Datengovernancerollen und -berechtigungen in Microsoft Purview
Wichtig
In diesem Artikel werden Microsoft Purview-Datengovernanceberechtigungen im neuen Microsoft Purview-Portal mit Unified Catalog behandelt.
- Informationen zu Governanceberechtigungen im neuen Microsoft Purview-Portal mit klassischen Data Catalog finden Sie unter Governanceberechtigungen für die klassische Data Catalog.
- Allgemeine Berechtigungen im neuen Microsoft Purview-Portal finden Sie unter Berechtigungen im Microsoft Purview-Portal.
- Informationen zu klassischen Risiko- und Complianceberechtigungen finden Sie in den Berechtigungen im Artikel Microsoft Purview-Complianceportal.
- Informationen zu Datengovernanceberechtigungen im klassischen Microsoft Purview-Portal finden Sie im Artikel Berechtigungen im Microsoft Purview-Governanceportal.
Microsoft Purview Data Governance verfügt über zwei Lösungen im Microsoft Purview-Portal: Data Map und Unified Catalog. Diese Lösungen verwenden Berechtigungen auf Mandanten-/Organisationsebene, vorhandene Datenzugriffsberechtigungen und Domänen-/Sammlungsberechtigungen, um Benutzern Zugriff auf Governancetools und Datenressourcen zu gewähren. Die Art der verfügbaren Berechtigungen hängt vom Typ Ihres Microsoft Purview-Kontos ab. Sie können Ihren Kontotyp im Microsoft Purview-Portalunter einstellungen Karte und Konto überprüfen.
| Kontoart | Mandanten-/Organisationsberechtigungen | Datenzugriffsberechtigungen | Domänen- und Sammlungsberechtigungen | Unified Catalog-Berechtigungen |
|---|---|---|---|---|
| Kostenlos | x | x | ||
| Unternehmen | x | x | x | x |
Weitere Informationen zu den einzelnen Berechtigungstypen finden Sie in den folgenden Leitfäden:
- Mandanten-/organization-Berechtigungen: Auf Organisationsebene zugewiesen, stellen sie allgemeine und administrative Berechtigungen bereit.
- Unified Catalog Berechtigungen: Berechtigungen im Microsoft Purview Unified Catalog, damit Benutzer den Katalog durchsuchen und verwalten können.
- Berechtigungen auf Domänen- und Sammlungsebene: Berechtigungen im Microsoft Purview Data Map, die Zugriff auf Datenressourcen in Microsoft Purview gewähren.
- Datenzugriffsberechtigungen : Berechtigungen, die Benutzer bereits für ihre Azure-Datenquellen haben.
Weitere Informationen zu Berechtigungen basierend auf dem Kontotyp finden Sie in den folgenden Leitfäden:
Wichtig
Bei Benutzern, die in Microsoft Entra ID neu erstellt wurden, kann es einige Zeit dauern, bis Berechtigungen weitergegeben werden, auch wenn die richtigen Berechtigungen angewendet wurden.
Rollengruppen auf Mandantenebene
Rollengruppen auf Mandantenebene werden auf Organisationsebene zugewiesen und bieten allgemeine und administrative Berechtigungen sowohl für die Microsoft Purview Data Map als auch für Unified Catalog. Wenn Sie Ihr Microsoft Purview-Konto oder die Datengovernancestrategie Ihrer organization verwalten, benötigen Sie wahrscheinlich eine oder mehrere dieser Rollen.
Die derzeit verfügbaren Rollengruppen auf Mandantenebene für Governance sind:
| Rollengruppe | Beschreibung | Verfügbarkeit des Kontotyps |
|---|---|---|
| Purview-Administrator | Erstellen, Bearbeiten und Löschen von Domänen und Ausführen von Rollenzuweisungen. | Free- und Enterprise-Konten |
| Datenquellenadministratoren | Verwalten von Datenquellen und Datenscans im Microsoft Purview Data Map. | Unternehmenskonten |
| Datengovernance | Gewährt Zugriff auf Datengovernancerollen in Microsoft Purview. | Free- und Enterprise-Konten |
Eine vollständige Liste aller verfügbaren Rollen und Rollengruppen, nicht nur für Datengovernance, finden Sie unter Rollen und Rollengruppen im Microsoft Defender XDR- und Microsoft Purview-Portal.
