Ruoli di governance e autorizzazioni nei tipi di account gratuito ed aziendale
Nota
Il Microsoft Purview Data Catalog sta cambiando il nome in Microsoft Purview Unified Catalog. Tutte le funzionalità rimarranno invariate. Verrà visualizzata la modifica del nome quando la nuova esperienza di governance dei dati di Microsoft Purview è disponibile a livello generale nell'area. Controllare il nome nell'area.
Importante
Questo articolo sulle autorizzazioni illustra le autorizzazioni di governance dei dati di Microsoft Purview nel nuovo portale di Microsoft Purview usando il nuovo catalogo dati.
- Per le autorizzazioni di governance del nuovo portale di Microsoft Purview con il catalogo dati classico, vedere Autorizzazioni di governance con il catalogo dati classico
- Per le autorizzazioni generali nel nuovo portale di Microsoft Purview , vedere autorizzazioni nel portale.
- Per le autorizzazioni classiche per i rischi e la conformità, vedere le autorizzazioni nell'articolo Portale di conformità di Microsoft Purview.
- Per le autorizzazioni di governance dei dati nel portale di Microsoft Purview classico, vedere l'articolo autorizzazioni nel portale di governance di Microsoft Purview.
La governance dei dati di Microsoft Purview include due soluzioni nel portale di Microsoft Purview: la Microsoft Purview Data Map e la Microsoft Purview Data Catalog. Queste soluzioni usano autorizzazioni a livello di tenant/organizzazione, autorizzazioni di accesso ai dati esistenti e autorizzazioni di dominio/raccolta per fornire agli utenti l'accesso agli strumenti di governance e agli asset di dati. Il tipo di autorizzazioni disponibili per l'uso dipende dal tipo di account Microsoft Purview. È possibile controllare il tipo di account nel portale di Microsoft Purview nella scheda Impostazioni e account.
| Tipo di account | Autorizzazioni tenant/organizzazione | Autorizzazioni di accesso ai dati | Autorizzazioni di dominio e raccolta | Autorizzazioni del catalogo dati |
|---|---|---|---|---|
| Gratuita | x | x | ||
| Aziendale | x | x | x | x |
Per altre informazioni su ogni tipo di autorizzazione, vedere queste guide:
- Autorizzazioni tenant/organizzazione : assegnate a livello aziendale, forniscono autorizzazioni generali e amministrative.
- Autorizzazioni del catalogo dati: autorizzazioni nel Microsoft Purview Data Catalog in modo che gli utenti possano esplorare e gestire il catalogo.
- Autorizzazioni a livello di dominio e raccolta: autorizzazioni nel Microsoft Purview Data Map che concedono l'accesso agli asset di dati in Microsoft Purview.
- Autorizzazioni di accesso ai dati : autorizzazioni già disponibili per gli utenti nelle origini dati di Azure.
Per altre informazioni sulle autorizzazioni in base al tipo di account, vedere queste guide:
Importante
Per gli utenti appena creati in Microsoft Entra ID, la propagazione delle autorizzazioni potrebbe richiedere tempo anche dopo l'applicazione delle autorizzazioni corrette.
Gruppi di ruoli a livello di tenant
Assegnati a livello di organizzazione, i gruppi di ruoli a livello di tenant forniscono autorizzazioni generali e amministrative sia per il Microsoft Purview Data Map che per Data Catalog. Se si gestisce l'account Microsoft Purview o la strategia di governance dei dati dell'organizzazione, probabilmente sono necessari uno o più di questi ruoli.
I gruppi di ruoli a livello di tenant di governance attualmente disponibili sono:
| Gruppo di ruolo | Descrizione | Disponibilità del tipo di account |
|---|---|---|
| Amministratore di Purview | Creare, modificare ed eliminare domini ed eseguire assegnazioni di ruolo. | Account gratuiti ed aziendali |
| Amministratori origine dati | Gestire le origini dati e le analisi dei dati nel Microsoft Purview Data Map. | Account aziendali |
| Governance dei dati | Concede l'accesso ai ruoli di governance dei dati all'interno di Microsoft Purview. | Account gratuiti ed aziendali |
Per un elenco completo di tutti i ruoli e i gruppi di ruoli disponibili, non solo per la governance dei dati, vedere ruoli e gruppi di ruoli nei portali Microsoft Defender XDR e Microsoft Purview.
