Роли и разрешения управления данными в Microsoft Purview
Важно!
В этой статье рассматриваются разрешения управления данными Microsoft Purview на новом портале Microsoft Purview с помощью Единый каталог.
- Разрешения управления на новом портале Microsoft Purview, использующий классические Каталог данных, см. в разделе Разрешения управления для классической Каталог данных.
- Общие разрешения на новом портале Microsoft purview см. в разделе Разрешения на портале Microsoft Purview.
- Сведения о классических разрешениях на риск и соответствие требованиям см. в Портал соответствия требованиям Microsoft Purview статье.
- Разрешения на управление данными на классическом портале Microsoft Purview см. в статье о разрешениях на портале управления Microsoft Purview.
На портале Microsoft Purview есть два решения для управления данными: карта данных и Единый каталог. Эти решения используют разрешения уровня клиента или организации, существующие разрешения на доступ к данным, а также разрешения на доступ к домену и сбору, чтобы предоставить пользователям доступ к средствам управления и ресурсам данных. Тип разрешений, доступных для использования, зависит от типа учетной записи Microsoft Purview. Тип учетной записи можно проверка на портале Microsoft Purview в разделе Параметры карта и Учетная запись.
| Тип учетной записи | Разрешения клиента или организации | Разрешения доступа к данным | Разрешения на домен и коллекцию | разрешения Единый каталог |
|---|---|---|---|---|
| Бесплатно | x | x | ||
| Enterprise | x | x | x | x |
Дополнительные сведения о каждом типе разрешений см. в следующих руководствах:
- Разрешения клиента или организации — назначаются на уровне организации, они предоставляют общие и административные разрешения.
- разрешения Единый каталог — разрешения в Единый каталог Microsoft Purview, чтобы пользователи могли просматривать каталог и управлять им.
- Разрешения на уровне домена и коллекции — разрешения в Схема данных Microsoft Purview, которые предоставляют доступ к ресурсам данных в Microsoft Purview.
- Разрешения на доступ к данным — разрешения, которые пользователи уже имеют в своих источниках данных Azure.
Дополнительные сведения о разрешениях на основе типа учетной записи см. в следующих руководствах:
Важно!
Для пользователей, только что созданных в Microsoft Entra ID, может потребоваться некоторое время для распространения разрешений даже после применения правильных разрешений.
Группы ролей уровня клиента
Назначенные на уровне организации группы ролей на уровне клиента предоставляют общие и административные разрешения как для Схема данных Microsoft Purview, так и для Единый каталог. Если вы управляете учетной записью Microsoft Purview или стратегией управления данными вашей организации, вам, вероятно, потребуется одна или несколько из этих ролей.
Доступные в настоящее время группы ролей уровня клиента системы управления:
| Группа ролей | Описание | Доступность типа учетной записи |
|---|---|---|
| Администратор Purview | Создание, изменение и удаление доменов и выполнение назначений ролей. | Бесплатные и корпоративные учетные записи |
| Администраторы источников данных | Управление источниками данных и проверками данных в Схема данных Microsoft Purview. | Корпоративные учетные записи |
| Управление данными | Предоставляет доступ к ролям управления данными в Microsoft Purview. | Бесплатные и корпоративные учетные записи |
Полный список всех доступных ролей и групп ролей, а не только для управления данными, см. в статье Роли и группы ролей на порталах Microsoft Defender XDR и Microsoft Purview.
Назначение групп ролей и управление ими
Важно!
Чтобы назначить роли в Microsoft Purview, пользователю должна быть назначена роль управления ролями.
Сведения о назначении ролей и управлении ими в Microsoft Purview см. в статье Разрешения в Microsoft Purview.
разрешения Единый каталог
В Единый каталог также используются три уровня разрешений для предоставления пользователям доступа к информации:
- Управление данными — группа ролей уровня клиента или организации, которая имеет Администратор роль управления данными. Эта роль делегирует первый уровень доступа для создателей доменов управления. (Эта роль не отображается в Единый каталог, но влияет на возможность назначения разрешений в Единый каталог.)