Zuweisen und Verwalten von Rollengruppen
Wichtig
Zum Zuweisen von Rollen in Microsoft Purview muss einem Benutzer die Rollenverwaltungsrolle zugewiesen werden.
Informationen zum Zuweisen und Verwalten von Rollen in Microsoft Purview finden Sie unter Berechtigungen in Microsoft Purview.
Unified Catalog-Berechtigungen
Die Unified Catalog verwendet auch drei Berechtigungsebenen, um Benutzern den Zugriff auf Informationen zu ermöglichen:
- Datengovernance: Eine Rollengruppe auf Mandanten-/Organisationsebene, die über die Rolle Data Governance Admin verfügt. Diese Rolle delegiert die erste Zugriffsebene für Governancedomänenersteller. (Diese Rolle wird nicht in Unified Catalog angezeigt, sondern wirkt sich auf Ihre Fähigkeit aus, Berechtigungen in Unified Catalog zuzuweisen.)
- Berechtigungen auf Katalogebene : Berechtigungen, um Governancedomänen Besitz und Zugriff auf die Integritätsverwaltung zu gewähren.
- Berechtigungen auf Governancedomänenebene : Berechtigungen für den Zugriff auf und die Verwaltung von Ressourcen innerhalb bestimmter Governancedomänen.
Berechtigungen auf Katalogebene
Berechtigungen, die für Unified Catalog selbst zugewiesen sind und nur allgemeinen Zugriff bieten.
| Rolle | Beschreibung | Anwendung |
|---|---|---|
| Ersteller der Governancedomäne | Erstellt Domänen und delegiert Governancedomänenbesitzer (oder bleibt standardmäßig Besitzer der Governancedomäne) | Unified Catalog |
| Datenintegritätsbesitzer | Erstellen, Aktualisieren und Lesen von Artefakten in der Integritätsverwaltung. | Integritätsverwaltung |
| Datenintegritätsleser | Kann Artefakte in der Integritätsverwaltung lesen. | Integritätsverwaltung |
Zuweisen von Rollen auf Katalogebene
Wichtig
Um Rollen in Microsoft Purview zuweisen zu können, muss ein Benutzer ein Datengovernanceadministrator auf Mandanten-/organization-Ebene sein.
- Wählen Sie im Microsoft Purview-PortalEinstellungen aus.
- Wählen Sie unter Projektmappeneinstellungendie Option Unified Catalog aus.
- Wählen Sie Rollen und Berechtigungen aus.
- Wählen Sie Governancedomänenersteller oder das Symbol "Benutzer hinzufügen" einer anderen Rolle aus.
- Suchen Sie den Benutzer, den Sie hinzufügen möchten.
- Wählen Sie den Benutzer aus.
- Klicken Sie auf Speichern.
Berechtigung auf Governancedomänenebene
Tipp
Der Besitzer der Governancedomäne ist wichtig, an eine Person zu delegieren, die Datengovernance oder Unified Catalog ausführt, da es eine wichtige Rolle ist, um mit dem Erstellen von Governancedomänen, Datenprodukten, Glossarbegriffen usw. beginnen zu können. Es wird empfohlen, mindestens zwei Personen als Governancedomänenbesitzer zugewiesen zu haben.
Governancedomänenberechtigungen bieten Zugriff innerhalb einer bestimmten Governancedomäne und sollten Datenexperten und Geschäftsbenutzern gewährt werden, um Objekte innerhalb der Governancedomäne zu lesen und zu verwalten.
