Microsoft Purview ガバナンス ポータルでのアクセス制御
Microsoft Purview ガバナンス ポータルでは、Microsoft Purview Data Map 内のコレクションを使用して、ソース、資産、その他の成果物全体のアクセスを整理および管理します。 この記事では、Microsoft Purview ガバナンス ポータルでのアカウントのコレクションとアクセス管理について説明します。
重要
この記事では、Microsoft Purview ガバナンス ポータルに必要なアクセス許可と、Microsoft Purview Data Map、Data Catalog、Data Estate Insights などのアプリケーションについて説明します。Microsoft Purview コンプライアンス センターのアクセス許可情報をお探しの場合は、Microsoft Purview コンプライアンス ポータルのアクセス許可に関する記事に従ってください。
コレクション
コレクションは、資産、ソース、その他の成果物を階層にグループ化して検出可能性を高め、アクセスの制御を管理するために Microsoft Purview Data Map で使用されるツールです。 Microsoft Purview ガバナンス ポータルのリソースへのすべてのアクセスは、Microsoft Purview Data Map 内のコレクションから管理されます。
ロール
Microsoft Purview ガバナンス ポータルでは、定義済みのロールのセットを使用して、アカウント内で誰が何にアクセスできるかを制御します。 現時点でのこれらのロールは次のとおりです。
- コレクション管理者 - Microsoft Purview ガバナンス ポータルで他のユーザーにロールを割り当てたり、コレクションを管理したりする必要があるユーザー用のロールです。 コレクション管理者は、自分が管理者であるコレクションのロールにユーザーを追加することができます。 また、コレクションとその詳細を編集し、サブコレクションを追加することもできます。 ルート コレクション のコレクション管理者にも、Microsoft Purview ガバナンス ポータルへのアクセス許可が自動的に付与されます。 ルート コレクション管理者を変更する必要がある場合は、以下のセクションの手順をフォローすることができます。
- データ キュレーター - 資産の管理、カスタム分類の構成、用語集の用語の設定、データ資産分析情報の表示を行うためにデータ カタログへのアクセスを提供するロールです。 データ キュレーターは、資産の作成、読み取り、変更、移動、および削除を行うことができます。 また、資産に注釈を適用することもできます。
- データ閲覧者 - データ資産、分類、分類ルール、コレクション、用語集の用語への読み取り専用アクセスを提供するロールです。
- データ ソース管理者 - ユーザーがデータ ソースとスキャンを管理できるロールです。 ユーザーは、付与されているのが特定のデータソースのデータソース管理者ロールのみの場合、既存のスキャン ルールを使用して新しいスキャンを実行できます。 新しいスキャン ルールを作成するには、ユーザーにデータ閲覧者またはデータ キュレーターのいずれかのロールも付与されている必要があります。
- 分析情報閲覧者 - 分析情報閲覧者が少なくともデータ閲覧者ロールを持つコレクションの、分析情報レポートへの読み取り専用アクセスを提供するロール。 詳細については、「分析情報のアクセス許可」を参照してください。
- ポリシー作成者 (プレビュー) - ユーザーが Microsoft Purview 内のポリシー管理アプリを使用して Microsoft Purview ポリシーを表示、更新、削除することを許可するロール。
- ワークフロー管理者 - ユーザーが Microsoft Purview ガバナンス ポータルのワークフロー作成ページにアクセスし、自分がアクセス許可を持つコレクションでワークフローを公開できるようにするロール。 ワークフロー管理者は作成のアクセス権のみを持っているため、Purview ガバナンス ポータルにアクセスするには、コレクションに対するデータ閲覧者のアクセス許可が最低限必要です。
注意
現時点では、ポリシーを作成するには、Microsoft Purview ポリシー作成者ロールでは十分ではありません。 Microsoft Purview データ ソース管理者ロールも必要になります。
ロールに割り当てられるユーザー
| ユーザー シナリオ | 適切なロール |
|---|---|
| 資産を検索するのみで、何も編集する必要がない | データ リーダー |
| 資産に関する情報を編集および管理する必要がある | データ キュレーター |
| カスタム分類を作成する | データ キュレーター または データ ソース管理者 |
| ビジネス用語集を編集する必要がある | データ キュレーター |
| データ資産のガバナンス体制を理解するために Data Estate Insights を表示する必要がある | データ キュレーター |
| アプリケーションのサービス プリンシパルが Microsoft Purview Data Map にデータをプッシュする必要がある | データ キュレーター |
| Microsoft Purview ガバナンス ポータルを使用してスキャンを設定する必要がある | コレクションのデータ キュレーター、またはソースが登録されている場合は、データ キュレーターおよびデータ ソース管理者。 |
