Tutorial: Verwenden von REST-APIs zum Verwalten der rollenbasierten Zugriffssteuerung für Microsoft Purview-Sammlungen
Im August 2021 wurde die Zugriffssteuerung in Microsoft Purview von Azure Identity & Access Management (IAM) (Steuerungsebene) zu Microsoft Purview-Sammlungen (Datenebene) verschoben. Diese Änderung bietet Unternehmensdatenkuratoren und Administratoren eine präzisere, präzisere Zugriffssteuerung für ihre von Microsoft Purview gescannten Datenquellen. Die Änderung ermöglicht es Organisationen auch, den richtigen Zugriff und die richtige Verwendung ihrer Daten zu überwachen.
Dieses Tutorial führt Sie durch die schrittweise Verwendung der Microsoft Purview-Metadatenrichtlinien-APIs, mit denen Sie Benutzer, Gruppen oder Dienstprinzipale zu einer Sammlung hinzufügen und deren Rollen innerhalb dieser Sammlung verwalten oder entfernen können. REST-APIs sind eine alternative Methode zur Verwendung des Azure-Portal- oder Microsoft Purview-Governanceportals, um dieselbe differenzierte rollenbasierte Zugriffssteuerung zu erreichen.
Weitere Informationen zu den integrierten Rollen in Microsoft Purview finden Sie im Leitfaden zu Microsoft Purview-Berechtigungen. Der Leitfaden ordnet die Rollen der Ebene der Zugriffsberechtigungen zu, die Benutzern gewährt werden.
Zusammenfassung der Metadatenrichtlinien-API
Die folgende Tabelle enthält eine Übersicht über die Microsoft Purview-Metadatenrichtlinien-API-Referenz.
Hinweis
Ersetzen Sie {pv-acc-name} durch den Namen Ihres Microsoft Purview-Kontos, bevor Sie diese APIs ausführen. Wenn ihr Microsoft Purview-Kontoname FabrikamPurviewAccount lautet, werden Ihre API-Endpunkte FabrikamPurviewAccount.purview.azure.com instance. Der Parameter "api-version" kann geändert werden. Die neueste "API-Version" und die API-Signatur finden Sie in der Rest-API-Dokumentation zur Microsoft Purview-Metadatenrichtlinie .
API-Funktion | REST-Methode | API-Endpunkt | Beschreibung |
---|---|---|---|
Alle Metadatenrollen lesen | GET | https://{pv-acc-name}.purview.azure.com /policystore/metadataroles?&api-version=2021-07-01 | Liest alle Metadatenrollen aus Ihrem Microsoft Purview-Konto. |
Lesen der Metadatenrichtlinie nach Sammlungsname | GET | https://{pv-acc-name}.purview.azure.com /policystore/collections/{collectionName}/metadataPolicy?&api-version=2021-07-01 | Liest die Metadatenrichtlinie unter Verwendung eines angegebenen Sammlungsnamens (der zufällige Name aus sechs Zeichen, der von Microsoft Purview beim Erstellen der Richtlinie generiert wird). |
Lesen der Metadatenrichtlinie nach PolicyID | GET | https://{pv-acc-name}.purview.azure.com /policystore/metadataPolicies/{policyId}?&api-version=2021-07-01 | Liest die Metadatenrichtlinie unter Verwendung einer angegebenen Richtlinien-ID. Die Richtlinien-ID weist das GUID-Format auf. |
Alle Metadatenrichtlinien lesen | GET | https://{pv-acc-name}.purview.azure.com /policystore/metadataPolicies?&api-version=2021-07-01 | Liest alle Metadatenrichtlinien aus Ihrem Microsoft Purview-Konto. Sie können eine bestimmte Richtlinie aus der JSON-Ausgabeliste auswählen, die von dieser API generiert wird. |
Update/PUT-Metadatenrichtlinie | PUT | https://{pv-acc-name}.purview.azure.com /policystore/metadataPolicies/{policyId}?&api-version=2021-07-01 | Updates die Metadatenrichtlinie mithilfe einer angegebenen Richtlinien-ID. Die Richtlinien-ID weist das GUID-Format auf. |
Zusammenfassung der API-Referenz für Microsoft Purview-Katalogsammlungen
Die folgende Tabelle enthält eine Übersicht über die Microsoft Purview-Auflistungs-APIs. Um eine vollständige Dokumentation zu jeder API zu finden, wählen Sie den API-Vorgang in der linken Spalte aus.