Come assegnare e gestire i gruppi di ruoli
Importante
Per poter assegnare ruoli in Microsoft Purview, a un utente deve essere assegnato il ruolo di gestione dei ruoli.
Per assegnare e gestire i ruoli in Microsoft Purview, seguire le autorizzazioni nella guida di Microsoft Purview.
Autorizzazioni del catalogo dati
Il Microsoft Purview Data Catalog usa anche tre livelli di autorizzazioni per consentire agli utenti di accedere alle informazioni nel catalogo dati:
- Governance dei dati: un gruppo di ruoli a livello di tenant/organizzazione con il ruolo Amministrazione Governance dei dati. Tale ruolo delega il primo livello di accesso per gli autori di domini di governance. Questo ruolo non viene visualizzato nel catalogo dati, ma influisce sulla possibilità di assegnare autorizzazioni nel catalogo dati.
- Autorizzazioni a livello di catalogo : autorizzazioni per concedere la proprietà ai domini di governance e l'accesso alla gestione dell'integrità.
- Autorizzazioni a livello di dominio di governance : autorizzazioni per accedere e gestire le risorse all'interno di domini di governance specifici.
Autorizzazioni a livello di catalogo
Autorizzazioni assegnate nel catalogo dati stesso e che forniscono solo l'accesso di alto livello.
| Ruolo | Descrizione | Applicazione |
|---|---|---|
| Autore del dominio di governance | Crea domini e delega il proprietario del dominio di governance (o rimane proprietario del dominio di governance per impostazione predefinita) | Catalogo dati |
| Proprietario dell'integrità dei dati | Creare, aggiornare e leggere elementi nella gestione dell'integrità. | Gestione dell'integrità |
| Lettore di integrità dei dati | Può leggere gli artefatti nella gestione dell'integrità. | Gestione dell'integrità |
Come assegnare ruoli a livello di catalogo
Importante
Per poter assegnare ruoli in Microsoft Purview, un utente deve essere un amministratore di governance dei dati a livello di tenant/organizzazione.
- Nel portale di Microsoft Purview selezionare Impostazioni.
- In Impostazioni soluzione selezionare Data Catalog.
- Selezionare Ruoli e autorizzazioni.
- Selezionare Autori di dominio di governance o un'icona aggiungi utente a un altro ruolo.
- Cercare l'utente da aggiungere.
- Selezionare l'utente.
- Seleziona Salva.
Autorizzazione a livello di dominio di governance
Consiglio
Il proprietario del dominio governance è importante delegare a un utente che esegue la governance dei dati o il catalogo dati, in quanto è un ruolo essenziale poter iniziare a creare domini di governance, prodotti dati, termini di glossario e così via. È consigliabile assegnare almeno due persone come proprietari del dominio di governance.
Le autorizzazioni di dominio di governance forniscono l'accesso all'interno di un dominio di governance specifico e devono essere concesse agli esperti di dati e agli utenti aziendali per leggere e gestire gli oggetti all'interno del dominio di governance.
