傳統Microsoft Purview 治理入口網站中的訪問控制
Microsoft Purview 治理入口網站會使用 Microsoft Purview 資料對應 中的集合,來組織和管理其來源、資產和其他成品之間的存取權。 本文說明您帳戶在 Microsoft Purview 治理入口網站中的集合和存取管理。
重要事項
本許可權文章涵蓋Microsoft傳統 Microsoft Purview 治理入口網站中的 Purview 數據控管許可權。
- 如需治理 許可權,新Microsoft Purview 入口網站 請參閱 入口網站中的治理許可權
- 如需 新Microsoft Purview 入口網站 中的一般許可權,請參閱 入口網站中的許可權。
- 如需傳統風險和合規性許可權,請參閱 Microsoft Purview 合規性入口網站 文章中的許可權。
存取 Microsoft Purview 治理入口網站的許可權
有兩種主要方式可存取 Microsoft Purview 治理入口網站,而且您需要下列其中一種的特定許可權:
- 若要直接在 https://web.purview.azure.com存取您的 Microsoft Purview 治理入口網站,您在 Microsoft Purview 資料對應 中的集合上至少需要讀取者角色。
- 若要透過 Azure 入口網站 存取 Microsoft Purview 治理入口網站,請搜尋您的 Microsoft Purview 帳戶、開啟該帳戶,然後選取 [開啟Microsoft Purview 治理入口網站],您在 存取控制 (IAM) 下至少需要讀取者角色。
注意事項
如果您使用服務主體建立帳戶,若要能夠存取 Microsoft Purview 治理入口網站,您必須 授與根集合的使用者集合管理員許可權。
集合
集合是 Microsoft Purview 資料對應 用來將資產、來源和其他成品分組到階層中以管理訪問控制的工具。 Microsoft Purview 治理入口網站資源的所有存取都是從 Microsoft Purview 資料對應 中的集合進行管理。
角色
Microsoft Purview 治理入口網站會使用一組預先定義的角色來控制誰可以存取帳戶內的內容。 這些角色目前為:
- 網域系統管理員 (網 域 層級僅) - 可以指派網域內的許可權並管理其資源。
- 集合管理員 - 用戶必須將角色指派給 Microsoft Purview 治理入口網站或管理集合中其他使用者的角色。 集合管理員可以將使用者新增至其系統管理員所在集合上的角色。 他們也可以編輯集合、其詳細數據,以及新增子集合。 根集合上的集合管理員也會自動擁有 Microsoft Purview 治理入口網站的許可權。 如果您的 根集合管理員 需要變更,您可以 遵循下一節中的步驟。
- 數據編者 - 此角色可讓您存取資料目錄來管理資產、設定自定義分類、建立和管理詞彙,以及檢視數據資產深入解析。 數據編者可以建立、讀取、修改、移動和刪除資產。 它們也可以將批注套用至資產。
- 數據讀 取者 - 此角色提供數據資產、分類、分類規則、集合和詞彙的唯讀存取權。
- 數據源管理員 - 可讓使用者管理數據源和掃描的角色。 如果使用者只被授與給定數據源上 的數據源系統管理員 角色,他們可以使用現有的掃描規則來執行新的掃描。 若要建立新的掃描規則,也必須將使用者授與數據 讀取者 或 數據編者 角色。
- 深入解析讀取者 - 一種角色,可讓您只讀存取集合的深入解析報表,其中深入解析讀取者也至少具有 數據讀取者 角色。 如需詳細資訊,請參閱 深入解析許可權。
- 原則作者 - 此角色可讓使用者透過 Microsoft Purview 內的數據原則應用程式來檢視、更新和刪除 Microsoft Purview 原則。
- 工作流程管理員 - 此角色可讓使用者存取 Microsoft Purview 治理入口網站中的工作流程撰寫頁面,並在具有訪問許可權的集合上發佈工作流程。 工作流程系統管理員只能存取撰寫,因此至少需要集合的數據讀取者許可權,才能存取 Purview 治理入口網站。
注意事項
此時,Microsoft Purview 原則作者角色不足以建立原則。 也需要 Microsoft Purview 數據源管理員角色。
應將誰指派給哪個角色?
