共用方式為

Microsoft Purview 網域和集合架構和最佳做法

  • 發行項

purview 統一治理解決方案Microsoft核心,數據對應是一項服務,可在您的數據資產中保留資產及其元數據的最新對應。 若要將數據對應串行化,您必須註冊並掃描數據源。 在組織中,可能有數千個數據源受到集中式或非集中式業務單位、小組和環境管理。 若要管理此功能,您可以在 purview Microsoft使用網域和集合。

注意事項

本文中的最佳做法建議適用於Microsoft使用 租用戶層級帳戶 () https://purview.microsoft.com 的 Purview 帳戶。

網域

在 Microsoft Purview 中, 網域 是數據對應的基礎元素,並代表 Microsoft Purview 帳戶內的最上層階層。 當有分公司或業務單位獨立運作,但它們共用通用的 Entra ID 租使用者時,他們特別能夠隔離組織內的責任、有效組織和管理數據控管。 藉由使用網域,組織可以達到數個功能,包括:

  • 組織:網域可協助以邏輯方式將屬於業務單位或區域的數據源、資產、掃描和安全性相關資源等資源分組。
  • 委派:網域是集合上方的階層,可讓 Microsoft Purview 系統管理員將特定的系統管理工作委派給特定業務單位或子組織Microsoft Purview 數據控管內的元件子集。
  • 安全性:藉由隔離網域內的物件,系統管理員可以實作目標安全性措施,並更有效率地控制存取權。 例如,連線、認證和原則等資源可以是特定網域的特定且可見的。
  • 生命週期管理:網域有助於區隔相同租使用者內的開發、測試、QA、生產前和生產資源。
  • 資源隔離:網域可協助隔離因區域、法律或法規需求而造成的資源。

集合

Microsoft Purview 中的集合支援元數據的組織或子組織對應。 藉由使用集合,您可以在階層中的業務單位內管理和維護數據源、掃描和資產,而不是一般結構。 集合可讓您根據組織計劃如何使用 Microsoft Purview 來控管您的數據,建置數據環境的自定義階層式模型。

集合也會為數據對應中的元數據提供安全性界限。 集合、數據源和元數據的存取權是根據 Microsoft Purview 中的集合階層來設定和維護,遵循最低許可權模型:

  • 用戶擁有執行其工作所需的最小存取權。
  • 用戶無法存取不需要的敏感數據。

了解關聯性

  • 網域 更具策略性和以原則為中心,而 集合 則更具營運性和存取中心。 例如,在具有數個區段的大型醫療保健組織中,例如醫院、臨床、研究和管理,全都位於相同的 Microsoft Entra ID 租使用者、網域和集合下,可以定義如下:
    • 網域:組織會為每個區段建立網域。 這些領域是以策略和原則為中心,這表示它們會為每個區段定義高階治理原則、合規性需求和數據管理策略。 例如,醫院網域可能有與病患數據隱私權和醫療保健法規相關的原則,而 Research 領域可能著重於數據共享協定和臨床實驗的倫理指導方針。 每個網域都可以有自己的認證集合、掃描規則集、原則和連線,以及其他網域中使用者和系統管理員看不到的集合、數據源、掃描和資產。
    • 集合:在 [醫院] 網域中,有數個需要管理的作業工作。 組織會建立不同營運單位的集合,例如緊急服務、就診服務和外診服務。 這些集合更具操作性和存取中心,這表示它們會組織每個作業單位特有的數據源、資產和掃描。 這些集合的存取權是根據 [醫院] 區段內使用者的角色和責任來控制。 例如,只有緊急部門人員可以存取緊急服務集合,而就診照護管理員可以存取 Inpatient Care 集合。
  • 集合 可以存在於網域中,繼承在網域層級設定的治理原則。
  • 在 Microsoft Purview 數據控管中,網域和集合具有不同的功能。 一個帳戶可以有一個預設網域和最多四個自定義網域。 每個網域都可以有自己的集合階層。
  • Purview 系統管理員角色的用戶成員可以建立和管理網域,並將存取權委派給每個業務單位,以管理自己的網域,方法是將 Purview 域管理員角色的存取權授與他們。

定義階層

設計建議

  • 根據貴組織的法律、考慮數據管理和組織治理結構的安全性需求,開始設計您的網域和集合架構。 檢閱 本文中的建議 原型。

  • 當您在 Microsoft Purview 中建置網域和集合時,請將安全性和存取管理視為設計決策程式的一部分。

  • 從預設網域開始,並在預設網域內建置集合階層。 如果您有下列任何需求,請使用其他網域:

