Governancerollen und -berechtigungen in kostenlosen und Enterprise-Konto Typen
Hinweis
Der Microsoft Purview Data Catalog ändert seinen Namen in Microsoft Purview Unified Catalog. Alle Features bleiben unverändert. Die Namensänderung wird angezeigt, wenn die neue Microsoft Purview Data Governance-Benutzeroberfläche in Ihrer Region allgemein verfügbar ist. Überprüfen Sie den Namen in Ihrer Region.
Wichtig
In diesem Artikel zu Berechtigungen werden Microsoft Purview-Datengovernanceberechtigungen im neuen Microsoft Purview-Portal unter Verwendung des neuen Datenkatalogs behandelt.
- Informationen zu Governanceberechtigungen im neuen Microsoft Purview-Portal mit dem klassischen Datenkatalog finden Sie unter Governanceberechtigungen mit dem klassischen Datenkatalog.
- Allgemeine Berechtigungen im neuen Microsoft Purview-Portal finden Sie unter Berechtigungen im Portal.
- Informationen zu klassischen Risiko- und Complianceberechtigungen finden Sie in den Berechtigungen im Artikel Microsoft Purview-Complianceportal.
- Informationen zu Datengovernanceberechtigungen im klassischen Microsoft Purview-Portal finden Sie im Artikel Berechtigungen im Microsoft Purview-Governanceportal.
Microsoft Purview Data Governance verfügt über zwei Lösungen im Microsoft Purview-Portal: die Microsoft Purview Data Map und die Microsoft Purview Data Catalog. Diese Lösungen verwenden Berechtigungen auf Mandanten-/Organisationsebene, vorhandene Datenzugriffsberechtigungen und Domänen-/Sammlungsberechtigungen, um Benutzern Zugriff auf Governancetools und Datenressourcen zu gewähren. Die Art der verfügbaren Berechtigungen hängt vom Typ Ihres Microsoft Purview-Kontos ab. Sie können Ihren Kontotyp im Microsoft Purview-Portalunter einstellungen Karte und Konto überprüfen.
| Kontoart | Mandanten-/Organisationsberechtigungen | Datenzugriffsberechtigungen | Domänen- und Sammlungsberechtigungen | Data Catalog-Berechtigungen |
|---|---|---|---|---|
| Kostenlos | x | x | ||
| Unternehmen | x | x | x | x |
Weitere Informationen zu den einzelnen Berechtigungstypen finden Sie in den folgenden Leitfäden:
- Mandanten-/organization-Berechtigungen: Auf Organisationsebene zugewiesen, stellen sie allgemeine und administrative Berechtigungen bereit.
- Datenkatalogberechtigungen: Berechtigungen im Microsoft Purview Data Catalog, damit Benutzer den Katalog durchsuchen und verwalten können.
- Berechtigungen auf Domänen- und Sammlungsebene: Berechtigungen im Microsoft Purview Data Map, die Zugriff auf Datenressourcen in Microsoft Purview gewähren.
- Datenzugriffsberechtigungen : Berechtigungen, die Benutzer bereits für ihre Azure-Datenquellen haben.
Weitere Informationen zu Berechtigungen basierend auf dem Kontotyp finden Sie in den folgenden Leitfäden:
Wichtig
Bei Benutzern, die in Microsoft Entra ID neu erstellt wurden, kann es einige Zeit dauern, bis Berechtigungen weitergegeben werden, auch wenn die richtigen Berechtigungen angewendet wurden.
Rollengruppen auf Mandantenebene
Rollengruppen auf Mandantenebene werden auf Organisationsebene zugewiesen und bieten allgemeine und administrative Berechtigungen sowohl für die Microsoft Purview Data Map als auch für Data Catalog. Wenn Sie Ihr Microsoft Purview-Konto oder die Datengovernancestrategie Ihrer organization verwalten, benötigen Sie wahrscheinlich eine oder mehrere dieser Rollen.
