Freigeben über

Architekturen und bewährte Methoden für Microsoft Purview-Domänen und -Sammlungen

  • Artikel

Im Kern der einheitlichen Governancelösungen von Microsoft Purview ist die Data Map ein Dienst, der eine aktuelle Zuordnung von Ressourcen und deren Metadaten in Ihrem gesamten Datenbestand speichert. Um die Datenzuordnung zu optimieren, müssen Sie Ihre Datenquellen registrieren und überprüfen. In einem organization kann es Tausende von Datenquellen geben, die entweder von zentralisierten oder dezentralisierten Geschäftseinheiten, Teams und Umgebungen verwaltet und verwaltet werden. Um dies zu verwalten, können Sie Domänen und Sammlungen in Microsoft Purview verwenden.

Hinweis

Die Empfehlungen zu bewährten Methoden in diesem Artikel gelten für Microsoft Purview-Konten, die ein Konto auf Mandantenebene (https://purview.microsoft.com) verwenden.

Domänen

In Microsoft Purview sind Domänen grundlegende Elemente der Data Map und stellen eine Hierarchie der obersten Ebene innerhalb eines Microsoft Purview-Kontos dar. Sie ermöglichen die Trennung von Zuständigkeiten, eine effektive organization und die Verwaltung der Datengovernance innerhalb der organization insbesondere dann, wenn Es Tochtergesellschaften oder Geschäftseinheiten gibt, die unabhängig arbeiten, aber einen gemeinsamen Entra ID-Mandanten verwenden. Durch die Verwendung von Domänen können Organisationen mehrere Funktionen erreichen, darunter:

  • Organisation: Domänen helfen bei der logischen Gruppierung von Ressourcen wie Datenquellen, Ressourcen, Überprüfungen und sicherheitsbezogenen Ressourcen, die zu einer Geschäftseinheit oder Region gehören.
  • Delegierung: Domänen sind eine Hierarchie oberhalb von Sammlungen, die es Microsoft Purview-Administratoren ermöglicht, bestimmte administrative Aufgaben an Teilmengen von Komponenten innerhalb der Microsoft Purview-Datengovernance für bestimmte Geschäftseinheiten oder Unterorganisationen zu delegieren.
  • Sicherheit: Durch die Isolierung von Objekten innerhalb von Domänen können Administratoren gezielte Sicherheitsmaßnahmen implementieren und den Zugriff effektiver steuern. Beispielsweise können Ressourcen wie Verbindungen, Anmeldeinformationen und Richtlinien für eine bestimmte Domäne spezifisch und sichtbar sein.
  • Lebenszyklusverwaltung: Domänen erleichtern die Trennung von Entwicklungs-, Test-, QA-, Präproduktions- und Produktionsressourcen innerhalb desselben Mandanten.
  • Isolation von Ressourcen: Domänen helfen, Ressourcen aufgrund regionaler, rechtlicher oder behördlicher Anforderungen zu isolieren.

Auflistungen

Sammlungen in Microsoft Purview unterstützen die organisatorische oder unterorganische Zuordnung von Metadaten. Mithilfe von Sammlungen können Sie Datenquellen, Überprüfungen und Ressourcen innerhalb einer Geschäftseinheit in einer Hierarchie anstelle einer flachen Struktur verwalten und verwalten. Sammlungen ermöglichen es Ihnen, ein benutzerdefiniertes hierarchisches Modell Ihrer Datenlandschaft basierend darauf zu erstellen, wie Ihre organization Plant, Microsoft Purview zum Steuern Ihrer Daten zu verwenden.

Eine Sammlung bietet auch eine Sicherheitsgrenze für Ihre Metadaten in der Data Map. Der Zugriff auf Sammlungen, Datenquellen und Metadaten wird basierend auf der Auflistungshierarchie in Microsoft Purview nach einem Modell mit den geringsten Rechten eingerichtet und verwaltet:

  • Benutzer haben die Mindestmenge an Zugriff, die sie benötigen, um ihre Aufgaben zu erledigen.
  • Benutzer haben keinen Zugriff auf vertrauliche Daten, die sie nicht benötigen.

