Compartir a través de


Arquitecturas y procedimientos recomendados de colecciones y dominios de Microsoft Purview

En el núcleo de las soluciones de gobernanza unificada de Microsoft Purview, el mapa de datos es un servicio que mantiene un mapa actualizado de los recursos y sus metadatos en todo el patrimonio de datos. Para hidratar el mapa de datos, debe registrar y examinar los orígenes de datos. En una organización, puede haber miles de orígenes de datos administrados y gobernados por unidades de negocio, equipos y entornos centralizados o descentralizados. Para administrar esto, puede usar dominios y colecciones en Microsoft Purview.

Nota:

Las recomendaciones de procedimientos recomendados de este artículo se aplican a las cuentas de Microsoft Purview que usan una cuenta de nivel de inquilino (https://purview.microsoft.com).

Dominios

En Microsoft Purview, los dominios son elementos fundamentales del mapa de datos y representan una jerarquía de nivel superior dentro de una cuenta de Microsoft Purview. Permiten la segregación de responsabilidades, la organización eficaz y la administración de la gobernanza de datos dentro de la organización, especialmente cuando hay subsidiarias o unidades de negocio que operan de forma independiente, pero comparten un inquilino de Entra ID común. Mediante el uso de dominios, las organizaciones pueden lograr varias funcionalidades, entre las que se incluyen:

  • Organización: los dominios ayudan a agrupar lógicamente recursos como orígenes de datos, recursos, exámenes y recursos relacionados con la seguridad que pertenecen a una unidad de negocio o región.
  • Delegación: los dominios son una jerarquía anterior a las colecciones, lo que permite a los administradores de Microsoft Purview delegar tareas administrativas específicas a subconjuntos de componentes dentro de la gobernanza de datos de Microsoft Purview para unidades de negocio o suborganización específicas.
  • Seguridad: al aislar objetos dentro de dominios, los administradores pueden implementar medidas de seguridad dirigidas y controlar el acceso de forma más eficaz. Por ejemplo, recursos como conexiones, credenciales y directivas pueden ser específicos y visibles para un dominio determinado.
  • Administración del ciclo de vida: los dominios facilitan la separación de los recursos de desarrollo, pruebas, control de calidad, preproducción y producción dentro del mismo inquilino.
  • Aislamiento de recursos: los dominios ayudan a aislar los recursos debido a los requisitos regionales, legales o normativos.

Colecciones

Las colecciones de Microsoft Purview admiten la asignación organizativa o suborganizada de metadatos. Mediante el uso de colecciones, puede administrar y mantener orígenes de datos, exámenes y recursos dentro de una unidad de negocio en una jerarquía en lugar de una estructura plana. Las colecciones permiten crear un modelo jerárquico personalizado del panorama de datos en función de cómo su organización planea usar Microsoft Purview para controlar los datos.

Una colección también proporciona un límite de seguridad para los metadatos en el mapa de datos. El acceso a colecciones, orígenes de datos y metadatos se configura y mantiene en función de la jerarquía de colecciones de Microsoft Purview, siguiendo un modelo con privilegios mínimos:

  • Los usuarios tienen la cantidad mínima de acceso que necesitan para realizar su trabajo.
  • Los usuarios no tienen acceso a datos confidenciales que no necesitan.

Descripción de la relación

  • Los dominios son más estratégicos y centrados en las directivas, mientras que las colecciones son más operativas y centradas en el acceso. Por ejemplo, en una gran organización sanitaria con varios segmentos como Hospitales, Clínicas, Investigación y Administración, todos bajo el mismo Microsoft Entra ID inquilino, dominios y colecciones se pueden definir de la siguiente manera:
    • Dominios: la organización crea dominios para cada segmento. Estos dominios son estratégicos y centrados en las directivas, lo que significa que definen directivas de gobernanza de alto nivel, requisitos de cumplimiento y estrategias de administración de datos para cada segmento. Por ejemplo, el dominio Hospitals podría tener directivas relacionadas con la privacidad de los datos de los pacientes y las regulaciones sanitarias, mientras que el dominio de investigación podría centrarse en acuerdos de uso compartido de datos y directrices éticas para ensayos clínicos. Cada dominio puede tener sus propios conjuntos de credenciales, conjuntos de reglas de examen, directivas y conexiones, así como colecciones, orígenes de datos, exámenes y recursos que no son visibles para los usuarios y administradores de otros dominios.
    • Colecciones: dentro del dominio Hospitales, hay varias tareas operativas que deben administrarse. La organización crea colecciones para diferentes unidades operativas, como servicios de emergencia, atención hospitalaria y servicios ambulatorios. Estas colecciones son más operativas y centradas en el acceso, lo que significa que organizan orígenes de datos, recursos y examinan específicamente cada unidad operativa. El acceso a estas colecciones se controla en función de los roles y responsabilidades de los usuarios dentro del segmento Hospitales. Por ejemplo, solo el personal del departamento de emergencias podría tener acceso a la colección de Servicios de emergencia, mientras que los gerentes de atención hospitalaria tienen acceso a la colección De atención hospitalaria.
  • Las colecciones pueden existir dentro de dominios, heredando las directivas de gobernanza establecidas en el nivel de dominio.
  • En la gobernanza de datos de Microsoft Purview, los dominios y las colecciones tienen funciones distintas. Una cuenta puede tener un dominio predeterminado y hasta cuatro dominios personalizados. Cada dominio puede tener su propia jerarquía de colecciones.
  • Un usuario miembro del rol Administradores de Purview puede crear y administrar dominios y delegar el acceso a cada unidad de negocio para administrar sus propios dominios concediéndole acceso como rol de Administrador de dominio de Purview .