Vorgang | Beschreibung |
---|---|
Erstellen oder Aktualisieren einer Sammlung | Erstellt oder aktualisiert eine Sammlungsentität. |
Sammlung löschen | Löscht eine Sammlungsentität. |
Sammlung abrufen | Ruft eine Auflistung ab. |
Abrufen des Sammlungspfads | Ruft den übergeordneten Namen und die Anzeigenamenketten ab, die den Auflistungspfad darstellen. |
Auflisten untergeordneter Sammlungsnamen | Listen die Namen der untergeordneten Auflistungen in der Auflistung. |
Auflistungen auflisten | Listen die Sammlungen im Konto. |
Wenn Sie die API verwenden, sollte dem Dienstprinzipal, dem Benutzer oder der Gruppe, der die API ausführt, eine Sammlung Admin Rolle in Microsoft Purview zugewiesen sein, damit diese API erfolgreich ausgeführt werden kann.
Für alle Microsoft Purview-APIs, die {collectionName} erfordern, müssen Sie "name" (und nicht "friendlyName") verwenden. Ersetzen Sie {collectionName} durch die tatsächliche alphanumerische Sammlungsnamenzeichenfolge mit sechs Zeichen.
Hinweis
Dieser Name unterscheidet sich von dem Anzeigenamen, den Sie beim Erstellen der Sammlung angegeben haben. Wenn Sie {collectionName} nicht zur Hand haben, verwenden Sie die Api zum Auflisten von Sammlungen , um den sechsstelligen Sammlungsnamen aus der JSON-Ausgabe auszuwählen.
Hier sehen Sie eine JSON-Beispieldatei:
{
"name": "74dhe7",
"friendlyName": "Friendly Name",
"parentCollection": {
"type": "CollectionReference",
"referenceName": "{your_purview_account_name}"
},
"systemData": {
"createdBy": "{guid}",
"createdByType": "Application",
"createdAt": "2021-08-26T21:21:51.2646627Z",
"lastModifiedBy": "7f8d47e2-330c-42f0-8744-fcfb1ecb3ea0",
"lastModifiedByType": "Application",
"lastModifiedAt": "2021-08-26T21:21:51.2646628Z"
},
"collectionProvisioningState": "Succeeded"
}
JSON-Beschreibung der Richtlinie
Hier sind einige der wichtigen Bezeichner in der JSON-Ausgabe, die von den Sammlungs-APIs empfangen wird:
Name: Der Name der Richtlinie.
ID: Der eindeutige Bezeichner für die Richtlinie.
Version: Die neueste Versionsnummer der Richtlinie.
Wichtig
Die Versionsnummer wird bei jedem Aufruf der Update-Metadata-Policy-API erhöht. Rufen Sie unbedingt die neueste Kopie der Richtlinie ab, indem Sie die API Get-Policy-by-Policy-ID aufrufen. Führen Sie diese Aktualisierung jedes Mal aus, bevor Sie die PUT-API (Update Policy) aufrufen, damit Sie immer über die neueste Version der JSON-Datei verfügen.
DecisionRules: Listet die Regeln und Auswirkungen dieser Richtlinie auf. Bei Metadatenrichtlinien ist der Effekt immer "Zulassen".
Hinzufügen oder Entfernen von Benutzern zu einer Sammlung oder Rolle
Verwenden Sie Microsoft Purview-REST-APIs, um einen Benutzer, eine Gruppe oder einen Dienstprinzipal einer Sammlung oder Rolle hinzuzufügen oder daraus zu entfernen. Eine ausführliche API-Nutzung wird zusammen mit JSON-Beispielausgaben bereitgestellt. Es wird dringend empfohlen, die Anweisungen in den nächsten Abschnitten sequenziell zu befolgen, um die MICROSOFT Purview-Metadatenrichtlinien-APIs besser zu verstehen.
