Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
En este artículo se tratan los permisos de gobernanza de datos de Microsoft Purview en el nuevo portal de Microsoft Purview mediante Catálogo unificado de Microsoft Purview.
- Si usa la Data Catalog clásica, consulte permisos de gobernanza para el Data Catalog clásico.
- Para obtener permisos de gobernanza de datos en el portal clásico de Microsoft Purview, consulte permisos en el portal de gobernanza de Microsoft Purview clásico.
La gobernanza de datos de Microsoft Purview tiene dos soluciones en el Portal de Microsoft Purview: Mapa de datos y Catálogo unificado. Estas soluciones usan permisos de nivel de inquilino o organización, permisos de acceso a datos existentes y permisos de dominio o recopilación para proporcionar a los usuarios acceso a herramientas de gobernanza y recursos de datos.
El tipo de permisos disponibles para usar depende del tipo de cuenta de Microsoft Purview.
Comprobar el tipo de cuenta
Compruebe si su organización tiene el tipo de cuenta gratuita o empresarial. Para comprobar el tipo de cuenta, vaya al portal de Microsoft Purview y seleccione la tarjeta Configuración . En Cuenta, vea el tipo de cuenta.
Importante
Para los usuarios recién creados en Microsoft Entra identificador, los permisos pueden tardar algún tiempo en propagarse incluso después de aplicar los permisos correctos.
Permisos en la versión de empresa
Todos los usuarios pueden ver los recursos de datos de los orígenes disponibles donde tienen al menos permisos de lectura . Los usuarios propietarios pueden administrar los metadatos de los recursos en los que tengan al menos permisos de propietario y escritura . Obtenga más información sobre los roles de Microsoft Azure.
Tipos de permisos
- Permisos de inquilino o organización: asignados en el nivel organizativo, estos permisos proporcionan permisos generales y administrativos.
- Catálogo unificado permisos: estos permisos permiten a los usuarios examinar Catálogo unificado y compilar sus soluciones de gobernanza de datos.
- Permisos de nivel de colección y dominio de Mapa de datos: permisos en mapa de datos que conceden acceso a los recursos de datos en Microsoft Purview.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Grupos de roles de nivel de inquilino
Asignados en el nivel organizativo, los grupos de roles de nivel de inquilino proporcionan permisos generales y administrativos para Mapa de datos de Microsoft Purview y Catálogo unificado. Si va a administrar su cuenta de Microsoft Purview o la estrategia de gobernanza de datos de su organización, probablemente tenga que pertenecer a uno o varios de estos grupos de roles:
- Administradores de Purview
- Administradores del origen de datos
- Gobernanza de datos
Para obtener más información, vea descripciones de estos roles.
Para obtener una lista completa de todos los roles y grupos de roles disponibles, no solo para la gobernanza de datos, consulte roles y grupos de roles en los portales de Microsoft Defender XDR y Microsoft Purview.
Asignación y administración de grupos de roles
Un usuario debe tener el rol de administración de roles para agregar usuarios o grupos a un grupo de roles de Microsoft Purview. Para obtener instrucciones sobre cómo asignar y administrar roles en Microsoft Purview, consulte permisos en Microsoft Purview.
permisos de Catálogo unificado
Tres niveles de permisos conceden a los usuarios acceso a la información en Catálogo unificado:
Nivel de inquilino de gobernanza de datos: un grupo de roles de nivel empresarial o organizativo que tiene el rol de Administración de gobernanza de datos. Ese rol delega el primer nivel de acceso para los creadores de dominio de gobernanza. (Este rol no aparece en Catálogo unificado, pero afecta a la capacidad de asignar permisos en Catálogo unificado).
Permisos de nivel de catálogo: permisos que conceden propiedad a dominios de gobernanza y acceso a la administración de estado.
Permisos de nivel de dominio de gobernanza: permisos para acceder y administrar recursos dentro de dominios de gobernanza específicos.
