共用方式為

Microsoft Purview 集合架構和最佳做法

  • 發行項

Microsoft Purview 統一資料控管解決方案的核心中,資料對應是一個平臺即服務, (PaaS) 元件,可在您的資料資產中保留資產及其中繼資料的最新對應。 若要將資料對應序列化,您必須註冊並掃描資料來源。 在組織中,可能有數千個數據源受到集中式或非集中式小組的管理和控管。

Microsoft Purview中的集合支援中繼資料的組織對應。 藉由使用集合,您可以管理和維護階層中的資料來源、掃描和資產,而不是一般結構。 集合可讓您根據組織計畫如何使用 Microsoft Purview 來治理您的環境,建置資料環境的自訂階層式模型。

集合也會為數據對應中的中繼資料提供安全性界限。 集合、資料來源和中繼資料的存取權是根據 Microsoft Purview 中的集合階層來設定和維護,遵循最低許可權模型:

  • 使用者擁有執行其工作所需的最小存取權。
  • 使用者無法存取不需要的敏感性資料。

為什麼您需要定義 Microsoft Purview 帳戶的集合和授權模型?

請考慮在 Microsoft Purview 中部署集合,以符合下列需求:

  • 組織資料來源、散發資產,並根據您的商務需求、資料的地理分佈,以及資料管理小組、部門或商務功能執行掃描。

  • 藉由將角色指派給對應的集合,將資料來源和資產的擁有權委派給對應的小組。

  • 依集合搜尋和篩選資產。

定義集合階層

設計建議

  • 建議您根據組織的安全性需求、資料管理和治理結構來設計集合架構。 檢閱本文中建議 的集合原型

  • 針對未來的延展性,建議您在根集合下方為組織建立最上層集合。 在最上層集合中指派相關角色,而不是在根集合中指派相關角色。

  • 當您在 Microsoft Purview 中建置集合時,請將安全性和存取管理視為設計決策程式的一部分。

  • 每個集合都有名稱屬性和易記名稱屬性。 如果您使用 Microsoft Purview 治理入口網站 來部署集合,系統會自動將隨機的六個字母名稱指派給集合,以避免重複。 若要降低複雜性,請避免在集合中使用重複的易記名稱,特別是在相同層級中。

  • 目前,集合名稱最多可以包含 36 個字元,而集合易記名稱最多可以有 100 個字元。

  • 您可以避免將組織結構複製到深度巢狀集合階層。 如果您無法避免這樣做,請務必針對階層中的每個集合使用不同的名稱,讓集合易於區別。

  • 如果您打算大量部署集合和角色指派,請使用 API 自動部署集合。

  • 使用專用服務主體名稱 (SPN) ,以使用 API 在集合和角色指派上執行作業。 使用 SPN 可減少擁有更高許可權並遵循最低許可權指導方針的使用者數目。

設計考量

  • 每個 Microsoft Purview 帳戶都是使用預設 根集合來建立。 根集合名稱與您的 Microsoft Purview 帳戶名稱相同。 無法移除根集合。 若要變更根集合的易記名稱,您可以從 Microsoft Purview 管理中心變更 Microsoft Purview 帳戶的易記名稱。

  • 集合可以保存資料來源、掃描、資產和角色指派。

  • 集合可以視需要擁有多個子集合。 但每個集合只能有一個父集合。 您無法在根集合上方部署集合。

  • 資料來源、掃描和資產只能屬於一個集合。

  • Microsoft Purview 中的集合階層最多可支援 256 個集合,最多可支援八個深度層級。 這不包含根集合。

  • 根據設計,您無法在單一 Microsoft Purview 帳戶中多次註冊資料來源。 此架構有助於避免將不同層級的存取控制指派給單一資料來源的風險。 如果多個小組使用單一資料來源的中繼資料,您可以在父集合中註冊和管理資料來源。 然後,您可以在每個子集合下建立對應的掃描,讓相關的資產出現在每個子集合之下。

  • 即使資料來源是在較低層級的集合中註冊,譜系連接和成品也會附加至根集合。

  • 當您執行新的掃描時,根據預設,掃描會部署在與資料來源相同的集合中。 您可以選擇性地選取不同的子集合來執行掃描。 因此,資產會屬於子集合之下。

  • 如果集合沒有任何資產、相關聯的掃描、資料來源或子集合,您可以刪除集合。

  • 如果資料來源、掃描和資產存在於 Microsoft Purview 資料對應中,則必須屬於集合。

  • 如果使用者獲授與來源和目的地集合的資料來源管理員角色,則允許跨集合移動資料來源。

  • 如果使用者獲授與來源和目的地集合的資料編者角色,則允許跨集合移動資產。

  • 若要在集合上執行移動和重新命名作業,請檢閱下列建議和考慮:

