Microsoft Purview 治理门户中的访问控制

  • 项目

Microsoft Purview 治理门户使用 Microsoft Purview 数据映射中的集合来组织和管理对其源、资产和其他项目的访问。 本文介绍 Microsoft Purview 治理门户中帐户的集合和访问管理。

重要

本文介绍 Microsoft Purview 治理门户所需的权限,以及 Microsoft Purview 数据映射、数据目录、数据资产见解等应用程序所需的权限。有关新 Microsoft Purview 门户中的权限,请参阅《角色和权限文档》。

访问 Microsoft Purview 治理门户的权限

可以通过两种主要方法来访问 Microsoft Purview 治理门户。你需要执行以下任一操作的具体权限:

  • 若要直接通过 https://web.purview.azure.cn 访问 Microsoft Purview 治理门户,你至少需要拥有针对 Microsoft Purview 数据映射中的集合的读取者角色
  • 若要通过 Azure 门户访问 Microsoft Purview 治理门户(方法是:搜索 Microsoft Purview 帐户,将其打开并选择“打开 Microsoft Purview 治理门户”),你至少需要在“访问控制(IAM)”下有一个“读取者”角色。

注意

如果已使用服务主体创建了帐户,为了能够访问 Microsoft Purview 治理门户,你需要授予用户集合对根集合的管理员权限

集合

集合是 Microsoft Purview 数据映射用来将资产、源和其他项目分组到层次结构(以使其可供发现)以及用来管理访问控制的一种工具。 对 Microsoft Purview 治理门户资源的所有访问都是从 Microsoft Purview 数据映射内部的集合进行管理的。

角色

Microsoft Purview 治理门户使用一组预定义的角色来控制谁可以访问帐户中的哪些内容。 这些角色目前是:

  • 域管理员(仅限级别)- 可以在域中分配权限并管理其资源。
  • 集合管理员 - 需要将角色分配给 Microsoft Purview 治理门户中的其他用户或管理集合的用户角色。 集合管理员可以将用户添加到他们作为管理员的集合上的角色。 他们还可以编辑集合及其详细信息,并可以添加子集合。 根集合的集合管理员自然而然也会获得对 Microsoft Purview 治理门户的权限。 如果需要更改根集合管理员,可以按照以下部分中所述的步骤进行操作
  • 数据策展人 - 提供对数据目录的访问权限以管理资产、配置自定义分类、创建和管理术语表术语和查看数据资产见解的角色。 数据管理者可以创建、读取、修改、移动和删除资产。 他们还可以将注释应用于资产。
  • 数据阅读者 - 一种提供对数据资产、分类、分类规则、集合和术语表术语的只读访问权限的角色。
  • 数据源管理员 - 允许用户管理数据源和扫描的角色。 如果用户仅被授予给定数据源的“数据源管理员”角色,则用户可以使用现有扫描规则运行新扫描。 若要创建新的扫描规则,则还必须向用户授予“数据读取者”或“数据管护者”角色。
  • 见解读取者 - 该角色提供对集合的见解报告的只读访问权限,见解读取者在集合中还至少具有“数据读取者”角色。 有关详细信息,请参阅见解权限
  • 策略作者 - 允许用户通过 Microsoft Purview 中的数据策略应用查看、更新和删除 Microsoft Purview 策略的角色。
  • 工作流管理员 - 该角色允许用户访问 Microsoft Purview 治理门户中的工作流创作页并在其具有访问权限的集合上发布工作流。 工作流管理员仅有权访问创作,因此至少需要集合上的数据读者权限才能访问 Purview 治理门户。

备注

此时,Microsoft Purview“策略创建者”角色不足以创建策略。 它还需要 Microsoft Purview“数据源管理员”角色。

应将用户分配到哪个角色?

