重要事項
本文涵蓋使用 Microsoft Purview 整合式目錄,在新 Microsoft Purview 入口網站中Microsoft Purview 資料控管許可權。
- 如果您使用傳統資料目錄,請參閱傳統資料目錄的治理權限。
- 如需 傳統 Microsoft Purview 入口網站中的數據控管許可權,請參閱 傳統 Microsoft Purview 治理入口網站中的許可權。
Microsoft Purview 資料控管在 Microsoft Purview 入口網站中有兩個解決方案:資料對應和整合式目錄。 這些解決方案會使用租用戶/組織層級權限、現有的資料存取權限和網域/集合權限,為使用者提供治理工具和資料資產的存取權。
可供使用的許可權類型取決於您的 Microsoft Purview 帳戶類型。
檢查您的帳戶類型
檢查您的組織是否有免費或企業類型的帳戶。 若要檢查您的帳戶類型,請移至 Microsoft Purview 入口網站,選取 [ 設定 ] 卡片。 在 「帳戶」下,檢視您的 帳戶類型。
重要事項
對於在 Microsoft Entra ID 中新建立的使用者,即使套用正確的許可權,許可權也可能需要一些時間才能傳播。
企業版中的權限
所有使用者都可以檢視其至少具有 讀取 權限的可用來源的資料資產。 擁有者的使用者可以管理資產的中繼資料,其中至少具有 擁有者/寫入 許可權。 深入瞭解 Microsoft Azure 角色。
權限類型
- 租用戶/組織權限:這些權限在組織層級指派,提供一般和管理權限。
- 整合式目錄權限:這些權限可讓使用者瀏覽整合式目錄並建置其資料控管解決方案。
- 資料對應網域和集合層級許可權:資料對應中的許可權,可授與 Microsoft Purview 中資料資產的存取權。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
租用戶層級角色群組
在組織層級指派的租用戶層級角色群組會為 Microsoft Purview 資料對應和整合式目錄提供一般和管理許可權。 如果您要管理 Microsoft Purview 帳戶或組織的數據控管策略,您可能需要屬於下列一或多個角色群組:
- Purview 系統管理員
- 資料來源管理員
- 資料治理
如需詳細資訊,請參閱 這些角色的說明。
如需所有可用角色和角色群組的完整清單,而不只是數據控管,請參閱 Microsoft Defender 全面偵測回應 和 Microsoft Purview 入口網站中的角色和角色群組。
如何指派和管理角色群組
使用者必須持有 角色管理 角色 ,才能將使用者或群組新增至 Microsoft Purview 角色群組。 如需在 Microsoft Purview 中指派和管理角色的指示,請參閱 Microsoft Purview 中的許可權。
整合式目錄權限
三個層級的權限可授與使用者存取整合式目錄中資訊的權限:
資料控管租用戶層級:具有資料控管管理員角色的租用戶/組織層級角色群組。 該角色委派治理網域建立者的第一層存取權。 (此角色不會顯示在整合式目錄中,但會影響您在 整合式目錄.) 中指派權限的能力
目錄層級許可權:授與治理網域擁有權和健康管理存取權的許可權。
治理網域層級權限:存取和管理特定治理網域內資源的權限。
搜尋完整整合式目錄的權限
您不需要整合式目錄中的特定權限即可搜尋整合式目錄。 不過,搜尋整合式目錄只會傳回您有權在資料對應中檢視的相關資料資產。 使用者可以在下列情況下在整合式目錄中找到資料資產:
- 他們會在具有目錄讀取器權限的控管網域中 搜尋資料產品 。
- 他們對儲存資產的 Data Map 中網域或集合具有資料讀取器許可權 。
- 他們至少具有 可用 Azure 或 Microsoft Fabric 資源的讀取許可權。
重要事項
已在 Azure 中具有讀取權限的使用者可能可以存取整合式目錄中您不打算讓他們擁有的資產。 如果您不希望他們擁有此類訪問權限,則需要 刪除他們的權限。
您可以在資源層級和資料對應層級管理這些資產的許可權。
