Microsoft Purview 治理门户中的访问控制
Microsoft Purview 治理门户使用Microsoft Purview 数据映射中的集合来组织和管理其源、资产和其他项目的访问权限。 本文介绍 Microsoft Purview 治理门户中帐户的集合和访问管理。
重要
本文介绍 Microsoft Purview 治理门户所需的权限,以及Microsoft Purview 数据映射、数据目录、数据策略、数据资产见解等应用程序。如果要查找 Microsoft Purview 合规中心的权限信息,请按照Microsoft Purview 合规门户中有关权限的文章进行操作。 如果要在数据系统中授予对数据本身的访问权限,可以使用 Microsoft Purview 数据所有者策略 。 如果要授予对某些数据库的系统元数据的访问权限,可以使用 Microsoft Purview DevOps 策略 。
访问 Microsoft Purview 治理门户的权限
可通过两种main方式访问 Microsoft Purview 治理门户,需要以下任一特定权限:
- 若要直接在 访问 https://web.purview.azure.comMicrosoft Purview 治理门户,至少需要Microsoft Purview 数据映射集合的读者角色。
- 若要通过Azure 门户访问 Microsoft Purview 治理门户,方法是搜索 Microsoft Purview 帐户,打开该帐户,然后选择“打开 Microsoft Purview 治理门户”,至少需要访问控制 (IAM) 下的读者角色。
注意
如果使用服务主体创建了帐户,则需要 授予用户集合对根集合的管理员权限才能访问 Microsoft Purview 治理门户。
集合
集合是Microsoft Purview 数据映射用于将资产、源和其他项目分组到层次结构中的工具,以便发现并管理访问控制。 对 Microsoft Purview 治理门户资源的所有访问均从 Microsoft Purview 数据映射 中的集合进行管理。
角色
Microsoft Purview 治理门户使用一组预定义角色来控制谁可以访问帐户中的内容。 这些角色当前为:
- 集合管理员 - 需要向 Microsoft Purview 治理门户中的其他用户分配角色或管理集合的用户的角色。 集合管理员可以将用户添加到其管理员所在的集合上的角色。 他们还可以编辑集合及其详细信息,并添加子集合。 根集合上的集合管理员也自动拥有对 Microsoft Purview 治理门户的权限。 如果需要更改 根集合管理员 ,可以 按照以下部分中的步骤操作。
- 数据策展人 - 提供数据目录访问权限的角色,用于管理资产、配置自定义分类、创建和管理术语表术语以及查看数据资产见解。 数据策展人可以创建、读取、修改、移动和删除资产。 它们还可以将注释应用于资产。
- 数据读取者 - 提供对数据资产、分类、分类规则、集合和术语表术语的只读访问权限的角色。
- 数据源管理员 - 允许用户管理数据源和扫描的角色。 如果用户仅被授予给定 数据源上的数据源管理员 角色,则他们可以使用现有扫描规则运行新扫描。 若要创建新的扫描规则,还必须向用户授予 数据读取者 或 数据策展人 角色。
- 见解读取者 - 提供对集合见解报表的只读访问权限的角色,其中见解读取者至少还具有 数据读取者 角色。 有关详细信息,请参阅 见解权限。
- 策略作者 - 允许用户通过 Microsoft Purview 中的数据策略应用查看、更新和删除 Microsoft Purview 策略的角色。
- 工作流管理员 - 一个角色,允许用户访问 Microsoft Purview 治理门户中的工作流创作页,并在具有访问权限的集合上发布工作流。 工作流管理员仅有权进行创作,因此至少需要对集合具有数据读取者权限才能访问 Purview 治理门户。
注意
目前,Microsoft Purview 策略作者角色不足以创建策略。 还需要 Microsoft Purview 数据源管理员角色。
应将谁分配到什么角色?
| 用户应用场景 | 适当的角色 () |
|---|---|
| 我只需要查找资产,我不想编辑任何内容 | 数据读取器 |
| 我需要编辑和管理有关资产的信息 | 数据策展人 |
| 我想创建自定义分类 | 数据策展人 或 数据源管理员 |
| 我需要编辑业务术语表 | 数据策展人 |
| 我需要查看数据资产见解以了解我的数据资产的治理状况 | 数据策展人 |
| 应用程序的服务主体需要将数据推送到Microsoft Purview 数据映射 | 数据策展人 |
| 我需要通过 Microsoft Purview 治理门户设置扫描 | 集合中的数据策展人 或 数据策展 人以及 注册源的数据源管理员。 |
| 我需要允许服务主体或组在Microsoft Purview 数据映射中设置和监视扫描,而不允许他们访问目录的信息 | 数据源管理员 |
| 我需要在 Microsoft Purview 治理门户中将用户放入角色 | 集合管理员 |
| 我需要创建和发布访问策略 | 数据源管理员和策略作者 |
| 我需要在治理门户中为 Microsoft Purview 帐户创建工作流 | 工作流管理员 |
| 我需要共享 Microsoft Purview 中注册的源中的数据 | 数据读取器 |
| 我需要在 Microsoft Purview 中接收共享数据 | 数据读取器 |
| 我需要查看我所属的集合的见解 | 见解读取者 或 数据策展人 |
| 我需要创建或管理 自承载集成运行时 (SHIR) | 数据源管理员 |
| 我需要创建托管专用终结点 | 数据源管理员 |
注意
