免费和企业帐户类型的治理角色和权限

新的 Microsoft Purview 门户中的治理使用租户/组织级权限、现有数据访问权限和集合权限来为用户提供访问元数据的权限。 可用的权限类型由 Microsoft Purview 帐户类型决定。 在 Microsoft Purview 门户中，可以在“设置”齿轮图标下的“查看所有设置”中检查帐户类型。

帐户类型	租户/组织权限	数据访问权限	域和集合权限
免费	x	x
企业	x	X	x

有关每种权限类型的详细信息，请查看以下指南：

• 租户/组织权限
• 数据访问权限
• 域和集合级别权限

有关基于帐户类型的权限的详细信息，请查看以下指南：

• 免费
• 企业

租户级角色组

在 Microsoft Purview 门户的免费版本和企业版本中，可以使用角色组在租户/组织级别管理某些权限。

当前可用的治理租户级组包括：

角色	说明	帐户类型可用性
Purview 管理员	可以在域以下分配所有角色，包括域管理员。
数据治理管理员	数据治理管理员有权向应用程序分配权限。

数据访问权限

读取者权限

对可用 Azure 资源至少具有读者角色的用户还可以在免费和企业帐户类型中访问这些资源元数据。

用户可以在数据目录中搜索和浏览这些源中的资产，并查看其元数据。

下面是用户被视为“读取者”所需的资源权限：

数据源	读取者权限
Azure SQL 数据库	读取者或这些操作。
Azure Blob 存储	读取者或这些操作。
Azure Data Lake Storage Gen2	读取者或这些操作。
Azure 订阅	订阅或这些操作的读取权限。

所有者权限

拥有所有者角色或对可用 Azure 资源具有写入权限的用户可在免费版本和企业版本帐户类型中访问和编辑这些资源的元数据。

所有者可以在数据目录中搜索和浏览这些源中的资产，并查看其元数据。 他们还可以更新和管理这些资源的元数据。 有关此元数据策展的详细信息，请参阅元数据策展一文。

下面是用户被视为“所有者”所需的资源权限：

数据源	所有者权限
Azure SQL 数据库	“Microsoft.Sql/servers/write”、“Microsoft.Sql/servers/databases/write”、“Microsoft.Authorization/roleAssignments/write”
Azure Blob 存储	“Microsoft.Storage/storageAccounts/write”、“Microsoft.Authorization/roleAssignments/write”
Azure Data Lake Storage Gen2	“Microsoft.Storage/storageAccounts/write”, “Microsoft.Authorization/roleAssignments/write”

域和集合权限

域和集合是 Microsoft Purview 数据映射用来将资产、源和其他项目分组到层次结构中的工具，以实现可发现性，并管理 Microsoft Purview 数据映射中的访问控制。

域和集合角色

Microsoft Purview 数据映射使用一组预定义的角色来控制具体的人员可以访问帐户中的哪些具体内容。 这些角色目前是：

• 域管理员（仅限域级别）- 可以在域中分配权限并管理其资源。
• 集合管理员 - 需要将角色分配给 Microsoft Purview 治理门户中的其他用户或管理集合的用户角色。 集合管理员可以将用户添加到他们作为管理员的集合上的角色。 他们还可以编辑集合及其详细信息，并可以添加子集合。 根集合的集合管理员自然而然也会获得对 Microsoft Purview 治理门户的权限。 如果需要更改根集合管理员，可以按照以下部分中所述的步骤进行操作。
• 数据策展人 - 提供对数据目录的访问权限以管理资产、配置自定义分类、创建和管理术语表术语和查看数据资产见解的角色。 数据管理者可以创建、读取、修改、移动和删除资产。 他们还可以将注释应用于资产。
• 数据阅读者 - 一种提供对数据资产、分类、分类规则、集合和术语表术语的只读访问权限的角色。
• 数据源管理员 - 允许用户管理数据源和扫描的角色。 如果用户仅被授予给定数据源的“数据源管理员”角色，则用户可以使用现有扫描规则运行新扫描。 若要创建新的扫描规则，则还必须向用户授予“数据读取者”或“数据管护者”角色。
• 见解读取者 - 该角色提供对集合的见解报告的只读访问权限，见解读取者在集合中还至少具有“数据读取者”角色。 有关详细信息，请参阅见解权限。
• 策略作者 - 允许用户通过 Microsoft Purview 中的数据策略应用查看、更新和删除 Microsoft Purview 策略的角色。
• 工作流管理员 - 该角色允许用户访问 Microsoft Purview 治理门户中的工作流创作页并在其具有访问权限的集合上发布工作流。 工作流管理员仅有权访问创作，因此至少需要集合上的数据读者权限才能访问 Purview 治理门户。

