Controlo de acesso no portal de governação clássico do Microsoft Purview
O portal de governação do Microsoft Purview utiliza Coleções no Mapa de Dados do Microsoft Purview para organizar e gerir o acesso nas respetivas origens, recursos e outros artefactos. Este artigo descreve as coleções e a gestão de acesso da sua conta no portal de governação do Microsoft Purview.
Importante
Este artigo de permissões abrange as permissões de governação de dados do Microsoft Purview no portal de governação clássico do Microsoft Purview.
- Para obter permissões de governação, o novo portal do Microsoft Purview vê permissões de governação no portal
- Para obter permissões gerais no novo portal do Microsoft Purview , veja permissões no portal.
- Para obter as permissões de risco e conformidade clássicas, veja as permissões no artigo portal de conformidade do Microsoft Purview.
Permissões para aceder ao portal de governação do Microsoft Purview
Existem duas formas main de aceder ao portal de governação do Microsoft Purview e precisará de permissões específicas para:
- Para aceder diretamente ao portal de governação do Microsoft Purview em https://web.purview.azure.com, precisará de, pelo menos, uma função de leitor numa coleção no seu Mapa de Dados do Microsoft Purview.
- Para aceder ao portal de governação do Microsoft Purview através do portal do Azure ao procurar a sua conta do Microsoft Purview, ao abri-la e selecionar Abrir o portal de governação do Microsoft Purview, precisará de, pelo menos, uma função de Leitorem Controle de Acesso (IAM).
Observação
Se tiver criado a sua conta com um principal de serviço, para poder aceder ao portal de governação do Microsoft Purview, terá de conceder permissões de administrador de coleção de utilizadores na coleção de raiz.
Coleções
Uma coleção é uma ferramenta que o Mapa de Dados do Microsoft Purview utiliza para agrupar recursos, origens e outros artefactos numa hierarquia para gerir o controlo de acesso. Todos os acessos aos recursos do portal de governação do Microsoft Purview são geridos a partir de coleções no Mapa de Dados do Microsoft Purview.
Funções
O portal de governação do Microsoft Purview utiliza um conjunto de funções predefinidas para controlar quem pode aceder ao quê na conta. Estas funções são atualmente:
- Administrador de domínio (apenas ao nível do domínio ) – pode atribuir permissões num domínio e gerir os respetivos recursos.
- Administrador de coleções – uma função para os utilizadores que terão de atribuir funções a outros utilizadores no portal de governação do Microsoft Purview ou gerir coleções. Os administradores de coleções podem adicionar utilizadores a funções em coleções onde são administradores. Também podem editar coleções, os respetivos detalhes e adicionar subcoleções. Um administrador de coleções na coleção de raiz também tem automaticamente permissão para o portal de governação do Microsoft Purview. Se o administrador da coleção de raiz alguma vez precisar de ser alterado, pode seguir os passos na secção abaixo.
- Curadores de dados – uma função que fornece acesso ao catálogo de dados para gerir recursos, configurar classificações personalizadas, criar e gerir termos do glossário e ver informações do património de dados. Os curadores de dados podem criar, ler, modificar, mover e eliminar recursos. Também podem aplicar anotações a recursos.
- Leitores de dados – uma função que fornece acesso só de leitura a recursos de dados, classificações, regras de classificação, coleções e termos do glossário.
- Administrador da origem de dados – uma função que permite a um utilizador gerir origens de dados e análises. Se um utilizador for concedido apenas à função de administrador de Origem de dados numa determinada origem de dados, pode executar novas análises com uma regra de análise existente. Para criar novas regras de análise, o utilizador também tem de ser concedido como funções de Leitor de dados ou Curador de dados .
- Leitor de informações – uma função que fornece acesso só de leitura a relatórios de informações para coleções em que o leitor de informações também tem, pelo menos, a função Leitor de dados . Para obter mais informações, veja permissões de informações.
- Autor da política – uma função que permite a um utilizador ver, atualizar e eliminar políticas do Microsoft Purview através da aplicação Política de dados no Microsoft Purview.
- Administrador de fluxo de trabalho – uma função que permite a um utilizador aceder à página de criação de fluxos de trabalho no portal de governação do Microsoft Purview e publicar fluxos de trabalho em coleções onde tem permissões de acesso. O administrador do fluxo de trabalho só tem acesso à criação, pelo que precisará de, pelo menos, permissão de Leitor de dados numa coleção para poder aceder ao portal de governação do Purview.
Observação
Neste momento, a função de autor de políticas do Microsoft Purview não é suficiente para criar políticas. A função de administrador da origem de dados do Microsoft Purview também é necessária.
