重要
本文介绍使用 Microsoft Purview 统一目录 在新的 Microsoft Purview 门户中Microsoft Purview 数据管理权限。
- 如果使用经典数据目录,请参阅经典数据目录的治理权限。
- 有关 经典 Microsoft Purview 门户中的数据治理权限,请参阅 经典 Microsoft Purview 治理门户中的权限。
Microsoft Purview 数据治理Microsoft Purview 门户中有两种解决方案:数据映射和统一目录。 这些解决方案使用租户/组织级权限、现有数据访问权限和域/集合权限为用户提供对治理工具和数据资产的访问权限。
可以使用的权限类型取决于Microsoft Purview 帐户类型。
检查帐户类型
检查你的组织是否拥有免费或企业类型的帐户。 若要检查帐户类型,请转到 Microsoft Purview 门户,选择“设置”卡。 在 “帐户”下,查看 帐户类型。
重要
对于在 Microsoft Entra ID 中新创建的用户,即使应用了正确的权限,权限传播也可能需要一些时间。
企业版本中的权限
所有用户都可以查看至少具有 读取 权限的可用源的数据资产。 所有者用户可以管理至少具有 所有者/写入 权限的资产的元数据。 详细了解 Azure 角色。
权限类型
- 租户/组织权限:在组织级别分配,它们提供常规和管理权限。
- 统一目录权限:允许用户浏览统一目录并构建其数据治理解决方案。
- 数据映射域和集合级别权限:数据映射中授予对 Microsoft Purview 中的数据资产的访问权限的权限。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
租户级别角色组
租户级别角色组在组织级别分配,可为Microsoft Purview 数据映射和统一目录提供常规和管理权限。 如果要管理 Microsoft Purview 帐户或组织的数据管理策略,则可能需要属于以下一个或多个角色组:
- Purview 管理员
- 数据源管理员
- 数据治理
查看 这些角色的说明。
有关所有可用角色和角色组的完整列表(而不仅仅是用于数据治理),请参阅 Microsoft Defender XDR 和 Microsoft Purview 门户中的角色和角色组。
如何分配和管理角色组
用户必须拥有 角色管理 角色 才能将用户或组添加到 Microsoft Purview 角色组。 有关在 Microsoft Purview 中分配和管理角色的说明,请参阅 Microsoft Purview 中的权限。
统一目录权限
有三个级别的权限允许用户访问统一目录中的信息:
数据管理租户级别:具有数据治理管理员角色的租户/组织级角色组。 该角色委托治理域创建者的第一级访问权限。 (此角色不会显示在统一目录中,但会影响在 统一目录.) 中分配权限的能力
目录级权限:授予治理域所有权和运行状况管理访问权限的权限。
治理域级别权限:访问和管理特定治理域中的资源的权限。
搜索完整统一目录的权限
统一目录无需特定权限即可搜索统一目录。 但是,搜索统一目录将仅返回有权在数据映射中查看的相关数据资产。 在以下情况下,用户可以在统一目录中找到数据资产:
- 用户在其中具有目录读取者权限的治理域中 搜索数据产品 。
- 用户对存储资产的数据 映射中的域或集合具有数据读取者权限 。
- 用户至少 对可用的 Azure 或 Microsoft Fabric 资源具有读取权限。
重要
已在 Azure 中具有读取权限的用户可能有权访问你不希望他们拥有的统一目录中的资产。 如果不希望他们拥有此类访问权限,则需要 删除其权限。
对这些资产的权限分别在资源级别和数据映射级别进行管理。
