Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
In diesem Artikel werden Microsoft Purview-Datengovernanceberechtigungen im neuen Microsoft Purview-Portal mit Microsoft Purview Unified Catalog behandelt.
- Wenn Sie die klassische Data Catalog verwenden, finden Sie weitere Informationen unter Governanceberechtigungen für die klassische Data Catalog.
- Informationen zu Datengovernanceberechtigungen im klassischen Microsoft Purview-Portal finden Sie unter Berechtigungen im klassischen Microsoft Purview-Governanceportal.
Microsoft Purview Data Governance verfügt über zwei Lösungen im Microsoft Purview-Portal: Data Map und Unified Catalog. Diese Lösungen verwenden Berechtigungen auf Mandanten-/Organisationsebene, vorhandene Datenzugriffsberechtigungen und Domänen-/Sammlungsberechtigungen, um Benutzern Zugriff auf Governancetools und Datenressourcen zu gewähren.
Die Art der verfügbaren Berechtigungen hängt vom Typ Ihres Microsoft Purview-Kontos ab.
Überprüfen Des Kontotyps
Überprüfen Sie, ob Ihr organization über ein Konto vom Typ "Free" oder "Enterprise" verfügt. Um Ihren Kontotyp zu überprüfen, wechseln Sie zum Microsoft Purview-Portal, und wählen Sie die Karte Einstellungen aus. Zeigen Sie unter Konto Ihren Kontotyp an.
Wichtig
Bei Benutzern, die in Microsoft Entra ID neu erstellt wurden, kann es einige Zeit dauern, bis Berechtigungen weitergegeben werden, auch wenn die richtigen Berechtigungen angewendet wurden.
Berechtigungen in der Unternehmensversion
Alle Benutzer können Datenressourcen für verfügbare Quellen anzeigen, bei denen sie bereits mindestens über Leseberechtigungen verfügen. Benutzer, die Besitzer sind, können die Metadaten für Ressourcen verwalten, bei denen sie bereits mindestens über Besitzer-/Schreibberechtigungen verfügen. Erfahren Sie mehr über Azure-Rollen.
Berechtigungstypen
- Mandanten-/organization-Berechtigungen: Auf Organisationsebene zugewiesen, stellen sie allgemeine und administrative Berechtigungen bereit.
- Unified Catalog Berechtigungen: Ermöglichen Sie Benutzern, Unified Catalog zu durchsuchen und ihre Datengovernancelösungen zu erstellen.
- Data Map-Domänen- und Sammlungsebenenberechtigungen: Berechtigungen in Data Map, die Zugriff auf Datenressourcen in Microsoft Purview gewähren.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Rollengruppen auf Mandantenebene
Rollengruppen auf Organisationsebene bieten allgemeine und administrative Berechtigungen für Microsoft Purview Data Map und Unified Catalog. Wenn Sie Ihr Microsoft Purview-Konto oder die Datengovernancestrategie Ihrer organization verwalten, müssen Sie wahrscheinlich zu einer oder mehreren dieser Rollengruppen gehören:
- Purview-Administratoren
- Datenquellenadministratoren
- Datengovernance
Zeigen Sie Beschreibungen dieser Rollen an.
Eine vollständige Liste aller verfügbaren Rollen und Rollengruppen, nicht nur für Datengovernance, finden Sie unter Rollen und Rollengruppen im Microsoft Defender XDR- und Microsoft Purview-Portal.
Zuweisen und Verwalten von Rollengruppen
Ein Benutzer muss die Rollenverwaltungsrolle besitzen, um Einer Microsoft Purview-Rollengruppe Benutzer oder Gruppen hinzufügen zu können. Anweisungen zum Zuweisen und Verwalten von Rollen in Microsoft Purview finden Sie unter Berechtigungen in Microsoft Purview.