Abrufen aller Metadatenrollen
Führen Sie abhängig vom verwendeten Portal einen der folgenden Befehle aus, um alle verfügbaren Berechtigungsrollen für den Metadatenzugriff aufzulisten:
Klassisches Microsoft Purview-Governanceportal:
GET https://{your_purview_account_name}.purview.azure.com/policystore/metadataroles?api-version=2021-07-01
Neues Microsoft Purview-Portal:
GET https://api.purview-service.microsoft.com/policystore/metadataroles?api-version=2021-07-01
Der JSON-Ausgabecode beschreibt die Rollen und die zugehörigen Berechtigungen in diesem Format.
Die Standardmetadatenrollen sind in der folgenden Tabelle aufgeführt:
Rollen-ID | Berechtigungen | Rollenbeschreibung |
---|---|---|
purviewmetadatarole_builtin_data-source-administrator | Microsoft.Purview/accounts/scan/read Microsoft.Purview/accounts/scan/write Microsoft.Purview/accounts/collection/read | Gewährt anderen Benutzern Zugriff zum Lesen, Schreiben der Sammlung, Registrieren von Datenquellen und Auslösen von Überprüfungen. |
purviewmetadatarole_builtin_collection-Administrator | Microsoft.Purview/accounts/collection/read Microsoft.Purview/accounts/collection/write | Vollzugriff auf Administratorebene auf die gesamte Sammlung, einschließlich Hinzufügen oder Entfernen von Benutzern und Dienstprinzipalnamen (SPNs) aus der Sammlung, Verwaltungsrechte und Gewähren oder Widerrufen des Zugriffs. In einigen Fällen unterscheidet sich der Sammlungsadministrator möglicherweise vom Ersteller der Sammlung. |
purviewmetadatarole_builtin_purview-Reader | Microsoft.Purview/accounts/data/read Microsoft.Purview/accounts/collection/read | Gewährt nur Lesezugriff auf die Datenverarbeitung und alle Metadaten, einschließlich Klassifizierungen, Vertraulichkeitsbezeichnungen, Erkenntnisse und Leseressourcen in einer Sammlung, mit Ausnahme von Scanbindungen. |
purviewmetadatarole_builtin_data-Kurator | Microsoft.Purview/accounts/data/read Microsoft.Purview/accounts/data/write Microsoft.Purview/accounts/collection/read | Gewährt vollzugriff auf die Datenverarbeitung und alle Metadaten, einschließlich Klassifizierungen, Vertraulichkeitsbezeichnungen, Erkenntnisse und Leseressourcen in einer Sammlung, mit Ausnahme von Scanbindungen. |
purviewmetadatarole_builtin_data-freigabe-Mitwirkender | Microsoft.Purview/accounts/share/read Microsoft.Purview/accounts/share/write | Gewährt Zugriff auf Datenfreigaben als Mitwirkender. |
{
"values": [
{
"id": "purviewmetadatarole_builtin_data-curator",
"name": "data-curator",
"type": "Microsoft.Purview/role",
"properties": {
"provisioningState": "Provisioned",
"roleType": "BuiltIn",
"friendlyName": "Data Curator",
"cnfCondition": [
[
{
"attributeName": "request.azure.dataAction",
"attributeValueIncludedIn": [
"Microsoft.Purview/accounts/data/read",
"Microsoft.Purview/accounts/data/write",
"Microsoft.Purview/accounts/collection/read"
]
}
]
],
"version": 1
}
},
{
"id": "purviewmetadatarole_builtin_data-source-administrator",
"name": "data-source-administrator",
"type": "Microsoft.Purview/role",
"properties": {
"provisioningState": "Provisioned",
"roleType": "BuiltIn",
"friendlyName": "Data Source Administrator",
"cnfCondition": [
[
{
"attributeName": "request.azure.dataAction",
"attributeValueIncludedIn": [
"Microsoft.Purview/accounts/scan/read",
"Microsoft.Purview/accounts/scan/write",
"Microsoft.Purview/accounts/collection/read"
]
}
]
],
"version": 1
}
},
{
"id": "purviewmetadatarole_builtin_collection-administrator",
"name": "collection-administrator",
"type": "Microsoft.Purview/role",
"properties": {
"provisioningState": "Provisioned",
"roleType": "BuiltIn",
"friendlyName": "Collection Administrator",
"cnfCondition": [
[
{
"attributeName": "request.azure.dataAction",
"attributeValueIncludedIn": [
"Microsoft.Purview/accounts/collection/read",
"Microsoft.Purview/accounts/collection/write"
]
}
]
],
"version": 1
}
},
{
"id": "purviewmetadatarole_builtin_purview-reader",
"name": "purview-reader",