- Разрешения на уровне каталога — разрешения для предоставления права владения доменам управления и доступа к управлению работоспособностью.
- Разрешения на уровне домена управления — разрешения на доступ к ресурсам и управление ими в определенных доменах управления.
Разрешения на уровне каталога
Разрешения, назначенные Единый каталог сами по себе и предоставляющие только высокоуровневый доступ.
| Role | Описание | Приложение |
|---|---|---|
| Создатель домена управления | Создает домены и делегирует владельца домена управления (или остается владельцем домена управления по умолчанию) | Единый каталог |
| Владелец работоспособности данных | Создание, обновление и чтение артефактов в управлении работоспособностью. | Управление работоспособностью |
| Средство чтения работоспособности данных | Может считывать артефакты в управлении работоспособностью. | Управление работоспособностью |
Назначение ролей уровня каталога
Важно!
Чтобы иметь возможность назначать роли в Microsoft Purview, пользователь должен быть администратором управления данными на уровне клиента или организации.
- На портале Microsoft Purview выберите Параметры.
- В разделе Параметры решения выберите Единый каталог.
- Выберите Роли и разрешения.
- Выберите Пункт Создатели домена управления или значок добавления пользователя другой роли.
- Выполните поиск пользователя, который вы хотите добавить.
- Выберите пользователя.
- Выберите Сохранить.
Разрешение на уровне домена управления
Совет
Владелец домена управления важно делегировать кому-либо, кто работает с управлением данными или Единый каталог так как это важная роль, чтобы начать создавать домены управления, продукты данных, термины глоссария и т. д. Рекомендуется, чтобы в качестве владельцев домена управления были назначены по крайней мере два человека.
Разрешения домена управления предоставляют доступ в пределах определенного домена управления и должны предоставляться экспертам по данным и бизнес-пользователям для чтения объектов в домене управления и управления ими.
Ниже перечислены роли домена управления, доступные в настоящее время в Единый каталог:
| Role | Описание |
|---|---|
| Владелец домена управления | Возможность делегировать все другие разрешения домена управления, настраивать оповещения о проверке качества данных и настраивать политики доступа на уровне домена. |
| Читатель предметной области управления | Возможность чтения доменов управления и мониторинга их метаданных и функций. |
| Распорядит данных* | Создание, обновление и чтение артефактов и политик в домене управления. Также может считывать артефакты из других доменов управления. |
| Владелец продукта данных* | Создавайте, обновляйте и считывайте продукты данных только в пределах домена управления. Может считывать артефакты из других доменов для создания связей между понятиями. |
| средство чтения Каталог данных | Чтение всех опубликованных концепций в каталоге во всех доменах. |
| Управление качеством данных | Возможность использовать функции качества данных, такие как управление правилами качества данных, сканирование качества данных, просмотр аналитических сведений о качестве данных, планирование качества данных, мониторинг заданий, настройка порогового значения и оповещений. Администратор по качеству данных — это подчиненная роль, поэтому пользователю также требуется средство чтения предметной области Govennance и Каталог данных роли читателя для выполнения работы по качеству данных. |
| Средство чтения качества данных | Просмотрите все аналитические сведения о качестве данных, определение правил качества данных и файлы ошибок качества данных. Эта роль не может выполнять проверку качества данных и задание профилирования данных, и эта роль не будет иметь доступа к аналитическим сведениям на уровне столбца профилирования данных в качестве аналитических сведений на уровне столбцов. Это подроль. Для выполнения этой роли пользователю также нужны роли читателя предметной области управления и Каталог данных роли читателя. |
| Средство чтения метаданных качества данных | Просмотрите аналитические сведения о качестве данных (за исключением анализа на уровне столбца результатов профилирования), определение правила качества данных и оценки уровня правил. Эта роль не будет иметь доступа к записям об ошибках и не сможет выполнять задание профилирования и проверки DQ. Это подроль. Для выполнения этой роли пользователю также нужны роли читателя предметной области управления и Каталог данных роли читателя. |
| Стюард профиля данных | Запуск заданий профилирования данных и доступ к просмотру аналитических сведений о профилировании. Эта роль также может просматривать все аналитические сведения о качестве данных и отслеживать задания профилирования. Эта роль не может создавать правила и не может выполнять проверку качества данных. Это подроль. Для выполнения этой роли пользователю также нужны роли читателя предметной области управления и Каталог данных роли читателя. |
| Читатель профиля данных | Эта роль будет иметь необходимые разрешения для просмотра всех аналитических сведений о качестве данных и может детализировать результаты профилирования для просмотра статистики на уровне столбца. Это подроль. Для выполнения этой роли пользователю также нужны роли читателя предметной области управления и Каталог данных роли читателя. |
Примечание.
