Configuración y administración de directivas de acceso Catálogo unificado

Nota:

En este artículo se explica cómo establecer directivas de acceso en conceptos empresariales, incluidos dominios de gobernanza, productos de datos, elementos de datos críticos y términos del glosario, y para administrar las solicitudes de acceso. Si necesita solicitar acceso por sí mismo, cómo solicitar acceso a un producto de datos.

El acceso a un producto de datos proporciona a los usuarios permisos para el producto de datos y permisos para los recursos de datos dentro del producto de datos. En este artículo se explica cómo puede administrar el acceso a los productos de datos y configurar un sistema para proporcionar acceso a los usuarios que lo solicitan.

En este artículo, aprenderá lo siguiente:

• Configuración de una directiva de acceso a productos de datos
• Cómo administrar y aprobar el acceso a los productos de datos

Permissions

1. Para ver y administrar directivas en el nivel de dominio de gobernanza, se necesitan permisos de propietario de dominio de gobernanza .
2. Para ver y administrar directivas en el nivel de producto de datos, se necesitan permisos de propietario del producto de datos .
3. Para ver y administrar directivas en productos de datos o términos de glosario, se necesitan permisos de administrador de datos .
4. Catálogo unificado los lectores pueden ver y solicitar acceso a los productos de datos.
5. Los administradores y aprobadores de privacidad de las solicitudes de acceso también deben tener un mínimo de Catálogo unificado lector para poder usar el Catálogo unificado y aprobar las solicitudes como parte de la aprobación por niveles.

Consideraciones

En esta experiencia, los aprobadores de solicitudes deben proporcionar acceso a los recursos de datos individuales manualmente como parte del proceso de aprobación o especificar un proveedor de acceso para hacerlo.

Las directivas, como las atestaciones (incluida la no atestación de copia), no se aplican en el producto. El consumidor de datos atestigua que seguirá estas directivas al solicitar acceso.

Configuración de directivas de acceso a productos de datos

Para crear directivas de acceso, en la mayoría de las situaciones necesitará permisos de administrador de datos o propietario del producto de datos.

Sugerencia

El producto de datos debe estar en un estado no publicado para administrar las directivas de acceso.

1. En el portal de Microsoft Purview, abra Catálogo unificado.
2. Seleccione la lista desplegable Administración de catálogos y productos de datos.
3. Seleccione un producto de datos.
4. En la página del producto de datos, seleccione Administrar directivas.
5. Desde la ventana de configuración de directiva, puede crear y administrar la directiva de acceso del producto de datos.

Configuración de directivas de acceso a productos de datos

En la ventana Administrar directivas , puede ver y editar los valores predeterminados asignados al conjunto predeterminado de directivas de acceso al producto de datos. Los valores seleccionados afectan a lo que los consumidores de datos ven en su formulario de solicitud de acceso y a las acciones que necesitan realizar.

1. En la lista desplegable Acceso permitido , agregue sus propósitos de uso, que son los fines autorizados para acceder y usar el producto de datos. Hay tres valores proporcionados de forma predeterminada para los que puede editar la descripción y agregar otros fines entre los que elegirá el consumidor en el formulario de acceso a la solicitud.
2. En la lista desplegable Requisitos de aprobación , determine si se requiere la aprobación del administrador o una revisión de privacidad y cumplimiento.

   Nota:

   Si se selecciona, el formulario de solicitud de acceso mostrará que se requiere un aprobador de administrador o una revisión de privacidad y cumplimiento. Se notificará al administrador del consumidor en Microsoft Entra ID el primer nivel de aprobación. Se notificará al revisor de privacidad nombrado por el consumidor en el formulario de solicitud para su aprobación. El administrador revisará primero la solicitud, seguida del revisor de privacidad y, después, los aprobadores de solicitudes de acceso para su aprobación y concesión de acceso. El nivel de proveedor de acceso opcional será el último, si está seleccionado. El estado de la solicitud es final solo cuando se completan todos los niveles configurados de aprobación.

