Roles y permisos de gobernanza para Data Catalog clásicos en tipos de cuenta gratuita y empresarial
Importante
En este artículo se explican los permisos de gobernanza en las versionesempresariales y gratuitas de las soluciones de gobernanza de datos de Microsoft Purview mediante el Catálogo de datos de Microsoft Purview clásico.
- Para obtener permisos con el nuevo Catálogo unificado de Microsoft Purview, consulte el artículo permisos de gobernanza de datos.
- Para obtener permisos generales en el nuevo portal de Microsoft Purview , consulte permisos en el portal.
- Para obtener permisos de cumplimiento y riesgo clásicos, consulte los permisos del artículo portal de cumplimiento Microsoft Purview.
- Para obtener permisos de gobernanza de datos clásicos, consulte el artículo permisos del portal de gobernanza de Microsoft Purview.
La gobernanza de datos de Microsoft Purview tiene dos soluciones en el portal de Microsoft Purview, Data Map y el catálogo. Estas soluciones usan permisos de nivel de inquilino o organización, permisos de acceso a datos existentes y permisos de dominio o recopilación para proporcionar a los usuarios acceso a herramientas de gobernanza y recursos de datos. El tipo de permisos disponibles para usar depende del tipo de cuenta de Microsoft Purview. Puede comprobar el tipo de cuenta en el portal de Microsoft Purview , en la tarjeta Configuración y en Cuenta.
| Tipo de cuenta | Permisos de inquilino/organización | Permisos de acceso a datos | Permisos de dominio y recopilación |
|---|---|---|---|
| Gratuito | x | x | |
| Empresarial | x | x | x |
Para obtener más información sobre cada tipo de permiso, consulte estas guías:
- Permisos de inquilino o organización : asignados a nivel organizativo, proporcionan permisos generales y administrativos.
- Permisos de nivel de dominio y colección: permisos en el Mapa de datos de Microsoft Purview que conceden acceso a los recursos de datos en Microsoft Purview.
- Permisos de acceso a datos : permisos que los usuarios ya tienen en sus orígenes de datos de Azure.
Para obtener más información sobre los permisos basados en el tipo de cuenta, consulte estas guías:
Importante
Para los usuarios recién creados en Microsoft Entra ID, los permisos pueden tardar algún tiempo en propagarse incluso después de que se hayan aplicado los permisos correctos.
Grupos de roles de nivel de inquilino
Asignados en el nivel organizativo, los grupos de roles de nivel de inquilino proporcionan permisos generales y administrativos tanto para la Mapa de datos de Microsoft Purview como para la Data Catalog clásica. Si va a administrar su cuenta de Microsoft Purview o la estrategia de gobernanza de datos de su organización, probablemente necesite uno o varios de estos roles.
Los grupos de roles de nivel de inquilino de gobernanza disponibles actualmente son:
| Grupo de funciones | Descripción | Disponibilidad del tipo de cuenta |
|---|---|---|
| Administrador de Purview | Cree, edite y elimine dominios y realice asignaciones de roles. | Cuentas empresariales y gratuitas |
| Administradores del origen de datos | Administrar orígenes de datos y exámenes de datos en el Mapa de datos de Microsoft Purview. | Cuentas empresariales |
| conservadores de Data Catalog | Realice acciones de creación, lectura, modificación y eliminación en objetos de datos de catálogo y establezca relaciones entre los objetos de la Data Catalog clásica. | Cuentas empresariales |
| Lectores de Data Estate Insights | Proporciona acceso de solo lectura a todos los informes de información entre plataformas y proveedores en el Data Catalog clásico. | Cuentas empresariales |
| Administradores de Data Estate Insights | Proporciona acceso de administrador a todos los informes de información entre plataformas y proveedores en el Data Catalog clásico. | Cuentas empresariales |
Para obtener una lista completa de todos los roles y grupos de roles disponibles, no solo para la gobernanza de datos, consulte roles y grupos de roles en los portales de Microsoft Defender XDR y Microsoft Purview.
Asignación y administración de grupos de roles
Nota:
Los usuarios deben tener el rol de administración de roles o el rol de administrador global para la organización para asignar roles.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Para asignar y administrar roles en Microsoft Purview, siga los permisos de la guía de Microsoft Purview.
Permisos para buscar en el datalog clásico
No se necesitan permisos específicos en el catálogo para poder buscarlo. Sin embargo, al buscar en el catálogo solo se devolverán los recursos de datos pertinentes que tenga permisos para ver en el mapa de datos.
Los usuarios pueden encontrar un recurso de datos en el catálogo cuando:
- El usuario tiene al menos permisos de lectura en un recurso de Azure o Microsoft Fabric disponible.