Grundlegendes zur Beziehung

  • Domänen sind strategischer und richtlinienorientierter, während Sammlungen operativer und zugriffsorientierter sind. In einem großen organization im Gesundheitswesen mit mehreren Segmenten wie Krankenhäusern, Kliniken, Forschung und Verwaltung können beispielsweise alle unter demselben Microsoft Entra ID Mandanten, Domänen und Sammlungen wie folgt definiert werden:
    • Domänen: Die organization erstellt Domänen für jedes Segment. Diese Domänen sind strategisch und richtlinienorientiert, d. h., sie definieren allgemeine Governancerichtlinien, Complianceanforderungen und Datenverwaltungsstrategien für jedes Segment. Für instance kann der Bereich Krankenhäuser Richtlinien im Zusammenhang mit dem Datenschutz und den Vorschriften für das Gesundheitswesen enthalten, während sich der Bereich Forschung auf Vereinbarungen zur Datenfreigabe und ethische Richtlinien für klinische Studien konzentrieren kann. Jede Domäne kann über eigene Anmeldeinformationen, Überprüfungsregeln, Richtlinien und Verbindungen sowie Über Sammlungen, Datenquellen, Überprüfungen und Ressourcen verfügen, die für Benutzer und Administratoren in anderen Domänen nicht sichtbar sind.
    • Sammlungen: Innerhalb der Domäne "Krankenhäuser" müssen mehrere operative Aufgaben verwaltet werden. Die organization erstellt Sammlungen für verschiedene Einsatzeinheiten wie Notdienste, stationäre Pflege und ambulante Dienste. Diese Sammlungen sind operativer und zugriffsorientierter, d. h., sie organisieren Datenquellen, Ressourcen und Überprüfungen spezifisch für jede Betriebseinheit. Der Zugriff auf diese Sammlungen wird basierend auf den Rollen und Zuständigkeiten der Benutzer im Segment Krankenhäuser gesteuert. So haben beispielsweise nur Mitarbeiter der Notfallabteilung Zugriff auf die Sammlung Emergency Services, während die Leiter der stationären Versorgung Zugriff auf die Sammlung stationärer Pflege haben.
  • Sammlungen können innerhalb von Domänen vorhanden sein und die auf Domänenebene festgelegten Governancerichtlinien erben.
  • In Microsoft Purview-Datengovernance verfügen Domänen und Sammlungen über unterschiedliche Funktionen. Ein Konto kann über eine Standarddomäne und bis zu vier benutzerdefinierte Domänen verfügen. Jede Domäne kann über eine eigene Sammlungshierarchie verfügen.
  • Ein Benutzer, der die Rolle Purview-Administratoren angehört, kann Domänen erstellen und verwalten und den Zugriff auf jede Geschäftseinheit delegieren, um ihre eigenen Domänen zu verwalten, indem er zugriff als Purview Domain Manager-Rolle gewährt.

Definieren einer Hierarchie

Entwurfsempfehlungen

  • Beginnen Sie mit dem Entwerfen Ihrer Domänen- und Sammlungsarchitektur basierend auf den gesetzlichen Anforderungen Ihrer organization, den Sicherheitsanforderungen unter Berücksichtigung der Datenverwaltung und der Governancestruktur Ihrer organization. Lesen Sie die empfohlenen Archetypen in diesem Artikel.

  • Berücksichtigen Sie die Sicherheits- und Zugriffsverwaltung als Teil Ihres Entwurfsentscheidungsprozesses, wenn Sie Domänen und Sammlungen in Microsoft Purview erstellen.

  • Beginnen Sie mit der Standarddomäne und erstellen Sie die Sammlungshierarchie innerhalb der Standarddomäne. Verwenden Sie zusätzliche Domänen, wenn Sie eine der folgenden Anforderungen haben:

    • Sie müssen Produktions- und Nicht-Prod-Umgebungen unter demselben Mandanten erstellen.

    • Sie verfügen über mehrere Regionen und müssen Ressourcen logisch trennen und Zuständigkeiten auf diese Regionen verteilen.

    • Ihr organization verfügt über mehrere Unternehmen oder Geschäftseinheiten unter demselben Mandanten und muss Ressourcen trennen und Verwaltung und Zuständigkeiten trennen.

