Arquiteturas e melhores práticas de domínios e coleções do Microsoft Purview
No centro das soluções de governação unificadas do Microsoft Purview, o mapa de dados é um serviço que mantém um mapa atualizado de recursos e respetivos metadados no seu património de dados. Para hidratar o mapa de dados, tem de registar e analisar as origens de dados. Numa organização, podem existir milhares de origens de dados geridas e regidas por unidades empresariais, equipas e ambientes centralizados ou descentralizados. Para gerir isto, pode utilizar domínios e coleções no Microsoft Purview.
Observação
As recomendações de melhores práticas neste artigo aplicam-se a contas do Microsoft Purview que estão a utilizar uma conta ao nível do inquilino (https://purview.microsoft.com).
Domínios
No Microsoft Purview, os domínios são elementos fundamentais do Mapa de Dados e representam uma hierarquia de nível superior numa conta do Microsoft Purview. Permitem a segregação de responsabilidades, organização eficaz e gestão da governação de dados na organização especialmente quando existem subsidiárias ou unidades empresariais que operam de forma independente, mas partilham um inquilino comum do Entra ID. Ao utilizar domínios, as organizações podem obter várias capacidades, incluindo:
- Organização: os domínios ajudam a agrupar logicamente recursos como origens de dados, recursos, análises e recursos relacionados com segurança que pertencem a uma unidade de negócio ou região.
- Delegação: os domínios são uma hierarquia acima das coleções, permitindo que os administradores do Microsoft Purview deleguem tarefas administrativas específicas a subconjunto de componentes na governação de dados do Microsoft Purview para unidades de negócio específicas ou suborganização.
- Segurança: ao isolar objetos dentro de domínios, os administradores podem implementar medidas de segurança direcionadas e controlar o acesso de forma mais eficaz. Por exemplo, recursos como ligações, credenciais e políticas podem ser específicos e visíveis para um determinado domínio.
- Gestão do Ciclo de Vida: os domínios facilitam a separação dos recursos de desenvolvimento, teste, GQ, pré-produção e produção no mesmo inquilino.
- Isolamento de Recursos: os domínios ajudam a isolar recursos devido a requisitos regionais, legais ou regulamentares.
Coleções
As coleções no Microsoft Purview suportam o mapeamento organizacional ou suborganizado de metadados. Ao utilizar coleções, pode gerir e manter origens de dados, análises e recursos numa unidade de negócio numa hierarquia em vez de numa estrutura simples. As coleções permitem-lhe criar um modelo hierárquico personalizado do seu panorama de dados com base na forma como a sua organização planeia utilizar o Microsoft Purview para governar os seus dados.
Uma coleção também fornece um limite de segurança para os metadados no mapa de dados. O acesso a coleções, origens de dados e metadados é configurado e mantido com base na hierarquia de coleções no Microsoft Purview, seguindo um modelo com menos privilégios:
- Os utilizadores têm a quantidade mínima de acesso de que precisam para fazer o seu trabalho.
- Os utilizadores não têm acesso a dados confidenciais de que não precisam.
Compreender a Relação
-
Os domínios são mais estratégicos e centrados em políticas, enquanto as coleções são mais operacionais e centradas no acesso. Por exemplo, numa grande organização de cuidados de saúde com vários segmentos, como Hospitais, Clínicas, Investigação e Administração, todos no mesmo Microsoft Entra ID inquilino, domínios e coleções podem ser definidos da seguinte forma:
- Domínios: a organização cria domínios para cada segmento. Estes domínios são estratégicos e centrados em políticas, o que significa que definem políticas de governação de alto nível, requisitos de conformidade e estratégias de gestão de dados para cada segmento. Por exemplo, o domínio Hospitais pode ter políticas relacionadas com a privacidade dos dados dos pacientes e regulamentos de cuidados de saúde, enquanto o domínio investigação pode focar-se em acordos de partilha de dados e diretrizes éticas para ensaios clínicos. Cada domínio pode ter os seus próprios conjuntos de credenciais, conjuntos de regras de análise, políticas e ligações, bem como coleções, origens de dados, análises e recursos que não estão visíveis para utilizadores e administradores noutros domínios.