*Чтобы иметь возможность добавлять ресурсы данных в продукт данных, владельцам продуктов данных и администраторам данных также требуются разрешения карты данных для чтения этих ресурсов данных в схеме данных.
Назначение ролей домена управления
Важно!
Чтобы назначить роли в Microsoft Purview, пользователь должен быть владельцем домена управления в домене управления. Эта роль назначается администраторами управления данными или создателями домена управления.
Роли домена управления назначаются на вкладке Роли в домене управления. Дополнительные сведения см. в статье Управление доменами управления.
Разрешения на поиск по полной Единый каталог
Для поиска Единый каталог в Единый каталог не требуются определенные разрешения. Однако поиск Единый каталог вернет только соответствующие ресурсы данных, которые у вас есть разрешения на просмотр в схеме данных.
Пользователи могут найти ресурс данных в Единый каталог, когда:
- Пользователь выполняет поиск продуктов данных в домене управления, где у него есть разрешения на чтение каталога.
- У пользователя есть по крайней мере разрешения на чтение доступного ресурса Azure или Microsoft Fabric.
- Пользователь имеет разрешения на чтение данных в домене или коллекции в схеме данных, где хранится ресурс
Разрешения для этих ресурсов управляются на уровне ресурсов и на уровне карты данных соответственно. Дополнительные сведения о предоставлении этого доступа см. по указанным ссылкам.
Совет
Если каталог хорошо проверен, повседневным бизнес-пользователям не нужно выполнять поиск по полному каталогу. Они должны иметь возможность находить необходимые данные в продуктах данных. Дополнительные сведения о настройке Единый каталог см. в статье Начало работы с Единый каталог и Единый каталог рекомендации.
Какие разрешения Единый каталог мне нужны?
| Элемент | Действие | Администратор управления данными | Создатель домена управления | Владелец домена управления | Читатель каталога данных | Управит данными | Владелец продукта данных | Владелец работоспособности данных | Средство чтения работоспособности данных | Управление качеством данных | Средство чтения качества данных |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Назначения ролей приложения | Чтение | x | x | ||||||||
| Изменить | x | x | |||||||||
| Домены управления | Чтение | x | x | x | x | x | x | ||||
| Изменить | x | x | |||||||||
| Продукты данных | Чтение | x | x | x | x | x | |||||
| Изменить | x | ||||||||||
| Элементы работоспособности | Чтение | x | x | ||||||||
| Изменить | x | ||||||||||
| Элементы качества данных | Чтение | x | x | x | |||||||
| Изменить | x | ||||||||||
| Политики доступа к данным | Чтение | x | x | x | x | ||||||
| Изменить | x | x |
Примечание.
В этой таблице рассматриваются основные сведения, но не все роли и не все сценарии для каждой роли. Полные сведения см. в полном списке ролей.