Dies sind die Derzeit in Unified Catalog verfügbaren Governancedomänenrollen:
| Rolle | Beschreibung |
|---|---|
| Governancedomänenbesitzer | Möglichkeit, alle anderen Governancedomänenberechtigungen zu delegieren, Warnungen zur Datenqualitätsüberprüfung zu konfigurieren und Zugriffsrichtlinien auf Domänenebene festzulegen. |
| Governancedomänenleser | Fähigkeit, Governancedomänen zu lesen und deren Metadaten und Funktionen zu überwachen. |
| Data Steward* | Erstellen, Aktualisieren und Lesen von Artefakten und Richtlinien in ihrer Governancedomäne. Kann auch Artefakte aus anderen Governancedomänen lesen. |
| Datenproduktbesitzer* | Erstellen, Aktualisieren und Lesen von Datenprodukten nur innerhalb ihrer Governancedomäne. Kann Artefakte aus anderen Domänen lesen, um Beziehungen zwischen den Konzepten aufzubauen. |
| Data Catalog Leser | Lesen Sie alle veröffentlichten Konzepte in den Katalog in allen Domänen. |
| Data Quality Steward | Datenqualitätsfeatures wie Data Quality-Regelverwaltung, Datenqualitätsüberprüfung, Durchsuchen von Datenqualitätserkenntnissen, Datenqualitätsplanung, Auftragsüberwachung, Konfigurieren von Schwellenwerten und Warnungen. Data Quality Steward ist eine Unterrolle, sodass die Person auch die Rollen "Govennance-Domänenleser" und Data Catalog-Leser benötigt, um data quality stewardship-Aufgaben auszuführen. |
| Data Quality Reader | Durchsuchen Sie alle Datenqualitätserkenntnisse, Die Definition von Datenqualitätsregeln und Datenqualitätsfehlerdateien. Diese Rolle kann keine Datenqualitätsüberprüfung und keinen Datenprofilerstellungsauftrag ausführen, und diese Rolle hat keinen Zugriff auf Erkenntnisse auf Spaltenebene der Datenprofilerstellung als Erkenntnisse auf Spaltenebene. Dies ist eine Unterrolle, um diese Rolle auszuführen, benötigt die Person auch die Rollen Governancedomänenleser und Data Catalog Leser. |
| Data Quality-Metadatenleser | Durchsuchen Von Erkenntnissen zur Datenqualität (mit Ausnahme von Erkenntnissen zur Profilerstellungsergebnisse auf Spaltenebene), datenqualitätsregeldefinition und Bewertungen auf Regelebene. Diese Rolle hat keinen Zugriff auf Fehlerdatensätze und kann keine Profilerstellung und DQ-Überprüfungsaufträge ausführen. Dies ist eine Unterrolle, um diese Rolle auszuführen, benötigt die Person auch die Rollen Governancedomänenleser und Data Catalog Leser. |
| Datenprofil-Steward | Führen Sie Datenprofilerstellungsaufträge aus, und haben Sie Zugriff auf Details zur Profilerstellung. Diese Rolle kann auch alle Erkenntnisse zur Datenqualität durchsuchen und Profilerstellungsaufträge überwachen. Diese Rolle kann keine Regeln erstellen und keine Datenqualitätsüberprüfung ausführen. Dies ist eine Unterrolle, um diese Rolle auszuführen, benötigt die Person auch die Rollen Governancedomänenleser und Data Catalog Leser. |
| Datenprofilleser | Diese Rolle verfügt über erforderliche Berechtigungen zum Durchsuchen aller Erkenntnisse zur Datenqualität und kann einen Drilldown der Profilerstellungsergebnisse ausführen, um die Statistiken auf Spaltenebene zu durchsuchen. Dies ist eine Unterrolle, um diese Rolle auszuführen, benötigt die Person auch die Rollen Governancedomänenleser und Data Catalog Leser. |
Hinweis
*Um einem Datenprodukt Datenressourcen hinzufügen zu können, benötigen Datenproduktbesitzer und Data Stewards auch Data Map-Berechtigungen , um diese Datenassets in Data Map zu lesen.
Zuweisen von Governancedomänenrollen
Wichtig
Um Rollen in Microsoft Purview zuzuweisen, muss ein Benutzer ein Governancedomänenbesitzer in der Governancedomäne sein. Diese Rolle wird von Datengovernanceadministratoren oder Governancedomänenerstellern zugewiesen.
Governancedomänenrollen werden auf der Registerkarte Rollen in einer Governancedomäne zugewiesen. Weitere Informationen finden Sie unter Verwalten von Governancedomänen.
Berechtigungen zum Durchsuchen des vollständigen Unified Catalog
In Unified Catalog sind keine spezifischen Berechtigungen erforderlich, um die Unified Catalog durchsuchen zu können. Bei der Suche nach Unified Catalog werden jedoch nur relevante Datenressourcen zurückgegeben, für die Sie berechtigungen zum Anzeigen in Data Map haben.
Benutzer können eine Datenressource in Unified Catalog finden, wenn:
- Der Benutzer durchsucht Datenprodukte in einer Governancedomäne, in der er über Katalogleseberechtigungen verfügt.
- Der Benutzer verfügt mindestens über Leseberechtigungen für eine verfügbare Azure- oder Microsoft Fabric-Ressource.