Definición de una jerarquía

Recomendaciones de diseño

  • Empiece a diseñar la arquitectura de dominios y colecciones en función de los requisitos legales y de seguridad de su organización, teniendo en cuenta la administración de datos y la estructura de gobernanza de la organización. Revise los arquetipos recomendados en este artículo.

  • Considere la seguridad y la administración del acceso como parte del proceso de toma de decisiones de diseño al crear dominios y colecciones en Microsoft Purview.

  • Comience con el dominio predeterminado y compile la jerarquía de recopilación dentro del dominio predeterminado. Use dominios adicionales si tiene alguno de los siguientes requisitos:

    • Debe compilar entornos de producción y de no producción en el mismo inquilino.

    • Tiene varias regiones y necesita separar lógicamente los recursos y separar las responsabilidades entre estas regiones.

    • Su organización tiene varias empresas o unidades de negocio en el mismo inquilino y necesita separar recursos y separar la administración y las responsabilidades.

  • Cada dominio o colección tiene un atributo name y un atributo de nombre descriptivo. Si usa el portal de gobernanza de Microsoft Purview para implementar un dominio o una colección, el sistema asigna automáticamente un nombre aleatorio de seis letras para evitar la duplicación.

  • Actualmente, un nombre de dominio o colección puede contener hasta 36 caracteres y un nombre descriptivo de colección puede tener hasta 100 caracteres.

  • Cuando pueda, evite duplicar la estructura organizativa en una jerarquía de colecciones profundamente anidada. Si no puede evitar hacerlo, asegúrese de usar nombres diferentes para cada colección de la jerarquía para facilitar la distinción de las colecciones.

  • Automatice la implementación de dominios y colecciones mediante la API si tiene previsto implementar dominios y colecciones y asignaciones de roles de forma masiva.

  • Use un nombre de entidad de seguridad de servicio dedicado (SPN) para ejecutar operaciones en Data Map para administrar dominios, colecciones y asignaciones de roles mediante la API. El uso de un SPN reduce el número de usuarios que tienen derechos elevados y sigue las directrices con privilegios mínimos.

Consideraciones sobre diseño

  • Los dominios solo están disponibles para las cuentas de Microsoft Purview mediante una cuenta de nivel de inquilino.

  • Tenga en cuenta que una cuenta de Microsoft Purview puede tener hasta cuatro dominios además del dominio predeterminado. Como parte de la consolidación de las cuentas de Microsoft Purview actuales, el contenido de los mapas de datos existentes, incluidas colecciones, orígenes de datos, recursos y exámenes, se migra a un nuevo dominio.

  • Cree un nuevo dominio si planea incorporar una nueva organización en el inquilino que tenga un requisito legal diferente.

  • Los siguientes recursos se implementan en el nivel de inquilino y son visibles en todos los dominios:

    • Definiciones de tipo
    • Atributos administrados
    • Términos del glosario
    • Clasificaciones y reglas de clasificación
    • Metamodelo
    • Tiempos de ejecución de integración
    • Flujos de trabajo
  • Los dominios proporcionan la separación de los siguientes recursos:

    • Credenciales
    • Conexiones de seguridad
    • Conjuntos de reglas de examen personalizados
    • Conjuntos de recursos avanzados y reglas de patrones
    • Directivas
    • Conexiones de ADF
    • Colecciones y todos los recursos que se pueden limitar a una colección
  • Las colecciones proporcionan la separación de los siguientes recursos:

    • Orígenes de datos
    • Escaneos
    • Activos
  • Cada cuenta de Microsoft Purview se crea con un dominio predeterminado. El nombre de dominio predeterminado es el mismo que el nombre de la cuenta de Microsoft Purview. El dominio predeterminado no se puede quitar, pero puede cambiar el nombre descriptivo del dominio predeterminado.