如果您的目錄經過精心策劃,日常業務使用者就不需要搜尋完整的目錄。 他們應該能夠在數據產品中找到所需的數據。 如需設定整合式目錄的詳細資訊,請參閱開始使用資料控管,並規劃整合式目錄。
目錄層級許可權
目錄層級許可權可在整合式目錄內提供高階存取權,並包含下列角色:
- 治理網域建立者
- 全域目錄讀取器
- 資料健康情況擁有者
- 資料健康情況讀取器
如需詳細資訊,請參閱 這些角色的說明。
如何指派目錄層級角色
- 使用獲指派資料控管角色之系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 移至 [設定],然後選取 [整合式目錄]。
- 選取 [角色和權限]。
- 選取 控管網域建立者 或其他角色,然後選取 新增使用者 圖示。
- 搜尋您要新增的使用者,然後選取使用者。
- 選取 [儲存]。
控管網域層級許可權
控管網域權限提供特定 控管網域內的存取權。 將這些權限授與資料專家和業務使用者,以便他們可以讀取和管理治理網域內的物件。 只有具有 「控管網域擁有者」 角色的使用者才能授與控管網域許可權。
請參閱 這些角色和說明的清單。
提示
組織中執行資料控管或整合式目錄的使用者應該持有控管網域擁有者角色。 此角色對於建置治理網域、資料產品和詞彙表術語等實體至關重要。 指派至少兩個人作為治理網域擁有者。
如何指派控管網域角色
使用者必須是治理網域中的「治理網域擁有者」,才能指派治理網域角色。 資料控管管理者或控管網域建立者會指派此角色。
在治理網域的「 角色 」標籤下指派治理網域角色。 如需指派角色的指示,請參閱 如何管理控管網域。
整合式目錄角色
重要事項
請務必瞭解兩個目錄讀取者角色之間的差異:
通用類別目錄讀取器 可讓使用者從已發佈的治理網域存取已發佈的商務概念。
本端型錄讀取器 可大幅減少對控管網域的存取。 當您將使用者指派給治理網域內的此角色時:
- 只有這些使用者才有讀者存取該治理網域內已發佈概念的權限。
- 具有此角色的使用者也可以持有其他角色,例如資料產品擁有者或資料管理員,讓他們檢視來自其他治理網域的已發佈業務概念。
例如,當您需要限制對治理網域的存取權以符合法規或法律需求時,「 本端型錄讀取者 」角色會很有幫助。 然而,過度使用這個角色會阻礙 資料治理的聯合方法。
注意事項
資料可觀察性使用與整合式目錄其餘部分相同的角色。 目錄讀取者無法存取資料資產運作狀態中更廣泛的資料可觀察性總管檢視,而且只能檢視已發佈的概念。 資料管理員、資料產品擁有者、治理網域擁有者和治理網域建立者可以存取他們可以檢視的概念中的資料可觀察性視圖,以及資料性能管理視圖,以允許在整個資料資產中進行更廣泛的探索和檢視。
| 權限層級 | 角色 | 描述 |
|---|---|---|
| 租用戶 | 資料控管角色群組 | 授與 Microsoft Purview 內資料控管角色的存取權。 |
| 資料來源系統管理員角色群組 | 在 Microsoft Purview 資料對應中管理數據源和數據掃描。 | |
| Purview 系統管理員角色群組 | 建立、編輯和刪除網域,並執行角色指派。 | |
| 類別目錄 | 資料控管管理員 | 委派「控管網域建立者」的第一層存取權和其他型錄層次許可權。 |
| 資料健康情況擁有者 | 可以在整合式目錄的健康情況管理區域中建立、更新及讀取成品。 | |
| 資料健康情況讀取器 | 可以讀取整合式目錄的健康情況管理區域中的構件。 | |
| 全域目錄讀取器 | 可以跨未指定「本機型錄讀取器」的治理網域讀取已發佈的構件。 | |
| 治理網域建立者 | 可以建立網域並將控管網域擁有者委派 (或依預設) 保持控管網域擁有者。 | |
| 治理領域 | 資料產品擁有者* | 只能在其治理網域內建立、更新和讀取資料產品。 可以閱讀治理領域中的概念並與之建立關係。 |
| 資料設定檔讀取器 | 可以瀏覽資料設定檔深入解析,並可以向下切入分析結果,以瀏覽資料行層級的統計資料。 這是一個子角色,需要使用者也持有「 治理網域讀取器」,以及 「 通用型錄讀取者 」或「 本端型錄讀取者 」角色。 | |