Quem deve ser atribuído a que função?
| Situação do Usuário | Funções Adequadas |
|---|---|
| Só preciso de encontrar recursos, não quero editar nada | Leitor de dados |
| Preciso de editar e gerir informações sobre recursos | Curador de dados |
| Quero criar classificações personalizadas | Curador de dados ou administrador da origem de dados |
| Preciso de editar o glossário empresarial | Curador de dados |
| Preciso de ver o Data Estate Insights para compreender a postura de governação do meu património de dados | Curador de dados |
| O Principal de Serviço da minha aplicação tem de enviar dados por push para o Mapa de Dados do Microsoft Purview | Curador de dados |
| Preciso de configurar as análises através do portal de governação do Microsoft Purview | Curador de dados na coleção ou curador de dados e administrador da origem de dados onde a origem está registada. |
| Preciso de ativar um Principal de Serviço ou grupo para configurar e monitorizar análises no Mapa de Dados do Microsoft Purview sem permitir que acedam às informações do catálogo | Administrador da origem de dados |
| Preciso de colocar os utilizadores em funções no portal de governação do Microsoft Purview | Administrador de coleções |
| Preciso de criar e publicar políticas de acesso | Administrador da origem de dados e autor da política |
| Preciso de criar fluxos de trabalho para a minha conta do Microsoft Purview no portal de governação | Administrador de fluxo de trabalho |
| Preciso de partilhar dados de origens registadas no Microsoft Purview | Leitor de dados |
| Preciso de receber dados partilhados no Microsoft Purview | Leitor de dados |
| Preciso de ver informações de coleções das quais faço parte | Leitor ou curador de dados do Insights |
| Preciso de criar ou gerir o nosso runtime de integração autoalojado (SHIR) | Administrador da origem de dados |
| Preciso de criar pontos finais privados geridos | Administrador da origem de dados |
Observação
*Curador de dados – os curadores de dados só podem ler informações se lhes for atribuído um curador de dados ao nível da coleção de raiz.
**Permissões de administrador da origem de dados em Políticas – os administradores da origem de dados também podem publicar políticas de dados.
Compreender como utilizar as funções e coleções do portal de governação do Microsoft Purview
Todo o controlo de acesso é gerido através de coleções no Mapa de Dados do Microsoft Purview. As coleções podem ser encontradas no portal de governação do Microsoft Purview. Abra a sua conta no portal do Azure e selecione o mosaico do portal de governação do Microsoft Purview na página Descrição geral. A partir daí, navegue para o mapa de dados no menu esquerdo e, em seguida, selecione o separador "Coleções".
Quando uma conta do Microsoft Purview (anteriormente Azure Purview) é criada, começa com uma coleção de raiz que tem o mesmo nome que a própria conta. O criador da conta é adicionado automaticamente como um Administração de Coleção, Administração de Origem de Dados, Curador de Dados e Leitor de Dados nesta coleção de raiz e pode editar e gerir esta coleção.
As origens, recursos e objetos podem ser adicionados diretamente a esta coleção de raiz, mas outras coleções também. Adicionar coleções irá dar-lhe mais controlo sobre quem tem acesso aos dados na sua conta.
Todos os outros utilizadores só podem aceder a informações no portal de governação do Microsoft Purview se lhes for atribuída uma das funções acima. Isto significa que, quando cria uma conta, ninguém além do criador pode aceder ou utilizar as respetivas APIs até que sejam adicionadas a uma ou mais das funções acima numa coleção.
Os utilizadores só podem ser adicionados a uma coleção por um administrador de coleções ou através da herança de permissões. As permissões de uma coleção principal são herdadas automaticamente pelas respetivas subcoleções. No entanto, pode optar por restringir a herança de permissões em qualquer coleção. Se o fizer, as respetivas subcoleções deixarão de herdar permissões do principal e terão de ser adicionadas diretamente, embora os administradores da coleção que são automaticamente herdados de uma coleção principal não possam ser removidos.
Pode atribuir funções a utilizadores, grupos de segurança e principais de serviço a partir da sua Microsoft Entra ID que está associada à sua subscrição.
Atribuir permissões aos seus utilizadores
Depois de criar uma conta do Microsoft Purview (anteriormente Azure Purview), a primeira coisa a fazer é criar coleções e atribuir utilizadores a funções nessas coleções.
Observação
Se tiver criado a sua conta com um principal de serviço, para poder aceder ao portal de governação do Microsoft Purview e atribuir permissões aos utilizadores, terá de conceder permissões de administrador de coleção de utilizadores na coleção de raiz.
Criar coleções
As coleções podem ser personalizadas para a estrutura das origens no seu Mapa de Dados do Microsoft Purview e podem agir como agrupamentos de armazenamento organizados para estes recursos. Quando estiver a pensar nas coleções de que poderá precisar, considere a forma como os seus utilizadores irão aceder ou detetar informações. As suas fontes estão divididas por departamentos? Existem grupos especializados nesses departamentos que só precisam de detetar alguns recursos? Existem algumas origens que devem ser detetáveis por todos os seus utilizadores?
Isto irá informar as coleções e subcoleções de que poderá ter de organizar o mapa de dados de forma mais eficaz.