Die derzeit verfügbaren Rollengruppen auf Mandantenebene für Governance sind:
| Rollengruppe | Beschreibung | Verfügbarkeit des Kontotyps |
|---|---|---|
| Purview-Administrator | Erstellen, Bearbeiten und Löschen von Domänen und Ausführen von Rollenzuweisungen. | Free- und Enterprise-Konten |
| Datenquellenadministratoren | Verwalten von Datenquellen und Datenscans im Microsoft Purview Data Map. | Unternehmenskonten |
| Datengovernance | Gewährt Zugriff auf Datengovernancerollen in Microsoft Purview. | Free- und Enterprise-Konten |
Eine vollständige Liste aller verfügbaren Rollen und Rollengruppen, nicht nur für Datengovernance, finden Sie unter Rollen und Rollengruppen im Microsoft Defender XDR- und Microsoft Purview-Portal.
Zuweisen und Verwalten von Rollengruppen
Wichtig
Um Rollen in Microsoft Purview zuweisen zu können, muss einem Benutzer die Rollenverwaltungsrolle zugewiesen werden.
Um Rollen in Microsoft Purview zuzuweisen und zu verwalten, befolgen Sie die Anleitung zu Berechtigungen in Microsoft Purview.
Data Catalog-Berechtigungen
Die Microsoft Purview Data Catalog verwendet auch drei Berechtigungsebenen, um Benutzern den Zugriff auf Informationen im Datenkatalog zu ermöglichen:
- Datengovernance: Eine Rollengruppe auf Mandanten-/Organisationsebene, die über die Rolle Data Governance Admin verfügt. Diese Rolle delegiert die erste Zugriffsebene für Governancedomänenersteller. (Diese Rolle wird nicht im Datenkatalog angezeigt, sondern wirkt sich auf Ihre Fähigkeit aus, Berechtigungen im Datenkatalog zuzuweisen.)
- Berechtigungen auf Katalogebene : Berechtigungen, um Governancedomänen Besitz und Zugriff auf die Integritätsverwaltung zu gewähren.
- Berechtigungen auf Governancedomänenebene : Berechtigungen für den Zugriff auf und die Verwaltung von Ressourcen innerhalb bestimmter Governancedomänen.
Berechtigungen auf Katalogebene
Berechtigungen, die für den Datenkatalog selbst zugewiesen sind und nur allgemeinen Zugriff bieten.
| Rolle | Beschreibung | App |
|---|---|---|
| Ersteller der Governancedomäne | Erstellt Domänen und delegiert Governancedomänenbesitzer (oder bleibt standardmäßig Besitzer der Governancedomäne) | Datenkatalog |
| Datenintegritätsbesitzer | Erstellen, Aktualisieren und Lesen von Artefakten in der Integritätsverwaltung. | Integritätsverwaltung |
| Datenintegritätsleser | Kann Artefakte in der Integritätsverwaltung lesen. | Integritätsverwaltung |
Zuweisen von Rollen auf Katalogebene
Wichtig
Um Rollen in Microsoft Purview zuweisen zu können, muss ein Benutzer ein Datengovernanceadministrator auf Mandanten-/organization-Ebene sein.
- Wählen Sie im Microsoft Purview-PortalEinstellungen aus.
- Wählen Sie unter Projektmappeneinstellungendie Option Data Catalog aus.
- Wählen Sie Rollen und Berechtigungen aus.
- Wählen Sie Governancedomänenersteller oder das Symbol "Benutzer hinzufügen" einer anderen Rolle aus.
- Suchen Sie den Benutzer, den Sie hinzufügen möchten.
- Wählen Sie den Benutzer aus.
- Klicken Sie auf Speichern.
Berechtigung auf Governancedomänenebene
Tipp
Der Besitzer der Governancedomäne ist wichtig, an eine Person zu delegieren, die Datengovernance oder den Datenkatalog ausführt, da es eine wichtige Rolle ist, um mit dem Erstellen von Governancedomänen, Datenprodukten, Glossarbegriffen usw. beginnen zu können. Es wird empfohlen, mindestens zwei Personen als Governancedomänenbesitzer zugewiesen zu haben.
Governancedomänenberechtigungen bieten Zugriff innerhalb einer bestimmten Governancedomäne und sollten Datenexperten und Geschäftsbenutzern gewährt werden, um Objekte innerhalb der Governancedomäne zu lesen und zu verwalten.
