Роли управления и разрешения для классических Каталог данных в бесплатных и корпоративных типах учетных записей
Важно!
В этой статье описываются разрешения на управление в бесплатных и корпоративных версиях решений по управлению данными Microsoft Purview с помощью классической Каталог данных Microsoft Purview.
- Разрешения на использование нового Единый каталог Microsoft Purview см. в статье Разрешения для управления данными.
- Общие разрешения на новом портале Microsoft Purview см. в разделе Разрешения на портале.
- Сведения о классических разрешениях на риск и соответствие требованиям см. в Портал соответствия требованиям Microsoft Purview статье.
- Сведения о классических разрешениях управления данными см. в статье о разрешениях на портале управления Microsoft Purview.
В системе управления данными Microsoft Purview есть два решения на портале Microsoft Purview: карта данных и каталог. Эти решения используют разрешения уровня клиента или организации, существующие разрешения на доступ к данным, а также разрешения на доступ к домену и сбору, чтобы предоставить пользователям доступ к средствам управления и ресурсам данных. Тип разрешений, доступных для использования, зависит от типа учетной записи Microsoft Purview. Тип учетной записи можно проверка на портале Microsoft Purview в разделе Параметры карта и Учетная запись.
| Тип учетной записи | Разрешения клиента или организации | Разрешения доступа к данным | Разрешения на домен и коллекцию |
|---|---|---|---|
| Бесплатно | x | x | |
| Enterprise | x | x | x |
Дополнительные сведения о каждом типе разрешений см. в следующих руководствах:
- Разрешения клиента или организации — назначаются на уровне организации, они предоставляют общие и административные разрешения.
- Разрешения на уровне домена и коллекции — разрешения в Схема данных Microsoft Purview, которые предоставляют доступ к ресурсам данных в Microsoft Purview.
- Разрешения на доступ к данным — разрешения, которые пользователи уже имеют в своих источниках данных Azure.
Дополнительные сведения о разрешениях на основе типа учетной записи см. в следующих руководствах:
Важно!
Для пользователей, только что созданных в Microsoft Entra ID, может потребоваться некоторое время для распространения разрешений даже после применения правильных разрешений.
Группы ролей уровня клиента
Назначенные на уровне организации группы ролей на уровне клиента предоставляют общие и административные разрешения как для Схема данных Microsoft Purview, так и для классических Каталог данных. Если вы управляете учетной записью Microsoft Purview или стратегией управления данными вашей организации, вам, вероятно, потребуется одна или несколько из этих ролей.
Доступные в настоящее время группы ролей уровня клиента системы управления:
| Группа ролей | Описание | Доступность типа учетной записи |
|---|---|---|
| Администратор Purview | Создание, изменение и удаление доменов и выполнение назначений ролей. | Бесплатные и корпоративные учетные записи |
| Администраторы источников данных | Управление источниками данных и проверками данных в Схема данных Microsoft Purview. | Корпоративные учетные записи |
| Кураторы Каталог данных | Выполняйте действия по созданию, чтению, изменению и удалению объектов данных каталога и установлению связей между объектами в классической Каталог данных. | Корпоративные учетные записи |
| Средства чтения Data Estate Insights | Предоставляет доступ только для чтения ко всем аналитическим отчетам на разных платформах и поставщиках в классической Каталог данных. | Корпоративные учетные записи |
| Администраторы Data Estate Insights | Предоставляет администратору доступ ко всем аналитическим отчетам на разных платформах и поставщиках в классической Каталог данных. | Корпоративные учетные записи |
Полный список всех доступных ролей и групп ролей, а не только для управления данными, см. в статье Роли и группы ролей на порталах Microsoft Defender XDR и Microsoft Purview.
Назначение групп ролей и управление ими
Примечание.
Чтобы назначить роли, пользователи должны иметь роль управления ролями или роль глобального администратора для организации.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Чтобы назначать роли в Microsoft Purview и управлять ими, следуйте разрешениям, приведенным в руководстве по Microsoft Purview.
Разрешения на поиск в классической Каталог данных
Для поиска в каталоге не требуются определенные разрешения. Однако при поиске в каталоге возвращаются только соответствующие ресурсы данных, которые у вас есть разрешения на просмотр в схеме данных.
Пользователи могут найти ресурс данных в каталоге, когда:
- У пользователя есть по крайней мере разрешения на чтение доступного ресурса Azure или Microsoft Fabric.
- У пользователя есть разрешения на чтение данных в домене или коллекции в Схема данных Microsoft Purview, где хранится ресурс.