- El usuario tiene permisos de lector de datos en un dominio o colección en el Mapa de datos de Microsoft Purview donde se almacena el recurso.
Los permisos para estos recursos se administran en el nivel de recurso y en el nivel mapa de datos.
Permisos de dominio y recopilación
Los dominios y colecciones son herramientas que el Mapa de datos de Microsoft Purview usa para agrupar recursos, orígenes y otros artefactos en una jerarquía para detectar y administrar el control de acceso dentro de la Mapa de datos de Microsoft Purview.
Roles de dominio y colección
El Mapa de datos de Microsoft Purview usa un conjunto de roles predefinidos para controlar quién puede acceder a lo que dentro de la cuenta. Estos roles son actualmente:
- Administrador de dominio (solo en el nivel de dominio ): puede asignar permisos dentro de un dominio y administrar sus recursos.
- Administrador de recopilación : un rol para los usuarios que necesitarán asignar roles a otros usuarios en el portal de gobernanza de Microsoft Purview o administrar colecciones. Los administradores de recopilación pueden agregar usuarios a roles en colecciones donde son administradores. También pueden editar colecciones, sus detalles y agregar subcolecciones. Un administrador de recopilación de la colección raíz también tiene automáticamente permiso para el portal de gobernanza de Microsoft Purview. Si alguna vez es necesario cambiar el administrador de la colección raíz , puede seguir los pasos de la sección siguiente.
- Conservadores de datos: un rol que proporciona acceso a la Catálogo unificado de Microsoft Purview para administrar recursos, configurar clasificaciones personalizadas, crear y administrar términos del glosario y ver información sobre el patrimonio de datos. Los conservadores de datos pueden crear, leer, modificar, mover y eliminar recursos. También pueden aplicar anotaciones a los recursos.
- Lectores de datos : un rol que proporciona acceso de solo lectura a los recursos de datos, las clasificaciones, las reglas de clasificación, las colecciones y los términos del glosario.
- Administrador del origen de datos : un rol que permite a un usuario administrar orígenes de datos y exámenes. Si a un usuario solo se le concede el rol de administrador de origen de datos en un origen de datos determinado, puede ejecutar nuevos exámenes mediante una regla de examen existente. Para crear nuevas reglas de examen, también se debe conceder al usuario como lector de datos o como roles de conservador de datos .
- Lector de conclusiones : un rol que proporciona acceso de solo lectura a informes de conclusiones para colecciones en las que el lector de conclusiones también tiene al menos el rol Lector de datos . Para obtener más información, consulte permisos de información.
- Autor de directivas: un rol que permite a un usuario ver, actualizar y eliminar directivas de Microsoft Purview a través de la aplicación Directiva de datos de Microsoft Purview.
- Administrador de flujo de trabajo : un rol que permite a un usuario acceder a la página de creación de flujos de trabajo en el portal de gobernanza de Microsoft Purview y publicar flujos de trabajo en colecciones donde tienen permisos de acceso. El administrador de flujo de trabajo solo tiene acceso a la creación, por lo que necesitará al menos el permiso lector de datos en una colección para poder acceder al portal de gobernanza de Purview.
Nota:
En este momento, el rol de autor de directivas de Microsoft Purview no es suficiente para crear directivas. También se requiere el rol de administrador del origen de datos de Microsoft Purview.
Importante
Al usuario que creó la cuenta se le asigna automáticamente el administrador de dominio en el dominio predeterminado y el administrador de recopilación en la colección raíz.
Agregar asignaciones de roles
Abra el Mapa de datos de Microsoft Purview.
Seleccione el dominio o la colección donde desea agregar la asignación de roles.
Seleccione la pestaña Asignaciones de roles para ver todos los roles de una colección o un dominio. Solo un administrador de recopilación o un administrador de dominio puede administrar las asignaciones de roles.
Seleccione Editar asignaciones de roles o el icono de persona para editar cada miembro de rol.
Escriba en el cuadro de texto para buscar los usuarios que desea agregar al miembro de rol. Seleccione X para quitar los miembros que no desea agregar.
Seleccione Aceptar para guardar los cambios y verá que los nuevos usuarios se reflejan en la lista de asignaciones de roles.
Eliminación de asignaciones de roles
Seleccione el botón X situado junto al nombre de un usuario para quitar una asignación de roles.
Seleccione Confirmar si está seguro de quitar el usuario.
Restricción de la herencia
Los permisos de colección se heredan automáticamente de la colección primaria. Puede restringir la herencia de una colección primaria en cualquier momento mediante la opción restringir permisos heredados.