Unified Catalog-Berechtigungen
Es gibt drei Berechtigungsebenen, mit denen Benutzer auf Informationen in Unified Catalog zugreifen können:
Datengovernance-Mandantenebene: Eine Rollengruppe auf Mandanten-/Organisationsebene, die über die Rolle Data Governance Admin verfügt. Diese Rolle delegiert die erste Zugriffsebene für Governancedomänenersteller. (Diese Rolle wird nicht in Unified Catalog angezeigt, sondern wirkt sich auf Ihre Fähigkeit aus, Berechtigungen in Unified Catalog zuzuweisen.)
Berechtigungen auf Katalogebene: Berechtigungen zum Gewähren des Besitzes an Governancedomänen und zum Zugriff auf die Integritätsverwaltung.
Berechtigungen auf Governancedomänenebene: Berechtigungen für den Zugriff auf und die Verwaltung von Ressourcen innerhalb bestimmter Governancedomänen.
Berechtigungen zum Durchsuchen des vollständigen Unified Catalog
In Unified Catalog sind keine spezifischen Berechtigungen erforderlich, um die Unified Catalog durchsuchen zu können. Bei der Suche nach Unified Catalog werden jedoch nur relevante Datenressourcen zurückgegeben, für die Sie berechtigungen zum Anzeigen in Data Map haben. Benutzer können eine Datenressource in Unified Catalog finden, wenn:
- Der Benutzer durchsucht Datenprodukte in einer Governancedomäne, in der er über Katalogleseberechtigungen verfügt.
- Der Benutzer verfügt über Datenleserberechtigungen für eine Domäne oder Sammlung in Data Map , in der das Medienobjekt gespeichert ist.
- Der Benutzer verfügt mindestens über Leseberechtigungen für eine verfügbare Azure- oder Microsoft Fabric-Ressource.
Wichtig
Benutzer, die bereits über Leseberechtigungen in Azure verfügen, haben möglicherweise Zugriff auf Ressourcen in Unified Catalog, die Sie nicht beabsichtigt haben. Wenn Sie nicht möchten, dass sie über einen solchen Zugriff verfügen, müssen Sie ihre Berechtigungen entfernen.
Berechtigungen für diese Ressourcen werden auf Ressourcenebene bzw. auf Data Map-Ebene verwaltet.
Wenn Ihr Katalog gut zusammengestellt ist, sollten tägliche Geschäftsbenutzer nicht den vollständigen Katalog durchsuchen müssen. Sie sollten in der Lage sein, die benötigten Daten in Datenprodukten zu finden. Weitere Informationen zum Einrichten der Unified Catalog finden Sie unter Erste Schritte mit Der Datengovernance und Planen der Unified Catalog.
Berechtigungen auf Katalogebene
Berechtigungen auf Katalogebene bieten nur allgemeinen Zugriff innerhalb Unified Catalog und umfassen die folgenden Rollen:
- Ersteller der Governancedomäne
- Globaler Katalogleser
- Datenintegritätsbesitzer
- Datenintegritätsleser
Zeigen Sie Beschreibungen dieser Rollen an.
Zuweisen von Rollen auf Katalogebene
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto an, dem die Data Governance-Rolle zugewiesen ist.
- Wechseln Sie zu Einstellungen, und wählen Sie Unified Catalog aus.
- Wählen Sie Rollen und Berechtigungen aus.
- Wählen Sie Governancedomänenersteller oder eine andere Rolle aus, und wählen Sie dann das Symbol Benutzer hinzufügen aus.
- Suchen Sie nach dem Benutzer, den Sie hinzufügen möchten, und wählen Sie dann den Benutzer aus.
- Klicken Sie auf Speichern.
Berechtigungen auf Governancedomänenebene
Governancedomänenberechtigungen bieten Zugriff innerhalb einer bestimmten Governancedomäne. Diese Berechtigungen sollten Datenexperten und Geschäftsbenutzern erteilt werden, um Objekte innerhalb der Governancedomäne zu lesen und zu verwalten. Governancedomänenberechtigungen können nur von einem Benutzer erteilt werden, der die Rolle "Governancedomänenbesitzer " besitzt.
