Condividi tramite


Ruoli e autorizzazioni di governance dei dati in Microsoft Purview

Importante

Questo articolo illustra le autorizzazioni di governance dei dati di Microsoft Purview nel nuovo portale di Microsoft Purview usando Unified Catalog.

La governance dei dati di Microsoft Purview include due soluzioni nel portale di Microsoft Purview: Mappa dati e Unified Catalog. Queste soluzioni usano autorizzazioni a livello di tenant/organizzazione, autorizzazioni di accesso ai dati esistenti e autorizzazioni di dominio/raccolta per fornire agli utenti l'accesso agli strumenti di governance e agli asset di dati. Il tipo di autorizzazioni disponibili per l'uso dipende dal tipo di account Microsoft Purview. È possibile controllare il tipo di account nel portale di Microsoft Purview nella scheda Impostazioni e account.

Screenshot della soluzione delle impostazioni evidenziata nella pagina principale del portale di Microsoft Purview.

Screenshot della pagina delle impostazioni nel portale di Microsoft Purview.

Tipo di account Autorizzazioni tenant/organizzazione Autorizzazioni di accesso ai dati Autorizzazioni di dominio e raccolta autorizzazioni Unified Catalog
Gratuita x x
Aziendale x x x x

Per altre informazioni su ogni tipo di autorizzazione, vedere queste guide:

Per altre informazioni sulle autorizzazioni in base al tipo di account, vedere queste guide:

Importante

Per gli utenti appena creati in Microsoft Entra ID, la propagazione delle autorizzazioni potrebbe richiedere tempo anche dopo l'applicazione delle autorizzazioni corrette.

Gruppi di ruoli a livello di tenant

Assegnati a livello di organizzazione, i gruppi di ruoli a livello di tenant forniscono autorizzazioni generali e amministrative sia per il Microsoft Purview Data Map che per Unified Catalog. Se si gestisce l'account Microsoft Purview o la strategia di governance dei dati dell'organizzazione, probabilmente sono necessari uno o più di questi ruoli.

I gruppi di ruoli a livello di tenant di governance attualmente disponibili sono:

Gruppo di ruolo Descrizione Disponibilità del tipo di account
Amministratore di Purview Creare, modificare ed eliminare domini ed eseguire assegnazioni di ruolo. Account gratuiti ed aziendali
Amministratori origine dati Gestire le origini dati e le analisi dei dati nel Microsoft Purview Data Map. Account aziendali
Governance dei dati Concede l'accesso ai ruoli di governance dei dati all'interno di Microsoft Purview. Account gratuiti ed aziendali

Per un elenco completo di tutti i ruoli e i gruppi di ruoli disponibili, non solo per la governance dei dati, vedere ruoli e gruppi di ruoli nei portali Microsoft Defender XDR e Microsoft Purview.

Come assegnare e gestire i gruppi di ruoli

Importante

Per assegnare ruoli in Microsoft Purview, a un utente deve essere assegnato il ruolo di gestione dei ruoli.

Per assegnare e gestire i ruoli in Microsoft Purview, vedere autorizzazioni in Microsoft Purview.

autorizzazioni Unified Catalog

Il Unified Catalog usa anche tre livelli di autorizzazioni per consentire agli utenti di accedere alle informazioni:

  • Governance dei dati: un gruppo di ruoli a livello di tenant/organizzazione con il ruolo Amministrazione Governance dei dati. Tale ruolo delega il primo livello di accesso per gli autori di domini di governance. Questo ruolo non viene visualizzato in Unified Catalog, ma influisce sulla possibilità di assegnare autorizzazioni in Unified Catalog.
  • Autorizzazioni a livello di catalogo : autorizzazioni per concedere la proprietà ai domini di governance e l'accesso alla gestione dell'integrità.
  • Autorizzazioni a livello di dominio di governance : autorizzazioni per accedere e gestire le risorse all'interno di domini di governance specifici.

Autorizzazioni a livello di catalogo

Autorizzazioni assegnate in Unified Catalog stesso e che forniscono solo l'accesso di alto livello.

