Microsoft Purview 治理入口網站內的存取控制
Microsoft Purview 治理入口網站會使用Microsoft Purview 資料對應中的集合,來組織和管理其來源、資產和其他成品之間的存取權。 本文說明 Microsoft Purview 治理入口網站中帳戶的集合和存取管理。
重要事項
本文指的是 Microsoft Purview 治理入口網站所需的許可權,以及Microsoft Purview 資料對應、資料目錄、資料原則、資料資產深入解析等應用程式。如果您要尋找 Microsoft Purview 合規性中心的許可權資訊,請遵循文章以取得Microsoft Purview 合規性入口網站中的許可權。 如果您想要授與資料系統中資料本身的存取權,您可以使用 Microsoft Purview 資料擁有者 原則。 如果您想要授與特定資料庫之系統中繼資料的存取權,您可以使用 Microsoft Purview DevOps 原則。
存取 Microsoft Purview 治理入口網站的許可權
有兩種主要方式可以存取 Microsoft Purview 治理入口網站,而且您需要下列其中一項的特定許可權:
- 若要直接在 https://web.purview.azure.com 存取您的 Microsoft Purview 治理入口網站,您在Microsoft Purview 資料對應中的集合上至少需要讀者角色。
- 若要透過Azure 入口網站存取您的 Microsoft Purview 治理入口網站,請搜尋您的 Microsoft Purview 帳戶、開啟它,然後選取[開啟 Microsoft Purview 治理入口網站],您至少需要存取控制 (IAM) 下的讀者角色。
注意事項
如果您使用服務主體建立帳戶,若要能夠存取 Microsoft Purview 治理入口網站,您必須 授與根集合的使用者集合管理員許可權。
集合
集合是一種工具,Microsoft Purview 資料對應用來將資產、來源和其他成品分組到階層中,以便探索和管理存取控制。 Microsoft Purview 治理入口網站資源的所有存取都是從Microsoft Purview 資料對應中的集合進行管理。
角色
Microsoft Purview 治理入口網站會使用一組預先定義的角色來控制誰可以存取帳戶內的內容。 這些角色目前為:
- 集合管理員 - 使用者的角色,需要在 Microsoft Purview 治理入口網站中將角色指派給其他使用者,或管理集合。 集合管理員可以將使用者新增至其系統管理員所在集合上的角色。 他們也可以編輯集合、其詳細資料,以及新增子集合。 根集合上的集合管理員也會自動擁有 Microsoft Purview 治理入口網站的許可權。 如果您的 根集合管理員 需要變更,您可以 遵循下一節中的步驟。
- 資料編者 - 此角色可讓您存取資料目錄來管理資產、設定自訂分類、建立和管理詞彙,以及檢視資料資產深入解析。 資料編者可以建立、讀取、修改、移動和刪除資產。 它們也可以將批註套用至資產。
- 資料讀 取者 - 此角色提供資料資產、分類、分類規則、集合和詞彙的唯讀存取權。
- 資料來源管理員 - 可讓使用者管理資料來源和掃描的角色。 如果使用者只被授與給定資料來源上 的資料來源系統管理員 角色,他們可以使用現有的掃描規則來執行新的掃描。 若要建立新的掃描規則,也必須將使用者授與資料 讀取者 或 資料編者 角色。
- 深入解析讀取者 - 一種角色,可讓您唯讀存取集合的深入解析報表,其中深入解析讀取者也至少具有 資料讀取者 角色。 如需詳細資訊,請參閱 深入解析許可權。
- 原則作者 - 此角色可讓使用者透過 Microsoft Purview 內的資料原則應用程式來檢視、更新和刪除 Microsoft Purview 原則。
- 工作流程管理員 - 此角色可讓使用者存取 Microsoft Purview 治理入口網站中的工作流程撰寫頁面,並在具有存取權限的集合上發佈工作流程。 工作流程系統管理員只能存取撰寫,因此至少需要集合的資料讀取者許可權,才能存取 Purview 治理入口網站。
注意事項
目前,Microsoft Purview 原則作者角色不足以建立原則。 也需要 Microsoft Purview 資料來源系統管理員角色。
應將誰指派給哪個角色?