- Coleções: no domínio Hospitais, existem várias tarefas operacionais que precisam de ser geridas. A organização cria coleções para diferentes unidades operacionais, tais como Serviços de Emergência, Cuidados de Suporte e Serviços de Ambulatório. Estas coleções são mais operacionais e centradas no acesso, o que significa que organizam origens de dados, recursos e analisam especificamente cada unidade operacional. O acesso a estas coleções é controlado com base nas funções e responsabilidades dos utilizadores no segmento Hospitais. Por exemplo, apenas os funcionários do serviço de urgência podem ter acesso à recolha dos Serviços de Emergência, enquanto os gestores de cuidados de saúde em ambulatório têm acesso à coleção de Cuidados de Internamento.
- As coleções podem existir em domínios, herdando as políticas de governação definidas ao nível do domínio.
- Na governação de dados do Microsoft Purview, os domínios e as coleções têm funções distintas. Uma conta pode ter um domínio predefinido e até quatro domínios personalizados. Cada domínio pode ter a sua própria hierarquia de coleções.
- Um membro do utilizador da função Administradores do Purview pode criar e gerir domínios e delegar o acesso a cada unidade de negócio para gerir os seus próprios domínios ao conceder-lhes acesso como função do Gestor de Domínio do Purview .
Definir uma hierarquia
Recomendações de conceção
Comece a conceber a arquitetura de domínios e coleções com base nos requisitos legais e de segurança da sua organização, considerando a gestão de dados e a estrutura de governação da sua organização. Reveja os arquétipos recomendados neste artigo.
Considere a gestão de segurança e acesso como parte do seu processo de tomada de decisões de conceção quando cria domínios e coleções no Microsoft Purview.
Comece com o domínio predefinido e compile a hierarquia de coleções dentro do domínio predefinido. Utilize domínios adicionais se tiver algum dos seguintes requisitos:
Tem de criar ambientes prod e não prod no mesmo inquilino.
Tem várias regiões e precisa de separar logicamente os recursos e segregar responsabilidades nestas regiões.
A sua organização tem várias empresas ou unidades de negócio no mesmo inquilino e precisa de separar os recursos e segregar a gestão e as responsabilidades.
Cada domínio ou coleção tem um atributo de nome e um atributo de nome amigável. Se utilizar o portal de governação do Microsoft Purview para implementar um domínio ou coleção, o sistema atribui automaticamente um nome aleatório de seis letras para evitar a duplicação.
Atualmente, um nome de domínio ou coleção pode conter até 36 carateres e um nome amigável de coleção pode ter até 100 carateres.
Quando puder, evite duplicar a estrutura organizacional numa hierarquia de coleções profundamente aninhada. Se não conseguir evitar fazê-lo, certifique-se de que utiliza nomes diferentes para cada coleção na hierarquia para facilitar a distinção das coleções.
Automatize a implementação de domínios e coleções com a API se estiver a planear implementar domínios e coleções e atribuições de funções em massa.
Utilize um nome de principal de serviço (SPN) dedicado para executar operações no Mapa de Dados para gerir domínios, coleções e atribuições de funções com a API. A utilização de um SPN reduz o número de utilizadores com direitos elevados e segue as diretrizes de menor privilégio.
Considerações de design
Os domínios só estão disponíveis para contas do Microsoft Purview com uma conta ao nível do inquilino.
Considere que uma conta do Microsoft Purview pode ter até quatro domínios, além do domínio predefinido. Como parte da consolidação das suas contas atuais do Microsoft Purview, os conteúdos dos mapas de dados existentes, incluindo coleções, origens de dados, recursos e análises, são migrados para um novo domínio.
Crie um novo domínio se estiver a planear integrar uma nova organização no seu inquilino que tenha um requisito legal diferente.
Os seguintes recursos são implementados ao nível do inquilino e visíveis em todos os domínios:
- Typedefs
- Atributos gerenciados
- Termos do glossário
- Classificações e regras de classificação
- Metamodelo
- Runtimes de integração
- Fluxos de trabalho
Os domínios fornecem a separação dos seguintes recursos:
- Credenciais
- Ligações de segurança
- Conjuntos de regras de análise personalizados
- Conjuntos de recursos avançados e regras de padrões
- Políticas
- Ligações do ADF
- Coleções e todos os recursos que podem ser confinados a uma coleção
As coleções fornecem a separação dos seguintes recursos:
- Fontes de dados
- Análises
- Ativos
Cada conta do Microsoft Purview é criada com um domínio predefinido. O nome de domínio predefinido é o mesmo que o nome da conta do Microsoft Purview. O domínio predefinido não pode ser removido. No entanto, pode alterar o nome amigável do domínio predefinido.
