Zugriffssteuerung im Microsoft Purview-Governanceportal
Das Microsoft Purview-Governanceportal verwendet Sammlungen im Microsoft Purview Data Map, um den Zugriff auf seine Quellen, Ressourcen und andere Artefakte zu organisieren und zu verwalten. In diesem Artikel werden Sammlungen und die Zugriffsverwaltung für Ihr Konto im Microsoft Purview-Governanceportal beschrieben.
Wichtig
Dieser Artikel bezieht sich auf berechtigungen, die für das Microsoft Purview-Governanceportal und Anwendungen wie Microsoft Purview Data Map, Data Catalog, Data Policy, Data Estate Insights usw. erforderlich sind. Wenn Sie nach Berechtigungsinformationen für das Microsoft Purview Compliance Center suchen, befolgen Sie den Artikel für Berechtigungen im Microsoft Purview-Complianceportal. Sie können Microsoft Purview-Datenbesitzerrichtlinien verwenden, wenn Sie Zugriff auf die Daten selbst in Ihren Datensystemen gewähren möchten. Sie können Microsoft Purview DevOps-Richtlinien verwenden, wenn Sie Zugriff auf die Systemmetadaten bestimmter Datenbanken gewähren möchten.
Berechtigungen für den Zugriff auf das Microsoft Purview-Governanceportal
Es gibt zwei Standard Möglichkeiten, auf das Microsoft Purview-Governanceportal zuzugreifen, und Sie benötigen spezifische Berechtigungen für eine der folgenden:
- Um direkt unter auf https://web.purview.azure.comIhr Microsoft Purview-Governanceportal zuzugreifen, benötigen Sie mindestens eine Leserrolle für eine Sammlung in Ihrem Microsoft Purview Data Map.
- Um über die Azure-Portal auf Ihr Microsoft Purview-Governanceportal zuzugreifen, indem Sie nach Ihrem Microsoft Purview-Konto suchen, es öffnen und Microsoft Purview-Governanceportal öffnen auswählen, benötigen Sie mindestens die Rolle Leser unter Access Control (IAM).
Hinweis
Wenn Sie Ihr Konto mithilfe eines Dienstprinzipals erstellt haben, müssen Sie einer Benutzersammlung Administratorberechtigungen für die Stammsammlung erteilen, um auf das Microsoft Purview-Governanceportal zugreifen zu können.
Sammlungen
Eine Sammlung ist ein Tool, das der Microsoft Purview Data Map verwendet, um Ressourcen, Quellen und andere Artefakte in einer Hierarchie zu gruppieren, um die Erkennbarkeit zu verbessern und die Zugriffssteuerung zu verwalten. Alle Zugriffe auf die Ressourcen des Microsoft Purview-Governanceportals werden über Sammlungen im Microsoft Purview Data Map verwaltet.
Rollen
Das Microsoft Purview-Governanceportal verwendet eine Reihe vordefinierter Rollen, um zu steuern, wer auf was innerhalb des Kontos zugreifen kann. Diese Rollen sind derzeit:
- Sammlungsadministrator : Eine Rolle für Benutzer, die anderen Benutzern im Microsoft Purview-Governanceportal Rollen zuweisen oder Sammlungen verwalten müssen. Sammlungsadministratoren können Benutzer rollen in Sammlungen hinzufügen, in denen sie Administratoren sind. Sie können auch Sammlungen und deren Details bearbeiten und Untersammlungen hinzufügen. Ein Sammlungsadministrator für die Stammsammlung verfügt auch automatisch über die Berechtigung für das Microsoft Purview-Governanceportal. Wenn Ihr Stammsammlungsadministrator jemals geändert werden muss, können Sie die Schritte im folgenden Abschnitt ausführen.
- Datenkuratoren : Eine Rolle, die Zugriff auf den Datenkatalog ermöglicht, um Ressourcen zu verwalten, benutzerdefinierte Klassifizierungen zu konfigurieren, Glossarbegriffe zu erstellen und zu verwalten und Erkenntnisse zur Datenbestände anzuzeigen. Datenkuratoren können Objekte erstellen, lesen, ändern, verschieben und löschen. Sie können auch Anmerkungen auf Ressourcen anwenden.
- Datenleser : Eine Rolle, die schreibgeschützten Zugriff auf Datenassets, Klassifizierungen, Klassifizierungsregeln, Sammlungen und Glossarbegriffe bietet.