如果你的目录精心策划,则日常业务用户应该不需要搜索完整的目录。 他们应该能够在数据产品中找到所需的数据。 有关设置统一目录的详细信息,请参阅数据治理入门和统一目录计划。
目录级权限
目录级别权限仅在 统一目录 内提供高级访问权限,并包含以下角色:
- 治理域创建者
- 全局目录读取器
- 数据运行状况所有者
- 数据运行状况读取器
查看 这些角色的说明。
如何分配目录级别角色
- 使用分配有数据管理角色的管理员帐户的凭据登录到 Microsoft Purview 门户。
- 转到“设置”,然后选择“统一目录”。
- 选择“ 角色和权限”。
- 选择 “治理域创建者 ”或其他角色,然后选择“添加用户”图标。
- 搜索要添加的用户,然后选择该用户。
- 选择“保存”。
治理域级别权限
治理域权限提供特定 治理域中的访问权限。 应向数据专家和业务用户授予这些权限,以读取和管理治理域中的对象。 治理域权限只能由拥有 治理域所有者 角色的用户授予。
查看 这些角色的列表和说明。
提示
管理域所有者角色由组织中运行数据治理或统一目录的用户持有,这一点很重要。 此角色对于构建实体(如治理域、数据产品和术语表术语)至关重要。 建议至少将两个人分配为治理域所有者。
如何分配治理域角色
用户必须是治理域中的治理域所有者才能分配治理域角色。 此角色由数据管理管理员或治理域创建者分配。
治理域角色在治理域中的“ 角色 ”选项卡下分配。 有关分配角色的说明,请参阅 如何管理治理域。
统一目录角色
重要
请确保了解两个目录读取者角色之间的差异:
全局目录读取器 允许用户从已发布的治理域访问已发布的业务概念。
本地目录读取器 大大减少了对治理域的访问。 在治理域中将用户分配到此角色时:
- 只有这些用户才能访问该治理域中已发布的概念。
- 具有此角色的用户还可以拥有其他角色,例如数据产品所有者或数据专员,以便他们查看来自其他治理域的已发布业务概念。
例如,需要限制对治理域的访问以满足法规或法律要求时, 本地目录读取者 角色非常有用。 但是,过度使用此角色会阻碍 联合数据治理方法。
注意
数据可观测性使用与统一目录其余部分相同的角色。 目录读者无法访问数据资产运行状况中更广泛的数据可观测性资源管理器视图,他们只能查看已发布的概念。 数据专员、数据产品所有者、治理域所有者和治理域创建者可以访问他们可以查看的概念中的数据可观测性视图,以及数据运行状况管理视图,从而可以跨整个数据资产进行更广泛的探索和查看。
| 权限级别 | Role | 说明 |
|---|---|---|
| Tenant | 数据治理角色组 | 授予对 Microsoft Purview 中的数据治理角色的访问权限。 |
| 数据源管理员角色组 | 管理Microsoft Purview 数据映射中的数据源和数据扫描。 | |
| Purview 管理员角色组 | 创建、编辑和删除域并执行角色分配。 | |
| 目录 | 数据治理管理员 | 委托治理域创建者和其他目录级别权限的第一级访问权限。 |
| 数据运行状况所有者 | 可以在 统一目录 的运行状况管理区域中创建、更新和读取项目。 | |
| 数据运行状况读取器 | 可以读取统一目录的“运行状况管理”区域中的项目。 | |
| 全局目录读取器 | 可以跨未指定本地目录读取器的治理域读取已发布的项目。 | |
| 治理域创建者 | 可以创建域并委托治理域所有者 (,或默认保留治理域所有者) 。 | |
| 治理域 | 数据产品所有者* | 只能在其治理域中创建、更新和读取数据产品。 可以使用治理域中的概念读取和构建关系。 |
| 数据配置文件读取器 | 有权浏览数据配置文件见解,并可以向下钻取分析结果以浏览列级别的统计信息。 这是一个子角色,它要求用户同时持有治理域读取者和全局目录读取者或本地目录读取者角色。 | |