Zeigen Sie die Liste dieser Rollen und Beschreibungen an.
Tipp
Es ist wichtig, dass die Rolle Governancedomänenbesitzer von einem Benutzer in Ihrem organization gehalten wird, der Datengovernance oder Unified Catalog ausführt. Diese Rolle ist für die Erstellung von Entitäten wie Governancedomänen, Datenprodukten und Glossarbegriffen unerlässlich. Es wird empfohlen, mindestens zwei Personen als Governancedomänenbesitzer zugewiesen zu haben.
Zuweisen von Governancedomänenrollen
Ein Benutzer muss ein Governancedomänenbesitzer in der Governancedomäne sein, um Governancedomänenrollen zuzuweisen. Diese Rolle wird von Data Governance-Administratoren oder Governancedomänenerstellern zugewiesen.
Governancedomänenrollen werden auf der Registerkarte Rollen in einer Governancedomäne zugewiesen. Anweisungen zum Zuweisen von Rollen finden Sie unter Verwalten von Governancedomänen.
Unified Catalog Rollen
Wichtig
Stellen Sie sicher, dass Sie den Unterschied zwischen den beiden Katalogleserollen verstehen:
Der globale Katalogleser ermöglicht Benutzern den Zugriff auf veröffentlichte Geschäftskonzepte aus veröffentlichten Governancedomänen.
Der Lokale Katalogleser reduziert den Zugriff auf Governancedomänen erheblich. Wenn Sie benutzer dieser Rolle innerhalb einer Governancedomäne zuweisen:
- Nur diese Benutzer haben Lesezugriff auf veröffentlichte Konzepte innerhalb dieser Governancedomäne.
- Ein Benutzer mit dieser Rolle kann auch andere Rollen wie Datenproduktbesitzer oder Data Steward besitzen, mit denen er veröffentlichte Geschäftskonzepte aus anderen Governancedomänen anzeigen kann.
Die Rolle "Leser des lokalen Katalogs " ist hilfreich, wenn Sie z. B. den Zugriff auf eine Governancedomäne einschränken müssen, um gesetzliche oder gesetzliche Anforderungen zu erfüllen. Die übermäßige Verwendung dieser Rolle behindert jedoch einen Verbundansatz für die Datengovernance.
Hinweis
Die Dateneinblickbarkeit verwendet die gleichen Rollen wie der Rest der Unified Catalog. Katalogleser können nicht auf die umfassendere Data Observability-Explorer-Ansicht in der Integrität des Datenbestands zugreifen, und sie können nur veröffentlichte Konzepte anzeigen. Data Steward, Data Product Owners, Governance Domain Owners und Governance Domain Creators haben Zugriff auf Datenbeobachtbarkeitsansichten sowohl in den Konzepten, die sie anzeigen können, als auch in der Datenintegritätsverwaltungsansicht, die eine umfassendere Untersuchung und Ansicht über den gesamten Datenbestand ermöglicht.
