Поделиться через


Роли управления и разрешения для классических Каталог данных в бесплатных и корпоративных типах учетных записей

Важно!

В этой статье описываются разрешения на управление в бесплатных и корпоративных версиях решений по управлению данными Microsoft Purview с помощью классической Каталог данных Microsoft Purview.

В системе управления данными Microsoft Purview есть два решения на портале Microsoft Purview: карта данных и каталог. Эти решения используют разрешения уровня клиента или организации, существующие разрешения на доступ к данным, а также разрешения на доступ к домену и сбору, чтобы предоставить пользователям доступ к средствам управления и ресурсам данных. Тип разрешений, доступных для использования, зависит от типа учетной записи Microsoft Purview. Тип учетной записи можно проверка на портале Microsoft Purview в разделе Параметры карта и Учетная запись.

Снимок экрана: решение параметров, выделенное на портале Microsoft Purview main странице.

Снимок экрана: страница параметров на портале Microsoft Purview.

Тип учетной записи Разрешения клиента или организации Разрешения доступа к данным Разрешения на домен и коллекцию
Бесплатно x x
Enterprise x x x

Дополнительные сведения о каждом типе разрешений см. в следующих руководствах:

Дополнительные сведения о разрешениях на основе типа учетной записи см. в следующих руководствах:

Важно!

Для пользователей, только что созданных в Microsoft Entra ID, может потребоваться некоторое время для распространения разрешений даже после применения правильных разрешений.

Группы ролей уровня клиента

Назначенные на уровне организации группы ролей на уровне клиента предоставляют общие и административные разрешения как для Схема данных Microsoft Purview, так и для классических Каталог данных. Если вы управляете учетной записью Microsoft Purview или стратегией управления данными вашей организации, вам, вероятно, потребуется одна или несколько из этих ролей.

Доступные в настоящее время группы ролей уровня клиента системы управления:

Группа ролей Описание Доступность типа учетной записи
Администратор Purview Создание, изменение и удаление доменов и выполнение назначений ролей. Бесплатные и корпоративные учетные записи
Администраторы источников данных Управление источниками данных и проверками данных в Схема данных Microsoft Purview. Корпоративные учетные записи
Кураторы Каталог данных Выполняйте действия по созданию, чтению, изменению и удалению объектов данных каталога и установлению связей между объектами в классической Каталог данных. Корпоративные учетные записи
Средства чтения Data Estate Insights Предоставляет доступ только для чтения ко всем аналитическим отчетам на разных платформах и поставщиках в классической Каталог данных. Корпоративные учетные записи
Администраторы Data Estate Insights Предоставляет администратору доступ ко всем аналитическим отчетам на разных платформах и поставщиках в классической Каталог данных. Корпоративные учетные записи

Полный список всех доступных ролей и групп ролей, а не только для управления данными, см. в статье Роли и группы ролей на порталах Microsoft Defender XDR и Microsoft Purview.

Назначение групп ролей и управление ими

Примечание.

Чтобы назначить роли, пользователи должны иметь роль управления ролями или роль глобального администратора для организации.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Чтобы назначать роли в Microsoft Purview и управлять ими, следуйте разрешениям, приведенным в руководстве по Microsoft Purview.

Разрешения на поиск в классической Каталог данных

Для поиска в каталоге не требуются определенные разрешения. Однако при поиске в каталоге возвращаются только соответствующие ресурсы данных, которые у вас есть разрешения на просмотр в схеме данных.

Пользователи могут найти ресурс данных в каталоге, когда:

Разрешения для этих ресурсов управляются на уровне ресурсов и на уровне карты данных.

Разрешения на домен и коллекцию

Домены и коллекции — это средства, которые Схема данных Microsoft Purview использует для группировки ресурсов, источников и других артефактов в иерархию для обнаружения и управления доступом в Схема данных Microsoft Purview.