Di seguito sono riportati i ruoli di dominio di governance attualmente disponibili nel Microsoft Purview Data Catalog:
| Ruolo | Descrizione |
|---|---|
| Proprietario del dominio di governance | Possibilità di delegare tutte le altre autorizzazioni di dominio di governance, configurare gli avvisi di analisi della qualità dei dati e impostare i criteri di accesso a livello di dominio. |
| Lettore di dominio di governance | Possibilità di leggere i domini di governance e monitorarne i metadati e la funzione. |
| Amministratore dei dati* | Creare, aggiornare e leggere elementi e criteri all'interno del dominio di governance. Può anche leggere artefatti da altri domini di governance. |
| Proprietario del prodotto dati* | Creare, aggiornare e leggere prodotti dati solo all'interno del dominio di governance. Può leggere gli artefatti da altri domini per creare relazioni tra i concetti. |
| Lettore del catalogo dati | Leggere tutti i concetti pubblicati nel catalogo in tutti i domini. |
| Amministratori della qualità dei dati | In grado di usare funzionalità di qualità dei dati come la gestione delle regole di qualità dei dati, l'analisi della qualità dei dati, le informazioni dettagliate sulla qualità dei dati, la pianificazione della qualità dei dati, il monitoraggio dei processi, la configurazione della soglia e degli avvisi. |
| Lettore di qualità dei dati | Esplorare tutte le informazioni dettagliate sulla qualità dei dati, la definizione delle regole di qualità dei dati e i file di errore di qualità dei dati. Questo ruolo non può eseguire l'analisi della qualità dei dati e il processo di profilatura dei dati e questo ruolo non avrà accesso alle informazioni dettagliate a livello di colonna di profilatura dei dati come informazioni dettagliate a livello di colonna. |
| Lettore di metadati di qualità dei dati | Esplorare le informazioni dettagliate sulla qualità dei dati ,ad eccezione delle informazioni dettagliate a livello di colonna dei risultati di profilatura, della definizione delle regole di qualità dei dati e dei punteggi a livello di regola. Questo ruolo non avrà accesso ai record degli errori e non potrà eseguire la profilatura e il processo di analisi DQ. |
| Amministratore del profilo dati | Eseguire processi di profilatura dei dati e accedere ai dettagli delle informazioni dettagliate di profilatura. Questo ruolo può anche esplorare tutte le informazioni dettagliate sulla qualità dei dati e monitorare i processi di profilatura. Questo ruolo non può creare regole e non può eseguire l'analisi della qualità dei dati. |
| Lettore di profili dati | Questo ruolo avrà le autorizzazioni necessarie per esplorare tutte le informazioni dettagliate sulla qualità dei dati e può eseguire il drill-down dei risultati della profilatura per esplorare le statistiche a livello di colonna. |
Nota
*Per poter aggiungere asset di dati a un prodotto dati, i proprietari dei prodotti dati e gli amministratori dei dati necessitano anche delle autorizzazioni di mapping dei dati per leggere tali asset di dati nella mappa dati.
Come assegnare ruoli di dominio di governance
Importante
Per assegnare ruoli in Microsoft Purview, un utente deve essere proprietario di un dominio di governance nel dominio di governance. Questo ruolo viene assegnato dagli amministratori della governance dei dati o dai creatori di domini di governance.
I ruoli di dominio di governance vengono assegnati nella scheda Ruoli in un dominio di governance. Per altre informazioni, vedere come gestire i domini di governance.
Autorizzazioni per la ricerca nel catalogo dati completo
Non sono necessarie autorizzazioni specifiche nel catalogo dati per poter eseguire ricerche nel catalogo dati. Tuttavia, la ricerca nel catalogo dati restituirà solo gli asset di dati rilevanti che si dispone delle autorizzazioni per visualizzare nella mappa dati.
Gli utenti possono trovare un asset di dati nel catalogo dati quando:
- L'utente cerca i prodotti dati in un dominio di governance in cui dispone delle autorizzazioni di lettura del catalogo
- L'utente dispone almeno delle autorizzazioni di lettura per una risorsa di Azure o Microsoft Fabric disponibile
- L'utente dispone delle autorizzazioni di lettura dati per un dominio o una raccolta nel Microsoft Purview Data Map in cui è archiviato l'asset
Le autorizzazioni per questi asset vengono gestite rispettivamente a livello di risorsa e a livello di Microsoft Purview Data Map. Per altre informazioni su come fornire questo accesso, seguire i collegamenti forniti.
Consiglio
Se il catalogo dati è ben curato, gli utenti aziendali quotidiani non devono eseguire ricerche nel catalogo completo. Dovrebbero essere in grado di trovare i dati di cui hanno bisogno nei prodotti dati. Per altre informazioni sulla configurazione del catalogo dati, vedere: Introduzione al catalogo dati e procedure consigliate per il catalogo dati.
Quali autorizzazioni del catalogo dati sono necessarie?
| Elemento | Azione | Amministratore della governance dei dati | Autore del dominio di governance | Proprietario del dominio di governance | Lettore del catalogo dati | Amministratore dei dati | Proprietario del prodotto dati | Proprietario dell'integrità dei dati | Lettore di integrità dei dati | Amministratore della qualità dei dati | Lettore di qualità dei dati |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Assegnazioni di ruolo dell'applicazione | Lettura | x | x | ||||||||
| Modifica | x | x | |||||||||
| Domini di governance | Lettura | x | x | x | x | x | x | ||||
| Modifica | x | x | |||||||||
| Prodotti dati | Lettura | x | x | x | x | x | |||||
| Modifica | x | ||||||||||
| Elementi di integrità | Lettura | x | x | ||||||||
| Modifica | x | ||||||||||
| Elementi di qualità dei dati | Lettura | x | x | x | |||||||
| Modifica | x | ||||||||||
| Criteri di accesso ai dati | Lettura | x | x | x | x | ||||||
| Modifica | x | x |
Nota
Questa tabella illustra le nozioni di base, ma non tutti i ruoli e non tutti gli scenari per ogni ruolo. Per informazioni dettagliate, vedere l'elenco completo dei ruoli.
