無料およびEnterprise アカウントの種類のガバナンス ロールとアクセス許可
注:
Microsoft Purview データ カタログは、名前を Microsoft Purview 統合カタログに変更しています。 すべての機能は同じままです。 新しい Microsoft Purview データ ガバナンス エクスペリエンスがリージョンで一般公開されると、名前の変更が表示されます。 リージョン内の名前を確認します。
重要
このアクセス許可に関する記事では、新しいデータ カタログを使用した 新しい Microsoft Purview ポータルでの Microsoft Purview データ ガバナンスのアクセス許可について説明 します。
- クラシック データ カタログを使用した新しい Microsoft Purview ポータルのガバナンスアクセス許可については、「クラシック データ カタログを使用したガバナンスのアクセス許可」を参照してください。
- 新しい Microsoft purview ポータルの一般的なアクセス許可については、ポータルでのアクセス許可に関するページを参照してください。
- クラシック リスクとコンプライアンスのアクセス許可については、Microsoft Purview コンプライアンス ポータル記事のアクセス許可を参照してください。
- 従来の Microsoft Purview ポータルでのデータ ガバナンスのアクセス許可については、Microsoft Purview ガバナンス ポータルの記事のアクセス許可を参照してください。
Microsoft Purview データ ガバナンスには、Microsoft Purview ポータルには、Microsoft Purview データ マップとMicrosoft Purview データ カタログという 2 つのソリューションがあります。 これらのソリューションでは、テナント/組織レベルのアクセス許可、既存のデータ アクセス許可、ドメイン/コレクションのアクセス許可を使用して、ガバナンス ツールとデータ資産へのアクセスをユーザーに提供します。 使用できるアクセス許可の種類は、Microsoft Purview アカウントの種類によって異なります。 アカウントの種類は、Microsoft Purview ポータルの [設定] カードと [アカウント] でチェックできます。
![Microsoft Purview ポータルの [メイン] ページで強調表示されている設定ソリューションのスクリーンショット。](media/roles-permissions/open-settings.png)
![Microsoft Purview ポータルの [設定] ページのスクリーンショット。](media/roles-permissions/check-your-account-type.png)
| アカウントの種類 | テナント/組織のアクセス許可 | データ アクセス許可 | ドメインとコレクションのアクセス許可 | データ カタログのアクセス許可 |
|---|---|---|---|---|
| 無料 | x | x | ||
| エンタープライズ | x | x | x | x |
各アクセス許可の種類の詳細については、次のガイドを参照してください。
- テナント/organizationアクセス許可 - 組織レベルで割り当てられ、一般的なアクセス許可と管理アクセス許可が提供されます。
- データ カタログのアクセス許可 - ユーザーがカタログを参照および管理できるように、Microsoft Purview データ カタログのアクセス許可。
- ドメインおよびコレクション レベルのアクセス許可 - Microsoft Purview のデータ資産へのアクセスを許可するMicrosoft Purview データ マップのアクセス許可。
- データ アクセス許可 - ユーザーが Azure データ ソースに対して既に持っているアクセス許可。
アカウントの種類に基づくアクセス許可の詳細については、次のガイドを参照してください。
重要
Microsoft Entra IDで新しく作成されたユーザーの場合、正しいアクセス許可が適用された後でもアクセス許可が反映されるまでに時間がかかる場合があります。
テナント レベルの役割グループ
組織レベルで割り当てられたテナント レベルの役割グループは、Microsoft Purview データ マップとData Catalogの両方に対して一般的なアクセス許可と管理アクセス許可を提供します。 Microsoft Purview アカウントまたはorganizationのデータ ガバナンス戦略を管理する場合は、これらのロールの 1 つまたは複数が必要な場合があります。
現在使用可能なガバナンス テナント レベルの役割グループは次のとおりです。
| 役割グループ | 説明 | アカウントの種類の可用性 |
|---|---|---|
| Purview 管理者 | ドメインを作成、編集、削除し、ロールの割り当てを実行します。 | 無料アカウントとエンタープライズ アカウント |
| データ ソース管理者 | Microsoft Purview データ マップでデータ ソースとデータ スキャンを管理します。 | エンタープライズ アカウント |
| データ ガバナンス | Microsoft Purview 内のデータ ガバナンス ロールへのアクセスを許可します。 | 無料アカウントとエンタープライズ アカウント |
