Governancerollen und Berechtigungen für klassische Data Catalog in kostenlosen und Enterprise-Konto Typen
Wichtig
In diesem Artikel werden Governanceberechtigungen in den kostenlosen Versionen und Unternehmensversionen von Microsoft Purview-Datengovernancelösungen erläutert, die die klassische Microsoft Purview Data Catalog verwenden.
- Informationen zu Berechtigungen, die die neue Microsoft Purview Unified Catalog verwenden, finden Sie im Artikel Zu den Berechtigungen für die Datengovernance.
- Allgemeine Berechtigungen im neuen Microsoft Purview-Portal finden Sie unter Berechtigungen im Portal.
- Informationen zu klassischen Risiko- und Complianceberechtigungen finden Sie in den Berechtigungen im Artikel Microsoft Purview-Complianceportal.
- Informationen zu klassischen Datengovernanceberechtigungen finden Sie in den Berechtigungen im Microsoft Purview-Governanceportal.
Microsoft Purview Data Governance verfügt über zwei Lösungen im Microsoft Purview-Portal: Data Map und Katalog. Diese Lösungen verwenden Berechtigungen auf Mandanten-/Organisationsebene, vorhandene Datenzugriffsberechtigungen und Domänen-/Sammlungsberechtigungen, um Benutzern Zugriff auf Governancetools und Datenressourcen zu gewähren. Die Art der verfügbaren Berechtigungen hängt vom Typ Ihres Microsoft Purview-Kontos ab. Sie können Ihren Kontotyp im Microsoft Purview-Portalunter einstellungen Karte und Konto überprüfen.
| Kontoart | Mandanten-/Organisationsberechtigungen | Datenzugriffsberechtigungen | Domänen- und Sammlungsberechtigungen |
|---|---|---|---|
| Kostenlos | x | x | |
| Unternehmen | x | x | x |
Weitere Informationen zu den einzelnen Berechtigungstypen finden Sie in den folgenden Leitfäden:
- Mandanten-/organization-Berechtigungen: Auf Organisationsebene zugewiesen, stellen sie allgemeine und administrative Berechtigungen bereit.
- Berechtigungen auf Domänen- und Sammlungsebene: Berechtigungen im Microsoft Purview Data Map, die Zugriff auf Datenressourcen in Microsoft Purview gewähren.
- Datenzugriffsberechtigungen : Berechtigungen, die Benutzer bereits für ihre Azure-Datenquellen haben.
Weitere Informationen zu Berechtigungen basierend auf dem Kontotyp finden Sie in den folgenden Leitfäden:
Wichtig
Bei Benutzern, die in Microsoft Entra ID neu erstellt wurden, kann es einige Zeit dauern, bis Berechtigungen weitergegeben werden, auch wenn die richtigen Berechtigungen angewendet wurden.
Rollengruppen auf Mandantenebene
Rollengruppen auf Mandantenebene werden auf Organisationsebene zugewiesen und bieten allgemeine und administrative Berechtigungen sowohl für die Microsoft Purview Data Map als auch für die klassische Data Catalog. Wenn Sie Ihr Microsoft Purview-Konto oder die Datengovernancestrategie Ihrer organization verwalten, benötigen Sie wahrscheinlich eine oder mehrere dieser Rollen.
Die derzeit verfügbaren Rollengruppen auf Mandantenebene für Governance sind:
| Rollengruppe | Beschreibung | Verfügbarkeit des Kontotyps |
|---|---|---|
| Purview-Administrator | Erstellen, Bearbeiten und Löschen von Domänen und Ausführen von Rollenzuweisungen. | Free- und Enterprise-Konten |
| Datenquellenadministratoren | Verwalten von Datenquellen und Datenscans im Microsoft Purview Data Map. | Unternehmenskonten |
| Data Catalog Kuratoren | Führen Sie Aktionen zum Erstellen, Lesen, Ändern und Löschen von Katalogdatenobjekten aus, und richten Sie Beziehungen zwischen Objekten im klassischen Data Catalog ein. | Unternehmenskonten |
| Data Estate Insights-Leser | Bietet schreibgeschützten Zugriff auf alle Insights-Berichte über Plattformen und Anbieter hinweg im klassischen Data Catalog. | Unternehmenskonten |
| Data Estate Insights-Administratoren | Bietet Administratorzugriff auf alle Insights-Berichte plattform- und anbieterübergreifend im klassischen Data Catalog. | Unternehmenskonten |
Eine vollständige Liste aller verfügbaren Rollen und Rollengruppen, nicht nur für Datengovernance, finden Sie unter Rollen und Rollengruppen im Microsoft Defender XDR- und Microsoft Purview-Portal.