Dies sind die Derzeit im Microsoft Purview Data Catalog verfügbaren Governancedomänenrollen:
| Rolle | Beschreibung |
|---|---|
| Governancedomänenbesitzer | Möglichkeit, alle anderen Governancedomänenberechtigungen zu delegieren, Warnungen zur Datenqualitätsüberprüfung zu konfigurieren und Zugriffsrichtlinien auf Domänenebene festzulegen. |
| Governancedomänenleser | Fähigkeit, Governancedomänen zu lesen und deren Metadaten und Funktionen zu überwachen. |
| Data Steward* | Erstellen, Aktualisieren und Lesen von Artefakten und Richtlinien in ihrer Governancedomäne. Kann auch Artefakte aus anderen Governancedomänen lesen. |
| Datenproduktbesitzer* | Erstellen, Aktualisieren und Lesen von Datenprodukten nur innerhalb ihrer Governancedomäne. Kann Artefakte aus anderen Domänen lesen, um Beziehungen zwischen den Konzepten aufzubauen. |
| Datenkatalogleser | Lesen Sie alle veröffentlichten Konzepte in den Katalog in allen Domänen. |
| Data Quality Stewards | Datenqualitätsfeatures wie Data Quality-Regelverwaltung, Datenqualitätsüberprüfung, Durchsuchen von Datenqualitätserkenntnissen, Datenqualitätsplanung, Auftragsüberwachung, Konfigurieren von Schwellenwerten und Warnungen. |
| Data Quality Reader | Durchsuchen Sie alle Datenqualitätserkenntnisse, Die Definition von Datenqualitätsregeln und Datenqualitätsfehlerdateien. Diese Rolle kann keine Datenqualitätsüberprüfung und keinen Datenprofilerstellungsauftrag ausführen, und diese Rolle hat keinen Zugriff auf Erkenntnisse auf Spaltenebene der Datenprofilerstellung als Erkenntnisse auf Spaltenebene. |
| Data Quality-Metadatenleser | Durchsuchen Von Erkenntnissen zur Datenqualität (mit Ausnahme von Erkenntnissen zur Profilerstellungsergebnisse auf Spaltenebene), datenqualitätsregeldefinition und Bewertungen auf Regelebene. Diese Rolle hat keinen Zugriff auf Fehlerdatensätze und kann keine Profilerstellung und DQ-Überprüfungsaufträge ausführen. |
| Datenprofil-Steward | Führen Sie Datenprofilerstellungsaufträge aus, und haben Sie Zugriff auf Details zur Profilerstellung. Diese Rolle kann auch alle Erkenntnisse zur Datenqualität durchsuchen und Profilerstellungsaufträge überwachen. Diese Rolle kann keine Regeln erstellen und keine Datenqualitätsüberprüfung ausführen. |
| Datenprofilleser | Diese Rolle verfügt über erforderliche Berechtigungen zum Durchsuchen aller Erkenntnisse zur Datenqualität und kann einen Drilldown der Profilerstellungsergebnisse ausführen, um die Statistiken auf Spaltenebene zu durchsuchen. |
Hinweis
*Um einem Datenprodukt Datenressourcen hinzufügen zu können, benötigen Datenproduktbesitzer und Data Stewards auch Data Map-Berechtigungen , um diese Datenassets in der Datenzuordnung zu lesen.
Zuweisen von Governancedomänenrollen
Wichtig
Um Rollen in Microsoft Purview zuzuweisen, muss ein Benutzer ein Governancedomänenbesitzer in der Governancedomäne sein. Diese Rolle wird von Datengovernanceadministratoren oder Governancedomänenerstellern zugewiesen.
Governancedomänenrollen werden auf der Registerkarte Rollen in einer Governancedomäne zugewiesen. Weitere Informationen finden Sie unter Verwalten von Governancedomänen.
Berechtigungen zum Durchsuchen des vollständigen Datenkatalogs
Es sind keine spezifischen Berechtigungen im Datenkatalog erforderlich, um den Datenkatalog durchsuchen zu können. Beim Durchsuchen des Datenkatalogs werden jedoch nur relevante Datenressourcen zurückgegeben, die Sie in der Datenzuordnung anzeigen können.
