Arquiteturas e práticas recomendadas de coleções do Microsoft Purview

  • Artigo

No núcleo das soluções de governança de dados unificadas do Microsoft Purview, o mapa de dados é um componente paaS (plataforma como serviço) que mantém um mapa atualizado de ativos e seus metadados em seu patrimônio de dados. Para hidratar o mapa de dados, você precisa registrar e examinar suas fontes de dados. Em uma organização, pode haver milhares de fontes de dados gerenciadas e governadas por equipes centralizadas ou descentralizadas.

Coleções no Microsoft Purview dão suporte ao mapeamento organizacional de metadados. Usando coleções, você pode gerenciar e manter fontes de dados, verificações e ativos em uma hierarquia em vez de uma estrutura plana. As coleções permitem criar um modelo hierárquico personalizado do seu cenário de dados com base em como sua organização planeja usar o Microsoft Purview para governar seu cenário.

Uma coleção também fornece um limite de segurança para seus metadados no mapa de dados. O acesso a coleções, fontes de dados e metadados é configurado e mantido com base na hierarquia de coleções no Microsoft Purview, seguindo um modelo de privilégio mínimo:

  • Os usuários têm a quantidade mínima de acesso que precisam para fazer seus trabalhos.
  • Os usuários não têm acesso a dados confidenciais que não precisam.

Por que você precisa definir coleções e um modelo de autorização para sua conta do Microsoft Purview?

Considere implantar coleções no Microsoft Purview para atender aos seguintes requisitos:

  • Organize fontes de dados, distribua ativos e execute verificações com base em seus requisitos comerciais, distribuição geográfica de dados e equipes de gerenciamento de dados, departamentos ou funções comerciais.

  • Delegar a propriedade de fontes de dados e ativos às equipes correspondentes atribuindo funções às coleções correspondentes.

  • Pesquise e filtre ativos por coleções.

Definir uma hierarquia de coleção

Recomendações de design

  • Recomendamos que você crie sua arquitetura de coleção com base nos requisitos de segurança e na estrutura de gerenciamento e governança de dados da sua organização. Examine os arquétipos de coleções recomendadas neste artigo.

  • Para escalabilidade futura, recomendamos que você crie uma coleção de nível superior para sua organização abaixo da coleção raiz. Atribua funções relevantes na coleção de nível superior em vez de na coleção raiz.

  • Considere o gerenciamento de segurança e acesso como parte do processo de tomada de decisão de design ao criar coleções no Microsoft Purview.

  • Cada coleção tem um atributo de nome e um atributo de nome amigável. Se você usar o portal de governança do Microsoft Purview para implantar uma coleção, o sistema atribui automaticamente um nome aleatório de seis letras à coleção para evitar a duplicação. Para reduzir a complexidade, evite usar nomes amigáveis duplicados em suas coleções, especialmente no mesmo nível.

  • Atualmente, um nome de coleção pode conter até 36 caracteres e um nome amigável de coleção pode ter até 100 caracteres.

  • Quando puder, evite duplicar sua estrutura organizacional em uma hierarquia de coleção profundamente aninhada. Se você não puder evitar fazer isso, use nomes diferentes para cada coleção na hierarquia para facilitar a distinção das coleções.

  • Automatize a implantação de coleções usando a API se você estiver planejando implantar coleções e atribuições de função em massa.

  • Use um SPN (nome de entidade de serviço dedicado) para executar operações em coleções e atribuição de função usando a API. O uso de um SPN reduz o número de usuários que têm direitos elevados e segue diretrizes de privilégio mínimo.

Considerações de design

  • Cada conta do Microsoft Purview é criada com uma coleção raiz padrão. O nome da coleção raiz é o mesmo que o nome da conta do Microsoft Purview. A coleção raiz não pode ser removida. Para alterar o nome amigável da coleção raiz, você pode alterar o nome amigável da sua conta do Microsoft Purview do Centro de Gerenciamento do Microsoft Purview.

  • As coleções podem conter fontes de dados, verificações, ativos e atribuições de função.

  • Uma coleção pode ter tantas coleções filho quanto necessário. Mas cada coleção pode ter apenas uma coleção pai. Você não pode implantar coleções acima da coleção raiz.

  • Fontes de dados, verificações e ativos podem pertencer a apenas uma coleção.