- Der Benutzer verfügt über Datenleserberechtigungen für eine Domäne oder Sammlung in Data Map, in der das Medienobjekt gespeichert ist.
Berechtigungen für diese Ressourcen werden auf Ressourcenebene bzw. auf Data Map-Ebene verwaltet. Weitere Informationen zum Gewähren dieses Zugriffs erhalten Sie unter den bereitgestellten Links.
Tipp
Wenn Ihr Katalog gut zusammengestellt ist, sollten tägliche Geschäftsbenutzer nicht den vollständigen Katalog durchsuchen müssen. Sie sollten in der Lage sein, die benötigten Daten in Datenprodukten zu finden. Weitere Informationen zum Einrichten der Unified Catalog finden Sie unter Erste Schritte mit dem Unified Catalog und Unified Catalog bewährten Methoden.
Welche Unified Catalog Berechtigungen benötige ich?
| Element | Aktion | Data Governance-Administrator | Ersteller der Governancedomäne | Governancedomänenbesitzer | Datenkatalogleser | Data Steward | Datenproduktbesitzer | Datenintegritätsbesitzer | Datenintegritätsleser | Data Quality Steward | Data Quality Reader |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Anwendungsrollenzuweisungen | Read | x | x | ||||||||
| Bearbeiten | x | x | |||||||||
| Governancedomänen | Read | x | x | x | x | x | x | ||||
| Bearbeiten | x | x | |||||||||
| Datenprodukte | Read | x | x | x | x | x | |||||
| Bearbeiten | x | ||||||||||
| Integritätselemente | Read | x | x | ||||||||
| Bearbeiten | x | ||||||||||
| Data Quality-Elemente | Read | x | x | x | |||||||
| Bearbeiten | x | ||||||||||
| Datenzugriffsrichtlinien | Read | x | x | x | x | ||||||
| Bearbeiten | x | x |
Hinweis
Diese Tabelle enthält die Grundlagen, aber nicht alle Rollen und nicht alle Szenarien für jede Rolle. Ausführliche Informationen finden Sie in der vollständigen Liste der Rollen.
Unified Catalog Rollen
Hier ist die vollständige Liste aller Rollen, die für den Zugriff auf und die Verwaltung der Unified Catalog verwendet werden.
| Rolle | Beschreibung | Berechtigungsstufe | Verfügbare Aktionen |
|---|---|---|---|
| Data Governance-Administrator | Delegiert die erste Zugriffsebene für Governancedomänenersteller und andere Berechtigungen auf Anwendungsebene. | Mandant/organization | roleassignment/read, roleassignment/write |
| Ersteller der Governancedomäne | Erstellt Domänen und delegiert den Governancedomänenbesitzer (oder bleibt standardmäßig Governancedomänenbesitzer). | Application | businessdomain/read, businessdomain/write |
| Governancedomänenbesitzer | Möglichkeit, alle anderen Governancedomänenberechtigungen zu delegieren, Warnungen zur Datenqualitätsüberprüfung zu konfigurieren und Zugriffsrichtlinien auf Domänenebene festzulegen. | Governancedomäne | roleassignment/read, roleassignment/write, businessdomain/read, businessdomain/write, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/ dataproductpolicy/read, dataaccess/glossarytermpolicy/read |
| Data Catalog Leser | Möglichkeit zum Lesen aller veröffentlichten Domänen, Datenprodukte, Richtlinien und OKRs. | Governancedomäne | roleassignment/read, businessdomain/read, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/glossarytermpolicy/read |
| Data Steward | Erstellen, Aktualisieren und Lesen kritischer Datenelemente, Glossarbegriffe, OKRs und Richtlinien innerhalb ihrer Governancedomäne. Sie können auch Beziehungen mit Konzepten in anderen Governancedomänen lesen und aufbauen. | Governancedomäne | roleassignment/read, businessdomain/read, dataquality/observer/write, dataproduct/read, data product/curate, glossaryterm/read, glossaryterm/write, okr/read, okr/write, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read, dataaccess/glossarytermpolicy/write |
| Datenproduktbesitzer | Erstellen, Aktualisieren und Lesen von Datenprodukten nur innerhalb ihrer Governancedomäne. Sie können auch Beziehungen mit Konzepten in Governancedomänen lesen und aufbauen. | Governancedomäne | roleassignment/read, businessdomain/read, dataproduct/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read |
| Datenintegritätsbesitzer | Erstellen, Aktualisieren und Lesen von Artefakten in der Integritätsverwaltung. | Application | datahealth/read, datahealth/write |
| Datenintegritätsleser | Kann Artefakte in der Integritätsverwaltung lesen. | Application | datahealth/read |
