Compartir a través de

Arquitecturas y procedimientos recomendados de colecciones de Microsoft Purview

  • Artículo

En el núcleo de las soluciones unificadas de gobernanza de datos de Microsoft Purview, el mapa de datos es un componente de plataforma como servicio (PaaS) que mantiene un mapa actualizado de los recursos y sus metadatos en el patrimonio de datos. Para hidratar el mapa de datos, debe registrar y examinar los orígenes de datos. En una organización, puede haber miles de orígenes de datos administrados y gobernados por equipos centralizados o descentralizados.

Las colecciones de Microsoft Purview admiten la asignación organizativa de metadatos. Mediante el uso de colecciones, puede administrar y mantener orígenes de datos, exámenes y recursos en una jerarquía en lugar de una estructura plana. Las colecciones le permiten crear un modelo jerárquico personalizado del panorama de datos en función de cómo su organización planea usar Microsoft Purview para controlar el panorama.

Una colección también proporciona un límite de seguridad para los metadatos en el mapa de datos. El acceso a colecciones, orígenes de datos y metadatos se configura y mantiene en función de la jerarquía de colecciones de Microsoft Purview, siguiendo un modelo con privilegios mínimos:

  • Los usuarios tienen la cantidad mínima de acceso que necesitan para realizar su trabajo.
  • Los usuarios no tienen acceso a datos confidenciales que no necesitan.

¿Por qué necesita definir colecciones y un modelo de autorización para su cuenta de Microsoft Purview?

Considere la posibilidad de implementar colecciones en Microsoft Purview para cumplir los siguientes requisitos:

  • Organice orígenes de datos, distribuya recursos y ejecute exámenes en función de los requisitos empresariales, la distribución geográfica de datos y los equipos de administración de datos, departamentos o funciones empresariales.

  • Delegue la propiedad de los orígenes de datos y los recursos a los equipos correspondientes mediante la asignación de roles a las colecciones correspondientes.

  • Busque y filtre los recursos por colecciones.

Definición de una jerarquía de recopilación

Recomendaciones de diseño

  • Se recomienda diseñar la arquitectura de recopilación en función de los requisitos de seguridad y la estructura de administración y gobernanza de datos de la organización. Revise los arquetipos de colecciones recomendados en este artículo.

  • Para una escalabilidad futura, se recomienda crear una colección de nivel superior para su organización debajo de la colección raíz. Asigne los roles pertinentes en la colección de nivel superior en lugar de en la colección raíz.

  • Considere la seguridad y la administración del acceso como parte del proceso de toma de decisiones de diseño al compilar colecciones en Microsoft Purview.

  • Cada colección tiene un atributo name y un atributo de nombre descriptivo. Si usa el portal de gobernanza de Microsoft Purview para implementar una colección, el sistema asigna automáticamente un nombre aleatorio de seis letras a la colección para evitar la duplicación. Para reducir la complejidad, evite usar nombres descriptivos duplicados en las colecciones, especialmente en el mismo nivel.

  • Actualmente, un nombre de colección puede contener hasta 36 caracteres y un nombre descriptivo de la colección puede tener hasta 100 caracteres.

  • Cuando pueda, evite duplicar la estructura organizativa en una jerarquía de colecciones profundamente anidada. Si no puede evitar hacerlo, asegúrese de usar nombres diferentes para cada colección de la jerarquía para facilitar la distinción de las colecciones.

  • Automatice la implementación de colecciones mediante la API si tiene previsto implementar colecciones y asignaciones de roles de forma masiva.

  • Use un nombre de entidad de seguridad de servicio dedicado (SPN) para ejecutar operaciones en colecciones y asignación de roles mediante la API. El uso de un SPN reduce el número de usuarios que tienen derechos elevados y sigue las directrices con privilegios mínimos.

Consideraciones sobre diseño

  • Cada cuenta de Microsoft Purview se crea con una colección raíz predeterminada. El nombre de la colección raíz es el mismo que el nombre de la cuenta de Microsoft Purview. No se puede quitar la colección raíz. Para cambiar el nombre descriptivo de la colección raíz, puede cambiar el nombre descriptivo de su cuenta de Microsoft Purview desde el Centro de administración de Microsoft Purview.

  • Las colecciones pueden contener orígenes de datos, exámenes, recursos y asignaciones de roles.

  • Una colección puede tener tantas colecciones secundarias como sea necesario. Pero cada colección solo puede tener una colección primaria. No se pueden implementar colecciones encima de la colección raíz.

