Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
В этой статье рассматриваются разрешения управления данными Microsoft Purview на новом портале Microsoft Purview с помощью Единый каталог Microsoft Purview.
- Если используется классическая Каталог данных, см. статью Разрешения управления для классического Каталог данных.
- Разрешения на управление данными на классическом портале Microsoft Purview см. в разделе Разрешения на классическом портале управления Microsoft Purview.
На портале Microsoft Purview есть два решения для управления данными: карта данных и Единый каталог. Эти решения используют разрешения уровня клиента или организации, существующие разрешения на доступ к данным, а также разрешения на доступ к домену и сбору, чтобы предоставить пользователям доступ к средствам управления и ресурсам данных.
Тип разрешений, доступных для использования, зависит от типа учетной записи Microsoft Purview.
Проверка типа учетной записи
Проверьте, есть ли у вашей организации бесплатная или корпоративная учетная запись. Чтобы проверка тип учетной записи, перейдите на портал Microsoft Purview и выберите параметры карта. В разделе Учетная запись просмотрите тип учетной записи.
Важно!
Для пользователей, только что созданных в Microsoft Entra ID, может потребоваться некоторое время для распространения разрешений даже после применения правильных разрешений.
Разрешения в корпоративной версии
Все пользователи могут просматривать ресурсы данных для доступных источников, где у них уже есть по крайней мере разрешения на чтение . Пользователи, являющиеся владельцами, могут управлять метаданными для ресурсов, у которых уже есть по крайней мере разрешения владельца и записи . Дополнительные сведения о ролях Azure.
Типы разрешений
- Разрешения клиента или организации. Назначенные на уровне организации, они предоставляют общие и административные разрешения.
- Единый каталог разрешения: разрешить пользователям просматривать Единый каталог и создавать свои решения для управления данными.
- Разрешения на домен и уровень сбора карты данных: разрешения в схеме данных, которые предоставляют доступ к ресурсам данных в Microsoft Purview.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Группы ролей уровня клиента
Назначенные на уровне организации группы ролей на уровне клиента предоставляют общие и административные разрешения как для Схема данных Microsoft Purview, так и для Единый каталог. Если вы управляете учетной записью Microsoft Purview или стратегией управления данными вашей организации, скорее всего, вам потребуется принадлежать к одной или нескольким из следующих групп ролей:
- Администраторы Purview
- Администраторы источников данных
- Управление данными
Просмотрите описания этих ролей.
Полный список всех доступных ролей и групп ролей, а не только для управления данными, см. в статье Роли и группы ролей на порталах Microsoft Defender XDR и Microsoft Purview.
Назначение групп ролей и управление ими
Пользователь должен удерживать роль управления ролями, чтобы добавить пользователей или группы в группу ролей Microsoft Purview. Инструкции по назначению ролей и управлению ими в Microsoft Purview см. в разделе Разрешения в Microsoft Purview.
разрешения Единый каталог
Существует три уровня разрешений, позволяющих пользователям получать доступ к информации в Единый каталог:
Уровень клиента управления данными. Группа ролей уровня клиента или организации, которая имеет Администратор роль управления данными. Эта роль делегирует первый уровень доступа для создателей домена управления. (Эта роль не отображается в Единый каталог, но влияет на возможность назначения разрешений в Единый каталог.)
Разрешения на уровне каталога. Разрешения для предоставления права владения доменам управления и доступа к управлению работоспособностью.
Разрешения на уровне домена управления. Разрешения на доступ к ресурсам в определенных доменах управления и управление ими.
Разрешения на поиск по полной Единый каталог
Для поиска Единый каталог в Единый каталог не требуются определенные разрешения. Однако поиск Единый каталог вернет только соответствующие ресурсы данных, которые у вас есть разрешения на просмотр в схеме данных. Пользователи могут найти ресурс данных в Единый каталог, когда:
- Пользователь выполняет поиск продуктов данных в домене управления, где у него есть разрешения на чтение каталога.
- Пользователь имеет разрешения на чтение данных в домене или коллекции в схеме данных , где хранится ресурс.
- У пользователя есть по крайней мере разрешения на чтение в доступном ресурсе Azure или Microsoft Fabric.
Важно!
Пользователи, у которых уже есть разрешения на чтение в Azure, могут иметь доступ к ресурсам в Единый каталог, которые вы не планируете использовать для них. Если вы не хотите, чтобы у них был такой доступ, необходимо удалить их разрешения.
Разрешения для этих ресурсов управляются на уровне ресурсов и на уровне карты данных соответственно.
Если каталог хорошо проверен, повседневным бизнес-пользователям не нужно выполнять поиск по полному каталогу. Они должны иметь возможность находить необходимые данные в продуктах данных. Дополнительные сведения о настройке Единый каталог см. в статье Начало работы с управлением данными и планирование Единый каталог.
