Compartir a través de


Control de acceso en el portal de gobernanza de Microsoft Purview clásico

El portal de gobernanza de Microsoft Purview usa colecciones en el Mapa de datos de Microsoft Purview para organizar y administrar el acceso entre sus orígenes, recursos y otros artefactos. En este artículo se describen las colecciones y la administración de acceso de su cuenta en el portal de gobernanza de Microsoft Purview clásico.

Importante

En este artículo se tratan los permisos de gobernanza de datos de Microsoft Purview en el portal de gobernanza de Microsoft Purview clásico.

Permisos para acceder al portal de gobernanza de Microsoft Purview

Hay dos maneras principales de acceder al portal de gobernanza de Microsoft Purview, ambas requieren permisos:

  • Para acceder al portal de gobernanza de Microsoft Purview directamente en https://web.purview.azure.com, necesitará al menos un rol de lector en una colección de la Mapa de datos de Microsoft Purview.
  • Para acceder al portal de gobernanza de Microsoft Purview a través de la Azure Portal, busque su cuenta de Microsoft Purview, ábrala y seleccione Abrir portal de gobernanza de Microsoft Purview, necesitará al menos un rol lector en Access Control (IAM).

Nota:

Si ha creado su cuenta con una entidad de servicio, para poder acceder al portal de gobernanza de Microsoft Purview tendrá que conceder permisos de administrador de recopilación de usuarios a la colección raíz.

Colecciones

Una colección es una herramienta que el Mapa de datos de Microsoft Purview usa para agrupar recursos, orígenes y otros artefactos en una jerarquía para administrar el control de acceso. Todos los accesos a los recursos del portal de gobernanza de Microsoft Purview se administran desde colecciones de la Mapa de datos de Microsoft Purview.

Funciones

El portal de gobernanza de Microsoft Purview usa un conjunto de roles predefinidos para controlar quién puede acceder a lo que dentro de la cuenta. Estos roles son actualmente:

  • Administrador de dominio (solo en el nivel de dominio ): puede asignar permisos dentro de un dominio y administrar sus recursos.
  • Administrador de recopilación : un rol para los usuarios que necesitarán asignar roles a otros usuarios en el portal de gobernanza de Microsoft Purview o administrar colecciones. Los administradores de recopilación pueden agregar usuarios a roles en colecciones donde son administradores. También pueden editar colecciones, sus detalles y agregar subcolecciones. Un administrador de recopilación de la colección raíz también tiene automáticamente permiso para el portal de gobernanza de Microsoft Purview. Si alguna vez es necesario cambiar el administrador de la colección raíz , puede seguir los pasos de la sección siguiente.
  • Conservadores de datos: un rol que proporciona acceso a la Catálogo unificado de Microsoft Purview para administrar recursos, configurar clasificaciones personalizadas, crear y administrar términos del glosario y ver información sobre el patrimonio de datos. Los conservadores de datos pueden crear, leer, modificar, mover y eliminar recursos. También pueden aplicar anotaciones a los recursos.
  • Lectores de datos : un rol que proporciona acceso de solo lectura a los recursos de datos, las clasificaciones, las reglas de clasificación, las colecciones y los términos del glosario.
  • Administrador del origen de datos : un rol que permite a un usuario administrar orígenes de datos y exámenes. Si a un usuario solo se le concede el rol de administrador de origen de datos en un origen de datos determinado, puede ejecutar nuevos exámenes mediante una regla de examen existente. Para crear nuevas reglas de examen, también se debe conceder al usuario como lector de datos o como roles de conservador de datos .
  • Lector de conclusiones : un rol que proporciona acceso de solo lectura a informes de conclusiones para colecciones en las que el lector de conclusiones también tiene al menos el rol Lector de datos . Para obtener más información, consulte permisos de información.
  • Autor de directivas: un rol que permite a un usuario ver, actualizar y eliminar directivas de Microsoft Purview a través de la aplicación Directiva de datos de Microsoft Purview.
  • Administrador de flujo de trabajo : un rol que permite a un usuario acceder a la página de creación de flujos de trabajo en el portal de gobernanza de Microsoft Purview y publicar flujos de trabajo en colecciones donde tienen permisos de acceso. El administrador de flujo de trabajo solo tiene acceso a la creación, por lo que necesitará al menos el permiso lector de datos en una colección para poder acceder al portal de gobernanza de Purview.

