Microsoft Purview 中的數據控管角色和許可權
重要事項
本文涵蓋Microsoft使用 整合式目錄 的新 Microsoft Purview 入口網站中的數據控管許可權。
- 如需使用傳統 資料目錄 的新 Microsoft Purview 入口網站的治理許可權,請參閱傳統 資料目錄 的治理許可權。
- 如需新 Microsoft purview 入口網站中的一般許可權,請參 閱 Microsoft 入口網站中的許可權。
- 如需傳統風險和合規性許可權,請參閱 Microsoft Purview 合規性入口網站 文章中的許可權。
- 如需傳統 Microsoft Purview 入口網站中的數據控管許可權,請參閱 Microsoft Purview 治理入口網站一文中的許可權。
Microsoft Purview 數據控管在 Microsoft Purview 入口網站中有兩個解決方案:數據對應和 整合式目錄。 這些解決方案會使用租使用者/組織層級許可權、現有的數據訪問許可權,以及網域/集合許可權,讓用戶能夠存取治理工具和數據資產。 可用的許可權類型取決於您的 Microsoft Purview 帳戶類型。 您可以在 Microsoft Purview 入口網站的 [ 設定 ] 卡片和 [帳戶] 底下檢查您的 帳戶類型。
| 帳戶類型 | 租使用者/組織許可權 | 數據訪問許可權 | 網域和集合許可權 | 整合式目錄許可權 |
|---|---|---|---|---|
| 免費 | x | x | ||
| 企業 | x | x | x | x |
如需每個許可權類型的詳細資訊,請參閱下列指南:
- 租使用者/組織許可權 - 在組織層級指派,可提供一般和系統管理許可權。
- 整合式目錄 許可權 - Microsoft Purview 整合式目錄 中的許可權,讓使用者可以瀏覽和管理目錄。
- 網域和集合層級權限 - Microsoft Purview 資料對應 中的許可權,可授與 Microsoft Purview 中數據資產的存取權。
- 數據訪問權 限 - 使用者在其 Azure 數據源上已經擁有的許可權。
如需以帳戶類型為基礎的許可權詳細資訊,請參閱下列指南:
重要事項
針對在 Microsoft Entra ID 中新建立的使用者,即使套用了正確的許可權,許可權也可能需要一些時間才能傳播。
租用戶層級角色群組
在組織層級指派的租用戶層級角色群組會為 Microsoft Purview 資料對應 和 整合式目錄 提供一般和系統管理許可權。 如果您要管理Microsoft Purview 帳戶或組織的數據控管策略,您可能需要其中一或多個角色。
目前可用的治理租用戶層級角色群組如下:
| 角色群組 | 描述 | 帳戶類型可用性 |
|---|---|---|
| Purview 系統管理員 | 建立、編輯和刪除網域,並執行角色指派。 | 免費和企業帳戶 |
| 數據源管理員 | 管理 Microsoft Purview 資料對應 中的數據源和數據掃描。 | 企業帳戶 |
| 數據控管 | 授與 Purview 內數據控管角色Microsoft存取權。 | 免費和企業帳戶 |
如需所有可用角色和角色群組的完整清單,而不只是針對數據控管,請參閱 Microsoft Defender 全面偵測回應 和 Microsoft Purview 入口網站中的角色和角色群組。
如何指派和管理角色群組
重要事項
若要在 Microsoft Purview 中指派角色,用戶必須獲指派 角色管理角色。
若要在 Microsoft Purview 中指派和管理角色,請參閱 Microsoft Purview 中的許可權。
整合式目錄許可權
整合式目錄 也會使用三個層級的許可權來允許使用者存取資訊:
- 數據控管 - 具有數據控管 管理員 角色的租用戶/組織層級角色群組。 該角色會委派治理網域建立者的第一層存取權。 (此角色不會顯示在 整合式目錄 中,但會影響您在 整合式目錄.) 中指派許可權的能力
- 目錄層級許可權 - 將擁有權授與治理網域的許可權,以及健康情況管理的存取權。
- 治理網域層級許可權 - 存取和管理特定治理網域內資源的許可權。
目錄層級許可權
在 整合式目錄 本身指派的許可權,並且只提供高階存取權。
| 角色 | 描述 | 應用程式 |
|---|---|---|
| 治理網域建立者 | 建立網域並委派控管網域擁有者 (,或依預設保持控管網域擁有者) | 整合式目錄 |
| 數據健康情況擁有者 | 在健康情況管理中建立、更新和讀取成品。 | 健康情況管理 |