Benutzer können eine Datenressource im Datenkatalog finden, wenn:
- Der Benutzer durchsucht Datenprodukte in einer Governancedomäne, in der er über Katalogleseberechtigungen verfügt.
- Der Benutzer verfügt mindestens über Leseberechtigungen für eine verfügbare Azure- oder Microsoft Fabric-Ressource.
- Der Benutzer verfügt über Datenleserberechtigungen für eine Domäne oder Sammlung im Microsoft Purview Data Map, in dem das Medienobjekt gespeichert ist.
Berechtigungen für diese Ressourcen werden auf Ressourcenebene bzw. auf Microsoft Purview Data Map Ebene verwaltet. Weitere Informationen zum Gewähren dieses Zugriffs erhalten Sie unter den bereitgestellten Links.
Tipp
Wenn Ihr Datenkatalog gut kuratiert ist, sollten tägliche Geschäftsbenutzer nicht den vollständigen Katalog durchsuchen müssen. Sie sollten in der Lage sein, die benötigten Daten in Datenprodukten zu finden. Weitere Informationen zum Einrichten des Datenkatalogs finden Sie unter Erste Schritte mit dem Datenkatalog und bewährte Methoden für Den Datenkatalog.
Welche Datenkatalogberechtigungen benötige ich?
| Element | Aktion | Data Governance-Administrator | Ersteller der Governancedomäne | Governancedomänenbesitzer | Datenkatalogleser | Data Steward | Datenproduktbesitzer | Datenintegritätsbesitzer | Datenintegritätsleser | Data Quality Steward | Data Quality Reader |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Anwendungsrollenzuweisungen | Lesen | x | x | ||||||||
| Bearbeiten | x | x | |||||||||
| Governancedomänen | Lesen | x | x | x | x | x | x | ||||
| Bearbeiten | x | x | |||||||||
| Datenprodukte | Lesen | x | x | x | x | x | |||||
| Bearbeiten | x | ||||||||||
| Integritätselemente | Lesen | x | x | ||||||||
| Bearbeiten | x | ||||||||||
| Data Quality-Elemente | Lesen | x | x | x | |||||||
| Bearbeiten | x | ||||||||||
| Datenzugriffsrichtlinien | Lesen | x | x | x | x | ||||||
| Bearbeiten | x | x |
Hinweis
Diese Tabelle enthält die Grundlagen, aber nicht alle Rollen und nicht alle Szenarien für jede Rolle. Ausführliche Informationen finden Sie in der vollständigen Liste der Rollen.
Datenkatalogrollen
Hier ist die vollständige Liste aller Rollen, die für den Zugriff auf und die Verwaltung der Microsoft Purview Data Catalog verwendet werden.
| Rolle | Beschreibung | Berechtigungsstufe | Verfügbare Aktionen |
|---|---|---|---|
| Data Governance-Administrator | Delegiert die erste Zugriffsebene für Governancedomänenersteller und andere Berechtigungen auf Anwendungsebene. | Mandant/organization | roleassignment/read, roleassignment/write |
| Ersteller der Governancedomäne | Erstellt Domänen und delegiert den Governancedomänenbesitzer (oder bleibt standardmäßig Governancedomänenbesitzer). | Application | businessdomain/read, businessdomain/write |
| Governancedomänenbesitzer | Möglichkeit, alle anderen Governancedomänenberechtigungen zu delegieren, Warnungen zur Datenqualitätsüberprüfung zu konfigurieren und Zugriffsrichtlinien auf Domänenebene festzulegen. | Governancedomäne | roleassignment/read, roleassignment/write, businessdomain/read, businessdomain/write, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/ dataproductpolicy/read, dataaccess/glossarytermpolicy/read |
| Datenkatalogleser | Möglichkeit zum Lesen aller veröffentlichten Domänen, Datenprodukte, Richtlinien und OKRs. | Governancedomäne | roleassignment/read, businessdomain/read, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/glossarytermpolicy/read |
| Data Steward | Erstellen, Aktualisieren und Lesen kritischer Datenelemente, Glossarbegriffe, OKRs und Richtlinien innerhalb ihrer Governancedomäne. Sie können auch Beziehungen mit Konzepten in anderen Governancedomänen lesen und aufbauen. | Governancedomäne | roleassignment/read, businessdomain/read, dataquality/observer/write, dataproduct/read, data product/curate, glossaryterm/read, glossaryterm/write, okr/read, okr/write, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read, dataaccess/glossarytermpolicy/write |
