Поделиться через

Архитектуры доменов и коллекций Microsoft Purview и рекомендации

  • Статья

В основе унифицированных решений по управлению Microsoft Purview карта данных — это служба, которая поддерживает актуальную карту ресурсов и их метаданных в вашем пространстве данных. Чтобы восстановить схему данных, необходимо зарегистрировать и проверить источники данных. В организации могут быть тысячи источников данных, управляемых и управляемых централизованных или децентрализованных бизнес-подразделений, команд и сред. Для управления этим можно использовать домены и коллекции в Microsoft Purview.

Примечание.

Рекомендации, приведенные в этой статье, относятся к учетным записям Microsoft Purview, использующим учетную запись на уровне клиента (https://purview.microsoft.com).

Домены

В Microsoft Purview домены являются базовыми элементами карты данных и представляют иерархию верхнего уровня в учетной записи Microsoft Purview. Они обеспечивают разделение обязанностей, эффективную организацию и управление данными в организации, особенно если существуют дочерние или бизнес-подразделения, которые работают независимо, но совместно используют общий клиент Entra ID. Используя домены, организации могут реализовать несколько возможностей, в том числе:

  • Организация. Домены помогают логически группировать ресурсы, такие как источники данных, ресурсы, проверки и ресурсы, связанные с безопасностью, которые принадлежат бизнес-подразделению или региону.
  • Делегирование. Домены — это иерархия над коллекциями, что позволяет администраторам Microsoft Purview делегировать определенные административные задачи подмножествам компонентов в системе управления данными Microsoft Purview для конкретных бизнес-подразделений или подорганизации.
  • Безопасность. Изолируя объекты в доменах, администраторы могут реализовывать целевые меры безопасности и более эффективно управлять доступом. Например, такие ресурсы, как подключения, учетные данные и политики, могут быть конкретными и видимыми для определенного домена.
  • Управление жизненным циклом. Домены упрощают разделение ресурсов разработки, тестирования, контроля качества, предварительной подготовки и рабочей среды в одном клиенте.
  • Изоляция ресурсов. Домены помогают изолировать ресурсы в соответствии с региональными, юридическими или нормативными требованиями.

Коллекции

Коллекции в Microsoft Purview поддерживают организационное или суборганизационное сопоставление метаданных. С помощью коллекций можно управлять источниками данных, проверками и ресурсами в бизнес-подразделении в иерархии, а не плоской структуре. Коллекции позволяют создать пользовательскую иерархическую модель ландшафта данных, основанную на том, как ваша организация планирует использовать Microsoft Purview для управления данными.

Коллекция также предоставляет границу безопасности для метаданных в карте данных. Доступ к коллекциям, источникам данных и метаданным настраивается и поддерживается на основе иерархии коллекций в Microsoft Purview в соответствии с моделью с минимальными привилегиями:

  • У пользователей есть минимальный доступ, необходимый для выполнения своей работы.
  • У пользователей нет доступа к конфиденциальным данным, которые им не нужны.

Общие сведения о связях

  • Домены являются более стратегическими и ориентированными на политику, в то время как коллекции более операционные и ориентированные на доступ. Например, в крупной организации здравоохранения с несколькими сегментами, такими как больницы, клиники, исследования и администрирование, все в одном и том же Microsoft Entra ID клиенте, доменах и коллекциях можно определить следующим образом:
    • Домены. Организация создает домены для каждого сегмента. Эти области являются стратегическими и ориентированными на политику, что означает, что они определяют политики высокого уровня управления, требования к соответствию и стратегии управления данными для каждого сегмента. Например, домен "Больницы" может иметь политики, связанные с конфиденциальностью данных пациентов и правилами здравоохранения, в то время как область исследований может быть сосредоточена на соглашениях об обмене данными и этических руководящих принципах для клинических испытаний. Каждый домен может иметь собственные наборы учетных данных, наборы правил проверки, политики и подключения, а также коллекции, источники данных, проверки и ресурсы, которые не видны пользователям и администраторам в других доменах.
    • Коллекции. В домене "Больницы" необходимо управлять несколькими операционными задачами. Организация создает коллекции для различных операционных подразделений, таких как экстренные службы, стационарная помощь и амбулаторные службы. Эти коллекции являются более операционными и ориентированными на доступ, что означает, что они упорядочивают источники данных, ресурсы и сканирование для каждого операционного подразделения. Доступ к этим коллекциям контролируется на основе ролей и обязанностей пользователей в сегменте "Больницы". Например, только сотрудники отделения неотложной помощи могут иметь доступ к коллекции служб неотложной помощи, в то время как руководители стационарной помощи имеют доступ к коллекции Inpatient Care.
  • Коллекции могут существовать в пределах доменов, наследуя политики управления, заданные на уровне домена.
  • В системе управления данными Microsoft Purview домены и коллекции имеют различные функции. Учетная запись может иметь один домен по умолчанию и до четырех личных доменов. Каждый домен может иметь собственную иерархию коллекций.
  • Пользователь, член роли администраторов Purview , может создавать домены и управлять ими, а также делегировать доступ к каждому подразделению для управления собственными доменами, предоставляя им доступ в качестве роли диспетчера домена Purview .