Ruoli del catalogo dati
Ecco l'elenco completo di tutti i ruoli usati per accedere alla Microsoft Purview Data Catalog e gestirla.
| Ruolo | Descrizione | Livello di autorizzazione | Azioni disponibili |
|---|---|---|---|
| Amministratore della governance dei dati | Delega il primo livello di accesso per gli autori di domini di governance e altre autorizzazioni a livello di applicazione. | Tenant/organizzazione | roleassignment/read, roleassignment/write |
| Autore del dominio di governance | Crea domini e delega il proprietario del dominio di governance (o rimane proprietario del dominio di governance per impostazione predefinita). | Applicazione | businessdomain/read, businessdomain/write |
| Proprietario del dominio di governance | Possibilità di delegare tutte le altre autorizzazioni di dominio di governance, configurare gli avvisi di analisi della qualità dei dati e impostare i criteri di accesso a livello di dominio. | Dominio di governance | roleassignment/read, roleassignment/write, businessdomain/read, businessdomain/write, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/ dataproductpolicy/read, dataaccess/glossarytermpolicy/read |
| Lettore del catalogo dati | Possibilità di leggere tutti i domini pubblicati, i prodotti dati, i criteri e gli OKR. | Dominio di governance | roleassignment/read, businessdomain/read, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/glossarytermpolicy/read |
| Amministratore dei dati | Creare, aggiornare e leggere elementi di dati critici, termini del glossario, OKR e criteri all'interno del dominio di governance. Possono anche leggere e creare relazioni con i concetti in altri domini di governance. | Dominio di governance | roleassignment/read, businessdomain/read, dataquality/observer/write, dataproduct/read, data product/curate, glossaryterm/read, glossaryterm/write, okr/read, okr/write, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read, dataaccess/glossarytermpolicy/write |
| Proprietario del prodotto dati | Creare, aggiornare e leggere prodotti dati solo all'interno del dominio di governance. Possono anche leggere e creare relazioni con i concetti nei domini di governance. | Dominio di governance | roleassignment/read, businessdomain/read, dataproduct/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read |
| Proprietario dell'integrità dei dati | Creare, aggiornare e leggere elementi nella gestione dell'integrità. | Applicazione | datahealth/read, datahealth/write |
| Lettore di integrità dei dati | Può leggere gli artefatti nella gestione dell'integrità. | Applicazione | datahealth/read |
| Amministratori della qualità dei dati | In grado di usare funzionalità di qualità dei dati come la gestione delle regole di qualità dei dati, l'analisi della qualità dei dati, la profilatura dei dati di esplorazione e le informazioni dettagliate sulla qualità dei dati, la pianificazione della qualità dei dati, il monitoraggio dei processi, la configurazione della soglia e degli avvisi. | Dominio di governance | businessdomain/read, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute/action, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataquality/connection/write, dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/observer/read, dataquality/observer/write, dataquality/observer/ execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read, dataquality/history/ruleerrorfile/read, dataquality/history/ruleerrorfile/delete, dataquality/history/delete, dataproduct/read, glossaryterm/read |
| Lettore di qualità dei dati | Esplorare tutte le informazioni dettagliate sulla qualità dei dati e le definizioni delle regole di qualità dei dati. Questo ruolo non può eseguire processi di analisi della qualità dei dati e profilatura dei dati e questo ruolo non avrà accesso alle informazioni dettagliate a livello di colonna di profilatura dei dati come informazioni dettagliate a livello di colonna. | Dominio di governance | dataquality/connection/read, dataquality/observer/read, dataquality/observer/execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read |
| Lettore di profili dati | Questo ruolo avrà le autorizzazioni necessarie per esplorare tutte le informazioni dettagliate sulla profilatura e può eseguire il drill-down dei risultati della profilatura per esplorare le statistiche a livello di colonna. | Dominio di governance | dataquality/connection/read, dataquality/profile/read, dataquality/profilehistory/read |
Autorizzazioni per il mapping dei dati
I domini e le raccolte sono strumenti usati dal Microsoft Purview Data Map per raggruppare asset, origini e altri elementi in una gerarchia per l'individuabilità e per gestire il controllo di accesso all'interno del Microsoft Purview Data Map.