    • 您必須在相同的租使用者下建置生產環境和非生產環境。

    • 您有多個區域,而且需要以邏輯方式分隔資源,並隔離這些區域中的責任。

    • 您的組織在相同的租使用者下有多個公司或業務單位,而且需要區隔資源並隔離管理和責任。

  • 每個網域或集合都有名稱屬性和易記名稱屬性。 如果您使用 Microsoft Purview 治理入口 網站來部署網域或集合,系統會自動指派隨機的六個字母名稱以避免重複。

  • 目前,網域或集合名稱最多可以包含36個字元,而集合易記名稱最多可以有100個字元。

  • 您可以避免將組織結構複製到深度巢狀集合階層。 如果您無法避免這樣做,請務必針對階層中的每個集合使用不同的名稱,讓集合易於區別。

  • 如果您打算大量部署網域、集合和角色指派,請使用 API 自動部署網域和集合。

  • 使用專用服務主體名稱 (SPN) ,在數據對應上執行作業,以使用 API 管理網域、集合和角色指派。 使用SPN可減少擁有更高許可權並遵循最低許可權指導方針的用戶數目。

設計考量

  • 網域僅適用於使用租用戶層 級帳戶 Microsoft Purview 帳戶 (https://purview.microsoft.com) 。

  • 請考慮目前除了預設網域之外,Microsoft Purview 帳戶最多可以有四個網域。 在合併目前Microsoft Purview 帳戶時,現有數據對應的內容,包括集合、數據源、資產和掃描,都會移轉至新的網域。

  • 如果您打算讓租使用者中的新組織上線,讓他們有不同的法律需求,請建立新的網域。

  • 下列資源會部署在租用戶層級,並可在所有網域中顯示:

    • Typedefs
    • 受管理的屬性
    • 詞彙
    • 分類和分類規則
    • Metamodel
    • 整合執行階段
    • 工作流程

  • 網域提供下列資源的分隔:

    • Credentials
    • 安全性連線
    • 自訂掃描規則集
    • 進階資源集和模式規則
    • 原則
    • ADF 連線
    • 可以限定範圍為集合的集合和所有資源

  • 集合提供下列資源的區隔:

    • 資料來源
    • 掃描
    • 資產

  • 每個Microsoft使用預設網域建立 Purview 帳戶。 默認功能變數名稱與您的 Microsoft Purview 帳戶名稱相同。 無法移除預設網域,不過,您可以變更預設網域的易記名稱。

  • 集合可以視需要擁有多個子集合。 但每個集合只能有一個網域和一個父集合。

  • Microsoft Purview 中的集合階層最多可支援 256 個集合,最多可支援八個深度層級。 這不包含根集合。

  • 根據設計,您無法在單一 Microsoft Purview 帳戶中多次註冊數據源。 此架構有助於避免將不同層級的訪問控制指派給單一數據源的風險。 如果多個小組使用單一數據源的元數據,您可以在父集合中註冊和管理數據源。 然後,您可以在每個子集合下建立對應的掃描,讓相關的資產出現在每個子集合之下。

  • 即使數據源是在較低層級的集合中註冊,譜系連接和成品也會附加至預設網域。

  • 當您執行新的掃描時,根據預設,掃描會部署在與數據源相同的集合中。 您可以選擇性地選取不同的子集合來執行掃描。 因此,資產屬於 子集合之下。

  • 如果網域是空的,您可以刪除網域。

  • 如果集合沒有任何資產、相關聯的掃描、數據源或子集合,您可以刪除集合。

  • 如果用戶獲授與來源和目的地集合的數據源 管理員 角色,則允許跨集合移動數據源。

  • 如果用戶獲授與來源和目的地集合的數據編者角色,則允許跨集合移動資產。

  • 若要在集合上執行移動和重新命名作業,請檢閱下列建議和考慮:

    1. 若要重新命名集合,您必須是集合管理員角色的成員。

    2. 若要移動集合,您必須是來源和目的地集合上集合管理員角色的成員。

定義授權模型

Microsoft Purview 包含 適用於 Office 365 的 Microsoft Defender 中的角色,以及存在於 Purview 數據平面內Microsoft的角色。 部署 Microsoft Purview 帳戶之後,系統會自動建立預設網域,而 Microsoft Purview 帳戶的建立者會成為 Purview 系統管理員角色的一部分。 如需 Microsoft Purview 資料對應 和 資料目錄 許可權的詳細資訊,請參閱角色和許可權檔。