As novas coleções podem ser adicionadas diretamente ao mapa de dados, onde pode escolher a respetiva coleção principal a partir de um menu pendente ou podem ser adicionadas a partir do elemento principal como uma sub coleção. Na vista de mapa de dados, pode ver todas as origens e recursos ordenados pelas coleções e, na lista, a coleção da origem está listada.
Para obter mais instruções e informações, pode seguir o nosso guia para criar e gerir coleções.
Exemplo de coleções
Agora que temos uma compreensão base das coleções, permissões e como funcionam, vamos ver um exemplo.
Esta é uma forma de uma organização estruturar os respetivos dados: a partir da coleção de raiz (Contoso, neste exemplo) as coleções são organizadas em regiões e, em seguida, em departamentos e subdepartidos. As origens de dados e os recursos podem ser adicionados a qualquer uma destas coleções para organizar recursos de dados por estas regiões e departamentos e gerir o controlo de acesso ao longo dessas linhas. Existe um subdepartido, Receita, que tem diretrizes de acesso rigorosas, pelo que as permissões terão de ser geridas de forma rigorosa.
A função de leitor de dados pode aceder a informações no catálogo, mas não pode geri-la ou editá-la. Assim, para o nosso exemplo acima, adicionar a permissão Leitor de Dados a um grupo na coleção de raiz e permitir a herança dará a todos os utilizadores nesse leitor de grupo permissões sobre origens e recursos no Mapa de Dados do Microsoft Purview. Isto torna estes recursos detetáveis, mas não editáveis, por todas as pessoas nesse grupo. Restringir a herança no grupo Receita controlará o acesso a esses recursos. Os utilizadores que precisam de aceder às informações de receita podem ser adicionados separadamente à Coleção de receitas. Da mesma forma, com as funções de Curador de Dados e Origem de Dados Administração, as permissões para esses grupos começarão na coleção onde são atribuídas e reduzidas a subcoleções que não restringiram a herança. Abaixo, atribuímos permissões para vários grupos ao nível das coleções na sub-coleção Américas.
Adicionar utilizadores a funções
A atribuição de funções é gerida através das coleções. Apenas um utilizador com a função de administrador de coleção pode conceder permissões a outros utilizadores nessa coleção. Quando for necessário adicionar novas permissões, um administrador de coleções irá aceder ao portal de governação do Microsoft Purview, navegar para o mapa de dados, depois o separador coleções e selecionar a coleção onde um utilizador tem de ser adicionado. No separador Atribuições de Funções, poderão adicionar e gerir utilizadores que precisam de permissões.
Para obter instruções completas, veja o nosso guia de procedimentos para adicionar atribuições de funções.
Alteração do administrador
Pode haver uma altura em que o administrador da coleção de raiz tem de ser alterado ou um administrador tem de ser adicionado depois de uma conta ser criada por uma aplicação. Por predefinição, o utilizador que cria a conta é automaticamente atribuído ao administrador da coleção de raiz. Para atualizar o administrador da coleção de raiz, existem quatro opções:
Pode gerir administradores de coleções de raiz no portal do Azure:
- Inicie sessão no portal do Azure e procure a sua conta do Microsoft Purview.
- Selecione Permissão de recolha de raiz no menu do lado esquerdo na página da sua conta do Microsoft Purview.
- Selecione Adicionar administrador de coleção de raiz para adicionar um administrador.
- Também pode selecionar Ver todos os administradores da coleção de raiz a serem levados para a coleção de raiz no portal de governação do Microsoft Purview.
Pode atribuir permissões através do portal de governação do Microsoft Purview , tal como tem para qualquer outra função.
Pode utilizar a API REST para adicionar um administrador de coleções. As instruções para utilizar a API REST para adicionar um administrador de coleção podem ser encontradas na nossa documentação da API REST para coleções. Para obter informações adicionais, pode ver a nossa referência da API REST.
Também pode utilizar o comando da CLI do Azure abaixo. O object-id é opcional. Para obter mais informações e um exemplo, veja a página de referência de comandos da CLI.
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
Permissões em recursos
Se não tiver permissão de leitura numa coleção, os recursos nessa coleção não serão listados nos resultados da pesquisa. Se receber o URL direto de um recurso e o abrir, verá a página sem acesso. Contacte o administrador da coleção para lhe conceder o acesso. Pode selecionar o botão Atualizar para marcar novamente a permissão.
Se tiver a permissão de leitura para uma coleção, mas não tiver a permissão de escrita, pode procurar na página de detalhes do recurso, mas as seguintes operações estão desativadas:
- Edite o elemento. O botão Editar será desativado.
- Elimine o elemento. O botão Eliminar será desativado.
- Mover o recurso para outra coleção. O botão de reticências no canto superior direito da secção Caminho da coleção estará oculto.
Os recursos na secção Hierarquia também são afetados pelas permissões. Os recursos sem permissão de leitura ficarão desativados.
Permissões do catálogo de dados
Próximas etapas
Agora que tem uma compreensão base das coleções e do controlo de acesso, siga os guias abaixo para criar e gerir essas coleções ou comece a registar origens no seu Mapa de Dados do Microsoft Purview.