Ruolo Descrizione Applicazione
Autore del dominio di governance Crea domini e delega il proprietario del dominio di governance (o rimane proprietario del dominio di governance per impostazione predefinita) Unified Catalog
Proprietario dell'integrità dei dati Creare, aggiornare e leggere elementi nella gestione dell'integrità. Gestione dell'integrità
Lettore di integrità dei dati Può leggere gli artefatti nella gestione dell'integrità. Gestione dell'integrità

Come assegnare ruoli a livello di catalogo

Importante

Per poter assegnare ruoli in Microsoft Purview, un utente deve essere un amministratore di governance dei dati a livello di tenant/organizzazione.

  1. Nel portale di Microsoft Purview selezionare Impostazioni.
  2. In Impostazioni soluzione selezionare Unified Catalog.
  3. Selezionare Ruoli e autorizzazioni.
  4. Selezionare Autori di dominio di governance o un'icona aggiungi utente a un altro ruolo.
  5. Cercare l'utente da aggiungere.
  6. Selezionare l'utente.
  7. Seleziona Salva.

Autorizzazione a livello di dominio di governance

Consiglio

Il proprietario del dominio di governance è importante delegare a un utente che esegue la governance dei dati o Unified Catalog perché è un ruolo essenziale poter iniziare a creare domini di governance, prodotti dati, termini di glossario e così via. È consigliabile assegnare almeno due persone come proprietari del dominio di governance.

Le autorizzazioni di dominio di governance forniscono l'accesso all'interno di un dominio di governance specifico e devono essere concesse agli esperti di dati e agli utenti aziendali per leggere e gestire gli oggetti all'interno del dominio di governance.

Di seguito sono riportati i ruoli di dominio di governance attualmente disponibili in Unified Catalog:

Ruolo Descrizione
Proprietario del dominio di governance Possibilità di delegare tutte le altre autorizzazioni di dominio di governance, configurare gli avvisi di analisi della qualità dei dati e impostare i criteri di accesso a livello di dominio.
Lettore di dominio di governance Possibilità di leggere i domini di governance e monitorarne i metadati e la funzione.
Amministratore dei dati* Creare, aggiornare e leggere elementi e criteri all'interno del dominio di governance. Può anche leggere artefatti da altri domini di governance.
Proprietario del prodotto dati* Creare, aggiornare e leggere prodotti dati solo all'interno del dominio di governance. Può leggere gli artefatti da altri domini per creare relazioni tra i concetti.
lettore Data Catalog Leggere tutti i concetti pubblicati nel catalogo in tutti i domini.
Amministratore della qualità dei dati In grado di usare funzionalità di qualità dei dati come la gestione delle regole di qualità dei dati, l'analisi della qualità dei dati, le informazioni dettagliate sulla qualità dei dati, la pianificazione della qualità dei dati, il monitoraggio dei processi, la configurazione della soglia e degli avvisi. L'amministratore della qualità dei dati è un ruolo secondario, quindi l'individuo ha anche bisogno di govennance domain reader e Data Catalog ruoli lettore per eseguire il lavoro di gestione della qualità dei dati.
Lettore di qualità dei dati Esplorare tutte le informazioni dettagliate sulla qualità dei dati, la definizione delle regole di qualità dei dati e i file di errore di qualità dei dati. Questo ruolo non può eseguire l'analisi della qualità dei dati e il processo di profilatura dei dati e questo ruolo non avrà accesso alle informazioni dettagliate a livello di colonna di profilatura dei dati come informazioni dettagliate a livello di colonna. Si tratta di un sottoruolo, per eseguire questo ruolo l'utente deve anche avere ruoli di lettura del dominio di governance e Data Catalog lettore.
Lettore di metadati di qualità dei dati Esplorare le informazioni dettagliate sulla qualità dei dati ,ad eccezione delle informazioni dettagliate a livello di colonna dei risultati di profilatura, della definizione delle regole di qualità dei dati e dei punteggi a livello di regola. Questo ruolo non avrà accesso ai record degli errori e non potrà eseguire la profilatura e il processo di analisi DQ. Si tratta di un sottoruolo, per eseguire questo ruolo l'individuo ha anche bisogno del ruolo di lettore di dominio governance e Data Catalog ruoli lettore.
Amministratore del profilo dati Eseguire processi di profilatura dei dati e accedere ai dettagli delle informazioni dettagliate di profilatura. Questo ruolo può anche esplorare tutte le informazioni dettagliate sulla qualità dei dati e monitorare i processi di profilatura. Questo ruolo non può creare regole e non può eseguire l'analisi della qualità dei dati. Si tratta di un sottoruolo, per eseguire questo ruolo l'individuo ha anche bisogno del ruolo di lettore di dominio governance e Data Catalog ruoli lettore.
Lettore di profili dati Questo ruolo avrà le autorizzazioni necessarie per esplorare tutte le informazioni dettagliate sulla qualità dei dati e può eseguire il drill-down dei risultati della profilatura per esplorare le statistiche a livello di colonna. Si tratta di un sottoruolo, per eseguire questo ruolo l'individuo ha anche bisogno del ruolo di lettore di dominio governance e Data Catalog ruoli lettore.

