データ カタログ アクセス ポリシーを構成および管理する方法
注:
Microsoft Purview データ カタログは、名前を Microsoft Purview 統合カタログに変更しています。 すべての機能は同じままです。 新しい Microsoft Purview データ ガバナンス エクスペリエンスがリージョンで一般公開されると、名前の変更が表示されます。 リージョン内の名前を確認します。
重要
この記事では、ガバナンス ドメイン、データ製品、重要なデータ要素、用語集の用語などのビジネス概念に対してアクセス ポリシーを設定し、アクセス要求を管理する方法について説明します。 データ製品へのアクセスを要求する場合は、 この記事に従ってアクセスを要求してください。
この記事では、データ製品へのアクセスを管理し、それを要求するユーザーにアクセスを提供するシステムを設定する方法について説明します。
データ製品へのアクセスは何を提供しますか? データ製品に対するアクセス許可と、内部のデータ資産に対するアクセス許可。
この記事では、以下について説明します。
アクセス許可
- ガバナンス ドメイン レベルでポリシーを表示および管理するには、 ガバナンス ドメイン所有者のアクセス許可 が必要です。
- データ製品レベルでポリシーを表示および管理するには、 データ製品所有者のアクセス許可 が必要です。
- データ製品または用語集の用語でポリシーを表示および管理するには、 データ スチュワードのアクセス許可 が必要です。
- データ カタログ リーダーは、データ製品へのアクセスを表示および要求できます。
- また、アクセス要求のマネージャーとプライバシーの承認者は、階層化された承認の一部として、Data Catalogを使用して要求を承認できるように、最小限のデータ カタログ リーダーを持っている必要があります。
考慮事項
このエクスペリエンスでは、要求の承認者は、承認プロセスの一部として個々のデータ資産へのアクセスを手動で提供するか、アクセス プロバイダーを指定する必要があります。
構成証明 (コピーなし構成証明を含む) などのポリシーは、製品には適用されません。 データ コンシューマーは、アクセスを要求するときにこれらのポリシーに従うことを証明します。
データ製品アクセス ポリシーを設定する
アクセス ポリシーを構築するには、ほとんどの場合、 データ製品の所有者またはデータ スチュワードのアクセス許可が必要です。
ヒント
アクセス ポリシーを管理するには、データ製品が発行されていない状態である必要があります。
- Microsoft Purview ポータルで、データ カタログを開きます。
- [ カタログ管理 ] ドロップダウンを選択し、[ データ製品] を選択します。
- データ製品を選択します。
- データ製品ページで、[ポリシーの 管理] を選択します。
- ポリシー構成ウィンドウから、データ製品のアクセス ポリシーを作成および管理できます。
データ製品アクセス ポリシーを構成する
[ ポリシーの管理 ] ウィンドウでは、データ製品アクセス ポリシーの既定のセットに割り当てられている既定値を表示および編集できます。 選択した値は、アクセス要求フォームと実行する必要があるアクションに関するデータ コンシューマーに影響します。
- [ 許可されたアクセス ] ドロップダウンで、使用目的を追加します。これは、データ製品にアクセスして使用するための承認された目的です。 既定では、説明を編集したり、コンシューマーが要求アクセス フォームで選択するその他の目的を追加したりできる 3 つの値が用意されています。
- [ 承認要件 ] ドロップダウンで、マネージャーの承認またはプライバシーとコンプライアンスのレビューが必要かどうかを判断します。
注:
選択した場合、アクセス要求フォームには、マネージャーの承認者またはプライバシーとコンプライアンスのレビューが必要であることが表示されます。 Microsoft Entra IDのコンシューマーのマネージャーには、最初のレベルの承認が通知されます。 要求フォームでコンシューマーによって名前が付けられたプライバシー レビュー担当者に、承認が通知されます。 要求は最初にマネージャーによってレビューされ、次にプライバシーレビュー担当者が、次にアクセス要求の承認者によって承認とアクセスの許可が行われます。 オプションのアクセス プロバイダー層は、選択されている場合は最後になります。 要求の状態は、構成されているすべての承認レベルが完了した場合にのみ最終的です。