Zuweisen und Verwalten von Rollengruppen
Hinweis
Benutzer müssen die Rollenverwaltungsrolle oder die Globale Administratorrolle für die Organisation besitzen, um Rollen zuweisen zu können.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Um Rollen in Microsoft Purview zuzuweisen und zu verwalten, befolgen Sie die Anleitung zu Berechtigungen in Microsoft Purview.
Berechtigungen zum Durchsuchen des klassischen Datendatenprotokolls
Es sind keine spezifischen Berechtigungen im Katalog erforderlich, um ihn durchsuchen zu können. Beim Durchsuchen des Katalogs werden jedoch nur relevante Datenressourcen zurückgegeben, die Sie in Data Map anzeigen können.
Benutzer können eine Datenressource im Katalog finden, wenn:
- Der Benutzer verfügt mindestens über Leseberechtigungen für eine verfügbare Azure- oder Microsoft Fabric-Ressource.
- Der Benutzer verfügt über Datenleserberechtigungen für eine Domäne oder Sammlung im Microsoft Purview Data Map, in dem das Medienobjekt gespeichert ist.
Berechtigungen für diese Ressourcen werden auf Ressourcenebene und auf Data Map-Ebene verwaltet.
Domänen- und Sammlungsberechtigungen
Domänen und Sammlungen sind Tools, die der Microsoft Purview Data Map verwendet, um Ressourcen, Quellen und andere Artefakte in einer Hierarchie zu gruppieren, um die Erkennbarkeit zu ermöglichen und die Zugriffssteuerung innerhalb des Microsoft Purview Data Map zu verwalten.
Domänen- und Sammlungsrollen
Die Microsoft Purview Data Map verwendet eine Reihe vordefinierter Rollen, um zu steuern, wer auf was innerhalb des Kontos zugreifen kann. Diese Rollen sind derzeit:
- Domänenadministrator (nur Domänenebene ): Kann Berechtigungen innerhalb einer Domäne zuweisen und deren Ressourcen verwalten.
- Sammlungsadministrator : Eine Rolle für Benutzer, die anderen Benutzern im Microsoft Purview-Governanceportal Rollen zuweisen oder Sammlungen verwalten müssen. Sammlungsadministratoren können Benutzer rollen in Sammlungen hinzufügen, in denen sie Administratoren sind. Sie können auch Sammlungen und deren Details bearbeiten und Untersammlungen hinzufügen. Ein Sammlungsadministrator für die Stammsammlung verfügt auch automatisch über die Berechtigung für das Microsoft Purview-Governanceportal. Wenn Ihr Stammsammlungsadministrator jemals geändert werden muss, können Sie die Schritte im folgenden Abschnitt ausführen.
- Datenkuratoren : Eine Rolle, die Zugriff auf die Microsoft Purview Unified Catalog zum Verwalten von Ressourcen, Konfigurieren benutzerdefinierter Klassifizierungen, Erstellen und Verwalten von Glossarbegriffen und Anzeigen von Datenbestandserkenntnissen bietet. Datenkuratoren können Objekte erstellen, lesen, ändern, verschieben und löschen. Sie können auch Anmerkungen auf Ressourcen anwenden.
- Datenleser : Eine Rolle, die schreibgeschützten Zugriff auf Datenassets, Klassifizierungen, Klassifizierungsregeln, Sammlungen und Glossarbegriffe bietet.
- Datenquellenadministrator : Eine Rolle, die es einem Benutzer ermöglicht, Datenquellen und Überprüfungen zu verwalten. Wenn einem Benutzer nur die Rolle "Datenquellenadministrator " für eine bestimmte Datenquelle zugewiesen wird, kann er neue Überprüfungen mithilfe einer vorhandenen Überprüfungsregel ausführen. Um neue Überprüfungsregeln zu erstellen, muss dem Benutzer auch die Rolle Datenleser oder Datenkurator zugewiesen werden.
- Insights-Leser : Eine Rolle, die schreibgeschützten Zugriff auf Insights-Berichte für Sammlungen bietet, in denen der Leser von Erkenntnissen auch mindestens die Rolle "Datenleseberechtigter " besitzt. Weitere Informationen finden Sie unter Insights-Berechtigungen.