Nota

*Per poter aggiungere asset di dati a un prodotto dati, i proprietari dei prodotti dati e gli amministratori dei dati hanno anche bisogno delle autorizzazioni di Mapping dati per leggere tali asset di dati in Mappa dati.

Come assegnare ruoli di dominio di governance

Importante

Per assegnare ruoli in Microsoft Purview, un utente deve essere proprietario di un dominio di governance nel dominio di governance. Questo ruolo viene assegnato dagli amministratori della governance dei dati o dai creatori di domini di governance.

I ruoli di dominio di governance vengono assegnati nella scheda Ruoli in un dominio di governance. Per altre informazioni, vedere come gestire i domini di governance.

Autorizzazioni per la ricerca nella Unified Catalog completa

Non sono necessarie autorizzazioni specifiche in Unified Catalog per poter eseguire ricerche nel Unified Catalog. Tuttavia, la ricerca Unified Catalog restituirà solo gli asset di dati rilevanti che si dispone delle autorizzazioni per visualizzare in Mappa dati.

Gli utenti possono trovare un asset di dati in Unified Catalog quando:

Le autorizzazioni per questi asset vengono gestite rispettivamente a livello di risorsa e a livello di mappa dati. Per altre informazioni su come fornire questo accesso, seguire i collegamenti forniti.

Consiglio

Se il catalogo è ben curato, gli utenti aziendali quotidiani non devono eseguire ricerche nel catalogo completo. Dovrebbero essere in grado di trovare i dati di cui hanno bisogno nei prodotti dati. Per altre informazioni sulla configurazione del Unified Catalog, vedere Introduzione all'Unified Catalog e Unified Catalog procedure consigliate.

Quali Unified Catalog autorizzazioni sono necessarie?

Elemento Azione Amministratore della governance dei dati Autore del dominio di governance Proprietario del dominio di governance Lettore del catalogo dati Amministratore dei dati Proprietario del prodotto dati Proprietario dell'integrità dei dati Lettore di integrità dei dati Amministratore della qualità dei dati Lettore di qualità dei dati
Assegnazioni di ruolo dell'applicazione Lettura x x
Modifica x x
Domini di governance Lettura x x x x x x
Modifica x x
Prodotti dati Lettura x x x x x
Modifica x
Elementi di integrità Lettura x x
Modifica x
Elementi di qualità dei dati Lettura x x x
Modifica x
Criteri di accesso ai dati Lettura x x x x
Modifica x x

Nota

Questa tabella illustra le nozioni di base, ma non tutti i ruoli e non tutti gli scenari per ogni ruolo. Per informazioni dettagliate, vedere l'elenco completo dei ruoli.

ruoli Unified Catalog

Ecco l'elenco completo di tutti i ruoli usati per accedere al Unified Catalog e gestirlo.