Autorizzazioni di dominio e raccolta
Il Microsoft Purview Data Map usa un set di ruoli predefiniti per controllare chi può accedere a ciò che all'interno dell'account. Questi ruoli sono attualmente:
- Amministratore di dominio (solo a livello di dominio ): può assegnare le autorizzazioni all'interno di un dominio e gestirle.
- Amministratore raccolta : ruolo per gli utenti che dovranno assegnare ruoli ad altri utenti nel portale di governance di Microsoft Purview o gestire le raccolte. Gli amministratori della raccolta possono aggiungere utenti ai ruoli nelle raccolte in cui sono amministratori. Possono anche modificare le raccolte, i relativi dettagli e aggiungere sottoraccolte. Anche un amministratore della raccolta nella raccolta radice ha automaticamente l'autorizzazione per il portale di governance di Microsoft Purview. Se l'amministratore della raccolta radice deve mai essere modificato, è possibile seguire i passaggi descritti nella sezione seguente.
- Curatori dei dati : ruolo che fornisce l'accesso al catalogo dati per gestire gli asset, configurare classificazioni personalizzate, creare e gestire i termini del glossario e visualizzare informazioni dettagliate sulle proprietà dei dati. I curatori dei dati possono creare, leggere, modificare, spostare ed eliminare asset. Possono anche applicare annotazioni agli asset.
- Lettori di dati : ruolo che consente l'accesso in sola lettura ad asset di dati, classificazioni, regole di classificazione, raccolte e termini del glossario.
- Amministratore dell'origine dati : ruolo che consente a un utente di gestire le origini dati e le analisi. Se un utente viene concesso solo al ruolo di amministratore dell'origine dati in una determinata origine dati, può eseguire nuove analisi usando una regola di analisi esistente. Per creare nuove regole di analisi, è necessario concedere all'utente anche i ruoli Lettore dati o Curatore dati .
- Lettore di informazioni dettagliate : ruolo che fornisce l'accesso in sola lettura ai report analitici per le raccolte in cui il lettore di informazioni dettagliate ha almeno il ruolo lettore di dati . Per altre informazioni, vedere Autorizzazioni dettagliate.
- Autore dei criteri: ruolo che consente a un utente di visualizzare, aggiornare ed eliminare i criteri di Microsoft Purview tramite l'app Criteri dati all'interno di Microsoft Purview.
- Amministratore del flusso di lavoro : ruolo che consente a un utente di accedere alla pagina di creazione del flusso di lavoro nel portale di governance di Microsoft Purview e pubblicare flussi di lavoro nelle raccolte in cui dispone delle autorizzazioni di accesso. L'amministratore del flusso di lavoro ha accesso solo alla creazione e pertanto sarà necessaria almeno l'autorizzazione lettore di dati per una raccolta per poter accedere al portale di governance di Purview.
Nota
Al momento, il ruolo di autore dei criteri di Microsoft Purview non è sufficiente per creare criteri. È necessario anche il ruolo di amministratore dell'origine dati Microsoft Purview.
Importante
All'utente che ha creato l'account viene assegnato automaticamente l'amministratore di dominio nell'amministratore predefinito del dominio e della raccolta nella raccolta radice.
Aggiungere assegnazioni di ruolo
Aprire il Microsoft Purview Data Map.
Selezionare il dominio o la raccolta in cui si vuole aggiungere l'assegnazione di ruolo.
Selezionare la scheda Assegnazioni di ruolo per visualizzare tutti i ruoli in una raccolta o in un dominio. Solo un amministratore della raccolta o un amministratore di dominio può gestire le assegnazioni di ruolo.
Selezionare Modifica assegnazioni di ruolo o l'icona della persona per modificare ogni membro del ruolo.
Digitare nella casella di testo per cercare gli utenti da aggiungere al membro del ruolo. Selezionare X per rimuovere i membri che non si desidera aggiungere.
