Partilhar via


Funções de governação e permissões para Catálogo de Dados clássicos em tipos gratuitos e conta empresarial

Importante

Este artigo explica as permissões de governação nas versões gratuitas e empresariais das soluções de governação de dados do Microsoft Purview com o Catálogo de Dados do Microsoft Purview clássico.

A governação de dados do Microsoft Purview tem duas soluções no portal do Microsoft Purview, o Mapa de Dados e o catálogo. Estas soluções utilizam permissões ao nível do inquilino/organizacional, permissões de acesso a dados existentes e permissões de domínio/coleção para fornecer aos utilizadores acesso a ferramentas de governação e recursos de dados. O tipo de permissões disponíveis para utilização depende do tipo de conta do Microsoft Purview. Pode marcar o tipo de conta no portal do Microsoft Purview no card Definições e Conta.

Captura de ecrã a mostrar a solução de definições realçada na página main portal do Microsoft Purview.

Captura de ecrã da página de definições no portal do Microsoft Purview.

Tipo de Conta Permissões de Inquilino/Organização Permissões de acesso a dados Permissões de domínio e coleção
Grátis x x
Empresarial x x x

Para obter mais informações sobre cada tipo de permissão, veja estes guias:

Para obter mais informações sobre a permissão com base no tipo de conta, veja estes guias:

Importante

Para os utilizadores recém-criados no Microsoft Entra ID, as permissões podem demorar algum tempo a propagar-se mesmo depois de terem sido aplicadas as permissões corretas.

Grupos de funções ao nível do inquilino

Atribuídos ao nível organizacional, os grupos de funções ao nível do inquilino fornecem permissões gerais e administrativas para o Mapa de Dados do Microsoft Purview e Catálogo de Dados clássico. Se estiver a gerir a sua conta do Microsoft Purview ou a estratégia de governação de dados da sua organização, provavelmente precisa de uma ou várias destas funções.

Os grupos de funções ao nível do inquilino de governação atualmente disponíveis são:

Grupo de função Descrição Disponibilidade do tipo de conta
Administrador do Purview Crie, edite e elimine domínios e efetue atribuições de funções. Contas gratuitas e empresariais
Administradores de Origens de Dados Gerir origens de dados e análises de dados no Mapa de Dados do Microsoft Purview. Contas empresariais
Curadores do Catálogo de Dados Execute ações de criação, leitura, modificação e eliminação em objetos de dados de catálogo e estabeleça relações entre objetos no Catálogo de Dados clássico. Contas empresariais
Leitores do Data Estate Insights Fornece acesso só de leitura a todos os relatórios de informações em plataformas e fornecedores no Catálogo de Dados clássico. Contas empresariais
Administradores do Data Estate Insights Fornece acesso de administrador a todos os relatórios de informações em plataformas e fornecedores no Catálogo de Dados clássico. Contas empresariais

Para obter uma lista completa de todas as funções e grupos de funções disponíveis, não apenas para a governação de dados, veja funções e grupos de funções nos portais Microsoft Defender XDR e Microsoft Purview.

Como atribuir e gerir grupos de funções

Observação

Os utilizadores têm de ter a função de gestão de funções ou a função de Administrador Global para a organação para atribuir funções.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.

Para atribuir e gerir funções no Microsoft Purview, siga as permissões no Guia do Microsoft Purview.

Permissões para procurar no Datalog clássico

Não são necessárias permissões específicas no catálogo para poder pesquisá-lo. No entanto, a pesquisa no catálogo só devolverá recursos de dados relevantes que tenha permissões para visualizar no Mapa de Dados.

Os utilizadores podem encontrar um recurso de dados no catálogo quando:

As permissões para estes recursos são geridas ao nível dos recursos e ao nível do Mapa de Dados.

Permissões de domínio e coleção

Os domínios e coleções são ferramentas que o Mapa de Dados do Microsoft Purview utiliza para agrupar recursos, origens e outros artefactos numa hierarquia para deteção e para gerir o controlo de acesso no Mapa de Dados do Microsoft Purview.