"type": "Microsoft.Purview/role",
"properties": {
"provisioningState": "Provisioned",
"roleType": "BuiltIn",
"friendlyName": "Microsoft Purview Reader",
"cnfCondition": [
[
{
"attributeName": "request.azure.dataAction",
"attributeValueIncludedIn": [
"Microsoft.Purview/accounts/data/read",
"Microsoft.Purview/accounts/collection/read"
]
}
]
],
"version": 1
}
},
{
"id": "purviewmetadatarole_builtin_data-share-contributor",
"name": "data-share-contributor",
"type": "Microsoft.Purview/role",
"properties": {
"provisioningState": "Provisioned",
"roleType": "BuiltIn",
"friendlyName": "Data share contributor",
"cnfCondition": [
[
{
"attributeName": "request.azure.dataAction",
"attributeValueIncludedIn": [
"Microsoft.Purview/accounts/share/read",
"Microsoft.Purview/accounts/share/write"
]
}
]
],
"version": 1
}
}
]
}
Abrufen aller Metadatenrichtlinien
Klassisches Microsoft Purview-Governanceportal:
GET https://{your_purview_account_name}.purview.azure.com/policystore/metadataPolicies?api-version=2021-07-01
Neues Microsoft Purview-Portal:
GET https://api.purview-service.microsoft.com/policystore/metadataPolicies?api-version=2021-07-01
Der obige Befehl listet alle verfügbaren Metadatenrichtlinien in der gesamten Auflistungshierarchie im Strukturformat auf, von der Stammsammlung oben bis zu allen untergeordneten Richtlinien. Jede untergeordnete Auflistung enthält alle untergeordneten Elemente der nächsten Ebene.
Beispiel:
{
"values": [
{
"name": "policy_FabrikamPurview",
"id": "9b2f1cb9-584c-4a16-811e-9232884b5cac",
"version": 30,
"properties": {
"description": "",
"decisionRules": [
{
"kind": "decisionrule",
"effect": "Permit",
"dnfCondition": [
[
{
"attributeName": "resource.purview.collection",
"attributeValueIncludes": "fabrikampurview"
},
{
"fromRule": "permission:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:fabrikampurview"
}
]
]
}
],
"attributeRules": [
{
"kind": "attributerule",
"id": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview",
"name": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview",
"dnfCondition": [
[
{
"attributeName": "principal.microsoft.id",
"attributeValueIncludedIn": [
"2f656762-e440-4b62-9eb6-a991d17d64b0",
"04314867-60a4-4e5a-ae16-8e5856f415d9",
"8988fe5c-5736-4179-9435-0a64c273b90b",
"6d563253-1d5b-48f2-baaa-5489f22ddce9",
"26f98046-5b02-4fa9-b709-e0519c658891",
"73fc02dc-becd-468b-a2a3-82238e722dae"
]
},
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator"
},
{
"attributeName": "principal.microsoft.groups",
"attributeValueIncludedIn": [
"ffd851fa-86ec-431b-95ea-8b84d5012383",
"cf84b126-4384-4952-91f1-7f705b25e569",
"5046aba1-5b81-411c-8fec-b84600f3f08b",
"b055a5c6-a04e-4d1a-8524-001ad81bfb28",
"cc194892-92fa-4ce3-96ae-1f98bef8211c"
]
}
]
]
},
{
"kind": "attributerule",
"id": "purviewmetadatarole_builtin_data-curator:fabrikampurview",
"name": "purviewmetadatarole_builtin_data-curator:fabrikampurview",
"dnfCondition": [
[
{
"attributeName": "principal.microsoft.id",
"attributeValueIncludedIn": [
"2f656762-e440-4b62-9eb6-a991d17d64b0",
"649f56ab-2dd2-40de-a731-3d3f28e7af92",
"c29a5809-f9ec-49fd-b762-2d4d64abb93e",
"04314867-60a4-4e5a-ae16-8e5856f415d9",
"73fc02dc-becd-468b-a2a3-82238e722dae",
"517a27d2-39ba-4c91-a032-dd9ecf8ad6f1",
"6d563253-1d5b-48f2-baaa-5489f22ddce9"
]
},
{
"fromRule": "purviewmetadatarole_builtin_data-curator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_data-curator"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_data-curator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_data-curator"
},
{
"attributeName": "principal.microsoft.groups",
"attributeValueIncludedIn": [
"b055a5c6-a04e-4d1a-8524-001ad81bfb28",
"cc194892-92fa-4ce3-96ae-1f98bef8211c",
"5046aba1-5b81-411c-8fec-b84600f3f08b"
]
}
]
]
},
{
"kind": "attributerule",
"id": "purviewmetadatarole_builtin_data-source-administrator:fabrikampurview",
"name": "purviewmetadatarole_builtin_data-source-administrator:fabrikampurview",
"dnfCondition": [