Selezionare OK per salvare le modifiche e i nuovi utenti verranno visualizzati nell'elenco delle assegnazioni di ruolo.
Rimuovere le assegnazioni di ruolo
Selezionare il pulsante X accanto al nome di un utente per rimuovere un'assegnazione di ruolo.
Selezionare Conferma se si vuole rimuovere l'utente.
Limitare l'ereditarietà
Le autorizzazioni di raccolta vengono ereditate automaticamente dalla raccolta padre. È possibile limitare l'ereditarietà da una raccolta padre in qualsiasi momento, usando l'opzione limita le autorizzazioni ereditate.
Nota
Attualmente non è possibile limitare le autorizzazioni del dominio predefinito. Tutte le autorizzazioni assegnate nel dominio predefinito verranno ereditate dalle sottoraccolte dirette del dominio.
Dopo aver limitato l'ereditarietà, sarà necessario aggiungere gli utenti direttamente alla raccolta con restrizioni per concedere loro l'accesso.
Passare alla raccolta in cui si vuole limitare l'ereditarietà e selezionare la scheda Assegnazioni di ruolo .
Selezionare Limita autorizzazioni ereditate e selezionare Limita accesso nella finestra di dialogo popup per rimuovere le autorizzazioni ereditate da questa raccolta e da eventuali sottoraccolte. Le autorizzazioni di amministratore della raccolta non saranno interessate.
Dopo la restrizione, i membri ereditati vengono rimossi dai ruoli previsti per l'amministratore della raccolta.
Selezionare di nuovo l'interruttore Limita autorizzazioni ereditate per ripristinare.
Consiglio
Per informazioni più dettagliate sui ruoli disponibili nelle raccolte, vedere gli utenti a cui assegnare la tabella dei ruoli o l'esempio di raccolte.
Autorizzazioni di accesso ai dati
Le autorizzazioni di accesso ai dati sono autorizzazioni già disponibili per gli utenti nelle origini dati di Azure. Queste autorizzazioni esistenti concedono anche l'autorizzazione per accedere e gestire i metadati per tali origini, a seconda del livello di autorizzazioni:
Attualmente, queste funzionalità sono disponibili solo per alcune origini di Azure:
| Origine dati | Autorizzazione lettore |
|---|---|
| database SQL di Azure | Lettore o queste azioni. |
| Archiviazione BLOB di Azure | Lettore o queste azioni. |
| Azure Data Lake Storage Gen2 | Lettore o queste azioni. |
| Sottoscrizione di Azure | Autorizzazione di lettura per la sottoscrizione o queste azioni. |
Il ruolo lettore contiene autorizzazioni sufficienti, ma se si crea un ruolo personalizzato, gli utenti devono includere queste azioni:
| Origine dati | Autorizzazione lettore |
|---|---|
| database SQL di Azure | "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Archiviazione BLOB di Azure | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Sottoscrizione di Azure | "Microsoft.Resources/subscriptions/resourceGroups/read" |
Autorizzazioni di lettura
Gli utenti che hanno almeno il ruolo di lettore nelle risorse di Azure disponibili sono anche in grado di accedere a tali metadati delle risorse nei tipi di account gratuito ed aziendale.
Gli utenti possono cercare e cercare gli asset da queste origini nel catalogo dati e visualizzare i metadati.
Queste sono le autorizzazioni necessarie per le risorse per consentire agli utenti di essere considerati "lettori":
| Origine dati | Autorizzazione lettore |
|---|---|
| database SQL di Azure | Lettore o queste azioni. |
| Archiviazione BLOB di Azure | Lettore o queste azioni. |
| Azure Data Lake Storage Gen2 | Lettore o queste azioni. |
| Sottoscrizione di Azure | Autorizzazione di lettura per la sottoscrizione o queste azioni. |
Autorizzazioni di proprietario
Gli utenti che hanno il ruolo di proprietario o le autorizzazioni di scrittura per le risorse di Azure disponibili possono accedere e modificare i metadati per tali risorse in tipi di account gratuiti ed aziendali.
Gli utenti proprietari possono cercare e cercare gli asset da queste origini nel catalogo dati e visualizzarne i metadati. Possono anche aggiornare e gestire i metadati per tali risorse. Per altre informazioni su questa cura dei metadati, vedere l'articolo sulla cura dei metadati.