添加角色分配

1. 选择“角色分配”选项卡以查看集合中的所有角色。 只有集合管理员能够管理角色分配。

   

2. 选择“编辑角色分配”或人像图标以编辑每个角色成员。

   

3. 在文本框中键入内容，以搜索要添加到角色成员的用户。 选择“X”删除你不想要添加的成员。

   

4. 选择“确定”保存更改，然后你将看到新用户已反映在“角色分配”列表中。

删除角色分配

1. 选择用户名旁边的“X”按钮删除角色分配。

   

2. 如果确定要删除该用户，请选择“确认”。

   

限制继承

集合权限是从父集合自动继承的。 随时可以使用“限制继承的权限”选项来限制从父集合继承。

限制继承后，需要直接将用户添加到受限制的集合才能为其授予访问权限。

1. 导航到要在其中限制继承的集合，然后选择“角色分配”选项卡。

2. 选择“限制继承的权限”并在弹出对话框中选择“限制访问权限”，以从此集合和所有子集合中删除继承的权限 。 集合管理员权限不受影响。

   

3. 限制后，继承的成员将从集合管理员所需的角色中删除。

4. 再次选择“限制继承的权限”切换按钮以恢复设置。

   

免费版本中的权限

所有用户都能够查看其至少具有读取权限的可用源的数据资产。 所有者用户能够管理其至少具有“所有者/写入”权限的可用资产的元数据。 有关详细信息，请参阅数据访问权限部分。

还可以使用租户级别角色组来分配额外权限。

企业版 Microsoft Purview 中的权限

所有用户都能够查看其至少具有读取权限的可用源的数据资产。 所有者用户能够管理其至少具有“所有者/写入”权限的资产的元数据。 有关详细信息，请参阅数据访问权限部分。

还可以使用租户级别角色组来分配额外权限。

还可在 Microsoft Purview 数据映射中分配权限，以便用户可以浏览其还没有数据访问权限的数据映射或数据目录搜索中的资产。

可用源的数据访问权限

只有具有数据访问权限才能在 Microsoft Purview 中查看以下类型的源：

数据源	读取者权限
Azure SQL 数据库	读取者或这些操作。
Azure Blob 存储	读取者或这些操作。
Azure Data Lake Storage Gen2	读取者或这些操作。
Azure 订阅	订阅的读取权限，或者这些操作。

读取者角色包含足够的权限，但是如果要生成自定义角色，则用户需要包含以下操作：

数据源	读取者权限
Azure SQL 数据库	“Microsoft.Sql/servers/read”、“Microsoft.Sql/servers/databases/read”、“Microsoft.Sql/servers/databases/schemas/read”、“Microsoft.Sql/servers/databases/schemas/tables/read”、“Microsoft.Sql/servers/databases/schemas/tables/columns/read”
Azure Blob 存储	“Microsoft.Storage/storageAccounts/read”、“Microsoft.Storage/storageAccounts/blobServices/read”、“Microsoft.Storage/storageAccounts/blobServices/containers/read”
Azure Data Lake Storage Gen2	“Microsoft.Storage/storageAccounts/read”、“Microsoft.Storage/storageAccounts/blobServices/read”、“Microsoft.Storage/storageAccounts/blobServices/containers/read”
Azure 订阅	“Microsoft.Resources/subscriptions/resourceGroups/read”

后续步骤

• 新的 Microsoft Purview 门户
• 元数据策展