- Datenquellenadministrator : Eine Rolle, die es einem Benutzer ermöglicht, Datenquellen und Überprüfungen zu verwalten. Wenn einem Benutzer nur die Rolle "Datenquellenadministrator " für eine bestimmte Datenquelle zugewiesen wird, kann er neue Überprüfungen mithilfe einer vorhandenen Überprüfungsregel ausführen. Um neue Überprüfungsregeln zu erstellen, muss dem Benutzer auch die Rolle Datenleser oder Datenkurator zugewiesen werden.
- Insights-Leser : Eine Rolle, die schreibgeschützten Zugriff auf Insights-Berichte für Sammlungen bietet, in denen der Leser von Erkenntnissen auch mindestens die Rolle "Datenleseberechtigter " besitzt. Weitere Informationen finden Sie unter Insights-Berechtigungen.
- Richtlinienautor : Eine Rolle, die es einem Benutzer ermöglicht, Microsoft Purview-Richtlinien über die Datenrichtlinien-App in Microsoft Purview anzuzeigen, zu aktualisieren und zu löschen.
- Workflowadministrator : Eine Rolle, die es einem Benutzer ermöglicht, auf die Workflowerstellungsseite im Microsoft Purview-Governanceportal zuzugreifen und Workflows in Sammlungen zu veröffentlichen, in denen er über Zugriffsberechtigungen verfügt. Der Workflowadministrator hat nur Zugriff auf die Erstellung und benötigt daher mindestens die Datenleseberechtigung für eine Sammlung, um auf das Purview-Governanceportal zugreifen zu können.
Hinweis
Derzeit reicht die Microsoft Purview-Richtlinienautorrolle nicht aus, um Richtlinien zu erstellen. Die Rolle "Microsoft Purview-Datenquellenadministrator" ist ebenfalls erforderlich.
Wem sollte welche Rolle zugewiesen werden?
| Benutzerszenario | Geeignete Rollen |
|---|---|
| Ich muss nur Ressourcen finden, ich möchte nichts bearbeiten | Datenleser |
| Ich muss Informationen zu Ressourcen bearbeiten und verwalten. | Datenkurator |
| Ich möchte benutzerdefinierte Klassifizierungen erstellen | Datenkurator oder Datenquellenadministrator |
| Ich muss das Unternehmensglossar bearbeiten | Datenkurator |
| Ich muss Data Estate Insights anzeigen, um den Governancestatus meines Datenbestands zu verstehen. | Datenkurator |
| Der Dienstprinzipal meiner Anwendung muss Daten per Push an den Microsoft Purview Data Map | Datenkurator |
| Ich muss Überprüfungen über das Microsoft Purview-Governanceportal einrichten. | Datenkurator für den Sammlungs- oder Datenkurator und Datenquellenadministrator, in dem die Quelle registriert ist. |
| Ich muss einen Dienstprinzipal oder eine Gruppe aktivieren, um Überprüfungen im Microsoft Purview Data Map einzurichten und zu überwachen, ohne dass er auf die Informationen des Katalogs zugreifen kann. | Datenquellenadministrator |
| Ich muss Benutzer im Microsoft Purview-Governanceportal in Rollen versetzen. | Sammlungsadministrator |
| Ich muss Zugriffsrichtlinien erstellen und veröffentlichen. | Datenquellenadministrator und Richtlinienautor |
| Ich muss Workflows für mein Microsoft Purview-Konto im Governanceportal erstellen. | Workflowadministrator |
| Ich muss Daten aus quellen freigeben, die in Microsoft Purview registriert sind. | Datenleser |
| Ich muss freigegebene Daten in Microsoft Purview empfangen | Datenleser |
| Ich muss Erkenntnisse für Sammlungen anzeigen, an der ich Teil bin | Insights-Leser oder Datenkurator |
| Ich muss unsere selbstgehostete Integration Runtime (SHIR) erstellen oder verwalten. | Datenquellenadministrator |
| Ich muss verwaltete private Endpunkte erstellen. | Datenquellenadministrator |
Hinweis
*Datenkurator : Datenkuratoren können Erkenntnisse nur lesen, wenn ihnen datenkurator auf Stammsammlungsebene zugewiesen ist. **Datenquellenadministratorberechtigungen für Richtlinien : Datenquellenadministratoren können auch Datenrichtlinien veröffentlichen.
Grundlegendes zur Verwendung der Rollen und Sammlungen des Microsoft Purview-Governanceportals
Die gesamte Zugriffssteuerung wird über Sammlungen im Microsoft Purview Data Map verwaltet. Die Sammlungen finden Sie im Microsoft Purview-Governanceportal. Öffnen Sie Ihr Konto im Azure-Portal, und wählen Sie auf der Seite Übersicht die Kachel Microsoft Purview-Governanceportal aus. Navigieren Sie dort im linken Menü zur Data Map, und wählen Sie dann die Registerkarte "Sammlungen" aus.