[
{
"attributeName": "principal.microsoft.id",
"attributeValueIncludedIn": [
"2f656762-e440-4b62-9eb6-a991d17d64b0",
"04314867-60a4-4e5a-ae16-8e5856f415d9",
"517a27d2-39ba-4c91-a032-dd9ecf8ad6f1",
"6d563253-1d5b-48f2-baaa-5489f22ddce9"
]
},
{
"fromRule": "purviewmetadatarole_builtin_data-source-administrator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_data-source-administrator"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_data-source-administrator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_data-source-administrator"
},
{
"attributeName": "principal.microsoft.groups",
"attributeValueIncludedIn": [
"b055a5c6-a04e-4d1a-8524-001ad81bfb28",
"cc194892-92fa-4ce3-96ae-1f98bef8211c",
"d34eb741-be5e-4098-90d7-eca8d4a5153f",
"664ec992-9af0-4773-88f2-dc39edc46f6f",
"5046aba1-5b81-411c-8fec-b84600f3f08b"
]
}
]
]
},
{
"kind": "attributerule",
"id": "permission:fabrikampurview",
"name": "permission:fabrikampurview",
"dnfCondition": [
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_purview-reader:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_purview-reader:fabrikampurview"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_data-curator:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_data-curator:fabrikampurview"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_data-source-administrator:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_data-source-administrator:fabrikampurview"
}
]
]
}
],
"collection": {
"type": "CollectionReference",
"referenceName": "fabrikampurview"
}
}
},
{
"name": "policy_b2zpf1",
"id": "12b0bb28-2acc-413e-8fe1-179ff9cc54c3",
"version": 0,
"properties": {
"description": "",
"decisionRules": [
{
"kind": "decisionrule",
"effect": "Permit",
"dnfCondition": [
[
{
"attributeName": "resource.purview.collection",
"attributeValueIncludes": "b2zpf1"
},
{
"fromRule": "permission:b2zpf1",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:b2zpf1"
}
]
]
}
],
"attributeRules": [
{
"kind": "attributerule",
"id": "purviewmetadatarole_builtin_collection-administrator:b2zpf1",
"name": "purviewmetadatarole_builtin_collection-administrator:b2zpf1",
"dnfCondition": [
[
{
"attributeName": "principal.microsoft.id",
"attributeValueIncludedIn": [
"2f656762-e440-4b62-9eb6-a991d17d64b0"
]
},
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:ukx7pq",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:ukx7pq"
}
]
]
},
{
"kind": "attributerule",
"id": "permission:b2zpf1",
"name": "permission:b2zpf1",
"dnfCondition": [
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:b2zpf1",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:b2zpf1"
}
],
[
{
"fromRule": "permission:ukx7pq",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:ukx7pq"
}
]
]
}
],
"collection": {
"type": "CollectionReference",
"referenceName": "b2zpf1"
},
"parentCollectionName": "ukx7pq"
}
},
{
"name": "policy_7wte2n",
"id": "a72084e4-ccab-4aec-a364-08ab001e4999",
"version": 0,
"properties": {
"description": "",
"decisionRules": [
{
"kind": "decisionrule",
"effect": "Permit",
"dnfCondition": [
[
{
"attributeName": "resource.purview.collection",
"attributeValueIncludes": "7wte2n"
},
{
"fromRule": "permission:7wte2n",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:7wte2n"
}
]
]
}
],
"attributeRules": [
{
"kind": "attributerule",
"id": "purviewmetadatarole_builtin_collection-administrator:7wte2n",
"name": "purviewmetadatarole_builtin_collection-administrator:7wte2n",
"dnfCondition": [
[
{
"attributeName": "principal.microsoft.id",
"attributeValueIncludedIn": [
"2f656762-e440-4b62-9eb6-a991d17d64b0"
]
},
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:ukx7pq",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:ukx7pq"
}
]
]
},
{
"kind": "attributerule",
"id": "permission:7wte2n",
"name": "permission:7wte2n",
"dnfCondition": [
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:7wte2n",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:7wte2n"