  • Uma hierarquia de coleções em um Microsoft Purview pode dar suporte a até 256 coleções, com um máximo de oito níveis de profundidade. Isso não inclui a coleção raiz.

  • Por design, você não pode registrar fontes de dados várias vezes em uma única conta do Microsoft Purview. Essa arquitetura ajuda a evitar o risco de atribuir diferentes níveis de controle de acesso a uma única fonte de dados. Se várias equipes consumirem os metadados de uma única fonte de dados, você poderá registrar e gerenciar a fonte de dados em uma coleção pai. Em seguida, você pode criar verificações correspondentes em cada subcolleção para que ativos relevantes apareçam em cada coleção filho.

  • Conexões de linhagem e artefatos são anexados à coleção raiz, mesmo que as fontes de dados sejam registradas em coleções de nível inferior.

  • Quando você executa uma nova verificação, por padrão, a verificação é implantada na mesma coleção que a fonte de dados. Opcionalmente, você pode selecionar uma subcoleção diferente para executar a verificação. Como resultado, os ativos pertencerão à subcolleção.

  • Você pode excluir uma coleção se ela não tiver ativos, exames associados, fontes de dados ou coleções filho.

  • Fontes de dados, verificações e ativos devem pertencer a uma coleção se existirem no mapa de dados do Microsoft Purview.

  • A movimentação de fontes de dados entre coleções é permitida se o usuário receber a função Administração fonte de dados para as coleções de origem e de destino.

  • A movimentação de ativos entre coleções será permitida se o usuário receber a função de Curador de Dados para as coleções de origem e destino.

  • Para executar operações de movimentação e renomeação em uma coleção, examine as seguintes recomendações e considerações:

    1. Para renomear uma coleção, você deve ser membro da função de administradores de coleção.

    2. Para mover uma coleção, você deve ser membro da função de administradores de coleção nas coleções de origem e destino.

Definir um modelo de autorização

As funções de plano de dados do Microsoft Purview são gerenciadas no Microsoft Purview. Depois de implantar uma conta do Microsoft Purview, o criador da conta do Microsoft Purview recebe automaticamente as seguintes funções na coleção raiz. Você pode usar o portal de governança do Microsoft Purview ou um método programático para atribuir e gerenciar diretamente funções no Microsoft Purview.

  • Os administradores de coleção podem editar coleções do Microsoft Purview e seus detalhes e adicionar subcolleções. Eles também podem adicionar usuários a outras funções do Microsoft Purview em coleções em que são administradores.
  • Os administradores de fonte de dados podem gerenciar fontes de dados e verificações de dados.
  • Os Curadores de Dados podem criar, ler, modificar e excluir ativos de dados de catálogo e estabelecer relações entre ativos.
  • Os Leitores de Dados podem acessar, mas não modificar ativos de dados de catálogo.

Recomendações de design

  • Considere implementar o acesso de emergência ou uma estratégia de quebra de vidro para a função Collection Administração no nível da coleção raiz do Microsoft Purview para evitar bloqueios no nível da conta do Microsoft Purview. Documente o processo de uso de contas de emergência.

    Observação

    Em determinados cenários, talvez seja necessário usar uma conta de emergência para entrar no Microsoft Purview. Talvez seja necessário esse tipo de conta para corrigir problemas de acesso no nível da organização quando ninguém mais pode entrar no Microsoft Purview ou quando outros administradores não podem realizar determinadas operações devido a problemas de autenticação corporativa. Recomendamos que você siga as práticas recomendadas da Microsoft em torno da implementação de contas de acesso de emergência usando usuários somente na nuvem.

    Siga as instruções neste artigo para recuperar o acesso à coleção raiz do Microsoft Purview se o Administração de Coleção anterior não estiver disponível.

  • Minimizar o número de administradores de coleção raiz. Atribua um máximo de três usuários do Collection Administração na coleção raiz, incluindo o SPN e suas contas de quebra de vidro. Atribua suas funções de coleção Administração à coleção de nível superior ou a subcolleções.

  • Atribua funções a grupos em vez de usuários individuais para reduzir a sobrecarga administrativa e os erros no gerenciamento de funções individuais.

  • Atribua a entidade de serviço na coleção raiz para fins de automação.