    1. 若要重新命名集合,您必須是集合管理員角色的成員。

    2. 若要移動集合,您必須是來源和目的地集合上集合管理員角色的成員。

定義授權模型

Microsoft Purview 資料平面角色是在 Microsoft Purview 中管理。 部署 Microsoft Purview 帳戶之後,Microsoft Purview 帳戶的建立者會在根集合中自動指派下列角色。 您可以使用 Microsoft Purview 治理入口網站 或程式設計方法,直接指派和管理 Microsoft Purview 中的角色。

  • 集合管理員 可以編輯 Microsoft Purview 集合及其詳細資料,並新增子集合。 他們也可以將使用者新增至其系統管理員所在集合上的其他 Microsoft Purview 角色。
  • 資料來源管理員 可以管理資料來源和資料掃描。
  • 資料編者 可以建立、讀取、修改和刪除目錄資料資產,以及建立資產之間的關聯性。
  • 資料讀取者 可以存取,但不能修改目錄資料資產。

設計建議

  • 請考慮在 Microsoft Purview 根集合層級實作集合管理員角色的緊急存取或急用策略,以避免 Microsoft Purview 帳戶層級鎖定。 記錄使用緊急帳戶的程式。

    注意事項

    在某些情況下,您可能需要使用緊急帳戶來登入 Microsoft Purview。 當其他人無法登入 Microsoft Purview,或其他系統管理員因為公司驗證問題而無法完成特定作業時,您可能需要這種類型的帳戶來修正組織層級的存取問題。 我們強烈建議您遵循 Microsoft 的最佳做法,使用僅限雲端使用者來實作 緊急存取帳戶

    如果先前的集合管理員無法使用,請依照本文中的指示覆原對 Microsoft Purview 根集合的存取權。

  • 最小化根集合管理員的數目。 在根集合中指派最多三個集合管理員使用者,包括 SPN 和您的急用帳戶。 將您的集合管理員角色指派給最上層集合,或改為指派給子集合。

  • 將角色指派給群組,而不是個別使用者,以減少管理個別角色時的系統管理額外負荷和錯誤。

  • 針對自動化目的,在根集合指派服務主體。

  • 若要提高安全性,請為至少集合管理員、資料來源管理員和資料編者啟用具有多重要素驗證的 Azure AD 條件式存取。 請確定緊急帳戶已從條件式存取原則中排除。

設計考量

  • Microsoft Purview 存取管理已移至資料平面。 不再使用 Azure Resource Manager 角色,因此您應該使用 Microsoft Purview 來指派角色。

  • 在 Microsoft Purview 中,您可以將角色指派給使用者、安全性群組和服務主體 (包括受控識別) 從 Azure Active Directory (Azure AD) 在部署 Microsoft Purview 帳戶的相同 Azure AD 租使用者上。

  • 您必須先將來賓帳戶新增至 Azure AD 租使用者作為 B2B 使用者,才能將 Microsoft Purview 角色指派給外部使用者。

  • 根據預設,集合管理員無法存取讀取或修改資產。 但他們可以提高其存取權,並將自己新增至更多角色。

  • 根據預設,所有子集合都會自動繼承所有角色指派。 但是,除了根集合之外,您可以在任何集合上啟用 限制繼承 的許可權。 限制繼承的許可權會從所有父集合中移除繼承的角色,但集合管理員角色除外。

  • 若要Azure Data Factory連線:若要連線到Azure Data Factory,您必須是根集合的集合管理員。

  • 如果您需要連線到歷程Azure Data Factory,請在 Microsoft Purview 根集合層級將資料編者角色授與資料處理站的受控識別。 當您在撰寫 UI 中將 Data Factory 連線到 Microsoft Purview 時,Data Factory 會嘗試自動新增這些角色指派。 如果您在 Microsoft Purview 根集合上具有集合管理員角色,此作業將會運作。

集合原型

您可以根據集中式、分散式或混合式資料管理和治理模型來部署 Microsoft Purview 集合。 此決策是以您的商務和安全性需求為基礎。

範例 1:單一區域組織

此結構適用于下列組織:

  • 主要以單一地理位置為基礎。
  • 有一個集中式的資料管理和治理小組,其中下一層的資料管理屬於部門、小組或專案。

集合階層包含下列垂直:

