Architectures et bonnes pratiques des collections Microsoft Purview

  • Article

Au cœur des solutions de gouvernance unifiée des données Microsoft Purview, la carte de données est un composant PaaS (Platform as a Service) qui conserve une carte à jour des ressources et de leurs métadonnées dans votre patrimoine de données. Pour hydrater le mappage de données, vous devez inscrire et analyser vos sources de données. Dans un organization, des milliers de sources de données peuvent être gérées et régies par des équipes centralisées ou décentralisées.

Les collections dans Microsoft Purview prennent en charge le mappage organisationnel des métadonnées. En utilisant des collections, vous pouvez gérer et gérer des sources de données, des analyses et des ressources dans une hiérarchie au lieu d’une structure plate. Les collections vous permettent de créer un modèle hiérarchique personnalisé de votre paysage de données en fonction de la façon dont votre organization prévoit d’utiliser Microsoft Purview pour régir votre paysage.

Une collection fournit également une limite de sécurité pour vos métadonnées dans le mappage de données. L’accès aux collections, sources de données et métadonnées est configuré et géré en fonction de la hiérarchie des collections dans Microsoft Purview, en suivant un modèle de privilège minimum :

  • Les utilisateurs disposent de la quantité minimale d’accès dont ils ont besoin pour effectuer leur travail.
  • Les utilisateurs n’ont pas accès aux données sensibles dont ils n’ont pas besoin.

Pourquoi devez-vous définir des collections et un modèle d’autorisation pour votre compte Microsoft Purview ?

Envisagez de déployer des regroupements dans Microsoft Purview pour répondre aux exigences suivantes :

  • Organisez les sources de données, distribuez les ressources et exécutez des analyses en fonction des besoins de votre entreprise, de la distribution géographique des données et des équipes de gestion des données, des services ou des fonctions métier.

  • Déléguer la propriété des sources de données et des ressources aux équipes correspondantes en attribuant des rôles aux collections correspondantes.

  • Recherchez et filtrez les ressources par collections.

Définir une hiérarchie de collection

Recommandations de conception

  • Nous vous recommandons de concevoir votre architecture de collection en fonction des exigences de sécurité et de la structure de gestion et de gouvernance des données de votre organization. Passez en revue les archétypes de collections recommandés dans cet article.

  • Pour une scalabilité future, nous vous recommandons de créer une collection de niveau supérieur pour votre organization sous la collection racine. Attribuez des rôles pertinents à la collection de niveau supérieur plutôt qu’à la collection racine.

  • Prenez en compte la gestion de la sécurité et des accès dans le cadre de votre processus de prise de décision de conception lorsque vous créez des collections dans Microsoft Purview.

  • Chaque collection a un attribut name et un attribut de nom convivial. Si vous utilisez le portail de gouvernance Microsoft Purview pour déployer un regroupement, le système attribue automatiquement un nom aléatoire de six lettres à la collection afin d’éviter la duplication. Pour réduire la complexité, évitez d’utiliser des noms conviviaux dupliqués dans vos collections, en particulier dans le même niveau.

  • Actuellement, un nom de collection peut contenir jusqu’à 36 caractères et un nom convivial de collection peut contenir jusqu’à 100 caractères.

  • Lorsque vous le pouvez, évitez de dupliquer votre structure organisationnelle dans une hiérarchie de collection profondément imbriquée. Si vous ne pouvez pas éviter de le faire, veillez à utiliser des noms différents pour chaque collection dans la hiérarchie afin de faciliter la distinction entre les collections.

  • Automatisez le déploiement de regroupements à l’aide de l’API si vous envisagez de déployer des regroupements et des attributions de rôles en bloc.

  • Utilisez un nom de principal de service (SPN) dédié pour exécuter des opérations sur les collections et l’attribution de rôle à l’aide de l’API. L’utilisation d’un SPN réduit le nombre d’utilisateurs disposant de droits élevés et suit les instructions relatives aux privilèges minimum.

Considérations relatives à la conception

  • Chaque compte Microsoft Purview est créé avec une collection racine par défaut. Le nom de la collection racine est identique au nom de votre compte Microsoft Purview. Impossible de supprimer la collection racine. Pour modifier le nom convivial de la collection racine, vous pouvez modifier le nom convivial de votre compte Microsoft Purview à partir du Centre de gestion Microsoft Purview.

  • Les collections peuvent contenir des sources de données, des analyses, des ressources et des attributions de rôles.

  • Une collection peut avoir autant de collections enfants que nécessaire. Toutefois, chaque collection ne peut avoir qu’une seule collection parente. Vous ne pouvez pas déployer de regroupements au-dessus de la collection racine.