  • Jede Domäne oder Sammlung verfügt über ein Name-Attribut und ein Anzeigenamen-Attribut. Wenn Sie das Microsoft Purview-Governanceportal verwenden, um eine Domäne oder Sammlung bereitzustellen, weist das System automatisch einen zufälligen, aus sechs Buchstaben bestehenden Namen zu, um Duplizierungen zu vermeiden.

  • Derzeit kann ein Domänen- oder Sammlungsname bis zu 36 Zeichen enthalten, und ein Anzeigename der Sammlung kann bis zu 100 Zeichen enthalten.

  • Wenn möglich, vermeiden Sie es, Ihre Organisationsstruktur in eine tief geschachtelte Sammlungshierarchie zu duplizieren. Wenn Sie dies nicht vermeiden können, stellen Sie sicher, dass Sie für jede Sammlung in der Hierarchie unterschiedliche Namen verwenden, um die Auflistungen leicht zu unterscheiden.

  • Automatisieren Sie die Bereitstellung von Domänen und Sammlungen mithilfe der API, wenn Sie domänen und Sammlungen und Rollenzuweisungen in einem Massenvorgang bereitstellen möchten.

  • Verwenden Sie einen dedizierten Dienstprinzipalnamen (SPN), um Vorgänge für Data Map zum Verwalten von Domänen, Sammlungen und Rollenzuweisungen mithilfe der API auszuführen. Die Verwendung eines SPN reduziert die Anzahl der Benutzer mit erhöhten Rechten und folgt den Richtlinien der geringsten Rechte.

Überlegungen zum Entwurf

  • Domänen sind nur für Microsoft Purview-Konten verfügbar, die ein Konto auf Mandantenebene verwenden (https://purview.microsoft.com).

  • Beachten Sie, dass ein Microsoft Purview-Konto derzeit zusätzlich zur Standarddomäne bis zu vier Domänen haben kann. Im Rahmen der Konsolidierung Ihrer aktuellen Microsoft Purview-Konten werden die Inhalte vorhandener Datenzuordnungen, einschließlich Sammlungen, Datenquellen, Ressourcen und Überprüfungen, in eine neue Domäne migriert.

  • Erstellen Sie eine neue Domäne, wenn Sie planen, ein neues organization in Ihrem Mandanten zu integrieren, dass eine andere gesetzliche Anforderung besteht.

  • Die folgenden Ressourcen werden auf Mandantenebene bereitgestellt und in allen Domänen sichtbar:

    • Typedefs
    • Verwaltete Attribute
    • Glossarbegriffe
    • Klassifizierungen und Klassifizierungsregeln
    • Metamodel
    • Integrationslaufzeiten
    • Workflows

  • Domänen ermöglichen die Trennung der folgenden Ressourcen:

    • Anmeldeinformationen
    • Sicherheitsverbindungen
    • Benutzerdefinierte Überprüfungsregelsätze
    • Erweiterte Ressourcensätze und Musterregeln
    • Richtlinien
    • ADF-Verbindungen
    • Sammlungen und alle Ressourcen, die auf eine Sammlung festgelegt werden können

  • Sammlungen ermöglichen die Trennung der folgenden Ressourcen:

    • Datenquellen
    • Scans
    • Objekte

  • Jedes Microsoft Purview-Konto wird mit einer Standarddomäne erstellt. Der Standarddomänenname entspricht dem Namen Ihres Microsoft Purview-Kontos. Die Standarddomäne kann nicht entfernt werden. Sie können jedoch den Anzeigenamen der Standarddomäne ändern.

  • Eine Auflistung kann so viele untergeordnete Auflistungen wie erforderlich enthalten. Jede Sammlung kann jedoch nur über eine Domäne und eine übergeordnete Sammlung verfügen.

  • Eine Auflistungshierarchie in einer Microsoft Purview kann bis zu 256 Sammlungen mit maximal acht Tiefenebenen unterstützen. Die Stammauflistung ist nicht enthalten.