  • Una colección puede tener tantas colecciones secundarias como sea necesario. Pero cada colección solo puede tener un dominio y una colección primaria.

  • Una jerarquía de colecciones de Microsoft Purview puede admitir hasta 256 colecciones, con un máximo de ocho niveles de profundidad. Esto no incluye la colección raíz.

  • Por diseño, no puede registrar orígenes de datos varias veces en una sola cuenta de Microsoft Purview. Esta arquitectura ayuda a evitar el riesgo de asignar diferentes niveles de control de acceso a un único origen de datos. Si varios equipos consumen los metadatos de un único origen de datos, puede registrar y administrar el origen de datos en una colección primaria. A continuación, puede crear los exámenes correspondientes en cada subconsulta para que aparezcan los recursos pertinentes en cada colección secundaria.

  • Las conexiones y artefactos de linaje se adjuntan al dominio predeterminado, incluso si los orígenes de datos están registrados en colecciones de nivel inferior.

  • Al ejecutar un nuevo examen, de forma predeterminada, el examen se implementa en la misma colección que el origen de datos. Opcionalmente, puede seleccionar una subcolecciones diferente para ejecutar el examen. Como resultado, los recursos pertenecen a la subconsulta.

  • Puede eliminar un dominio si está vacío.

  • Puede eliminar una colección si no tiene recursos, exámenes asociados, orígenes de datos o colecciones secundarias.

  • Se permite mover orígenes de datos entre colecciones si se concede al usuario el rol de Administración origen de datos para las colecciones de origen y destino.

  • Se permite mover recursos entre colecciones si al usuario se le concede el rol de conservador de datos para las colecciones de origen y destino.

  • Para realizar operaciones de traslado y cambio de nombre en una colección, revise las siguientes recomendaciones y consideraciones:

    1. Para cambiar el nombre de una colección, debe ser miembro del rol de administradores de recopilación.

    2. Para mover una colección, debe ser miembro del rol de administradores de recopilación en las colecciones de origen y de destino.

Definición de un modelo de autorización

Microsoft Purview contiene roles en Microsoft Defender para Office 365, así como roles que existen dentro del plano de datos de Microsoft Purview. Después de implementar una cuenta de Microsoft Purview, se crea automáticamente un dominio predeterminado y el creador de la cuenta de Microsoft Purview pasa a formar parte del rol Administradores de Purview. Para obtener más información sobre los permisos para los Mapa de datos de Microsoft Purview y Catálogo unificado, consulte la documentación de roles y permisos.

Recomendaciones de diseño

  • Considere la posibilidad de implementar el acceso de emergencia o una estrategia de interrupción para el inquilino, de modo que pueda recuperar el acceso al dominio predeterminado de Microsoft Purview cuando sea necesario, para evitar bloqueos de nivel de cuenta de Microsoft Purview. Documente el proceso para usar cuentas de emergencia.

  • Minimice el número de administradores de Purview, administradores de dominio y administradores de recopilación. Asigne un máximo de tres usuarios administradores de dominio en el dominio predeterminado, incluidos el SPN y las cuentas de interrupción. Asigne los roles de Administración colección a la colección de nivel superior o a las subcolecciones en su lugar.

  • Asigne roles a grupos en lugar de usuarios individuales para reducir la sobrecarga administrativa y los errores en la administración de roles individuales.

  • Asigne la entidad de servicio en la colección raíz con fines de automatización.

Para aumentar la seguridad, habilite Microsoft Entra acceso condicional con autenticación multifactor para administradores de Purview, administradores de dominio y administradores de recopilación, administradores de orígenes de datos y conservadores de datos. Asegúrese de que las cuentas de emergencia están excluidas de la directiva de acceso condicional.

Consideraciones sobre diseño

  • La administración de acceso de Microsoft Purview se ha movido al plano de datos y a los roles en Microsoft Defender para Office 365. Los roles de Azure Resource Manager ya no se usan, por lo que debe usar Microsoft Purview para asignar roles.

  • En Microsoft Purview, puede asignar roles a usuarios, grupos de seguridad y entidades de servicio (incluidas las identidades administradas) desde Microsoft Entra ID en el mismo inquilino Microsoft Entra donde se implementa la cuenta de Microsoft Purview.