| サービス プリンシパルまたはグループがカタログの情報にアクセスすることを許可せずに、Microsoft Purview Data Map でスキャンを設定し、監視する必要がある | データソース管理者 |
| Microsoft Purview ガバナンス ポータルのロールにユーザーを割り当てる必要がある | コレクション管理者 |
| アクセス ポリシーを作成して公開する必要がある | データ ソース管理者とポリシー作成者 |
| ガバナンス ポータルで Microsoft Purview アカウントのワークフローを作成する必要がある | ワークフロー管理者 |
| Microsoft Purview に登録されているソースからデータを共有する必要がある | データ リーダー |
| Microsoft Purview で共有データを受信する必要がある | データ リーダー |
| コレクションのインサイトを表示する必要がある | インサイト リーダーまたはデータ キュレーターの一員である |
| セルフホステッド統合ランタイム (SHIR) を作成または管理する必要がある | データソース管理者 |
| マネージド プライベート エンドポイントを作成する必要がある | データソース管理者 |
注意
*データ キュレーター - データ キュレーターは、ルートコレクションレベルでデータ キュレーターが割り当てられている場合にのみ、分析情報を読み取ることができます。 **ポリシーに対するデータ ソース管理者の アクセス許可 - データ ソース管理者は、データ ポリシーを公開できます。
Microsoft Purview ガバナンス ポータルのロールとコレクションを使用する方法を理解する
すべてのアクセス制御は、Microsoft Purview Data Map 内のコレクションを通じて管理されます。 コレクションは、Microsoft Purview ガバナンス ポータルで確認できます。 Azure portal でアカウントを開き、[概要] ページで [Microsoft Purview ガバナンス ポータル] タイルを選択します。 そこから、左側のメニューのデータ マップに移動し、[コレクション] タブを選択します。
Microsoft Purview (旧称 Azure Purview) アカウントが作成されると、アカウント自体と同じ名前のルート コレクションで始まります。 アカウントの作成者は、このルート コレクションのコレクション管理者、データ ソース管理者、データ キュレーター、データ閲覧者として自動的に追加され、このコレクションを編集および管理できます。
ソース、資産、およびオブジェクトは、このルート コレクションに直接追加できますが、他のコレクションにも追加できます。 コレクションを追加すると、アカウント全体でデータにアクセスできるユーザーをより細かく制御できます。
他のすべてのユーザーは、自分または自分が所属するグループに上記のロールのいずれかが与えられている場合にのみ、Microsoft Purview ガバナンス ポータル内の情報にアクセスできます。 つまり、作成者がコレクション内の上記のロールの 1 つ以上に追加されるまで、アカウントの作成時には、作成者のみがアカウントにアクセスしてその API を使用できます。
ユーザーは、コレクション管理者またはアクセス許可の継承によってのみコレクションに追加できます。 親コレクションのアクセス許可は、そのサブコレクションによって自動的に継承されます。 ただし、任意のコレクションに対してアクセス許可の継承を制限することができます。 これを行った場合、そのサブコレクションは親コレクションから権限を継承しなくなるため、直接追加する必要があります。ただし、親コレクションから自動的に継承されたコレクション管理は削除できません。
ロールは、サブスクリプションに関連付けられている Azure Active Directory から、ユーザー、セキュリティ グループ、サービス プリンシパルに割り当てることができます。
ユーザーにアクセス許可を割り当てる
Microsoft Purview (旧称 Azure Purview) アカウントを作成したら、まずコレクションを作成し、それらのコレクション内のロールにユーザーを割り当てます。
注意
Microsoft Purview ガバナンス ポータルにアクセスしてユーザーにアクセス許可を割り当てることができるようにするために、サービス プリンシパルを使用してアカウントを作成した場合は、ルート コレクションに対するコレクション管理者アクセス許可をユーザーに付与する必要があります。 この Azure CLI コマンドを使用できます。
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
object-id は省略可能です。 詳細と例については、CLI コマンド リファレンス ページを参照してください。
コレクションを作成する
コレクションは、Microsoft Purview Data Map 内のソースの構造に合わせてカスタマイズでき、これらのリソースの整理されたストレージ ビンのように機能します。 必要なコレクションについて検討する際は、ユーザーがどのように情報にアクセスまたは検出するかを検討する必要があります。 ソースは部門別に分かれていますか? これらの部門内に、一部の資産のみを検出する必要がある特殊なグループはありますか? すべてのユーザーが検出可能なソースはありますか?
