Microsoft Purview 治理入口網站會使用 Microsoft Purview 資料對應中的集合來組織和管理其來源、資產和其他成品的存取。 本文說明傳統 Microsoft Purview 治理入口網站中帳戶的集合和存取管理。
重要事項
本文涵蓋 傳統 Microsoft Purview 治理入口網站中的 Microsoft Purview 資料控管許可權。
- 如需控管許可權, Microsoft Purview 入口網站 請參閱 Microsoft Purview 許可權。
- 如需 新 Microsoft Purview 入口網站 中的一般許可權,請參閱 Microsoft Purview 入口網站中的許可權。
存取傳統 Microsoft Purview 治理入口網站的許可權
存取傳統 Microsoft Purview 治理入口網站有兩種主要方式,這兩種方式都需要許可權:
- 若要直接https://web.purview.azure.com存取 Microsoft Purview 治理入口網站,您至少需要 Microsoft Purview 資料對應中集合的讀取者角色。
- 若要透過Azure 入口網站存取您的 Microsoft Purview 治理入口網站,方法是搜尋您的 Microsoft Purview 帳戶、開啟它,然後選取 [開啟 Microsoft Purview 治理入口網站],您至少需要 IAM) 下的讀者角色存取控制 (。
注意事項
如果您使用服務主體建立帳戶,若要能夠存取 Microsoft Purview 治理入口網站,您必須 授與使用者集合根集合的系統管理員許可權。
集合
集合是 Microsoft Purview 資料對應用來將資產、來源和其他成品分組到階層中的工具,以管理存取控制。 對 Microsoft Purview 治理入口網站資源的所有存取都是從 Microsoft Purview 資料對應中的集合進行管理。
角色
Microsoft Purview 治理入口網站會使用一組預先定義的角色來控制誰可以存取帳戶內的內容。 這些角色目前是:
- 網域管理員 (網域層級僅 限) - 可以在網域內指派權限並管理其資源。
- 集合系統管理員 - 使用者的角色,必須將角色指派給 Microsoft Purview 治理入口網站中的其他使用者,或管理集合。 集合管理員可以將使用者新增至他們是管理員的集合上的角色。 他們還可以編輯集合、其詳細信息以及添加子集合。 根集合上的集合系統管理員也會自動擁有 Microsoft Purview 治理入口網站的許可權。 如果您的 根集合管理員 需要變更,您可以 按照以下部分中的步驟操作。
- 資料策展人 - 提供 Microsoft Purview 整合式目錄存取權的角色,以管理資產、設定自定義分類、建立和管理詞彙表術語,以及檢視資料資產深入解析。 資料策展人可以建立、讀取、修改、移動和刪除資產。 他們也可以將註釋套用至資產。
- 資料讀取者 - 提供資料資產、分類、分類規則、集合和詞彙術語的唯讀存取權的角色。
- 資料來源管理者 - 容許使用者管理資料來源及掃描的角色。 如果使用者僅被授與給定資料來源的 資料來源管理員 角色,則他們可以使用現有的掃描規則來執行新的掃描。 若要建立新的掃描規則,也必須將使用者授與為 資料讀取者 或 資料策展人 角色。
- 深入解析讀取者 - 提供集合深入解析報表的唯讀存取權的角色,其中深入解析讀取者也至少具有 資料讀取者 角色。 如需詳細資訊,請參閱 深入解析權限。
- 原則作者 - 可讓使用者透過 Microsoft Purview 內的資料原則應用程式檢視、更新和刪除 Microsoft Purview 原則的角色。
- 工作流程系統管理員 - 可讓使用者存取 Microsoft Purview 治理入口網站中工作流程撰寫頁面的角色,並在其具有存取許可權的集合上發佈工作流程。 工作流程系統管理員只能存取撰寫,因此至少需要集合的資料讀取者許可權,才能存取 Purview 治理入口網站。
注意事項
目前,Microsoft Purview 原則作者角色不足以建立原則。 也需要 Microsoft Purview 數據源系統管理員角色。
誰應該被分配到什麼角色?