}
],
[
{
"fromRule": "permission:ukx7pq",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:ukx7pq"
}
]
]
}
],
"collection": {
"type": "CollectionReference",
"referenceName": "7wte2n"
},
"parentCollectionName": "ukx7pq"
}
}
]
}
Abrufen der ausgewählten Metadatenrichtlinie
Sie können eine von zwei APIs verwenden, um die JSON-Struktur der Metadatenrichtlinie einer bestimmten Sammlung abzurufen, indem Sie entweder {collectionName} oder {PolicyID} angeben.
Wie in den folgenden beiden Abschnitten beschrieben, dienen beide APIs demselben Zweck, und die JSON-Ausgaben beider sind identisch.
Abrufen der Metadatenrichtlinie der Sammlung mithilfe des Sammlungsnamens
Klassisches Microsoft Purview-Governanceportal:
GET https://{your_purview_account_name}.purview.azure.com/policystore/collections/{collectionName}/metadataPolicy?api-version=2021-07-01
Neues Microsoft Purview-Portal:
GET https://api.purview-service.microsoft.com/policystore/collections/{collectionName}/metadataPolicy?api-version=2021-07-01
Der Name des Microsoft Purview-Kontos lautet {your_purview_account_name}. Ersetzen Sie es durch den Namen Ihres Microsoft Purview-Kontos.
Suchen Sie in der JSON-Ausgabe der vorherigen API "Alle Metadatenrichtlinien abrufen" nach dem folgenden Abschnitt:
{ "type": "CollectionReference", "referenceName": "7xkdg2"}
Ersetzen Sie "{collectionName}" in der API-URL durch den Wert von "referenceName": "{6-char-collection-name}". Wenn Der Name Ihrer sechsstelligen Sammlung beispielsweise "7xkdg2" lautet, wird die API-URL wie folgt formatiert:
https://{your_purview_account_name}.purview.azure.com/policystore/collections/7xkdg2/metadataPolicy?api-version=2021-07-01
Führen Sie die folgende API aus:
{ "name": "policy_qu45fs", "id": "c6639bb2-9c41-4be0-912b-775750e725de", "version": 0, "properties": { "description": "", "decisionRules": [ { "kind": "decisionrule", "effect": "Permit", "dnfCondition": [ [ { "attributeName": "resource.purview.collection", "attributeValueIncludes": "qu45fs" }, { "fromRule": "permission:qu45fs", "attributeName": "derived.purview.permission", "attributeValueIncludes": "permission:qu45fs" } ] ] } ], "attributeRules": [ { "kind": "attributerule", "id": "purviewmetadatarole_builtin_collection-administrator:qu45fs", "name": "purviewmetadatarole_builtin_collection-administrator:qu45fs", "dnfCondition": [ [ { "attributeName": "principal.microsoft.id", "attributeValueIncludedIn": [ "2f656762-e440-4b62-9eb6-a991d17d64b0" ] }, { "fromRule": "purviewmetadatarole_builtin_collection-administrator", "attributeName": "derived.purview.role", "attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator" } ], [ { "fromRule": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview", "attributeName": "derived.purview.permission", "attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview" } ] ] }, { "kind": "attributerule", "id": "permission:qu45fs", "name": "permission:qu45fs", "dnfCondition": [ [ { "fromRule": "purviewmetadatarole_builtin_collection-administrator:qu45fs", "attributeName": "derived.purview.permission", "attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:qu45fs" } ], [ { "fromRule": "permission:fabrikampurview", "attributeName": "derived.purview.permission", "attributeValueIncludes": "permission:fabrikampurview" } ] ] } ], "collection": { "type": "CollectionReference", "referenceName": "qu45fs" }, "parentCollectionName": "fabrikampurview" } }
Abrufen der Metadatenrichtlinie der Sammlung mithilfe der Richtlinien-ID
Klassisches Microsoft Purview-Governanceportal:
GET https://{your_purview_account_name}.purview.azure.com/policystore/metadataPolicies/{policyId}?api-version=2021-07-01
Neues Microsoft Purview-Portal:
GET https://api.purview-service.microsoft.com/policystore/metadataPolicies/{policyId}?api-version=2021-07-01
Der Name des Microsoft Purview-Kontos lautet {your_purview_account_name}. Ersetzen Sie es durch den Namen Ihres Microsoft Purview-Kontos.