データ ガバナンスだけでなく、使用可能なすべてのロールと役割グループの完全な一覧については、Microsoft Defender XDRポータルと Microsoft Purview ポータルのロールと役割グループに関するページを参照してください。
役割グループを割り当てて管理する方法
重要
Microsoft Purview でロールを割り当てるには、ユーザーに ロール管理ロールを割り当てる必要があります。
Microsoft Purview でロールを割り当てて管理するには、Microsoft Purview ガイドのアクセス許可に従います。
データ カタログのアクセス許可
Microsoft Purview データ カタログでは、ユーザーがデータ カタログ内の情報にアクセスできるようにするために、次の 3 つのレベルのアクセス許可も使用されます。
- データ ガバナンス - データ ガバナンス 管理 ロールを持つテナント/組織レベルの役割グループ。 そのロールは、ガバナンス ドメイン作成者の最初のレベルのアクセス権を委任します。 (このロールはデータ カタログには表示されませんが、データ カタログでアクセス許可を割り当てる機能に影響します)。
- カタログ レベルのアクセス許可 - ガバナンス ドメインに所有権を付与し、正常性管理にアクセスするためのアクセス許可。
- ガバナンス ドメイン レベルのアクセス許可 - 特定のガバナンス ドメイン内のリソースにアクセスして管理するためのアクセス許可。
カタログ レベルのアクセス許可
データ カタログ自体に割り当てられ、高レベルのアクセスのみを提供するアクセス許可。
| 役割 | 説明 | アプリケーション |
|---|---|---|
| ガバナンス ドメインの作成者 | ドメインを作成し、ガバナンス ドメイン所有者を委任します (既定ではガバナンス ドメイン所有者のままです) | データ カタログ |
| データ正常性所有者 | 正常性管理で成果物を作成、更新、読み取ります。 | 正常性管理 |
| データ正常性リーダー | 正常性管理で成果物を読み取ることができます。 | 正常性管理 |
カタログ レベルのロールを割り当てる方法
重要
Microsoft Purview でロールを割り当てるには、ユーザーがテナント/organization レベルのデータ ガバナンス管理者である必要があります。
- Microsoft Purview ポータルで、[設定] を選択します。
- [ソリューションの設定] で、[Data Catalog] を選択します。
- [ ロールとアクセス許可] を選択します。
- [ガバナンス ドメインの作成者] または別のロールの [ユーザーの追加] アイコンを選択します。
- 追加するユーザーを検索します。
- ユーザーを選択します。
- [保存] を選択します。
ガバナンス ドメイン レベルのアクセス許可
ヒント
ガバナンス ドメインの所有者は、ガバナンス ドメイン、データ製品、用語集の用語などを構築するために不可欠な役割であるため、データ ガバナンスまたはデータ カタログを実行しているユーザーに委任することが重要です。少なくとも 2 人がガバナンス ドメイン所有者として割り当てられていることをお勧めします。
ガバナンス ドメインのアクセス許可は、特定のガバナンス ドメイン内のアクセスを提供し、ガバナンス ドメイン内のオブジェクトを読み取って管理するために、データの専門家やビジネス ユーザーに付与する必要があります。
Microsoft Purview データ カタログで現在使用できるガバナンス ドメイン ロールを次に示します。
| 役割 | 説明 |
|---|---|
| ガバナンス ドメイン所有者 | 他のすべてのガバナンス ドメインのアクセス許可を委任し、データ品質スキャン アラートを構成し、ドメイン レベルのアクセス ポリシーを設定する機能。 |
| ガバナンス ドメイン リーダー | ガバナンス ドメインを読み取り、メタデータと関数を監視する機能。 |
| データ スチュワード* | ガバナンス ドメイン内で成果物とポリシーを作成、更新、および読み取ります。 他のガバナンス ドメインから成果物を読み取ることもできます。 |
| データ製品の所有者* | データ製品の作成、更新、読み取りは、ガバナンス ドメイン内でのみ行います。 他のドメインから成果物を読み取って、概念間の関係を構築できます。 |
| データ カタログ リーダー | 公開されているすべての概念を、すべてのドメインにわたってカタログに読み取ります。 |
| データ品質スチュワード | データ品質ルール管理、データ品質スキャン、データ品質分析情報の閲覧、データ品質スケジューリング、ジョブ監視、しきい値とアラートの構成などのデータ品質機能を使用できます。 |
| データ品質リーダー | すべてのデータ品質分析情報、データ品質ルール定義、およびデータ品質エラー ファイルを参照します。 このロールでは、データ品質スキャンとデータ プロファイル ジョブを実行できません。このロールでは、列レベルの分析情報としてデータ プロファイル列レベルの分析情報にアクセスできません。 |
| データ品質メタデータ リーダー | データ品質分析情報 (プロファイリング結果列レベルの分析情報を除く)、データ品質ルール定義、およびルール レベルのスコアを参照します。 このロールはエラー レコードにアクセスできないため、プロファイリングと DQ スキャン ジョブを実行できません。 |