Ruolo Descrizione Livello di autorizzazione Azioni disponibili
Amministratore della governance dei dati Delega il primo livello di accesso per gli autori di domini di governance e altre autorizzazioni a livello di applicazione. Tenant/organizzazione roleassignment/read, roleassignment/write
Autore del dominio di governance Crea domini e delega il proprietario del dominio di governance (o rimane proprietario del dominio di governance per impostazione predefinita). Applicazione businessdomain/read, businessdomain/write
Proprietario del dominio di governance Possibilità di delegare tutte le altre autorizzazioni di dominio di governance, configurare gli avvisi di analisi della qualità dei dati e impostare i criteri di accesso a livello di dominio. Dominio di governance roleassignment/read, roleassignment/write, businessdomain/read, businessdomain/write, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/ dataproductpolicy/read, dataaccess/glossarytermpolicy/read
lettore Data Catalog Possibilità di leggere tutti i domini pubblicati, i prodotti dati, i criteri e gli OKR. Dominio di governance roleassignment/read, businessdomain/read, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/glossarytermpolicy/read
Amministratore dei dati Creare, aggiornare e leggere elementi di dati critici, termini del glossario, OKR e criteri all'interno del dominio di governance. Possono anche leggere e creare relazioni con i concetti in altri domini di governance. Dominio di governance roleassignment/read, businessdomain/read, dataquality/observer/write, dataproduct/read, data product/curate, glossaryterm/read, glossaryterm/write, okr/read, okr/write, dataaccess/domainpolicy/read, dataaccess/domainpolicy/write, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read, dataaccess/glossarytermpolicy/write
Proprietario del prodotto dati Creare, aggiornare e leggere prodotti dati solo all'interno del dominio di governance. Possono anche leggere e creare relazioni con i concetti nei domini di governance. Dominio di governance roleassignment/read, businessdomain/read, dataproduct/write, dataproduct/read, glossaryterm/read, okr/read, dataaccess/domainpolicy/read, dataaccess/dataproductpolicy/read, dataaccess/dataproductpolicy/write, dataaccess/glossarytermpolicy/read
Proprietario dell'integrità dei dati Creare, aggiornare e leggere elementi nella gestione dell'integrità. Applicazione datahealth/read, datahealth/write
Lettore di integrità dei dati Può leggere gli artefatti nella gestione dell'integrità. Applicazione datahealth/read
Amministratori della qualità dei dati In grado di usare funzionalità di qualità dei dati come la gestione delle regole di qualità dei dati, l'analisi della qualità dei dati, la profilatura dei dati di esplorazione e le informazioni dettagliate sulla qualità dei dati, la pianificazione della qualità dei dati, il monitoraggio dei processi, la configurazione della soglia e degli avvisi. Dominio di governance businessdomain/read, dataquality/scope/read, dataquality/scope/write, dataquality/scheduledscan/read, dataquality/scheduledscan/write, dataquality/scheduledscan/execute/action, datahealth/alert/read, datahealth/alert/write, dataquality/monitoring/read, dataquality/monitoring/write, dataquality/connection/write, dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/observer/read, dataquality/observer/write, dataquality/observer/ execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read, dataquality/history/ruleerrorfile/read, dataquality/history/ruleerrorfile/delete, dataquality/history/delete, dataproduct/read, glossaryterm/read
Lettore di qualità dei dati Esplorare tutte le informazioni dettagliate sulla qualità dei dati e le definizioni delle regole di qualità dei dati. Questo ruolo non può eseguire processi di analisi della qualità dei dati e profilatura dei dati e questo ruolo non avrà accesso alle informazioni dettagliate a livello di colonna di profilatura dei dati come informazioni dettagliate a livello di colonna. Dominio di governance dataquality/connection/read, dataquality/observer/read, dataquality/observer/execute/action, dataquality/history/scores/read, dataquality/history/ruledetails/read
Lettore di metadati di qualità dei dati Esplorare le informazioni dettagliate sulla qualità dei dati ,ad eccezione delle informazioni dettagliate a livello di colonna dei risultati di profilatura, della definizione delle regole di qualità dei dati e dei punteggi a livello di regola. Questo ruolo non avrà accesso ai record degli errori e non potrà eseguire la profilatura e il processo di analisi DQ. Si tratta di un sottoruolo, per eseguire questo ruolo l'individuo ha anche bisogno del ruolo di lettore di dominio governance e Data Catalog ruoli lettore. Dominio di governance dataquality/connection/read, dataquality/observer/read, dataquality/history/scores/read, dataquality/history/ruledetails/read
Amministratore del profilo dati Eseguire processi di profilatura dei dati e accedere ai dettagli delle informazioni dettagliate di profilatura. Questo ruolo può anche esplorare tutte le informazioni dettagliate sulla qualità dei dati e monitorare i processi di profilatura. Questo ruolo non può creare regole e non può eseguire l'analisi della qualità dei dati. Si tratta di un sottoruolo, per eseguire questo ruolo l'individuo ha anche bisogno del ruolo di lettore di dominio governance e Data Catalog ruoli lettore. Dominio di governance dataquality/connection/read, dataquality/schemadetection/execute/action, dataquality/profile/read, dataquality/profile/execute/action, dataquality/profilehistory/read, dataquality/profilehistory/delete
Lettore di profili dati Questo ruolo avrà le autorizzazioni necessarie per esplorare tutte le informazioni dettagliate sulla profilatura e può eseguire il drill-down dei risultati della profilatura per esplorare le statistiche a livello di colonna. Dominio di governance dataquality/connection/read, dataquality/profile/read, dataquality/profilehistory/read