  • Para aumentar a segurança, habilite Azure AD Acesso Condicional com autenticação multifator para pelo menos administradores de coleção, administradores de fonte de dados e curadores de dados. Verifique se as contas de emergência são excluídas da política de acesso condicional.

Considerações de design

  • O gerenciamento de acesso do Microsoft Purview foi movido para o plano de dados. As funções de Resource Manager do Azure não são mais usadas, portanto, você deve usar o Microsoft Purview para atribuir funções.

  • No Microsoft Purview, você pode atribuir funções a usuários, grupos de segurança e entidades de serviço (incluindo identidades gerenciadas) do Azure Active Directory (Azure AD) no mesmo locatário Azure AD em que a conta do Microsoft Purview é implantada.

  • Primeiro, você deve adicionar contas de convidado ao seu locatário Azure AD como usuários B2B antes de poder atribuir funções do Microsoft Purview a usuários externos.

  • Por padrão, os Administradores de Coleção não têm acesso à leitura ou modificação de ativos. Mas eles podem elevar seu acesso e adicionar-se a mais funções.

  • Por padrão, todas as atribuições de função são herdadas automaticamente por todas as coleções filho. Mas você pode habilitar restringir permissões herdadas em qualquer coleção, exceto na coleção raiz. Restringir permissões herdadas remove as funções herdadas de todas as coleções pai, exceto para a função Collection Administração.

  • Para Azure Data Factory conexão: para se conectar a Azure Data Factory, você precisa ser um Administração de Coleção para a coleção raiz.

  • Se você precisar se conectar a Azure Data Factory para linhagem, conceda a função de Curador de Dados à identidade gerenciada do data factory no nível da coleção raiz do Microsoft Purview. Quando você conecta o Data Factory ao Microsoft Purview na interface do usuário de criação, o Data Factory tenta adicionar essas atribuições de função automaticamente. Se você tiver a função Collection Administração na coleção raiz do Microsoft Purview, essa operação funcionará.

Arquétipos de coleções

Você pode implantar sua coleção do Microsoft Purview com base em modelos centralizados, descentralizados ou híbridos de gerenciamento de dados e governança. Baseie essa decisão em seus requisitos de segurança e negócios.

Exemplo 1: organização de região única

Essa estrutura é adequada para organizações que:

  • São baseados principalmente em um único local geográfico.
  • Tenha uma equipe centralizada de gerenciamento e governança de dados em que o próximo nível de gerenciamento de dados se enquadra em departamentos, equipes ou projetos.

A hierarquia de coleção consiste nessas verticais:

  • Coleção raiz (padrão)
  • Contoso (coleção de nível superior)
  • Departamentos (uma coleção delegada para cada departamento)
  • Equipes ou projetos (segregação adicional com base em projetos)

Cada fonte de dados é registrada e digitalizada em sua coleção correspondente. Portanto, os ativos também aparecem na mesma coleção.

As fontes de dados compartilhadas no nível da organização são registradas e examinadas na coleção Hub-Shared.

As fontes de dados compartilhadas no nível do departamento são registradas e examinadas nas coleções de departamento.

Captura de tela que mostra o primeiro exemplo de coleções do Microsoft Purview.

Exemplo 2: organização multi-região

Esse cenário é útil para as organizações:

  • Isso tem presença em várias regiões.
  • Onde a equipe de governança de dados é centralizada ou descentralizada em cada região.
  • Onde as equipes de gerenciamento de dados são distribuídas em cada local geográfico.

A hierarquia de coleção consiste nessas verticais:

  • Coleção raiz (padrão)
  • FourthCoffee (coleção de nível superior)
  • Localizações geográficas (coleções de nível médio com base em locais geográficos onde estão localizadas fontes de dados e proprietários de dados)
  • Departamentos (uma coleção delegada para cada departamento)
  • Equipes ou projetos (segregação adicional com base em equipes ou projetos)

Nesse cenário, cada região tem uma subcolleção própria sob a coleção de nível superior na conta do Microsoft Purview. As fontes de dados são registradas e examinadas nas subcolleções correspondentes em suas próprias localizações geográficas. Portanto, os ativos também aparecem na hierarquia de subcolleção para a região.