  • Standardmäßig können Sie Datenquellen nicht mehrmals in einem einzelnen Microsoft Purview-Konto registrieren. Diese Architektur trägt dazu bei, das Risiko zu vermeiden, einer einzelnen Datenquelle unterschiedliche Zugriffssteuerungsebenen zuzuweisen. Wenn mehrere Teams die Metadaten einer einzelnen Datenquelle nutzen, können Sie die Datenquelle in einer übergeordneten Sammlung registrieren und verwalten. Anschließend können Sie unter jeder Untersammlung entsprechende Scans erstellen, sodass relevante Ressourcen unter jeder untergeordneten Sammlung angezeigt werden.

  • Herkunftsverbindungen und Artefakte werden an die Standarddomäne angefügt, auch wenn die Datenquellen in Sammlungen auf niedrigerer Ebene registriert sind.

  • Wenn Sie eine neue Überprüfung ausführen, wird die Überprüfung standardmäßig in derselben Sammlung wie die Datenquelle bereitgestellt. Sie können optional eine andere Untersammlung auswählen, um die Überprüfung auszuführen. Daher gehören die Ressourcen zur Untersammlung.

  • Sie können eine Domäne löschen, wenn sie leer ist.

  • Sie können eine Sammlung löschen, wenn sie keine Ressourcen, zugeordneten Überprüfungen, Datenquellen oder untergeordneten Sammlungen enthält.

  • Das Verschieben von Datenquellen zwischen Sammlungen ist zulässig, wenn dem Benutzer die Rolle Datenquelle Admin für die Quell- und Zielsammlungen gewährt wird.

  • Das Verschieben von Objekten zwischen Sammlungen ist zulässig, wenn dem Benutzer die Rolle Datenkurator für die Quell- und Zielsammlungen gewährt wird.

  • Um Verschiebungs- und Umbenennungsvorgänge für eine Sammlung auszuführen, lesen Sie die folgenden Empfehlungen und Überlegungen:

    1. Um eine Sammlung umzubenennen, müssen Sie Mitglied der Rolle "Sammlungsadministratoren" sein.

    2. Um eine Sammlung zu verschieben, müssen Sie Mitglied der Rolle "Sammlungsadministratoren" in den Quell- und Zielsammlungen sein.

Definieren eines Autorisierungsmodells

Microsoft Purview enthält Rollen in Microsoft Defender for Office 365 sowie Rollen, die innerhalb der Microsoft Purview-Datenebene vorhanden sind. Nachdem Sie ein Microsoft Purview-Konto bereitgestellt haben, wird automatisch eine Standarddomäne erstellt, und der Ersteller des Microsoft Purview-Kontos wird Teil der Rolle "Purview-Administratoren". Weitere Informationen zu Berechtigungen für die Microsoft Purview Data Map und Data Catalog finden Sie in der Dokumentation zu Rollen und Berechtigungen.

Entwurfsempfehlungen

  • Erwägen Sie die Implementierung des Notfallzugriffs oder einer Break-Glass-Strategie für Ihren Mandanten, damit Sie den Zugriff auf die Microsoft Purview-Standarddomäne bei Bedarf wiederherstellen können, um Sperren auf Kontoebene von Microsoft Purview zu vermeiden. Dokumentieren Sie den Prozess für die Verwendung von Notfallkonten.

  • Minimieren Sie die Anzahl von Purview-Administratoren, Domänenadministratoren und Sammlungsadministratoren. Weisen Sie maximal drei Domänenadministratorbenutzer in der Standarddomäne zu, einschließlich des SPN und Ihrer Break-Glass-Konten. Weisen Sie Ihre Sammlung Admin Rollen stattdessen der Sammlung der obersten Ebene oder den Untersammlungen zu.

  • Weisen Sie Gruppen anstelle einzelner Benutzer Rollen zu, um den Verwaltungsaufwand und Fehler bei der Verwaltung einzelner Rollen zu reduzieren.

  • Weisen Sie den Dienstprinzipal in der Stammsammlung zu Automatisierungszwecken zu.