Autorizzazioni mappa dati

Domini e raccolte sono strumenti usati da Mappa dati per raggruppare asset, origini e altri elementi in una gerarchia per individuabilità e per gestire il controllo di accesso all'interno di Mappa dati.

Autorizzazioni di dominio e raccolta

Mappa dati usa un set di ruoli predefiniti per controllare chi può accedere a ciò che all'interno dell'account. Questi ruoli sono:

  • Amministratore di dominio (solo a livello di dominio ): può assegnare le autorizzazioni all'interno di un dominio e gestirle.
  • Amministratore raccolta : ruolo per gli utenti che dovranno assegnare ruoli ad altri utenti nel portale di governance di Microsoft Purview o gestire le raccolte. Gli amministratori della raccolta possono aggiungere utenti ai ruoli nelle raccolte in cui sono amministratori. Possono anche modificare le raccolte, i relativi dettagli e aggiungere sottoraccolte. Anche un amministratore della raccolta nella raccolta radice ha automaticamente l'autorizzazione per il portale di governance di Microsoft Purview. Se l'amministratore della raccolta radice deve mai essere modificato, è possibile seguire i passaggi descritti nella sezione seguente.
  • Curatori dei dati: ruolo che fornisce l'accesso al Microsoft Purview Unified Catalog per gestire gli asset, configurare classificazioni personalizzate, creare e gestire termini del glossario e visualizzare informazioni dettagliate sull'area dati. I curatori dei dati possono creare, leggere, modificare, spostare ed eliminare asset. Possono anche applicare annotazioni agli asset.
  • Lettori di dati : ruolo che consente l'accesso in sola lettura ad asset di dati, classificazioni, regole di classificazione, raccolte e termini del glossario.
  • Amministratore dell'origine dati : ruolo che consente a un utente di gestire le origini dati e le analisi. Se un utente viene concesso solo al ruolo di amministratore dell'origine dati in una determinata origine dati, può eseguire nuove analisi usando una regola di analisi esistente. Per creare nuove regole di analisi, è necessario concedere all'utente anche i ruoli Lettore dati o Curatore dati .
  • Lettore di informazioni dettagliate : ruolo che fornisce l'accesso in sola lettura ai report analitici per le raccolte in cui il lettore di informazioni dettagliate ha almeno il ruolo lettore di dati . Per altre informazioni, vedere Autorizzazioni dettagliate.
  • Autore dei criteri: ruolo che consente a un utente di visualizzare, aggiornare ed eliminare i criteri di Microsoft Purview tramite l'app Criteri dati all'interno di Microsoft Purview.
  • Amministratore del flusso di lavoro : ruolo che consente a un utente di accedere alla pagina di creazione del flusso di lavoro nel portale di governance di Microsoft Purview e pubblicare flussi di lavoro nelle raccolte in cui dispone delle autorizzazioni di accesso. L'amministratore del flusso di lavoro ha accesso solo alla creazione e pertanto sarà necessaria almeno l'autorizzazione lettore di dati per una raccolta per poter accedere al portale di governance di Purview.

