Роли и разрешения управления данными в Microsoft Purview

Важно!

В этой статье рассматриваются разрешения управления данными Microsoft Purview на новом портале Microsoft Purview с помощью Единый каталог Microsoft Purview.

• Если вы используете классическую Каталог данных, ознакомьтесь с разделом Разрешения на управление для классической Каталог данных.
• Разрешения на управление данными на классическом портале Microsoft Purview см. в разделе Разрешения на классическом портале управления Microsoft Purview.

На портале Microsoft Purview есть два решения для управления данными: карта данных и Единый каталог. Эти решения используют разрешения уровня клиента или организации, существующие разрешения на доступ к данным, а также разрешения на доступ к домену и сбору, чтобы предоставить пользователям доступ к средствам управления и ресурсам данных.

Тип разрешений, доступных для использования, зависит от типа учетной записи Microsoft Purview.

Проверка типа учетной записи

Проверьте, есть ли в вашей организации бесплатная или корпоративная учетная запись. Чтобы проверка тип учетной записи, перейдите на портал Microsoft Purview и выберите параметры карта. В разделе Учетная запись просмотрите тип учетной записи.

Важно!

Для пользователей, только что созданных в Microsoft Entra идентификаторе, может потребоваться некоторое время для распространения разрешений даже после применения правильных разрешений.

Разрешения в корпоративной версии

Все пользователи могут просматривать ресурсы данных для доступных источников, где у них есть по крайней мере разрешения на чтение . Пользователи, являющиеся владельцами, могут управлять метаданными для ресурсов, у которых есть по крайней мере разрешения владельца и записи . Дополнительные сведения о ролях Microsoft Azure.

Типы разрешений

• Разрешения клиента или организации. Назначенные на уровне организации, эти разрешения предоставляют общие и административные разрешения.
• разрешения Единый каталог. Эти разрешения позволяют пользователям просматривать Единый каталог и создавать свои решения для управления данными.
• Разрешения на домен и уровень сбора карты данных: разрешения в схеме данных, которые предоставляют доступ к ресурсам данных в Microsoft Purview.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Группы ролей уровня клиента

Назначенные на уровне организации группы ролей на уровне клиента предоставляют общие и административные разрешения как для Схема данных Microsoft Purview, так и для Единый каталог. Если вы управляете учетной записью Microsoft Purview или стратегией управления данными вашей организации, скорее всего, вам потребуется принадлежать к одной или нескольким из следующих групп ролей:

• Администраторы Purview
• Администраторы источников данных
• Управление данными

Дополнительные сведения см. в описании этих ролей.

Полный список всех доступных ролей и групп ролей, а не только для управления данными, см. в статье Роли и группы ролей на порталах Microsoft Defender XDR и Microsoft Purview.

Назначение групп ролей и управление ими

Пользователь должен удерживать роль управления ролями, чтобы добавить пользователей или группы в группу ролей Microsoft Purview. Инструкции по назначению ролей и управлению ими в Microsoft Purview см. в разделе Разрешения в Microsoft Purview.

разрешения Единый каталог

Три уровня разрешений предоставляют пользователям доступ к информации в Единый каталог:

1. Уровень клиента управления данными. Группа ролей уровня клиента или организации, которая имеет Администратор роль управления данными. Эта роль делегирует первый уровень доступа для создателей домена управления. (Эта роль не отображается в Единый каталог, но влияет на возможность назначения разрешений в Единый каталог.)

2. Разрешения на уровне каталога: разрешения, предоставляющие права владения доменам управления и доступ к управлению работоспособностью.

3. Разрешения на уровне домена управления. Разрешения на доступ к ресурсам в определенных доменах управления и управление ими.

Разрешения на поиск по полной Единый каталог

Для поиска в Единый каталог не требуются определенные разрешения в Единый каталог. Однако поиск Единый каталог возвращает только соответствующие ресурсы данных, которые у вас есть разрешения на просмотр в схеме данных. Пользователи могут найти ресурс данных в Единый каталог, когда:

• Они выполняют поиск продуктов данных в домене управления, где у них есть разрешения на чтение каталога.
• У них есть разрешения на чтение данных в домене или коллекции в схеме данных , где хранится ресурс.
• У них есть по крайней мере разрешения на чтение для доступного ресурса Azure или Microsoft Fabric.

  Важно!

  Пользователи, у которых уже есть разрешения на чтение в Azure, могут иметь доступ к ресурсам в Единый каталог, которые вы не планируете использовать для них. Если вы не хотите, чтобы у них был такой доступ, необходимо удалить их разрешения.

Вы управляете разрешениями для этих ресурсов на уровне ресурсов и на уровне карты данных.

Если каталог хорошо проверен, повседневным бизнес-пользователям не нужно выполнять поиск по полному каталогу. Они должны иметь возможность находить необходимые данные в продуктах данных. Дополнительные сведения о настройке Единый каталог см. в статье Начало работы с управлением данными и планирование Единый каталог.