Um die Sicherheit zu erhöhen, aktivieren Sie Microsoft Entra bedingten Zugriff mit mehrstufiger Authentifizierung für Purview-Administratoren, Domänenadministratoren und Sammlungsadministratoren, Datenquellenadministratoren und Datenkuratoren. Stellen Sie sicher, dass Notfallkonten von der Richtlinie für bedingten Zugriff ausgeschlossen sind.

Überlegungen zum Entwurf

  • Die Microsoft Purview-Zugriffsverwaltung wurde in die Datenebene und rollen in Microsoft Defender for Office 365 verschoben. Azure Resource Manager Rollen werden nicht mehr verwendet, daher sollten Sie Microsoft Purview verwenden, um Rollen zuzuweisen.

  • In Microsoft Purview können Sie Benutzern, Sicherheitsgruppen und Dienstprinzipalen (einschließlich verwalteter Identitäten) Rollen aus Microsoft Entra ID auf demselben Microsoft Entra Mandanten zuweisen, in dem das Microsoft Purview-Konto bereitgestellt wird.

  • Sie müssen Ihrem Microsoft Entra Mandanten zunächst Gastkonten als B2B-Benutzer hinzufügen, bevor Sie externen Benutzern Microsoft Purview-Rollen zuweisen können.

  • Standardmäßig erhalten Domänenadministratoren auch Datenquellenadministratoren, Datenleser und Datenkuratorrollen, damit sie Zugriff auf Das Lesen oder Ändern von Ressourcen haben.

  • Standardmäßig wird der globale Administrator als Sammlungsadministratoren für die Standarddomäne hinzugefügt.

  • Standardmäßig werden alle Rollenzuweisungen automatisch von allen untergeordneten Sammlungen geerbt. Sie können jedoch geerbte Berechtigungen für jede Sammlung außer der Stammsammlung einschränken aktivieren. Geerbte Berechtigungen einschränken entfernt die geerbten Rollen aus allen übergeordneten Sammlungen mit Ausnahme der Sammlungsadministratorrolle.

  • Für Azure Data Factory Verbindung: Um eine Verbindung mit Azure Data Factory herzustellen, müssen Sie ein Sammlungsadministrator für die Standarddomäne sein.

  • Wenn Sie eine Verbindung mit Azure Data Factory für die Herkunft herstellen müssen, weisen Sie der verwalteten Identität der Data Factory auf der Microsoft Purview-Stammsammlungsebene die Rolle Datenkurator zu. Wenn Sie Data Factory auf der Erstellungsbenutzeroberfläche mit Microsoft Purview verbinden, versucht Data Factory, diese Rollenzuweisungen automatisch hinzuzufügen. Wenn Sie über die Rolle "Sammlungsadministrator" in der Microsoft Purview-Standarddomäne verfügen, funktioniert dieser Vorgang.

Domänen- und Auflistungsarchätypen

Sie können Ihre Microsoft Purview-Domänen und -Sammlungen basierend auf zentralisierten, dezentralisierten oder hybriden Datenverwaltungs- und Governancemodellen bereitstellen. Stützen Sie diese Entscheidung auf Ihre geschäftlichen, rechtlichen und Sicherheitsanforderungen.

Diese Struktur eignet sich für Organisationen, die:

  • Sie befinden sich an einem einzigen geografischen Standort und arbeiten unter denselben gesetzlichen Anforderungen.
  • Sie verfügen über ein zentralisiertes Datenverwaltungs- und Governanceteam, in dem die nächste Ebene der Datenverwaltung in Abteilungen, Teams oder Projekte fällt.

Die Hierarchie besteht aus den folgenden Vertikalen:

Domänen:

  • Standarddomäne: Contoso

Sammlungen unter der Standarddomäne:

  • Abteilungen (eine delegierte Sammlung für jede Abteilung)
  • Teams oder Projekte (weitere Trennung basierend auf Projekten)

Es sind keine weiteren Domänen erforderlich, da es keine spezifischen geschäftlichen oder rechtlichen Anforderungen gibt, um weitere hinzuzufügen.

Freigegebene Datenquellen auf Organisationsebene werden in der Hubsammlung registriert und gescannt.

Die freigegebenen Datenquellen auf Abteilungsebene werden in den Abteilungssammlungen registriert und gescannt.