| 使用者案例 | 適當的角色 () |
|---|---|
| 我只需要尋找資產,不想編輯任何專案 | 數據讀取器 |
| 我需要編輯和管理資產的相關信息 | 數據編者 |
| 我想要建立自定義分類 | 數據編者 或 數據源管理員 |
| 我需要編輯商務詞彙 | 數據編者 |
| 我需要檢視數據資產深入解析,以瞭解我數據資產的治理狀態 | 數據編者 |
| 我的應用程式服務主體必須將數據推送至 Microsoft Purview 資料對應 | 數據編者 |
| 我需要透過 Microsoft Purview 治理入口網站設定掃描 | 集合 或 數據編者上的數據編者 ,以及 註冊來源之數據源管理員的數據編者。 |
| 我需要讓服務主體或群組在 Microsoft Purview 資料對應 中設定和監視掃描,而不允許他們存取目錄的資訊 | 數據源管理員 |
| 我需要在 Microsoft Purview 治理入口網站中將使用者放入角色 | 集合管理員 |
| 我需要建立和發佈存取原則 | 數據源系統管理員和原則作者 |
| 我需要在治理入口網站中為Microsoft Purview 帳戶建立工作流程 | 工作流程管理員 |
| 我需要從在 Purview 中註冊的來源共享數據Microsoft | 數據讀取器 |
| 我需要在 Microsoft Purview 中接收共享數據 | 數據讀取器 |
| 我需要檢視我所屬集合的深入解析 | 深入解析讀者 或 數據編者 |
| 我需要建立或管理 自我裝載整合運行時間 (SHIR) | 數據源管理員 |
| 我需要建立受控私人端點 | 數據源管理員 |
注意事項
*數據編者 - 數據編者只有在被指派根集合層級的數據編者時,才可以讀取見解。
**原則的數據源系統管理員權 限 - 數據源系統管理員也能夠發佈數據原則。
瞭解如何使用 Microsoft Purview 治理入口網站的角色和集合
所有訪問控制都是透過 Microsoft Purview 資料對應 中的集合來管理。 您可以在 Microsoft Purview 治理入口網站中找到集合。 在 Azure 入口網站 中開啟您的帳戶,然後選取 [概觀] 頁面上的 [Microsoft Purview 治理入口網站] 圖格。 從該處流覽至左側功能表上的數據對應,然後選取 [集合] 索引標籤。
建立Microsoft Purview (先前的 Azure Purview) 帳戶時,它會以與帳戶本身同名的根集合開頭。 帳戶的建立者會自動新增為此根集合上的集合 管理員、數據源 管理員、數據編者和數據讀取器,並可編輯和管理此集合。
來源、資產和物件可以直接新增至這個根集合,但其他集合也是如此。 新增集合可讓您更充分掌控可存取您帳戶中數據的人員。
所有其他使用者只能存取 Microsoft Purview 治理入口網站中的資訊,如果他們或其所在群組具有上述其中一個角色。 這表示,當您建立帳戶時,除了建立者,只能存取或使用其 API,直到將它們 新增至集合中的一或多個上述角色為止。
只有集合管理員或透過許可權繼承,才能將使用者新增至集合。 父集合的許可權會由其子集合自動繼承。 不過,您可以選擇限制任何集合的 許可權繼承 。 如果您這樣做,其子集合將不再繼承父系的許可權,而且必須直接新增,但無法移除自動繼承自父集合的集合管理員。
您可以從與訂用帳戶相關聯的 Microsoft Entra ID,將角色指派給使用者、安全組和服務主體。
將許可權指派給您的使用者
建立Microsoft Purview (先前稱為 Azure Purview) 帳戶之後,首先要做的是建立集合,並將使用者指派給這些集合中的角色。
注意事項
如果您使用服務主體建立帳戶,若要能夠存取 Microsoft Purview 治理入口網站並將許可權指派給使用者,您必須 授與根集合的使用者集合管理員許可權。
建立集合
集合可以針對您 Microsoft Purview 資料對應 中的來源結構進行自定義,而且可以像這些資源的組織儲存站一樣。 當您思考您可能需要的集合時,請考慮使用者將如何存取或探索資訊。 您的來源是否依部門分割? 這些部門中是否有專門的群組只需要探索一些資產? 是否有一些來源應該可供所有使用者探索?