Wenn ein Microsoft Purview-Konto (früher Azure Purview) erstellt wird, beginnt es mit einer Stammsammlung, die denselben Namen wie das Konto selbst hat. Der Ersteller des Kontos wird automatisch als Sammlungs-Admin, Datenquellen-Admin, Datenkurator und Datenleser für diese Stammsammlung hinzugefügt und kann diese Sammlung bearbeiten und verwalten.
Quellen, Ressourcen und Objekte können dieser Stammauflistung direkt hinzugefügt werden, aber auch andere Auflistungen. Durch das Hinzufügen von Sammlungen haben Sie mehr Kontrolle darüber, wer Zugriff auf Daten in Ihrem Konto hat.
Alle anderen Benutzer können nur auf Informationen im Microsoft Purview-Governanceportal zugreifen, wenn sie oder eine Gruppe, in der sie sich befinden, eine der oben genannten Rollen erhalten. Dies bedeutet, dass beim Erstellen eines Kontos niemand außer dem Ersteller auf seine APIs zugreifen oder diese verwenden kann, bis sie einer oder mehreren der oben genannten Rollen in einer Sammlung hinzugefügt werden.
Benutzer können einer Sammlung nur durch einen Sammlungsadministrator oder durch Vererbung von Berechtigungen hinzugefügt werden. Die Berechtigungen einer übergeordneten Auflistung werden automatisch von deren Untersammlungen geerbt. Sie können jedoch die Berechtigungsvererbung für jede Sammlung einschränken. Wenn Sie dies tun, erben seine Untersammlungen keine Berechtigungen mehr vom übergeordneten Element und müssen direkt hinzugefügt werden, obwohl Sammlungsadministratoren, die automatisch von einer übergeordneten Sammlung geerbt werden, nicht entfernt werden können.
Sie können Benutzern, Sicherheitsgruppen und Dienstprinzipalen Rollen aus Ihrem Azure Active Directory zuweisen, das Ihrem Abonnement zugeordnet ist.
Zuweisen von Berechtigungen zu Ihren Benutzern
Nachdem Sie ein Microsoft Purview-Konto (früher Azure Purview) erstellt haben, müssen Sie zunächst Sammlungen erstellen und Benutzern Rollen innerhalb dieser Sammlungen zuweisen.
Hinweis
Wenn Sie Ihr Konto mithilfe eines Dienstprinzipals erstellt haben, müssen Sie einer Benutzersammlung Administratorberechtigungen für die Stammsammlung erteilen, um auf das Microsoft Purview-Governanceportal zugreifen und Benutzern Berechtigungen zuweisen zu können.
Erstellen von Sammlungen
Sammlungen können für die Struktur der Quellen in Ihrem Microsoft Purview Data Map angepasst werden und können wie organisierte Speichercontainer für diese Ressourcen fungieren. Wenn Sie über die Sammlungen nachdenken, die Sie möglicherweise benötigen, überlegen Sie, wie Ihre Benutzer auf Informationen zugreifen oder diese ermitteln werden. Sind Ihre Quellen nach Abteilungen aufgeteilt? Gibt es spezielle Gruppen innerhalb dieser Abteilungen, die nur einige Ressourcen entdecken müssen? Gibt es einige Quellen, die von allen Benutzern auffindbar sein sollten?
Dadurch werden die Sammlungen und Untersammlungen informiert, die Sie möglicherweise benötigen, um Ihre Data Map am effektivsten zu organisieren.
Neue Sammlungen können direkt der Datenzuordnung hinzugefügt werden, wo Sie ihre übergeordnete Sammlung aus einer Dropdownliste auswählen können, oder sie können aus dem übergeordneten Element als Untersammlung hinzugefügt werden. In der Data Map-Ansicht können Sie alle Ihre Quellen und Ressourcen sehen, die nach den Sammlungen sortiert sind, und in der Liste wird die Sammlung der Quelle aufgeführt.
Weitere Anweisungen und Informationen finden Sie in unserem Leitfaden zum Erstellen und Verwalten von Sammlungen.
Beispiel für Sammlungen
Nachdem wir nun ein grundlegendes Verständnis von Sammlungen, Berechtigungen und deren Funktionsweise haben, sehen wir uns ein Beispiel an.