| 数据配置文件专员 | 可以运行数据分析作业并访问分析见解详细信息。 此角色还可以浏览所有数据质量见解,并可以监视分析作业。 此角色无法创建规则,也不能运行数据质量扫描。 这是一个子角色,要求用户还持有治理域读取者和数据产品所有者角色。 | |
| 数据质量元数据读取器 | 可以浏览数据质量见解 (,但分析结果列级见解) 、数据质量规则定义和规则级别分数除外。 此角色无法访问错误记录,并且无法运行分析和数据质量扫描作业。 这是一个子角色,它要求用户同时持有治理域读取者和全局目录读取者或本地目录读取者角色。 | |
| 数据质量读取器 | 可以浏览所有数据质量见解和数据质量规则定义。 此角色无法运行数据质量扫描和数据分析作业,也不能以列级见解的形式访问数据分析列级见解。 这是一个子角色,它要求用户同时持有治理域读取者和全局目录读取者或本地目录读取者角色。 | |
| 数据质量专员 | 可以使用数据质量功能,例如数据质量规则管理、数据质量扫描、浏览数据质量见解、数据质量计划、作业监视以及配置阈值和警报。 这是一个子角色,要求用户还持有治理域读取者和数据产品所有者角色。 | |
| 数据专员* | 可以在其治理域中创建、更新和读取项目和策略。 还可以从其他治理域读取项目。 | |
| 治理域所有者 | 可以委托所有其他治理域权限、配置域级数据质量扫描警报、为数据质量扫描作业设置域级别计划以及设置域级别访问策略。 | |
| 治理域读取者 | 可以读取它们添加到的已发布域的治理域元数据。 | |
| 本地目录读取器 | 只能在授予其访问权限的治理域中读取已发布的概念。 由于此角色极大地限制了谁可以访问和管理数据的范围,因此建议限制使用此角色,以便可以更好地利用 联合方法来进行数据治理。 |
*为了能够向数据产品添加数据资产,数据产品所有者和数据专员还需要数据映射权限才能在数据映射中读取这些数据资产。
数据映射权限
数据映射使用一组预定义角色来控制谁可以访问帐户中的内容。 域和集合 是数据映射用于将资产、源和其他项目分组到层次结构中的工具,以便发现,以及管理数据映射中的访问控制。
查找 每个角色的说明,并了解如何添加角色和通过集合限制访问。
有关集合中可用角色的更多详细信息,请参阅 应为谁分配哪些角色 或 集合示例。
提示
如果你是统一目录的数据专员或数据产品所有者,最好也拥有数据映射权限。
数据资产生命周期示例
若要了解数据映射与统一目录之间权限的工作原理,请查看下表,了解环境中Azure SQL表的完整生命周期:
| 步骤 | Role | 权限级别 |
|---|---|---|
| 1. Azure SQL数据库在数据映射中注册 | 数据源管理员 | 数据映射 |
| 2. 在数据映射中扫描Azure SQL数据库 | 数据策展人或数据源管理员 | 数据映射 |
| 3. Azure SQL表经过策展和认证 | 数据策展人 | 数据映射 |
| 4. 在 Microsoft Purview 帐户中创建治理域 | 治理域创建者 | 目录 |
| 5. 在治理域中创建数据产品 | 治理域所有者和/或数据产品所有者 | 治理域 |
| 6. Azure SQL表作为资产添加到数据产品 | 数据产品所有者和/或专员 | 治理域 |
| 7. 向数据产品添加访问策略 | 数据产品所有者和/或专员 | 治理域 |
| 8. 用户搜索统一目录,查找符合其需求的数据资产 | 资产权限或数据读取者权限 | 资产权限 或 数据映射权限 |
| 9. 用户搜索数据产品,查找符合其需求的产品 | 全局目录读取器 | 目录 |
| 10. 用户请求访问数据产品中的资源 | 全局目录读取器 | 目录 |
| 11. 用户查看数据运行状况见解以跟踪其数据目录的运行状况 | 数据运行状况读取器 | 目录 |
| 12.用户希望开发新报表来跟踪目录中的数据运行状况进度 | 数据运行状况所有者 | 目录 |