Uma coleção pode ter o número de coleções subordinadas necessárias. No entanto, cada coleção só pode ter um domínio e uma coleção principal.
Uma hierarquia de coleções num Microsoft Purview pode suportar até 256 coleções, com um máximo de oito níveis de profundidade. Isto não inclui a coleção de raiz.
Por predefinição, não pode registar origens de dados várias vezes numa única conta do Microsoft Purview. Esta arquitetura ajuda a evitar o risco de atribuir diferentes níveis de controlo de acesso a uma única origem de dados. Se várias equipas consumirem os metadados de uma única origem de dados, pode registar e gerir a origem de dados numa coleção principal. Em seguida, pode criar análises correspondentes em cada subcoleção para que os recursos relevantes sejam apresentados em cada coleção subordinada.
As ligações de linhagem e os artefactos estão anexados ao domínio predefinido, mesmo que as origens de dados estejam registadas em coleções de nível inferior.
Quando executa uma nova análise, por predefinição, a análise é implementada na mesma coleção que a origem de dados. Opcionalmente, pode selecionar uma subcoleção diferente para executar a análise. Como resultado, os recursos pertencem à subcoleção.
Pode eliminar um domínio se estiver vazio.
Pode eliminar uma coleção se não tiver quaisquer recursos, análises associadas, origens de dados ou coleções subordinadas.
A movimentação de origens de dados entre coleções é permitida se for concedida ao utilizador a função de Administração de Origem de Dados para as coleções de origem e destino.
A movimentação de recursos entre coleções é permitida se for concedida ao utilizador a função curador de dados para as coleções de origem e destino.
Para realizar operações de movimentação e mudança de nome numa coleção, reveja as seguintes recomendações e considerações:
Para mudar o nome de uma coleção, tem de ser membro da função de administradores da coleção.
Para mover uma coleção, tem de ser membro da função de administradores da coleção nas coleções de origem e destino.
Definir um modelo de autorização
O Microsoft Purview contém funções no Microsoft Defender para Office 365, bem como funções existentes no plano de dados do Microsoft Purview. Depois de implementar uma conta do Microsoft Purview, é criado automaticamente um domínio predefinido e o criador da conta do Microsoft Purview torna-se parte da função administradores do Purview. Para obter mais informações sobre permissões para o Mapa de Dados do Microsoft Purview e Catálogo unificado, veja a documentação sobre funções e permissões.
Recomendações de conceção
Considere implementar o acesso de emergência ou uma estratégia de break-glass para o seu inquilino, para que possa recuperar o acesso ao domínio predefinido do Microsoft Purview quando necessário, para evitar bloqueios ao nível da conta do Microsoft Purview. Documente o processo de utilização de contas de emergência.
Minimize o número de Administradores do Purview, administradores de domínio e administradores de coleções. Atribua um máximo de três utilizadores administradores de domínio no domínio predefinido, incluindo o SPN e as suas contas break-glass. Atribua as funções Administração coleção à coleção de nível superior ou às subcoleções.
Atribua funções a grupos em vez de utilizadores individuais para reduzir a sobrecarga administrativa e os erros na gestão de funções individuais.
Atribua o principal de serviço na coleção de raiz para fins de automatização.
Para aumentar a segurança, ative Microsoft Entra Acesso Condicional com autenticação multifator para administradores do Purview, administradores de domínio e administradores de coleções, administradores de origens de dados e curadores de dados. Certifique-se de que as contas de emergência estão excluídas da política de Acesso Condicional.
Considerações de design
A gestão de acesso do Microsoft Purview mudou-se para o plano de dados e funções no Microsoft Defender para Office 365. As funções do Azure Resource Manager já não são utilizadas, pelo que deve utilizar o Microsoft Purview para atribuir funções.
No Microsoft Purview, pode atribuir funções a utilizadores, grupos de segurança e principais de serviço (incluindo identidades geridas) a partir de Microsoft Entra ID no mesmo inquilino Microsoft Entra onde a conta do Microsoft Purview está implementada.