使用方案 合适的角色
我只需要查找资产,不需要编辑任何内容 数据读取器
我需要编辑和管理有关资产的信息 数据管护者
我希望创建自定义分类 数据管护者或数据源管理员
我需要编辑业务术语表 数据管护者
我需要查看“数据资产见解”以了解我的数据资产的治理状况 数据管护者
我的应用程序服务主体需要将数据推送到 Microsoft Purview 数据映射 数据管护者
我需要通过 Microsoft Purview 治理门户设置扫描 集合上的数据管理者或源已注册的数据管理者和数据源管理员。
我需要启用服务主体或组,以便在 Microsoft Purview 数据映射中设置和监视扫描,而无需允许它们访问目录信息 数据源管理员
我需要在 Microsoft Purview 治理门户中将用户分配到角色 集合管理员
我需要创建并发布访问策略 数据源管理员和策略创建者
我需要在治理门户中为 Microsoft Purview 帐户创建工作流 工作流管理员
我需要共享在 Microsoft Purview 中注册的源中的数据 数据读取器
我需要在 Microsoft Purview 中接收共享数据 数据读取器
我需要查看对我所属的集合的见解 数据读取者或数据管护者
我需要创建或管理自承载集成运行时 (SHIR) 数据源管理员
我需要创建托管专用终结点 数据源管理员

Chart showing Microsoft Purview governance portal roles

注意

*数据管护者 - 数据管护者只有当在根集合级别被分配为数据管护者时才能读取见解。

**数据源管理员在策略方面的权限 - 数据源管理员也可以发布数据策略。

了解如何使用 Microsoft Purview 治理门户的角色和集合

所有访问控制都通过 Microsoft Purview 数据映射中的集合进行管理。 可在 Microsoft Purview 治理门户中找到集合。 在 Azure 门户中打开你的帐户,然后在“概述”页上选择“Microsoft Purview 治理门户”磁贴。 从该位置导航到左侧菜单中的“数据映射”,然后选择“集合”选项卡。

创建 Microsoft Purview(以前称为 Azure Purview)帐户后,它最初包含一个与帐户本身同名的根集合。 帐户的创建者将自动添加为此根集合的集合管理员、数据源管理员、数据管护者和数据读取者,可以编辑和管理此集合。

源、资产和对象可以直接添加到此根集合,但其他集合也可以添加到此根集合。 添加集合可以更好地控制谁有权访问帐户中的数据。

对于所有其他用户,只有在为他们或者他们所在的组分配了上述角色之一后,他们才能访问 Microsoft Purview 治理门户中的信息。 这意味着,如果帐户是由你创建的,则在将其他人添加到集合中上述一个或多个角色之前,只有创建者才能访问或使用该帐户的 API。

只能由集合管理员或通过权限继承将用户添加到集合。 父集合的权限由其子集合自动继承。 但是,你可以选择在任一集合上限制权限继承。 如果执行此操作,该集合的子集合将不再从父级继承权限,并且将需要直接添加,不过,无法删除从父集合自动继承的集合管理员。

可以从与订阅关联的 Microsoft Entra ID 向用户、安全组和服务主体分配角色。

为用户分配权限

创建 Microsoft Purview(以前称为 Azure Purview)帐户后,首先要做的事是创建集合,并将用户分配到这些集合中的角色。

注意

如果已使用服务主体创建了帐户,为了能够访问 Microsoft Purview 治理门户并向用户分配权限,你需要授予用户集合对根集合的管理员权限

创建集合

可根据 Microsoft Purview 数据映射中的源结构自定义集合,集合还可为这些资源充当组织有序的存储箱。 考虑可能需要哪些集合时,请考虑用户访问或发现信息的方式。 源是否按部门细分? 在这些部门中,是否存在只需发现某些资产的专业组? 是否有某些源必须可供所有用户发现?

可以根据这些提示来确定需要使用哪些集合和子集合来最有效地组织数据映射。

新集合可以直接添加到数据映射(在其中可从下拉列表选择其父集合),也可以作为子集合从父集合中进行添加。 在数据映射视图中,可以看到按集合排序的所有源和资产;在列表中,列出了源的集合。

有关详细说明和信息,请参阅有关创建和管理集合的指南

集合示例

对集合、权限及其工作原理有了基本的了解后,接下来让我们看一个示例。

Chart showing a sample collections hierarchy broken up by region and department.