  • Los orígenes de datos, los exámenes y los recursos solo pueden pertenecer a una colección.

  • Una jerarquía de colecciones de Microsoft Purview puede admitir hasta 256 colecciones, con un máximo de ocho niveles de profundidad. Esto no incluye la colección raíz.

  • Por diseño, no puede registrar orígenes de datos varias veces en una sola cuenta de Microsoft Purview. Esta arquitectura ayuda a evitar el riesgo de asignar diferentes niveles de control de acceso a un único origen de datos. Si varios equipos consumen los metadatos de un único origen de datos, puede registrar y administrar el origen de datos en una colección primaria. A continuación, puede crear los exámenes correspondientes en cada subconsulta para que aparezcan los recursos pertinentes en cada colección secundaria.

  • Las conexiones y artefactos de linaje se adjuntan a la colección raíz incluso si los orígenes de datos están registrados en colecciones de nivel inferior.

  • Al ejecutar un nuevo examen, de forma predeterminada, el examen se implementa en la misma colección que el origen de datos. Opcionalmente, puede seleccionar una subcolecciones diferente para ejecutar el examen. Como resultado, los recursos pertenecerán a la subconsulta.

  • Puede eliminar una colección si no tiene recursos, exámenes asociados, orígenes de datos o colecciones secundarias.

  • Los orígenes de datos, los exámenes y los recursos deben pertenecer a una colección si existen en el mapa de datos de Microsoft Purview.

  • Se permite mover orígenes de datos entre colecciones si se concede al usuario el rol de Administración origen de datos para las colecciones de origen y destino.

  • Se permite mover recursos entre colecciones si al usuario se le concede el rol de conservador de datos para las colecciones de origen y destino.

  • Para realizar operaciones de traslado y cambio de nombre en una colección, revise las siguientes recomendaciones y consideraciones:

    1. Para cambiar el nombre de una colección, debe ser miembro del rol de administradores de recopilación.

    2. Para mover una colección, debe ser miembro del rol de administradores de recopilación en las colecciones de origen y de destino.

Definición de un modelo de autorización

Los roles de plano de datos de Microsoft Purview se administran en Microsoft Purview. Después de implementar una cuenta de Microsoft Purview, al creador de la cuenta de Microsoft Purview se le asignan automáticamente los siguientes roles en la colección raíz. Puede usar el portal de gobernanza de Microsoft Purview o un método mediante programación para asignar y administrar roles directamente en Microsoft Purview.

  • Los administradores de colecciones pueden editar colecciones de Microsoft Purview y sus detalles y agregar subcolecciones. También pueden agregar usuarios a otros roles de Microsoft Purview en colecciones donde son administradores.
  • Los administradores de orígenes de datos pueden administrar orígenes de datos y exámenes de datos.
  • Los conservadores de datos pueden crear, leer, modificar y eliminar recursos de datos de catálogo y establecer relaciones entre ellos.
  • Los lectores de datos pueden acceder a los recursos de datos del catálogo, pero no modificarlos.

Recomendaciones de diseño

  • Considere la posibilidad de implementar el acceso de emergencia o una estrategia de interrupción para el rol de Administración colección en el nivel de la colección raíz de Microsoft Purview para evitar bloqueos de nivel de cuenta de Microsoft Purview. Documente el proceso para usar cuentas de emergencia.

    Nota:

    En determinados escenarios, es posible que tenga que usar una cuenta de emergencia para iniciar sesión en Microsoft Purview. Es posible que necesite este tipo de cuenta para corregir problemas de acceso a nivel de la organización cuando nadie más pueda iniciar sesión en Microsoft Purview o cuando otros administradores no puedan realizar determinadas operaciones debido a problemas de autenticación corporativa. Se recomienda encarecidamente seguir los procedimientos recomendados de Microsoft en torno a la implementación de cuentas de acceso de emergencia mediante usuarios solo en la nube.

    Siga las instrucciones de este artículo para recuperar el acceso a la colección raíz de Microsoft Purview si la colección anterior Administración no está disponible.

  • Minimice el número de administradores de recopilación raíz. Asigne un máximo de tres usuarios de collection Administración en la colección raíz, incluidos el SPN y las cuentas de interrupción. Asigne los roles de Administración colección a la colección de nivel superior o a las subcolecciones en su lugar.