| 使用者案例 | 適當的角色 () |
|---|---|
| 我只需要找到資產,我不想編輯任何東西 | 資料讀取器 |
| 我需要編輯和管理資產的相關資訊 | 資料策展人 |
| 我想建立自訂分類 | 資料策展人 或 資料來源管理員 |
| 我需要編輯商業詞彙表 | 資料策展人 |
| 我需要檢視資料資產深入解析,以瞭解資料資產的控管狀態 | 資料策展人 |
| 我的應用程式服務主體需要將資料推送至 Microsoft Purview 資料對應 | 資料策展人 |
| 我需要透過 Microsoft Purview 治理入口網站設定掃描 | 資料策展人 在資料集上, 或 註冊來源的資料策展人 及 資料來源管理員。 |
| 我必須讓服務主體或群組在 Microsoft Purview 資料對應中設定和監視掃描,而不允許他們存取目錄的資訊 | 資料來源管理員 |
| 我需要將使用者放入 Microsoft Purview 治理入口網站中的角色 | 集合管理員 |
| 我需要建立和發佈存取原則 | 資料來源系統管理員和原則作者 |
| 我需要在治理入口網站中為我的 Microsoft Purview 帳戶建立工作流程 | 工作流程管理員 |
| 我需要共用來自 Microsoft Purview 中註冊的來源的數據 | 資料讀取器 |
| 我需要在 Microsoft Purview 中接收共用資料 | 資料讀取器 |
| 我需要檢視我所屬收藏集的洞察報告 | 深入解析讀取者 或 資料策展人 |
| 我需要建立或管理 自我裝載整合執行階段 (SHIR) | 資料來源管理員 |
| 我需要建立受控私人端點 | 資料來源管理員 |
注意事項
*資料策展人 - 只有在根集合層級指派資料策展人時,資料策展人才能讀取見解。
**原則的資料來源管理員權限 - 資料來源管理員也可以發佈資料原則。
瞭解如何使用 Microsoft Purview 治理入口網站的角色和集合
所有存取控制都是透過 Microsoft Purview 資料對應中的集合來管理。 您可以在 Microsoft Purview 治理入口網站中找到集合。 在 Azure 入口網站 中開啟您的帳戶,然後選取 [概觀] 頁面上的 Microsoft Purview 治理入口網站磚。 從那裡,導航到左側菜單上的數據映射,然後選擇“收藏”選項卡。
建立先前Azure Purview) 帳戶的 Microsoft Purview (時,它會從與帳戶本身名稱相同的根集合開始。 帳戶的建立者會自動新增為此根集合上的集合管理員、資料來源管理員、資料策展人和資料讀取者,並可以編輯和管理此集合。
來源、資產和物件可以直接新增至此根集合,但其他集合也可以。 新增集合後,您可以進一步控制誰可以存取您帳戶中的資料。
所有其他使用者只有在獲得上述其中一個角色時,才能存取 Microsoft Purview 治理入口網站內的資訊。 這表示當您建立帳戶時,除了建立者之外,沒有人可以存取或使用其 API,直到它們 新增至集合中的一或多個上述角色。
使用者只能由集合管理員或透過許可權繼承新增至集合。 父集合的權限會自動由其子集合繼承。 不過,您可以選擇限制任何集合的 權限繼承 。 如果您這樣做,其子集合將不再繼承父集合的許可權,而且必須直接新增,不過無法移除自動繼承自父集合的集合管理員。
您可以從與訂用帳戶相關聯的 Microsoft Entra ID 將角色指派給使用者、安全性群組和服務主體。
將權限指派給您的使用者
建立先前Azure Purview) 帳戶的Microsoft Purview (之後,首先要做的是建立集合,並將使用者指派給這些集合內的角色。
注意事項
如果您使用服務主體建立帳戶,若要能夠存取 Microsoft Purview 治理入口網站,並將許可權指派給使用者,您必須 授與使用者集合根集合的系統管理員許可權。
建立集合
您可以針對 Microsoft Purview 資料對應中來源的結構自訂集合,而且可以像這些資源的組織儲存箱一樣。 當您考慮可能需要的集合時,請考慮使用者將如何存取或探索資訊。 您的來源是否按部門劃分? 這些部門內是否有只需要發現某些資產的專門小組? 是否有一些來源應該被所有用戶發現?
