免费和企业帐户类型的经典数据目录的治理角色和权限
重要
本文介绍使用经典Microsoft Purview 数据目录的 Microsoft Purview 数据治理解决方案的免费和企业版本中的治理权限。
- 有关使用新Microsoft Purview 统一目录的权限,请参阅数据管理权限一文。
- 有关 新 Microsoft purview 门户中 的常规 权限,请参阅门户中的权限。
- 有关经典风险和符合性权限,请参阅Microsoft Purview 合规门户一文中的权限。
- 有关经典数据治理权限,请参阅 Microsoft Purview 治理门户中的权限一文。
Microsoft Purview 数据治理在 Microsoft Purview 门户中具有两种解决方案:数据映射和目录。 这些解决方案使用租户/组织级权限、现有数据访问权限和域/集合权限为用户提供对治理工具和数据资产的访问权限。 可以使用的权限类型取决于Microsoft Purview 帐户类型。 可以在 Microsoft Purview 门户中的“设置”卡和“帐户”下检查帐户类型。
| 帐户类型 | 租户/组织权限 | 数据访问权限 | 域和集合权限 |
|---|---|---|---|
| 免费 | x | x | |
| 企业 | x | x | x |
有关每种权限类型的详细信息,请参阅以下指南:
- 租户/组织权限 - 在组织级别分配,它们提供常规和管理权限。
- 域和集合级别权限 - Microsoft Purview 数据映射中授予对 Microsoft Purview 中的数据资产的访问权限的权限。
- 数据访问权限 - 用户已对其 Azure 数据源拥有的权限。
有关基于帐户类型的权限的详细信息,请参阅以下指南:
- 免费
- 企业
重要
对于在 Microsoft Entra ID 中新建的用户,即使应用了正确的权限,权限传播也可能需要一些时间。
租户级别角色组
租户级别角色组在组织级别分配,可为Microsoft Purview 数据映射和经典数据目录提供常规和管理权限。 如果要管理 Microsoft Purview 帐户或组织的数据管理策略,可能需要其中一个或多个角色。
当前可用的治理租户级角色组包括:
| 角色组 | 说明 | 帐户类型可用性 |
|---|---|---|
| Purview 管理员 | 创建、编辑和删除域并执行角色分配。 | 免费和企业帐户 |
| 数据源管理员 | 管理Microsoft Purview 数据映射中的数据源和数据扫描。 | 企业帐户 |
| 数据目录策展人 | 对目录数据对象执行创建、读取、修改和删除操作,并在经典数据目录中的对象之间建立关系。 | 企业帐户 |
| 数据资产见解读取器 | 提供对经典数据目录中跨平台和提供程序的所有见解报表的只读访问权限。 | 企业帐户 |
| Data Estate Insights 管理员 | 提供对经典数据目录中跨平台和提供程序的所有见解报表的管理员访问权限。 | 企业帐户 |
有关所有可用角色和角色组的完整列表(而不仅仅是数据治理),请参阅 Microsoft Defender XDR 和 Microsoft Purview 门户中的角色和角色组。
如何分配和管理角色组
注意
用户必须拥有组织 的角色管理角色 或全局管理员角色才能分配角色。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
若要分配和管理 Microsoft Purview 中的角色,请按照 Microsoft Purview 指南中的权限进行操作。
搜索经典 Datalog 的权限
无需在目录中具有特定权限即可进行搜索。 但是,搜索目录只会返回你有权在数据映射中查看的相关数据资产。
在以下情况下,用户可以在目录中查找数据资产:
域和集合权限
域和集合是Microsoft Purview 数据映射用于将资产、源和其他项目分组到层次结构中的工具,以便在Microsoft Purview 数据映射中实现可发现性和管理访问控制。
域和集合角色
Microsoft Purview 数据映射使用一组预定义角色来控制谁可以访问帐户内的内容。 这些角色当前为:
- 域管理员 仅) (域 级别 - 可以在域中分配权限并管理其资源。
- 集合管理员 - 需要将角色分配给 Microsoft Purview 治理门户中的其他用户或管理集合的用户的角色。 集合管理员可以将用户添加到其管理员所在的集合上的角色。 他们还可以编辑集合及其详细信息,并添加子集合。 根集合上的集合管理员也自动拥有对 Microsoft Purview 治理门户的权限。 如果需要更改 根集合管理员 ,可以 按照以下部分中的步骤操作。
- 数据策展人 - 提供对Microsoft Purview 统一目录的访问权限,用于管理资产、配置自定义分类、创建和管理术语表术语以及查看数据资产见解。 数据策展人可以创建、读取、修改、移动和删除资产。 它们还可以将注释应用于资产。
- 数据读取者 - 提供对数据资产、分类、分类规则、集合和术语表术语的只读访问权限的角色。
- 数据源管理员 - 允许用户管理数据源和扫描的角色。 如果用户仅被授予给定 数据源上的数据源管理员 角色,则他们可以使用现有扫描规则运行新扫描。 若要创建新的扫描规则,还必须向用户授予 数据读取者 或 数据策展人 角色。
- 见解读取者 - 提供对集合见解报表的只读访问权限的角色,其中见解读取者至少还具有 数据读取者 角色。 有关详细信息,请参阅 见解权限。
- 策略作者 - 一个角色,允许用户通过 Microsoft Purview 中的数据策略应用查看、更新和删除 Microsoft Purview 策略。
- 工作流管理员 - 一个角色,允许用户访问 Microsoft Purview 治理门户中的工作流创作页,并在具有访问权限的集合上发布工作流。 工作流管理员仅有权进行创作,因此至少需要对集合具有数据读取者权限才能访问 Purview 治理门户。
注意
目前,Microsoft Purview 策略作者角色不足以创建策略。 还需要Microsoft Purview 数据源管理员角色。
重要
创建帐户的用户在默认域上自动分配域管理员,在根集合上自动分配集合管理员。
添加角色分配
打开Microsoft Purview 数据映射。