Suchen Sie in der JSON-Ausgabe der vorherigen API "Alle Metadatenrichtlinien abrufen" nach dem folgenden Abschnitt:
{.... "name": "policy_qu45fs", "id": "{policy-guid}", "version": N ....}
Ersetzen Sie "{policyId}" in der API-URL durch den Wert "id". Wenn "{policy-guid}" beispielsweise "c6639bb2-9c41-4be0-912b-775750e725de" lautet, wird die API-URL wie folgt formatiert:
https://{your_purview_account_name}.purview.azure.com/policystore/metadataPolicies/c6639bb2-9c41-4be0-912b-775750e725de?api-version=2021-07-01
Führen Sie nun die folgende API aus:
Hinweis
Die Ausgabe dieses API-Aufrufs und des vorherigen API-Aufrufs ist identisch. Wie bereits erwähnt, können Sie eine der beiden Optionen auswählen.
{
"name": "policy_qu45fs",
"id": "c6639bb2-9c41-4be0-912b-775750e725de",
"version": 0,
"properties": {
"description": "",
"decisionRules": [
{
"kind": "decisionrule",
"effect": "Permit",
"dnfCondition": [
[
{
"attributeName": "resource.purview.collection",
"attributeValueIncludes": "qu45fs"
},
{
"fromRule": "permission:qu45fs",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:qu45fs"
}
]
]
}
],
"attributeRules": [
{
"kind": "attributerule",
"id": "purviewmetadatarole_builtin_collection-administrator:qu45fs",
"name": "purviewmetadatarole_builtin_collection-administrator:qu45fs",
"dnfCondition": [
[
{
"attributeName": "principal.microsoft.id",
"attributeValueIncludedIn": [
"2f656762-e440-4b62-9eb6-a991d17d64b0"
]
},
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview"
}
]
]
},
{
"kind": "attributerule",
"id": "permission:qu45fs",
"name": "permission:qu45fs",
"dnfCondition": [
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:qu45fs",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:qu45fs"
}
],
[
{
"fromRule": "permission:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:fabrikampurview"
}
]
]
}
],
"collection": {
"type": "CollectionReference",
"referenceName": "qu45fs"
},
"parentCollectionName": "fabrikampurview"
}
}
Aktualisieren der Sammlungsrichtlinie
PUT https://{your_purview_account_name}.purview.azure.com/policystore/metadataPolicies/{policyId}?api-version=2021-07-01
In diesem Abschnitt aktualisieren Sie den RICHTLINIEN-JSON-Code, den Sie im vorherigen Schritt abgerufen haben, indem Sie der Sammlung einen Benutzer, eine Gruppe oder einen Dienstprinzipal hinzufügen oder daraus entfernen. Anschließend pushen Sie es mithilfe einer PUT-REST-Methode an den Microsoft Purview-Dienst.
Unabhängig davon, ob Sie einen Benutzer, eine Gruppe oder einen Dienstprinzipal hinzufügen oder entfernen, folgen Sie demselben API-Prozess.
Geben Sie die Benutzer-, Gruppen- oder Dienstprinzipalobjekt-ID {guid} im Array "attributeValueIncludedIn" des JSON-Codes an.