| Data Quality Stewards | Datenqualitätsfeatures wie Data Quality-Regelverwaltung, Datenqualitätsüberprüfung, Durchsuchen von Datenprofilerstellung und Datenqualitätserkenntnissen, Datenqualitätsplanung, Auftragsüberwachung, Konfigurieren von Schwellenwerten und Warnungen. | Governancedomäne | businessdomain/read, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute/action, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataquality/connection/write, dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/observer/read, dataquality/observer/write, dataquality/observer/write, dataquality/observer/observer/ execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read, dataquality/history/ruleerrorfile/read, dataquality/history/ruleerrorfile/delete, dataquality/history/delete, dataproduct/read, glossaryterm/read |
| Data Quality Reader | Durchsuchen Sie alle Datenqualitätserkenntnisse und Datenqualitätsregelndefinitionen. Diese Rolle kann keine Datenqualitätsüberprüfungs- und Datenprofilerstellungsaufträge ausführen, und diese Rolle hat keinen Zugriff auf Erkenntnisse auf Spaltenebene der Datenprofilerstellung als Erkenntnisse auf Spaltenebene. | Governancedomäne | dataquality/connection/read, dataquality/observer/read, dataquality/observer/execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read |
| Data Quality-Metadatenleser | Durchsuchen Von Erkenntnissen zur Datenqualität (mit Ausnahme von Erkenntnissen zur Profilerstellungsergebnisse auf Spaltenebene), datenqualitätsregeldefinition und Bewertungen auf Regelebene. Diese Rolle hat keinen Zugriff auf Fehlerdatensätze und kann keine Profilerstellung und DQ-Überprüfungsaufträge ausführen. Dies ist eine Unterrolle, um diese Rolle auszuführen, benötigt die Person auch die Rollen Governancedomänenleser und Data Catalog Leser. | Governancedomäne | dataquality/connection/read, dataquality/observer/read, dataquality/history/scores/read, dataquality/history/ruledetails/read |
| Datenprofil-Steward | Führen Sie Datenprofilerstellungsaufträge aus, und haben Sie Zugriff auf Details zur Profilerstellung. Diese Rolle kann auch alle Erkenntnisse zur Datenqualität durchsuchen und Profilerstellungsaufträge überwachen. Diese Rolle kann keine Regeln erstellen und keine Datenqualitätsüberprüfung ausführen. Dies ist eine Unterrolle, um diese Rolle auszuführen, benötigt die Person auch die Rollen Governancedomänenleser und Data Catalog Leser. | Governancedomäne | dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/profile/read, dataquality/profile/execute/action, dataquality/profilehistory/read, dataquality/profilehistory/delete |
| Datenprofilleser | Diese Rolle verfügt über erforderliche Berechtigungen zum Durchsuchen aller Profilerstellungserkenntnisse und kann einen Drilldown der Profilerstellungsergebnisse ausführen, um die Statistiken auf Spaltenebene zu durchsuchen. | Governancedomäne | dataquality/connection/read, dataquality/profile/read, dataquality/profilehistory/read |
Data Map-Berechtigungen
Domänen und Sammlungen sind Tools, die von Data Map zum Gruppieren von Ressourcen, Quellen und anderen Artefakten in einer Hierarchie zur Auffindbarkeit und zum Verwalten der Zugriffssteuerung in Data Map verwendet werden.
Domänen- und Sammlungsberechtigungen
Data Map verwendet eine Reihe vordefinierter Rollen, um zu steuern, wer auf was innerhalb des Kontos zugreifen kann. Diese Rollen sind:
- Domänenadministrator (nur Domänenebene ): Kann Berechtigungen innerhalb einer Domäne zuweisen und deren Ressourcen verwalten.
- Sammlungsadministrator : Eine Rolle für Benutzer, die anderen Benutzern im Microsoft Purview-Governanceportal Rollen zuweisen oder Sammlungen verwalten müssen. Sammlungsadministratoren können Benutzer rollen in Sammlungen hinzufügen, in denen sie Administratoren sind. Sie können auch Sammlungen und deren Details bearbeiten und Untersammlungen hinzufügen. Ein Sammlungsadministrator für die Stammsammlung verfügt auch automatisch über die Berechtigung für das Microsoft Purview-Governanceportal. Wenn Ihr Stammsammlungsadministrator jemals geändert werden muss, können Sie die Schritte im folgenden Abschnitt ausführen.