Единый каталог роли
Ниже приведен полный список всех ролей, используемых для доступа к Единый каталог и управления ими.
| Role | Описание | Уровень разрешений. | Доступные действия |
|---|---|---|---|
| Администратор управления данными | Делегирует первый уровень доступа создателям домена управления и другим разрешениям на уровне приложения. | Клиент или организация | roleassignment/read, roleassignment/write |
| Создатель домена управления | Создает домены и делегирует владельца домена управления (или остается владельцем домена управления по умолчанию). | Application | businessdomain/read, businessdomain/write |
| Владелец домена управления | Возможность делегировать все другие разрешения домена управления, настраивать оповещения о проверке качества данных и настраивать политики доступа на уровне домена. | Домен управления | roleassignment/read, roleassignment/write, businessdomain/read, businessdomain/write, dataquality/область/read, dataquality/область/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataproduct/read, dataproduct/read, glossaryterm/read, okr/read, dataaccess/ domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/dataproductpolicy/read, dataaccess/glossarytermpolicy/read |
| средство чтения Каталог данных | Возможность чтения всех опубликованных доменов, продуктов данных, политик и OKR. | Домен управления | roleassignment/read, businessdomain/read, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/glossarytermpolicy/read |
| Управит данными | Создание, обновление и чтение критически важных элементов данных, терминов глоссария, OKR и политик в области управления. Они также могут считывать и строить связи с основными понятиями в других областях управления. | Домен управления | roleassignment/read, businessdomain/read, dataquality/observer/write, dataproduct/read, data product/curate, glossaryterm/read, glossaryterm/write, okr/read, okr/write, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/write, dataaccess/glossarytermpolicy/read, dataaccess/glossarytermpolicy/write |
| Владелец продукта данных | Создавайте, обновляйте и считывайте продукты данных только в пределах домена управления. Они также могут читать и строить связи с основными понятиями в доменах управления. | Домен управления | roleassignment/read, businessdomain/read, dataproduct/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read |
| Владелец работоспособности данных | Создание, обновление и чтение артефактов в управлении работоспособностью. | Application | datahealth/read, datahealth/write |
| Средство чтения работоспособности данных | Может считывать артефакты в управлении работоспособностью. | Application | datahealth/read |
| Управление качеством данных | Возможность использовать функции качества данных, такие как управление правилами качества данных, сканирование качества данных, просмотр профилирования данных и аналитика качества данных, планирование качества данных, мониторинг заданий, настройка порога и оповещений. | Домен управления | businessdomain/read, dataquality/область/read, dataquality/область/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute/action, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataquality/connection/write, dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/ observer/read, dataquality/observer/write, dataquality/observer/execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read, dataquality/history/ruleerrorfile/read, dataquality/history/ruleerrorfile/delete, dataquality/history/delete, dataproduct/read, glossaryterm/read |
| Средство чтения качества данных | Просмотрите все аналитические сведения о качестве данных и определения правил качества данных. Эта роль не может выполнять задания проверки качества данных и профилирования данных, и эта роль не будет иметь доступа к аналитическим сведениям на уровне столбца профилирования данных в виде аналитических сведений на уровне столбцов. | Домен управления | dataquality/connection/read, dataquality/observer/read, dataquality/observer/execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read |
| Средство чтения метаданных качества данных | Просмотрите аналитические сведения о качестве данных (за исключением анализа на уровне столбца результатов профилирования), определение правила качества данных и оценки уровня правил. Эта роль не будет иметь доступа к записям об ошибках и не сможет выполнять задание профилирования и проверки DQ. Это подроль. Для выполнения этой роли пользователю также нужны роли читателя предметной области управления и Каталог данных роли читателя. | Домен управления | dataquality/connection/read, dataquality/observer/read, dataquality/history/scores/read, dataquality/history/ruledetails/read |
| Стюард профиля данных | Запуск заданий профилирования данных и доступ к просмотру аналитических сведений о профилировании. Эта роль также может просматривать все аналитические сведения о качестве данных и отслеживать задания профилирования. Эта роль не может создавать правила и не может выполнять проверку качества данных. Это подроль. Для выполнения этой роли пользователю также нужны роли читателя предметной области управления и Каталог данных роли читателя. | Домен управления | dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/profile/read, dataquality/profile/execute/action, dataquality/profilehistory/read, dataquality/profilehistory/delete |
| Читатель профиля данных | Эта роль будет иметь необходимые разрешения для просмотра всех аналитических сведений профилирования и может детализировать результаты профилирования для просмотра статистики на уровне столбца. | Домен управления | dataquality/connection/read, dataquality/profile/read, dataquality/profilehistory/read |
Разрешения карты данных
Домены и коллекции — это средства, используемые картой данных для группировки ресурсов, источников и других артефактов в иерархию для обеспечения возможности обнаружения и управления доступом в схеме данных.