Разрешения на уровне каталога

Разрешения на уровне каталога предоставляют высокоуровневый доступ в Единый каталог и включают следующие роли:

• Создатель домена управления
• Средство чтения глобального каталога
• Владелец работоспособности данных
• Средство чтения работоспособности данных

Дополнительные сведения см. в описании этих ролей.

Назначение ролей на уровне каталога

1. Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора, которому назначена роль управления данными .
2. Перейдите в раздел Параметры и выберите Единый каталог.
3. Выберите Роли и разрешения.
4. Выберите Создатели домена управления или другую роль, а затем щелкните значок добавить пользователя.
5. Найдите пользователя, которого вы хотите добавить, а затем выберите пользователя.
6. Выберите Сохранить.

Разрешения уровня домена управления

Разрешения домена управления предоставляют доступ в пределах определенного домена управления. Предоставьте эти разрешения экспертам по данным и бизнес-пользователям, чтобы они могли читать объекты в домене управления и управлять ими. Только пользователь с ролью владельца домена управления может предоставить разрешения на домен управления.

См. список этих ролей и их описания.

Совет

Пользователь в вашей организации, который выполняет управление данными или Единый каталог, должен иметь роль владельца домена управления. Эта роль необходима для создания сущностей, таких как домены управления, продукты данных и термины глоссария. Назначьте по крайней мере двух пользователей в качестве владельцев домена управления.

Назначение ролей домена управления

Для назначения ролей домена управления пользователь должен быть владельцем домена управления в домене управления. Эту роль назначают администраторы управления данными или создатели доменов управления.

Назначьте роли домена управления на вкладке Роли в домене управления. Инструкции по назначению ролей см. в статье Управление доменами управления.

Единый каталог роли

Важно!

Убедитесь, что вы понимаете разницу между двумя ролями читателя каталога:

Средство чтения глобального каталога позволяет пользователям получать доступ к опубликованным бизнес-концепциям из опубликованных доменов управления.

Средство чтения локального каталога значительно сокращает доступ к доменам управления. При назначении пользователей этой роли в домене управления:

• Только эти пользователи имеют доступ читателя к опубликованным концепциям в этом домене управления.
• Пользователь с этой ролью также может иметь другие роли, такие как владелец продукта данных или администратор данных, которые позволяют им просматривать опубликованные бизнес-концепции из других областей управления.

Роль читателя локального каталога полезна, когда, например, необходимо ограничить доступ к домену управления в соответствии с нормативными или юридическими требованиями. Однако чрезмерное использование этой роли препятствует федеративного подхода к управлению данными.

Примечание.

Наблюдаемость данных использует те же роли, что и остальная часть Единый каталог. Читатели каталога не могут получить доступ к более широкому представлению обозревателя наблюдаемости данных в области работоспособности хранилища данных, и они могут просматривать только опубликованные концепции. Администратор данных, владельцы продуктов данных, владельцы доменов управления и создатели домена управления имеют доступ к представлениям наблюдаемости данных как в понятиях, которые они могут просматривать, так и в представлении управления работоспособностью данных, которое позволяет более широко исследовать и просматривать все пространство данных.