これにより、データ マップを最も効果的に整理するために必要なコレクションとサブコレクションが通知されます。
新しいコレクションは、ドロップダウンから親コレクションを選択してデータ マップに直接追加することも、親からサブコレクションとして追加することもできます。 データ マップ ビューでは、すべてのソースと資産がコレクション順に表示され、一覧にソースのコレクションが一覧表示されます。
詳細な手順と情報については、コレクションの作成と管理に関するガイドに従ってください。
コレクションの例
コレクション、アクセス許可、および機能の基本を理解したところで、例を見てみましょう。
これは、組織がデータを構造化する 1 つの方法です。ルート コレクション (この例では Contoso) から始まり、コレクションは、リージョンに編成され、次に部門とサブ部門に編成されます。 データ ソースと資産をこれらのコレクションに追加して、これらのリージョンと部門別にデータ リソースを整理し、それらの行に沿ってアクセスの制御を管理することができます。 厳密なアクセス ガイドラインを持つ Revenue というサブ部門が 1 つあるので、アクセス許可を厳密に管理する必要があります。
データ リーダー ロールは、カタログ内の情報にアクセスできますが、管理や編集はできません。 したがって、上記の例では、ルート コレクションのグループにデータ閲覧者アクセス許可を追加し、継承を許可すると、そのグループ内のすべてのユーザーに Microsoft Purview Data Map 内のソースと資産に対する閲覧者アクセス許可が付与されます。 これにより、そのグループ内のすべてのユーザーはこれらのリソースを検出できるようになりますが、編集はできません。 Revenue グループの継承を制限すると、それらの資産へのアクセスが制御されます。 収益情報にアクセスする必要があるユーザーは、Revenue コレクションに個別に追加できます。 データ キュレーターとデータ ソース管理者ロールと同様に、これらのグループのアクセス許可は、割り当てられているコレクションから開始され、継承を制限していないサブコレクションに徐々に適用されます。 以下では、Americas サブコレクションのコレクション レベルで複数のグループにアクセス許可を割り当てています。
ユーザーをロールに割り当てる
ロールの割り当ては、コレクションで管理されます。 コレクション管理者ロールを持つユーザーだけが、そのコレクションの他のユーザーにアクセス許可を付与できます。 新しいアクセス許可を追加する必要がある場合、コレクション管理者は Microsoft Purview ガバナンス ポータルにアクセスし、データ マップ、[コレクション] タブの順に移動して、ユーザーを追加する必要があるコレクションを選択します。 [ロールの割り当て] タブから、アクセス許可を必要とするユーザーを追加および管理できます。
詳細な手順については、ロールの割り当てを追加する方法に関するガイドを参照してください。
管理者の変更
ルート コレクション管理者の変更が必要となる場合があります。 既定では、アカウントを作成したユーザーに、ルート コレクションに対するコレクション管理者が自動的に割り当てられます。 ルート コレクション管理者を更新するには、次の 4 つのオプションがあります。
ルート コレクション管理者は、Azure portal で管理できます。
- Azure portal にサインインし、Microsoft Purview アカウントを検索します。
- Microsoft Purview アカウント ページの左側のメニューから [ルート コレクションのアクセス許可] を選択します。
- [ルートコレクション管理者を追加] を選択して管理者を追加します。
![[ルート コレクションのアクセス許可] ページが選択され、[ルート コレクションの管理の追加] オプションが強調表示されている Azure portal の Microsoft Purview アカウント ページのスクリーンショット。](media/catalog-permissions/root-collection-admin.png)
- また、[すべてのルート コレクション管理者を表示] を選択して、Microsoft Purview ガバナンス ポータルでルート コレクションに移動することもできます。
アクセス許可は、他のロールの場合と同様に Microsoft Purview ガバナンス ポータルから割り当てる ことができます。
REST API を使用してコレクション管理者を追加できます。 REST API を使用してコレクション管理者を追加する手順は、コレクション用の REST API のドキュメントで確認できます。詳細については、REST API リファレンスを参照してください。
以下の Azure CLI コマンドを使うこともできます。 object-id は省略可能です。 詳細と例については、CLI コマンド リファレンス ページを参照してください。
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
次の手順
コレクションとアクセスの制御の基本を理解したところで、以下のガイドに従ってこれらのコレクションを作成および管理するか、Microsoft Purview Data Map へのソースの登録を開始します。