  • 根集合 (預設)
  • Contoso (最上層集合)
  • 部門 (每個部門的委派集合)
  • Teams 或專案 (根據專案進一步隔離)

每個資料來源都會在其對應的集合中註冊並掃描。 因此,資產也會出現在相同的集合中。

組織層級的共用資料來源會在 Hub-Shared 集合中註冊和掃描。

部門層級的共用資料來源會在部門集合中註冊和掃描。

顯示第一個 Microsoft Purview 集合範例的螢幕擷取畫面。

範例 2:多區域組織

此案例適用于組織:

  • 在多個區域中有存在。
  • 資料控管小組在每個區域中集中或分散的位置。
  • 資料管理小組分散在每個地理位置的位置。

集合階層包含下列垂直:

  • 根集合 (預設)
  • FourthCoffee (最上層集合)
  • 根據資料來源和資料擁有者所在的地理位置, (中層集合的地理位置)
  • 部門 (每個部門的委派集合)
  • Teams 或專案 (根據小組或專案進一步隔離)

在此案例中,每個區域在 Microsoft Purview 帳戶的最上層集合下都有自己的子集合。 資料來源會在其自己的地理位置的對應子集合中註冊和掃描。 因此,資產也會出現在區域的子集合階層中。

如果您有集中式資料管理和治理小組,您可以授與他們最上層集合的存取權。 當您這麼做時,他們會在資料對應中對整個資料資產進行監督。 集中式小組也可以選擇性地註冊和掃描任何共用資料來源。

區域型資料管理和治理小組可以從較低層級的對應集合取得存取權。

部門層級的共用資料來源會在部門集合中註冊和掃描。

顯示第二個 Microsoft Purview 集合範例的螢幕擷取畫面。

範例 3:多區域、資料轉換

如果您想要根據地理位置和資料轉換狀態散發中繼資料存取管理,此案例會很有用。 可轉換資料以使其更具意義的資料科學家和資料工程師,可以管理原始和精簡區域。 然後,他們可以將資料移至 [產生] 或 [策劃] 區域。

集合階層包含下列垂直:

  • 根集合 (預設)
  • Fabrikam (最上層集合)
  • 根據資料來源和資料擁有者所在的地理位置, (中層集合的地理位置)
  • 資料轉換階段 (原始、精簡、產生/策劃)

資料科學家和資料工程師可以在其對應的區域上擁有資料編者角色,以便他們策劃中繼資料。 資料讀取者對策劃區域的存取權可以授與整個資料角色和商務使用者。

顯示第三個 Microsoft Purview 集合範例的螢幕擷取畫面。

範例 4:多區域、商務功能

此選項可供需要根據商務功能組織中繼資料和存取管理的組織使用。

集合階層包含下列垂直:

  • 根集合 (預設)
  • AdventureWorks (最上層集合)
  • 根據資料來源和資料擁有者所在的地理位置, (中層集合的地理位置)
  • 主要商務功能或用戶端 (根據函式或用戶端進一步隔離)

每個區域在 Microsoft Purview 帳戶的最上層集合下都有自己的子集合。 資料來源會在其自己的地理位置的對應子集合中註冊和掃描。 因此,資產會新增至區域的子集合階層。

如果您有集中式資料管理和治理小組,您可以授與他們最上層集合的存取權。 當您這麼做時,他們會在資料對應中對整個資料資產進行監督。 集中式小組也可以選擇性地註冊和掃描任何共用資料來源。

區域型資料管理和治理小組可以從較低層級的對應集合取得存取權。 每個業務單位都有自己的子集合。

顯示第四個 Microsoft Purview 集合範例的螢幕擷取畫面。

存取管理選項

如果您想要在整個組織中實作資料大眾化,請將最上層集合的資料讀取者角色指派給資料管理、治理和商務使用者。 將子集區層級的資料來源管理員和資料編者角色指派給對應的資料管理和治理小組。

如果您需要限制對組織中中繼資料搜尋和探索的存取,請在特定收集層級指派資料讀取者和資料編者角色。 例如,您可以限制美國員工,讓他們只能讀取美國集合層級的資料,而不能讀取 LATAM 集合中的資料。

如果需要資料大眾化總數,但某些集合有一些例外狀況,您可以在 Microsoft Purview 資料對應中套用這兩個案例的組合。 您可以在最上層集合指派 Microsoft Purview 角色,並將繼承限制為特定子集合。

將集合管理員角色指派給最上層集合的集中式資料安全性與管理小組。 將較低層級集合的進一步集合管理委派給對應的小組。

後續步驟