企业帐户类型中经典数据目录的治理角色和权限
重要
本权限文章适用于使用经典 Microsoft Purview 数据目录的 Microsoft Purview 数据治理解决方案企业版中的治理权限。
- 有关使用新 Microsoft Purview 数据目录的权限,请参阅数据治理权限文章。
- 有关经典数据管理权限,请参阅 Microsoft Purview 治理门户中的权限一文。
Microsoft Purview 数据治理在 Microsoft Purview 门户中有两种解决方案:Microsoft Purview 数据映射和 Microsoft Purview 数据目录。 这些解决方案使用租户/组织级别权限、现有数据访问权限和域/集合权限来为用户提供对治理工具和数据资产的访问。 可用的权限类型由 Microsoft Purview 帐户类型决定。 可以在 Microsoft Purview 门户中的“设置”卡和“帐户”下查看帐户类型。
帐户类型 | 租户/组织权限 | 数据访问权限 | 域和集合权限 |
---|---|---|---|
企业 | x | x | x |
有关每种权限类型的详细信息,请查看以下指南:
- 租户/组织权限 - 在组织级别分配,提供一般权限和管理权限。
- 域和集合级别权限 - Microsoft Purview 数据映射中的权限,授予对 Microsoft Purview 中数据资产的访问权限。
- 数据访问权限 - 用户在其 Azure 数据源上已拥有的权限。
有关基于帐户类型的权限的详细信息,请查看以下指南:
重要
对于在 Microsoft Entra ID 中新建的用户,即使应用了正确的权限,也可能需要一些时间才能传播权限。
租户级角色组
在组织级别分配的租户级别角色组为 Microsoft Purview 数据映射和数据目录提供一般权限和管理权限。 如果你正在管理 Microsoft Purview 帐户或组织的数据治理策略,可能需要其中的一个或多个角色。
当前可用的治理租户级角色组包括:
角色组 | 说明 | 帐户类型可用性 |
---|---|---|
Purview 管理员 | 创建、编辑和删除域并执行角色分配。 | 企业帐户 |
数据源管理员 | 在 Microsoft Purview 数据映射中管理数据源和数据扫描。 | 企业帐户 |
数据目录策展人 | 对目录数据对象执行创建、读取、修改和删除操作,并可在经典数据目录中的对象之间建立关系。 | 企业帐户 |
数据资产见解读者 | 提供对经典数据目录中跨平台和提供商的所有见解报告的只读访问权限。 | 企业帐户 |
数据资产见解管理员 | 提供对经典数据目录中跨平台和提供商的所有见解报告的管理员访问权限。 | 企业帐户 |
有关所有可用角色和角色组的完整列表(不仅适用于数据治理),请参阅 Microsoft Defender XDR 和 Microsoft Purview 门户中的角色和角色组。
搜索数据目录的权限
无需在数据目录中拥有特定权限即可搜索数据目录。 但是,搜索数据目录时将仅返回你有权在数据映射中查看的相关数据资产。
如果满足以下条件,用户可以在数据目录中查找数据资产:
对这些资产的权限的管理分别在资源级别和 Microsoft Purview 数据映射级别进行。 有关提供此访问权限的详细信息,请遵循提供的链接。
域和集合权限
域和集合是 Microsoft Purview 数据映射用来将资产、源和其他项目分组到层次结构中的工具,以实现可发现性,并管理 Microsoft Purview 数据映射中的访问控制。
域和集合角色
Microsoft Purview 数据映射使用一组预定义的角色来控制具体的人员可以访问帐户中的哪些具体内容。 这些角色目前是:
- 域管理员(仅限域级别)- 可以在域中分配权限并管理其资源。
- 集合管理员 - 需要将角色分配给 Microsoft Purview 治理门户中的其他用户或管理集合的用户角色。 集合管理员可以将用户添加到他们作为管理员的集合上的角色。 他们还可以编辑集合及其详细信息,并可以添加子集合。 根集合的集合管理员自然而然也会获得对 Microsoft Purview 治理门户的权限。 如果需要更改根集合管理员,可以按照以下部分中所述的步骤进行操作。
- 数据策展人 - 提供对数据目录的访问权限以管理资产、配置自定义分类、创建和管理术语表术语和查看数据资产见解的角色。 数据管理者可以创建、读取、修改、移动和删除资产。 他们还可以将注释应用于资产。
- 数据阅读者 - 一种提供对数据资产、分类、分类规则、集合和术语表术语的只读访问权限的角色。
- 数据源管理员 - 允许用户管理数据源和扫描的角色。 如果用户仅被授予给定数据源的“数据源管理员”角色,则用户可以使用现有扫描规则运行新扫描。 若要创建新的扫描规则,则还必须向用户授予“数据读取者”或“数据管护者”角色。
- 见解读取者 - 该角色提供对集合的见解报告的只读访问权限,见解读取者在集合中还至少具有“数据读取者”角色。 有关详细信息,请参阅见解权限。
- 策略作者 - 允许用户通过 Microsoft Purview 中的数据策略应用查看、更新和删除 Microsoft Purview 策略的角色。
- 工作流管理员 - 该角色允许用户访问 Microsoft Purview 治理门户中的工作流创作页并在其具有访问权限的集合上发布工作流。 工作流管理员仅有权访问创作,因此至少需要集合上的数据读者权限才能访问 Purview 治理门户。
备注
此时,Microsoft Purview“策略创建者”角色不足以创建策略。 它还需要 Microsoft Purview“数据源管理员”角色。
重要
创建帐户的用户会自动分配为默认域上的域管理员和根集合上的集合管理员。
添加角色分配
打开 Microsoft Purview 数据映射。