Определение иерархии

Рекомендации по проектированию

  • Начните проектировать архитектуру доменов и коллекций на основе юридических требований организации и требований к безопасности с учетом управления данными и структуры управления вашей организации. Ознакомьтесь с рекомендуемыми архетипами в этой статье.

  • Рассмотрите возможность управления безопасностью и доступом как часть процесса принятия решений при разработке при создании доменов и коллекций в Microsoft Purview.

  • Начните с домена по умолчанию и создайте иерархию коллекций внутри домена по умолчанию. Используйте дополнительные домены, если у вас есть какие-либо из следующих требований:

    • Необходимо создавать профессиональные и нерабочие среды в одном клиенте.

    • У вас есть несколько регионов, и вам нужно логически разделить ресурсы и разделить обязанности между этими регионами.

    • В вашей организации есть несколько компаний или бизнес-подразделений в одном клиенте, и вам необходимо разделить ресурсы и разделить управление и обязанности.

  • У каждого домена или коллекции есть атрибут name и понятный атрибут имени. Если вы используете портал управления Microsoft Purview для развертывания домена или коллекции, система автоматически назначает случайное имя из шести букв, чтобы избежать дублирования.

  • В настоящее время имя домена или коллекции может содержать до 36 символов, а понятное имя коллекции может содержать до 100 символов.

  • По возможности избегайте дублирования организационной структуры в глубоко вложенной иерархии коллекций. Если вы не можете избежать этого, обязательно используйте разные имена для каждой коллекции в иерархии, чтобы упростить их распознавание.

  • Автоматизируйте развертывание доменов и коллекций с помощью API, если планируется массовое развертывание доменов и коллекций и назначений ролей.

  • Используйте выделенное имя субъекта-службы (SPN) для выполнения операций с картой данных для управления доменами, коллекциями и назначениями ролей с помощью API. Использование имени субъекта-службы сокращает число пользователей с повышенными правами и соответствует рекомендациям по наименьшим привилегиям.

Особенности дизайна

  • Домены доступны только для учетных записей Microsoft Purview, использующих учетную запись на уровне клиента.

  • Учтите, что учетная запись Microsoft Purview может содержать до четырех доменов в дополнение к домену по умолчанию. В рамках консолидации текущих учетных записей Microsoft Purview содержимое существующих карт данных, включая коллекции, источники данных, ресурсы и проверки, переносится в новый домен.

  • Создайте новый домен, если вы планируете подключить новую организацию в клиенте, у него есть другое юридическое требование.

  • Следующие ресурсы развертываются на уровне клиента и видны во всех доменах:

    • Typedefs
    • Управляемые атрибуты
    • Термины глоссария
    • Классификации и правила классификации
    • Метамодель
    • Среды выполнения интеграции
    • Рабочие процессы

  • Домены обеспечивают разделение следующих ресурсов:

    • Учетные данные
    • Подключения безопасности
    • Наборы правил пользовательского сканирования
    • Расширенные наборы ресурсов и правила шаблонов
    • Политики
    • Подключения ADF
    • Коллекции и все ресурсы, которые могут быть ограничены коллекцией

  • Коллекции обеспечивают разделение следующих ресурсов:

    • Источники данных
    • Сканирование
    • Ресурсы

  • Каждая учетная запись Microsoft Purview создается с доменом по умолчанию. Доменное имя по умолчанию совпадает с именем учетной записи Microsoft Purview. Домен по умолчанию не может быть удален, однако вы можете изменить понятное имя домена по умолчанию.