Se você tiver equipes centralizadas de gerenciamento e governança de dados, poderá conceder-lhes acesso da coleção de nível superior. Quando você faz isso, eles ganham supervisão para todo o conjunto de dados no mapa de dados. Opcionalmente, a equipe centralizada pode registrar e examinar quaisquer fontes de dados compartilhadas.

As equipes de governança e gerenciamento de dados baseadas em região podem obter acesso de suas coleções correspondentes em um nível inferior.

As fontes de dados compartilhadas no nível do departamento são registradas e examinadas nas coleções de departamento.

Captura de tela que mostra o segundo exemplo de coleções do Microsoft Purview.

Exemplo 3: Multi-região, transformação de dados

Esse cenário pode ser útil se você quiser distribuir o gerenciamento de acesso a metadados com base em locais geográficos e estados de transformação de dados. Cientistas de dados e engenheiros de dados que podem transformar dados para torná-los mais significativos podem gerenciar zonas brutas e refiná-los. Em seguida, eles podem mover os dados para zonas Produzir ou Curadoria.

A hierarquia de coleção consiste nessas verticais:

  • Coleção raiz (padrão)
  • Fabrikam (coleção de nível superior)
  • Localizações geográficas (coleções de nível médio com base em locais geográficos onde estão localizadas fontes de dados e proprietários de dados)
  • Estágios de transformação de dados (Bruto, Refinamento, Produção/Curadoria)

Cientistas de dados e engenheiros de dados podem ter a função curadores de dados em suas zonas correspondentes para que possam fazer a curadoria de metadados. O acesso do Leitor de Dados à zona de curadoria pode ser concedido a personas de dados inteiras e usuários empresariais.

Captura de tela que mostra o terceiro exemplo de coleções do Microsoft Purview.

Exemplo 4: Funções de negócios e várias regiões

Essa opção pode ser usada por organizações que precisam organizar metadados e gerenciamento de acesso com base em funções comerciais.

A hierarquia de coleção consiste nessas verticais:

  • Coleção raiz (padrão)
  • AdventureWorks (coleção de nível superior)
  • Localizações geográficas (coleções de nível médio com base em locais geográficos onde estão localizadas fontes de dados e proprietários de dados)
  • Principais funções comerciais ou clientes (segregação adicional com base em funções ou clientes)

Cada região tem uma subcolleção própria sob a coleção de nível superior na conta do Microsoft Purview. As fontes de dados são registradas e examinadas nas subcolleções correspondentes em suas próprias localizações geográficas. Portanto, os ativos são adicionados à hierarquia de subcolleção da região.

Se você tiver equipes centralizadas de gerenciamento e governança de dados, poderá conceder-lhes acesso da coleção de nível superior. Quando você faz isso, eles ganham supervisão para todo o conjunto de dados no mapa de dados. Opcionalmente, a equipe centralizada pode registrar e examinar quaisquer fontes de dados compartilhadas.

As equipes de governança e gerenciamento de dados baseadas em região podem obter acesso de suas coleções correspondentes em um nível inferior. Cada unidade de negócios tem sua própria subcolleção.

Captura de tela que mostra o quarto exemplo de coleções do Microsoft Purview.

Opções de gerenciamento de acesso

Se você quiser implementar a democratização de dados em toda uma organização, atribua a função Leitor de Dados na coleção de nível superior aos usuários de gerenciamento, governança e negócios de dados. Atribua funções de Administração de Fonte de Dados e Curador de Dados nos níveis de subcolleção às equipes de gerenciamento e governança de dados correspondentes.

Se você precisar restringir o acesso à pesquisa e descoberta de metadados em sua organização, atribua funções de Leitor de Dados e Curador de Dados no nível de coleção específico. Por exemplo, você pode restringir os funcionários dos EUA para que eles possam ler dados apenas no nível de coleta dos EUA e não na coleção LATAM.

Você pode aplicar uma combinação desses dois cenários no mapa de dados do Microsoft Purview se a democratização total de dados for necessária com algumas exceções para algumas coleções. Você pode atribuir funções do Microsoft Purview na coleção de nível superior e restringir a herança às coleções filho específicas.

Atribua a função Collection Administração à equipe de gerenciamento e segurança de dados centralizada na coleção de nível superior. Delegar o gerenciamento de coleta adicional de coleções de nível inferior para equipes correspondentes.

Próximas etapas