3. En la lista desplegable Requisitos de aprobación , en Aprobadores de solicitudes de Access, seleccione los usuarios que tendrán que aprobar la solicitud de acceso. El primer aprobador que tome medidas aprobará la solicitud y procederá a conceder acceso a los recursos de datos manualmente, registrará el estado del acceso aprovisionado en cada recurso y especificará instrucciones de acceso a datos o comentarios al consumidor de datos. De forma predeterminada, los propietarios de productos de datos se rellenan y se pueden agregar más aprobadores. También puede agregar grupos de Microsoft Entra ID o grupos de seguridad, ya que los aprobadores y aprobadores pueden ver el estado detallado en la vista de solicitud.
4. Un nivel opcional denominado Proveedor de acceso se puede establecer explícitamente para conceder acceso a los recursos de datos manualmente, registrar el estado del acceso aprovisionado en cada recurso y especificar instrucciones de acceso a datos o comentarios al consumidor de datos. Esta práctica garantiza que el consumidor de datos es consciente de los pasos siguientes que puede seguir para acceder a los datos y usarlos.
5. En Atestaciones, determine si se permiten copias de los datos. Las atestaciones se reflejan en el formulario de solicitud de acceso para que el consumidor atestigua.
6. Si los términos de uso están presentes en un producto de datos, también se reflejarán en el formulario de solicitud de acceso para que el consumidor atestigua.
7. Para agregar más atestaciones, seleccione Agregar atestación y agregue un nombre para mostrar y la ubicación del archivo. Se reflejan en el formulario de acceso de solicitud para que el consumidor atestigua.
8. Si hay directivas heredadas del dominio de gobernanza, el elemento de datos crítico o el término del glosario, puede ver en la pestaña Directivas heredadas. Consulte la sección siguiente de este documento para obtener más información: Directivas sobre dominios de gobernanza y términos del glosario (directivas heredadas).
9. Seleccione Formulario de solicitud de vista previa para ver lo que ven los usuarios cuando solicitan acceso.
10. Seleccione Guardar cambios para guardar la directiva de acceso del dominio de gobernanza.

Directivas sobre dominios de gobernanza, términos del glosario y elementos de datos críticos (directivas heredadas)

Las directivas se pueden establecer en dominios de gobernanza, términos de glosario y elementos de datos críticos. Los productos de datos del dominio de gobernanza o los productos de datos que tengan términos de glosario o elementos de datos críticos aplicados heredarán y agregarán las directivas.

Puede ver las directivas heredadas en la vista directivas de administración de productos de datos, en una pestaña independiente denominada Directivas heredadas. Para ver la vista agregada, seleccione el botón Vista previa . Los consumidores de datos verán esta vista agregada cuando soliciten acceso.

Por ejemplo, si se establece una directiva de aprobación de administrador en un término de glosario aplicado al producto de datos, ahora también se requiere la aprobación del administrador para el producto de datos. Cualquier conjunto de atestación en un concepto empresarial (dominio de gobernanza, producto de datos, término del glosario o elemento de datos crítico) se agrega en el producto de datos y el consumidor de datos dará fe de todas las atestaciones necesarias al solicitar acceso.

Para crear directivas de acceso en dominios de gobernanza, términos de glosario o elementos de datos críticos, necesitará permisos de administrador de datos o propietario del dominio de gobernanza.

1. En el portal de Microsoft Purview, abra Catálogo unificado.
2. Seleccione la lista desplegable Administración del catálogo y seleccione Dominios de gobernanza.
3. Seleccione un dominio de gobernanza.
4. En la página dominio de gobernanza, seleccione Administrar directivas.
5. Como alternativa, en un término de glosario o en una página de elementos de datos críticos, seleccione Administrar directivas.
6. En la ventana Configuración de directiva, puede crear y administrar directivas de acceso pertinentes.

Configuración de directivas heredadas

En la ventana Administrar directivas , puede ver y administrar el conjunto predeterminado de directivas de acceso en cada concepto empresarial. Los valores seleccionados afectan a lo que los consumidores de datos ven en su formulario de solicitud de acceso y a las acciones que necesitan realizar.

1. Determine si es necesaria la aprobación del administrador. El administrador del consumidor de datos, configurado en Microsoft Entra ID, recibirá una notificación como primer nivel de aprobación. Si se aprueba la solicitud, la solicitud pasará al siguiente nivel.
2. Determine si se permiten copias de los datos. Esta selección se refleja en el formulario de solicitud de acceso para que el consumidor atestigua.
3. Para agregar más atestaciones, seleccione Agregar atestación y agregue un nombre para mostrar y la ubicación del archivo. Estas atestaciones se reflejan en el formulario de acceso de solicitud para que el consumidor atestigua.

Visualización y administración de solicitudes de acceso

Para ver las solicitudes de acceso en Catálogo unificado, siga estos pasos. Al seleccionar una solicitud de acceso, se abre el panel flotante Solicitud de acceso , que contiene detalles sobre la solicitud y su estado. Solo verá las solicitudes para las que es aprobador.

1. Seleccione Administración de catálogos y, a continuación, seleccione Solicitudes.
2. En la columna de estado de la tabla de dominio de gobernanza, puede ordenar por cualquier dominio que tenga solicitudes de acceso abierto.
3. Seleccione el dominio de gobernanza para el que desea administrar las solicitudes de acceso.
4. En la pestaña Solicitudes de acceso, puede ver una lista de las solicitudes de acceso más recientes.
5. Puede seleccionar la solicitud de acceso a la que desea responder.
6. Vea los detalles enviados por el consumidor.
7. Seleccione Aprobar o Denegar.
8. Si es el último aprobador de la secuencia de aprobadores (un aprobador de solicitudes de acceso a productos de datos o un proveedor de acceso explícito), también debe registrar el estado de acceso aprovisionado en cada recurso y especificar instrucciones de acceso a datos o comentarios al consumidor de datos. Esta práctica garantiza que el consumidor de datos es consciente de los pasos siguientes que puede seguir para acceder a los datos y usarlos.
9. Se notifica al consumidor de datos una vez que se responde a la solicitud.
10. El solicitante recibe una notificación por correo electrónico y también puede ver el estado en la lista desplegable Detección de Catálogo unificado de Microsoft Purview, página Productos de datos, en la pestaña Mi acceso a datos.