  • Les sources de données, les analyses et les ressources peuvent appartenir à une seule collection.

  • Une hiérarchie de collections dans un Microsoft Purview peut prendre en charge jusqu’à 256 collections, avec un maximum de huit niveaux de profondeur. Cela n’inclut pas la collection racine.

  • Par défaut, vous ne pouvez pas inscrire des sources de données plusieurs fois dans un seul compte Microsoft Purview. Cette architecture permet d’éviter le risque d’affecter différents niveaux de contrôle d’accès à une seule source de données. Si plusieurs équipes consomment les métadonnées d’une seule source de données, vous pouvez inscrire et gérer la source de données dans une collection parente. Vous pouvez ensuite créer des analyses correspondantes sous chaque sous-collection afin que les ressources pertinentes apparaissent sous chaque collection enfant.

  • Les connexions de traçabilité et les artefacts sont attachés à la collection racine même si les sources de données sont inscrites dans des collections de niveau inférieur.

  • Lorsque vous exécutez une nouvelle analyse, par défaut, l’analyse est déployée dans la même collection que la source de données. Vous pouvez éventuellement sélectionner une autre sous-collection pour exécuter l’analyse. Par conséquent, les ressources appartiennent à la sous-collection.

  • Vous pouvez supprimer une collection si elle n’a pas de ressources, d’analyses associées, de sources de données ou de collections enfants.

  • Les sources de données, les analyses et les ressources doivent appartenir à une collection si elles existent dans le mappage de données Microsoft Purview.

  • Le déplacement de sources de données entre les collections est autorisé si l’utilisateur dispose du rôle Source de données Administration pour les collections source et de destination.

  • Le déplacement de ressources entre les collections est autorisé si l’utilisateur dispose du rôle Conservateur de données pour les collections source et de destination.

  • Pour effectuer des opérations de déplacement et de renommage sur une collection, passez en revue les recommandations et considérations suivantes :

    1. Pour renommer une collection, vous devez être membre du rôle d’administrateur de collection.

    2. Pour déplacer une collection, vous devez être membre du rôle d’administrateur de collection sur les collections source et de destination.

Définir un modèle d’autorisation

Les rôles de plan de données Microsoft Purview sont gérés dans Microsoft Purview. Après avoir déployé un compte Microsoft Purview, le créateur du compte Microsoft Purview se voit automatiquement attribuer les rôles suivants au niveau de la collection racine. Vous pouvez utiliser le portail de gouvernance Microsoft Purview ou une méthode programmatique pour attribuer et gérer directement des rôles dans Microsoft Purview.

  • Les administrateurs de collections peuvent modifier les collections Microsoft Purview et leurs détails et ajouter des sous-collections. Ils peuvent également ajouter des utilisateurs à d’autres rôles Microsoft Purview sur des regroupements où ils sont administrateurs.
  • Les administrateurs de sources de données peuvent gérer les sources de données et les analyses de données.
  • Les conservateurs de données peuvent créer, lire, modifier et supprimer des ressources de données de catalogue et établir des relations entre les ressources.
  • Les lecteurs de données peuvent accéder aux ressources de données du catalogue, mais pas les modifier.

Recommandations de conception

  • Envisagez d’implémenter un accès d’urgence ou une stratégie de secours pour le rôle De Administration de collecte au niveau de votre collection racine Microsoft Purview afin d’éviter les verrouillages au niveau du compte Microsoft Purview. Documentez le processus d’utilisation des comptes d’urgence.

    Remarque

    Dans certains scénarios, vous devrez peut-être utiliser un compte d’urgence pour vous connecter à Microsoft Purview. Vous aurez peut-être besoin de ce type de compte pour résoudre les problèmes d’accès de niveau organization lorsque personne d’autre ne peut se connecter à Microsoft Purview ou lorsque d’autres administrateurs ne peuvent pas effectuer certaines opérations en raison de problèmes d’authentification d’entreprise. Nous vous recommandons vivement de suivre les meilleures pratiques de Microsoft concernant l’implémentation de comptes d’accès d’urgence à l’aide d’utilisateurs cloud uniquement.

    Suivez les instructions de cet article pour récupérer l’accès à votre collection racine Microsoft Purview si votre Administration collection précédente n’est pas disponible.

  • Réduisez le nombre d’administrateurs de collection racine. Affectez un maximum de trois utilisateurs collection Administration à la collection racine, y compris le SPN et vos comptes de secours. Affectez plutôt vos rôles de Administration à la collection de niveau supérieur ou aux sous-collections.

  • Attribuez des rôles à des groupes plutôt qu’à des utilisateurs individuels pour réduire la surcharge administrative et les erreurs de gestion des rôles individuels.