  • Asigne roles a grupos en lugar de usuarios individuales para reducir la sobrecarga administrativa y los errores en la administración de roles individuales.

  • Asigne la entidad de servicio en la colección raíz con fines de automatización.

  • Para aumentar la seguridad, habilite el acceso condicional de Azure AD con autenticación multifactor para al menos administradores de recopilación, administradores de orígenes de datos y conservadores de datos. Asegúrese de que las cuentas de emergencia están excluidas de la directiva de acceso condicional.

Consideraciones sobre diseño

  • La administración de acceso de Microsoft Purview se ha movido al plano de datos. Los roles de Azure Resource Manager ya no se usan, por lo que debe usar Microsoft Purview para asignar roles.

  • En Microsoft Purview, puede asignar roles a usuarios, grupos de seguridad y entidades de servicio (incluidas las identidades administradas) desde Azure Active Directory (Azure AD) en el mismo inquilino de Azure AD donde se implementa la cuenta de Microsoft Purview.

  • Primero debe agregar cuentas de invitado al inquilino de Azure AD como usuarios B2B para poder asignar roles de Microsoft Purview a usuarios externos.

  • De forma predeterminada, los administradores de recopilación no tienen acceso para leer ni modificar recursos. Pero pueden elevar su acceso y agregarse a más roles.

  • De forma predeterminada, todas las colecciones secundarias heredan automáticamente todas las asignaciones de roles. Pero puede habilitar Restringir permisos heredados en cualquier colección excepto en la colección raíz. Restringir permisos heredados quita los roles heredados de todas las colecciones primarias, excepto el rol de Administración colección.

  • Para Azure Data Factory conexión: para conectarse a Azure Data Factory, debe ser un Administración de colección para la colección raíz.

  • Si necesita conectarse a Azure Data Factory para el linaje, conceda el rol Conservador de datos a la identidad administrada de la factoría de datos en el nivel de colección raíz de Microsoft Purview. Al conectar Data Factory a Microsoft Purview en la interfaz de usuario de creación, Data Factory intenta agregar estas asignaciones de roles automáticamente. Si tiene el rol de Administración colección en la colección raíz de Microsoft Purview, esta operación funcionará.

Arquetipos de colecciones

Puede implementar la colección de Microsoft Purview basada en modelos centralizados, descentralizados o híbridos de administración de datos y gobernanza. Base esta decisión en los requisitos empresariales y de seguridad.

Ejemplo 1: Organización de una sola región

Esta estructura es adecuada para organizaciones que:

  • Se basan principalmente en una única ubicación geográfica.
  • Tener un equipo centralizado de administración y gobernanza de datos en el que el siguiente nivel de administración de datos se inscribe en departamentos, equipos o proyectos.

La jerarquía de la colección consta de estas verticales:

  • Colección raíz (valor predeterminado)
  • Contoso (colección de nivel superior)
  • Departments (una colección delegada para cada departamento)
  • Equipos o proyectos (segregación adicional basada en proyectos)

Cada origen de datos se registra y examina en su colección correspondiente. Por lo tanto, los recursos también aparecen en la misma colección.

Los orígenes de datos compartidos de nivel de organización se registran y examinan en la colección de Hub-Shared.

Los orígenes de datos compartidos de nivel de departamento se registran y examinan en las colecciones de departamentos.

Captura de pantalla que muestra el primer ejemplo de colecciones de Microsoft Purview.

Ejemplo 2: Organización de varias regiones

Este escenario es útil para las organizaciones:

  • Que tienen presencia en varias regiones.
  • Donde el equipo de gobernanza de datos está centralizado o descentralizado en cada región.
  • Dónde se distribuyen los equipos de administración de datos en cada ubicación geográfica.

La jerarquía de la colección consta de estas verticales:

  • Colección raíz (valor predeterminado)
  • FourthCoffee (colección de nivel superior)
  • Ubicaciones geográficas (colecciones de nivel medio basadas en ubicaciones geográficas donde se encuentran los orígenes de datos y los propietarios de datos)
  • Departments (una colección delegada para cada departamento)
  • Equipos o proyectos (segregación adicional basada en equipos o proyectos)

En este escenario, cada región tiene una subconsulta propia en la colección de nivel superior de la cuenta de Microsoft Purview. Los orígenes de datos se registran y examinan en las subcolecciones correspondientes en sus propias ubicaciones geográficas. Por lo tanto, los recursos también aparecen en la jerarquía de subcolecciones de la región.