| 數據健康情況讀取器 | 可以在健康情況管理中讀取成品。 | 健康情況管理 |
如何指派目錄層級角色
重要事項
若要能夠在 Microsoft Purview 中指派角色,用戶必須是租使用者/組織層級 的數據控管管理員 。
- 在 Microsoft Purview 入口網站中,選取 [ 設定]。
- 在 [解決方案設定] 底下,選取 [整合式目錄]。
- 選 取 [角色和許可權]。
- 選取 [治理網域建立者] 或其他角色新增用戶圖示。
- 搜尋您想要新增的使用者。
- 選取使用者。
- 選取 [儲存]。
治理網域層級許可權
提示
治理網域擁有者對於委派給執行數據控管或 整合式目錄 的人員很重要,因為這是能夠開始建置治理網域、數據產品、詞彙等不可或缺的角色。建議您至少將兩個人指派為治理網域擁有者。
治理網域許可權可提供特定治理網域內的存取權,且應授與數據專家和企業使用者讀取和管理治理網域內的物件。
以下是目前可在 整合式目錄 中使用的治理網域角色:
| 角色 | 描述 |
|---|---|
| 治理網域擁有者 | 能夠委派所有其他治理網域許可權、設定數據質量掃描警示,以及設定網域層級存取原則。 |
| 治理網域讀取器 | 讀取治理網域並監視其元數據和功能的能力。 |
| 資料管理人* | 在其控管網域中建立、更新和讀取成品和原則。 也可以從其他治理網域讀取成品。 |
| 數據產品擁有者* | 僅在其控管網域中建立、更新和讀取數據產品。 可以從其他網域讀取成品,以建立概念之間的關聯性。 |
| 資料目錄 讀取器 | 讀取所有網域中目錄的所有已發佈概念。 |
| 數據品質管理人 | 能夠使用數據品質功能,例如數據質量規則管理、數據品質掃描、瀏覽數據品質深入解析、數據品質排程、作業監視、設定閾值和警示。 數據品質管理人是子領域,因此個人也需要 Govennance 網域讀取器和 資料目錄 讀取者角色,才能執行數據品質管理工作。 |
| 數據品質讀取器 | 流覽所有資料品質深入解析、資料品質規則定義和資料品質錯誤檔案。 此角色無法執行數據品質掃描和數據分析作業,而且此角色將無法存取數據分析數據行層級深入解析作為數據行層級深入解析。 這是子路,若要執行此角色,個人也需要治理網域讀取器和 資料目錄 讀取者角色。 |
| 數據品質元數據讀取器 | 瀏覽數據品質深入解析 (,但分析結果數據行層級深入解析) 、數據品質規則定義和規則層級分數除外。 此角色將無法存取錯誤記錄,也無法執行分析和 DQ 掃描作業。 這是子路,若要執行此角色,個人也需要治理網域讀取器和 資料目錄 讀取者角色。 |
| 數據配置檔管理人 | 執行數據分析作業,並可存取流覽分析深入解析詳細數據。 此角色也可以流覽所有資料品質深入解析,並可監視分析作業。 此角色無法建立規則,也無法執行數據質量掃描。 這是子路,若要執行此角色,個人也需要治理網域讀取器和 資料目錄 讀取者角色。 |
| 數據配置檔讀取器 | 此角色將具有流覽所有數據品質深入解析的必要許可權,而且可以向下切入分析結果,以瀏覽數據行層級的統計數據。 這是子路,若要執行此角色,個人也需要治理網域讀取器和 資料目錄 讀取者角色。 |
注意事項
*若要能夠將數據資產新增至數據產品,數據產品擁有者和數據管理人也需要 數據對 應許可權,才能在數據對應中讀取這些數據資產。
如何指派治理網域角色
重要事項
若要在 Microsoft Purview 中指派角色,用戶必須是治理網域中的治理網域擁有者。 此角色是由數據控管系統管理員或治理網域建立者所指派。
治理網域角色會指派在治理網域的 [ 角色 ] 索引卷標下。 如需詳細資訊,請 參閱如何管理治理網域。
搜尋完整 整合式目錄的許可權
整合式目錄 中不需要特定許可權,即可搜尋 整合式目錄。 不過,搜尋 整合式目錄 只會傳回您有權在數據對應中檢視的相關數據資產。
在下列情況下,用戶可以在 整合式目錄 中找到數據資產:
- 使用者在具有目錄讀取者許可權的控管網域中搜尋數據產品
- 使用者至少擁有可用 Azure 或 Microsoft Fabric 資源的讀取許可權
- 使用者具有儲存資產之數據對應中網域或集合的數據讀取者許可權
這些資產的許可權分別在資源層級和數據對應層級進行管理。 如需提供此存取權的詳細資訊,請遵循提供的連結。
提示
如果您的目錄經過妥善策劃,日常商務使用者就不需要搜尋完整的目錄。 他們應該能夠在數據產品中找到所需的數據。 如需設定 整合式目錄 的詳細資訊,請參閱開始使用 整合式目錄,並 整合式目錄 最佳做法。
我需要哪些 整合式目錄 許可權?