| 使用者案例 | 適當的角色 () |
|---|---|
| 我只需要尋找資產,不想編輯任何專案 | 資料讀取器 |
| 我需要編輯和管理資產的相關資訊 | 資料編者 |
| 我想要建立自訂分類 | 資料編者 或 資料來源管理員 |
| 我需要編輯商務詞彙 | 資料編者 |
| 我需要檢視資料資產深入解析,以瞭解我資料資產的治理狀態 | 資料編者 |
| 我的應用程式服務主體必須將資料推送至Microsoft Purview 資料對應 | 資料編者 |
| 我需要透過 Microsoft Purview 治理入口網站設定掃描 | 集合 或 資料編者上的資料編者 ,以及 註冊來源之資料來源管理員的資料編者。 |
| 我需要讓服務主體或群組在Microsoft Purview 資料對應中設定和監視掃描,而不允許他們存取目錄的資訊 | 資料來源管理員 |
| 我需要在 Microsoft Purview 治理入口網站中將使用者放入角色 | 集合管理員 |
| 我需要建立和發佈存取原則 | 資料來源系統管理員和原則作者 |
| 我需要在治理入口網站中為我的 Microsoft Purview 帳戶建立工作流程 | 工作流程管理員 |
| 我需要從 Microsoft Purview 中註冊的來源共用資料 | 資料讀取器 |
| 我需要在 Microsoft Purview 中接收共用資料 | 資料讀取器 |
| 我需要檢視我所屬集合的深入解析 | 深入解析讀者 或 資料編者 |
| 我需要建立或管理 自我裝載整合執行時間 (SHIR) | 資料來源管理員 |
| 我需要建立受控私人端點 | 資料來源管理員 |
注意事項
*資料編者 - 資料編者只有在被指派根集合層級的資料編者時,才可以讀取見解。 **原則的資料來源系統管理員權 限 - 資料來源系統管理員也能夠發佈資料原則。
瞭解如何使用 Microsoft Purview 治理入口網站的角色和集合
所有存取控制都是透過Microsoft Purview 資料對應中的集合來管理。 您可以在 Microsoft Purview 治理入口網站中找到集合。 在Azure 入口網站中開啟您的帳戶,然後選取 [概觀] 頁面上的 [Microsoft Purview 治理入口網站] 圖格。 從該處流覽至左側功能表上的資料對應,然後選取 [集合] 索引標籤。
建立 Microsoft Purview (先前的 Azure Purview) 帳戶時,它會以與帳戶本身同名的根集合開頭。 帳戶的建立者會自動新增為此根集合上的集合管理員、資料來源管理員、資料編者和資料讀取器,並可編輯和管理此集合。
來源、資產和物件可以直接新增至這個根集合,但其他集合也是如此。 新增集合可讓您更充分掌控可存取您帳戶中資料的人員。
所有其他使用者只有在擁有上述其中一個角色時,才能存取 Microsoft Purview 治理入口網站內的資訊或其所在群組。 這表示,當您建立帳戶時,除了建立者,只能存取或使用其 API,直到將它們 新增至集合中的一或多個上述角色為止。
只有集合管理員或透過許可權繼承,才能將使用者新增至集合。 父集合的許可權會由其子集合自動繼承。 不過,您可以選擇限制任何集合的 許可權繼承 。 如果您這樣做,其子集合將不再繼承父系的許可權,而且必須直接新增,但無法移除自動繼承自父集合的集合管理員。
您可以從與訂用帳戶相關聯的 Azure Active Directory,將角色指派給使用者、安全性群組和服務主體。
將許可權指派給您的使用者
建立 Microsoft Purview (先前的 Azure Purview) 帳戶之後,首先要做的是建立集合,並將使用者指派給這些集合中的角色。
注意事項
如果您使用服務主體建立帳戶,若要能夠存取 Microsoft Purview 治理入口網站並將許可權指派給使用者,您必須 授與根集合的使用者集合管理員許可權。
建立集合
集合可以針對您Microsoft Purview 資料對應中的來源結構進行自訂,而且可以像這些資源的組織儲存站一樣。 當您思考您可能需要的集合時,請考慮使用者將如何存取或探索資訊。 您的來源是否依部門分割? 這些部門中是否有專門的群組只需要探索一些資產? 是否有一些來源應該可供所有使用者探索?