| Berechtigungsstufe | Rolle | Beschreibung |
|---|---|---|
| Mandant | Data Governance-Rollengruppe | Gewährt Zugriff auf Datengovernancerollen in Microsoft Purview. |
| Rollengruppe "Datenquellenadministratoren" | Verwalten von Datenquellen und Datenscans im Microsoft Purview Data Map. | |
| Rollengruppe "Purview-Administratoren" | Erstellen, Bearbeiten und Löschen von Domänen und Ausführen von Rollenzuweisungen. | |
| Katalog | Data Governance-Administrator | Delegiert die erste Zugriffsebene für Governance Domain Creators und andere Berechtigungen auf Katalogebene. |
| Datenintegritätsbesitzer | Kann Artefakte im Bereich Integritätsverwaltung von Unified Catalog erstellen, aktualisieren und lesen. | |
| Datenintegritätsleser | Kann Artefakte im Bereich Integritätsverwaltung von Unified Catalog lesen. | |
| Globaler Katalogleser | Kann veröffentlichte Artefakte über Governancedomänen hinweg lesen, für die kein lokaler Katalogleser angegeben ist. | |
| Ersteller der Governancedomäne | Kann Domänen erstellen und Governancedomänenbesitzer delegieren (oder bleibt standardmäßig Besitzer der Governancedomäne). | |
| Governancedomäne | Datenproduktbesitzer* | Datenprodukte können nur innerhalb ihrer Governancedomäne erstellt, aktualisiert und gelesen werden. Kann Beziehungen mit Konzepten in Governancedomänen lesen und aufbauen. |
| Datenprofilleser | Hat Zugriff auf Datenprofilerkenntnisse und kann einen Drilldown der Profilerstellungsergebnisse ausführen, um die Statistiken auf Spaltenebene zu durchsuchen. Dies ist eine Untergeordnete Rolle, die erfordert, dass der Benutzer auch den Governancedomänenleserund entweder die Rolle Globaler Katalogleser oder Leser des lokalen Katalogs besitzen muss. | |
| Data Profile Steward | Kann Datenprofilerstellungsaufträge ausführen und auf Details zur Profilerstellung zugreifen. Diese Rolle kann auch alle Erkenntnisse zur Datenqualität durchsuchen und Profilerstellungsaufträge überwachen. Diese Rolle kann keine Regeln erstellen und keine Datenqualitätsüberprüfung ausführen. Dies ist eine Untergeordnete Rolle, für die der Benutzer auch die Rollen GovernancedomänenleserundDatenproduktbesitzer besitzen muss. | |
| Data Quality Metadata Reader | Kann Datenqualitätserkenntnisse (mit Ausnahme von Erkenntnissen zur Profilerstellungsergebnisse auf Spaltenebene), Datenqualitätsregeldefinitionen und Bewertungen auf Regelebene durchsuchen. Diese Rolle kann nicht auf Fehlerdatensätze zugreifen und keine Profilerstellungs- und Datenqualitätsüberprüfungsaufträge ausführen. Dies ist eine Untergeordnete Rolle, die erfordert, dass der Benutzer auch den Governancedomänenleserund entweder die Rolle Globaler Katalogleser oder Leser des lokalen Katalogs besitzen muss. | |
| Data Quality Reader | Kann alle Datenqualitätserkenntnisse und Datenqualitätsregelndefinitionen durchsuchen. Diese Rolle kann keine Datenqualitätsüberprüfungs- und Datenprofilerstellungsaufträge ausführen und kann nicht als Erkenntnis auf Spaltenebene auf Datenprofilerstellung zugreifen. Dies ist eine Untergeordnete Rolle, die erfordert, dass der Benutzer auch den Governancedomänenleserund entweder die Rolle Globaler Katalogleser oder Leser des lokalen Katalogs besitzen muss. | |
| Data Quality Steward | Kann Data Quality-Features wie Data Quality Rule Management, Data Quality Scanning, Durchsuchen von Datenqualitätserkenntnissen, Datenqualitätsplanung, Auftragsüberwachung und Konfigurieren von Schwellenwerten und Warnungen verwenden. Dies ist eine Untergeordnete Rolle, für die der Benutzer auch die Rollen GovernancedomänenleserundDatenproduktbesitzer besitzen muss. | |
| Data Steward* | Kann Artefakte und Richtlinien innerhalb ihrer Governancedomäne erstellen, aktualisieren und lesen. Kann auch Artefakte aus anderen Governancedomänen lesen. | |
| Governancedomänenbesitzer | Kann alle anderen Governancedomänenberechtigungen delegieren, Warnungen zur Datenqualitätsüberprüfung auf Domänenebene konfigurieren, einen Zeitplan auf Domänenebene für den Auftrag zur Überprüfung der Datenqualität einrichten und Zugriffsrichtlinien auf Domänenebene festlegen. | |
| Governancedomänenleser | Kann Governancedomänenmetadaten für veröffentlichte Domänen lesen, denen sie hinzugefügt wurden. | |
| Lokaler Katalogleser | Veröffentlichte Konzepte können nur in der Governancedomäne gelesen werden, auf die ihnen Zugriff gewährt wird. Da diese Rolle den Umfang der Personen, die auf Daten zugreifen und diese verwalten können, stark einschränkt, wird empfohlen, die Verwendung dieser Rolle einzuschränken, damit Sie einen Verbundansatz für die Datengovernance besser nutzen können. |
*Um einem Datenprodukt Datenressourcen hinzufügen zu können, benötigen Datenproduktbesitzer und Data Stewards auch Data Map-Berechtigungen, um diese Datenassets in Data Map zu lesen.
