Поделиться через

Настройка политик доступа к каталогу данных и управление ими

  • Статья

Важно!

В этой статье объясняется, как задать политики доступа для бизнес-концепций, включая домены управления, продукты данных, критически важные элементы данных и термины глоссария, а также управлять запросами доступа. Если вы хотите запросить доступ к продукту данных, следуйте инструкциям в этой статье, чтобы запросить доступ.

В этой статье описывается, как управлять доступом к продуктам данных и настраивать систему для предоставления доступа пользователям, запрашивающим его.

Что предоставляет доступ к продукту данных? Разрешения для продукта данных и разрешения для ресурсов данных внутри.

В данной статье вы узнаете следующее.

Разрешения

  1. Для просмотра политик и управления ими на уровне домена управления требуются разрешения владельца домена управления .
  2. Для просмотра политик и управления ими на уровне продукта данных требуются разрешения владельца продукта данных .
  3. Для просмотра политик в продуктах данных или терминах глоссария и управления ими требуются разрешения администратора данных .
  4. Читатели каталога данных могут просматривать и запрашивать доступ к продуктам данных.
  5. Руководители и лица, утверждающие конфиденциальность запросов на доступ, также должны иметь минимум средства чтения каталога данных, чтобы иметь возможность использовать Каталог данных и утверждать запросы в рамках многоуровневого утверждения.

Рекомендации

В этом случае утверждающие запросы должны предоставить доступ к отдельным ресурсам данных вручную в рамках процесса утверждения или указать для этого поставщика доступа.

Такие политики, как аттестация (включая аттестацию без копирования), не применяются в продукте. Потребитель данных подтверждает, что он будет следовать этим политикам при запросе доступа.

Настройка политик доступа к продуктам данных

Для создания политик доступа в большинстве случаев требуются разрешения владельца продукта данных или администратора данных.

Совет

Для управления политиками доступа продукт данных должен находиться в неопубликованном состоянии.

  1. На портале Microsoft Purview откройте каталог данных.
  2. Выберите раскрывающийся список Управление каталогом и выберите Продукты данных.
  3. Выберите продукт данных.
  4. На странице продукта данных выберите Управление политиками.
  5. В окне конфигурации политики вы можете создать политику доступа к продукту данных и управлять ею.

Настройка политик доступа к продукту данных

В окне Управление политиками можно просматривать и изменять значения по умолчанию, назначенные набору политик доступа к продуктам данных по умолчанию. Выбранные значения влияют на то, что потребители данных видят в форме запроса на доступ и действия, которые им нужно выполнить.

  1. В раскрывающемся списке Разрешенный доступ добавьте цели использования, которые являются авторизованными для доступа к продукту данных и его использования. По умолчанию предоставляются три значения, для которых можно изменить описание и добавить другие цели, которые потребитель выберет в форме доступа к запросу.
  2. В раскрывающемся списке Требования к утверждению определите, требуется ли утверждение руководителя или проверка конфиденциальности и соответствия требованиям.

    Примечание.

    Если этот параметр выбран, в форме запроса на доступ будет показано, что требуется утверждающий менеджер или проверка конфиденциальности и соответствия требованиям. Руководитель потребителя в Microsoft Entra ID будет уведомлен о первом уровне утверждения. Рецензент конфиденциальности, названный потребителем в форме запроса, будет уведомлен о своем утверждении. Запрос сначала будет проверен менеджером, затем рецензентом конфиденциальности, а затем утверждающими запросы на доступ для утверждения и предоставления доступа. Необязательный уровень поставщика доступа будет последним, если он выбран. Состояние запроса является окончательным только после завершения всех настроенных уровней утверждения.