Nota:

En este momento, el rol de autor de directivas de Microsoft Purview no es suficiente para crear directivas. También se requiere el rol de administrador del origen de datos de Microsoft Purview.

¿A quién se debe asignar a qué rol?

Escenario de usuario Roles adecuados
Sólo necesito encontrar recursos, no quiero editar nada Lector de datos
Necesito editar y administrar información sobre los recursos Conservador de datos
Quiero crear clasificaciones personalizadas Administrador de orígenes de datos o conservador de datos
Necesito editar el glosario empresarial. Conservador de datos
Necesito ver Data Estate Insights para comprender la posición de gobernanza de mi patrimonio de datos. Conservador de datos
La entidad de servicio de mi aplicación debe insertar datos en el Mapa de datos de Microsoft Purview Conservador de datos
Necesito configurar exámenes a través del portal de gobernanza de Microsoft Purview El conservador de datos en la colección o el conservador de datos y el administrador del origen de datos donde está registrado el origen.
Necesito habilitar una entidad de servicio o un grupo para configurar y supervisar exámenes en el Mapa de datos de Microsoft Purview sin permitirles acceder a la información del catálogo. Administrador del origen de datos
Necesito poner a los usuarios en roles en el portal de gobernanza de Microsoft Purview Administrador de recopilación
Necesito crear y publicar directivas de acceso Administrador del origen de datos y autor de directivas
Necesito crear flujos de trabajo para mi cuenta de Microsoft Purview en el portal de gobernanza Administrador de flujo de trabajo
Necesito compartir datos de orígenes registrados en Microsoft Purview Lector de datos
Necesito recibir datos compartidos en Microsoft Purview Lector de datos
Necesito ver información sobre las colecciones de las que forme parte Lector o conservador de datos de Insights
Necesito crear o administrar nuestro entorno de ejecución de integración autohospedado (SHIR) Administrador del origen de datos
Necesito crear puntos de conexión privados administrados Administrador del origen de datos

Gráfico que muestra los roles del portal de gobernanza de Microsoft Purview

Nota:

*Conservador de datos : los conservadores de datos solo pueden leer información si se les asigna el conservador de datos en el nivel de colección raíz.

**Permisos de administrador de origen de datos en directivas : los administradores de orígenes de datos también pueden publicar directivas de datos.

Información sobre cómo usar los roles y colecciones del portal de gobernanza de Microsoft Purview

Todo el control de acceso se administra a través de colecciones en el Mapa de datos de Microsoft Purview. Las colecciones se pueden encontrar en el portal de gobernanza de Microsoft Purview. Abra su cuenta en el Azure Portal y seleccione el icono del portal de gobernanza de Microsoft Purview en la página Información general. Desde allí, vaya al mapa de datos en el menú de la izquierda y, a continuación, seleccione la pestaña "Colecciones".

Cuando se crea una cuenta de Microsoft Purview (anteriormente Azure Purview), comienza con una colección raíz que tiene el mismo nombre que la propia cuenta. El creador de la cuenta se agrega automáticamente como colección Administración, Administración de origen de datos, conservador de datos y lector de datos en esta colección raíz, y puede editar y administrar esta colección.

Los orígenes, los recursos y los objetos se pueden agregar directamente a esta colección raíz, pero también otras colecciones. Agregar colecciones le proporcionará más control sobre quién tiene acceso a los datos en su cuenta.

Todos los demás usuarios solo pueden acceder a la información en el portal de gobernanza de Microsoft Purview si a ellos, o a un grupo en el que se encuentran, se les asigna uno de los roles anteriores. Esto significa que, al crear una cuenta, nadie más que el creador puede acceder a sus API o usarlas hasta que se agreguen a uno o varios de los roles anteriores de una colección.

