Microsoft Purview の無料およびEnterprise アカウントの種類でのロールとアクセス許可
重要
このアクセス許可に関する記事は、Microsoft Purview の無料版とEnterprise アカウントバージョン向けです。 リスクとコンプライアンスのアクセス許可については、Microsoft Purview コンプライアンス ポータル記事のアクセス許可を参照してください。データ ガバナンスのアクセス許可については、Microsoft Purview ガバナンス ポータルの記事のアクセス許可を参照してください。
新しい Microsoft Purview ポータルでは、テナント/組織レベルのアクセス許可、既存のデータ アクセス許可、収集アクセス許可を使用して、ユーザーに情報へのアクセスを提供します。 使用できるアクセス許可の種類は、Microsoft Purview アカウントの種類によって異なります。 アカウントの種類を Microsoft Purview ポータルの [設定] 歯車アイコンの下にチェックし、すべての設定を表示できます。
![Microsoft Purview ポータルの [設定] ページのスクリーンショット。](media/roles-permissions/check-your-account-type.png)
| アカウントの種類 | テナント/組織のアクセス許可 | データ アクセスのアクセス許可 | コレクションのアクセス許可 |
|---|---|---|---|
| 無料 | x | x | |
| エンタープライズ | x | x | x |
各アクセス許可の種類の詳細については、次のガイドを参照してください。
アカウントの種類に基づくアクセス許可の詳細については、次のガイドを参照してください。
テナント レベルの役割グループ
Microsoft Purview の無料バージョンとエンタープライズ バージョンの両方で、一部のアクセス許可は、ロール グループを使用してテナント/organization レベルで管理できます。
現在使用可能なテナント レベルのグループは次のとおりです。
| 役割 | 説明 | アカウントの種類の可用性 |
|---|---|---|
| Data Catalogキュレーター | Data Catalogキュレーターは、カタログ データ オブジェクトに対してアクションの作成、読み取り、変更、削除を実行し、オブジェクト間のリレーションシップを確立できます。 | 無料、エンタープライズ |
ロールを割り当てる方法
重要
Microsoft Purview でロールを割り当てるには、ユーザーに ロール管理ロール を割り当てるか、テナント グローバル管理者である必要があります。
Microsoft Purview ポータルで、設定の歯車を選択します。
[ すべての設定を表示] を選択します。
[ ロール グループ] を選択します。
ユーザーを追加する役割グループを選択し、[編集] を選択 します。
[ロール グループのメンバーの編集] ページで、[ ユーザーの選択 ] または [ グループの選択] を選択します。
![[ユーザーの選択] ボタンと [グループの選択] ボタンが強調表示されている [役割グループの編集] ページのスクリーンショット。](media/roles-permissions/choose-users-group.png)
ユーザーまたはグループを検索し、ロール グループに追加するすべてのユーザーまたはグループのチェック ボックスをオンにします。
![[ユーザーの選択] メニューのスクリーンショット。複数のユーザーが選択され、1 人が選択されていません。](media/roles-permissions/choose-users-inline.png)
[ 選択] を選択します。
[次へ] と [保存] を選択して、ユーザーまたはグループを役割グループに追加します
[ 完了] を選択 して手順を完了します。
![[ユーザーの選択] ボタンと [グループの選択] ボタンが強調表示されている [役割グループの編集] ページのスクリーンショット。](media/roles-permissions/choose-users-group.png#lightbox)
![[ユーザーの選択] メニューのスクリーンショット。複数のユーザーが選択され、1 人が選択されていません。](media/roles-permissions/choose-users.png#lightbox)
ロールの割り当てを編集および削除する方法
Microsoft Purview ポータルで、設定の歯車を選択します。
[ すべての設定を表示] を選択します。
[ ロール グループ] を選択します。
ユーザーを削除する役割グループを選択し、[編集] を選択 します。
[役割グループのメンバーの編集] ページで、削除または管理者ユニットに割り当てるユーザーを選択します。
削除するには、[ メンバーの削除 ] を選択するか、管理者ユニットを割 り当てるには、[管理ユニットの割り当て] を選択します。
![役割グループの編集ページのスクリーンショット。2 人のメンバーが選択され、[メンバーの削除] ボタンと [管理ユニットの割り当て] ボタンが強調表示されています。](media/roles-permissions/edit-members.png)
[次へ] と [保存] を選択して、ユーザーまたはグループを役割グループに追加します。