- Richtlinienautor : Eine Rolle, die es einem Benutzer ermöglicht, Microsoft Purview-Richtlinien über die Datenrichtlinien-App in Microsoft Purview anzuzeigen, zu aktualisieren und zu löschen.
- Workflowadministrator : Eine Rolle, die es einem Benutzer ermöglicht, auf die Workflowerstellungsseite im Microsoft Purview-Governanceportal zuzugreifen und Workflows in Sammlungen zu veröffentlichen, in denen er über Zugriffsberechtigungen verfügt. Der Workflowadministrator hat nur Zugriff auf die Erstellung und benötigt daher mindestens die Datenleseberechtigung für eine Sammlung, um auf das Purview-Governanceportal zugreifen zu können.
Hinweis
Derzeit reicht die Microsoft Purview-Richtlinienautorrolle nicht aus, um Richtlinien zu erstellen. Die Rolle "Microsoft Purview-Datenquellenadministrator" ist ebenfalls erforderlich.
Wichtig
Dem Benutzer, der das Konto erstellt hat, wird automatisch ein Domänenadministrator für die Standarddomäne und ein Sammlungsadministrator für die Stammsammlung zugewiesen.
Hinzufügen von Rollenzuweisungen
Öffnen Sie die Microsoft Purview Data Map.
Wählen Sie die Domäne oder Sammlung aus, der Bzw. der Sie Ihre Rollenzuweisung hinzufügen möchten.
Wählen Sie die Registerkarte Rollenzuweisungen aus, um alle Rollen in einer Sammlung oder Domäne anzuzeigen. Rollenzuweisungen können nur von einem Sammlungs- oder Domänenadministrator verwaltet werden.
Wählen Sie Rollenzuweisungen bearbeiten oder das Personensymbol aus, um jedes Rollenmitglied zu bearbeiten.
Geben Sie in das Textfeld ein, um nach Benutzern zu suchen, die Sie dem Rollenmitglied hinzufügen möchten. Wählen Sie X aus, um Mitglieder zu entfernen, die Sie nicht hinzufügen möchten.
Wählen Sie OK aus, um Ihre Änderungen zu speichern. Die neuen Benutzer werden in der Liste der Rollenzuweisungen angezeigt.
Entfernen von Rollenzuweisungen
Wählen Sie die Schaltfläche X neben dem Namen eines Benutzers aus, um eine Rollenzuweisung zu entfernen.
Wählen Sie Bestätigen aus, wenn Sie den Benutzer sicher entfernen möchten.
Vererbung einschränken
Sammlungsberechtigungen werden automatisch von der übergeordneten Sammlung geerbt. Sie können die Vererbung von einer übergeordneten Sammlung jederzeit einschränken, indem Sie die Option geerbte Berechtigungen einschränken verwenden.
Hinweis
Derzeit können Berechtigungen aus der Standarddomäne nicht eingeschränkt werden. Alle Berechtigungen, die in der Standarddomäne zugewiesen sind, werden von den direkten Untersammlungen der Domäne geerbt.
Nachdem Sie die Vererbung eingeschränkt haben, müssen Sie Benutzer direkt zur eingeschränkten Sammlung hinzufügen, um ihnen Zugriff zu gewähren.
Navigieren Sie zu der Sammlung, in der Sie die Vererbung einschränken möchten, und wählen Sie die Registerkarte Rollenzuweisungen aus.
Wählen Sie Geerbte Berechtigungen einschränken und dann zugriff einschränken im Popupdialogfeld aus, um geerbte Berechtigungen aus dieser Sammlung und allen Untersammlungen zu entfernen. Die Berechtigungen des Sammlungsadministrators sind nicht betroffen.
Nach der Einschränkung werden geerbte Mitglieder aus den Rollen entfernt, die für den Sammlungsadministrator erwartet werden.
Wählen Sie erneut die Umschaltfläche Geerbte Berechtigungen einschränken aus, um rückgängig machen.
Tipp
Ausführlichere Informationen zu den in Sammlungen verfügbaren Rollen finden Sie in der Tabelle who should be assigned what roles (Wer sollte welche Rollen zugewiesen werden sollen ) oder im Beispiel für Sammlungen.