Nota

Al momento, il ruolo di autore dei criteri di Microsoft Purview non è sufficiente per creare criteri. È necessario anche il ruolo di amministratore dell'origine dati Microsoft Purview.

Importante

All'utente che ha creato l'account viene assegnato automaticamente l'amministratore di dominio nell'amministratore predefinito del dominio e della raccolta nella raccolta radice.

Aggiungere assegnazioni di ruolo

  1. Aprire il Microsoft Purview Data Map.

  2. Selezionare il dominio o la raccolta in cui si vuole aggiungere l'assegnazione di ruolo.

  3. Selezionare la scheda Assegnazioni di ruolo per visualizzare tutti i ruoli in una raccolta o in un dominio. Solo un amministratore della raccolta o un amministratore di dominio può gestire le assegnazioni di ruolo.

    Screenshot della finestra di raccolta del portale di governance di Microsoft Purview con la scheda assegnazioni di ruolo evidenziata.

  4. Selezionare Modifica assegnazioni di ruolo o l'icona della persona per modificare ogni membro del ruolo.

    Screenshot della finestra di raccolta del portale di governance di Microsoft Purview, con l'elenco a discesa Modifica assegnazioni di ruolo selezionato.

  5. Digitare nella casella di testo per cercare gli utenti da aggiungere al membro del ruolo. Selezionare X per rimuovere i membri che non si desidera aggiungere.

    Screenshot della finestra di amministrazione della raccolta del portale di governance di Microsoft Purview con la barra di ricerca evidenziata.

  6. Selezionare OK per salvare le modifiche e i nuovi utenti verranno visualizzati nell'elenco delle assegnazioni di ruolo.

Rimuovere le assegnazioni di ruolo

  1. Selezionare il pulsante X accanto al nome di un utente per rimuovere un'assegnazione di ruolo.

    Screenshot della finestra di raccolta del portale di governance di Microsoft Purview, con la scheda assegnazioni di ruolo selezionata e il pulsante x accanto a uno dei nomi evidenziati.

  2. Selezionare Conferma se si vuole rimuovere l'utente.

    Screenshot di un popup di conferma con il pulsante conferma evidenziato.

Limitare l'ereditarietà

Le autorizzazioni di raccolta vengono ereditate automaticamente dalla raccolta padre. È possibile limitare l'ereditarietà da una raccolta padre in qualsiasi momento, usando l'opzione limita le autorizzazioni ereditate.

Nota

Attualmente non è possibile limitare le autorizzazioni del dominio predefinito. Tutte le autorizzazioni assegnate nel dominio predefinito verranno ereditate dalle sottoraccolte dirette del dominio.

Dopo aver limitato l'ereditarietà, sarà necessario aggiungere gli utenti direttamente alla raccolta con restrizioni per concedere loro l'accesso.

  1. Passare alla raccolta in cui si vuole limitare l'ereditarietà e selezionare la scheda Assegnazioni di ruolo .

  2. Selezionare Limita autorizzazioni ereditate e selezionare Limita accesso nella finestra di dialogo popup per rimuovere le autorizzazioni ereditate da questa raccolta e da eventuali sottoraccolte. Le autorizzazioni di amministratore della raccolta non saranno interessate.