Jede Datenquelle wird in der entsprechenden Sammlung registriert und gescannt. Ressourcen werden also auch in derselben Sammlung angezeigt.

Screenshot, der das erste Beispiel für Microsoft Purview-Sammlungen zeigt.

Beispiel 2: Einzelne organization mit zentraler Verwaltung in mehreren Regionen

Dieses Szenario ist für Organisationen nützlich:

  • Die in mehreren Regionen vorhanden sind.
  • Dabei ist das Datengovernanceteam in jeder Region zentral oder dezentralisiert.
  • Datenverwaltungsteams sind an jedem geografischen Standort verteilt, und es gibt auch eine zentralisierte Verbundverwaltung.
  • Teams, die ihre eigenen Datenquellen und Ressourcen verwalten müssen

Die Domänen- und Sammlungshierarchie besteht aus den folgenden Vertikalen:

Domänen:

  • Standarddomäne: FourthCoffee

Sammlungen unter der Standarddomäne:

  • Geografische Standorte (Sammlungen auf oberster Ebene basierend auf geografischen Standorten, an denen sich Datenquellen und Datenbesitzer befinden)
  • Abteilungen (eine delegierte Sammlung für jede Abteilung)
  • Teams oder Projekte (weitere Trennung basierend auf Projekten)

In diesem Szenario verfügt jede Region über eine eigene Sammlung unter der Standarddomäne im Microsoft Purview-Konto. Datenquellen werden in den entsprechenden Sammlungen an ihren eigenen geografischen Standorten registriert und gescannt. Daher werden Objekte auch in der Sammlungshierarchie für die Region angezeigt.

Wenn Sie über zentralisierte Datenverwaltungs- und Governanceteams verfügen, können Sie ihnen Zugriff über die Standarddomäne gewähren. Wenn Sie dies tun, erhalten sie den Überblick über den gesamten Datenbestand in der Datenzuordnung. Optional kann das zentralisierte Team alle freigegebenen Datenquellen registrieren und überprüfen. Das zentralisierte Team kann auch Sicherheitsressourcen wie Anmeldeinformationen und Integration Runtimes verwalten.

Regionsbasierte Datenverwaltungs- und Governanceteams können Zugriff aus ihren entsprechenden Sammlungen erhalten.

Die freigegebenen Datenquellen auf Abteilungsebene werden in den Abteilungssammlungen registriert und gescannt.

Screenshot, der das zweite Beispiel für Microsoft Purview-Sammlungen zeigt.

Beispiel 3: Einzelne organization mit mehreren Umgebungen

Dieses Szenario kann nützlich sein, wenn Sie über einen einzelnen Mandanten für alle Arten von Produktionsumgebungen und Nicht-Prod-Umgebungen verfügen und Ressourcen so weit wie möglich isolieren müssen. Data Scientists und Data Engineers, die Daten transformieren können, um sie aussagekräftiger zu machen, können Raw- und Refine-Zonen verwalten. Sie können die Daten dann in produktions- oder kuratierte Zonen in den entsprechenden Umgebungen verschieben.

Die Domänen- und Sammlungshierarchie besteht aus den folgenden Vertikalen:

Domänen:

  • Standarddomäne: Fabrikam-Produktion
  • Benutzerdefinierte Domäne 1: Entwicklung und Test
  • Benutzerdefinierte Domäne 2: QA

Sammlungen unter jeder Domäne können einer der folgenden Vertikalen folgen:

  • Abteilungen, Teams oder Projekte (weitere Trennung basierend auf Projekten)
  • Phasen der Datentransformation (roh, angereichert, produzieren/kuratiert, Entwicklung usw.)

Data Scientists und Data Engineers können die Rolle Datenkuratoren für ihre entsprechenden Zonen übernehmen, damit sie Metadaten zusammenstellen können. Der Zugriff des Datenlesers auf die kuratierte Zone kann ganzen Datenpersonas und Geschäftsbenutzern gewährt werden.

Screenshot, der das dritte Beispiel für Microsoft Purview-Sammlungen zeigt.

