使用 Microsoft Purview DevOps 原則，在整個資源群組或訂用帳戶上布建系統中繼資料的存取權

發行項
08/30/2023

DevOps 原則是一種 Microsoft Purview 存取原則。它們可讓您管理已在 Microsoft Purview 中註冊資料 使用管理 之資料來源上的系統中繼資料存取權。這些原則會直接在 Microsoft Purview 治理入口網站中設定，儲存之後，資料來源會自動發佈並強制執行這些原則。 Microsoft Purview 原則只會管理 Azure AD 主體的存取權。

本操作指南涵蓋如何註冊整個資源群組或訂用帳戶，然後建立單一原則，以布建該資源群組或訂用帳戶中所有資料來源的存取權。該單一原則將涵蓋所有現有的資料來源，以及之後建立的任何資料來源。並使用 DevOps 原則動作 SQL 效能監視或 SQL 安全性稽核， (DMV 和 DMF) 布建其系統中繼資料的存取權。

必要條件

具有使用中訂用帳戶的 Azure 帳戶。免費建立帳戶。
新的或現有的 Microsoft Purview 帳戶。請遵循本快速入門手冊來建立一個。

只有這些資料來源會針對資源群組或訂用帳戶上的存取原則啟用。請 遵循下列 指南中資料來源 () 特有的必要條件一節：

Microsoft Purview 設定

在 Microsoft Purview 中註冊資料來源

您必須先在 Microsoft Purview Studio 中註冊該資料資源，才能在 Microsoft Purview 中建立資料資源的原則。您稍後會在本指南中找到與註冊資料資源相關的指示。

注意事項

Microsoft Purview 原則依賴資料資源 ARM 路徑。如果資料資源移至新的資源群組或訂用帳戶，則必須取消註冊，然後再次在 Microsoft Purview 中註冊。

設定許可權以啟用資料來源的資料使用管理

註冊資源之後，但在 Microsoft Purview 中為該資源建立原則之前，您必須設定許可權。需要一組許可權，才能啟 用資料使用管理。這適用于資料來源、資源群組或訂用帳戶。若要啟 用資料使用管理，您必須同時擁有資源的特定身分識別和存取管理 (IAM) 許可權，以及特定的 Microsoft Purview 許可權：

您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個IAM 角色組合，或 (任何父系，也就是使用 IAM 許可權繼承) ：
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取系統管理員
若要 (RBAC) 許可權設定 Azure 角色型存取控制，請遵循本指南。下列螢幕擷取畫面顯示如何存取資料資源Azure 入口網站中的 [存取控制] 區段，以新增角色指派。

注意事項

資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。檢查哪些 Azure AD 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者 角色。
如果已啟用繼承) ，您也必須擁有集合的 Microsoft Purview 資料來源 管理員角色或父集合 (。如需詳細資訊，請參閱管理 Microsoft Purview 角色指派的指南。

下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則，您必須在根集合層級取得 Microsoft Purview 中的原則作者角色：

原則作者角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
原則作者角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱在Microsoft Purview 資料對應中建立和管理集合。

注意事項

原則作者角色必須在根集合層級設定。

此外，若要在建立或更新原則主體時輕鬆搜尋 Azure AD 使用者或群組，您可以從取得 Azure AD 中的目錄讀取者許可權中獲益。這是 Azure 租使用者中使用者的常見許可權。如果沒有目錄讀取者許可權，原則作者就必須輸入資料原則主體中所包含之所有主體的完整使用者名稱或電子郵件。

設定發佈資料擁有者原則的 Microsoft Purview 許可權

如果您將 Microsoft Purview 原則作者和 資料來源系統管理員 角色指派給組織中的不同人員，資料擁有者原則允許檢查和平衡。資料擁有者原則生效之前， (資料來源系統管理員) 必須檢閱該原則，並透過發佈來明確核准。這不適用於 DevOps 或自助式存取原則，因為建立或更新這些原則時，會自動發佈這些原則。

若要發佈資料擁有者原則，您必須在根集合層級取得 Microsoft Purview 中的資料來源管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱在Microsoft Purview 資料對應中建立和管理集合。

注意事項

若要發佈資料擁有者原則，必須在根集合層級設定資料來源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資料 使用管理的資源之後，任何在根集合層級具有原則作者角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。

注意事項

任何 Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。任何 集合管理員 都可以將新的使用者指派給集合下的資料 源系統管理員 角色。將擔任 Microsoft Purview 集合系統管理員、 資料來源系統管理員或原則作者角色的使用者降到最低並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶，這類原則會在相依于特定資料來源的一段時間內停止強制執行。這項變更可能會影響安全性和資料存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。您可以前往 Microsoft Purview 帳戶 的 [存取控制 (IAM) ] 區段，然後選取 [ 角色指派]，以檢查這些許可權。您也可以使用鎖定來防止透過Resource Manager鎖定刪除 Microsoft Purview 帳戶。