設計建議

  • 請考慮為您的租用戶實作 緊急存取 或急用策略,讓您可以視需要復原對 Microsoft Purview 預設網域的存取權,以避免Microsoft Purview 帳戶層級鎖定。 記錄使用緊急帳戶的程式。

  • 將 Purview 系統管理員、網域系統管理員和集合管理員的數目降至最低。 在預設網域指派最多三個網域系統管理員使用者,包括SPN和您的急用帳戶。 將您的集合 管理員 角色指派給最上層集合,或改為將角色指派給子集合。

  • 將角色指派給群組,而不是個別使用者,以減少管理個別角色時的系統管理額外負荷和錯誤。

  • 針對自動化目的,在根集合指派服務主體。

若要提高安全性,請為 purview 系統管理員、網域系統管理員和集合管理員、數據源管理員和數據編者啟用 Microsoft Entra 條件式存取與多重要素驗證。 請確定緊急帳戶已從條件式存取原則中排除。

設計考量

  • Microsoft Purview 存取管理已移至數據平面和 適用於 Office 365 的 Microsoft Defender 中的角色。 不再使用 Azure Resource Manager 角色,因此您應該使用 Microsoft Purview 來指派角色。

  • 在 Microsoft Purview 中,您可以將角色指派給使用者、安全組和服務主體, (包括受控識別) 從部署 Microsoft Purview 帳戶的相同 Microsoft Entra 租使用者 Microsoft Entra ID。

  • 您必須先以 B2B 使用者的身分將來賓帳戶新增至 Microsoft Entra 租使用者,才能將 Microsoft Purview 角色指派給外部使用者。

  • 根據預設,網域系統管理員也會取得數據源管理員、數據讀取者和數據編者角色,讓他們可以存取讀取或修改資產。

  • 根據預設,全域管理員會新增為預設網域上的集合管理員。

  • 根據預設,所有子集合都會自動繼承所有角色指派。 但是,除了根集合之外,您可以在任何集合上啟用 限制繼承 的許可權。 限制繼承的許可權會 從所有父集合中移除繼承的角色,但集合系統管理員角色除外。

  • 若要 Azure Data Factory 連線:若要連線到 Azure Data Factory,您必須是預設網域上的集合管理員。

  • 如果您需要連線到歷程 Azure Data Factory,請在 Microsoft Purview 根集合層級將數據編者角色授與數據處理站的受控識別。 當您將 Data Factory 連線到撰寫 UI 中的 Microsoft Purview 時,Data Factory 會嘗試自動新增這些角色指派。 如果您在 Microsoft Purview 預設網域上具有集合管理員角色,此作業會正常運作。

網域和集合原型

您可以根據集中式、分散式或混合式數據管理和控管模型,部署Microsoft Purview 網域和集合。 此決策是以您的商務、法律和安全性需求為基礎。

此結構適用於下列組織:

  • 以單一地理位置為基礎,並根據相同的法律需求運作。
  • 有一個集中式的數據管理和治理小組,其中下一層的數據管理屬於部門、小組或專案。

階層包含下列垂直:

網域

  • 默認網域:Contoso

預設網域下的集合

  • 部門 (每個部門的委派集合)
  • Teams 或專案 (根據專案進一步隔離)

不需要更多網域,因為沒有需要新增更多網域的特定商務或法律需求。

組織層級的共享數據源會在 Hub 集合中註冊和掃描。

部門層級的共享數據源會在部門集合中註冊和掃描。

每個數據源都會在其對應的集合中註冊並掃描。 因此,資產也會出現在相同的集合中。

顯示第一個 Microsoft Purview 集合範例的螢幕快照。

範例 2:具有集中式管理的單一多區域組織

此案例適用於組織:

  • 在多個區域中有存在。
  • 數據控管小組在每個區域中集中或分散的位置。
  • 數據管理小組會分散在每個地理位置,另外還有集中式同盟管理。
  • 需要管理自己數據源和資源的小組

網域和集合階層包含下列垂直:

網域

  • 默認網域:FourthCoffee

預設網域下的集合

  • 地理位置 (最上層集合,根據數據源和數據擁有者所在的地理位置)
  • 部門 (每個部門的委派集合)
  • Teams 或專案 (根據專案進一步隔離)