Funções de domínio e coleção

O Mapa de Dados do Microsoft Purview utiliza um conjunto de funções predefinidas para controlar quem pode aceder ao quê na conta. Estas funções são atualmente:

  • Administrador de domínio (apenas ao nível do domínio ) – pode atribuir permissões num domínio e gerir os respetivos recursos.
  • Administrador de coleções – uma função para os utilizadores que terão de atribuir funções a outros utilizadores no portal de governação do Microsoft Purview ou gerir coleções. Os administradores de coleções podem adicionar utilizadores a funções em coleções onde são administradores. Também podem editar coleções, os respetivos detalhes e adicionar subcoleções. Um administrador de coleções na coleção de raiz também tem automaticamente permissão para o portal de governação do Microsoft Purview. Se o administrador da coleção de raiz alguma vez precisar de ser alterado, pode seguir os passos na secção abaixo.
  • Curadores de dados – uma função que fornece acesso ao Catálogo unificado do Microsoft Purview para gerir recursos, configurar classificações personalizadas, criar e gerir termos do glossário e ver informações de património de dados. Os curadores de dados podem criar, ler, modificar, mover e eliminar recursos. Também podem aplicar anotações a recursos.
  • Leitores de dados – uma função que fornece acesso só de leitura a recursos de dados, classificações, regras de classificação, coleções e termos do glossário.
  • Administrador da origem de dados – uma função que permite a um utilizador gerir origens de dados e análises. Se um utilizador for concedido apenas à função de administrador de Origem de dados numa determinada origem de dados, pode executar novas análises com uma regra de análise existente. Para criar novas regras de análise, o utilizador também tem de ser concedido como funções de Leitor de dados ou Curador de dados .
  • Leitor de informações – uma função que fornece acesso só de leitura a relatórios de informações para coleções em que o leitor de informações também tem, pelo menos, a função Leitor de dados . Para obter mais informações, veja permissões de informações.
  • Autor da política – uma função que permite a um utilizador ver, atualizar e eliminar políticas do Microsoft Purview através da aplicação Política de dados no Microsoft Purview.
  • Administrador de fluxo de trabalho – uma função que permite a um utilizador aceder à página de criação de fluxos de trabalho no portal de governação do Microsoft Purview e publicar fluxos de trabalho em coleções onde tem permissões de acesso. O administrador do fluxo de trabalho só tem acesso à criação, pelo que precisará de, pelo menos, permissão de Leitor de dados numa coleção para poder aceder ao portal de governação do Purview.

Observação

Neste momento, a função de autor de políticas do Microsoft Purview não é suficiente para criar políticas. A função de administrador da origem de dados do Microsoft Purview também é necessária.

Importante

O utilizador que criou a conta é automaticamente atribuído a administrador de domínio no domínio predefinido e administrador de coleção na coleção de raiz.

Adicionar atribuições de funções

  1. Abra o Mapa de Dados do Microsoft Purview.

  2. Selecione o domínio ou coleção onde pretende adicionar a atribuição de função.

  3. Selecione o separador Atribuições de funções para ver todas as funções numa coleção ou domínio. Apenas um administrador de coleção ou administrador de domínio pode gerir atribuições de funções.

    Captura de ecrã a mostrar a janela da coleção do portal de governação do Microsoft Purview, com o separador atribuições de funções realçado.

  4. Selecione Editar atribuições de funções ou o ícone de pessoa para editar cada membro da função.

    Captura de ecrã a mostrar a janela de recolha do portal de governação do Microsoft Purview, com a lista pendente editar atribuições de funções selecionada.

  5. Escreva na caixa de texto para procurar utilizadores que pretende adicionar ao membro da função. Selecione X para remover membros que não pretende adicionar.

    Captura de ecrã a mostrar a janela de administração da coleção do portal de governação do Microsoft Purview com a barra de pesquisa realçada.

  6. Selecione OK para guardar as alterações e verá os novos utilizadores refletidos na lista de atribuições de funções.

Remover atribuições de funções

  1. Selecione o botão X junto ao nome de um utilizador para remover uma atribuição de função.

    Captura de ecrã da janela coleção do portal de governação do Microsoft Purview, com o separador atribuições de funções selecionado e o botão x junto a um dos nomes realçados.

  2. Selecione Confirmar se tem a certeza de que remove o utilizador.

    Captura de ecrã a mostrar um pop-up de confirmação, com o botão Confirmar realçado.

Restringir herança

As permissões de coleção são herdadas automaticamente da coleção principal. Pode restringir a herança de uma coleção principal em qualquer altura, utilizando a opção restringir permissões herdadas.

Observação

Atualmente, as permissões do domínio predefinido não podem ser restritas. Todas as permissões atribuídas no domínio predefinido serão herdadas pelas subcoleções diretas do domínio.

Depois de restringir a herança, terá de adicionar utilizadores diretamente à coleção restrita para lhes conceder acesso.

  1. Navegue para a coleção onde pretende restringir a herança e selecione o separador Atribuições de funções .

  2. Selecione Restringir permissões herdadas e selecione Restringir acesso na caixa de diálogo de pop-up para remover as permissões herdadas desta coleção e quaisquer subcoleções. As permissões de administrador da coleção não serão afetadas.