Si ha centralizado los equipos de administración y gobernanza de datos, puede concederles acceso desde la colección de nivel superior. Cuando lo hace, se encargan de supervisar todo el patrimonio de datos en el mapa de datos. Opcionalmente, el equipo centralizado puede registrar y examinar los orígenes de datos compartidos.

Los equipos de administración y gobernanza de datos basados en regiones pueden obtener acceso desde sus colecciones correspondientes en un nivel inferior.

Los orígenes de datos compartidos de nivel de departamento se registran y examinan en las colecciones de departamentos.

Captura de pantalla que muestra el segundo ejemplo de colecciones de Microsoft Purview.

Ejemplo 3: Multiregion, transformación de datos

Este escenario puede ser útil si desea distribuir la administración de acceso a metadatos en función de las ubicaciones geográficas y los estados de transformación de datos. Los científicos de datos y los ingenieros de datos que pueden transformar los datos para que sean más significativos pueden administrar zonas sin procesar y refinar. A continuación, pueden mover los datos a zonas de producción o curadas.

La jerarquía de la colección consta de estas verticales:

  • Colección raíz (valor predeterminado)
  • Fabrikam (colección de nivel superior)
  • Ubicaciones geográficas (colecciones de nivel medio basadas en ubicaciones geográficas donde se encuentran los orígenes de datos y los propietarios de datos)
  • Fases de transformación de datos (sin procesar, refinar, generar o seleccionar)

Los científicos de datos y los ingenieros de datos pueden tener el rol de conservadores de datos en sus zonas correspondientes para que puedan mantener los metadatos. El acceso del lector de datos a la zona protegida se puede conceder a personas de datos completas y usuarios empresariales.

Captura de pantalla que muestra el tercer ejemplo de colecciones de Microsoft Purview.

Ejemplo 4: Funciones empresariales de varias regiones

Esta opción la pueden usar las organizaciones que necesitan organizar los metadatos y la administración de acceso en función de las funciones empresariales.

La jerarquía de la colección consta de estas verticales:

  • Colección raíz (valor predeterminado)
  • AdventureWorks (colección de nivel superior)
  • Ubicaciones geográficas (colecciones de nivel medio basadas en ubicaciones geográficas donde se encuentran los orígenes de datos y los propietarios de datos)
  • Principales funciones empresariales o clientes (segregación adicional basada en funciones o clientes)

Cada región tiene una subconsulta propia en la colección de nivel superior de la cuenta de Microsoft Purview. Los orígenes de datos se registran y examinan en las subcolecciones correspondientes en sus propias ubicaciones geográficas. Por lo tanto, los recursos se agregan a la jerarquía de subcolecciones de la región.

Si ha centralizado los equipos de administración y gobernanza de datos, puede concederles acceso desde la colección de nivel superior. Cuando lo hace, se encargan de supervisar todo el patrimonio de datos en el mapa de datos. Opcionalmente, el equipo centralizado puede registrar y examinar los orígenes de datos compartidos.

Los equipos de administración y gobernanza de datos basados en regiones pueden obtener acceso desde sus colecciones correspondientes en un nivel inferior. Cada unidad de negocio tiene su propia subconsulta.

Captura de pantalla que muestra el cuarto ejemplo de colecciones de Microsoft Purview.

Opciones de administración de acceso

Si desea implementar la democratización de datos en toda una organización, asigne el rol Lector de datos en la colección de nivel superior a los usuarios de administración de datos, gobernanza y negocio. Asigne roles de Administración de origen de datos y conservador de datos en los niveles de subcolecciones a los equipos de administración y gobernanza de datos correspondientes.

Si necesita restringir el acceso a la búsqueda y detección de metadatos en su organización, asigne los roles Lector de datos y Conservador de datos en el nivel de colección específico. Por ejemplo, podría restringir los empleados de EE. UU. para que solo puedan leer datos en el nivel de recopilación de EE. UU. y no en la colección LATAM.

Puede aplicar una combinación de estos dos escenarios en el mapa de datos de Microsoft Purview si es necesaria la democratización total de datos con algunas excepciones para algunas colecciones. Puede asignar roles de Microsoft Purview en la colección de nivel superior y restringir la herencia a las colecciones secundarias específicas.

Asigne el rol Administración colección al equipo de administración y seguridad de datos centralizado de la colección de nivel superior. Delegar la administración de recopilación adicional de colecciones de nivel inferior a los equipos correspondientes.

Siguientes pasos