這會通知您可能需要的集合和子集合,以最有效地組織資料對應。
新集合可以直接新增至資料對應,您可以在其中從下拉式清單中選擇其父集合,也可以從父集合新增為子集合。 在資料對應檢視中,您可以看到依集合排序的所有來源和資產,並在清單中列出來源的集合。
如需更多說明和資訊,您可以按照我們的 建立和管理集合的指南進行操作。
集合範例
現在我們已經對集合、權限及其運作方式有了基本的了解,讓我們看一個範例。
這是組織可能建構其資料的其中一種方式:從其根集合 (Contoso 開始,在此範例中) 集合會組織成區域,然後組織成部門和子部門。 資料來源和資產可以新增至任何這些集合,以依這些區域和部門組織資料資源,並沿著這些行管理存取控制。 有一個子部門,即稅務局,有嚴格的訪問準則,因此需要嚴格管理權限。
資料讀取者角色可以存取目錄內的資訊,但無法管理或編輯它。 因此,針對上述範例,將資料讀取者許可權新增至根集合上的群組,並允許繼承,會為該群組中的所有使用者提供 Microsoft Purview 資料對應中來源和資產的許可權。 這使得該群組中的每個人都可以發現這些資源,但無法編輯這些資源。 限制收入群組的繼承將控制對這些資產的存取。 需要存取收入資訊的使用者可以單獨新增至收入收款。 同樣地,對於資料策展人和資料來源管理員角色,這些群組的許可權會從指派它們的集合開始,並向下滲透到未限制繼承的子集合。 下面,我們在美洲子集合中為集合層級的數個群組指派了權限。
將使用者新增至角色
角色指派是透過集合來管理。 只有具有 集合管理員角色 的使用者才能將許可權授與該集合上的其他使用者。 當需要新增許可權時,集合系統管理員會存取 Microsoft Purview 治理入口網站、流覽至 [資料對應],然後瀏覽至 [集合] 索引標籤,然後選取需要新增使用者的集合。 從角色分配選項卡中,他們將能夠添加和管理需要權限的用戶。
如需完整指示,請參閱新增 角色指派的操作指南。
管理員變更
有時您的 根集合管理員 可能需要變更,或在應用程式建立帳戶之後需要新增管理員。 根據預設,建立帳戶的使用者會自動將集合管理員指派給根集合。 若要更新根集合管理員,有四個選項:
您可以在 Azure 入口網站 中管理根集合系統管理員:
- 登入 Azure 入口網站 並搜尋您的 Microsoft Purview 帳戶。
- 從 Microsoft Purview 帳戶頁面的左側功能表中選取 [根集合許可權 ]。
- 選取 [ 新增根集合管理員 ] 以新增管理員。
![Azure 入口網站中 Microsoft Purview 帳戶頁面的螢幕擷取畫面,其中已選取 [根集合許可權] 頁面,並醒目提示 [新增根集合管理員] 選項。](media/catalog-permissions/root-collection-admin.png)
- 您也可以選取 [ 檢視所有根集合系統管理員 ] ,以移至 Microsoft Purview 治理入口網站中的根集合。
您可以 透過 Microsoft Purview 治理入口網站指派許可權 ,就像您對任何其他角色一樣。
您可以使用 REST API 來新增集合管理員。 如需使用 REST API 新增集合管理員的指示,請參閱我們的 集合 REST API 檔。 如需其他資訊,請參閱我們的 REST API 參考。
您也可以使用下列 Azure CLI 命令。 object-id 是選擇性的。 如需詳細資訊和範例,請參閱 CLI 命令參考頁面。
az purview account add-root-collection-admin --account-name [Microsoft Purview Account Name] --resource-group [Resource Group Name] --object-id [User Object Id]
資產的許可權
如果您沒有集合的讀取權限,則該集合下的資產將不會列在搜尋結果中。 如果您取得一個資產的直接 URL 並開啟它,您會看到無存取權頁面。 請聯絡您的集合管理員,以授與您存取權。 您可以選取 [重新整理] 按鈕,再次檢查權限。
如果您具有一個集合的讀取權限,但沒有寫入權限,您可以瀏覽資產詳細資料頁面,但會停用下列作業:
- 編輯資產。 編輯 按鈕 將被禁用。
- 刪除資產。 刪除 按鈕 將被禁用。
- 將資產移至另一個集合。 集合路徑部分右上角的省略號按鈕將被隱藏。
階層區段中的資產也會受到許可權的影響。 沒有讀取權限的資產將顯示為灰色。
後續步驟
現在您已基本瞭解集合和存取控制,請遵循下列指南來建立和管理這些集合,或開始將來源註冊至 Microsoft Purview 資料對應。