| 元素 | 動作 | 數據控管管理員 | 治理網域建立者 | 治理網域擁有者 | 數據目錄讀取器 | 數據管理人 | 數據產品擁有者 | 數據健康情況擁有者 | 數據健康情況讀取器 | 數據品質管理人 | 數據品質讀取器 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 應用程式角色指派 | 讀取 | x | x | ||||||||
| 編輯 | x | x | |||||||||
| 治理網域 | 讀取 | x | x | x | x | x | x | ||||
| 編輯 | x | x | |||||||||
| 資料產品 | 讀取 | x | x | x | x | x | |||||
| 編輯 | x | ||||||||||
| 健康情況專案 | 讀取 | x | x | ||||||||
| 編輯 | x | ||||||||||
| 數據質量專案 | 讀取 | x | x | x | |||||||
| 編輯 | x | ||||||||||
| 數據存取原則 | 讀取 | x | x | x | x | ||||||
| 編輯 | x | x |
注意事項
下表涵蓋基本概念,但不是所有角色,而不是每個角色的所有案例。 如需 完整詳細數據,請參閱角色的完整清單。
整合式目錄 角色
以下是用來存取和管理 整合式目錄 的所有角色完整清單。
| 角色 | 描述 | 權限層級 | 可用的動作 |
|---|---|---|---|
| 數據控管管理員 | 委派治理網域建立者和其他應用層級許可權的第一層存取權。 | 租使用者/組織 | roleassignment/read、roleassignment/write |
| 治理網域建立者 | 建立網域並委派治理網域擁有者 (,或依預設保留控管網域擁有者) 。 | 應用程式 | businessdomain/read、businessdomain/write |
| 治理網域擁有者 | 能夠委派所有其他治理網域許可權、設定數據質量掃描警示,以及設定網域層級存取原則。 | 治理網域 | roleassignment/read、roleassignment/write、businessdomain/read、businessdomain/write、dataquality/scope/read、dataquality/scope/write、 dataquality/scheduledscan/read、dataquality/scheduledscan/write、dataquality/scheduledscan/execute、datahealth/alert/read、datahealth/alert/write、dataquality/monitoring/read、dataquality/monitoring/write、dataproduct/read、glossaryterm/read、okr/read、dataaccess/domainpolicy/read、dataaccess/domainpolicy/write、dataaccess/dataproductpolicy/read、dataaccess/glossarytermpolicy/read |
| 資料目錄 讀取器 | 讀取所有已發佈網域、數據產品、原則和OKR的能力。 | 治理網域 | roleassignment/read、businessdomain/read、dataproduct/read、glossaryterm/read、okr/read、dataaccess/domainpolicy/read、dataaccess/glossarytermpolicy/read |
| 數據管理人 | 建立、更新和讀取其控管網域中的重要數據元素、詞彙、OKR 和原則。 他們也可以讀取並建立與其他治理領域中概念的關聯性。 | 治理網域 | roleassignment/read、businessdomain/read、dataquality/observer/write、 dataproduct/read、data product/curate、glossaryterm/read、glossaryterm/write、okr/read、okr/write、dataaccess/domainpolicy/read、dataaccess/domainpolicy/write、dataaccess/dataproductpolicy/read、dataaccess/dataproductpolicy/write、dataaccess/glossarytermpolicy/read、dataaccess/glossarytermpolicy/write |
| 數據產品擁有者 | 僅在其控管網域中建立、更新和讀取數據產品。 他們也可以讀取和建立與治理領域中概念的關聯性。 | 治理網域 | roleassignment/read、businessdomain/read、dataproduct/write、dataproduct/read、glossaryterm/read、okr/read、dataaccess/domainpolicy/read、dataaccess/dataproductpolicy/read、dataaccess/dataproductpolicy/write、dataaccess/glossarytermpolicy/read |
| 數據健康情況擁有者 | 在健康情況管理中建立、更新和讀取成品。 | 應用程式 | datahealth/read、datahealth/write |
| 數據健康情況讀取器 | 可以在健康情況管理中讀取成品。 | 應用程式 | datahealth/read |