*数据策展人 - 仅当数据策展人被分配到根集合级别时,数据策展人才能读取见解。 **数据源管理员对策略的权限 - 数据源管理员还能够发布数据策略。
了解如何使用 Microsoft Purview 治理门户的角色和集合
所有访问控制都通过 Microsoft Purview 数据映射 中的集合进行管理。 可以在 Microsoft Purview 治理门户中找到这些集合。 在Azure 门户中打开帐户,然后在“概述”页上选择“Microsoft Purview 治理门户”磁贴。 从该位置导航到左侧菜单上的数据映射,然后选择“集合”选项卡。
创建 Microsoft Purview (以前为 Azure Purview) 帐户时,它从与帐户本身同名的根集合开始。 帐户的创建者会自动添加为此根集合上的集合管理员、数据源管理员、数据策展人和数据读取者,并且可以编辑和管理此集合。
源、资产和对象可以直接添加到此根集合,但其他集合也可以。 添加集合可让你更好地控制谁有权访问帐户中的数据。
如果所有其他用户或他们所属的组被授予上述角色之一,则只能访问 Microsoft Purview 治理门户中的信息。 这意味着,在创建帐户时,除了创建者,任何人都无法访问或使用其 API,直到这些 API 添加到集合中的一个或多个上述角色。
用户只能由集合管理员或通过权限继承添加到集合。 父集合的权限由其子集合自动继承。 但是,可以选择限制任何集合 的权限继承 。 如果执行此操作,其子集合将不再继承父级的权限,并且需要直接添加,但无法删除自动继承自父集合的集合管理员。
可以从与订阅关联的 Azure Active Directory 将角色分配给用户、安全组和服务主体。
向用户分配权限
创建 Microsoft Purview (以前的 Azure Purview) 帐户后,首先要做的是创建集合并将用户分配到这些集合中的角色。
注意
如果使用服务主体创建了帐户,为了能够访问 Microsoft Purview 治理门户并向用户分配权限,则需要 授予用户集合对根集合的管理员权限。
创建集合
可以针对Microsoft Purview 数据映射中的源结构自定义集合,并且可以充当这些资源的有序存储箱。 考虑可能需要的集合时,请考虑用户将如何访问或发现信息。 你的来源被部门分解了吗? 这些部门中是否有只需要发现一些资产的专门组? 是否有一些源应该可供所有用户发现?
这将通知集合和子集合,你可能需要最有效地组织数据映射。
新集合可以直接添加到数据映射,你可以在其中从下拉列表中选择其父集合,也可以从父集合作为子集合进行添加。 在数据映射视图中,可以看到按集合排序的所有源和资产,并在列表中列出了源的集合。
有关更多说明和信息,可以按照 创建和管理集合的指南进行操作。
集合示例
现在我们已经基本了解了集合、权限及其工作原理,让我们来看一个示例。
这是组织构建其数据的一种方式:从其根集合 (Contoso 开始,在此示例中,) 集合被组织成区域,然后组织到部门和子部门。 可以将数据源和资产添加到这些集合中的任何一个,以便按这些区域和部门组织数据资源,并沿这些行管理访问控制。 有一个子部门“收入”具有严格的访问准则,因此需要严格管理权限。
数据读取者角色可以访问目录中的信息,但不能对其进行管理或编辑。 因此,对于上面的示例,向根集合上的组添加数据读取者权限并允许继承将为该组中的所有用户授予对Microsoft Purview 数据映射中的源和资产的读取者权限。 这使得这些资源可由该组中的每个人发现,但不可编辑。 限制 “收入”组的继承将控制对这些资产的访问。 需要访问收入信息的用户可以单独添加到收入集合。 与数据策展人和数据源管理员角色类似,这些组的权限将从分配这些组的集合开始,并逐渐流向未限制继承的子集合。 下面,我们在 Americas 子集合的集合级别为多个组分配了权限。
将用户添加到角色
角色分配通过集合进行管理。 只有具有 集合管理员角色 的用户才能向其他用户授予对该集合的权限。 需要添加新权限时,集合管理员将访问 Microsoft Purview 治理门户,导航到数据映射,然后导航到“集合”选项卡,然后选择需要添加用户的集合。 在“角色分配”选项卡中,他们将能够添加和管理需要权限的用户。
有关完整说明,请参阅 添加角色分配操作指南。
管理员更改
可能有一段时间需要更改 根集合管理员 ,或者在应用程序创建帐户后需要添加管理员。 默认情况下,自动将创建帐户的用户分配到根集合的集合管理员。 若要更新根集合管理员,有四个选项:
可以在 Azure 门户中管理根集合管理员:
- 登录到 Azure 门户并搜索 Microsoft Purview 帐户。
- 在 Microsoft Purview 帐户页上的左侧菜单中选择 “根集合权限 ”。
- 选择 “添加根集合管理员 ”以添加管理员。
- 还可以在 Microsoft Purview 治理门户中选择要转到根集合的所有根集合 管理员 。
可以像分配任何其他角色一样 ,通过 Microsoft Purview 治理门户分配权限 。
可以使用 REST API 添加集合管理员。 有关使用 REST API 添加集合管理员的说明,请参阅适用于 集合的 REST API 文档。 有关其他信息,请参阅 REST API 参考。
还可以使用以下 Azure CLI 命令。 object-id 是可选的。 有关详细信息和示例,请参阅 CLI 命令参考页。
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
后续步骤
现在你对集合和访问控制有了基本了解,请按照以下指南创建和管理这些集合,或者开始将源注册到Microsoft Purview 数据映射。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