| データ プロファイル スチュワード | データ プロファイル ジョブを実行し、プロファイル分析情報の詳細を参照するためのアクセス権を持つ。 このロールでは、すべてのデータ品質分析情報を参照したり、プロファイリング ジョブを監視したりすることもできます。 このロールではルールを作成できません。また、データ品質スキャンを実行することもできません。 |
| データ プロファイル リーダー | このロールには、すべてのデータ品質分析情報を参照するために必要なアクセス許可があり、プロファイル結果をドリルダウンして列レベルで統計を参照できます。 |
注:
*データ製品にデータ資産を追加できるようにするには、データ 製品の所有者とデータ スチュワードには、データ マップ内のデータ資産を読み取るためにデータ マップのアクセス許可 も必要です。
ガバナンス ドメイン ロールを割り当てる方法
重要
Microsoft Purview でロールを割り当てるには、ユーザーがガバナンス ドメインのガバナンス ドメイン所有者である必要があります。 このロールは、データ ガバナンス管理者またはガバナンス ドメイン作成者によって割り当てられます。
ガバナンス ドメインのロールは、ガバナンス ドメインの [ ロール ] タブで割り当てられます。 詳細については、「 ガバナンス ドメインを管理する方法」を参照してください。
完全なデータ カタログを検索するためのアクセス許可
データ カタログを検索するために、データ カタログに特定のアクセス許可は必要ありません。 ただし、データ カタログを検索すると、データ マップで表示するアクセス許可を持つ関連するデータ資産のみが返されます。
ユーザーは、次の場合にデータ カタログ内のデータ資産を見つけることができます。
- ユーザーは、カタログ閲覧者のアクセス許可を持つガバナンス ドメイン内のデータ製品を検索します
- ユーザーは、使用可能な Azure または Microsoft Fabric リソースに対する読み取りアクセス許可を少なくとも持っています
- ユーザーは、資産が格納されているMicrosoft Purview データ マップ内のドメインまたはコレクションに対するデータ閲覧者のアクセス許可を持っています
これらの資産に対するアクセス許可は、それぞれリソース レベルとMicrosoft Purview データ マップ レベルで管理されます。 このアクセスを提供する方法の詳細については、提供されているリンクに従ってください。
ヒント
データ カタログが適切にキュレーションされている場合、日常のビジネス ユーザーは完全なカタログを検索する必要はありません。 データ製品で必要なデータを見つけることができるはずです。 データ カタログの設定の詳細については、「データ カタログの概要」および「データ カタログのベスト プラクティス」を参照してください。
必要なデータ カタログのアクセス許可
| 要素 | アクション | データ ガバナンス管理者 | ガバナンス ドメインの作成者 | ガバナンス ドメイン所有者 | データ カタログ リーダー | データ スチュワード | データ製品の所有者 | データ正常性所有者 | データ正常性リーダー | データ品質スチュワード | データ品質リーダー |
|---|---|---|---|---|---|---|---|---|---|---|---|
| アプリケーション ロールの割り当て | 読み取り | x | x | ||||||||
| 編集 | x | x | |||||||||
| ガバナンス ドメイン | 読み取り | x | x | x | x | x | x | ||||
| 編集 | x | x | |||||||||
| データ製品 | 読み取り | x | x | x | x | x | |||||
| 編集 | x | ||||||||||
| 正常性項目 | 読み取り | x | x | ||||||||
| 編集 | x | ||||||||||
| データ品質項目 | 読み取り | x | x | x | |||||||
| 編集 | x | ||||||||||
| データ アクセス ポリシー | 読み取り | x | x | x | x | ||||||
| 編集 | x | x |
注:
この表では、基本について説明しますが、すべてのロールではなく、各ロールのすべてのシナリオについて説明します。 詳細については、 ロールの完全な一覧を参照してください。
データ カタログ ロール
Microsoft Purview データ カタログへのアクセスと管理に使用されるすべてのロールの完全な一覧を次に示します。
| 役割 | 説明 | 権限レベル | 使用可能なアクション |
|---|---|---|---|
| データ ガバナンス管理者 | ガバナンス ドメイン作成者およびその他のアプリケーション レベルのアクセス許可に対する最初のレベルのアクセス権を委任します。 | テナント/organization | roleassignment/read, roleassignment/write |
| ガバナンス ドメインの作成者 | ドメインを作成し、ガバナンス ドメイン所有者を委任します (または、既定ではガバナンス ドメイン所有者のままです)。 | アプリケーション | businessdomain/read, businessdomain/write |