Primeiro, tem de adicionar contas de convidado ao seu inquilino Microsoft Entra como utilizadores B2B antes de poder atribuir funções do Microsoft Purview a utilizadores externos.
Por predefinição, os administradores de domínio também obtêm funções de administradores de origem de dados, leitor de dados e curador de dados para que tenham acesso para ler ou modificar recursos.
Por predefinição, o Administrador Global é adicionado como administradores de coleções no domínio predefinido.
Por predefinição, todas as atribuições de funções são herdadas automaticamente por todas as coleções subordinadas. No entanto, pode ativar Restringir permissões herdadas em qualquer coleção, exceto na coleção de raiz. Restringir permissões herdadas remove as funções herdadas de todas as coleções principais, exceto a função de administrador da coleção.
Para Azure Data Factory ligação: para ligar a Azure Data Factory, tem de ser um administrador de coleções no domínio predefinido.
Se precisar de se ligar ao Azure Data Factory para linhagem, conceda a função curador de dados à identidade gerida da fábrica de dados ao nível da coleção de raiz do Microsoft Purview. Quando liga o Data Factory ao Microsoft Purview na IU de criação, o Data Factory tenta adicionar automaticamente estas atribuições de funções. Se tiver a função de administrador de coleção no domínio predefinido do Microsoft Purview, esta operação funciona.
Arquétipos de domínios e coleções
Pode implementar os seus domínios e coleções do Microsoft Purview com base em modelos de governação e gestão de dados centralizados, descentralizados ou híbridos. Baseie esta decisão nos seus requisitos empresariais, legais e de segurança.
Exemplo 1: uma organização com um único ambiente e requisitos legais partilhados
Esta estrutura é adequada para organizações que:
- Baseiam-se numa única localização geográfica e operam sob os mesmos requisitos legais.
- Ter uma equipa centralizada de gestão e governação de dados onde o próximo nível de gestão de dados se insere em departamentos, equipas ou projetos.
A hierarquia consiste nestes verticais:
Domínios:
- Domínio predefinido: Contoso
Coleções sob domínio predefinido:
- Departamentos (uma coleção delegada para cada departamento)
- Equipas ou projetos (segregação adicional com base em projetos)
Não há necessidade de mais domínios, uma vez que não existem requisitos legais ou empresariais específicos para adicionar mais.
As origens de dados partilhadas ao nível da organização são registadas e analisadas na coleção do Hub.
As origens de dados partilhadas ao nível do departamento são registadas e analisadas nas coleções de departamentos.
Cada origem de dados é registada e analisada na respetiva coleção correspondente. Assim, os recursos também aparecem na mesma coleção.
Exemplo 2: uma única organização de várias regiões com gestão centralizada
Este cenário é útil para as organizações:
- Que têm presença em várias regiões.
- Em que a equipa de governação de dados é centralizada ou descentralizada em cada região.
- Onde as equipas de gestão de dados são distribuídas em cada localização geográfica e também existe uma gestão federada centralizada.
- Equipas que precisam de gerir as suas próprias origens de dados e recursos
A hierarquia de domínios e coleções consiste nestes verticais:
Domínios:
- Domínio predefinido: FourthCoffee
Coleções sob domínio predefinido:
- Localizações geográficas (coleções de nível superior com base em localizações geográficas onde estão localizadas origens de dados e proprietários de dados)
- Departamentos (uma coleção delegada para cada departamento)
- Equipas ou projetos (segregação adicional com base em projetos)
Neste cenário, cada região tem uma coleção própria no domínio predefinido na conta do Microsoft Purview. As origens de dados são registadas e analisadas nas coleções correspondentes nas suas próprias localizações geográficas. Assim, os recursos também aparecem na hierarquia de coleções da região.
Se tiver equipas de gestão e governação de dados centralizadas, pode conceder-lhes acesso a partir do domínio predefinido. Quando o fizer, obterão supervisão sobre todo o património de dados no mapa de dados. Opcionalmente, a equipa centralizada pode registar e analisar quaisquer origens de dados partilhadas. A equipa centralizada também pode gerir recursos de segurança, como credenciais e runtimes de integração.
As equipas de gestão e governação de dados baseadas na região podem obter acesso a partir das coleções correspondentes.
As origens de dados partilhadas ao nível do departamento são registadas e analisadas nas coleções de departamentos.