Datenzugriffsberechtigungen
Datenzugriffsberechtigungen sind Berechtigungen, die Benutzer bereits für ihre Azure-Datenquellen haben. Diese vorhandenen Berechtigungen gewähren auch die Berechtigung für den Zugriff auf und die Verwaltung der Metadaten für diese Quellen, abhängig von der Berechtigungsstufe:
Derzeit sind diese Features nur für einige Azure-Quellen verfügbar:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | Leser oder diese Aktionen. |
| Azure Blob Storage | Leser oder diese Aktionen. |
| Azure Data Lake Storage Gen2 | Leser oder diese Aktionen. |
| Azure-Abonnement | Lesen-Berechtigung für ein Abonnement oder diese Aktionen. |
Die Rolle leser enthält genügend Berechtigungen, aber wenn Sie eine benutzerdefinierte Rolle erstellen, müssen Ihre Benutzer diese Aktionen enthalten:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read" |
| Azure-Abonnement | "Microsoft.Resources/subscriptions/resourceGroups/read" |
Leseberechtigungen
Benutzer, die mindestens über die Rolle Leser für verfügbare Azure-Ressourcen verfügen, können auch auf diese Ressourcenmetadaten im Free- und Enterprise-Konto-Typ zugreifen.
Benutzer können Ressourcen aus diesen Quellen im klassischen Data Catalog suchen und danach suchen und ihre Metadaten anzeigen.
Dies sind die Berechtigungen, die für die Ressourcen erforderlich sind, damit Benutzer als Leser gelten:
| Datenquelle | Leseberechtigung |
|---|---|
| Azure SQL-Datenbank | Leser oder diese Aktionen. |
| Azure Blob Storage | Leser oder diese Aktionen. |
| Azure Data Lake Storage Gen2 | Leser oder diese Aktionen. |
| Azure-Abonnement | Lesen-Berechtigung für ein Abonnement oder diese Aktionen. |
Besitzerberechtigungen
Benutzer mit der Rolle "Besitzer" oder "Schreibberechtigungen" für verfügbare Azure-Ressourcen können auf Metadaten für diese Ressourcen in kostenlosen und Enterprise-Konto Typen zugreifen und diese bearbeiten.
Besitzer von Benutzern können Ressourcen aus diesen Quellen im Katalog suchen und nach Ressourcen suchen und Metadaten anzeigen. Benutzer können auch die Metadaten für diese Ressourcen aktualisieren und verwalten. Erfahren Sie mehr über die Metadaten-Zusammenstellung.
Dies sind die Berechtigungen, die für die Ressourcen erforderlich sind, damit Benutzer als Besitzer gelten:
| Datenquelle | Besitzer (Berechtigung) |
|---|---|
| Azure SQL-Datenbank | "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Blob Storage | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
| Azure Data Lake Storage Gen2 | "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write" |
Berechtigungen in der kostenlosen Version
Alle Benutzer können Datenressourcen für verfügbare Quellen anzeigen, bei denen sie bereits mindestens über Leseberechtigungen verfügen. Besitzer von Benutzern können die Metadaten für verfügbare Ressourcen verwalten, bei denen sie bereits mindestens über Besitzer-/Schreibberechtigungen verfügen. Weitere Informationen finden Sie im Abschnitt Datenzugriffsberechtigungen.
Zusätzliche Berechtigungen können auch mithilfe von Rollengruppen auf Mandantenebene zugewiesen werden.
Wichtig
Bei Benutzern, die in Microsoft Entra ID neu erstellt wurden, kann es einige Zeit dauern, bis Berechtigungen weitergegeben werden, auch wenn die richtigen Berechtigungen angewendet wurden.
Berechtigungen in der Unternehmensversion von Microsoft Purview
Alle Benutzer können Datenressourcen für verfügbare Quellen anzeigen, bei denen sie bereits mindestens über Leseberechtigungen verfügen. Besitzende Benutzer können die Metadaten für Ressourcen verwalten, bei denen sie bereits mindestens über Besitzer-/Schreibberechtigungen verfügen. Weitere Informationen finden Sie im Abschnitt Datenzugriffsberechtigungen.
Zusätzliche Berechtigungen können auch mithilfe von Rollengruppen auf Mandantenebene zugewiesen werden.
Berechtigungen können auch im Microsoft Purview Data Map zugewiesen werden, damit Benutzer Ressourcen in der Data Map- oder klassischen Data Catalog Suche durchsuchen können, auf die sie noch keinen Datenzugriff haben.