Роли домена и коллекции

Схема данных Microsoft Purview использует набор предопределенных ролей для управления доступом к данным в учетной записи. В настоящее время следующие роли:

  • Администратор домена (только на уровне домена ) — может назначать разрешения в домене и управлять его ресурсами.
  • Администратор коллекции — роль для пользователей, которым потребуется назначать роли другим пользователям на портале управления Microsoft Purview или управлять коллекциями. Администраторы коллекций могут добавлять пользователей в роли в коллекциях, где они администраторы. Они также могут изменять коллекции, их сведения и добавлять вложенные коллекции. Администратор коллекции в корневой коллекции также автоматически имеет разрешение на портал управления Microsoft Purview. Если необходимо изменить администратора корневой коллекции , выполните действия, описанные в разделе ниже.
  • Кураторы данных — роль, которая предоставляет доступ к Единый каталог Microsoft Purview для управления ресурсами, настройки пользовательских классификаций, создания терминов глоссария и управления ими, а также для просмотра аналитических сведений о ресурсах данных. Кураторы данных могут создавать, читать, изменять, перемещать и удалять ресурсы. Они также могут применять заметки к ресурсам.
  • Средства чтения данных — роль, которая предоставляет доступ только для чтения к ресурсам данных, классификациям, правилам классификации, коллекциям и терминам глоссария.
  • Администратор источника данных — роль, которая позволяет пользователю управлять источниками данных и проверками. Если пользователю предоставляется только роль администратора источника данных в заданном источнике данных, он может выполнять новые проверки с помощью существующего правила проверки. Чтобы создать новые правила сканирования, пользователю также необходимо предоставить роль читателя данных или куратора данных .
  • Читатель аналитических сведений — роль, которая предоставляет доступ только для чтения к аналитическим отчетам для коллекций, где читатель аналитических сведений также имеет по крайней мере роль читателя данных . Дополнительные сведения см. в разделе Разрешения аналитики.
  • Автор политики — роль, которая позволяет пользователю просматривать, обновлять и удалять политики Microsoft Purview с помощью приложения Политики данных в Microsoft Purview.
  • Администратор рабочих процессов — роль, которая позволяет пользователю получать доступ к странице создания рабочих процессов на портале управления Microsoft Purview и публиковать рабочие процессы в коллекциях, где у него есть разрешения на доступ. Администратор рабочего процесса имеет только доступ к разработке, поэтому для доступа к порталу управления Purview потребуется по крайней мере разрешение на чтение данных в коллекции.

Примечание.

В настоящее время роли автора политики Microsoft Purview недостаточно для создания политик. Также требуется роль администратора источника данных Microsoft Purview.

Важно!

Пользователь, создавший учетную запись, автоматически назначается администратором домена в домене по умолчанию и администратором коллекции в корневой коллекции.

Добавление назначений ролей

  1. Откройте Схема данных Microsoft Purview.

  2. Выберите домен или коллекцию, в которую нужно добавить назначение ролей.

  3. Перейдите на вкладку Назначения ролей , чтобы просмотреть все роли в коллекции или домене. Только администратор коллекции или администратор домена может управлять назначениями ролей.

    Снимок экрана: окно коллекции портала управления Microsoft Purview с выделенной вкладкой

  4. Выберите Изменить назначения ролей или значок пользователя, чтобы изменить каждого участника роли.

    Снимок экрана: окно сбора на портале управления Microsoft Purview с выбранным раскрывающимся списком

  5. Введите в текстовое поле, чтобы найти пользователей, которые вы хотите добавить в член роли. Выберите X , чтобы удалить участников, которые вы не хотите добавлять.

    Снимок экрана: окно администрирования коллекции портала управления Microsoft Purview с выделенной панелью поиска.

  6. Нажмите кнопку ОК , чтобы сохранить изменения, и в списке назначений ролей вы увидите новых пользователей.

Удаление назначений ролей

  1. Нажмите кнопку X рядом с именем пользователя, чтобы удалить назначение роли.

    Снимок экрана: окно коллекции портала управления Microsoft Purview с выбранной вкладкой назначения ролей и кнопкой x рядом с одним из выделенных имен.

  2. Выберите Подтвердить , если вы действительно удалили пользователя.

    Снимок экрана: всплывающее окно подтверждения с выделенной кнопкой подтверждения.

Ограничение наследования

Разрешения на коллекцию наследуются автоматически от родительской коллекции. Вы можете ограничить наследование от родительской коллекции в любое время с помощью параметра ограничить унаследованные разрешения.

Примечание.

В настоящее время разрешения из домена по умолчанию не могут быть ограничены. Все разрешения, назначенные домену по умолчанию, наследуются прямыми вложенными коллекциями домена.

После ограничения наследования необходимо добавить пользователей непосредственно в ограниченную коллекцию, чтобы предоставить им доступ.

  1. Перейдите к коллекции, в которой требуется ограничить наследование, и выберите вкладку Назначения ролей .