Разрешения на домен и коллекцию
В схеме данных используется набор предопределенных ролей для управления доступом к данным в учетной записи. К этим ролям относятся:
- Администратор домена (только на уровне домена ) — может назначать разрешения в домене и управлять его ресурсами.
- Администратор коллекции — роль для пользователей, которым потребуется назначать роли другим пользователям на портале управления Microsoft Purview или управлять коллекциями. Администраторы коллекций могут добавлять пользователей в роли в коллекциях, где они администраторы. Они также могут изменять коллекции, их сведения и добавлять вложенные коллекции. Администратор коллекции в корневой коллекции также автоматически имеет разрешение на портал управления Microsoft Purview. Если необходимо изменить администратора корневой коллекции , выполните действия, описанные в разделе ниже.
- Кураторы данных — роль, которая предоставляет доступ к Единый каталог Microsoft Purview для управления ресурсами, настройки пользовательских классификаций, создания терминов глоссария и управления ими, а также для просмотра аналитических сведений о ресурсах данных. Кураторы данных могут создавать, читать, изменять, перемещать и удалять ресурсы. Они также могут применять заметки к ресурсам.
- Средства чтения данных — роль, которая предоставляет доступ только для чтения к ресурсам данных, классификациям, правилам классификации, коллекциям и терминам глоссария.
- Администратор источника данных — роль, которая позволяет пользователю управлять источниками данных и проверками. Если пользователю предоставляется только роль администратора источника данных в заданном источнике данных, он может выполнять новые проверки с помощью существующего правила проверки. Чтобы создать новые правила сканирования, пользователю также необходимо предоставить роль читателя данных или куратора данных .
- Читатель аналитических сведений — роль, которая предоставляет доступ только для чтения к аналитическим отчетам для коллекций, где читатель аналитических сведений также имеет по крайней мере роль читателя данных . Дополнительные сведения см. в разделе Разрешения аналитики.
- Автор политики — роль, которая позволяет пользователю просматривать, обновлять и удалять политики Microsoft Purview с помощью приложения Политики данных в Microsoft Purview.
- Администратор рабочих процессов — роль, которая позволяет пользователю получать доступ к странице создания рабочих процессов на портале управления Microsoft Purview и публиковать рабочие процессы в коллекциях, где у него есть разрешения на доступ. Администратор рабочего процесса имеет только доступ к разработке, поэтому для доступа к порталу управления Purview потребуется по крайней мере разрешение на чтение данных в коллекции.
Примечание.
В настоящее время роли автора политики Microsoft Purview недостаточно для создания политик. Также требуется роль администратора источника данных Microsoft Purview.
Важно!
Пользователь, создавший учетную запись, автоматически назначается администратором домена в домене по умолчанию и администратором коллекции в корневой коллекции.
Добавление назначений ролей
Откройте Схема данных Microsoft Purview.
Выберите домен или коллекцию, в которую нужно добавить назначение ролей.
Перейдите на вкладку Назначения ролей , чтобы просмотреть все роли в коллекции или домене. Только администратор коллекции или администратор домена может управлять назначениями ролей.