| ガバナンス ドメイン所有者 | 他のすべてのガバナンス ドメインのアクセス許可を委任し、データ品質スキャン アラートを構成し、ドメイン レベルのアクセス ポリシーを設定する機能。 | ガバナンス ドメイン | roleassignment/read, roleassignment/write, businessdomain/read, businessdomain/write, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/domainpolicy/write, dataaccess/alert/read, datahealth/alert/read, dataquality/monitoring/read, dataquality/monitoring/write, dataquality/domainpolicy/read, dataaccess/domainpolicy/writedataproductpolicy/read, dataaccess/glossarytermpolicy/read |
| データ カタログ リーダー | 公開されているすべてのドメイン、データ製品、ポリシー、OKR を読み取る機能。 | ガバナンス ドメイン | roleassignment/read, businessdomain/read, dataproduct/read, 用語集の用語/読み取り, okr/read, dataaccess/domainpolicy/read, dataaccess/glossarytermpolicy/read |
| データ スチュワード | 重要なデータ要素、用語集の用語、OKR、およびポリシーをガバナンス ドメイン内で作成、更新、読み取ります。 また、他のガバナンス ドメインの概念との関係を読み取って構築することもできます。 | ガバナンス ドメイン | roleassignment/read, businessdomain/read, dataquality/observer/write, dataproduct/read, data product/curate, glossaryterm/read, glossaryterm/write, okr/write, dataaccess/domainpolicy/read, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read, dataaccess/glossarytermpolicy/read, dataaccess/glossarytermpolicy/read, dataaccess/glossarytermpolicy/write |
| データ製品の所有者 | データ製品の作成、更新、読み取りは、ガバナンス ドメイン内でのみ行います。 また、ガバナンス ドメインの概念との関係を読み取って構築することもできます。 | ガバナンス ドメイン | roleassignment/read, businessdomain/read, dataproduct/write, dataproduct/read, 用語集の用語/読み取り, okr/read, dataaccess/domainpolicy/read, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read |
| データ正常性所有者 | 正常性管理で成果物を作成、更新、読み取ります。 | アプリケーション | datahealth/read, datahealth/write |
| データ正常性リーダー | 正常性管理で成果物を読み取ることができます。 | アプリケーション | datahealth/read |
| データ品質スチュワード | データ品質ルール管理、データ品質スキャン、閲覧データ プロファイルとデータ品質分析情報、データ品質スケジュール、ジョブ監視、しきい値とアラートの構成などのデータ品質機能を使用できます。 | ガバナンス ドメイン | businessdomain/read, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute/action, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataquality/connection/write, dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/observer/write, dataquality/observer/write, dataquality/observer/observer/execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read, dataquality/history/ruleerrorfile/read, dataquality/history/ruleerrorfile/delete, dataquality/history/delete, dataproduct/read, glossaryterm/read |
| データ品質リーダー | すべてのデータ品質分析情報とデータ品質ルールの定義を参照します。 このロールでは、データ品質スキャンとデータ プロファイル ジョブを実行できません。このロールでは、列レベルの分析情報としてデータ プロファイル列レベルの分析情報にアクセスできません。 | ガバナンス ドメイン | dataquality/connection/read, dataquality/observer/read, dataquality/observer/execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read |