    Captura de ecrã da janela coleção do portal de governação do Microsoft Purview, com o separador atribuições de funções selecionado e o botão de diapositivo restringir permissões herdadas realçado.

  3. Após a restrição, os membros herdados são removidos das funções esperadas para o administrador da coleção.

  4. Selecione o botão de alternar Restringir permissões herdadas novamente para reverter.

    Captura de ecrã da janela coleção do portal de governação do Microsoft Purview, com o separador atribuições de funções selecionado e o botão de diapositivo permissões herdadas sem restrições realçado.

Dica

Para obter informações mais detalhadas sobre as funções disponíveis nas coleções, veja a quem deve ser atribuída a tabela de funções ou o exemplo de coleções.

Permissões de acesso a dados

As permissões de acesso a dados são permissões que os utilizadores já têm nas respetivas origens de dados do Azure. Estas permissões existentes também concedem permissão para aceder e gerir os metadados dessas origens, consoante o nível de permissões:

Atualmente, estas funcionalidades só estão disponíveis para algumas origens do Azure:

Fonte de dados Permissão de leitor
Banco de Dados SQL Azure Leitor ou estas ações.
Azure Storage Blob Leitor ou estas ações.
Azure Data Lake Storage Gen2 Leitor ou estas ações.
Assinatura do Azure permissão de Ler na subscrição ou nestas ações.

A função de leitor contém permissões suficientes, mas se estiver a criar uma função personalizada, os seus utilizadores terão de incluir estas ações:

Fonte de dados Permissão de leitor
Banco de Dados SQL Azure "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read"
Azure Storage Blob "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read"
Azure Data Lake Storage Gen2 "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read"
Assinatura do Azure "Microsoft.Resources/subscriptions/resourceGroups/read"

Permissões de leitor

Os utilizadores que tenham, pelo menos, a função de leitor nos recursos do Azure disponíveis também podem aceder a esses metadados de recursos nos tipos de conta empresarial e gratuitos.

Os utilizadores podem procurar e procurar recursos a partir destas origens no Catálogo de Dados clássico e ver os respetivos metadados.

Estas são as permissões necessárias nos recursos para que os utilizadores sejam considerados leitores:

Fonte de dados Permissão de leitor
Banco de Dados SQL Azure Leitor ou estas ações.
Azure Storage Blob Leitor ou estas ações.
Azure Data Lake Storage Gen2 Leitor ou estas ações.
Assinatura do Azure permissão de Ler na subscrição ou nestas ações.

Permissões de proprietário

Os utilizadores que tenham a função de proprietário ou permissões de escrita em recursos do Azure disponíveis podem aceder e editar metadados para esses recursos em tipos de conta empresarial e gratuitos.

Os utilizadores proprietário podem procurar e procurar recursos a partir destas origens no catálogo e ver metadados. Os utilizadores também podem atualizar e gerir os metadados desses recursos. Saiba mais sobre a curadoria de metadados.

Estas são as permissões necessárias nos recursos para que os utilizadores sejam considerados proprietários:

Fonte de dados Permissão do proprietário
Banco de Dados SQL Azure "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write"
Azure Storage Blob "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write"
Azure Data Lake Storage Gen2 "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write"

Permissões na versão gratuita

Todos os utilizadores podem ver recursos de dados de origens disponíveis onde já têm, pelo menos, permissões de Leitura . Os utilizadores proprietários podem gerir os metadados dos recursos disponíveis onde já têm, pelo menos, permissões de Proprietário/Escrita . Para obter mais informações, veja a secção permissões de acesso a dados.

Também podem ser atribuídas permissões adicionais através de grupos de funções ao nível do inquilino.

Importante

Para os utilizadores recém-criados no Microsoft Entra ID, as permissões podem demorar algum tempo a propagar-se mesmo depois de terem sido aplicadas as permissões corretas.

Permissões na versão empresarial do Microsoft Purview

Todos os utilizadores podem ver recursos de dados de origens disponíveis onde já têm, pelo menos, permissões de Leitura . Os utilizadores proprietários podem gerir os metadados dos recursos onde já têm, pelo menos, permissões de Proprietário/Escrita . Para obter mais informações, veja a secção permissões de acesso a dados.

Também podem ser atribuídas permissões adicionais através de grupos de funções ao nível do inquilino.

As permissões também podem ser atribuídas no Mapa de Dados do Microsoft Purview para que os utilizadores possam procurar recursos no Mapa de Dados ou na pesquisa Catálogo de Dados clássica à qual ainda não têm acesso a dados.