Permisos para buscar el Catálogo unificado completo
No necesita permisos específicos en Catálogo unificado para buscar en el Catálogo unificado. Sin embargo, al buscar Catálogo unificado solo se devuelven los recursos de datos pertinentes que tiene permisos para ver en Mapa de datos. Los usuarios pueden encontrar un recurso de datos en Catálogo unificado cuando:
- Buscan productos de datos en un dominio de gobernanza donde tienen permisos de lector de catálogo.
- Tienen permisos de lector de datos en un dominio o colección en Data Map donde se almacena el recurso.
- Tienen al menos permisos de lectura en un recurso de Azure o Microsoft Fabric disponible.
Importante
Es posible que los usuarios que ya tengan permisos de lectura en Azure tengan acceso a los recursos de Catálogo unificado que no tenía previsto que tuvieran. Si no quiere que tengan ese acceso, debe quitar sus permisos.
Los permisos para estos recursos se administran en el nivel de recurso y en el nivel mapa de datos.
Si el catálogo está bien mantenido, los usuarios empresariales diarios no deben tener que buscar en el catálogo completo. Deben poder encontrar los datos que necesitan en los productos de datos. Para obtener más información sobre cómo configurar la Catálogo unificado, consulte Introducción a la gobernanza de datos y Planeamiento de Catálogo unificado.
Permisos de nivel de catálogo
Los permisos de nivel de catálogo proporcionan acceso de alto nivel dentro de Catálogo unificado e incluyen estos roles:
- Creador de dominio de gobernanza
- Lector de catálogo global
- Propietario de Data Health
- Lector de estado de datos
Para obtener más información, vea descripciones de estos roles.
Asignación de roles de nivel de catálogo
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador a la que se le asigna el rol De gobernanza de datos .
- Vaya a Configuración y seleccione Catálogo unificado.
- Seleccione Roles y permisos.
- Seleccione Creadores de dominio de gobernanza u otro rol y, a continuación, seleccione el icono Agregar usuario.
- Busque el usuario que desea agregar y, a continuación, seleccione el usuario.
- Haga clic en Guardar.
Permisos de nivel de dominio de gobernanza
Los permisos de dominio de gobernanza proporcionan acceso dentro de un dominio de gobernanza específico. Conceda estos permisos a expertos en datos y usuarios empresariales para que puedan leer y administrar objetos dentro del dominio de gobernanza. Solo un usuario con el rol de propietario de dominio de gobernanza puede conceder permisos de dominio de gobernanza.
Consulte la lista de estos roles y descripciones.
Sugerencia
Un usuario de la organización que ejecuta la gobernanza de datos o Catálogo unificado debe tener el rol de propietario del dominio de gobernanza. Este rol es esencial para crear entidades como dominios de gobernanza, productos de datos y términos del glosario. Asigne al menos dos personas como propietarios de dominio de gobernanza.
Asignación de roles de dominio de gobernanza
Un usuario debe ser propietario de un dominio de gobernanza en el dominio de gobernanza para asignar roles de dominio de gobernanza. Los administradores de gobernanza de datos o los creadores de dominio de gobernanza asignan este rol.
Asigne roles de dominio de gobernanza en la pestaña Roles de un dominio de gobernanza. Para obtener instrucciones sobre cómo asignar roles, consulte cómo administrar dominios de gobernanza.
roles de Catálogo unificado
Importante
Asegúrese de comprender la diferencia entre los dos roles lectores de catálogo:
El Lector de catálogo global permite a los usuarios acceder a los conceptos empresariales publicados desde dominios de gobernanza publicados.
Lector de catálogo local reduce considerablemente el acceso a los dominios de gobernanza. Al asignar usuarios a este rol dentro de un dominio de gobernanza:
- Solo esos usuarios tienen acceso de lector a los conceptos publicados dentro de ese dominio de gobernanza.
- Un usuario con este rol también puede tener otros roles, como Propietario del producto de datos o Administrador de datos, que le permiten ver conceptos empresariales publicados de otros dominios de gobernanza.
El rol Lector de catálogo local es útil cuando, por ejemplo, debe limitar el acceso a un dominio de gobernanza para cumplir los requisitos normativos o legales. Sin embargo, el uso excesivo de este rol impide un enfoque federado para la gobernanza de datos.