這會通知您可能需要最有效地組織資料對應的集合和子集合。
新的集合可以直接新增至資料對應,您可以在其中從下拉式清單中選擇其父集合,也可以從父集合新增為子集合。 在資料對應檢視中,您可以看到所有依集合排序的來源和資產,並在清單中列出來源的集合。
如需詳細指示和資訊,您可以遵循我們的 指南來建立和管理集合。
集合範例
既然我們對集合、許可權及其運作方式有基本的瞭解,讓我們看看範例。
這是組織建構其資料的其中一種方式:從其根集合 (Contoso 開始,在此範例中) 集合會組織成區域,然後組織成部門和子部門。 您可以將資料來源和資產新增至這些集合的任何一個集合,以依這些區域和部門組織資料資源,並沿著這些程式列管理存取控制。 有一個子部門 Revenue 具有嚴格的存取指導方針,因此必須嚴格管理許可權。
資料讀取者角色可以存取目錄內的資訊,但無法管理或編輯它。 因此,針對上述範例,將資料讀取器許可權新增至根集合上的群組,並允許繼承,將會為該群組中的所有使用者授與Microsoft Purview 資料對應中來源和資產的讀取者許可權。 這可讓該群組中的每個人都可以探索但無法編輯這些資源。 限制 收益群組上的繼承將可控制對這些資產的存取。 需要存取營收資訊的使用者可以分別新增至 Revenue 集合。 同樣地,使用資料編者和資料來源管理員角色,這些群組的許可權會從指派這些群組的集合開始,並逐漸流向未限制繼承的子集合。 以下我們已在 Americas 子集合的集合層級指派數個群組的許可權。
將使用者新增至角色
角色指派是透過集合來管理。 只有具有 集合系統管理員角色 的使用者可以將許可權授與其他集合使用者。 需要新增許可權時,集合系統管理員會存取 Microsoft Purview 治理入口網站、流覽至資料對應,然後選取 [集合] 索引標籤,然後選取需要新增使用者的集合。 從 [角色指派] 索引標籤,他們將能夠新增和管理需要許可權的使用者。
如需完整指示,請參閱 新增角色指派的操作指南。
系統管理員變更
您可能需要變更 根集合管理員 ,或需要在應用程式建立帳戶之後新增系統管理員。 根據預設,建立帳戶的使用者會自動將集合管理員指派給根集合。 若要更新根集合管理員,有四個選項:
您可以在下Azure 入口網站中管理根集合管理員:
- 登入Azure 入口網站並搜尋您的 Microsoft Purview 帳戶。
- 從 Microsoft Purview 帳戶頁面的左側功能表中選取 [ 根集合 許可權]。
- 選 取 [新增根集合管理員 ] 以新增系統管理員。
![Azure 入口網站中 Microsoft Purview 帳戶頁面的螢幕擷取畫面,其中已選取 [根集合許可權] 頁面,並醒目提示 [新增根集合管理員] 選項。](media/catalog-permissions/root-collection-admin.png)
- 您也可以在 Microsoft Purview 治理入口網站中選取 [檢視要移至根 集合的所有根集合 管理員]。
您可以 透過 Microsoft Purview 治理入口網站指派許可權 ,如同您對任何其他角色的許可權一樣。
您可以使用 REST API 來新增集合管理員。 您可以在我們的 REST API for collections 檔中找到使用 REST API 來新增集合管理員的指示。 如需其他資訊,您可以查看我們的 REST API 參考。
您也可以使用 下列 Azure CLI 命令。 object-id 是選擇性的。 如需詳細資訊和範例,請參閱 CLI 命令參考頁面。
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
後續步驟
既然您已基本瞭解集合和存取控制,請遵循下列指南來建立和管理這些集合,或開始將來源註冊到您的Microsoft Purview 資料對應。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應