配置和管理Microsoft Purview 统一目录访问策略
重要
本文介绍如何针对业务概念(包括治理域、数据产品、关键数据元素和术语表术语)设置访问策略,以及如何管理访问请求。 如果要请求对数据产品的访问权限, 请按照此文章请求访问权限。
本文介绍如何管理对数据产品的访问,以及如何设置系统,以便为请求数据产品的用户提供访问权限。
访问数据产品可提供什么? 对数据产品的权限和对内部数据资产的权限。
在本文中,您将了解:
权限
- 若要在治理域级别查看和管理策略,需要 治理域所有者权限 。
- 若要查看和管理数据产品级别的策略,需要 数据产品所有者权限 。
- 若要查看和管理数据产品或术语表术语中的策略,需要 数据专员权限 。
- 统一目录读者可以查看和请求对数据产品的访问权限。
- 访问请求的经理和隐私审批者还需要至少具有统一目录读取者,以便能够在分层审批过程中使用统一目录和批准请求。
注意事项
在此体验中,请求审批者必须在审批过程中手动提供对单个数据资产的访问权限,或指定访问提供程序执行此操作。
产品中未强制实施证明 (包括无副本证明) 等策略。 数据使用者证明他们在请求访问时将遵循这些策略。
设置数据产品访问策略
若要生成访问策略,在大多数情况下,需要 数据产品所有者或数据专员权限。
提示
数据产品需要处于未发布状态才能管理访问策略。
- 在 Microsoft Purview 门户中,打开统一目录。
- 选择“ 目录管理 ”下拉列表,然后选择“ 数据产品”。
- 选择数据产品。
- 在数据产品页上,选择“ 管理策略”。
- 在策略配置窗口中,可以创建和管理数据产品的访问策略。
配置数据产品访问策略
在 “管理策略 ”窗口中,可以查看和编辑分配给默认数据产品访问策略集的默认值。 所选值会影响数据使用者在其访问请求表单上看到的内容以及他们需要执行的操作。
- 在 “允许的访问 ”下拉列表下,添加使用目的,这是访问和使用数据产品的授权目的。 默认情况下提供三个值,你可以编辑说明并添加使用者将在请求访问表单中选择的其他目的。
- 在 “审批要求 ”下拉列表中,确定是否需要经理批准或隐私和合规性审查。
注意
如果选中,访问请求表单将显示需要经理审批者或隐私和合规性评审。 Microsoft Entra ID中的使用者经理将收到第一层审批通知。 使用者在请求表单中命名的隐私审阅者将收到批准通知。 该请求首先由经理评审,然后由隐私审阅者审阅,然后由访问请求审批者进行审批和授予访问权限。 如果选择了可选访问提供程序层,则为最后一层。 仅当所有配置的审批级别都已完成时,请求状态才为最终状态。
- 在 “审批要求” 下拉列表中的 “访问请求审批者”中,选择需要批准访问请求的用户。 执行操作的第一个审批者将批准请求并继续手动授予对数据资产的访问权限,记录在每个资产上预配的访问状态,并向数据使用者指定数据访问说明或注释。 默认情况下,会填充数据产品所有者,并且可以添加更多审批者。 还可以添加Microsoft Entra ID组或安全组,因为审批者和审批者可以在请求视图中查看详细状态。
- 可以显式设置名为 “访问提供程序” 的可选层,以手动授予对数据资产的访问权限,记录在每个资产上预配的访问状态,并向数据使用者指定数据访问说明或注释。 这种做法可确保数据使用者了解他们可以采取的后续步骤来访问和使用数据。
- 在 “证明”下,确定是否允许数据副本。 证明将反映在使用者要证明的访问请求表单上。
- 如果数据产品上存在使用条款,这些使用条款也会反映在使用者要证明的访问请求表单上。
- 通过选择“ 添加证明” 并添加显示名称和文件位置来添加更多证明。 这些内容反映在使用者要证明的请求访问表单上。
- 如果有从治理域、关键数据元素或术语表术语继承的策略,则可以在“ 继承的策略 ”选项卡中看到。有关详细信息,请参阅本文档中的以下部分: 治理域的策略和术语表术语 (继承的策略) 。
- 选择 “预览请求窗体 ”,查看用户在请求访问权限时看到的内容。
- 选择“ 保存更改” 以保存治理域的访问策略。
治理域、术语表术语和关键数据元素的策略 (继承的策略)
可以在治理域、术语表术语和关键数据元素上设置策略。 治理域中的数据产品或应用了术语表术语或关键数据元素的数据产品将继承并聚合策略。
可以在名为“继承策略”的单独选项卡中的“数据产品管理策略”视图中查看 继承的策略。 可以通过选择“ 预览 ”按钮来查看聚合视图。 数据使用者在请求访问时将看到此聚合视图。