选择要在其中添加角色分配的域或集合。
选择“角色分配”选项卡以查看集合或域中的所有角色。 只有集合管理员或域管理员能够管理角色分配。
选择“编辑角色分配”或人像图标以编辑每个角色成员。
在文本框中键入内容,以搜索要添加到角色成员的用户。 选择“X”删除你不想要添加的成员。
选择“确定”保存更改,然后你将看到新用户已反映在“角色分配”列表中。
删除角色分配
选择用户名旁边的“X”按钮删除角色分配。
如果确定要删除该用户,请选择“确认”。
限制继承
集合权限是从父集合自动继承的。 随时可以使用“限制继承的权限”选项来限制从父集合继承。
注意
目前无法限制来自默认域的权限。 在默认域分配的任何权限将由域的直接子集合继承。
限制继承后,需要直接将用户添加到受限制的集合才能为其授予访问权限。
导航到要在其中限制继承的集合,然后选择“角色分配”选项卡。
选择“限制继承的权限”并在弹出对话框中选择“限制访问权限”,以从此集合和所有子集合中删除继承的权限 。 集合管理员权限不受影响。
限制后,继承的成员将从集合管理员所需的角色中删除。
再次选择“限制继承的权限”切换按钮以恢复设置。
数据访问权限
数据访问权限是用户在其 Azure 数据源上已拥有的权限。 这些现有权限还可根据权限级别,授予访问和管理这些源的元数据的权限:
目前,这些功能仅适用于某些 Azure 源:
数据源 | 读取者权限 |
---|---|
Azure SQL 数据库 | 读取者或这些操作。 |
Azure Blob 存储 | 读取者或这些操作。 |
Azure Data Lake Storage Gen2 | 读取者或这些操作。 |
Azure 订阅 | 订阅的读取权限,或者这些操作。 |
读取者角色包含足够的权限,但是如果要生成自定义角色,则用户需要包含以下操作:
数据源 | 读取者权限 |
---|---|
Azure SQL 数据库 | “Microsoft.Sql/servers/read”、“Microsoft.Sql/servers/databases/read”、“Microsoft.Sql/servers/databases/schemas/read”、“Microsoft.Sql/servers/databases/schemas/tables/read”、“Microsoft.Sql/servers/databases/schemas/tables/columns/read” |
Azure Blob 存储 | “Microsoft.Storage/storageAccounts/read”、“Microsoft.Storage/storageAccounts/blobServices/read”、“Microsoft.Storage/storageAccounts/blobServices/containers/read” |
Azure Data Lake Storage Gen2 | “Microsoft.Storage/storageAccounts/read”、“Microsoft.Storage/storageAccounts/blobServices/read”、“Microsoft.Storage/storageAccounts/blobServices/containers/read” |
Azure 订阅 | “Microsoft.Resources/subscriptions/resourceGroups/read” |
读取者权限
对可用 Azure 资源至少拥有读取者角色的用户还可以在企业帐户类型中访问这些资源元数据。
用户可以在数据目录中搜索和浏览这些源中的资产,并查看其元数据。
下面是用户被视为“读取者”所需的资源权限:
数据源 | 读取者权限 |
---|---|
Azure SQL 数据库 | 读取者或这些操作。 |
Azure Blob 存储 | 读取者或这些操作。 |
Azure Data Lake Storage Gen2 | 读取者或这些操作。 |
Azure 订阅 | 订阅或这些操作的读取权限。 |
所有者权限
拥有所有者角色或对可用 Azure 资源拥有写入权限的用户可在企业帐户类型中访问和编辑这些资源的元数据。
所有者可以在数据目录中搜索和浏览这些源中的资产,并查看其元数据。 他们还可以更新和管理这些资源的元数据。 有关此元数据策展的详细信息,请参阅元数据策展一文。
下面是用户被视为“所有者”所需的资源权限:
数据源 | 所有者权限 |
---|---|
Azure SQL 数据库 | “Microsoft.Sql/servers/write”、“Microsoft.Sql/servers/databases/write”、“Microsoft.Authorization/roleAssignments/write” |
Azure Blob 存储 | “Microsoft.Storage/storageAccounts/write”、“Microsoft.Authorization/roleAssignments/write” |
Azure Data Lake Storage Gen2 | “Microsoft.Storage/storageAccounts/write”, “Microsoft.Authorization/roleAssignments/write” |
企业版 Microsoft Purview 中的权限
所有用户都能够查看其至少具有读取权限的可用源的数据资产。 所有者用户能够管理其至少具有“所有者/写入”权限的资产的元数据。 有关详细信息,请参阅数据访问权限部分。
还可以使用租户级别角色组来分配额外权限。
还可在 Microsoft Purview 数据映射中分配权限,以便用户可以浏览其还没有数据访问权限的数据映射或数据目录搜索中的资产。