- [ 承認要件 ] ドロップダウンの [ アクセス要求の承認者] で、アクセス要求を承認する必要があるユーザーを選択します。 アクションを実行する最初の承認者は、要求を承認し、データ資産へのアクセスを手動で付与し、各資産でプロビジョニングされたアクセスの状態を記録し、データ アクセスの指示またはデータ コンシューマーへのコメントを指定します。 既定では、データ製品の所有者が設定され、より多くの承認者を追加できます。 承認者としてMicrosoft Entra IDグループまたはセキュリティ グループを追加し、承認者は要求ビューで詳細な状態を表示することもできます。
- Access プロバイダーと呼ばれるオプションのレベルを明示的に設定して、データ資産へのアクセスを手動で許可し、各資産でプロビジョニングされたアクセスの状態を記録し、データ アクセスの指示またはデータ コンシューマーへのコメントを指定できます。 この方法により、データ コンシューマーは、データにアクセスして使用するために実行できる次の手順を認識できます。
- [ 構成証明] で、データのコピーが許可されているかどうかを判断します。 構成証明は、コンシューマーが証明するアクセス要求フォームに反映されます。
- 使用条件がデータ製品に存在する場合は、コンシューマーが証明するアクセス要求フォームにも反映されます。
- [構成証明の追加] を選択し、表示名とファイルの場所を追加して、構成 証明 を追加します。 これらは、コンシューマーが証明する要求アクセス フォームに反映されます。
- ガバナンス ドメイン、重要なデータ要素、用語集の用語から継承されたポリシーがある場合は、[ 継承されたポリシー ] タブに表示されます。詳細については、このドキュメントの「 ガバナンス ドメインに関するポリシー」および「用語集の用語 (継承されたポリシー)」を参照してください。
- [ プレビュー要求フォーム ] を選択して、ユーザーがアクセスを要求したときに表示される内容を確認します。
- [ 変更の保存] を 選択して、ガバナンス ドメインのアクセス ポリシーを保存します。
ガバナンス ドメイン、用語集の用語、および重要なデータ要素に関するポリシー (継承されたポリシー)
ポリシーは、ガバナンス ドメイン、用語集の用語、および重要なデータ要素に対して設定できます。 ガバナンス ドメイン内のデータ製品、または用語集の用語または重要なデータ要素が適用されているデータ製品は、ポリシーを継承して集計します。
継承されたポリシーは、[データ製品の管理ポリシー] ビューの [ 継承されたポリシー] という別のタブで確認できます。 [ プレビュー ] ボタンを選択すると、集計ビューを表示できます。 データ コンシューマーは、アクセスを要求すると、この集計ビューを表示します。
たとえば、データ製品に適用される用語集の用語にマネージャーの承認ポリシーが設定されている場合、データ製品にマネージャーの承認も必要になります。 ビジネスの概念 (ガバナンス ドメイン、データ製品、用語集の用語、または重要なデータ要素) に設定されている構成証明は、データ製品に集計され、データ コンシューマーはアクセスを要求するときに必要なすべての構成証明を証明します。
ガバナンス ドメイン、用語集の用語、または重要なデータ要素に対してアクセス ポリシーを構築するには、 ガバナンス ドメインの所有者またはデータ スチュワードのアクセス許可が必要です。
- Microsoft Purview ポータルで、データ カタログを開きます。
- [ カタログ管理 ] ドロップダウンを選択し、[ ガバナンス ドメイン] を選択します。
- ガバナンス ドメインを選択します。
- [ガバナンス ドメイン] ページで、[ ポリシーの管理] を選択します。
- または、用語集の用語または重要なデータ要素ページで、[ ポリシーの管理] を選択します。
- [ポリシー構成] ウィンドウから、関連するアクセス ポリシーを作成および管理できます。
継承されたポリシーを構成する
[ ポリシーの管理 ] ウィンドウでは、各ビジネス 概念の既定のアクセス ポリシー セットを表示および管理できます。 選択した値は、アクセス要求フォームと実行する必要があるアクションに関するデータ コンシューマーに影響します。
- マネージャーの承認が必要かどうかを判断します。 Microsoft Entra IDで構成されたデータ コンシューマーのマネージャーは、承認の第 1 レベルとして通知されます。 要求が承認されると、要求は次のレベルに進みます。
- データのコピーが許可されているかどうかを判断します。 この選択は、コンシューマーが証明するアクセス要求フォームに反映されます。