Un administrador de recopilación solo puede agregar usuarios a una colección o mediante la herencia de permisos. Sus subcolecciones heredan automáticamente los permisos de una colección primaria. Sin embargo, puede optar por restringir la herencia de permisos en cualquier colección. Si lo hace, sus subcolecciones ya no heredarán permisos del elemento primario y tendrán que agregarse directamente, aunque los administradores de colecciones que se heredan automáticamente de una colección primaria no se pueden quitar.

Puede asignar roles a usuarios, grupos de seguridad y entidades de servicio desde la Microsoft Entra ID asociada a la suscripción.

Asignación de permisos a los usuarios

Después de crear una cuenta de Microsoft Purview (anteriormente Azure Purview), lo primero que hay que hacer es crear colecciones y asignar usuarios a roles dentro de esas colecciones.

Nota:

Si ha creado su cuenta mediante una entidad de servicio, para poder acceder al portal de gobernanza de Microsoft Purview y asignar permisos a los usuarios, tendrá que conceder permisos de administrador de recopilación de usuarios en la colección raíz.

Crear colecciones

Las colecciones se pueden personalizar para la estructura de los orígenes de la Mapa de datos de Microsoft Purview y pueden actuar como contenedores de almacenamiento organizados para estos recursos. Cuando esté pensando en las colecciones que podría necesitar, considere cómo los usuarios accederán a la información o la detectarán. ¿Los departamentos dividen sus fuentes? ¿Hay grupos especializados dentro de esos departamentos que solo tendrán que descubrir algunos recursos? ¿Hay algunos orígenes que deben ser reconocibles por todos los usuarios?

Esto informará a las colecciones y subcolecciones que puede que necesite para organizar de la forma más eficaz el mapa de datos.

Las nuevas colecciones se pueden agregar directamente al mapa de datos, donde puede elegir su colección primaria en una lista desplegable, o bien se pueden agregar desde el elemento primario como una sub colección. En la vista de mapa de datos, puede ver todos los orígenes y recursos ordenados por las colecciones y, en la lista, se muestra la colección del origen.

Para obtener más instrucciones e información, puede seguir nuestra guía para crear y administrar colecciones.

Ejemplo de colecciones

Ahora que tenemos un conocimiento básico de las colecciones, permisos y cómo funcionan, echemos un vistazo a un ejemplo.

Gráfico que muestra una jerarquía de colecciones de ejemplo desglosada por región y departamento.

Esta es una forma en que una organización podría estructurar sus datos: a partir de su colección raíz (Contoso, en este ejemplo) las colecciones se organizan en regiones y, a continuación, en departamentos y subdepartaciones. Los orígenes de datos y los recursos se pueden agregar a cualquiera de estas colecciones para organizar los recursos de datos por estas regiones y departamentos, y administrar el control de acceso en esas líneas. Hay un subdeparte, Ingresos, que tiene directrices de acceso estrictas, por lo que los permisos tendrán que administrarse estrechamente.

El rol lector de datos puede acceder a la información del catálogo, pero no administrarla ni editarla. Por lo tanto, para nuestro ejemplo anterior, agregar el permiso Lector de datos a un grupo de la colección raíz y permitir la herencia proporcionará a todos los usuarios de ese grupo permisos de lector en los orígenes y recursos de la Mapa de datos de Microsoft Purview. Esto hace que todos los usuarios de ese grupo puedan detectar estos recursos, pero no modificarlos. La restricción de la herencia en el grupo Ingresos controlará el acceso a esos recursos. Los usuarios que necesitan acceso a la información de ingresos se pueden agregar por separado a la recopilación de ingresos. Del mismo modo que con los roles de Administración del conservador de datos y del origen de datos, los permisos para esos grupos se iniciarán en la colección donde se asignan y se reducirán a las subcolecciones que no han restringido la herencia. A continuación, se han asignado permisos para varios grupos en los niveles de colecciones de la sub colección Americas.