Уровень разрешений.	Role	Описание
Tenant	Группа ролей управления данными	Предоставляет доступ к ролям управления данными в Microsoft Purview.
	Группа ролей "Администраторы источников данных"	Управление источниками данных и проверками данных в Схема данных Microsoft Purview.
	Группа ролей "Администраторы Purview"	Создание, изменение и удаление доменов и выполнение назначений ролей.
Каталог	Администратор управления данными	Делегирует первый уровень доступа для создателей домена управления и других разрешений на уровне каталога.
	Владелец работоспособности данных	Может создавать, обновлять и считывать артефакты в области управления работоспособностью Единый каталог.
	Средство чтения работоспособности данных	Может считывать артефакты в области управления работоспособностью Единый каталог.
	Средство чтения глобального каталога	Может считывать опубликованные артефакты в доменах управления, в которых не указано средство чтения локального каталога.
	Создатель домена управления	Может создавать домены и делегировать владельца домена управления (или остается владельцем домена управления по умолчанию).
Домен управления	Владелец продукта данных*	Может создавать, обновлять и считывать продукты данных только в пределах своего домена управления. Может читать и строить связи с основными понятиями в доменах управления.
	Читатель профиля данных	Имеет доступ к просмотру аналитических сведений профиля данных и может детализировать результаты профилирования для просмотра статистики на уровне столбца. Это подроль, которая требует, чтобы пользователь также удерживал роль читателя домена управленияичитателя глобального каталога или читателя локального каталога .
	Стюард профиля данных	Может выполнять задания профилирования данных и получать доступ к аналитическим сведениям о профилировании. Эта роль также может просматривать все аналитические сведения о качестве данных и отслеживать задания профилирования. Эта роль не может создавать правила и не может выполнять проверку качества данных. Это подроль, которая требует, чтобы пользователь также держал роли читателя домена управленияивладельца продукта данных .
	Средство чтения метаданных качества данных	Может просматривать аналитические сведения о качестве данных (за исключением анализа на уровне столбца результатов профилирования), определение правила качества данных и оценки уровня правила. Эта роль не может получить доступ к записям об ошибках и не может выполнять задания профилирования и проверки качества данных. Это подроль, которая требует, чтобы пользователь также удерживал роль читателя домена управленияичитателя глобального каталога или читателя локального каталога .
	Средство чтения качества данных	Может просматривать все аналитические сведения о качестве данных и определения правил качества данных. Эта роль не может выполнять проверки качества данных и задания профилирования данных, а также не может получить доступ к аналитическим сведениям на уровне столбцов профилирования данных в виде аналитических сведений на уровне столбцов. Это подроль, которая требует, чтобы пользователь также удерживал роль читателя домена управленияичитателя глобального каталога или читателя локального каталога .
	Управление качеством данных	Может использовать такие функции качества данных, как управление правилами качества данных, сканирование качества данных, просмотр аналитических сведений о качестве данных, планирование качества данных, мониторинг заданий, настройка порогов и оповещений. Это подроль, которая требует, чтобы пользователь также держал роли читателя домена управленияивладельца продукта данных .
	Стюард данных*	Может создавать, обновлять и считывать артефакты и политики в домене управления. Также может считывать артефакты из других доменов управления.
	Владелец домена управления	Может делегировать все другие разрешения домена управления, настроить оповещения о проверке качества данных на уровне домена, настроить расписание на уровне домена для задания проверки качества данных и задать политики доступа на уровне домена.
	Средство чтения домена управления	Может считывать метаданные домена управления для опубликованных доменов, в которые они добавлены.
	Читатель локального каталога	Может читать опубликованные концепции только в области управления, к которому им предоставлен доступ. Так как эта роль значительно ограничивает область пользователей, имеющих доступ к данным и управление ими, рекомендуется ограничить использование этой роли, чтобы можно было лучше использовать федеративный подход к управлению данными.

*Чтобы иметь возможность добавлять ресурсы данных в продукт данных, владельцам продуктов данных и администраторам данных также требуются разрешения карты данных для чтения этих ресурсов данных в схеме данных.

Разрешения карты данных

В схеме данных используется набор предопределенных ролей для управления доступом к данным в учетной записи. Домены и коллекции — это средства, используемые картой данных для группировки ресурсов, источников и других артефактов в иерархию для обеспечения возможности обнаружения и управления доступом в схеме данных.

Найдите описание каждой роли и узнайте, как добавлять роли и ограничивать доступ через коллекции.

Дополнительные сведения о ролях, доступных в коллекциях, см. в разделе , кому следует назначать какие роли или примеры коллекций.

Совет

Если вы являетесь владельцем или владельцем продукта данных для Единый каталог, рекомендуется также иметь разрешения карты данных.

Пример жизненного цикла ресурса данных

Чтобы понять, как работают разрешения между картой данных и Единый каталог, ознакомьтесь с таблицей ниже по полному жизненному циклу Azure SQL таблицы в среде:

Шаг	Role	Уровень разрешений.
1. База данных Azure SQL зарегистрирована в схеме данных	Администратор источника данных	Карта данных
2. База данных Azure SQL сканируется на карте данных	Куратор данных или администратор источника данных	Карта данных
3. Таблица Azure SQL проверена и сертифицирована	Куратор данных	Карта данных
4. Домен управления создается в учетной записи Microsoft Purview.	Создатель домена управления	Каталог
5. Продукт данных создается в домене управления	Владелец домена управления и (или) владелец продукта данных	Домен управления
6. Таблица Azure SQL добавляется в качестве ресурса в продукт данных.	Владелец и (или) владелец продукта данных	Домен управления
7. В продукт данных добавляется политика доступа.	Владелец и (или) владелец продукта данных	Домен управления
8. Пользователь выполняет поиск Единый каталог, в поисках ресурсов данных, соответствующих его потребностям.	Разрешения на доступ к ресурсу или разрешение на чтение данных	Разрешения ресурсов или разрешения карты данных
9. Пользователь выполняет поиск продуктов данных, ищет продукт, соответствующий его потребностям.	Средство чтения глобального каталога	Каталог
10. Пользователь запрашивает доступ к ресурсам в продукте данных	Средство чтения глобального каталога	Каталог
11. Пользователь просматривает аналитику работоспособности данных для отслеживания работоспособности своих Каталог данных	Средство чтения работоспособности данных	Каталог
12. Пользователь хочет создать новый отчет для отслеживания состояния работоспособности данных в каталоге.	Владелец работоспособности данных	Каталог