- [構成証明の追加] を選択し、表示名とファイルの場所を追加して、必要な 構成証明 を追加します。 これらの構成証明は、コンシューマーが証明する要求アクセス フォームに反映されます。
アクセス要求を管理または応答する
- Microsoft Purview ポータルで、Data Catalogを開きます。
- [ カタログ管理 ] ドロップダウンを選択し、[要求] を選択 します。
- ガバナンス ドメイン テーブルの状態列では、開いているアクセス要求を持つ任意のドメインで並べ替えることができます。
- アクセス要求を管理するガバナンス ドメインを選択します。
- [アクセス要求] タブには、最新のアクセス要求の一覧が表示されます。
- 応答するアクセス要求を選択できます。
- コンシューマーによって送信された詳細を表示します。
- [ 承認] または [ 拒否] を選択します。
- 一連の承認者 (データ製品アクセス要求承認者または明示的なアクセス プロバイダー) の最後の承認者である場合は、各資産でプロビジョニングされたアクセスの状態を記録し、データ アクセスの指示またはデータ コンシューマーへのコメントを指定する必要もあります。 この方法により、データ コンシューマーは、データにアクセスして使用するために実行できる次の手順を認識できます。
- 要求が応答されると、データ コンシューマーに通知されます。
- 要求者は電子メールで通知され、[マイ データ アクセス] タブの [Microsoft Purview データ カタログ検出] ドロップダウンの [データ製品] ページで状態を表示することもできます。
電子メール通知を使用してアクセス要求に応答する
- アクセス要求を承認する要求として受信した電子メールで、[ 承認 要求] リンクを選択します。
- Microsoft Purview データ カタログの [カタログ管理] ドロップダウンの [要求] ページで、要求の詳細ビューに移動します。
- コンシューマーによって送信された詳細を表示します。
- [ 承認] または [ 拒否] を選択します。
- 一連の承認者の最後の承認者である場合。データ製品アクセス要求の承認者または明示的なアクセス プロバイダーは、各資産でプロビジョニングされたアクセスの状態を記録し、データ アクセスの指示またはデータ コンシューマーへのコメントを指定する必要もあります。 これにより、データ コンシューマーは、データにアクセスして使用するために実行できる次の手順を認識できます。
- 要求が応答されると、データ コンシューマーに通知されます。
- 要求者は電子メールで通知され、[マイ データ アクセス] タブの [Microsoft Purview データ カタログ データ製品の検索] ページで状態を表示することもできます。
シーケンシャルまたは階層化された承認と要求の状態
データ製品のポリシーを管理するためのセクションで説明されているように、承認者の選択に応じて、順次承認または階層化承認が有効になります。 データ製品のアクセス要求の承認では、次の順序が維持されます。
- マネージャーの承認が選択されている場合、Microsoft Entraのコンシューマーのマネージャーに、承認の第 1 レベルが通知されます。
- マネージャーが要求を承認した後にのみ、選択した場合、プライバシーレビュー担当者は承認の通知を受け取るか、アクションを実行できるようになります。
- プライバシーレビュー担当者によって承認されると、アクセス要求の承認者に、データ製品のデータ資産へのアクセスの承認とプロビジョニングが通知されます。 このレベルは、アクセス プロバイダーが指定されていない場合は、要求を承認して完了します。それ以外の場合は承認のみとなります。
- 最後のレベルのアクセス プロバイダーが指定されている場合、これはデータ資産へのアクセスをプロビジョニングし、データ コンシューマーの状態と手順を記録する層です。 要求が完了します。 完了は最終的な状態になります。
- ワークフローは、最後の承認と完了が発生するか、最初の拒否が発生するまで続行されます。
- データ コンシューマーは、すべてのユーザーがそれぞれのアクションを実行した後にのみ通知されます。
- データ コンシューマーは、いつでも、[マイ データ アクセス] タブの [Microsoft Purview データ カタログ検出] ドロップダウンの [データ製品] ページで要求の状態を確認できます。
- 要求の状態は、保留中から拒否済み、または保留中から承認済み、完了に切り離すことができます。