在此案例中,每個區域在 Microsoft Purview 帳戶的預設網域下都有自己的集合。 數據源會在其自己的地理位置的對應集合中註冊和掃描。 因此,資產也會出現在區域的集合階層中。

如果您有集中式數據管理和治理小組,您可以授與他們預設網域的存取權。 當您這麼做時,他們會在數據對應中對整個數據資產進行監督。 集中式小組也可以選擇性地註冊和掃描任何共享數據源。 集中式小組也可以管理安全性資源,例如認證和整合運行時間。

區域型數據管理和治理小組可以從其對應的集合取得存取權。

部門層級的共享數據源會在部門集合中註冊和掃描。

顯示第二個 Microsoft Purview 集合範例的螢幕快照。

範例 3:具有多個環境的單一組織

如果您有適用於所有類型之 Prod 和非生產環境的單一租使用者,而且您需要盡可能隔離資源,此案例會很有用。 可轉換數據以使其更具意義的數據科學家和數據工程師,可以管理原始和精簡區域。 然後,他們可以將數據移至對應環境中的 [產生] 或 [策劃] 區域。

網域和集合階層包含下列垂直:

網域

  • 默認網域:Fabrikam 生產
  • 自訂網域 1:開發和測試
  • 自定義網域 2:QA

每個網域下的集合可以遵循下列任何一個垂直:

  • 部門、Teams 或專案 (根據專案進一步隔離)
  • 數據轉換階段 (原始、擴充、產生/策劃、開發等 )

數據科學家和數據工程師可以在其對應的區域上擁有數據編者角色,以便他們策劃元數據。 數據讀取者對策劃區域的存取權可以授與整個數據角色和商務使用者。

顯示第三個 Microsoft Purview 集合範例的螢幕快照。

範例 4:多個組織或公司,使用具有分散式管理的相同 Entra ID 租使用者

此選項可用於多個公司共用相同 Entra ID 租使用者,且每個組織需要組織元數據及管理其專屬資源的案例

注意事項

如果您先前在租使用者中有多個 Microsoft Purview 帳戶,則您選取要移轉的第一個帳戶會變成預設網域,而且您可以將其他帳戶升級至不同的網域。

網域和集合階層包含下列垂直:

網域

  • 默認網域:父公司或組織,例如 Contoso
  • 自定義網域 1:FourthCoffee
  • 自定義網域 2:Fabrikam

每個網域下的集合可以遵循下列任何一個垂直:

  • 部門、小組或專案 (根據專案進一步隔離)
  • 數據轉換階段 (原始、擴充、產生/策劃、開發等 )
  • 組織內的區域

每個組織都有自己的網域,並在 Microsoft Purview 帳戶中有自己的集合階層。 安全性資源會在每個網域內管理,而數據源會在相對應的網域中註冊和掃描。 資產會新增至特定網域的子集合階層。

如果您有集中式數據管理和治理組織,可以是預設網域,因此他們可以管理共用資源,例如整合運行時間、受控屬性等。

組織數據管理和治理小組可以從較低層級的對應集合取得存取權,視每個網域中的集中式或分散式管理而定。

顯示第四個 Microsoft Purview 集合範例的螢幕快照。

注意事項

共用的非生產網域可由多個組織建立和使用,每個組織在非生產網域中都有自己的最上層集合。

存取管理選項

如果您想要在整個組織中實作數據大眾化,請使用一個網域,並將預設網域的數據讀取者角色指派給數據管理、治理和商務使用者。 將子集區層級的數據源 管理員 和數據編者角色指派給對應的數據管理和治理小組。

如果您需要限制對組織中元數據搜尋和探索的存取,請在特定收集層級指派數據讀取者和數據編者角色。 例如,您可以限制美國員工,讓他們只能讀取美國集合層級的數據,而不能讀取 LATAM 集合中的數據。

只有在您需要時才建立其他網域,例如在分隔生產環境和非專業環境時,將多個帳戶升級為一個統一帳戶,或在相同租用戶內有多個具有不同安全性需求的公司。

您可以使用網域和集合,在 Microsoft Purview 數據對應中套用這些案例的組合。

將網域系統管理員角色指派給預設集合中的集中式數據安全性與管理小組。 將其他網域和較低層級集合的進一步網域或集合管理委派給對應的小組。

後續步驟