    Screenshot della finestra di raccolta del portale di governance di Microsoft Purview, con la scheda assegnazioni di ruolo selezionata e il pulsante di diapositiva Limita autorizzazioni ereditate evidenziato.

  3. Dopo la restrizione, i membri ereditati vengono rimossi dai ruoli previsti per l'amministratore della raccolta.

  4. Selezionare di nuovo l'interruttore Limita autorizzazioni ereditate per ripristinare.

    Screenshot della finestra di raccolta del portale di governance di Microsoft Purview, con la scheda assegnazioni di ruolo selezionata e il pulsante di diapositiva Per rimuovere i restrizioni delle autorizzazioni ereditate evidenziato.

Consiglio

Per informazioni più dettagliate sui ruoli disponibili nelle raccolte, vedere gli utenti a cui assegnare la tabella dei ruoli o l'esempio di raccolte.

Autorizzazioni di accesso ai dati

Le autorizzazioni di accesso ai dati sono autorizzazioni già disponibili per gli utenti nelle origini dati di Azure. Queste autorizzazioni esistenti concedono anche l'autorizzazione per accedere e gestire i metadati per tali origini, a seconda del livello di autorizzazioni:

Attualmente, queste funzionalità sono disponibili solo per alcune origini di Azure:

Origine dati Autorizzazione lettore
database SQL di Azure Lettore o queste azioni.
Archiviazione BLOB di Azure Lettore o queste azioni.
Azure Data Lake Storage Gen2 Lettore o queste azioni.
Sottoscrizione di Azure Autorizzazione di lettura per la sottoscrizione o queste azioni.

Il ruolo lettore contiene autorizzazioni sufficienti, ma se si crea un ruolo personalizzato, gli utenti devono includere queste azioni:

Origine dati Autorizzazione lettore
database SQL di Azure "Microsoft.Sql/servers/read", "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/databases/schemas/read", "Microsoft.Sql/servers/databases/schemas/tables/read", "Microsoft.Sql/servers/databases/schemas/tables/columns/read"
Archiviazione BLOB di Azure "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read"
Azure Data Lake Storage Gen2 "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/blobServices/read", "Microsoft.Storage/storageAccounts/blobServices/containers/read"
Sottoscrizione di Azure "Microsoft.Resources/subscriptions/resourceGroups/read"

Autorizzazioni di lettura

Gli utenti che hanno almeno il ruolo di lettore nelle risorse di Azure disponibili sono anche in grado di accedere a tali metadati delle risorse nei tipi di account gratuito ed aziendale.

Gli utenti possono cercare e cercare gli asset da queste origini nel Unified Catalog e visualizzare i metadati.

Queste sono le autorizzazioni necessarie per le risorse per consentire agli utenti di essere considerati "lettori":

Origine dati Autorizzazione lettore
database SQL di Azure Lettore o queste azioni.
Archiviazione BLOB di Azure Lettore o queste azioni.
Azure Data Lake Storage Gen2 Lettore o queste azioni.
Sottoscrizione di Azure Autorizzazione di lettura per la sottoscrizione o queste azioni.

Autorizzazioni di proprietario

Gli utenti che hanno il ruolo di proprietario o le autorizzazioni di scrittura per le risorse di Azure disponibili possono accedere e modificare i metadati per tali risorse in tipi di account gratuiti ed aziendali.

Gli utenti proprietari possono cercare e cercare gli asset da queste origini in Unified Catalog e visualizzare i metadati. Possono anche aggiornare e gestire i metadati per tali risorse. Per altre informazioni su questa cura dei metadati, vedere l'articolo sulla cura dei metadati.