  3. В раскрывающемся списке Требования к утверждению в разделе Утверждающие запросы доступа выберите пользователей, которым потребуется утвердить запрос на доступ. Первый утверждающий, который примет меры, утвердит запрос и продолжит предоставление доступа к ресурсам данных вручную, запишет состояние доступа, подготовленного для каждого ресурса, и укажет инструкции по доступу к данным или комментарии для потребителя данных. По умолчанию владельцы продуктов данных заполняются, и можно добавить больше утверждающих лиц. Вы также можете добавить Microsoft Entra ID группы или группы безопасности, чтобы утверждающие и утверждающие могли видеть подробное состояние в представлении запроса.
  4. Необязательный уровень с именем Поставщик доступа можно явно задать для предоставления доступа к ресурсам данных вручную, записи состояния доступа, подготовленного в каждом ресурсе, и указания инструкций по доступу к данным или комментариев для потребителя данных. Это гарантирует, что потребитель данных будет знать о следующих шагах, которые он может предпринять для доступа к данным и их использования.
  5. В разделе Аттестации определите, разрешены ли копии данных. Аттестации отражаются в форме запроса на доступ для подтверждения потребителем.
  6. Если условия использования присутствуют в продукте данных, они также будут отражены в форме запроса на доступ, на который потребитель должен подтвердить это.
  7. Добавьте дополнительные аттестации, выбрав Добавить аттестацию и добавив отображаемое имя и расположение файла. Они отражаются в форме доступа к запросу, на который потребитель может засвидетельствовать.
  8. Если есть политики, наследуемые от домена управления, критически важного элемента данных или термина глоссария, вы можете увидеть на вкладке Унаследованные политики. Дополнительные сведения см. в следующем разделе этого документа: Политики доменов управления и термины глоссария (наследуемые политики).
  9. Выберите Предварительный просмотр формы запроса , чтобы узнать, какие пользователи видят при запросе доступа.
  10. Выберите Сохранить изменения , чтобы сохранить политику доступа для домена управления.

Политики в доменах управления, термины глоссария и критически важные элементы данных (унаследованные политики)

Политики можно задать для доменов управления, терминов глоссария и критически важных элементов данных. Продукты данных в области управления или продукты данных, к которым применены термины глоссария или критически важные элементы данных, наследуют и агрегируют политики.

Унаследованные политики можно просмотреть в представлении политик управления продуктом данных на отдельной вкладке с именем Наследуемые политики. Агрегированное представление можно просмотреть, нажав кнопку Предварительный просмотр . Потребители данных увидят это агрегированное представление при запросе доступа.

Например, если политика утверждения руководителя задана на термине глоссария, применяемом к продукту данных, утверждение руководителя теперь также требуется для продукта данных. Любая аттестация, установленная в бизнес-концепции (домен управления, продукт данных, термин глоссария или критически важный элемент данных), агрегируется в продукте данных, и потребитель данных будет засвидетельствовать все необходимые аттестации при запросе доступа.

Чтобы создать политики доступа для доменов управления, терминов глоссария или критически важных элементов данных, вам потребуются разрешения владельца домена управления или администратора данных.

  1. На портале Microsoft Purview откройте каталог данных.
  2. Выберите раскрывающийся список Управление каталогом и выберите Домены управления.
  3. Выберите домен управления.
  4. На странице домена управления выберите Управление политиками.
  5. Кроме того, на странице терминов глоссария или критических элементов данных выберите Управление политиками.
  6. В окне настройки политики вы можете создавать соответствующие политики доступа и управлять ими.

Настройка унаследованных политик

В окне Управление политиками можно просмотреть набор политик доступа по умолчанию для каждой бизнес-концепции и управлять ими. Выбранные значения влияют на то, что потребители данных видят в форме запроса на доступ и действия, которые им нужно выполнить.

  1. Определите, требуется ли утверждение руководителя. Диспетчер потребителя данных, настроенный в Microsoft Entra ID, будет уведомлен в качестве первого уровня утверждения. Если запрос утвержден, запрос перейдет на следующий уровень.
  2. Определите, разрешены ли копии данных. Этот выбор отображается в форме запроса на доступ, на который потребитель будет засвидетельствовать.
  3. Добавьте все нужные аттестации, выбрав Добавить аттестацию и добавив отображаемое имя и расположение файла. Эти аттестации отражаются в форме доступа к запросу для подтверждения потребителем.