| Datenproduktbesitzer | Erstellen, Aktualisieren und Lesen von Datenprodukten nur innerhalb ihrer Governancedomäne. Sie können auch Beziehungen mit Konzepten in Governancedomänen lesen und aufbauen. | Governancedomäne | roleassignment/read, businessdomain/read, dataproduct/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read |
| Datenintegritätsbesitzer | Erstellen, Aktualisieren und Lesen von Artefakten in der Integritätsverwaltung. | Application | datahealth/read, datahealth/write |
| Datenintegritätsleser | Kann Artefakte in der Integritätsverwaltung lesen. | Application | datahealth/read |
| Data Quality Stewards | Datenqualitätsfeatures wie Data Quality-Regelverwaltung, Datenqualitätsüberprüfung, Durchsuchen von Datenprofilerstellung und Datenqualitätserkenntnissen, Datenqualitätsplanung, Auftragsüberwachung, Konfigurieren von Schwellenwerten und Warnungen. | Governancedomäne | businessdomain/read, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute/action, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataquality/connection/write, dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/observer/read, dataquality/observer/write, dataquality/observer/write, dataquality/observer/observer/ execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read, dataquality/history/ruleerrorfile/read, dataquality/history/ruleerrorfile/delete, dataquality/history/delete, dataproduct/read, glossaryterm/read |
| Data Quality Reader | Durchsuchen Sie alle Datenqualitätserkenntnisse und Datenqualitätsregelndefinitionen. Diese Rolle kann keine Datenqualitätsüberprüfungs- und Datenprofilerstellungsaufträge ausführen, und diese Rolle hat keinen Zugriff auf Erkenntnisse auf Spaltenebene der Datenprofilerstellung als Erkenntnisse auf Spaltenebene. | Governancedomäne | dataquality/connection/read, dataquality/observer/read, dataquality/observer/execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read |
| Datenprofilleser | Diese Rolle verfügt über erforderliche Berechtigungen zum Durchsuchen aller Profilerstellungserkenntnisse und kann einen Drilldown der Profilerstellungsergebnisse ausführen, um die Statistiken auf Spaltenebene zu durchsuchen. | Governancedomäne | dataquality/connection/read, dataquality/profile/read, dataquality/profilehistory/read |
Data Map-Berechtigungen
Domänen und Sammlungen sind Tools, die der Microsoft Purview Data Map verwendet, um Ressourcen, Quellen und andere Artefakte in einer Hierarchie zu gruppieren, um die Erkennbarkeit zu erreichen und die Zugriffssteuerung innerhalb der Microsoft Purview Data Map zu verwalten.
Domänen- und Sammlungsberechtigungen
Die Microsoft Purview Data Map verwendet eine Reihe vordefinierter Rollen, um zu steuern, wer auf was innerhalb des Kontos zugreifen kann. Diese Rollen sind derzeit:
- Domänenadministrator (nur Domänenebene ): Kann Berechtigungen innerhalb einer Domäne zuweisen und deren Ressourcen verwalten.
- Sammlungsadministrator : Eine Rolle für Benutzer, die anderen Benutzern im Microsoft Purview-Governanceportal Rollen zuweisen oder Sammlungen verwalten müssen. Sammlungsadministratoren können Benutzer rollen in Sammlungen hinzufügen, in denen sie Administratoren sind. Sie können auch Sammlungen und deren Details bearbeiten und Untersammlungen hinzufügen. Ein Sammlungsadministrator für die Stammsammlung verfügt auch automatisch über die Berechtigung für das Microsoft Purview-Governanceportal. Wenn Ihr Stammsammlungsadministrator jemals geändert werden muss, können Sie die Schritte im folgenden Abschnitt ausführen.
- Datenkuratoren : Eine Rolle, die Zugriff auf den Datenkatalog ermöglicht, um Ressourcen zu verwalten, benutzerdefinierte Klassifizierungen zu konfigurieren, Glossarbegriffe zu erstellen und zu verwalten und Erkenntnisse zur Datenbestände anzuzeigen. Datenkuratoren können Objekte erstellen, lesen, ändern, verschieben und löschen. Sie können auch Anmerkungen auf Ressourcen anwenden.