  2. Выберите Ограничить унаследованные разрешения и выберите Ограничить доступ во всплывающем диалоговом окне, чтобы удалить унаследованные разрешения из этой коллекции и всех вложенных сборок. Разрешения администратора коллекции не будут затронуты.

    Снимок экрана: окно коллекции портала управления Microsoft Purview с выбранной вкладкой назначения ролей и выделенной кнопкой ограничения унаследованных разрешений.

  3. После ограничения наследуемые члены удаляются из ролей, ожидаемых для администратора коллекции.

  4. Снова нажмите кнопку Ограничить унаследованные разрешения, чтобы отменить изменения.

    Снимок экрана: окно коллекции портала управления Microsoft Purview с выбранной вкладкой

Совет

Более подробные сведения о ролях, доступных в коллекциях, см. в разделе Кому следует назначить таблицу ролей или пример коллекций.

Разрешения доступа к данным

Разрешения на доступ к данным — это разрешения, которые пользователи уже имеют в своих источниках данных Azure. Эти существующие разрешения также предоставляют разрешения на доступ к метаданным для этих источников и управление ими в зависимости от уровня разрешений:

В настоящее время эти функции доступны только для некоторых источников Azure:

Источник данных Разрешение читателя
База данных SQL Azure Роль читателя в Azure
Хранилище BLOB-объектов Azure Роль читателя в Azure
Azure Data Lake Storage 2-го поколения Роль читателя в Azure
Подписка на Azure Разрешение на чтение в подписке

Роль читателя содержит достаточно разрешений, но если вы создаете настраиваемую роль, пользователи должны включить следующие действия:

Источник данных Разрешение читателя
База данных SQL Azure "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read"
Хранилище BLOB-объектов Azure "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read"
Azure Data Lake Storage 2-го поколения "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read"
Подписка на Azure "Microsoft.Resources/subscriptions/resourceGroups/read"

Разрешения читателя

Пользователи, которые имеют по крайней мере роль читателядоступных ресурсов Azure , также могут получить доступ к метаданным этих ресурсов в бесплатных и корпоративных типах учетных записей.

Пользователи могут искать и просматривать ресурсы из этих источников в классической Каталог данных и просматривать их метаданные.

Ниже приведены разрешения, необходимые для ресурсов, чтобы пользователи считались читателями:

Источник данных Разрешение читателя
База данных SQL Azure Роль читателя в Azure
Хранилище BLOB-объектов Azure Роль читателя в Azure
Azure Data Lake Storage 2-го поколения Роль читателя в Azure
Подписка на Azure Разрешение на чтение в подписке

Разрешения владельца

Пользователи с ролью владельца или разрешениями на запись доступных ресурсов Azure могут получать доступ и изменять метаданные для этих ресурсов в бесплатных и корпоративных типах учетных записей.

Пользователи,владеющие, могут искать и просматривать ресурсы из этих источников в каталоге и просматривать метаданные. Пользователи также могут обновлять метаданные для этих ресурсов и управлять ими. Дополнительные сведения о курирование метаданных.

Ниже перечислены разрешения, необходимые для ресурсов, чтобы пользователи считались владельцами:

Источник данных разрешение владельца
База данных SQL Azure "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write"
Хранилище BLOB-объектов Azure "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write"
Azure Data Lake Storage 2-го поколения "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write"

Разрешения в бесплатной версии

Все пользователи могут просматривать ресурсы данных для доступных источников, где у них уже есть по крайней мере разрешения на чтение . Владельцы пользователей могут управлять метаданными для доступных ресурсов , у которых уже есть по крайней мере разрешения владельца и записи . Дополнительные сведения см. в разделе Разрешения доступа к данным.

Дополнительные разрешения также можно назначить с помощью групп ролей уровня клиента.

Важно!

Для пользователей, только что созданных в Microsoft Entra ID, может потребоваться некоторое время для распространения разрешений даже после применения правильных разрешений.

Разрешения в корпоративной версии Microsoft Purview

Все пользователи могут просматривать ресурсы данных для доступных источников, где у них уже есть по крайней мере разрешения на чтение . Владельцы пользователей могут управлять метаданными для ресурсов, у которых уже есть по крайней мере разрешения владельца и записи . Дополнительные сведения см. в разделе Разрешения доступа к данным.

Дополнительные разрешения также можно назначить с помощью групп ролей уровня клиента.

Разрешения также могут быть назначены в Схема данных Microsoft Purview, чтобы пользователи могли просматривать ресурсы в схеме данных или классическом Каталог данных поиска, к которым у них еще нет доступа к данным.