  • Affectez le principal de service au niveau de la collection racine à des fins d’automatisation.

  • Pour renforcer la sécurité, activez l’accès conditionnel Azure AD avec l’authentification multifacteur pour au moins les administrateurs de collection, les administrateurs de source de données et les conservateurs de données. Assurez-vous que les comptes d’urgence sont exclus de la stratégie d’accès conditionnel.

Considérations relatives à la conception

  • La gestion des accès Microsoft Purview a été déplacée dans le plan de données. Les rôles Azure Resource Manager ne sont plus utilisés. Vous devez donc utiliser Microsoft Purview pour attribuer des rôles.

  • Dans Microsoft Purview, vous pouvez attribuer des rôles à des utilisateurs, des groupes de sécurité et des principaux de service (y compris les identités managées) à partir d’Azure Active Directory (Azure AD) sur le même locataire Azure AD où le compte Microsoft Purview est déployé.

  • Vous devez d’abord ajouter des comptes invités à votre locataire Azure AD en tant qu’utilisateurs B2B avant de pouvoir attribuer des rôles Microsoft Purview à des utilisateurs externes.

  • Par défaut, les administrateurs de collections n’ont pas accès à la lecture ou à la modification des ressources. Mais ils peuvent élever leur accès et s’ajouter à d’autres rôles.

  • Par défaut, toutes les attributions de rôles sont automatiquement héritées par toutes les collections enfants. Toutefois, vous pouvez activer Restreindre les autorisations héritées sur n’importe quelle collection, à l’exception de la collection racine. Restreindre les autorisations héritées supprime les rôles hérités de toutes les collections parentes, à l’exception du rôle Collection Administration.

  • Pour Azure Data Factory connexion : pour vous connecter à Azure Data Factory, vous devez être un Administration de collection pour la collection racine.

  • Si vous devez vous connecter à Azure Data Factory pour la traçabilité, accordez le rôle Conservateur de données à l’identité managée de la fabrique de données au niveau de votre collection racine Microsoft Purview. Lorsque vous connectez Data Factory à Microsoft Purview dans l’interface utilisateur de création, Data Factory tente d’ajouter automatiquement ces attributions de rôles. Si vous avez le rôle Collection Administration sur la collection racine Microsoft Purview, cette opération fonctionne.

Archétypes de collections

Vous pouvez déployer votre collection Microsoft Purview basée sur des modèles de gestion et de gouvernance des données centralisés, décentralisés ou hybrides. Basez cette décision sur vos exigences métier et de sécurité.

Exemple 1 : organization à région unique

Cette structure convient aux organisations qui :

  • Sont principalement basés dans un emplacement géographique unique.
  • Disposer d’une équipe centralisée de gestion et de gouvernance des données où le niveau suivant de gestion des données se situe dans les services, les équipes ou les projets.

La hiérarchie de collection se compose des éléments verticaux suivants :

  • Collection racine (par défaut)
  • Contoso (collection de niveau supérieur)
  • Départements (collection déléguée pour chaque service)
  • Équipes ou projets (séparation supplémentaire basée sur les projets)

Chaque source de données est inscrite et analysée dans sa collection correspondante. Par conséquent, les ressources apparaissent également dans la même collection.

Les sources de données partagées au niveau de l’organisation sont inscrites et analysées dans la collection Hub-Shared.

Les sources de données partagées au niveau du service sont enregistrées et analysées dans les collections de services.

Capture d’écran montrant le premier exemple de collections Microsoft Purview.

Exemple 2 : organization multirégion

Ce scénario est utile pour les organisations :

  • Qui sont présents dans plusieurs régions.
  • Où l’équipe de gouvernance des données est centralisée ou décentralisée dans chaque région.
  • Où les équipes de gestion des données sont réparties dans chaque emplacement géographique.

La hiérarchie de collection se compose des éléments verticaux suivants :

  • Collection racine (par défaut)
  • FourthCoffee (collection de niveau supérieur)
  • Emplacements géographiques (collections de niveau intermédiaire basées sur les emplacements géographiques où se trouvent les sources de données et les propriétaires de données)
  • Départements (collection déléguée pour chaque service)
  • Équipes ou projets (séparation supplémentaire basée sur les équipes ou les projets)

Dans ce scénario, chaque région a sa propre sous-collection sous la collection de niveau supérieur dans le compte Microsoft Purview. Les sources de données sont inscrites et analysées dans les sous-collections correspondantes dans leurs propres emplacements géographiques. Par conséquent, les ressources apparaissent également dans la hiérarchie de sous-collections pour la région.