Exemplo 3: uma organização com vários ambientes
Este cenário pode ser útil se tiver um único inquilino para todos os tipos de ambientes prod e não prod e precisar de isolar os recursos o máximo possível. Os cientistas de dados e engenheiros de dados que podem transformar dados para torná-los mais significativos, podem gerir zonas Raw e Refinar. Em seguida, podem mover os dados para zonas De Produção ou Curadoria nos ambientes correspondentes.
A hierarquia de domínios e coleções consiste nestes verticais:
Domínios:
- Domínio predefinido: produção da Fabrikam
- Domínio personalizado 1: Programador e Teste
- Domínio personalizado 2: QA
As coleções em cada domínio podem seguir qualquer um destes verticais:
- Departamentos, Equipas ou projetos (segregação adicional com base em projetos)
- Fases de transformação de dados (Raw, Enriched, Produce/Curated, Development, etc.)
Os cientistas de dados e os engenheiros de dados podem ter a função de Curadores de Dados nas zonas correspondentes para que possam organizar metadados. O acesso do Leitor de Dados à zona organizada pode ser concedido a utilizadores empresariais e pessoais de dados inteiros.
Exemplo 4: várias organizações ou empresas, com o mesmo inquilino do Entra ID com gestão descentralizada
Esta opção pode ser utilizada para cenários em que várias empresas partilham o mesmo inquilino do Entra ID e cada organização precisa de organizar metadados e gerir os seus próprios recursos
Observação
Se anteriormente tinha várias contas do Microsoft Purview no seu inquilino, a primeira conta que selecionar para migrar torna-se um domínio predefinido e pode atualizar as outras contas para domínios separados.
A hierarquia de domínios e coleções consiste nestes verticais:
Domínios:
- Domínio predefinido: empresa-mãe ou organização, como a Contoso
- Domínio personalizado 1: FourthCoffee
- Domínio personalizado 2: Fabrikam
As coleções em cada domínio podem seguir qualquer um destes verticais:
- Departamentos, equipas ou projetos (segregação adicional com base em projetos)
- Fases de transformação de dados (Raw, Enriched, Produce/Curated, Development, etc.)
- Regiões numa organização
Cada organização tem um domínio próprio com a sua própria hierarquia de coleções na conta do Microsoft Purview. Os recursos de segurança são geridos dentro de cada domínio e as origens de dados são registadas e analisadas nos domínios correspondentes. Os recursos são adicionados à hierarquia de subcoleção para o domínio específico.
Se tiver uma organização centralizada de gestão e governação de dados, esse pode ser o domínio predefinido, para que possam gerir recursos partilhados, como run times de integração, atributos geridos, etc.
As equipas de gestão e governação de dados organizacionais podem obter acesso a partir das coleções correspondentes a um nível inferior, consoante a gestão centralizada ou descentralizada em cada domínio.
Observação
Um domínio de não produção partilhado pode ser criado e utilizado por várias organizações, sendo que cada organização tem a sua própria coleção de nível superior no domínio não prod.
Opções de gestão de acesso
Se quiser implementar a democratização de dados em toda a organização, utilize um domínio e atribua a função Leitor de Dados no domínio predefinido aos utilizadores empresariais, governação e gestão de dados. Atribua funções de Administração de Origem de Dados e Curador de Dados aos níveis de subcoleção às equipas de gestão e governação de dados correspondentes.
Se precisar de restringir o acesso à pesquisa e deteção de metadados na sua organização, atribua funções de Leitor de Dados e Curador de Dados ao nível específico da coleção. Por exemplo, pode restringir os funcionários dos EUA para que só possam ler dados ao nível da coleção dos EUA e não na coleção LATAM.
Crie domínios adicionais apenas se precisar, como, por exemplo, ao separar ambientes prod e não profissionais, atualizar várias contas numa conta unificada ou ter várias empresas dentro do mesmo inquilino que tenham requisitos de segurança diferentes.
Pode aplicar uma combinação destes cenários no seu mapa de dados do Microsoft Purview através de domínios e coleções.
Atribua a função de administrador de domínio à equipa centralizada de segurança e gestão de dados na coleção predefinida. Delegar mais domínios ou gestão de coleções de domínios adicionais e coleções de nível inferior às equipas correspondentes.