- Datenleser : Eine Rolle, die schreibgeschützten Zugriff auf Datenassets, Klassifizierungen, Klassifizierungsregeln, Sammlungen und Glossarbegriffe bietet.
- Datenquellenadministrator : Eine Rolle, die es einem Benutzer ermöglicht, Datenquellen und Überprüfungen zu verwalten. Wenn einem Benutzer nur die Rolle "Datenquellenadministrator " für eine bestimmte Datenquelle zugewiesen wird, kann er neue Überprüfungen mithilfe einer vorhandenen Überprüfungsregel ausführen. Um neue Überprüfungsregeln zu erstellen, muss dem Benutzer auch die Rolle Datenleser oder Datenkurator zugewiesen werden.
- Insights-Leser : Eine Rolle, die schreibgeschützten Zugriff auf Insights-Berichte für Sammlungen bietet, in denen der Leser von Erkenntnissen auch mindestens die Rolle "Datenleseberechtigter " besitzt. Weitere Informationen finden Sie unter Insights-Berechtigungen.
- Richtlinienautor : Eine Rolle, die es einem Benutzer ermöglicht, Microsoft Purview-Richtlinien über die Datenrichtlinien-App in Microsoft Purview anzuzeigen, zu aktualisieren und zu löschen.
- Workflowadministrator : Eine Rolle, die es einem Benutzer ermöglicht, auf die Workflowerstellungsseite im Microsoft Purview-Governanceportal zuzugreifen und Workflows in Sammlungen zu veröffentlichen, in denen er über Zugriffsberechtigungen verfügt. Der Workflowadministrator hat nur Zugriff auf die Erstellung und benötigt daher mindestens die Datenleseberechtigung für eine Sammlung, um auf das Purview-Governanceportal zugreifen zu können.
Hinweis
Derzeit reicht die Microsoft Purview-Richtlinienautorrolle nicht aus, um Richtlinien zu erstellen. Die Rolle "Microsoft Purview-Datenquellenadministrator" ist ebenfalls erforderlich.
Wichtig
Dem Benutzer, der das Konto erstellt hat, wird automatisch ein Domänenadministrator für die Standarddomäne und ein Sammlungsadministrator für die Stammsammlung zugewiesen.
Hinzufügen von Rollenzuweisungen
Öffnen Sie die Microsoft Purview Data Map.
Wählen Sie die Domäne oder Sammlung aus, der Bzw. der Sie Ihre Rollenzuweisung hinzufügen möchten.
Wählen Sie die Registerkarte Rollenzuweisungen aus, um alle Rollen in einer Sammlung oder Domäne anzuzeigen. Rollenzuweisungen können nur von einem Sammlungs- oder Domänenadministrator verwaltet werden.
Wählen Sie Rollenzuweisungen bearbeiten oder das Personensymbol aus, um jedes Rollenmitglied zu bearbeiten.
Geben Sie in das Textfeld ein, um nach Benutzern zu suchen, die Sie dem Rollenmitglied hinzufügen möchten. Wählen Sie X aus, um Mitglieder zu entfernen, die Sie nicht hinzufügen möchten.
Wählen Sie OK aus, um Ihre Änderungen zu speichern. Die neuen Benutzer werden in der Liste der Rollenzuweisungen angezeigt.
Entfernen von Rollenzuweisungen
Wählen Sie die Schaltfläche X neben dem Namen eines Benutzers aus, um eine Rollenzuweisung zu entfernen.
Wählen Sie Bestätigen aus, wenn Sie den Benutzer sicher entfernen möchten.
Vererbung einschränken
Sammlungsberechtigungen werden automatisch von der übergeordneten Sammlung geerbt. Sie können die Vererbung von einer übergeordneten Sammlung jederzeit einschränken, indem Sie die Option geerbte Berechtigungen einschränken verwenden.
Hinweis
Derzeit können Berechtigungen aus der Standarddomäne nicht eingeschränkt werden. Alle Berechtigungen, die in der Standarddomäne zugewiesen sind, werden von den direkten Untersammlungen der Domäne geerbt.