| データ プロファイル リーダー | このロールには、すべてのプロファイル分析情報を参照するために必要なアクセス許可があり、プロファイル結果をドリルダウンして列レベルで統計を参照できます。 | ガバナンス ドメイン | dataquality/connection/read, dataquality/profile/read, dataquality/profilehistory/read |
データ マップのアクセス許可
ドメインとコレクションは、Microsoft Purview データ マップが資産、ソース、およびその他の成果物を検出し、Microsoft Purview データ マップ内のアクセス制御を管理するために階層にグループ化するために使用するツールです。
ドメインとコレクションのアクセス許可
Microsoft Purview データ マップでは、定義済みのロールのセットを使用して、アカウント内の内容にアクセスできるユーザーを制御します。 現在、これらのロールは次のとおりです。
- ドメイン管理者 (ドメイン レベルのみ) - ドメイン内のアクセス許可を割り当て、そのリソースを管理できます。
- コレクション管理者 - Microsoft Purview ガバナンス ポータルで他のユーザーにロールを割り当てるか、コレクションを管理する必要があるユーザーのロール。 コレクション管理者は、自分が管理者であるコレクションのロールにユーザーを追加できます。 また、コレクションとその詳細を編集したり、サブコレクションを追加したりすることもできます。 ルート コレクションのコレクション管理者も、Microsoft Purview ガバナンス ポータルに対するアクセス許可を自動的に持っています。 ルート コレクション管理者を変更する必要がある場合は、以下のセクションの手順に従うことができます。
- データ キュレーター - 資産の管理、カスタム分類の構成、用語集の用語の作成と管理、データ資産の分析情報の表示を行うためにデータ カタログへのアクセスを提供するロール。 データ キュレーターは、アセットの作成、読み取り、変更、移動、削除を行うことができます。 また、アセットに注釈を適用することもできます。
- データ リーダー - データ 資産、分類、分類規則、コレクション、用語集の用語への読み取り専用アクセスを提供するロール。
- データ ソース管理者 - ユーザーがデータ ソースとスキャンを管理できるようにするロール。 ユーザーが特定の データ ソースのデータ ソース管理者 ロールにのみ付与されている場合は、既存のスキャン ルールを使用して新しいスキャンを実行できます。 新しいスキャン ルールを作成するには、ユーザーに データ 閲覧者 ロールまたは データ キュレーター ロールも付与する必要があります。
- Insights 閲覧者 - 分析情報閲覧者 が少なくとも データ閲覧 者ロールを持つコレクションの分析情報レポートへの読み取り専用アクセスを提供するロール。 詳細については、「分析情報のアクセス許可」を参照してください。
- ポリシー作成者 - ユーザーが Microsoft Purview 内のデータ ポリシー アプリを使用して Microsoft Purview ポリシーを表示、更新、削除できるようにするロール。
- ワークフロー管理者 - ユーザーが Microsoft Purview ガバナンス ポータルのワークフロー作成ページにアクセスし、アクセス許可を持つコレクションにワークフローを発行できるようにするロール。 ワークフロー管理者はオーサリングにのみアクセスできるため、Purview ガバナンス ポータルにアクセスするには、コレクションに対する少なくともデータ閲覧者のアクセス許可が必要です。
注:
現時点では、Microsoft Purview ポリシー作成者ロールでは、ポリシーを作成するのに十分ではありません。 Microsoft Purview データ ソース管理者ロールも必要です。
重要
アカウントを作成したユーザーには、ルート コレクションの既定のドメイン管理者とコレクション管理者にドメイン管理者が自動的に割り当てられます。
ロールの割り当てを追加する
Microsoft Purview データ マップを開きます。
ロールの割り当てを追加するドメインまたはコレクションを選択します。
[ ロールの割り当て ] タブを選択して、コレクションまたはドメイン内のすべてのロールを表示します。 ロールの割り当てを管理できるのは、コレクション管理者またはドメイン管理者だけです。
![[ロールの割り当て] タブが強調表示されている Microsoft Purview ガバナンス ポータルのコレクション ウィンドウのスクリーンショット。](media/include-manage-domain-collection-roles/select-role-assignments.png)
[ ロールの割り当ての編集] または [ユーザー] アイコンを選択して、各ロール メンバーを編集します。
![[ロールの割り当ての編集] ドロップダウン リストが選択されている Microsoft Purview ガバナンス ポータルコレクション ウィンドウのスクリーンショット。](media/include-manage-domain-collection-roles/edit-role-assignments.png)