  • Коллекция может содержать столько дочерних коллекций, сколько необходимо. Но каждая коллекция может иметь только один домен и родительскую коллекцию.

  • Иерархия коллекций в Microsoft Purview может поддерживать до 256 коллекций с максимальным уровнем глубины в восемь. Сюда не входит корневая коллекция.

  • По сути, вы не можете зарегистрировать источники данных несколько раз в одной учетной записи Microsoft Purview. Эта архитектура помогает избежать риска назначения разных уровней управления доступом одному источнику данных. Если несколько команд используют метаданные одного источника данных, вы можете зарегистрировать источник данных и управлять им в родительской коллекции. Затем можно создать соответствующие проверки под каждой подколлекцией, чтобы соответствующие ресурсы отображались в каждой дочерней коллекции.

  • Подключения к происхождению и артефакты присоединяются к домену по умолчанию, даже если источники данных зарегистрированы в коллекциях более низкого уровня.

  • При запуске новой проверки по умолчанию она развертывается в той же коллекции, что и источник данных. При необходимости можно выбрать другой вложенный набор для запуска проверки. В результате ресурсы относятся к подколлективу.

  • Вы можете удалить домен, если он пуст.

  • Вы можете удалить коллекцию, если у нее нет ресурсов, связанных проверок, источников данных или дочерних коллекций.

  • Перемещение источников данных между коллекциями разрешено, если пользователю предоставлена роль источника данных Администратор для исходной и целевой коллекций.

  • Перемещение ресурсов между коллекциями разрешено, если пользователю назначена роль куратора данных для исходной и целевой коллекций.

  • Чтобы выполнить операции перемещения и переименования в коллекции, ознакомьтесь со следующими рекомендациями и рекомендациями.

    1. Чтобы переименовать коллекцию, необходимо быть членом роли администраторов коллекции.

    2. Чтобы переместить коллекцию, необходимо быть членом роли администраторов коллекции в исходной и целевой коллекциях.

Определение модели авторизации

Microsoft Purview содержит роли в Microsoft Defender для Office 365 а также роли, существующие в плоскости данных Microsoft Purview. После развертывания учетной записи Microsoft Purview автоматически создается домен по умолчанию, а создатель учетной записи Microsoft Purview становится частью роли администраторов Purview. Дополнительные сведения о разрешениях для Схема данных Microsoft Purview и Единый каталог см. в документации по ролям и разрешениям.

Рекомендации по проектированию

  • Рассмотрите возможность реализации аварийного доступа или стратегии взлома для клиента, чтобы при необходимости можно было восстановить доступ к домену microsoft Purview по умолчанию, чтобы избежать блокировки на уровне учетной записи Microsoft Purview. Задокументируйте процесс использования учетных записей для чрезвычайных ситуаций.

  • Сведите к минимуму число администраторов Purview, администраторов домена и администраторов коллекций. Назначьте не более трех пользователей администраторов домена в домене по умолчанию, включая имя субъекта-службы и учетные записи для взлома. Вместо этого назначьте роли коллекции Администратор коллекции верхнего уровня или вложенным коллекциям.

  • Назначьте роли группам, а не отдельным пользователям, чтобы уменьшить административные издержки и ошибки при управлении отдельными ролями.

  • Назначьте субъект-службу в корневой коллекции для автоматизации.

Чтобы повысить безопасность, включите условный доступ Microsoft Entra с многофакторной проверкой подлинности для администраторов purview, администраторов доменов и администраторов коллекции, администраторов источников данных и кураторов данных. Убедитесь, что учетные записи для экстренного реагирования исключены из политики условного доступа.

Особенности дизайна

  • Управление доступом Microsoft Purview перемещено в плоскость данных и роли в Microsoft Defender для Office 365. Роли Resource Manager Azure больше не используются, поэтому для назначения ролей следует использовать Microsoft Purview.

  • В Microsoft Purview можно назначать роли пользователям, группам безопасности и субъектам-службам (включая управляемые удостоверения) из Microsoft Entra ID в том же Microsoft Entra клиенте, где развернута учетная запись Microsoft Purview.

  • Сначала необходимо добавить гостевые учетные записи в клиент Microsoft Entra в качестве пользователей B2B, прежде чем назначить роли Microsoft Purview внешним пользователям.