Управление запросами доступа или реагирование на них

  1. На портале Microsoft Purview откройте Каталог данных.
  2. Выберите раскрывающийся список Управление каталогом и выберите Запросы.
  3. В столбце состояние таблицы доменов управления можно выполнить сортировку по любым доменам с открытыми запросами на доступ.
  4. Выберите домен управления, для которого требуется управлять запросами доступа.
  5. На вкладке "Запросы доступа" отображается список последних запросов на доступ.
  6. Вы можете выбрать запрос на доступ, на который вы хотите ответить.
  7. Просмотр сведений, отправленных потребителем.
  8. Выберите Утвердить или Отклонить.
  9. Если вы последний утверждающий в последовательности утверждающих (утверждающий запрос на доступ к продукту данных или явный поставщик доступа), необходимо также записать состояние доступа, подготовленного в каждом ресурсе, и указать инструкции по доступу к данным или комментарии для потребителя данных. Это гарантирует, что потребитель данных будет знать о следующих шагах, которые он может предпринять для доступа к данным и их использования.
  10. Потребитель данных будет уведомлен после ответа на запрос.
  11. Инициатор запроса будет уведомлен по электронной почте, а также сможет просмотреть состояние на раскрывающемся списке Каталог данных Microsoft Purview Обнаружения на странице Продукты данных на вкладке Мои данные доступ.

Реагирование на запросы на доступ с помощью уведомления по электронной почте

  1. В сообщении электронной почты, полученном в качестве запроса на утверждение запроса на доступ, выберите ссылку Запрос на утверждение .
  2. Вы перейдете в представление сведений о запросе на странице Запросы в раскрывающемся списке Управление каталогом в Каталог данных Microsoft Purview.
  3. Просмотр сведений, отправленных потребителем.
  4. Выберите Утвердить или Отклонить.
  5. Если вы последний утверждающий в последовательности утверждающих; утверждающий запрос на доступ к продукту данных или явный поставщик доступа, следует также записать состояние доступа, подготовленного в каждом ресурсе, и указать инструкции по доступу к данным или комментарии для потребителя данных. Это гарантирует, что потребитель данных будет знать о следующих шагах, которые он может предпринять для доступа к данным и их использования.
  6. Потребитель данных будет уведомлен после ответа на запрос.
  7. Инициатор запроса будет уведомлен по электронной почте, а также сможет просмотреть состояние на странице поиска продукта Каталог данных Microsoft Purview данных на вкладке Доступ к данным.

Последовательные или многоуровневые утверждения и состояния запросов

Как отмечалось в разделе об управлении политиками в продукте данных, в зависимости от выбора утверждающего действует последовательное или многоуровневое утверждение. Следующая последовательность поддерживается для утверждений запросов на доступ к продукту данных.

  1. Если выбрано утверждение руководителя, менеджер потребителя в Microsoft Entra будет уведомлен о первом уровне утверждения.
  2. Только после того, как менеджер утвердит запрос, рецензент конфиденциальности, если он выбран, будет уведомлен о своем утверждении или сможет принять меры.
  3. После утверждения рецензентом конфиденциальности утверждающий запрос на доступ будет уведомлен об утверждении и подготовке доступа к ресурсам данных в продукте данных. Этот уровень утвердит и завершит запрос, если не указан поставщик доступа, в противном случае он будет только утверждать.
  4. Если указан последний уровень поставщика доступа, то это уровень, который будет подготавливать доступ к ресурсам данных и записывать состояние и инструкции для потребителя данных. Они завершат запрос. Завершено будет окончательное состояние.
  5. Рабочий процесс продолжается до тех пор, пока не произойдет последнее утверждение и завершение или не произойдет первый отказ.
  6. Потребитель данных получает уведомление только после того, как все его пользователи выполнили соответствующие действия.
  7. В любой момент потребитель данных может увидеть состояние запроса в раскрывающемся списке обнаружение Каталог данных Microsoft Purview на странице Продукты данных на вкладке Доступ к данным.
  8. Состояние запроса может переходить от ожидающего к отклонению или к утверждению, а затем к завершению.