- Datenkuratoren : Eine Rolle, die Zugriff auf die Microsoft Purview Unified Catalog zum Verwalten von Ressourcen, Konfigurieren benutzerdefinierter Klassifizierungen, Erstellen und Verwalten von Glossarbegriffen und Anzeigen von Datenbestandserkenntnissen bietet. Datenkuratoren können Objekte erstellen, lesen, ändern, verschieben und löschen. Sie können auch Anmerkungen auf Ressourcen anwenden.
- Datenleser : Eine Rolle, die schreibgeschützten Zugriff auf Datenassets, Klassifizierungen, Klassifizierungsregeln, Sammlungen und Glossarbegriffe bietet.
- Datenquellenadministrator : Eine Rolle, die es einem Benutzer ermöglicht, Datenquellen und Überprüfungen zu verwalten. Wenn einem Benutzer nur die Rolle "Datenquellenadministrator " für eine bestimmte Datenquelle zugewiesen wird, kann er neue Überprüfungen mithilfe einer vorhandenen Überprüfungsregel ausführen. Um neue Überprüfungsregeln zu erstellen, muss dem Benutzer auch die Rolle Datenleser oder Datenkurator zugewiesen werden.
- Insights-Leser : Eine Rolle, die schreibgeschützten Zugriff auf Insights-Berichte für Sammlungen bietet, in denen der Leser von Erkenntnissen auch mindestens die Rolle "Datenleseberechtigter " besitzt. Weitere Informationen finden Sie unter Insights-Berechtigungen.
- Richtlinienautor : Eine Rolle, die es einem Benutzer ermöglicht, Microsoft Purview-Richtlinien über die Datenrichtlinien-App in Microsoft Purview anzuzeigen, zu aktualisieren und zu löschen.
- Workflowadministrator : Eine Rolle, die es einem Benutzer ermöglicht, auf die Workflowerstellungsseite im Microsoft Purview-Governanceportal zuzugreifen und Workflows in Sammlungen zu veröffentlichen, in denen er über Zugriffsberechtigungen verfügt. Der Workflowadministrator hat nur Zugriff auf die Erstellung und benötigt daher mindestens die Datenleseberechtigung für eine Sammlung, um auf das Purview-Governanceportal zugreifen zu können.
Hinweis
Derzeit reicht die Microsoft Purview-Richtlinienautorrolle nicht aus, um Richtlinien zu erstellen. Die Rolle "Microsoft Purview-Datenquellenadministrator" ist ebenfalls erforderlich.
Wichtig
Dem Benutzer, der das Konto erstellt hat, wird automatisch ein Domänenadministrator für die Standarddomäne und ein Sammlungsadministrator für die Stammsammlung zugewiesen.
Hinzufügen von Rollenzuweisungen
Öffnen Sie die Microsoft Purview Data Map.
Wählen Sie die Domäne oder Sammlung aus, der Bzw. der Sie Ihre Rollenzuweisung hinzufügen möchten.
Wählen Sie die Registerkarte Rollenzuweisungen aus, um alle Rollen in einer Sammlung oder Domäne anzuzeigen. Rollenzuweisungen können nur von einem Sammlungs- oder Domänenadministrator verwaltet werden.
Wählen Sie Rollenzuweisungen bearbeiten oder das Personensymbol aus, um jedes Rollenmitglied zu bearbeiten.
Geben Sie in das Textfeld ein, um nach Benutzern zu suchen, die Sie dem Rollenmitglied hinzufügen möchten. Wählen Sie X aus, um Mitglieder zu entfernen, die Sie nicht hinzufügen möchten.
Wählen Sie OK aus, um Ihre Änderungen zu speichern. Die neuen Benutzer werden in der Liste der Rollenzuweisungen angezeigt.
Entfernen von Rollenzuweisungen
Wählen Sie die Schaltfläche X neben dem Namen eines Benutzers aus, um eine Rollenzuweisung zu entfernen.
Wählen Sie Bestätigen aus, wenn Sie den Benutzer sicher entfernen möchten.