Выберите Изменить назначения ролей или значок пользователя, чтобы изменить каждого участника роли.
Введите в текстовое поле, чтобы найти пользователей, которые вы хотите добавить в член роли. Выберите X , чтобы удалить участников, которые вы не хотите добавлять.
Нажмите кнопку ОК , чтобы сохранить изменения, и в списке назначений ролей вы увидите новых пользователей.
Удаление назначений ролей
Нажмите кнопку X рядом с именем пользователя, чтобы удалить назначение роли.
Выберите Подтвердить , если вы действительно удалили пользователя.
Ограничение наследования
Разрешения на коллекцию наследуются автоматически от родительской коллекции. Вы можете ограничить наследование от родительской коллекции в любое время с помощью параметра ограничить унаследованные разрешения.
Примечание.
В настоящее время разрешения из домена по умолчанию не могут быть ограничены. Все разрешения, назначенные домену по умолчанию, наследуются прямыми вложенными коллекциями домена.
После ограничения наследования необходимо добавить пользователей непосредственно в ограниченную коллекцию, чтобы предоставить им доступ.
Перейдите к коллекции, в которой требуется ограничить наследование, и выберите вкладку Назначения ролей .
Выберите Ограничить унаследованные разрешения и выберите Ограничить доступ во всплывающем диалоговом окне, чтобы удалить унаследованные разрешения из этой коллекции и всех вложенных сборок. Разрешения администратора коллекции не будут затронуты.
После ограничения наследуемые члены удаляются из ролей, ожидаемых для администратора коллекции.
Снова нажмите кнопку Ограничить унаследованные разрешения, чтобы отменить изменения.
Совет
Более подробные сведения о ролях, доступных в коллекциях, см. в разделе Кому следует назначить таблицу ролей или пример коллекций.
Разрешения доступа к данным
Разрешения на доступ к данным — это разрешения, которые пользователи уже имеют в своих источниках данных Azure. Эти существующие разрешения также предоставляют разрешения на доступ к метаданным для этих источников и управление ими в зависимости от уровня разрешений:
В настоящее время эти функции доступны только для некоторых источников Azure:
| Источник данных | Разрешение читателя |
|---|---|
| База данных SQL Azure | Читатель или эти действия. |
| Хранилище BLOB-объектов Azure | Читатель или эти действия. |
| Azure Data Lake Storage 2-го поколения | Читатель или эти действия. |
| Подписка на Azure | Разрешение на чтение для подписки или этих действий. |
Роль читателя содержит достаточно разрешений, но если вы создаете настраиваемую роль, пользователи должны включить следующие действия:
| Источник данных | Разрешение читателя |
|---|---|
| База данных SQL Azure | "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Хранилище BLOB-объектов Azure | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage 2-го поколения | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Подписка на Azure | "Microsoft.Resources/subscriptions/resourceGroups/read" |
Разрешения читателя
Пользователи, которые имеют по крайней мере роль читателядоступных ресурсов Azure , также могут получить доступ к метаданным этих ресурсов в бесплатных и корпоративных типах учетных записей.
Пользователи могут искать и просматривать ресурсы из этих источников в Единый каталог и просматривать их метаданные.
Ниже перечислены разрешения, необходимые для ресурсов, чтобы пользователи считались "читателями":
| Источник данных | Разрешение читателя |
|---|---|
| База данных SQL Azure | Читатель или эти действия. |
| Хранилище BLOB-объектов Azure | Читатель или эти действия. |
| Azure Data Lake Storage 2-го поколения | Читатель или эти действия. |
| Подписка на Azure | Разрешение на чтение для подписки или этих действий. |
Разрешения владельца
Пользователи с ролью владельца или разрешениями на запись доступных ресурсов Azure могут получать доступ и изменять метаданные для этих ресурсов в бесплатных и корпоративных типах учетных записей.
