. По умолчанию заполняются владельцы продуктов данных, и вы можете добавить дополнительных утверждающих. Вы также можете добавить Microsoft Entra ID группы или группы безопасности в качестве утверждающих. Утверждающие могут видеть подробное состояние в представлении запроса.

  7. Необязательный уровень с именем Поставщик доступа можно явно задать для предоставления доступа к ресурсам данных вручную, записи состояния доступа, подготовленного в каждом ресурсе, и указания инструкций по доступу к данным или комментариев для потребителя данных. Это гарантирует, что потребитель данных будет знать о следующих шагах, которые он может предпринять для доступа к данным и их использования.

    Примечание.

    Вы можете выбрать группу ролей, чтобы предоставить состояние утверждающего всем пользователям в группе одновременно. Однако пользователи, принадлежащие к вложенным группам в группе ролей, в настоящее время не поддерживаются.

  8. В разделе Аттестации определите, разрешены ли копии данных. Аттестации отражаются в форме запроса на доступ для подтверждения потребителем.

  9. Если условия использования присутствуют в продукте данных, эти условия также отражаются в форме запроса на доступ, на который потребитель может подтвердить это.

  10. Добавьте дополнительные аттестации, выбрав Добавить аттестацию и добавив отображаемое имя и расположение файла. Эти аттестации отражаются в форме доступа к запросу для подтверждения потребителем.

  11. Если есть политики, унаследованные от домена управления, критически важного элемента данных или термина глоссария, их можно увидеть на вкладке Наследуемые политики. Дополнительные сведения см. в следующем разделе этого документа: Политики доменов управления и термины глоссария (наследуемые политики).

  12. Выберите Предварительный просмотр формы запроса , чтобы узнать, какие пользователи видят при запросе доступа.

  13. Выберите Сохранить изменения , чтобы сохранить политику доступа для домена управления.

Политики в доменах управления, термины глоссария и критически важные элементы данных (унаследованные политики)

Вы можете задать политики для доменов управления, терминов глоссария и критически важных элементов данных. Продукты данных в области управления или продукты данных, к которым применены термины глоссария или критически важные элементы данных, наследуют и агрегируют эти политики.

Унаследованные политики можно просмотреть в представлении политик управления продуктом данных на отдельной вкладке с именем Наследуемые политики. Агрегированное представление можно просмотреть, нажав кнопку Предварительный просмотр . Потребители данных видят это агрегированное представление при запросе доступа.

Например, если задать политику утверждения руководителя по термину глоссария, применяемого к продукту данных, продукт данных также требует утверждения руководителем. Любой набор аттестации по бизнес-концепции (домен управления, продукт данных, термин глоссария или критически важный элемент данных) агрегируется по продукту данных, а потребитель данных подтверждает все необходимые аттестации при запросе доступа.

Для создания политик доступа для доменов управления, терминов глоссария или критически важных элементов данных требуются разрешения владельца домена управления или администратора данных.

  1. На портале Microsoft Purview откройте Единый каталог.
  2. Выберите раскрывающийся список Управление каталогом и выберите Домены управления.
  3. Выберите домен управления.
  4. На странице домена управления выберите Управление политиками.
  5. Кроме того, на странице терминов глоссария или критических элементов данных выберите Управление политиками.
  6. В окне настройки политики вы можете создавать соответствующие политики доступа и управлять ими.

Настройка унаследованных политик

В окне Управление политиками можно просмотреть набор политик доступа по умолчанию для каждой бизнес-концепции и управлять ими. Выбранные значения влияют на то, что потребители данных видят в форме запроса на доступ и действия, которые им нужно выполнить.

  1. Определите, требуется ли утверждение руководителя. Диспетчер потребителя данных, настроенный в Microsoft Entra ID, получает уведомление в качестве первого уровня утверждения. Если запрос утвержден, запрос переходит на следующий уровень.

  2. Определите, разрешены ли копии данных. Этот выбор отображается в форме запроса на доступ, на который потребитель будет засвидетельствовать.

  3. Добавьте все нужные аттестации, выбрав Добавить аттестацию и добавив отображаемое имя и расположение файла. Эти аттестации отражаются в форме доступа к запросу для подтверждения потребителем.

Просмотр запросов на доступ и управление ими

Важно!

На странице Запросы в управлении каталогом отображаются только запросы доступа от существующих опубликованных продуктов данных до того, как новая функция рабочего процесса станет доступна 12.11.2025. Все запросы на доступ и другие утверждения находятся на вкладке Запросы и утверждения на экране Ожидание моего ответа . Процесс и утверждения одинаковы.

Чтобы просмотреть запросы на доступ в Единый каталог, выполните следующие действия. При выборе запроса на доступ откроется всплывающее окно Запрос доступа . Он содержит сведения о запросе и его состоянии. Отображаются только запросы, для которых вы являетесь утверждающей.

  1. В Единый каталог выберите Управление каталогом, а затем — Запросы.

  2. В столбце состояние таблицы доменов управления отсортируйте все домены с открытыми запросами на доступ.

  3. Выберите домен управления, для которого требуется управлять запросами доступа.

  4. На вкладке "Запросы доступа" отображается список последних запросов на доступ.