Estados de solicitud

• Pendiente: la solicitud se envía a un aprobador para su revisión.
• Rechazado: el aprobador deniega la solicitud.
• Aprobado: la solicitud está aprobada, pero el trabajo de aprovisionamiento aún no se ha completado para conceder acceso al solicitante.
• Completado: el recurso de datos se ha aprovisionado para conceder acceso al solicitante. Esta solicitud ya está completa.

Respuesta a las solicitudes de acceso a través de una notificación por correo electrónico

1. En el correo electrónico recibido como solicitud para aprobar una solicitud de acceso, seleccione el vínculo Solicitud de aprobación .
2. Se le lleva a la vista de detalles de la solicitud en la página Solicitudes de la lista desplegable Administración de catálogos de la Catálogo unificado de Microsoft Purview.
3. Vea los detalles enviados por el consumidor.
4. Seleccione Aprobar o Denegar.
5. Si es el último aprobador en la secuencia de aprobadores; un aprobador de solicitudes de acceso del producto de datos o un proveedor de acceso explícito, también debe registrar el estado del acceso aprovisionado en cada recurso y especificar instrucciones de acceso a datos o comentarios al consumidor de datos. Esto garantiza que el consumidor de datos es consciente de los pasos siguientes que puede seguir para acceder a los datos y usarlos.
6. Se notificará al consumidor de datos una vez que se responda a la solicitud.
7. El solicitante recibe una notificación por correo electrónico y también puede ver el estado en la página Catálogo unificado de Microsoft Purview Búsqueda de productos de datos, en la pestaña Mi acceso a datos.

Aprobaciones secuenciales o en niveles y estados de solicitud

Como se indica en la sección para administrar directivas sobre el producto de datos, en función de las selecciones del aprobador realizadas, está en vigor una aprobación secuencial o por niveles. La siguiente secuencia se mantiene para las aprobaciones de solicitudes de acceso a productos de datos.

1. Si se selecciona la aprobación del administrador, se notificará al administrador del consumidor en Microsoft Entra el primer nivel de aprobación.
2. Solo después de que el administrador apruebe la solicitud, el revisor de privacidad, si se selecciona, recibirá una notificación para su aprobación o podrá tomar medidas.
3. Una vez aprobado por el revisor de privacidad, se notifica al aprobador de la solicitud de acceso la aprobación y el aprovisionamiento del acceso a los recursos de datos del producto de datos. Este nivel aprobará y completará la solicitud si no se especifica ningún proveedor de acceso; de lo contrario, solo lo aprobarán.
4. Si se especifica un último nivel de proveedor de acceso, ese es el nivel que aprovisionaría el acceso a los recursos de datos y registraría el estado y las instrucciones para el consumidor de datos. Completarán la solicitud. Completado será el estado final.
5. El flujo de trabajo continúa hasta que se produce la última aprobación y finalización o se produce la primera denegación.
6. El consumidor de datos solo recibe una notificación después de que todos los suyos hayan tomado sus respectivas acciones.
7. En cualquier momento, el consumidor de datos puede ver el estado de la solicitud en la lista desplegable Detección de Catálogo unificado de Microsoft Purview, página Productos de datos, en la pestaña Mi acceso a datos.
8. Un estado de solicitud puede pasar de pendiente a rechazado o pendiente a aprobado y, a continuación, a completado.

Eliminación de solicitudes de acceso

Para revocar el acceso de un usuario a un producto de datos y a los recursos de datos dentro del producto de datos, el aprobador de la solicitud debe competir con los dos pasos que se enumeran a continuación.

Nota:

El único aprobador de solicitudes que puede quitar el acceso a un producto de datos y eliminar una solicitud de acceso es el propietario de ese mismo producto de datos. Este propietario de datos también debe tener el rol Propietario del producto de datos.

1. Vuelva al recurso de datos individual (por ejemplo, en Azure Data Lake, Fabric o SQL) y quite manualmente el aprovisionamiento para el usuario.

2. Elimine la solicitud en Catálogo unificado siguiendo estos pasos:

   1. En Catálogo unificado, seleccione Administración de catálogos y, a continuación, seleccione Solicitudes.
   2. Seleccione un dominio de gobernanza y, a continuación, seleccione el nombre de la solicitud que desea eliminar.
   3. En el panel flotante Solicitud de acceso , seleccione Eliminar.

Si quita el aprovisionamiento en el recurso pero no elimina la solicitud de acceso en Catálogo unificado, el producto de datos muestra que se ha quitado el acceso del usuario, pero el usuario seguirá teniendo acceso a los recursos de datos subyacentes.