Vererbung einschränken
Sammlungsberechtigungen werden automatisch von der übergeordneten Sammlung geerbt. Sie können die Vererbung von einer übergeordneten Sammlung jederzeit einschränken, indem Sie die Option geerbte Berechtigungen einschränken verwenden.
Hinweis
Derzeit können Berechtigungen aus der Standarddomäne nicht eingeschränkt werden. Alle Berechtigungen, die in der Standarddomäne zugewiesen sind, werden von den direkten Untersammlungen der Domäne geerbt.
Nachdem Sie die Vererbung eingeschränkt haben, müssen Sie Benutzer direkt zur eingeschränkten Sammlung hinzufügen, um ihnen Zugriff zu gewähren.
Navigieren Sie zu der Sammlung, in der Sie die Vererbung einschränken möchten, und wählen Sie die Registerkarte Rollenzuweisungen aus.
Wählen Sie Geerbte Berechtigungen einschränken und dann zugriff einschränken im Popupdialogfeld aus, um geerbte Berechtigungen aus dieser Sammlung und allen Untersammlungen zu entfernen. Die Berechtigungen des Sammlungsadministrators sind nicht betroffen.
Nach der Einschränkung werden geerbte Mitglieder aus den Rollen entfernt, die für den Sammlungsadministrator erwartet werden.
Wählen Sie erneut die Umschaltfläche Geerbte Berechtigungen einschränken aus, um rückgängig machen.
Tipp
Ausführlichere Informationen zu den in Sammlungen verfügbaren Rollen finden Sie in der Tabelle who should be assigned what roles (Wer sollte welche Rollen zugewiesen werden sollen ) oder im Beispiel für Sammlungen.
Datenzugriffsberechtigungen
Datenzugriffsberechtigungen sind Berechtigungen, die Benutzer bereits für ihre Azure-Datenquellen haben. Diese vorhandenen Berechtigungen gewähren auch die Berechtigung für den Zugriff auf und die Verwaltung der Metadaten für diese Quellen, abhängig von der Berechtigungsstufe:
Derzeit sind diese Features nur für einige Azure-Quellen verfügbar:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | Leser oder diese Aktionen. |
| Azure Blob Storage | Leser oder diese Aktionen. |
| Azure Data Lake Storage Gen2 | Leser oder diese Aktionen. |
| Azure-Abonnement | Lesen-Berechtigung für ein Abonnement oder diese Aktionen. |
Die Rolle leser enthält genügend Berechtigungen, aber wenn Sie eine benutzerdefinierte Rolle erstellen, müssen Ihre Benutzer diese Aktionen enthalten:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure-Abonnement | "Microsoft.Resources/subscriptions/resourceGroups/read" |
Leseberechtigungen
Benutzer, die mindestens über die Rolle Leser für verfügbare Azure-Ressourcen verfügen, können auch auf diese Ressourcenmetadaten im Free- und Enterprise-Konto-Typ zugreifen.
Benutzer können ressourcen aus diesen Quellen im Unified Catalog suchen und ihre Metadaten anzeigen.
Dies sind die Berechtigungen, die für die Ressourcen erforderlich sind, damit Benutzer als "Leser" betrachtet werden:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | Leser oder diese Aktionen. |
| Azure Blob Storage | Leser oder diese Aktionen. |
| Azure Data Lake Storage Gen2 | Leser oder diese Aktionen. |
| Azure-Abonnement | Lesen-Berechtigung für ein Abonnement oder diese Aktionen. |
Besitzerberechtigungen
Benutzer mit der Rolle "Besitzer" oder "Schreibberechtigungen" für verfügbare Azure-Ressourcen können auf Metadaten für diese Ressourcen in kostenlosen und Enterprise-Konto Typen zugreifen und diese bearbeiten.
Besitzer von Benutzern können Ressourcen aus diesen Quellen in Unified Catalog suchen und danach suchen und ihre Metadaten anzeigen. Sie können auch die Metadaten für diese Ressourcen aktualisieren und verwalten. Weitere Informationen zu dieser Metadaten-Zusammenstellung finden Sie in unserem Artikel zur Metadaten-Zusammenstellung.