Разрешения для этих ресурсов управляются на уровне ресурсов и на уровне карты данных.
Разрешения на домен и коллекцию
Домены и коллекции — это средства, которые Схема данных Microsoft Purview использует для группировки ресурсов, источников и других артефактов в иерархию для обнаружения и управления доступом в Схема данных Microsoft Purview.
Роли домена и коллекции
Схема данных Microsoft Purview использует набор предопределенных ролей для управления доступом к данным в учетной записи. В настоящее время следующие роли:
- Администратор домена (только на уровне домена ) — может назначать разрешения в домене и управлять его ресурсами.
- Администратор коллекции — роль для пользователей, которым потребуется назначать роли другим пользователям на портале управления Microsoft Purview или управлять коллекциями. Администраторы коллекций могут добавлять пользователей в роли в коллекциях, где они администраторы. Они также могут изменять коллекции, их сведения и добавлять вложенные коллекции. Администратор коллекции в корневой коллекции также автоматически имеет разрешение на портал управления Microsoft Purview. Если необходимо изменить администратора корневой коллекции , выполните действия, описанные в разделе ниже.
- Кураторы данных — роль, которая предоставляет доступ к Единый каталог Microsoft Purview для управления ресурсами, настройки пользовательских классификаций, создания терминов глоссария и управления ими, а также для просмотра аналитических сведений о ресурсах данных. Кураторы данных могут создавать, читать, изменять, перемещать и удалять ресурсы. Они также могут применять заметки к ресурсам.
- Средства чтения данных — роль, которая предоставляет доступ только для чтения к ресурсам данных, классификациям, правилам классификации, коллекциям и терминам глоссария.
- Администратор источника данных — роль, которая позволяет пользователю управлять источниками данных и проверками. Если пользователю предоставляется только роль администратора источника данных в заданном источнике данных, он может выполнять новые проверки с помощью существующего правила проверки. Чтобы создать новые правила сканирования, пользователю также необходимо предоставить роль читателя данных или куратора данных .
- Читатель аналитических сведений — роль, которая предоставляет доступ только для чтения к аналитическим отчетам для коллекций, где читатель аналитических сведений также имеет по крайней мере роль читателя данных . Дополнительные сведения см. в разделе Разрешения аналитики.
- Автор политики — роль, которая позволяет пользователю просматривать, обновлять и удалять политики Microsoft Purview с помощью приложения Политики данных в Microsoft Purview.
- Администратор рабочих процессов — роль, которая позволяет пользователю получать доступ к странице создания рабочих процессов на портале управления Microsoft Purview и публиковать рабочие процессы в коллекциях, где у него есть разрешения на доступ. Администратор рабочего процесса имеет только доступ к разработке, поэтому для доступа к порталу управления Purview потребуется по крайней мере разрешение на чтение данных в коллекции.
Примечание.
В настоящее время роли автора политики Microsoft Purview недостаточно для создания политик. Также требуется роль администратора источника данных Microsoft Purview.
Важно!
Пользователь, создавший учетную запись, автоматически назначается администратором домена в домене по умолчанию и администратором коллекции в корневой коллекции.
Добавление назначений ролей
Откройте Схема данных Microsoft Purview.
Выберите домен или коллекцию, в которую нужно добавить назначение ролей.
Перейдите на вкладку Назначения ролей , чтобы просмотреть все роли в коллекции или домене. Только администратор коллекции или администратор домена может управлять назначениями ролей.
Выберите Изменить назначения ролей или значок пользователя, чтобы изменить каждого участника роли.
Введите в текстовое поле, чтобы найти пользователей, которые вы хотите добавить в член роли. Выберите X , чтобы удалить участников, которые вы не хотите добавлять.
Нажмите кнопку ОК , чтобы сохранить изменения, и в списке назначений ролей вы увидите новых пользователей.
Удаление назначений ролей
Нажмите кнопку X рядом с именем пользователя, чтобы удалить назначение роли.
Выберите Подтвердить , если вы действительно удалили пользователя.
Ограничение наследования
Разрешения на коллекцию наследуются автоматически от родительской коллекции. Вы можете ограничить наследование от родительской коллекции в любое время с помощью параметра ограничить унаследованные разрешения.
Примечание.
В настоящее время разрешения из домена по умолчанию не могут быть ограничены. Все разрешения, назначенные домену по умолчанию, наследуются прямыми вложенными коллекциями домена.
После ограничения наследования необходимо добавить пользователей непосредственно в ограниченную коллекцию, чтобы предоставить им доступ.