Разрешения на уровне каталога
Разрешения на уровне каталога предоставляют только высокоуровневый доступ в Единый каталог и включают следующие роли:
- Создатель домена управления
- Средство чтения глобального каталога
- Владелец работоспособности данных
- Средство чтения работоспособности данных
Просмотрите описания этих ролей.
Назначение ролей на уровне каталога
- Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора, которому назначена роль управления данными .
- Перейдите в раздел Параметры и выберите Единый каталог.
- Выберите Роли и разрешения.
- Выберите Создатели домена управления или другую роль, а затем щелкните значок добавить пользователя.
- Найдите пользователя, которого вы хотите добавить, а затем выберите пользователя.
- Выберите Сохранить.
Разрешения уровня домена управления
Разрешения домена управления предоставляют доступ в пределах определенного домена управления. Эти разрешения должны быть предоставлены экспертам по данным и бизнес-пользователям для чтения объектов в домене управления и управления ими. Разрешения домена управления могут быть предоставлены только пользователем с ролью владельца домена управления .
Просмотрите список этих ролей и описания.
Совет
Важно, чтобы роль владельца домена управления была у пользователя в вашей организации, который выполняет управление данными или Единый каталог. Эта роль является важной для создания сущностей, таких как домены управления, продукты данных и термины глоссария. Рекомендуется, чтобы в качестве владельцев доменов управления были назначены по крайней мере два человека.
Назначение ролей домена управления
Чтобы назначать роли домена управления, пользователь должен быть владельцем домена управления в домене управления. Эта роль назначается администраторами управления данными или создателями домена управления.
Роли домена управления назначаются на вкладке Роли в домене управления. Инструкции по назначению ролей см. в статье Управление доменами управления.
Важно!
Убедитесь, что вы понимаете разницу между двумя ролями читателя каталога:
- Средство чтения глобального каталога позволяет пользователю получить доступ к любому домену управления и ко всем опубликованным понятиям, содержащимся в доменах.
- Средство чтения локального каталога значительно сокращает доступ к доменам управления. Когда вы назначаете пользователю эту роль в домене управления, ни один другой пользователь в вашей организации не может получить доступ к этому домену. Эта роль полезна, когда, например, необходимо ограничить доступ к домену управления в соответствии с нормативными или юридическими требованиями. Однако чрезмерное использование этой роли препятствует федеративного подхода к управлению данными. Пользователь с этой ролью также может содержать роли, которые предоставляют ему другие разрешения на просмотр ресурсов в Единый каталог или управление ими.
Единый каталог роли
Примечание.
Наблюдаемость данных использует те же роли, что и остальная часть Единый каталог. Читатели каталога не смогут получить доступ к более широкому представлению обозревателя наблюдаемости данных в работоспособности хранилища данных, и они смогут просматривать только опубликованные концепции. Администратор данных, владельцы продуктов данных, владельцы доменов управления и создатели домена управления имеют доступ к представлениям наблюдаемости данных как в понятиях, которые они могут просматривать, так и в представлении управления работоспособностью данных, которое позволяет более широко исследовать и просматривать все пространство данных.
| Уровень разрешений. | Role | Описание |
|---|---|---|
| Клиент | Группа ролей управления данными | Предоставляет доступ к ролям управления данными в Microsoft Purview. |
| Группа ролей "Администраторы источников данных" | Управление источниками данных и проверками данных в Схема данных Microsoft Purview. | |
| Группа ролей "Администраторы Purview" | Создание, изменение и удаление доменов и выполнение назначений ролей. | |
| Каталог | Администратор управления данными | Делегирует первый уровень доступа для создателей домена управления и других разрешений на уровне каталога. |
| Владелец работоспособности данных | Может создавать, обновлять и считывать артефакты в области управления работоспособностью Единый каталог. | |
| Средство чтения работоспособности данных | Может считывать артефакты в области управления работоспособностью Единый каталог. | |
| Средство чтения глобального каталога | Может считывать опубликованные артефакты в доменах управления, в которых не указано средство чтения локального каталога. | |
| Создатель домена управления | Может создавать домены и делегировать владельца домена управления (или остается владельцем домена управления по умолчанию). | |
| Домен управления | Владелец продукта данных* | Может создавать, обновлять и считывать продукты данных только в пределах своего домена управления. Может читать и строить связи с основными понятиями в доменах управления. |
| Читатель профиля данных | Можно просматривать все аналитические сведения о качестве данных и просматривать результаты профилирования для просмотра статистики на уровне столбца. Это подроль, которая требует, чтобы пользователь также удерживал роль читателя домена управленияичитателя глобального каталога или читателя локального каталога . | |