  5. Выберите запрос на доступ, на который вы хотите ответить.

  6. Просмотр сведений, отправленных потребителем.

  7. Выберите Утвердить или Отклонить.

  8. Если вы являетесь последним утверждателем в последовательности утверждающих (утверждающий запрос на доступ к продукту данных или явный поставщик доступа), запишите состояние доступа, подготовленного в каждом ресурсе, и укажите инструкции по доступу к данным или комментарии для потребителя данных. Это гарантирует, что потребитель данных будет знать о следующих шагах, которые он может предпринять для доступа к данным и их использования.

  9. Потребитель данных получает уведомление после ответа на запрос.

  10. Запрашивающий уведомляется по электронной почте, а также может просмотреть состояние на раскрывающемся списке Единый каталог Microsoft Purview Обнаружение на странице Продукты данных на вкладке Мои данные.

Состояния запросов

  • Ожидание: запрос отправляется утверждающей для проверки.
  • Отклонено: утверждающий отклоняет запрос.
  • Утверждено: запрос утвержден, но работа по подготовке еще не завершена, чтобы предоставить доступ запрашивающей.
  • Завершено. Ресурс данных подготавливается для предоставления доступа инициатору запроса. Теперь этот запрос полностью завершен.

Реагирование на запросы на доступ с помощью уведомления по электронной почте

  1. В сообщении электронной почты, полученном в виде запроса на утверждение запроса на доступ, выберите ссылку Запрос на утверждение .

  2. Вы получите представление сведений о запросе на странице Запросы в управлении каталогом .

  3. Просмотр сведений, отправленных потребителем.

  4. Выберите Утвердить или Отклонить.

  5. Если вы последний утверждающий в последовательности утверждающих лиц, утверждающий запрос на доступ к продукту данных или явный поставщик доступа, запишите состояние доступа, подготовленного в каждом ресурсе, и укажите инструкции по доступу к данным или комментарии для потребителя данных. Этот шаг гарантирует, что потребитель данных узнает о следующих шагах, которые он может предпринять для доступа к данным и их использования.

  6. Если вы последний утверждающий в последовательности утверждающих лиц и в продукте данных есть несколько ресурсов данных, вы можете записывать состояние и сохранять периодически и отмечать запрос как завершенный только после завершения работы со всеми ресурсами данных.

  7. Потребитель данных получает уведомление после ответа на запрос и в его окончательном состоянии.

  8. Запрашивающий уведомляется по электронной почте, а также может просмотреть состояние на странице поиска Единый каталог Microsoft Purview данные на вкладке Доступ к данным.

Последовательные или многоуровневые утверждения и состояния запросов

Как отмечалось в разделе об управлении политиками в продукте данных, в зависимости от выбранного вами утверждающего лица действует последовательное или многоуровневое утверждение. Следующая последовательность поддерживается для утверждений запросов на доступ к продукту данных.

  1. Если выбрать утверждение руководителя, руководитель потребителя в Microsoft Entra получает уведомление о первом уровне утверждения.

  2. Только после того, как менеджер утвердит запрос, рецензент конфиденциальности, если он выбран, получает уведомление о своем утверждении или может принять меры.

  3. После утверждения рецензентом конфиденциальности утверждающий запрос на доступ уведомляется об утверждении и подготовке доступа к ресурсам данных в продукте данных. Этот уровень утверждает и завершает запрос, если не указан поставщик доступа, в противном случае он только утверждает.

  4. Если указан последний уровень поставщика доступа, этот уровень подготавливает доступ к ресурсам данных и записывает состояние и инструкции для потребителя данных. Они выполняют запрос. Завершено — это окончательное состояние.

  5. Рабочий процесс продолжается до тех пор, пока не произойдет последнее утверждение и завершение или не произойдет первый отказ.

  6. Потребитель данных получает уведомление только после того, как все утверждающие выполняют соответствующие действия.

  7. В любой момент потребитель данных может просмотреть состояние запроса в раскрывающемся списке обнаружение Единый каталог Microsoft Purview на странице Продукты данных на вкладке Мои данные.

  8. Состояние запроса может переходить от ожидающего к отклонению или к утверждению, а затем к завершению.

Запросы на удаление доступа

Чтобы отменить доступ пользователя к продукту данных и ресурсам данных в продукте данных, утверждающий запрос должен выполнить оба описанных ниже шага.

Примечание.

Единственный утверждающий запрос, который может удалить доступ к продукту данных и удалить запрос на доступ, является владельцем того же продукта данных. Этот владелец данных также должен содержать роль владельца продукта данных.

  1. Вернитесь к отдельному ресурсу данных (например, в Azure Data Lake, Microsoft Fabric или SQL) и вручную удалите подготовку пользователя.

  2. Удалите запрос в Единый каталог, выполнив следующие действия.

    1. В Единый каталог выберите Управление каталогом, а затем — Запросы.
    2. Выберите домен управления, а затем выберите имя запроса, который требуется удалить.
    3. Во всплывающей области Запрос доступа выберите Удалить.

Если удалить подготовку ресурса, но не удалить запрос на доступ в Единый каталог, продукт данных показывает, что доступ пользователя удален, но у пользователя по-прежнему есть доступ к базовым ресурсам данных.

  • Last updated on