Nota:
La observación de datos usa los mismos roles que el resto de la Catálogo unificado. Los lectores de catálogo no pueden acceder a la vista más amplia del explorador de observación de datos en el estado del patrimonio de datos y solo pueden ver los conceptos publicados. El administrador de datos, los propietarios de productos de datos, los propietarios de dominio de gobernanza y los creadores de dominio de gobernanza tienen acceso a las vistas de observabilidad de datos tanto en los conceptos que pueden ver como en la vista de administración del estado de los datos que permite una exploración y una visión más amplias en todo el patrimonio de datos.
| Nivel de permisos | Role | Descripción |
|---|---|---|
| Tenant | Grupo de roles de gobernanza de datos | Concede acceso a los roles de gobernanza de datos en Microsoft Purview. |
| Grupo de roles Administradores de origen de datos | Administrar orígenes de datos y exámenes de datos en el Mapa de datos de Microsoft Purview. | |
| Grupo de roles Administradores de Purview | Cree, edite y elimine dominios y realice asignaciones de roles. | |
| Catalog | Administrador de gobernanza de datos | Delega el primer nivel de acceso para los creadores de dominio de gobernanza y otros permisos de nivel de catálogo. |
| Propietario de Data Health | Puede crear, actualizar y leer artefactos en el área Administración de estado de Catálogo unificado. | |
| Lector de estado de datos | Puede leer artefactos en el área Administración de estado de Catálogo unificado. | |
| Lector de catálogo global | Puede leer artefactos publicados en dominios de gobernanza que no tengan especificado un lector de catálogo local. | |
| Creador de dominio de gobernanza | Puede crear dominios y delegar el propietario del dominio de gobernanza (o sigue siendo el propietario del dominio de gobernanza de forma predeterminada). | |
| Dominio de gobernanza | Propietario del producto de datos* | Puede crear, actualizar y leer productos de datos solo dentro de su dominio de gobernanza. Puede leer y crear relaciones con conceptos en dominios de gobernanza. |
| Lector de perfiles de datos | Tiene acceso para examinar la información del perfil de datos y puede explorar en profundidad los resultados de la generación de perfiles para examinar las estadísticas en el nivel de columna. Se trata de un sub roles que requiere que el usuario también contenga el Lector de dominio de gobernanzay los roles Lector de catálogo global o Lector de catálogo local . | |
| Administrador de perfiles de datos | Puede ejecutar trabajos de generación de perfiles de datos y acceder a los detalles de la información de generación de perfiles. Este rol también puede examinar toda la información de calidad de los datos y supervisar los trabajos de generación de perfiles. Este rol no puede crear reglas y no puede ejecutar el examen de calidad de datos. Se trata de un sub roles que requiere que el usuario también tenga los roles Lector de dominio de gobernanzayPropietario del producto de datos . | |
| Lector de metadatos de calidad de datos | Puede examinar información de calidad de datos (excepto la información de nivel de columna de resultados de generación de perfiles), la definición de reglas de calidad de datos y las puntuaciones de nivel de regla. Este rol no puede acceder a los registros de errores y no puede ejecutar trabajos de análisis de calidad de datos y generación de perfiles. Se trata de un sub roles que requiere que el usuario también contenga el Lector de dominio de gobernanzay los roles Lector de catálogo global o Lector de catálogo local . | |
| Lector de calidad de datos | Puede examinar todas las definiciones de reglas de calidad de datos y conclusiones de calidad de datos. Este rol no puede ejecutar trabajos de análisis de calidad de datos y generación de perfiles de datos, ni acceder a la información de nivel de columna de generación de perfiles de datos como información de nivel de columna. Se trata de un sub roles que requiere que el usuario también contenga el Lector de dominio de gobernanzay los roles Lector de catálogo global o Lector de catálogo local . | |