Nachdem Sie die Vererbung eingeschränkt haben, müssen Sie Benutzer direkt zur eingeschränkten Sammlung hinzufügen, um ihnen Zugriff zu gewähren.
Navigieren Sie zu der Sammlung, in der Sie die Vererbung einschränken möchten, und wählen Sie die Registerkarte Rollenzuweisungen aus.
Wählen Sie Geerbte Berechtigungen einschränken und dann zugriff einschränken im Popupdialogfeld aus, um geerbte Berechtigungen aus dieser Sammlung und allen Untersammlungen zu entfernen. Die Berechtigungen des Sammlungsadministrators sind nicht betroffen.
Nach der Einschränkung werden geerbte Mitglieder aus den Rollen entfernt, die für den Sammlungsadministrator erwartet werden.
Wählen Sie erneut die Umschaltfläche Geerbte Berechtigungen einschränken aus, um rückgängig machen.
Tipp
Ausführlichere Informationen zu den in Sammlungen verfügbaren Rollen finden Sie in der Tabelle who should be assigned what roles (Wer sollte welche Rollen zugewiesen werden sollen ) oder im Beispiel für Sammlungen.
Datenzugriffsberechtigungen
Datenzugriffsberechtigungen sind Berechtigungen, die Benutzer bereits für ihre Azure-Datenquellen haben. Diese vorhandenen Berechtigungen gewähren auch die Berechtigung für den Zugriff auf und die Verwaltung der Metadaten für diese Quellen, abhängig von der Berechtigungsstufe:
Derzeit sind diese Features nur für einige Azure-Quellen verfügbar:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | Leser oder diese Aktionen. |
| Azure Blob Storage | Leser oder diese Aktionen. |
| Azure Data Lake Storage Gen2 | Leser oder diese Aktionen. |
| Azure-Abonnement | Lesen-Berechtigung für ein Abonnement oder diese Aktionen. |
Die Rolle leser enthält genügend Berechtigungen, aber wenn Sie eine benutzerdefinierte Rolle erstellen, müssen Ihre Benutzer diese Aktionen enthalten:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure-Abonnement | "Microsoft.Resources/subscriptions/resourceGroups/read" |
Leseberechtigungen
Benutzer, die mindestens über die Rolle Leser für verfügbare Azure-Ressourcen verfügen, können auch auf diese Ressourcenmetadaten im Free- und Enterprise-Konto-Typ zugreifen.
Benutzer können ressourcen aus diesen Quellen im Datenkatalog suchen und danach suchen und ihre Metadaten anzeigen.
Dies sind die Berechtigungen, die für die Ressourcen erforderlich sind, damit Benutzer als "Leser" betrachtet werden:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | Leser oder diese Aktionen. |
| Azure Blob Storage | Leser oder diese Aktionen. |
| Azure Data Lake Storage Gen2 | Leser oder diese Aktionen. |
| Azure-Abonnement | Lesen-Berechtigung für ein Abonnement oder diese Aktionen. |
Besitzerberechtigungen
Benutzer mit der Rolle "Besitzer" oder "Schreibberechtigungen" für verfügbare Azure-Ressourcen können auf Metadaten für diese Ressourcen in kostenlosen und Enterprise-Konto Typen zugreifen und diese bearbeiten.
Besitzer von Benutzern können Ressourcen aus diesen Quellen im Datenkatalog suchen und danach suchen und ihre Metadaten anzeigen. Sie können auch die Metadaten für diese Ressourcen aktualisieren und verwalten. Weitere Informationen zu dieser Metadaten-Zusammenstellung finden Sie in unserem Artikel zur Metadaten-Zusammenstellung.
Dies sind die Berechtigungen, die für die Ressourcen erforderlich sind, damit Benutzer als "Besitzer" betrachtet werden:
| Datenquelle | Besitzer (Berechtigung) |
|---|---|
| Azure SQL-Datenbank | "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
Berechtigungen in der kostenlosen Version
Alle Benutzer können Datenressourcen für verfügbare Quellen anzeigen, bei denen sie bereits mindestens über Leseberechtigungen verfügen. Besitzer von Benutzern können die Metadaten für verfügbare Ressourcen verwalten, bei denen sie bereits mindestens über Besitzer-/Schreibberechtigungen verfügen. Weitere Informationen finden Sie im Abschnitt Datenzugriffsberechtigungen.