  • По умолчанию администраторы домена также получают роли администраторов источников данных, читателя данных и куратора данных, чтобы у них был доступ к чтению или изменению ресурсов.

  • По умолчанию глобальный администратор добавляется в качестве администраторов коллекции в домене по умолчанию.

  • По умолчанию все назначения ролей автоматически наследуются всеми дочерними коллекциями. Но вы можете включить параметр Ограничить унаследованные разрешения для любой коллекции, кроме корневой коллекции. Ограничение унаследованных разрешений удаляет наследуемые роли из всех родительских коллекций, за исключением роли администратора коллекции.

  • Для Фабрика данных Azure подключения: чтобы подключиться к Фабрика данных Azure, необходимо быть администратором коллекции в домене по умолчанию.

  • Если вам нужно подключиться к Фабрика данных Azure для происхождения данных, предоставьте роль куратора данных управляемому удостоверению фабрики данных на уровне корневой коллекции Microsoft Purview. При подключении Фабрики данных к Microsoft Purview в пользовательском интерфейсе разработки Фабрика данных пытается автоматически добавить эти назначения ролей. Если у вас есть роль администратора коллекции в домене Microsoft Purview по умолчанию, эта операция работает.

Архетипы доменов и коллекций

Вы можете развернуть домены и коллекции Microsoft Purview на основе централизованных, децентрализованных или гибридных моделей управления данными и управления. Это решение будет основываться на бизнесе, юридических требованиях и требованиях к безопасности.

Эта структура подходит для организаций, которые:

  • Базируются в одном географическом расположении и работают в соответствии с теми же юридическими требованиями.
  • Централизованное управление данными и управление данными, где следующий уровень управления данными относится к отделам, командам или проектам.

Иерархия состоит из следующих вертикали:

Домены:

  • Домен по умолчанию: Contoso

Коллекции в домене по умолчанию:

  • Отделы (делегированная коллекция для каждого отдела)
  • Teams или проекты (дальнейшее разделение на основе проектов)

Нет необходимости в дополнительных доменах, так как нет конкретных бизнес- или юридических требований для добавления дополнительных.

Общие источники данных уровня организации регистрируются и проверяются в коллекции Hub.

Общие источники данных на уровне отдела регистрируются и сканируются в коллекциях отделов.

Каждый источник данных регистрируется и сканируется в соответствующей коллекции. Поэтому ресурсы также отображаются в той же коллекции.

Снимок экрана: первый пример коллекций Microsoft Purview.

Пример 2. Организация с одним регионом с централизованным управлением

Этот сценарий полезен для организаций:

  • Они имеют присутствие в нескольких регионах.
  • Где команда управления данными централизована или децентрализована в каждом регионе.
  • Команды по управлению данными распределены в каждом географическом расположении, а также централизованное федеративное управление.
  • Команды, которым необходимо управлять собственными источниками данных и ресурсами

Иерархия доменов и коллекций состоит из следующих вертикали:

Домены:

  • Домен по умолчанию: FourthCoffee

Коллекции в домене по умолчанию:

  • Географические расположения (коллекции верхнего уровня на основе географических расположений, где находятся источники данных и владельцы данных)
  • Отделы (делегированная коллекция для каждого отдела)
  • Teams или проекты (дальнейшее разделение на основе проектов)

В этом сценарии каждый регион имеет собственную коллекцию в домене по умолчанию в учетной записи Microsoft Purview. Источники данных регистрируются и сканируются в соответствующих коллекциях в собственных географических расположениях. Поэтому ресурсы также отображаются в иерархии коллекций для региона.

Если у вас есть централизованные команды по управлению данными и управлению, вы можете предоставить им доступ из домена по умолчанию. При этом они получают контроль над всем пространством данных на карте данных. При необходимости централизованная команда может зарегистрировать и проверить любые общие источники данных. Централизованная команда также может управлять ресурсами безопасности, такими как учетные данные и среды выполнения интеграции.

Команды по управлению данными и управлению данными на основе регионов могут получить доступ из соответствующих коллекций.

Общие источники данных на уровне отдела регистрируются и сканируются в коллекциях отделов.

Снимок экрана: второй пример коллекций Microsoft Purview.