Queste sono le autorizzazioni necessarie per le risorse per consentire agli utenti di essere considerati "proprietari":
| Origine dati | autorizzazione di proprietario |
|---|---|
| database SQL di Azure | "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write" |
| Archiviazione BLOB di Azure | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
Autorizzazioni nella versione gratuita
Tutti gli utenti sono in grado di visualizzare gli asset di dati per le origini disponibili in cui dispongono almeno delle autorizzazioni di lettura . Gli utenti proprietari sono in grado di gestire i metadati per gli asset disponibili in cui dispongono almeno delle autorizzazioni di proprietario/scrittura . Per altre informazioni, vedere la sezione autorizzazioni di accesso ai dati.
È anche possibile assegnare autorizzazioni aggiuntive usando gruppi di ruoli a livello di tenant.
Importante
Per gli utenti appena creati in Microsoft Entra ID, la propagazione delle autorizzazioni potrebbe richiedere tempo anche dopo l'applicazione delle autorizzazioni corrette.
Autorizzazioni nella versione enterprise
Tutti gli utenti sono in grado di visualizzare gli asset di dati per le origini disponibili in cui dispongono almeno delle autorizzazioni di lettura . Gli utenti proprietari sono in grado di gestire i metadati per gli asset in cui hanno almeno autorizzazioni di proprietario/scrittura . Per altre informazioni, vedere la sezione autorizzazioni di accesso ai dati.
È anche possibile assegnare autorizzazioni aggiuntive usando gruppi di ruoli a livello di tenant.
Le autorizzazioni possono essere assegnate anche nel Microsoft Purview Data Map in modo che gli utenti possano esplorare gli asset nella mappa dati o nella ricerca nel catalogo dati a cui non hanno già accesso ai dati.
Le autorizzazioni del catalogo dati possono essere assegnate per concedere agli utenti l'autorizzazione all'applicazione del catalogo dati per compilare le soluzioni di governance dei dati.
Esempio di ciclo di vita degli asset di dati
Per comprendere il funzionamento delle autorizzazioni tra la mappa dati e il catalogo dati, si esaminerà l'intero ciclo di vita di una tabella Azure SQL nell'ambiente:
| Passaggio | Ruolo | Livello di assegnazione di ruolo |
|---|---|---|
| 1. Il database Azure SQL viene registrato nella mappa dati | amministratore dell'origine dati | Autorizzazioni per la mappa dati |
| 2. Il database Azure SQL viene analizzato nella mappa dati | curatore dei dati o amministratore dell'origine dati | Autorizzazioni per la mappa dati |
| 3. Il tavolo Azure SQL è curato e certificato | curatore dei dati | Autorizzazioni per la mappa dati |
| 4. Viene creato un dominio di governance nell'account Microsoft Purview | Autore del dominio di governance | ruolo a livello di applicazione |
| 5. Viene creato un prodotto dati nel dominio di governance | Proprietario del dominio di governance e/o proprietario del prodotto dati | ruolo a livello di dominio di governance |
| 6. La tabella Azure SQL viene aggiunta come asset al prodotto dati | Proprietario e/o amministratore del prodotto dati | ruolo a livello di dominio di governance |
| 7. Un criterio di accesso viene aggiunto al prodotto dati | Proprietario e/o amministratore del prodotto dati | ruolo a livello di dominio di governance |
| 8. Un utente cerca nel catalogo dati gli asset di dati che corrispondono alle proprie esigenze | Autorizzazioni per asset o autorizzazioni per il lettore di dati | Autorizzazioni per asset o autorizzazioni per la mappa dati |
| 9. Un utente cerca i prodotti dati, cercando un prodotto che soddisfi le proprie esigenze | lettore Data Catalog | ruolo a livello di applicazione |
| 10. Un utente richiede l'accesso alle risorse nel prodotto dati | lettore Data Catalog | ruolo a livello di applicazione |
| 11. Un utente visualizza Data Health Insights per tenere traccia dell'integrità del catalogo dati | Lettore integrità dati | ruolo a livello di applicazione |
| 12. Un utente vuole sviluppare un nuovo report per tenere traccia dell'avanzamento dell'integrità dei dati nel catalogo | Proprietario dell'integrità dei dati | ruolo a livello di applicazione |