[ 完了] を選択 して手順を完了します。
![役割グループの編集ページのスクリーンショット。2 人のメンバーが選択され、[メンバーの削除] ボタンと [管理ユニットの割り当て] ボタンが強調表示されています。](media/roles-permissions/edit-members.png#lightbox)
管理ユニットの詳細については、 Microsoft Purview ロール グループのドキュメントを参照してください。
データ アクセス許可
閲覧者のアクセス許可
使用可能な Azure リソースに対するリーダー ロールを少なくとも持つユーザーは、Microsoft Purview の無料およびEnterprise アカウントの種類のリソースにもアクセスできます。
ユーザーは、データ カタログ内のこれらのソースから資産を検索して参照し、メタデータを表示できます。
ユーザーが "閲覧者" と見なされるためにリソースに必要なアクセス許可を次に示します。
| データ ソース | 閲覧者のアクセス許可 |
|---|---|
| Azure SQL データベース | 閲覧者、または これらのアクション。 |
| Azure Blob Storage | 閲覧者、または これらのアクション。 |
| Azure Data Lake Storage Gen2 | 閲覧者、または これらのアクション。 |
| Azure のサブスクリプション | サブスクリプションまたはこれらのアクションに対する読み取りアクセス許可。 |
所有者のアクセス許可
使用可能な Azure リソースに対する所有者ロールまたは書き込みアクセス許可を持つユーザーは、Microsoft Purview の無料およびEnterprise アカウントの種類のリソースのメタデータにアクセスして編集できます。
所有ユーザーは、データ カタログ内のこれらのソースから資産を検索および参照し、そのメタデータを表示できます。 また、これらのリソースのメタデータを更新および管理することもできます。 このメタデータ キュレーションの詳細については、 メタデータ キュレーションに関する記事を参照してください。
ユーザーが "所有者" と見なされるためにリソースに必要なアクセス許可を次に示します。
| データ ソース | 所有者権限 |
|---|---|
| Azure SQL データベース | "Microsoft.Sql/servers/write"、"Microsoft.Sql/servers/databases/write"、"Microsoft.Authorization/roleAssignments/write" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
無料版のアクセス許可
すべてのユーザーは、少なくとも 既に読み取り アクセス許可を持っている利用可能なソースのデータ資産を表示できます。 所有しているユーザーは、少なくとも所有者/書き込みアクセス許可が既にある利用可能な資産のメタデータを管理できます。 詳細については、「 データ アクセス許可」セクションを参照してください。
テナント レベルの役割グループを使用して、追加のアクセス許可を割り当てることもできます。
Microsoft Purview のエンタープライズ バージョンでのアクセス許可
すべてのユーザーは、少なくとも 既に読み取り アクセス許可を持っている利用可能なソースのデータ資産を表示できます。 所有しているユーザーは、少なくとも 所有者/書き込み アクセス許可が既にある資産のメタデータを管理できます。 詳細については、「 データ アクセス許可」セクションを参照してください。
テナント レベルの役割グループを使用して、追加のアクセス許可を割り当てることもできます。
アクセス許可をコレクション レベルで割り当て ることもできます。ユーザーは、まだデータ アクセス権を持っていないデータ マップ内の資産を参照して検出できます。
使用可能なソースのデータ アクセス許可
これらの種類のソースは、 データ アクセス許可のみを使用して Microsoft Purview で使用できます。
| データ ソース | 閲覧者のアクセス許可 |
|---|---|
| Azure SQL データベース | 閲覧者、または これらのアクション。 |
| Azure Blob Storage | 閲覧者、または これらのアクション。 |
| Azure Data Lake Storage Gen2 | 閲覧者、または これらのアクション。 |
| Azure のサブスクリプション | サブスクリプションまたはこれらのアクションに対する読み取りアクセス許可。 |
閲覧者ロールには十分なアクセス許可が含まれていますが、カスタム ロールを構築する場合は、ユーザーに次のアクションを含める必要があります。
| データ ソース | 閲覧者のアクセス許可 |
|---|---|
| Azure SQL データベース | "Microsoft.Sql/servers/read","Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure のサブスクリプション | "Microsoft.Resources/subscriptions/resourceGroups/read" |
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示