Dies ist eine Möglichkeit, wie ein organization seine Daten strukturieren kann: Beginnend mit der Stammsammlung (in diesem Beispiel Contoso) werden Sammlungen in Regionen und dann in Abteilungen und Unterabteilungen organisiert. Datenquellen und Ressourcen können einer dieser Sammlungen hinzugefügt werden, um Datenressourcen nach Regionen und Abteilungen zu organisieren und die Zugriffssteuerung in dieser Richtung zu verwalten. Es gibt eine Unterabteilung, Revenue, für die strenge Zugriffsrichtlinien gelten, sodass Berechtigungen eng verwaltet werden müssen.
Die Rolle "Datenleser " kann auf Informationen im Katalog zugreifen, diese jedoch nicht verwalten oder bearbeiten. In unserem obigen Beispiel gibt das Hinzufügen der Datenleseberechtigung zu einer Gruppe für die Stammsammlung und das Zulassen der Vererbung allen Benutzern in dieser Gruppe Leseberechtigungen für Quellen und Ressourcen im Microsoft Purview Data Map. Dadurch können diese Ressourcen von allen Personen in dieser Gruppe auffindbar, aber nicht bearbeitet werden. Durch das Einschränken der Vererbung auf die Revenue-Gruppe wird der Zugriff auf diese Ressourcen gesteuert. Benutzer, die Zugriff auf Umsatzinformationen benötigen, können der Revenue Collection separat hinzugefügt werden. Ähnlich wie bei den Rollen "Datenkurator" und "Datenquelle" Admin beginnen Berechtigungen für diese Gruppen bei der Sammlung, in der sie zugewiesen sind, und gelangen zu Untersammlungen, für die die Vererbung nicht eingeschränkt ist. Im Folgenden haben wir Berechtigungen für mehrere Gruppen auf Auflistungsebenen in der Untersammlung Americas zugewiesen.
Hinzufügen von Benutzern zu Rollen
Die Rollenzuweisung wird über die Sammlungen verwaltet. Nur ein Benutzer mit der Rolle "Sammlungsadministrator " kann anderen Benutzern Berechtigungen für diese Sammlung erteilen. Wenn neue Berechtigungen hinzugefügt werden müssen, greift ein Sammlungsadministrator auf das Microsoft Purview-Governanceportal zu, navigiert zu Data Map und dann zur Registerkarte Sammlungen und wählt die Sammlung aus, der ein Benutzer hinzugefügt werden muss. Auf der Registerkarte Rollenzuweisungen können sie Benutzer hinzufügen und verwalten, die Berechtigungen benötigen.
Eine vollständige Anleitung finden Sie in unserer Anleitung zum Hinzufügen von Rollenzuweisungen.
Administratoränderung
Es kann eine Zeit geben, in der Ihr Stammsammlungsadministrator geändert werden muss, oder ein Administrator muss hinzugefügt werden, nachdem ein Konto von einer Anwendung erstellt wurde. Standardmäßig wird dem Benutzer, der das Konto erstellt, automatisch der Stammsammlung ein Sammlungsadministrator zugewiesen. Um den Stammsammlungsadministrator zu aktualisieren, gibt es vier Optionen:
Sie können Stammsammlungsadministratoren im Azure-Portal verwalten:
- Melden Sie sich beim Azure-Portal an, und suchen Sie nach Ihrem Microsoft Purview-Konto.
- Wählen Sie auf der Seite Ihres Microsoft Purview-Kontos im Menü auf der linken Seite die Berechtigung Stammsammlung aus.
- Wählen Sie Stammsammlungsadministrator hinzufügen aus, um einen Administrator hinzuzufügen.
- Sie können auch Alle Stammsammlungsadministratoren anzeigen auswählen, die zur Stammsammlung im Microsoft Purview-Governanceportal weitergeleitet werden sollen.
Sie können Berechtigungen über das Microsoft Purview-Governanceportal wie für jede andere Rolle zuweisen.
Sie können die REST-API verwenden, um einen Sammlungsadministrator hinzuzufügen. Anweisungen zum Verwenden der REST-API zum Hinzufügen eines Sammlungsadministrators finden Sie in unserer Dokumentation zur REST-API für Sammlungen. Weitere Informationen finden Sie in unserer REST-API-Referenz.
Sie können auch den folgenden Azure CLI-Befehl verwenden. Die Objekt-ID ist optional. Weitere Informationen und ein Beispiel finden Sie auf der Referenzseite für CLI-Befehle.
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
Nächste Schritte
Nachdem Sie nun über grundlegende Kenntnisse zu Sammlungen und Zugriffssteuerung verfügen, befolgen Sie die folgenden Anleitungen, um diese Sammlungen zu erstellen und zu verwalten, oder beginnen Sie mit dem Registrieren von Quellen in Ihrem Microsoft Purview Data Map.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für