  • Primero debe agregar cuentas de invitado a su inquilino de Microsoft Entra como usuarios B2B para poder asignar roles de Microsoft Purview a usuarios externos.

  • De forma predeterminada, los administradores de dominio también obtienen roles de administrador de origen de datos, lector de datos y conservador de datos para que tengan acceso para leer o modificar recursos.

  • De forma predeterminada, el administrador global se agrega como administradores de recopilación en el dominio predeterminado.

  • De forma predeterminada, todas las colecciones secundarias heredan automáticamente todas las asignaciones de roles. Pero puede habilitar Restringir permisos heredados en cualquier colección excepto en la colección raíz. Restringir permisos heredados quita los roles heredados de todas las colecciones primarias, excepto el rol de administrador de recopilación.

  • Para Azure Data Factory conexión: para conectarse a Azure Data Factory, debe ser administrador de recopilación en el dominio predeterminado.

  • Si necesita conectarse a Azure Data Factory para el linaje, conceda el rol Conservador de datos a la identidad administrada de la factoría de datos en el nivel de colección raíz de Microsoft Purview. Al conectar Data Factory a Microsoft Purview en la interfaz de usuario de creación, Data Factory intenta agregar estas asignaciones de roles automáticamente. Si tiene el rol de administrador de recopilación en el dominio predeterminado de Microsoft Purview, esta operación funciona.

Arquetipos de dominios y colecciones

Puede implementar sus dominios y colecciones de Microsoft Purview en función de modelos centralizados, descentralizados o híbridos de administración de datos y gobernanza. Basa esta decisión en los requisitos empresariales, legales y de seguridad.

Esta estructura es adecuada para organizaciones que:

  • Se basan en una única ubicación geográfica y operan bajo los mismos requisitos legales.
  • Tener un equipo centralizado de administración y gobernanza de datos en el que el siguiente nivel de administración de datos se inscribe en departamentos, equipos o proyectos.

La jerarquía consta de estas verticales:

Dominios:

  • Dominio predeterminado: Contoso

Colecciones en el dominio predeterminado:

  • Departments (una colección delegada para cada departamento)
  • Equipos o proyectos (segregación adicional basada en proyectos)

No es necesario agregar más dominios, ya que no hay requisitos empresariales ni legales específicos para agregar más.

Los orígenes de datos compartidos de nivel de organización se registran y examinan en la colección hub.

Los orígenes de datos compartidos de nivel de departamento se registran y examinan en las colecciones de departamentos.

Cada origen de datos se registra y examina en su colección correspondiente. Por lo tanto, los recursos también aparecen en la misma colección.

Captura de pantalla que muestra el primer ejemplo de colecciones de Microsoft Purview.

Ejemplo 2: Organización de varias regiones única con administración centralizada

Este escenario es útil para las organizaciones:

  • Que tienen presencia en varias regiones.
  • Donde el equipo de gobernanza de datos está centralizado o descentralizado en cada región.
  • Donde los equipos de administración de datos se distribuyen en cada ubicación geográfica y también hay una administración federada centralizada.
  • Equipos que necesitan administrar sus propios orígenes de datos y recursos

La jerarquía de dominio y colección consta de estas verticales:

Dominios:

  • Dominio predeterminado: FourthCoffee

Colecciones en el dominio predeterminado:

  • Ubicaciones geográficas (colecciones de nivel superior basadas en ubicaciones geográficas donde se encuentran los orígenes de datos y los propietarios de datos)
  • Departments (una colección delegada para cada departamento)
  • Equipos o proyectos (segregación adicional basada en proyectos)

En este escenario, cada región tiene una colección propia en el dominio predeterminado de la cuenta de Microsoft Purview. Los orígenes de datos se registran y examinan en las colecciones correspondientes en sus propias ubicaciones geográficas. Por lo tanto, los recursos también aparecen en la jerarquía de recopilación de la región.

Si ha centralizado los equipos de administración y gobernanza de datos, puede concederles acceso desde el dominio predeterminado. Cuando lo hace, se encargan de supervisar todo el patrimonio de datos en el mapa de datos. Opcionalmente, el equipo centralizado puede registrar y examinar los orígenes de datos compartidos. El equipo centralizado también puede administrar recursos de seguridad, como credenciales y entornos de ejecución de integración.

Los equipos de administración y gobernanza de datos basados en regiones pueden obtener acceso desde sus colecciones correspondientes.

Los orígenes de datos compartidos de nivel de departamento se registran y examinan en las colecciones de departamentos.

Captura de pantalla que muestra el segundo ejemplo de colecciones de Microsoft Purview.

