設定和管理 Microsoft Purview 整合式目錄 存取原則

重要事項

本文說明如何設定商務概念的存取原則，包括治理網域、數據產品、重要數據元素和詞彙，以及管理存取要求。 如果您想要要求存取數據產品， 請遵循這篇文章來要求存取權。

本文說明如何管理數據產品的存取權，並設定系統來提供存取權給提出要求的使用者。

數據產品的存取權可為您提供什麼？ 數據產品的許可權，以及內部數據資產的許可權。

在本文中，您將瞭解：

• 如何設定數據產品存取原則
• 如何核准數據產品的存取權

權限

1. 若要在治理網域層級檢視和管理原則，需要 治理網域擁有者權 限。
2. 若要在數據產品層級檢視和管理原則，需要 數據產品擁有者權 限。
3. 若要檢視和管理數據產品或詞彙中的原則，需要 數據管理權 限。
4. 整合式目錄 讀取者可以檢視及要求數據產品的存取權。
5. 存取要求的管理員和隱私權核准者也必須具備最少的 整合式目錄 讀取器，才能使用 整合式目錄 和核准要求作為分層核准的一部分。

考量

在此體驗中，要求核准者必須在核准程式中手動提供個別數據資產的存取權，或指定存取提供者來執行這項操作。

產品中不會強制執行證明 (包含無複製證明) 等原則。 數據取用者證明他們會在要求存取時遵循這些原則。

設定數據產品存取原則

若要建置存取原則，在大部分情況下，您需要 數據產品擁有者或數據管理人許可權。

提示

您的數據產品必須處於未發佈的狀態，才能管理存取原則。

1. 在 Microsoft Purview 入口網站中，開啟 [整合式目錄]。
2. 選取 [ 目錄管理] 下拉式清單，然後選取 [資料產品]。
3. 選取數據產品。
4. 在數據產品頁面上，選取 [ 管理原則]。
5. 從原則設定視窗中，您可以建立和管理資料產品的存取原則。

設定數據產品存取原則

在 [ 管理原則] 視窗中，您可以檢視和編輯指派給預設數據產品存取原則集合的預設值。 選取的值會影響數據取用者在其存取要求窗體上看到的內容，以及需要採取的動作。

1. 在 [ 允許存取] 下拉式清單下，新增您的使用用途，這是存取和使用數據產品的授權用途。 根據預設，有三個值可供您編輯描述，並新增取用者將在要求存取表單中選擇的其他用途。
2. 在 [ 核准需求 ] 下拉式清單中，判斷是否需要管理員核准或隱私權與合規性檢閱。

   注意事項

   如果選取，存取要求窗體會顯示需要管理員核准者或隱私權與合規性檢閱。 Microsoft Entra ID 中的取用者經理將會收到第一層核准的通知。 要求表單中消費者所命名的隱私權檢閱者將會收到核准通知。 要求會先由管理員檢閱，後面接著隱私權檢閱者，然後由存取要求核准者核准和授與存取權。 如果選取，選擇性存取提供者層將會是最後一層。 只有在所有已設定的核准層級都完成時，要求狀態才會是最終狀態。

3. 在 [ 核准需求 ] 下拉式清單的 [ 存取要求核准者] 中，選取需要核准存取要求的使用者。 第一個要採取動作的核准者會核准要求，並繼續手動授與數據資產的存取權、記錄在每個資產上布建的存取狀態，以及指定數據存取指示或數據取用者的意見。 根據預設，會填入數據產品擁有者，而且可以新增更多核准者。 您也可以將 Microsoft Entra ID 群組或安全組新增為核准者，核准者可以在要求檢視中查看詳細狀態。
4. 您可以明確設定稱為 存取提供者 的選擇性層，以手動授與數據資產的存取權、記錄在每個資產上布建的存取狀態，以及指定數據存取指示或數據取用者的意見。 此做法可確保數據取用者知道他們可以採取的後續步驟來存取和使用數據。
5. 在 [證明] 底下，判斷是否允許複製數據。 證明會反映在取用者要證明的存取要求窗體上。
6. 如果數據產品上有使用規定，這些條款也會反映在取用者要證明的存取要求窗體上。
7. 選取 [ 新增證明 ] 並新增顯示名稱和檔案位置，以新增任何其他證明。 這些會反映在取用者要證明的要求存取窗體上。
8. 如果有繼承自治理網域、重要數據元素或詞彙的原則，您可以在 [ 繼承 的原則] 索引卷標中看到。如需詳細資訊，請參閱本檔中的下一節： 治理網域的原則和 (繼承原則的詞彙) 。
9. 選 取 [預覽要求表單 ]，以查看使用者在要求存取權時看到的內容。
10. 選 取 [儲存變更 ] 以儲存治理網域的存取原則。

治理網域、詞彙和重要數據元素的原則， (繼承的原則)

您可以針對治理網域、詞彙和重要數據元素設定原則。 治理網域中的數據產品，或已套用詞彙或重要數據元素的數據產品，將會繼承並彙總原則。

您可以在數據產品管理原則檢視中看到繼承的原則，位於名為 [繼承的原則] 的個別索 引卷標中。 您可以選取 [ 預覽 ] 按鈕來查看匯總的檢視。 您的數據取用者會在要求存取時看到此匯總檢視。