例如,如果对应用于数据产品的术语表术语设置了经理审批策略,则数据产品现在也需要经理批准。 业务概念 (治理域、数据产品、术语表术语或关键数据元素) 的任何证明集都会在数据产品上聚合,数据使用者将在请求访问时证明所有必需的证明。
若要在治理域、术语表术语或关键数据元素上构建访问策略,需要 治理域所有者或数据专员权限。
- 在 Microsoft Purview 门户中,打开统一目录。
- 选择“ 目录管理 ”下拉列表,然后选择“ 治理域”。
- 选择治理域。
- 在“治理域”页上,选择“ 管理策略”。
- 或者,在术语表术语或关键数据元素页上,选择“ 管理策略”。
- 在“策略配置”窗口中,可以创建和管理相关的访问策略。
配置继承的策略
在 “管理策略 ”窗口中,可以查看和管理每个业务概念的默认访问策略集。 所选值会影响数据使用者在其访问请求表单上看到的内容以及他们需要执行的操作。
- 确定是否需要经理批准。 在 Microsoft Entra ID 中配置的数据使用者的经理将作为第一层审批通知。 如果请求获得批准,请求将转到下一层。
- 确定是否允许数据副本。 此选择反映在使用者要证明的访问请求表单上。
- 通过选择“添加证明”并添加显示名称和文件位置,添加所需的更多 证明 。 这些证明反映在使用者要证明的请求访问表单上。
管理或响应访问请求
- 在 Microsoft Purview 门户中,打开统一目录。
- 选择“ 目录管理 ”下拉列表,然后选择“ 请求”。
- 在治理域表的状态列中,可以按具有开放访问请求的任何域进行排序。
- 选择要管理其访问请求的治理域。
- 在“访问请求”选项卡上,可以看到最新访问请求的列表。
- 你可以选择要响应的访问请求。
- 查看使用者提交的详细信息。
- 选择 “批准 ”或 “拒绝”。
- 如果你是 (数据产品访问请求审批者或显式访问提供程序) 审批者序列中的最后一个审批者,则还应记录在每个资产上预配的访问状态,并指定数据访问说明或对数据使用者的注释。 这种做法可确保数据使用者了解他们可以采取的后续步骤来访问和使用数据。
- 响应请求后,数据使用者将收到通知。
- 请求者将通过电子邮件收到通知,还可以在“我的数据访问”选项卡中的“Microsoft Purview 统一目录发现”下拉列表“”数据产品“页上查看状态。
通过电子邮件通知响应访问请求
- 在作为批准访问请求的请求接收的电子邮件中,选择“ 审批请求” 链接。
- 你将转到Microsoft Purview 统一目录“目录管理”下拉列表中“请求”页的请求详细信息视图。
- 查看使用者提交的详细信息。
- 选择 “批准 ”或 “拒绝”。
- 如果你是审批者序列中的最后一个审批者;数据产品访问请求审批者或显式访问提供程序,还应记录在每个资产上预配的访问状态,并指定数据访问说明或对数据使用者的注释。 这可确保数据使用者了解他们可以采取的后续步骤来访问和使用数据。
- 响应请求后,数据使用者将收到通知。
- 请求者将通过电子邮件收到通知,还可以在“我的数据访问”选项卡中的“Microsoft Purview 统一目录数据”产品搜索页上查看状态。
顺序或分层审批和请求状态
如 管理数据产品策略部分所述,根据所做的审批者选择,顺序或分层审批将生效。 以下顺序针对数据产品访问请求审批进行维护。
- 如果选择了经理审批,Microsoft Entra中的使用者经理将收到第一层审批的通知。
- 只有在经理批准请求后,隐私审阅者(如果选择)才会收到批准通知,或者能够采取措施。
- 隐私审阅者批准后,将通知访问请求审批者批准和预配对数据产品中的数据资产的访问权限。 如果未指定访问提供程序,此层将批准并完成请求,否则他们只会批准。
- 如果指定了最后一层访问提供程序,则该层将预配对数据资产的访问权限,并记录数据使用者的状态和说明。 他们将完成请求。 完成将是最终状态。
- 工作流一直持续到最后一次审批和完成或发生第一次拒绝为止。
- 仅当数据使用者已执行各自的操作后,才会通知数据使用者。
- 在任何时候,数据使用者都可以在“我的数据访问”选项卡中的“Microsoft Purview 统一目录发现”下拉列表、“数据产品”页中看到请求的状态。
- 请求状态可以从“挂起”变为“已拒绝”或“挂起”,然后变为“已批准”,然后变为“已完成”。