| 資料設定檔管理員 | 可以執行資料分析工作並存取分析深入解析詳細資料。 此角色還可以瀏覽所有資料品質深入解析,並可以監視分析作業。 此角色無法建立規則,也無法執行資料品質掃描。 這是一個子角色,需要使用者也持有 「治理網域讀取者」和「資料產品擁有者 」角色。 | |
| 資料品質中繼資料讀取器 | 可以瀏覽資料品質深入解析 (,但分析結果資料行層次深入解析) 、資料品質規則定義和規則層次分數除外。 此角色無法存取錯誤記錄,也無法執行分析和資料品質掃描作業。 這是一個子角色,需要使用者也持有「 治理網域讀取器」,以及 「 通用型錄讀取者 」或「 本端型錄讀取者 」角色。 | |
| 資料品質讀取器 | 可以瀏覽所有資料品質深入解析和資料品質規則定義。 此角色無法執行資料品質掃描和資料分析作業,也無法存取資料分析資料行層級深入解析作為資料行層級深入解析。 這是一個子角色,需要使用者也持有「 治理網域讀取器」,以及 「 通用型錄讀取者 」或「 本端型錄讀取者 」角色。 | |
| 資料品質管理員 | 可以使用資料品質功能,例如資料品質規則管理、資料品質掃描、瀏覽資料品質深入解析、資料品質排程、作業監控,以及設定閾值和警示。 這是一個子角色,需要使用者也持有 「治理網域讀取者」和「資料產品擁有者 」角色。 | |
| 資料管理員* | 可以在其治理網域內建立、更新及讀取成品和原則。 也可以從其他治理網域讀取成品。 | |
| 治理網域擁有者 | 可以委派所有其他治理網域權限、設定網域層級資料品質掃描警示、設定資料品質掃描工作的網域層級排程,以及設定網域層級存取原則。 | |
| 治理網域讀取器 | 可以讀取已新增網域的治理網域中繼資料。 | |
| 本機目錄閱讀器 | 只能在授與存取權的治理網域中讀取已發佈的概念。 由於此角色會大幅限制誰可以存取和管理資料的範圍,因此建議您限制使用此角色,以便您可以更妥善地利用同盟方法來控管資料。 |
*若要能夠將資料資產新增至資料產品,資料產品擁有者和資料管理員也需要資料對應許可權,才能在資料對應中讀取這些資料資產。
資料對應權限
資料對應會使用一組預先定義的角色來控制誰可以存取帳戶內的內容。 網域和集合 是 Data Map 用來將資產、來源和其他構件分組到階層中以供探索,以及管理 Data Map 內的存取控制的工具。
尋找 每個角色的描述,並瞭解如何透過集合新增角色和限制存取。
如需集合中可用角色的詳細資訊,請參閱應 指派哪些角色 或 集合範例。
提示
如果您是整合式目錄的資料管理員或資料產品擁有者,最好也擁有資料對應許可權。
資料資產生命週期範例
若要瞭解許可權在資料對應與整合式目錄之間的運作方式,請檢閱下表,瞭解環境中 Azure SQL 資料表的完整生命週期:
| 步驟 | 角色 | 權限層級 |
|---|---|---|
| 1. Azure SQL 資料庫已註冊在資料對應中 | 資料來源管理員 | 資料圖 |
| 2. 在資料對應中掃描 Azure SQL 資料庫 | 資料策展人或資料來源管理員 | 資料圖 |
| 3. Azure SQL 資料表經過策劃和認證 | 資料策展人 | 資料圖 |
| 4. 在 Microsoft Purview 帳戶中建立治理網域 | 治理網域建立者 | 類別目錄 |
| 5. 在治理領域中建立資料產品 | 治理網域擁有者和/或資料產品擁有者 | 治理領域 |
| 6. Azure SQL 資料表會作為資產新增至資料產品 | 資料產品擁有者及/或管理人 | 治理領域 |
| 7. 存取原則會新增至資料產品 | 資料產品擁有者及/或管理人 | 治理領域 |
| 8. 使用者搜尋整合式目錄,尋找符合其需求的資料資產 | 資產權限或資料讀取者權限 | 資產許可權 或 資料對應許可權 |
| 9、使用者搜尋資料產品,尋找符合自己需求的產品 | 全域目錄讀取器 | 類別目錄 |
| 10. 使用者要求存取資料產品中的資源 | 全域目錄讀取器 | 類別目錄 |
| 11. 使用者檢視資料健康情況深入解析以追蹤其資料目錄的健康情況 | 資料健康情況讀取器 | 類別目錄 |
| 12. 使用者想要開發新報表,以追蹤其目錄中的資料健康狀態進度 | 資料健康情況擁有者 | 類別目錄 |