例如，如果在套用至數據產品的詞彙上設定經理核准原則，則數據產品現在也需要管理員核准。 在商務概念上設定的任何證明， (控管網域、數據產品、詞彙或重要數據元素) 都會匯總在數據產品上，而數據取用者會在要求存取時證明所有必要的證明。

若要建置治理網域、詞彙或重要數據元素的存取原則，您需要 治理網域擁有者或數據管理許可權。

1. 在 Microsoft Purview 入口網站中，開啟 [整合式目錄]。
2. 選取 [ 目錄管理] 下拉式清單，然後選取 [治理網域]。
3. 選取治理網域。
4. 在 [治理網域] 頁面上，選取 [ 管理原則]。
5. 或者，在詞彙或關鍵數據元素頁面上，選取 [ 管理原則]。
6. 從 [原則設定] 視窗中，您可以建立和管理相關的存取原則。

設定繼承的原則

在 [ 管理原則] 視窗中，您可以檢視和管理每個商務概念的預設存取原則集。 選取的值會影響數據取用者在其存取要求窗體上看到的內容，以及需要採取的動作。

1. 判斷是否需要經理核准。 在 Microsoft Entra ID 中設定的數據取用者管理員會在第一層核准時收到通知。 如果要求獲得核准，要求將會繼續進行下一層。
2. 判斷是否允許複製數據。 此選取專案會反映在取用者要證明的存取要求表單上。
3. 選取 [ 新增證明 ] 並新增顯示名稱和檔案位置，以新增您想要的任何更多證明。 這些證明會反映在要求存取窗體上，以供取用者證明。

管理或回應存取要求

1. 在 Microsoft Purview 入口網站中，開啟 [整合式目錄]。
2. 選取 [ 目錄管理] 下拉式清單，然後選取 [要求]。
3. 在治理網域數據表的 [狀態] 數據行中，您可以依任何具有開啟存取要求的網域排序。
4. 選取您要管理其存取要求的治理網域。
5. 在 [存取要求] 索引卷標上，您可以看到最新的存取要求清單。
6. 您可以選取您想要回應的存取要求。
7. 檢視取用者提交的詳細數據。
8. 選 取 [核准 ] 或 [ 拒絕]。
9. 如果您是數據產品存取要求核准者或明確存取提供者 () 的核准者順序中的最後一個核准者，您也應該記錄在每個資產布建的存取狀態，並指定數據存取指示或數據取用者的意見。 此做法可確保數據取用者知道他們可以採取的後續步驟來存取和使用數據。
10. 一旦回應要求，就會通知數據取用者。
11. 要求者會透過電子郵件收到通知，也可以在 [我的數據存取] 索引標籤的 [Microsoft Purview 整合式目錄 探索] 下拉式清單 [數據產品] 頁面上檢視狀態。

透過電子郵件通知回應存取要求

1. 在以核准存取要求要求收到的電子郵件中，選取 [ 核准 要求] 連結。
2. 系統會在 Microsoft Purview 整合式目錄 的 [目錄管理] 下拉式清單中，將您帶至 [要求] 頁面中的要求詳細數據檢視。
3. 檢視取用者提交的詳細數據。
4. 選 取 [核准 ] 或 [ 拒絕]。
5. 如果您是核准者序列中的最後一個核准者;數據產品存取要求核准者或明確存取提供者，您也應該記錄在每個資產布建的存取狀態，並指定數據存取指示或數據取用者的意見。 這可確保數據取用者知道他們可以採取的後續步驟來存取和使用數據。
6. 一旦回應要求，就會通知數據取用者。
7. 要求者會透過電子郵件收到通知，也可以在 [我的數據存取] 索引標籤的 [Microsoft Purview 整合式目錄 數據] 產品搜尋頁面上檢視狀態。

循序或分層核准和要求狀態

如管理 數據產品原則一節中所述，視核准者所做的選擇而定，循序或階層式核准會生效。 下列順序會針對數據產品存取要求核准進行維護。

1. 如果選取經理核准，Microsoft Entra 中的取用者經理將會收到第一層核准的通知。
2. 只有在管理員核准要求之後，如果選取隱私權檢閱者會收到核准通知，或能夠採取動作。
3. 隱私權檢閱者核准之後，存取要求核准者將會收到通知，以取得數據產品中數據資產的核准和布建存取權。 如果未指定存取提供者，則此層級會核准並完成要求，否則只會核准。
4. 如果指定了最後一層的存取提供者，則該層會布建數據資產的存取權，並記錄數據取用者的狀態和指示。 他們會完成要求。 完成將是最終狀態。
5. 工作流程會繼續進行，直到最後一次核准和完成，或第一次拒絕發生為止。
6. 只有在所有數據取用者都採取各自的動作之後，才會通知數據取用者。
7. 數據取用者隨時可以在 [Microsoft Purview 整合式目錄 探索] 下拉式清單的 [數據產品] 頁面的 [我的數據存取] 索引卷標中看到要求的狀態。
8. 要求狀態可以從擱置到拒絕或擱置到核准，然後完成。