Data Map-Berechtigungen
Data Map verwendet eine Reihe vordefinierter Rollen, um zu steuern, wer auf was innerhalb des Kontos zugreifen kann. Domänen und Sammlungen sind Tools, die von Data Map zum Gruppieren von Ressourcen, Quellen und anderen Artefakten in einer Hierarchie zur Auffindbarkeit und zum Verwalten der Zugriffssteuerung in Data Map verwendet werden.
Hier finden Sie eine Beschreibung der einzelnen Rollen, und erfahren Sie, wie Sie Rollen hinzufügen und den Zugriff über Sammlungen einschränken.
Ausführlichere Informationen zu den in Sammlungen verfügbaren Rollen finden Sie im Beispiel, wer welche Rollen zugewiesen werden soll.
Tipp
Wenn Sie Data Steward oder Data Product Owner für Unified Catalog sind, sollten Sie auch über Data Map-Berechtigungen verfügen.
Beispiel für den Lebenszyklus von Datenressourcen
Informationen zur Funktionsweise von Berechtigungen zwischen Data Map und Unified Catalog finden Sie in der folgenden Tabelle zum vollständigen Lebenszyklus einer Azure SQL Tabelle in der Umgebung:
| Schritt | Rolle | Berechtigungsstufe |
|---|---|---|
| 1. Die Azure SQL-Datenbank ist in Data Map registriert. | Datenquellenadministrator | Data Map |
| 2. Die Azure SQL Datenbank wird in Data Map gescannt | Datenkurator oder Datenquellenadministrator | Data Map |
| 3. Die Azure SQL Tabelle ist kuratiert und zertifiziert | Datenkurator | Data Map |
| 4. Eine Governancedomäne wird im Microsoft Purview-Konto erstellt. | Ersteller der Governancedomäne | Katalog |
| 5. Ein Datenprodukt wird in der Governancedomäne erstellt. | Governancedomänenbesitzer und/oder Datenproduktbesitzer | Governancedomäne |
| 6. Die Azure SQL Tabelle wird dem Datenprodukt als Ressource hinzugefügt. | Datenproduktbesitzer und/oder Steward | Governancedomäne |
| 7. Dem Datenprodukt wird eine Zugriffsrichtlinie hinzugefügt. | Datenproduktbesitzer und/oder Steward | Governancedomäne |
| 8. Ein Benutzer sucht Unified Catalog und sucht nach Datenressourcen, die seinen Anforderungen entsprechen | Ressourcenberechtigungen oder Datenleseberechtigungen | Ressourcenberechtigungen oder Data Map-Berechtigungen |
| 9. Ein Benutzer durchsucht Datenprodukte und sucht nach einem Produkt, das seinen Anforderungen entspricht | Globaler Katalogleser | Katalog |
| 10. Ein Benutzer fordert Zugriff auf die Ressourcen im Datenprodukt an | Globaler Katalogleser | Katalog |
| 11. Ein Benutzer zeigt Data Health Insights an, um die Integrität seiner Data Catalog | Datenintegritätsleser | Katalog |
| 12. Ein Benutzer möchte einen neuen Bericht entwickeln, um den Fortschritt der Datenintegrität in ihrem Katalog nachzuverfolgen. | Datenintegritätsbesitzer | Katalog |