这是组织构建其数据的一种方式:从根集合(在此示例中为 Contoso)开始,集合组织到区域,然后组织到部门和分部。 可将数据源和资产添加到其中的任一集合,以便按这些区域和部门组织数据资源,并沿着这些线路管理访问控制。 有一个分部(“营收”)实施严格的访问准则,因此需要严格管理权限。

数据读取者角色可以访问目录中的信息,但不能对其进行管理或编辑。 因此对于上面的示例,将“数据读取者”权限添加到根集合上的某个组并允许继承,将为该组中的所有用户授予对 Microsoft Purview 数据映射中的源和资产的组读取者权限。 这样,该组中的每个人都可以发现这些资源,但不能对其进行编辑。 在“营收”组上限制继承可以控制对这些资产的访问。 需要访问营收信息的用户可以单独添加到“营收”集合。 同样,对于“数据管护者”和“数据源管理员”角色,这些组的权限最初是在他们所分配到的集合级别授予的,并传播到未限制继承的子集合。 下面在“美洲”子集合中的集合级别为多个组分配了权限。

Chart showing a sample collections hierarchy broken up by region and department, showing permissions distribution.

将用户添加到角色

角色分配是通过集合管理的。 只有拥有集合管理员角色的用户能够向该集合上的其他用户授予权限。 需要添加新权限时,集合管理员需访问 Microsoft Purview 治理门户,依次导航到“数据映射”、“集合”选项卡,然后选择需要将用户添加到的集合。 在“角色分配”选项卡中,他们可以添加和管理需要权限的用户。

有关完整说明,请参阅有关添加角色分配的操作指南

管理员更改

有时可能需要更改根集合管理员,或者需要在应用程序创建帐户后添加管理员。 默认情况下,创建帐户的用户会自动分配为根集合的集合管理员。 若要更新根集合管理员,可使用四个选项:

  • 可以在 Azure 门户中管理根集合管理员:

    1. 登录到 Azure 门户,然后搜索你的 Microsoft Purview 帐户。
    2. 在 Microsoft Purview 帐户页上的左侧菜单中选择“根集合权限”。
    3. 选择“添加根集合管理员”以添加管理员。 Screenshot of a Microsoft Purview account page in the Azure portal with the Root collection permission page selected and the Add root collection admin option highlighted.
    4. 还可以选择“查看所有根集合管理员”以转到 Microsoft Purview 治理门户中的根集合。

  • 可以通过 Microsoft Purview 治理门户分配权限,就如同为任何其他角色分配权限一样。

  • 可使用 REST API 添加集合管理员。 有关使用 REST API 添加集合管理员的说明,请参阅用于集合的 REST API 文档。有关其他信息,可查看 REST API 参考

  • 也可使用以下 Azure CLI 命令。 object-id 为可选项。 有关详细信息和示例,请参阅 CLI 命令参考页

    az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]

对资产的权限

  1. 如果你对某个集合拥有读取权限,则搜索结果中不会列出该集合下的资产。 如果你获取了某个资产的直接 URL 并将其打开,将会看到“无访问权限”页。 请联系集合管理员为你授予访问权限。 可以再次选择“刷新”按钮来检查权限。

    Screenshot of Microsoft Purview governance portal asset window where the user has no permissions, and has no access to information or options.

  2. 如果你对一个集合拥有读取权限但没有写入权限,则可以浏览资产详细信息页,但以下操作将被禁用:

    • 编辑资产。 将禁用“编辑”按钮。
    • 删除资产。 将禁用“删除”按钮。
    • 将资产移到另一个集合。 将隐藏“集合路径”部分右上角的省略号按钮。

  3. “层次结构”部分中的资产也受权限的影响。 没有读取权限的资产将会灰显。

    Screenshot of Microsoft Purview governance portal hierarchy window where the user has only read permissions, and has no access to options.

后续步骤

对集合和访问控制有了基本的了解后,接下来请遵循以下指南创建和管理这些集合,或者开始将源注册到 Microsoft Purview 数据映射中。