Beispiel 4: Mehrere Organisationen oder Unternehmen, die denselben Entra ID-Mandanten mit dezentraler Verwaltung verwenden

Diese Option kann für Szenarien verwendet werden, in denen mehrere Unternehmen denselben Entra ID-Mandanten verwenden und jedes organization Metadaten organisieren und eigene Ressourcen verwalten muss.

Hinweis

Wenn Sie zuvor mehrere Microsoft Purview-Konten in Ihrem Mandanten hatten, wird das erste Konto, das Sie migrieren möchten, zur Standarddomäne, und Sie können die anderen Konten in separate Domänen aktualisieren.

Die Domänen- und Sammlungshierarchie besteht aus den folgenden Vertikalen:

Domänen:

  • Standarddomäne: übergeordnetes Unternehmen oder organization wie Contoso
  • Benutzerdefinierte Domäne 1: FourthCoffee
  • Benutzerdefinierte Domäne 2: Fabrikam

Sammlungen unter jeder Domäne können einer der folgenden Vertikalen folgen:

  • Abteilungen, Teams oder Projekte (weitere Trennung basierend auf Projekten)
  • Phasen der Datentransformation (roh, angereichert, produzieren/kuratiert, Entwicklung usw.)
  • Regionen innerhalb eines organization

Jede organization verfügt über eine eigene Domäne mit einer eigenen Sammlungshierarchie im Microsoft Purview-Konto. Sicherheitsressourcen werden innerhalb jeder Domäne verwaltet, und Datenquellen werden in den entsprechenden Domänen registriert und gescannt. Ressourcen werden der Untersammlungshierarchie für die jeweilige Domäne hinzugefügt.

Wenn Sie über eine zentralisierte Datenverwaltung und Governance organization verfügen, kann dies die Standarddomäne sein, sodass sie freigegebene Ressourcen wie Integrationslaufzeiten, verwaltete Attribute usw. verwalten können.

Organisations-Datenverwaltungs- und Governanceteams können je nach zentralisierter oder dezentralisierter Verwaltung in jeder Domäne Zugriff von ihren entsprechenden Sammlungen auf einer niedrigeren Ebene erhalten.

Screenshot: Viertes Beispiel für Microsoft Purview-Sammlungen

Hinweis

Eine freigegebene Nicht-Produktionsdomäne kann von mehreren Organisationen erstellt und verwendet werden, wobei jede Organisation über eine eigene Sammlung auf oberster Ebene in der Nicht-Prod-Domäne verfügt.

Zugriffsverwaltungsoptionen

Wenn Sie die Datendemokratisierung für eine gesamte organization implementieren möchten, verwenden Sie eine Domäne, und weisen Sie datenverwaltungs-, Governance- und Geschäftsbenutzern die Rolle Datenleser in der Standarddomäne zu. Weisen Sie den entsprechenden Datenverwaltungs- und Governanceteams die Rollen Datenquellen-Admin und Datenkurator auf der Untersammlungsebene zu.

Wenn Sie den Zugriff auf die Metadatensuche und -ermittlung in Ihrem organization einschränken müssen, weisen Sie die Rollen Datenleser und Datenkurator auf der jeweiligen Sammlungsebene zu. Beispielsweise könnten Sie US-Mitarbeiter so einschränken, dass sie Daten nur auf DER US-Sammlungsebene und nicht in der LATAM-Sammlung lesen können.

Erstellen Sie nur bei Bedarf zusätzliche Domänen, z. B. beim Trennen von Produktions- und Nicht-Pro-Umgebungen, das Upgrade mehrerer Konten auf ein einheitliches Konto oder mehrere Unternehmen innerhalb desselben Mandanten, die unterschiedliche Sicherheitsanforderungen haben.

Sie können eine Kombination dieser Szenarien in Ihrer Microsoft Purview-Datenzuordnung mithilfe von Domänen und Sammlungen anwenden.

Weisen Sie die Domänenadministratorrolle dem zentralisierten Datensicherheits- und -verwaltungsteam in der Standardsammlung zu. Delegieren Sie weitere Domänen oder die Sammlungsverwaltung zusätzlicher Domänen und Sammlungen auf niedrigerer Ebene an die entsprechenden Teams.

Nächste Schritte