Пользователи,владеющие, могут искать и просматривать ресурсы из этих источников в Единый каталог, а также просматривать их метаданные. Они также могут обновлять метаданные для этих ресурсов и управлять ими. Дополнительные сведения об этом курируемом метаданных см. в нашей статье о курируемом метаданных.
Ниже перечислены разрешения, необходимые для ресурсов, чтобы пользователи считались владельцами:
| Источник данных | разрешение владельца |
|---|---|
| База данных SQL Azure | "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write" |
| Хранилище BLOB-объектов Azure | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage 2-го поколения | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
Разрешения в бесплатной версии
Все пользователи могут просматривать ресурсы данных для доступных источников, где у них уже есть по крайней мере разрешения на чтение . Владельцы пользователей могут управлять метаданными для доступных ресурсов , у которых уже есть по крайней мере разрешения владельца и записи . Дополнительные сведения см. в разделе Разрешения доступа к данным.
Дополнительные разрешения также можно назначить с помощью групп ролей уровня клиента.
Важно!
Для пользователей, только что созданных в Microsoft Entra ID, может потребоваться некоторое время для распространения разрешений даже после применения правильных разрешений.
Разрешения в корпоративной версии
Все пользователи могут просматривать ресурсы данных для доступных источников, где у них уже есть по крайней мере разрешения на чтение . Владельцы пользователей могут управлять метаданными для ресурсов, у которых уже есть по крайней мере разрешения владельца и записи . Дополнительные сведения см. в разделе Разрешения доступа к данным.
Дополнительные разрешения также можно назначить с помощью групп ролей уровня клиента.
Разрешения также могут быть назначены в схеме данных, чтобы пользователи могли просматривать ресурсы в схеме данных или Единый каталог поиска, к которым у них еще нет доступа к данным.
Единый каталог разрешения могут быть назначены для предоставления пользователям разрешения каталогу на создание решений по управлению данными.
Пример жизненного цикла ресурса данных
Чтобы понять, как работают разрешения между картой данных и Единый каталог, ознакомьтесь с таблицей ниже по полному жизненному циклу Azure SQL таблицы в среде:
| Шаг | Role | Уровень назначения ролей |
|---|---|---|
| 1. База данных Azure SQL зарегистрирована в схеме данных | администратор источника данных | Разрешения карты данных |
| 2. База данных Azure SQL сканируется на карте данных | куратор или администратор источника данных | Разрешения карты данных |
| 3. Таблица Azure SQL проверена и сертифицирована | куратор данных | Разрешения карты данных |
| 4. Домен управления создается в учетной записи Microsoft Purview. | Создатель домена управления | роль уровня приложения |
| 5. Продукт данных создается в домене управления | Владелец домена управления и (или) владелец продукта данных | Роль уровня домена управления |
| 6. Таблица Azure SQL добавляется в качестве ресурса в продукт данных. | Владелец и (или) владелец продукта данных | Роль уровня домена управления |
| 7. В продукт данных добавляется политика доступа. | Владелец и (или) владелец продукта данных | Роль уровня домена управления |
| 8. Пользователь выполняет поиск Единый каталог, в поисках ресурсов данных, соответствующих его потребностям. | Разрешения на доступ к ресурсу или разрешение на чтение данных | Разрешения ресурсов или разрешения карты данных |
| 9. Пользователь выполняет поиск продуктов данных, ищет продукт, соответствующий его потребностям. | Средство чтения Каталог данных | роль уровня приложения |
| 10. Пользователь запрашивает доступ к ресурсам в продукте данных | Средство чтения Каталог данных | роль уровня приложения |
| 11. Пользователь просматривает аналитику работоспособности данных для отслеживания работоспособности своих Каталог данных | Средство чтения работоспособности данных | роль уровня приложения |
| 12. Пользователь хочет создать новый отчет для отслеживания состояния работоспособности данных в каталоге. | Владелец работоспособности данных | роль уровня приложения |