這會通知您可能需要最有效地組織數據對應的集合和子集合。
新的集合可以直接新增至數據對應,您可以在其中從下拉式清單中選擇其父集合,也可以從父集合新增為子集合。 在數據對應檢視中,您可以看到所有依集合排序的來源和資產,並在清單中列出來源的集合。
如需詳細指示和資訊,您可以遵循我們的 指南來建立和管理集合。
集合範例
既然我們對集合、許可權及其運作方式有基本的瞭解,讓我們看看範例。
這是組織建構其數據的其中一種方式:從其根集合 (Contoso 開始,在此範例中) 集合會組織成區域,然後組織成部門和子部門。 您可以將數據源和資產新增至這些集合的任何一個集合,以依這些區域和部門組織數據資源,並沿著這些程式行管理訪問控制。 有一個子部門 Revenue 具有嚴格的存取指導方針,因此必須嚴格管理許可權。
數據讀取者角色可以存取目錄內的資訊,但無法管理或編輯它。 因此,針對上述範例,將數據讀取器許可權新增至根集合上的群組,並允許繼承,將會為該群組中的所有使用者提供 Microsoft Purview 資料對應 中來源和資產的讀取器許可權。 這可讓該群組中的每個人都可以探索但無法編輯這些資源。 限制 收益群組上的繼承將可控制對這些資產的存取。 需要存取營收信息的使用者可以分別新增至 Revenue 集合。 同樣地,在數據編者和數據源 管理員 角色中,這些群組的許可權會從指派這些群組的集合開始,並逐漸流向未限制繼承的子集合。 以下我們已在Americas子集合的集合層級指派數個群組的許可權。
將使用者新增至角色
角色指派是透過集合來管理。 只有具有 集合系統管理員角色 的使用者可以將許可權授與其他集合使用者。 需要新增許可權時,集合管理員會存取 Microsoft Purview 治理入口網站、流覽至數據對應,然後流覽至 [集合] 索引卷標,然後選取需要新增使用者的集合。 從 [角色指派] 索引標籤,他們將能夠新增和管理需要許可權的使用者。
如需完整指示,請參閱 新增角色指派的操作指南。
系統管理員變更
您可能需要變更 根集合管理員 ,或需要在應用程式建立帳戶之後新增系統管理員。 根據預設,建立帳戶的用戶會自動將集合管理員指派給根集合。 若要更新根集合管理員,有四個選項:
您可以在下 Azure 入口網站 中管理根集合管理員:
- 登入 Azure 入口網站 並搜尋您的 Microsoft Purview 帳戶。
- 從 [Microsoft Purview 帳戶] 頁面的左側功能表中選取 [ 根集合 許可權]。
- 選 取 [新增根集合管理員 ] 以新增系統管理員。
![Azure 入口網站 中 [Microsoft Purview 帳戶] 頁面的螢幕快照,其中已選取 [根集合許可權] 頁面,並醒目提示 [新增根集合管理員] 選項。](media/catalog-permissions/root-collection-admin.png)
- 您也可以在 Microsoft Purview 控管入口網站中,選取 [檢視要移至根集合 的所有根集合 管理員]。
您可以 透過 Microsoft Purview 治理入口網站指派 許可權,就像任何其他角色一樣。
您可以使用 REST API 來新增集合管理員。 您可以在我們的 REST API for collections 檔中找到使用 REST API 來新增集合管理員的指示。 如需其他資訊,您可以查看我們的 REST API 參考。
您也可以使用 下列 Azure CLI 命令。 object-id 是選擇性的。 如需詳細資訊和範例,請參閱 CLI 命令參考頁面。
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
資產的許可權
如果您沒有集合的讀取許可權,該集合下的資產將不會列在搜尋結果中。 如果您取得一個資產的直接 URL 並加以開啟,您會看到 [無存取] 頁面。 請連絡您的集合管理員以授與您存取權。 您可以選取 [ 重新整理 ] 按鈕,再次檢查許可權。
如果您擁有一個集合的讀取許可權,但沒有寫入許可權,您可以瀏覽資產詳細數據頁面,但會停用下列作業:
- 編輯資產。 [ 編輯] 按鈕將會停用。
- 刪除資產。 [ 刪除] 按鈕將會停用。
- 將資產移至另一個集合。 [集合路徑] 區段右上角的省略號按鈕將會隱藏起來。
[階層] 區 段中的資產也會受到許可權影響。 沒有讀取許可權的資產將會呈現灰色。
數據目錄許可權
後續步驟
既然您已基本瞭解集合和訪問控制,請遵循下列指南來建立和管理這些集合,或開始將來源註冊到您的 Microsoft Purview 資料對應。