Ejemplo 3: Organización única con varios entornos

Este escenario puede ser útil si tiene un solo inquilino para todos los tipos de entornos de producción y no producción y necesita aislar los recursos tanto como sea posible. Los científicos de datos y los ingenieros de datos que pueden transformar los datos para que sean más significativos, pueden administrar zonas sin procesar y refinar. A continuación, pueden mover los datos a zonas de producción o curadas en los entornos correspondientes.

La jerarquía de dominio y colección consta de estas verticales:

Dominios:

  • Dominio predeterminado: producción de Fabrikam
  • Dominio personalizado 1: desarrollo y pruebas
  • Dominio personalizado 2: QA

Las colecciones de cada dominio podrían seguir cualquiera de estas verticales:

  • Departamentos, Teams o proyectos (segregación adicional basada en proyectos)
  • Fases de transformación de datos (sin procesar, enriquecida, producción/curada, desarrollo, etc.)

Los científicos de datos y los ingenieros de datos pueden tener el rol de conservadores de datos en sus zonas correspondientes para que puedan mantener los metadatos. El acceso del lector de datos a la zona protegida se puede conceder a personas de datos completas y usuarios empresariales.

Captura de pantalla que muestra el tercer ejemplo de colecciones de Microsoft Purview.

Ejemplo 4: Varias organizaciones o empresas que usan el mismo inquilino de Entra ID con administración descentralizada

Esta opción se puede usar para escenarios en los que varias empresas comparten el mismo inquilino de Entra ID y cada organización debe organizar los metadatos y administrar sus propios recursos.

Nota:

Si anteriormente tenía varias cuentas de Microsoft Purview en el inquilino, la primera cuenta que seleccione para migrar se convierte en dominio predeterminado y puede actualizar las otras cuentas a dominios independientes.

La jerarquía de dominio y colección consta de estas verticales:

Dominios:

  • Dominio predeterminado: empresa primaria u organización como Contoso
  • Dominio personalizado 1: FourthCoffee
  • Dominio personalizado 2: Fabrikam

Las colecciones de cada dominio podrían seguir cualquiera de estas verticales:

  • Departamentos, equipos o proyectos (segregación adicional basada en proyectos)
  • Fases de transformación de datos (sin procesar, enriquecida, producción/curada, desarrollo, etc.)
  • Regiones dentro de una organización

Cada organización tiene un dominio propio con su propia jerarquía de colecciones en la cuenta de Microsoft Purview. Los recursos de seguridad se administran dentro de cada dominio y los orígenes de datos se registran y examinan en los dominios correspondientes. Los recursos se agregan a la jerarquía de subcolecciones para el dominio específico.

Si ha centralizado la administración de datos y la organización de gobernanza, puede ser el dominio predeterminado, para que puedan administrar recursos compartidos, como tiempos de ejecución de integración, atributos administrados, etc.

Los equipos de administración y gobernanza de datos de la organización pueden obtener acceso desde sus colecciones correspondientes en un nivel inferior, en función de la administración centralizada o descentralizada de cada dominio.

Captura de pantalla que muestra el cuarto ejemplo de colecciones de Microsoft Purview.

Nota:

Varias organizaciones pueden crear y usar un dominio compartido que no sea de producción, cada organización que tenga su propia colección de nivel superior en el dominio que no es de producción.

Opciones de administración de acceso

Si desea implementar la democratización de datos en toda una organización, use un dominio y asigne el rol Lector de datos en el dominio predeterminado a los usuarios de administración de datos, gobernanza y empresa. Asigne roles de Administración de origen de datos y conservador de datos en los niveles de subcolecciones a los equipos de administración y gobernanza de datos correspondientes.

Si necesita restringir el acceso a la búsqueda y detección de metadatos en su organización, asigne los roles Lector de datos y Conservador de datos en el nivel de colección específico. Por ejemplo, podría restringir los empleados de EE. UU. para que solo puedan leer datos en el nivel de recopilación de EE. UU. y no en la colección LATAM.

Cree dominios adicionales solo si es necesario, como al separar entornos de producción y no profesionales, actualizar varias cuentas en una cuenta unificada o tener varias empresas dentro del mismo inquilino que tienen requisitos de seguridad diferentes.

Puede aplicar una combinación de estos escenarios en el mapa de datos de Microsoft Purview mediante dominios y colecciones.

Asigne el rol de administrador de dominio al equipo de administración y seguridad de datos centralizado en la recopilación predeterminada. Delega más dominios o administración de colecciones de dominios adicionales y colecciones de nivel inferior a los equipos correspondientes.

Pasos siguientes