| Administrador de calidad de datos | Puede usar características de calidad de datos, como la administración de reglas de calidad de datos, el examen de la calidad de los datos, la exploración de información de calidad de datos, la programación de la calidad de los datos, la supervisión del trabajo y la configuración de umbrales y alertas. Se trata de un sub roles que requiere que el usuario también tenga los roles Lector de dominio de gobernanzayPropietario del producto de datos . | |
| Administrador de datos* | Puede crear, actualizar y leer artefactos y directivas dentro de su dominio de gobernanza. También puede leer artefactos de otros dominios de gobernanza. | |
| Propietario del dominio de gobernanza | Puede delegar todos los demás permisos de dominio de gobernanza, configurar alertas de examen de calidad de datos de nivel de dominio, configurar la programación de nivel de dominio para el trabajo de examen de calidad de datos y establecer directivas de acceso a nivel de dominio. | |
| Lector de dominio de gobernanza | Puede leer los metadatos de dominio de gobernanza de los dominios publicados a los que se agregan. | |
| Lector de catálogo local | Puede leer los conceptos publicados solo en el dominio de gobernanza al que se les concede acceso. Dado que este rol limita en gran medida el ámbito de quién puede acceder a los datos y administrarlos, se recomienda limitar el uso de este rol para que pueda usar mejor un enfoque federado para la gobernanza de datos. |
*Para poder agregar recursos de datos a un producto de datos, los propietarios de productos de datos y los administradores de datos también necesitan permisos de mapa de datos para leer esos recursos de datos en Data Map.
Permisos de mapa de datos
Mapa de datos usa un conjunto de roles predefinidos para controlar quién puede acceder a lo que dentro de la cuenta. Los dominios y colecciones son herramientas usadas por Data Map para agrupar recursos, orígenes y otros artefactos en una jerarquía para detectar y administrar el control de acceso dentro de Data Map.
Busque una descripción de cada rol y aprenda a agregar roles y restringir el acceso a través de colecciones.
Para obtener información más detallada sobre los roles disponibles en las colecciones, vea a quién se le debe asignar qué roles o el ejemplo de colecciones.
Sugerencia
Si es administrador de datos o propietario del producto de datos para Catálogo unificado, es una buena idea tener también permisos de Mapa de datos.
Ejemplo de ciclo de vida del recurso de datos
Para comprender cómo funcionan los permisos entre Data Map y Catálogo unificado, revise la tabla siguiente sobre el ciclo de vida completo de una tabla de Azure SQL en el entorno:
| Paso | Role | Nivel de permisos |
|---|---|---|
| 1. La base de datos Azure SQL está registrada en data map | Administrador del origen de datos | Mapa de datos |
| 2. La base de datos Azure SQL se examina en mapa de datos | Administrador de orígenes de datos o conservador de datos | Mapa de datos |
| 3. La tabla de Azure SQL está seleccionada y certificada | Conservador de datos | Mapa de datos |
| 4. Se crea un dominio de gobernanza en la cuenta de Microsoft Purview | Creador de dominio de gobernanza | Catálogo |
| 5. Se crea un producto de datos en el dominio de gobernanza. | Propietario del dominio de gobernanza o propietario del producto de datos | Dominio de gobernanza |
| 6. La tabla de Azure SQL se agrega como un recurso al producto de datos. | Propietario o administrador del producto de datos | Dominio de gobernanza |
| 7. Se agrega una directiva de acceso al producto de datos | Propietario o administrador del producto de datos | Dominio de gobernanza |
| 8. Un usuario busca Catálogo unificado, buscando recursos de datos que coincidan con sus necesidades | Permisos de activos o permisos de lector de datos | Permisos de recursos o permisos de Mapa de datos |
| 9. Un usuario busca productos de datos, buscando un producto que coincida con sus necesidades | Lector de catálogo global | Catálogo |
| 10. Un usuario solicita acceso a los recursos del producto de datos | Lector de catálogo global | Catálogo |
| 11. Un usuario ve Data Health Insights para realizar un seguimiento del estado de sus Data Catalog | Lector de estado de datos | Catálogo |
| 12. Un usuario quiere desarrollar un nuevo informe para realizar un seguimiento del progreso del estado de los datos en su catálogo | Propietario de Data Health | Catálogo |