Gráfico que muestra una jerarquía de colecciones de ejemplo desglosada por región y departamento, que muestra la distribución de permisos.

Agregar usuarios a roles

La asignación de roles se administra a través de las colecciones. Solo un usuario con el rol de administrador de recopilación puede conceder permisos a otros usuarios de esa colección. Cuando sea necesario agregar nuevos permisos, un administrador de recopilación accederá al portal de gobernanza de Microsoft Purview, navegará a la asignación de datos y, a continuación, a la pestaña recopilaciones y seleccionará la colección donde se debe agregar un usuario. En la pestaña Asignaciones de roles, podrán agregar y administrar usuarios que necesiten permisos.

Para obtener instrucciones completas, consulte nuestra guía de procedimientos para agregar asignaciones de roles.

Cambio de administrador

Puede haber un momento en el que el administrador de la colección raíz tenga que cambiar o un administrador debe agregarse después de que una aplicación cree una cuenta. De forma predeterminada, al usuario que crea la cuenta se le asigna automáticamente el administrador de recopilación a la colección raíz. Para actualizar el administrador de la colección raíz, hay cuatro opciones:

  • Puede administrar los administradores de colecciones raíz en el Azure Portal:

    1. Inicie sesión en el Azure Portal y busque su cuenta de Microsoft Purview.
    2. Seleccione Permiso de recopilación raíz en el menú izquierdo de la página de la cuenta de Microsoft Purview.
    3. Seleccione Agregar administrador de recopilación raíz para agregar un administrador. Captura de pantalla de una página de la cuenta de Microsoft Purview en el Azure Portal con la página Permisos de colección raíz seleccionada y la opción Agregar administrador de recopilación raíz resaltada.
    4. También puede seleccionar Ver todos los administradores de recopilación raíz que se van a llevar a la colección raíz en el portal de gobernanza de Microsoft Purview.
  • Puede asignar permisos a través del portal de gobernanza de Microsoft Purview como lo tiene para cualquier otro rol.

  • Puede usar la API REST para agregar un administrador de recopilación. Las instrucciones para usar la API REST para agregar un administrador de recopilación se pueden encontrar en la documentación de la API REST para colecciones. Para obtener más información, puede ver nuestra referencia de la API REST.

  • También puede usar el siguiente comando de la CLI de Azure. El id. de objeto es opcional. Para obtener más información y un ejemplo, consulte la página de referencia de comandos de la CLI.

    az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
    

Permisos en los recursos

  1. Si no tiene permiso de lectura en una colección, los recursos de esa colección no aparecerán en los resultados de la búsqueda. Si obtiene la dirección URL directa de un recurso y lo abre, verá la página sin acceso. Póngase en contacto con el administrador de recopilación para concederle acceso. Puede seleccionar el botón Actualizar para volver a comprobar el permiso.

    Captura de pantalla de la ventana de recursos del portal de gobernanza de Microsoft Purview en la que el usuario no tiene permisos y no tiene acceso a información ni opciones.

  2. Si tiene el permiso de lectura para una colección pero no tiene el permiso de escritura, puede examinar la página de detalles del recurso, pero las siguientes operaciones están deshabilitadas:

    • Edite el recurso. El botón Editar se deshabilitará.
    • Elimine el recurso. El botón Eliminar se deshabilitará.
    • Mueva el recurso a otra colección. El botón de puntos suspensivos de la esquina superior derecha de la sección Ruta de acceso de la colección se ocultará.
  3. Los recursos de la sección Jerarquía también se ven afectados por los permisos. Los recursos sin permiso de lectura estarán atenuados.

    Captura de pantalla de la ventana de jerarquía del portal de gobernanza de Microsoft Purview, donde el usuario solo tiene permisos de lectura y no tiene acceso a las opciones.

Pasos siguientes

Ahora que tiene conocimientos básicos de las colecciones y el control de acceso, siga las guías siguientes para crear y administrar esas colecciones, o empiece a registrar orígenes en el Mapa de datos de Microsoft Purview.