Перейдите к коллекции, в которой требуется ограничить наследование, и выберите вкладку Назначения ролей .
Выберите Ограничить унаследованные разрешения и выберите Ограничить доступ во всплывающем диалоговом окне, чтобы удалить унаследованные разрешения из этой коллекции и всех вложенных сборок. Разрешения администратора коллекции не будут затронуты.
После ограничения наследуемые члены удаляются из ролей, ожидаемых для администратора коллекции.
Снова нажмите кнопку Ограничить унаследованные разрешения, чтобы отменить изменения.
Совет
Более подробные сведения о ролях, доступных в коллекциях, см. в разделе Кому следует назначить таблицу ролей или пример коллекций.
Разрешения доступа к данным
Разрешения на доступ к данным — это разрешения, которые пользователи уже имеют в своих источниках данных Azure. Эти существующие разрешения также предоставляют разрешения на доступ к метаданным для этих источников и управление ими в зависимости от уровня разрешений:
В настоящее время эти функции доступны только для некоторых источников Azure:
| Источник данных | Разрешение читателя |
|---|---|
| База данных SQL Azure | Читатель или эти действия. |
| Хранилище BLOB-объектов Azure | Читатель или эти действия. |
| Azure Data Lake Storage 2-го поколения | Читатель или эти действия. |
| Подписка на Azure | Разрешение на чтение для подписки или этих действий. |
Роль читателя содержит достаточно разрешений, но если вы создаете настраиваемую роль, пользователи должны включить следующие действия:
| Источник данных | Разрешение читателя |
|---|---|
| База данных SQL Azure | "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Хранилище BLOB-объектов Azure | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage 2-го поколения | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Подписка на Azure | "Microsoft.Resources/subscriptions/resourceGroups/read" |
Разрешения читателя
Пользователи, которые имеют по крайней мере роль читателядоступных ресурсов Azure , также могут получить доступ к метаданным этих ресурсов в бесплатных и корпоративных типах учетных записей.
Пользователи могут искать и просматривать ресурсы из этих источников в классической Каталог данных и просматривать их метаданные.
Ниже приведены разрешения, необходимые для ресурсов, чтобы пользователи считались читателями:
| Источник данных | Разрешение читателя |
|---|---|
| База данных SQL Azure | Читатель или эти действия. |
| Хранилище BLOB-объектов Azure | Читатель или эти действия. |
| Azure Data Lake Storage 2-го поколения | Читатель или эти действия. |
| Подписка на Azure | Разрешение на чтение для подписки или этих действий. |
Разрешения владельца
Пользователи с ролью владельца или разрешениями на запись доступных ресурсов Azure могут получать доступ и изменять метаданные для этих ресурсов в бесплатных и корпоративных типах учетных записей.
Пользователи,владеющие, могут искать и просматривать ресурсы из этих источников в каталоге и просматривать метаданные. Пользователи также могут обновлять метаданные для этих ресурсов и управлять ими. Дополнительные сведения о курирование метаданных.
Ниже перечислены разрешения, необходимые для ресурсов, чтобы пользователи считались владельцами:
| Источник данных | разрешение владельца |
|---|---|
| База данных SQL Azure | "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write" |
| Хранилище BLOB-объектов Azure | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage 2-го поколения | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
Разрешения в бесплатной версии
Все пользователи могут просматривать ресурсы данных для доступных источников, где у них уже есть по крайней мере разрешения на чтение . Владельцы пользователей могут управлять метаданными для доступных ресурсов , у которых уже есть по крайней мере разрешения владельца и записи . Дополнительные сведения см. в разделе Разрешения доступа к данным.
Дополнительные разрешения также можно назначить с помощью групп ролей уровня клиента.
Важно!
Для пользователей, только что созданных в Microsoft Entra ID, может потребоваться некоторое время для распространения разрешений даже после применения правильных разрешений.
Разрешения в корпоративной версии Microsoft Purview
Все пользователи могут просматривать ресурсы данных для доступных источников, где у них уже есть по крайней мере разрешения на чтение . Владельцы пользователей могут управлять метаданными для ресурсов, у которых уже есть по крайней мере разрешения владельца и записи . Дополнительные сведения см. в разделе Разрешения доступа к данным.
Дополнительные разрешения также можно назначить с помощью групп ролей уровня клиента.
Разрешения также могут быть назначены в Схема данных Microsoft Purview, чтобы пользователи могли просматривать ресурсы в схеме данных или классическом Каталог данных поиска, к которым у них еще нет доступа к данным.