テキスト ボックスに「」と入力して、ロール メンバーに追加するユーザーを検索します。 [ X ] を選択して、追加しないメンバーを削除します。
[ OK] を 選択して変更を保存すると、ロールの割り当ての一覧に新しいユーザーが反映されます。
ロールの割り当てを削除する
ユーザーの名前の横にある [ X ] ボタンを選択して、ロールの割り当てを削除します。
![[ロールの割り当て] タブが選択され、いずれかの名前の横にある [x] ボタンが強調表示されている Microsoft Purview ガバナンス ポータルコレクション ウィンドウのスクリーンショット。](media/include-manage-domain-collection-roles/remove-role-assignment.png)
ユーザーを確実に削除する場合は、[ 確認 ] を選択します。
継承を制限する
コレクションのアクセス許可は、親コレクションから自動的に継承されます。 [継承されたアクセス許可の制限] オプションを使用して、親コレクションからの継承をいつでも制限できます。
注:
現在、既定のドメインからのアクセス許可を制限することはできません。 既定のドメインで割り当てられたアクセス許可は、ドメインの直接サブコレクションによって継承されます。
継承を制限したら、制限されたコレクションにユーザーを直接追加してアクセス権を付与する必要があります。
継承を制限するコレクションに移動し、[ ロールの割り当て ] タブを選択します。
[ 継承されたアクセス許可の制限 ] を選択し、ポップアップ ダイアログで [ アクセスの制限 ] を選択して、このコレクションとサブコレクションから継承されたアクセス許可を削除します。 コレクション管理者のアクセス許可は影響を受けることはありません。
![[ロールの割り当て] タブが選択され、[継承されたアクセス許可の制限] スライド ボタンが強調表示されている Microsoft Purview ガバナンス ポータルコレクション ウィンドウのスクリーンショット。](media/include-manage-domain-collection-roles/restrict-access-inheritance.png)
制限の後、継承されたメンバーは、コレクション管理者に必要なロールから削除されます。
[ 継承されたアクセス許可の制限 ] トグル ボタンをもう一度選択して元に戻します。
![[ロールの割り当て] タブが選択され、[継承されていないアクセス許可] スライド ボタンが強調表示されている Microsoft Purview ガバナンス ポータルコレクション ウィンドウのスクリーンショット。](media/include-manage-domain-collection-roles/remove-restriction.png)
ヒント
コレクションで使用できるロールの詳細については、どのロール テーブルまたはコレクションの例を割り当てる必要があるかを参照してください。
データ アクセス許可
データ アクセス許可は、ユーザーが自分の Azure データ ソースに対して既に持っているアクセス許可です。 これらの既存のアクセス許可は、アクセス許可のレベルに応じて、これらのソースのメタデータにアクセスして管理するためのアクセス許可も付与します。
現時点では、これらの機能は一部の Azure ソースでのみ使用できます。
| データ ソース | 閲覧者のアクセス許可 |
|---|---|
| Azure SQL データベース | 閲覧者、または これらのアクション。 |
| Azure Blob Storage | 閲覧者、または これらのアクション。 |
| Azure Data Lake Storage Gen2 | 閲覧者、または これらのアクション。 |
| Azure のサブスクリプション | サブスクリプションまたはこれらのアクションに対する読み取りアクセス許可。 |
閲覧者ロールには十分なアクセス許可が含まれていますが、カスタム ロールを構築する場合は、ユーザーに次のアクションを含める必要があります。
| データ ソース | 閲覧者のアクセス許可 |
|---|---|
| Azure SQL データベース | "Microsoft.Sql/servers/read","Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure のサブスクリプション | "Microsoft.Resources/subscriptions/resourceGroups/read" |
閲覧者のアクセス許可
使用可能な Azure リソースに対するリーダー ロールを少なくとも持つユーザーは、無料およびEnterprise アカウントの種類のリソース メタデータにもアクセスできます。
ユーザーは、データ カタログ内のこれらのソースから資産を検索して参照し、メタデータを表示できます。
ユーザーが "閲覧者" と見なされるためにリソースに必要なアクセス許可を次に示します。
| データ ソース | 閲覧者のアクセス許可 |
|---|---|
| Azure SQL データベース | 閲覧者、または これらのアクション。 |
| Azure Blob Storage | 閲覧者、または これらのアクション。 |
| Azure Data Lake Storage Gen2 | 閲覧者、または これらのアクション。 |