选择要在其中添加角色分配的域或集合。
选择“ 角色分配 ”选项卡可查看集合或域中的所有角色。 只有集合管理员或域管理员可以管理角色分配。
选择 “编辑角色分配 ”或“人员”图标以编辑每个角色成员。
在文本框中键入以搜索要添加到角色成员的用户。 选择 “X ”以删除不想添加的成员。
选择“ 确定” 以保存更改,你将看到新用户反映在角色分配列表中。
删除角色分配
选择用户名旁边的 “X ”按钮可删除角色分配。
如果确定删除该用户,请选择“ 确认 ”。
限制继承
集合权限是从父集合自动继承的。 可以随时使用“限制继承的权限”选项来限制父集合的继承。
注意
当前无法限制来自默认域的权限。 在默认域分配的任何权限将由域的直接子集合继承。
限制继承后,需要将用户直接添加到受限集合以授予他们访问权限。
导航到要限制继承的集合,然后选择“ 角色分配 ”选项卡。
选择“ 限制继承的权限 ”,然后在弹出对话框中选择“ 限制访问 ”,从此集合和任何子集合中删除继承的权限。 集合管理员权限不受影响。
限制后,继承成员将从集合管理员所需的角色中删除。
再次选择“限制继承的权限”切换按钮以还原。
提示
有关集合中可用角色的更多详细信息 ,请参阅应为谁分配哪些角色表 或 集合示例。
数据访问权限
数据访问权限是用户已对其 Azure 数据源拥有的权限。 这些现有权限还授予访问和管理这些源的元数据的权限,具体取决于权限级别:
目前,这些功能仅适用于某些 Azure 源:
| 数据源 | 读取者权限 |
|---|---|
| Azure SQL 数据库 | 读取者或 这些操作。 |
| Azure Blob 存储 | 读取者或 这些操作。 |
| Azure Data Lake Storage Gen2 | 读取者或 这些操作。 |
| Azure 订阅 | 对订阅或这些操作的读取权限。 |
读者角色包含足够的权限,但如果要生成自定义角色,用户需要包含以下操作:
| 数据源 | 读取者权限 |
|---|---|
| Azure SQL 数据库 | “Microsoft.Sql/servers/read”、“Microsoft.Sql/servers/databases/read”、“Microsoft.Sql/servers/databases/schemas/read”、“Microsoft.Sql/servers/databases/schemas/tables/read”、“Microsoft.Sql/servers/databases/schemas/tables/columns/read” |
| Azure Blob 存储 | “Microsoft.Storage/storageAccounts/read”、“Microsoft.Storage/storageAccounts/blobServices/read”、“Microsoft.Storage/storageAccounts/blobServices/containers/read” |
| Azure Data Lake Storage Gen2 | “Microsoft.Storage/storageAccounts/read”、“Microsoft.Storage/storageAccounts/blobServices/read”、“Microsoft.Storage/storageAccounts/blobServices/containers/read” |
| Azure 订阅 | “Microsoft.Resources/subscriptions/resourceGroups/read” |
读取者权限
至少对可用 Azure 资源具有读取者角色的用户还能够以免费和企业帐户类型访问这些资源元数据。
用户可以在经典数据目录中搜索和浏览这些源中的资产,并查看其元数据。
以下是用户被视为读者所需的资源权限:
| 数据源 | 读取者权限 |
|---|---|
| Azure SQL 数据库 | 读取者或 这些操作。 |
| Azure Blob 存储 | 读取者或 这些操作。 |
| Azure Data Lake Storage Gen2 | 读取者或 这些操作。 |
| Azure 订阅 | 对订阅或这些操作的读取权限。 |
所有者权限
对可用 Azure 资源具有所有者角色或写入权限的用户可以以免费和企业帐户类型访问和编辑这些资源的元数据。
拥有用户可以在目录中搜索和浏览这些源中的资产,并查看元数据。 用户还可以更新和管理这些资源的元数据。 详细了解 元数据管理。
这些是用户被视为所有者所需的资源权限:
| 数据源 | 所有者权限 |
|---|---|
| Azure SQL 数据库 | “Microsoft.Sql/servers/write”、“Microsoft.Sql/servers/databases/write”、“Microsoft.Authorization/roleAssignments/write” |
| Azure Blob 存储 | “Microsoft.Storage/storageAccounts/write”、“Microsoft.Authorization/roleAssignments/write” |
| Azure Data Lake Storage Gen2 | “Microsoft.Storage/storageAccounts/write”、“Microsoft.Authorization/roleAssignments/write” |
免费版本中的权限
所有用户都能够查看至少具有 读取 权限的可用源的数据资产。 拥有用户能够管理至少具有所有者/写入权限的可用资产的元数据。 有关详细信息,请参阅 数据访问权限部分。
还可以使用 租户级别角色组分配额外权限。
重要
对于在 Microsoft Entra ID 中新建的用户,即使应用了正确的权限,权限传播也可能需要一些时间。
Microsoft Purview 企业版中的权限
所有用户都能够查看至少具有 读取 权限的可用源的数据资产。 拥有用户能够管理至少具有 所有者/写入 权限的资产的元数据。 有关详细信息,请参阅 数据访问权限部分。
还可以使用 租户级别角色组分配额外权限。
还可以在Microsoft Purview 数据映射中分配权限,以便用户可以浏览数据映射或经典数据目录搜索中尚未具有数据访问权限的资产。