Zusätzliche Berechtigungen können auch mithilfe von Rollengruppen auf Mandantenebene zugewiesen werden.
Wichtig
Bei Benutzern, die in Microsoft Entra ID neu erstellt wurden, kann es einige Zeit dauern, bis Berechtigungen weitergegeben werden, auch wenn die richtigen Berechtigungen angewendet wurden.
Berechtigungen in der Unternehmensversion
Alle Benutzer können Datenressourcen für verfügbare Quellen anzeigen, bei denen sie bereits mindestens über Leseberechtigungen verfügen. Besitzende Benutzer können die Metadaten für Ressourcen verwalten, bei denen sie bereits mindestens über Besitzer-/Schreibberechtigungen verfügen. Weitere Informationen finden Sie im Abschnitt Datenzugriffsberechtigungen.
Zusätzliche Berechtigungen können auch mithilfe von Rollengruppen auf Mandantenebene zugewiesen werden.
Berechtigungen können auch im Microsoft Purview Data Map zugewiesen werden, damit Benutzer Ressourcen in der Datenzuordnungs- oder Datenkatalogsuche durchsuchen können, auf die sie noch keinen Datenzugriff haben.
Datenkatalogberechtigungen können zugewiesen werden, um Benutzern die Berechtigung für die Datenkataloganwendung zum Erstellen ihrer Datengovernancelösungen zu erteilen.
Beispiel für den Lebenszyklus von Datenressourcen
Um zu verstehen, wie Berechtigungen zwischen der Datenzuordnung und dem Datenkatalog funktionieren, sehen wir uns den gesamten Lebenszyklus einer Azure SQL Tabelle in der Umgebung an:
| Schritt | Rolle | Rollenzuweisungsebene |
|---|---|---|
| 1. Die Azure SQL-Datenbank wird in der Data Map registriert. | Datenquellenadministrator | Data Map-Berechtigungen |
| 2. Die Azure SQL-Datenbank wird in der Data Map gescannt | Datenkurator oder Datenquellenadministrator | Data Map-Berechtigungen |
| 3. Die Azure SQL Tabelle ist kuratiert und zertifiziert | Datenkurator | Data Map-Berechtigungen |
| 4. Eine Governancedomäne wird im Microsoft Purview-Konto erstellt. | Ersteller der Governancedomäne | Rolle auf Anwendungsebene |
| 5. Ein Datenprodukt wird in der Governancedomäne erstellt. | Governancedomänenbesitzer und/oder Datenproduktbesitzer | Governance-Rolle auf Domänenebene |
| 6. Die Azure SQL Tabelle wird dem Datenprodukt als Ressource hinzugefügt. | Datenproduktbesitzer und/oder Steward | Governance-Rolle auf Domänenebene |
| 7. Dem Datenprodukt wird eine Zugriffsrichtlinie hinzugefügt. | Datenproduktbesitzer und/oder Steward | Governance-Rolle auf Domänenebene |
| 8. Ein Benutzer durchsucht den Datenkatalog und sucht nach Datenressourcen, die seinen Anforderungen entsprechen. | Ressourcenberechtigungen oder Datenleseberechtigungen | Ressourcenberechtigungen oder Data Map-Berechtigungen |
| 9. Ein Benutzer durchsucht Datenprodukte und sucht nach einem Produkt, das seinen Anforderungen entspricht | Data Catalog Reader | Rolle auf Anwendungsebene |
| 10. Ein Benutzer fordert Zugriff auf die Ressourcen im Datenprodukt an | Data Catalog Reader | Rolle auf Anwendungsebene |
| 11. Ein Benutzer zeigt Data Health Insights an, um die Integrität seines Datenkatalogs nachzuverfolgen. | Datenintegritätsleser | Rolle auf Anwendungsebene |
| 12. Ein Benutzer möchte einen neuen Bericht entwickeln, um den Fortschritt der Datenintegrität in ihrem Katalog nachzuverfolgen. | Datenintegritätsbesitzer | Rolle auf Anwendungsebene |