Si vous avez des équipes centralisées de gestion et de gouvernance des données, vous pouvez leur accorder l’accès à partir de la collection de niveau supérieur. Dans ce cas, ils obtiennent une supervision de l’ensemble du patrimoine de données dans le mappage de données. Si vous le souhaitez, l’équipe centralisée peut inscrire et analyser toutes les sources de données partagées.

Les équipes de gouvernance et de gestion des données basées sur les régions peuvent obtenir l’accès à partir de leurs collections correspondantes à un niveau inférieur.

Les sources de données partagées au niveau du service sont enregistrées et analysées dans les collections de services.

Capture d’écran montrant le deuxième exemple de collections Microsoft Purview.

Exemple 3 : Multirégion, transformation des données

Ce scénario peut être utile si vous souhaitez distribuer la gestion de l’accès aux métadonnées en fonction des emplacements géographiques et des états de transformation des données. Les scientifiques des données et les ingénieurs données qui peuvent transformer les données pour les rendre plus explicites peuvent gérer les zones brutes et affiner. Ils peuvent ensuite déplacer les données dans les zones Produire ou Organiser.

La hiérarchie de collection se compose des éléments verticaux suivants :

  • Collection racine (par défaut)
  • Fabrikam (collection de niveau supérieur)
  • Emplacements géographiques (collections de niveau intermédiaire basées sur les emplacements géographiques où se trouvent les sources de données et les propriétaires de données)
  • Étapes de transformation des données (brutes, affinées, produire/organisées)

Les scientifiques des données et les ingénieurs données peuvent avoir le rôle Conservateurs de données sur leurs zones correspondantes afin qu’ils puissent organiser les métadonnées. L’accès lecteur de données à la zone organisée peut être accordé à des personnes de données et à des utilisateurs professionnels entiers.

Capture d’écran montrant le troisième exemple de collections Microsoft Purview.

Exemple 4 : Multirégion, fonctions métier

Cette option peut être utilisée par les organisations qui ont besoin d’organiser la gestion des métadonnées et des accès en fonction des fonctions métier.

La hiérarchie de collection se compose des éléments verticaux suivants :

  • Collection racine (par défaut)
  • AdventureWorks (collection de niveau supérieur)
  • Emplacements géographiques (collections de niveau intermédiaire basées sur les emplacements géographiques où se trouvent les sources de données et les propriétaires de données)
  • Principales fonctions ou clients d’entreprise (séparation supplémentaire basée sur les fonctions ou les clients)

Chaque région a sa propre sous-collection sous la collection de niveau supérieur dans le compte Microsoft Purview. Les sources de données sont inscrites et analysées dans les sous-collections correspondantes dans leurs propres emplacements géographiques. Les ressources sont donc ajoutées à la hiérarchie de sous-collection pour la région.

Si vous avez des équipes centralisées de gestion et de gouvernance des données, vous pouvez leur accorder l’accès à partir de la collection de niveau supérieur. Dans ce cas, ils obtiennent une supervision de l’ensemble du patrimoine de données dans le mappage de données. Si vous le souhaitez, l’équipe centralisée peut inscrire et analyser toutes les sources de données partagées.

Les équipes de gouvernance et de gestion des données basées sur les régions peuvent obtenir l’accès à partir de leurs collections correspondantes à un niveau inférieur. Chaque unité commerciale a sa propre sous-collection.

Capture d’écran montrant le quatrième exemple de collections Microsoft Purview.

Options de gestion des accès

Si vous souhaitez implémenter la démocratisation des données dans l’ensemble d’un organization, attribuez le rôle Lecteur de données dans la collection de niveau supérieur aux utilisateurs de gestion des données, de gouvernance et d’entreprise. Attribuez des rôles de Administration de source de données et de conservateur de données aux niveaux de sous-collection aux équipes de gestion et de gouvernance des données correspondantes.

Si vous devez restreindre l’accès à la recherche et à la découverte des métadonnées dans votre organization, attribuez les rôles Lecteur de données et Conservateur de données au niveau de la collection spécifique. Par exemple, vous pouvez limiter les employés américains afin qu’ils puissent lire les données uniquement au niveau de la collection américaine et non dans la collection LATAM.

Vous pouvez appliquer une combinaison de ces deux scénarios dans votre carte de données Microsoft Purview si la démocratisation totale des données est requise, à quelques exceptions près pour certaines collections. Vous pouvez attribuer des rôles Microsoft Purview au niveau de la collection de niveau supérieur et limiter l’héritage aux collections enfants spécifiques.

Attribuez le rôle Administration de collecte à l’équipe centralisée de gestion et de sécurité des données de la collection de niveau supérieur. Déléguer la gestion supplémentaire des collections de niveau inférieur aux équipes correspondantes.

Prochaines étapes