Durchsuchen Sie die JSON-Ausgabe der Get-Policy-by-ID-API nach dem Array "attributeValueIncludedIn" im vorherigen Schritt, und fügen Sie die Objekt-ID des Benutzers, der Gruppe oder des Dienstprinzipals im Array hinzu oder entfernen Sie sie. Wenn Sie sich nicht sicher sind, wie Sie die Benutzer-, Gruppen- oder Dienstprinzipalobjekt-ID abrufen, finden Sie weitere Informationen unter Get-MgUser.
Die JSON-Zuordnung enthält mehrere Abschnitte für jede der vier Rollen. Verwenden Sie für die Berechtigungsrolle Sammlungsadministrator den Abschnitt mit der ID "purviewmetadatarole_builtin_collection-administrator". Verwenden Sie ebenso den entsprechenden Abschnitt für die anderen Rollen.
Um den Vorgang zum Hinzufügen/Entfernen besser zu verstehen, untersuchen Sie sorgfältig den Unterschied zwischen der JSON-Ausgabe der vorherigen API und der folgenden Ausgabe. In der folgenden JSON-Ausgabe haben wir die Benutzer-ID "3a3a3a-2c2c-4b4b-1c1c-2a3b4c5d6e7f" als Sammlungsadministrator hinzugefügt.
{
"name": "policy_qu45fs",
"id": "c6639bb2-9c41-4be0-912b-775750e725de",
"version": 0,
"properties": {
"description": "",
"decisionRules": [
{
"kind": "decisionrule",
"effect": "Permit",
"dnfCondition": [
[
{
"attributeName": "resource.purview.collection",
"attributeValueIncludes": "qu45fs"
},
{
"fromRule": "permission:qu45fs",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:qu45fs"
}
]
]
}
],
"attributeRules": [
{
"kind": "attributerule",
"id": "purviewmetadatarole_builtin_collection-administrator:qu45fs",
"name": "purviewmetadatarole_builtin_collection-administrator:qu45fs",
"dnfCondition": [
[
{
"attributeName": "principal.microsoft.id",
"attributeValueIncludedIn": [
"2f656762-e440-4b62-9eb6-a991d17d64b0",
"3a3a3a3a-2c2c-4b4b-1c1c-2a3b4c5d6e7f"
]
},
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator",
"attributeName": "derived.purview.role",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator"
}
],
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:fabrikampurview"
}
]
]
},
{
"kind": "attributerule",
"id": "permission:qu45fs",
"name": "permission:qu45fs",
"dnfCondition": [
[
{
"fromRule": "purviewmetadatarole_builtin_collection-administrator:qu45fs",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "purviewmetadatarole_builtin_collection-administrator:qu45fs"
}
],
[
{
"fromRule": "permission:fabrikampurview",
"attributeName": "derived.purview.permission",
"attributeValueIncludes": "permission:fabrikampurview"
}
]
]
}
],
"collection": {
"type": "CollectionReference",
"referenceName": "qu45fs"
},
"parentCollectionName": "fabrikampurview"
}
}
Hinzufügen der Rolle "Stammsammlungsadministrator"
Standardmäßig ist der Benutzer, der das Microsoft Purview-Konto erstellt hat, der Stammsammlungsadministrator (also der Administrator der obersten Ebene der Sammlungshierarchie). In einigen Fällen möchte ein organization jedoch den Stammsammlungsadministrator mithilfe der API ändern.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Purview/accounts/{accountName}/addRootCollectionAdmin?api-version=2021-07-01
Zum Ausführen des vorherigen Befehls müssen Sie nur die Objekt-ID des neuen Root Collection Administrators übergeben. Wie bereits erwähnt, kann die Objekt-ID die eines beliebigen Benutzers, einer Gruppe oder eines Dienstprinzipals sein.
{"objectId": "{guid}"}
Hinweis
Benutzer, die diese API aufrufen, müssen über Besitzer- oder Benutzerkonto- und Authentifizierungsberechtigungen (UAA) für das Microsoft Purview-Konto verfügen, um eine Schreibaktion für das Konto ausführen zu können.
Weitere Ressourcen
Sie können Microsoft Purview-REST-APIs mithilfe des PowerShell-Hilfsprogramms ausführen. Es kann problemlos von PowerShell-Katalog installiert werden. Mit diesem Hilfsprogramm können Sie alle gleichen Befehle ausführen, jedoch über Windows PowerShell.