Queste sono le autorizzazioni necessarie per le risorse per consentire agli utenti di essere considerati "proprietari":

Origine dati autorizzazione di proprietario
database SQL di Azure "Microsoft.Sql/servers/write", "Microsoft.Sql/servers/databases/write", "Microsoft.Authorization/roleAssignments/write"
Archiviazione BLOB di Azure "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write"
Azure Data Lake Storage Gen2 "Microsoft.Storage/storageAccounts/write", "Microsoft.Authorization/roleAssignments/write"

Autorizzazioni nella versione gratuita

Tutti gli utenti sono in grado di visualizzare gli asset di dati per le origini disponibili in cui dispongono almeno delle autorizzazioni di lettura . Gli utenti proprietari sono in grado di gestire i metadati per gli asset disponibili in cui dispongono almeno delle autorizzazioni di proprietario/scrittura . Per altre informazioni, vedere la sezione autorizzazioni di accesso ai dati.

È anche possibile assegnare autorizzazioni aggiuntive usando gruppi di ruoli a livello di tenant.

Importante

Per gli utenti appena creati in Microsoft Entra ID, la propagazione delle autorizzazioni potrebbe richiedere tempo anche dopo l'applicazione delle autorizzazioni corrette.

Autorizzazioni nella versione enterprise

Tutti gli utenti sono in grado di visualizzare gli asset di dati per le origini disponibili in cui dispongono almeno delle autorizzazioni di lettura . Gli utenti proprietari sono in grado di gestire i metadati per gli asset in cui hanno almeno autorizzazioni di proprietario/scrittura . Per altre informazioni, vedere la sezione autorizzazioni di accesso ai dati.

È anche possibile assegnare autorizzazioni aggiuntive usando gruppi di ruoli a livello di tenant.

È anche possibile assegnare le autorizzazioni in Mappa dati in modo che gli utenti possano esplorare gli asset in Mappa dati o Unified Catalog ricerca a cui non hanno già accesso ai dati.

Unified Catalog autorizzazioni possono essere assegnate per concedere agli utenti l'autorizzazione al catalogo per compilare le soluzioni di governance dei dati.

Esempio di ciclo di vita degli asset di dati

Per informazioni sul funzionamento delle autorizzazioni tra mapping dei dati e Unified Catalog, esaminare la tabella seguente sull'intero ciclo di vita di una tabella Azure SQL nell'ambiente:

Passaggio Ruolo Livello di assegnazione di ruolo
1. Il database Azure SQL è registrato nella mappa dati amministratore dell'origine dati Autorizzazioni mappa dati
2. Il database Azure SQL viene analizzato in Mappa dati curatore dei dati o amministratore dell'origine dati Autorizzazioni mappa dati
3. Il tavolo Azure SQL è curato e certificato curatore dei dati Autorizzazioni mappa dati
4. Viene creato un dominio di governance nell'account Microsoft Purview Autore del dominio di governance ruolo a livello di applicazione
5. Viene creato un prodotto dati nel dominio di governance Proprietario del dominio di governance e/o proprietario del prodotto dati ruolo a livello di dominio di governance
6. La tabella Azure SQL viene aggiunta come asset al prodotto dati Proprietario e/o amministratore del prodotto dati ruolo a livello di dominio di governance
7. Un criterio di accesso viene aggiunto al prodotto dati Proprietario e/o amministratore del prodotto dati ruolo a livello di dominio di governance
8. Un utente cerca Unified Catalog, cercando asset di dati che corrispondono alle proprie esigenze Autorizzazioni per asset o autorizzazioni per il lettore di dati Autorizzazioni asset o autorizzazioni mappa dati
9. Un utente cerca i prodotti dati, cercando un prodotto che soddisfi le proprie esigenze lettore Data Catalog ruolo a livello di applicazione
10. Un utente richiede l'accesso alle risorse nel prodotto dati lettore Data Catalog ruolo a livello di applicazione
11. Un utente visualizza Data Health Insights per tenere traccia dell'integrità dei Data Catalog Lettore integrità dati ruolo a livello di applicazione
12. Un utente vuole sviluppare un nuovo report per tenere traccia dell'avanzamento dell'integrità dei dati nel catalogo Proprietario dell'integrità dei dati ruolo a livello di applicazione

Passaggi successivi