| Стюард профиля данных | Может выполнять задания профилирования данных и получать доступ к аналитическим сведениям о профилировании. Эта роль также может просматривать все аналитические сведения о качестве данных и отслеживать задания профилирования. Эта роль не может создавать правила и не может выполнять проверку качества данных. Это подроль, которая требует, чтобы пользователь также держал роли читателя домена управленияивладельца продукта данных . | |
| Средство чтения метаданных качества данных | Может просматривать аналитические сведения о качестве данных (за исключением анализа на уровне столбца результатов профилирования), определение правила качества данных и оценки уровня правила. Эта роль не может получить доступ к записям об ошибках и не может выполнять задания профилирования и проверки качества данных. Это подроль, которая требует, чтобы пользователь также удерживал роль читателя домена управленияичитателя глобального каталога или читателя локального каталога . | |
| Средство чтения качества данных | Может просматривать все аналитические сведения о качестве данных и определения правил качества данных. Эта роль не может выполнять проверки качества данных и задания профилирования данных, а также не может получить доступ к аналитическим сведениям на уровне столбцов профилирования данных в виде аналитических сведений на уровне столбцов. Это подроль, которая требует, чтобы пользователь также удерживал роль читателя домена управленияичитателя глобального каталога или читателя локального каталога . | |
| Управление качеством данных | Может использовать такие функции качества данных, как управление правилами качества данных, сканирование качества данных, просмотр аналитических сведений о качестве данных, планирование качества данных, мониторинг заданий, настройка порогов и оповещений. Это подроль, которая требует, чтобы пользователь также держал роли читателя домена управленияивладельца продукта данных . | |
| Стюард данных* | Может создавать, обновлять и считывать артефакты и политики в домене управления. Также может считывать артефакты из других доменов управления. | |
| Владелец домена управления | Может делегировать все другие разрешения домена управления, настроить оповещения о проверке качества данных на уровне домена, настроить расписание на уровне домена для задания проверки качества данных и задать политики доступа на уровне домена. | |
| Средство чтения домена управления | Может считывать метаданные для опубликованных доменов управления. | |
| Читатель локального каталога | Может читать опубликованные концепции только в области управления, к которому им предоставлен доступ. Так как эта роль значительно ограничивает область пользователей, имеющих доступ к данным и управление ими, рекомендуется ограничить использование этой роли, чтобы можно было лучше использовать федеративный подход к управлению данными. |
*Чтобы иметь возможность добавлять ресурсы данных в продукт данных, владельцам продуктов данных и администраторам данных также требуются разрешения карты данных для чтения этих ресурсов данных в схеме данных.
Разрешения карты данных
В схеме данных используется набор предопределенных ролей для управления доступом к данным в учетной записи. Домены и коллекции — это средства, используемые картой данных для группировки ресурсов, источников и других артефактов в иерархию для обеспечения возможности обнаружения и управления доступом в схеме данных.
Найдите описание каждой роли и узнайте, как добавлять роли и ограничивать доступ через коллекции.
Дополнительные сведения о ролях, доступных в коллекциях, см. в разделе , кому следует назначать какие роли или примеры коллекций.
Совет
Если вы являетесь владельцем или владельцем продукта данных для Единый каталог, рекомендуется также иметь разрешения карты данных.
Пример жизненного цикла ресурса данных
Чтобы понять, как работают разрешения между картой данных и Единый каталог, ознакомьтесь с таблицей ниже по полному жизненному циклу Azure SQL таблицы в среде:
| Шаг | Role | Уровень разрешений. |
|---|---|---|
| 1. База данных Azure SQL зарегистрирована в схеме данных | Администратор источника данных | Карта данных |
| 2. База данных Azure SQL сканируется на карте данных | Куратор данных или администратор источника данных | Карта данных |
| 3. Таблица Azure SQL проверена и сертифицирована | Куратор данных | Карта данных |
| 4. Домен управления создается в учетной записи Microsoft Purview. | Создатель домена управления | Каталог |
| 5. Продукт данных создается в домене управления | Владелец домена управления и (или) владелец продукта данных | Домен управления |
| 6. Таблица Azure SQL добавляется в качестве ресурса в продукт данных. | Владелец и (или) владелец продукта данных | Домен управления |
| 7. В продукт данных добавляется политика доступа. | Владелец и (или) владелец продукта данных | Домен управления |
| 8. Пользователь выполняет поиск Единый каталог, в поисках ресурсов данных, соответствующих его потребностям. | Разрешения на доступ к ресурсу или разрешение на чтение данных | Разрешения ресурсов или разрешения карты данных |
| 9. Пользователь выполняет поиск продуктов данных, ищет продукт, соответствующий его потребностям. | Средство чтения глобального каталога | Каталог |
| 10. Пользователь запрашивает доступ к ресурсам в продукте данных | Средство чтения глобального каталога | Каталог |
| 11. Пользователь просматривает аналитику работоспособности данных для отслеживания работоспособности своих Каталог данных | Средство чтения работоспособности данных | Каталог |
| 12. Пользователь хочет создать новый отчет для отслеживания состояния работоспособности данных в каталоге. | Владелец работоспособности данных | Каталог |