Dies sind die Berechtigungen, die für die Ressourcen erforderlich sind, damit Benutzer als "Besitzer" betrachtet werden:
| Datenquelle | Besitzer (Berechtigung) |
|---|---|
| Azure SQL-Datenbank | "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
Berechtigungen in der kostenlosen Version
Alle Benutzer können Datenressourcen für verfügbare Quellen anzeigen, bei denen sie bereits mindestens über Leseberechtigungen verfügen. Besitzer von Benutzern können die Metadaten für verfügbare Ressourcen verwalten, bei denen sie bereits mindestens über Besitzer-/Schreibberechtigungen verfügen. Weitere Informationen finden Sie im Abschnitt Datenzugriffsberechtigungen.
Zusätzliche Berechtigungen können auch mithilfe von Rollengruppen auf Mandantenebene zugewiesen werden.
Wichtig
Bei Benutzern, die in Microsoft Entra ID neu erstellt wurden, kann es einige Zeit dauern, bis Berechtigungen weitergegeben werden, auch wenn die richtigen Berechtigungen angewendet wurden.
Berechtigungen in der Unternehmensversion
Alle Benutzer können Datenressourcen für verfügbare Quellen anzeigen, bei denen sie bereits mindestens über Leseberechtigungen verfügen. Besitzende Benutzer können die Metadaten für Ressourcen verwalten, bei denen sie bereits mindestens über Besitzer-/Schreibberechtigungen verfügen. Weitere Informationen finden Sie im Abschnitt Datenzugriffsberechtigungen.
Zusätzliche Berechtigungen können auch mithilfe von Rollengruppen auf Mandantenebene zugewiesen werden.
Berechtigungen können auch in Data Map zugewiesen werden, damit Benutzer Ressourcen in Data Map durchsuchen oder Unified Catalog Suchen können, auf die sie noch keinen Datenzugriff haben.
Unified Catalog Berechtigungen können zugewiesen werden, um Benutzern die Berechtigung für den Katalog zum Erstellen ihrer Datengovernancelösungen zu erteilen.
Beispiel für den Lebenszyklus von Datenressourcen
Informationen zur Funktionsweise von Berechtigungen zwischen Data Map und Unified Catalog finden Sie in der folgenden Tabelle zum vollständigen Lebenszyklus einer Azure SQL Tabelle in der Umgebung:
| Schritt | Rolle | Rollenzuweisungsebene |
|---|---|---|
| 1. Die Azure SQL-Datenbank ist in Data Map registriert. | Datenquellenadministrator | Data Map-Berechtigungen |
| 2. Die Azure SQL Datenbank wird in Data Map gescannt | Datenkurator oder Datenquellenadministrator | Data Map-Berechtigungen |
| 3. Die Azure SQL Tabelle ist kuratiert und zertifiziert | Datenkurator | Data Map-Berechtigungen |
| 4. Eine Governancedomäne wird im Microsoft Purview-Konto erstellt. | Ersteller der Governancedomäne | Rolle auf Anwendungsebene |
| 5. Ein Datenprodukt wird in der Governancedomäne erstellt. | Governancedomänenbesitzer und/oder Datenproduktbesitzer | Governance-Rolle auf Domänenebene |
| 6. Die Azure SQL Tabelle wird dem Datenprodukt als Ressource hinzugefügt. | Datenproduktbesitzer und/oder Steward | Governance-Rolle auf Domänenebene |
| 7. Dem Datenprodukt wird eine Zugriffsrichtlinie hinzugefügt. | Datenproduktbesitzer und/oder Steward | Governance-Rolle auf Domänenebene |
| 8. Ein Benutzer sucht Unified Catalog und sucht nach Datenressourcen, die seinen Anforderungen entsprechen | Ressourcenberechtigungen oder Datenleseberechtigungen | Ressourcenberechtigungen oder Data Map-Berechtigungen |
| 9. Ein Benutzer durchsucht Datenprodukte und sucht nach einem Produkt, das seinen Anforderungen entspricht | Data Catalog Reader | Rolle auf Anwendungsebene |
| 10. Ein Benutzer fordert Zugriff auf die Ressourcen im Datenprodukt an | Data Catalog Reader | Rolle auf Anwendungsebene |
| 11. Ein Benutzer zeigt Data Health Insights an, um die Integrität seiner Data Catalog | Datenintegritätsleser | Rolle auf Anwendungsebene |
| 12. Ein Benutzer möchte einen neuen Bericht entwickeln, um den Fortschritt der Datenintegrität in ihrem Katalog nachzuverfolgen. | Datenintegritätsbesitzer | Rolle auf Anwendungsebene |