Nota:
Actualmente no se pueden restringir los permisos del dominio predeterminado. Las subcolecciones directas del dominio heredarán los permisos asignados en el dominio predeterminado.
Una vez que restrinja la herencia, deberá agregar usuarios directamente a la colección restringida para concederles acceso.
Vaya a la colección donde desea restringir la herencia y seleccione la pestaña Asignaciones de roles .
Seleccione Restringir permisos heredados y seleccione Restringir acceso en el cuadro de diálogo emergente para quitar los permisos heredados de esta colección y las subcolecciones. Los permisos de administrador de recopilación no se verán afectados.
Después de la restricción, los miembros heredados se quitan de los roles esperados para el administrador de recopilación.
Vuelva a seleccionar el botón de alternancia Restringir permisos heredados para revertir.
Sugerencia
Para obtener información más detallada sobre los roles disponibles en las colecciones, vea quién debe tener asignada la tabla de roles o el ejemplo de colecciones.
Permisos de acceso a datos
Los permisos de acceso a datos son permisos que los usuarios ya tienen en sus orígenes de datos de Azure. Estos permisos existentes también conceden permiso para acceder y administrar los metadatos de esos orígenes, en función del nivel de permisos:
Actualmente, estas características solo están disponibles para algunos orígenes de Azure:
| Origen de datos | Permiso de lector |
|---|---|
| Base de datos SQL de Azure | Lector o estas acciones. |
| Azure Blob Storage | Lector o estas acciones. |
| Azure Data Lake Storage Gen2 | Lector o estas acciones. |
| Suscripción a Azure | Permiso de lectura en la suscripción o estas acciones. |
El rol de lector contiene suficientes permisos, pero si va a crear un rol personalizado, los usuarios deben incluir estas acciones:
| Origen de datos | Permiso de lector |
|---|---|
| Base de datos SQL de Azure | "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Suscripción a Azure | "Microsoft.Resources/subscriptions/resourceGroups/read" |
Permisos de lector
Los usuarios que tienen al menos el rol de lector en los recursos de Azure disponibles también pueden acceder a esos metadatos de recursos en los tipos de cuenta gratuita y empresarial.
Los usuarios pueden buscar y buscar recursos de estos orígenes en el Data Catalog clásico y ver sus metadatos.
Estos son los permisos necesarios en los recursos para que los usuarios se consideren lectores:
| Origen de datos | Permiso de lector |
|---|---|
| Base de datos SQL de Azure | Lector o estas acciones. |
| Azure Blob Storage | Lector o estas acciones. |
| Azure Data Lake Storage Gen2 | Lector o estas acciones. |
| Suscripción a Azure | Permiso de lectura en la suscripción o estas acciones. |
Permisos de propietario
Los usuarios que tengan el rol de propietario o los permisos de escritura en los recursos de Azure disponibles pueden acceder a los metadatos de esos recursos en los tipos de cuenta gratuita y empresarial y editarlos.
Los usuarios propietarios pueden buscar y buscar recursos de estos orígenes en el catálogo y ver metadatos. Los usuarios también pueden actualizar y administrar los metadatos de esos recursos. Obtenga más información sobre la conservación de metadatos.
Estos son los permisos necesarios en los recursos para que los usuarios se consideren propietarios:
| Origen de datos | Permiso de propietario |
|---|---|
| Base de datos SQL de Azure | "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
Permisos en la versión gratuita
Todos los usuarios pueden ver los recursos de datos de los orígenes disponibles donde ya tienen al menos permisos de lectura . Los usuarios propietarios pueden administrar los metadatos de los recursos disponibles donde ya tienen al menos permisos de propietario y escritura . Para obtener más información, consulte la sección permisos de acceso a datos.
También se pueden asignar permisos adicionales mediante grupos de roles de nivel de inquilino.
Importante
Para los usuarios recién creados en Microsoft Entra ID, los permisos pueden tardar algún tiempo en propagarse incluso después de que se hayan aplicado los permisos correctos.
Permisos en la versión empresarial de Microsoft Purview
Todos los usuarios pueden ver los recursos de datos de los orígenes disponibles donde ya tienen al menos permisos de lectura . Los usuarios propietarios pueden administrar los metadatos de los recursos donde ya tienen al menos permisos de propietario y escritura . Para obtener más información, consulte la sección permisos de acceso a datos.
También se pueden asignar permisos adicionales mediante grupos de roles de nivel de inquilino.
Los permisos también se pueden asignar en el Mapa de datos de Microsoft Purview para que los usuarios puedan examinar los recursos de la búsqueda de Data Catalog de mapa de datos o clásica a la que aún no tienen acceso a los datos.