| Azure のサブスクリプション | サブスクリプションまたはこれらのアクションに対する読み取りアクセス許可。 |
所有者のアクセス許可
所有者ロールを持つユーザー、または使用可能な Azure リソースに対する書き込みアクセス許可を持つユーザーは、無料およびEnterprise アカウントの種類のリソースのメタデータにアクセスして編集できます。
所有ユーザーは、データ カタログ内のこれらのソースから資産を検索および参照し、そのメタデータを表示できます。 また、これらのリソースのメタデータを更新および管理することもできます。 このメタデータ キュレーションの詳細については、 メタデータ キュレーションに関する記事を参照してください。
ユーザーが "所有者" と見なされるためにリソースに必要なアクセス許可を次に示します。
| データ ソース | 所有者権限 |
|---|---|
| Azure SQL データベース | "Microsoft.Sql/servers/write"、"Microsoft.Sql/servers/databases/write"、"Microsoft.Authorization/roleAssignments/write" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
無料版のアクセス許可
すべてのユーザーは、少なくとも 既に読み取り アクセス許可を持っている利用可能なソースのデータ資産を表示できます。 所有しているユーザーは、少なくとも所有者/書き込みアクセス許可が既にある利用可能な資産のメタデータを管理できます。 詳細については、「 データ アクセス許可」セクションを参照してください。
テナント レベルの役割グループを使用して、追加のアクセス許可を割り当てることもできます。
重要
Microsoft Entra IDで新しく作成されたユーザーの場合、正しいアクセス許可が適用された後でもアクセス許可が反映されるまでに時間がかかる場合があります。
エンタープライズ バージョンのアクセス許可
すべてのユーザーは、少なくとも 既に読み取り アクセス許可を持っている利用可能なソースのデータ資産を表示できます。 所有しているユーザーは、少なくとも 所有者/書き込み アクセス許可が既にある資産のメタデータを管理できます。 詳細については、「 データ アクセス許可」セクションを参照してください。
テナント レベルの役割グループを使用して、追加のアクセス許可を割り当てることもできます。
Microsoft Purview データ マップでアクセス許可を割り当てることもできます。ユーザーは、まだデータ アクセス権を持っていないデータ マップまたはデータ カタログ検索内の資産を参照できます。
データ カタログのアクセス許可 を割り当てて、データ カタログ アプリケーションにデータ ガバナンス ソリューションを構築するアクセス許可をユーザーに付与できます。
データ資産ライフサイクルの例
データ マップとデータ カタログの間のアクセス許可のしくみを理解するには、環境内のAzure SQL テーブルの完全なライフ サイクルを見てみましょう。
| 手順 | 役割 | ロールの割り当てレベル |
|---|---|---|
| 1. Azure SQL データベースがデータ マップに登録されている | データ ソース管理者 | データ マップのアクセス許可 |
| 2. Azure SQL データベースがデータ マップでスキャンされる | データ キュレーターまたはデータ ソース管理者 | データ マップのアクセス許可 |
| 3.Azure SQLテーブルはキュレーションされ、認定されています | データ キュレーター | データ マップのアクセス許可 |
| 4. ガバナンス ドメインが Microsoft Purview アカウントに作成される | ガバナンス ドメイン作成者 | アプリケーション レベルのロール |
| 5. データ製品がガバナンス ドメインに作成される | ガバナンス ドメイン所有者またはデータ製品所有者 | ガバナンス ドメイン レベルのロール |
| 6. Azure SQLテーブルが資産としてデータ製品に追加されます | データ製品の所有者またはスチュワード | ガバナンス ドメイン レベルのロール |
| 7. アクセス ポリシーがデータ製品に追加される | データ製品の所有者またはスチュワード | ガバナンス ドメイン レベルのロール |
| 8. ユーザーがデータ カタログを検索し、ニーズに合ったデータ資産を探す | 資産のアクセス許可またはデータ閲覧者のアクセス許可 | 資産のアクセス許可 または データ マップのアクセス許可 |
| 9. ユーザーがデータ製品を検索し、ニーズに合った製品を探す | Data Catalog リーダー | アプリケーション レベルのロール |
| 10. ユーザーが Data Product 内のリソースへのアクセスを要求する | Data Catalog リーダー | アプリケーション レベルのロール |
| 11. ユーザーが Data Health Insights を表示して、データ カタログの正常性を追跡する | データ正常性リーダー | アプリケーション レベルのロール |
| 12. ユーザーは、カタログ内のデータ正常性の進行状況を追跡するための新しいレポートを開発したいと考えています | データ正常性所有者 | アプリケーション レベルのロール |