Пример 3. Одна организация с несколькими средами

Этот сценарий может быть полезен, если у вас есть один клиент для всех типов сред prod и не prod, и вам нужно максимально изолировать ресурсы. Специалисты по обработке и анализу данных и инженеры данных, которые могут преобразовывать данные, чтобы сделать их более значимыми, могут управлять зонами Raw и Refine. Затем они могут перемещать данные в зоны производства или курируемые в соответствующих средах.

Иерархия доменов и коллекций состоит из следующих вертикали:

Домены:

  • Домен по умолчанию: Fabrikam production
  • Личный домен 1. Разработка и тестирование
  • Личный домен 2: QA

Коллекции в каждом домене могут следовать любой из следующих вертикали:

  • Отделы, Teams или проекты (дальнейшее разделение на основе проектов)
  • Этапы преобразования данных (необработанные, обогащенные, производства и курирования, разработка и т. д.)

Специалисты по обработке и анализу данных и инженеры данных могут иметь роль кураторов данных в соответствующих зонах, чтобы они могли курировать метаданные. Доступ читателя данных к курируемой зоне можно предоставить всем пользователям данных и бизнес-пользователям.

Снимок экрана: третий пример коллекций Microsoft Purview.

Пример 4. Несколько организаций или компаний, использующих один и тот же клиент Entra ID с децентрализованным управлением

Этот параметр можно использовать в сценариях, когда несколько компаний совместно используют один и тот же клиент Entra ID, и каждой организации необходимо упорядочить метаданные и управлять собственными ресурсами.

Примечание.

Если ранее в клиенте было несколько учетных записей Microsoft Purview, первая учетная запись, которую вы выбрали для миграции, станет доменом по умолчанию, и вы можете обновить другие учетные записи на отдельные домены.

Иерархия доменов и коллекций состоит из следующих вертикали:

Домены:

  • Домен по умолчанию: родительская компания или организация, например Contoso
  • Личный домен 1: FourthCoffee
  • Личный домен 2: Fabrikam

Коллекции в каждом домене могут следовать любой из следующих вертикали:

  • Отделы, команды или проекты (дальнейшее разделение по проектам)
  • Этапы преобразования данных (необработанные, обогащенные, производства и курирования, разработка и т. д.)
  • Регионы в организации

Каждая организация имеет собственный домен с собственной иерархией коллекций в учетной записи Microsoft Purview. Ресурсы безопасности управляются внутри каждого домена, а источники данных регистрируются и сканируются в соответствующих доменах. Ресурсы добавляются в иерархию вложенных наборов для конкретного домена.

Если у вас есть централизованная организация по управлению данными, это может быть доменом по умолчанию, чтобы они могли управлять общими ресурсами, такими как время выполнения интеграции, управляемые атрибуты и т. д.

Организационные команды по управлению данными и управлению могут получить доступ из соответствующих коллекций на более низком уровне в зависимости от централизованного или децентрализованного управления в каждом домене.

Снимок экрана: четвертый пример коллекций Microsoft Purview.

Примечание.

Общий домен, не относящийся к рабочей среде, может быть создан и использован несколькими организациями, каждая из которых имеет собственную коллекцию верхнего уровня в домене без использования.

Параметры управления доступом

Если вы хотите реализовать демократизацию данных во всей организации, используйте один домен и назначьте роль читателя данных в домене по умолчанию для управления данными, управления и бизнес-пользователей. Назначьте роли Администратор источника данных и куратора данных на уровнях подбора соответствующим командам по управлению данными и управлению.

Если вам нужно ограничить доступ к поиску и обнаружению метаданных в организации, назначьте роли читателя данных и куратора данных на определенном уровне коллекции. Например, можно ограничить сотрудников из США, чтобы они могли считывать данные только на уровне коллекции США, а не в коллекции LATAM.

Создавайте дополнительные домены только в том случае, если это необходимо, например при разделении профессиональных и не профессиональных сред, обновлении нескольких учетных записей в одну единую учетную запись или наличии нескольких компаний в одном клиенте с разными требованиями к безопасности.

Сочетание этих сценариев можно применить к карте данных Microsoft Purview с помощью доменов и коллекций.

Назначьте роль администратора домена централизованной группе безопасности и управления данными в коллекции по умолчанию. Делегируйте дополнительные домены или управление коллекциями дополнительных доменов и коллекций более низкого уровня соответствующим командам.

Дальнейшие действия