| 數據品質管理人 | 能夠使用數據品質功能,例如數據質量規則管理、數據品質掃描、瀏覽數據分析和數據品質深入解析、數據品質排程、作業監視、設定閾值和警示。 | 治理網域 | businessdomain/read、dataquality/scope/read、dataquality/scope/write、dataquality/scheduledscan/read、dataquality/scheduledscan/write、 dataquality/scheduledscan/execute/action、datahealth/alert/read、datahealth/alert/write、dataquality/monitoring/read、dataquality/monitoring/write、dataquality/connection/write、dataquality/connection/read、dataquality/schemadetection/execute/action、dataquality/observer/read、dataquality/observer/write、dataquality/observer/execute/action, dataquality/history/scores/read, dataquality/history/manifestetails/read, dataquality/history/ruleerrorfile/read, dataquality/history/ruleerrorfile/delete, dataquality/history/delete, dataproduct/read, glossaryterm/read |
| 數據品質讀取器 | 流覽所有資料品質深入解析和資料質量規則定義。 此角色無法執行數據品質掃描和數據分析作業,而且此角色將無法存取數據分析數據行層級深入解析作為數據行層級深入解析。 | 治理網域 | dataquality/connection/read、dataquality/observer/read、dataquality/observer/execute/action、dataquality/history/scores/read、dataquality/history/observeretails/read |
| 數據品質元數據讀取器 | 瀏覽數據品質深入解析 (,但分析結果數據行層級深入解析) 、數據品質規則定義和規則層級分數除外。 此角色將無法存取錯誤記錄,也無法執行分析和 DQ 掃描作業。 這是子路,若要執行此角色,個人也需要治理網域讀者和 資料目錄 讀取者角色。 | 治理網域 | dataquality/connection/read、dataquality/observer/read、dataquality/history/scores/read、dataquality/history/observeretails/read |
| 數據配置檔管理人 | 執行數據分析作業,並可存取流覽分析深入解析詳細數據。 此角色也可以流覽所有資料品質深入解析,並可監視分析作業。 此角色無法建立規則,也無法執行數據質量掃描。 這是子路,若要執行此角色,個人也需要治理網域讀者和 資料目錄 讀取者角色。 | 治理網域 | dataquality/connection/read、dataquality/schemadetection/execute/action、dataquality/profile/read、dataquality/profile/execute/action、dataquality/profilehistory/read、dataquality/profilehistory/delete |
| 數據配置檔讀取器 | 此角色將具有流覽所有分析深入解析的必要許可權,而且可以向下切入分析結果,以瀏覽數據行層級的統計數據。 | 治理網域 | dataquality/connection/read、dataquality/profile/read、dataquality/profilehistory/read |
數據對應許可權
網域和集合 是數據對應用來將資產、來源和其他成品分組到階層中以取得可探索性的工具,以及管理數據對應內的訪問控制。
網域和集合許可權
數據對應會使用一組預先定義的角色來控制誰可以存取帳戶內的內容。 這些角色包括:
- 網域系統管理員 (網 域 層級僅) - 可以指派網域內的許可權並管理其資源。
- 集合管理員 - 用戶必須將角色指派給 Microsoft Purview 治理入口網站或管理集合中其他使用者的角色。 集合管理員可以將使用者新增至其系統管理員所在集合上的角色。 他們也可以編輯集合、其詳細數據,以及新增子集合。 根集合上的集合管理員也會自動擁有 Microsoft Purview 治理入口網站的許可權。 如果您的 根集合管理員 需要變更,您可以 遵循下一節中的步驟。
- 數據編者 - 此角色可讓您存取 Microsoft Purview 整合式目錄 來管理資產、設定自定義分類、建立和管理詞彙,以及檢視數據資產深入解析。 數據編者可以建立、讀取、修改、移動和刪除資產。 它們也可以將批注套用至資產。
- 數據讀 取者 - 此角色提供數據資產、分類、分類規則、集合和詞彙的唯讀存取權。
- 數據源管理員 - 可讓使用者管理數據源和掃描的角色。 如果使用者只被授與給定數據源上 的數據源系統管理員 角色,他們可以使用現有的掃描規則來執行新的掃描。 若要建立新的掃描規則,也必須將使用者授與數據 讀取者 或 數據編者 角色。
- 深入解析讀取者 - 一種角色,可讓您只讀存取集合的深入解析報表,其中深入解析讀取者也至少具有 數據讀取者 角色。 如需詳細資訊,請參閱 深入解析許可權。
- 原則作者 - 此角色可讓使用者透過 Microsoft Purview 內的數據原則應用程式來檢視、更新和刪除 Microsoft Purview 原則。
- 工作流程管理員 - 此角色可讓使用者存取 Microsoft Purview 治理入口網站中的工作流程撰寫頁面,並在具有訪問許可權的集合上發佈工作流程。 工作流程系統管理員只能存取撰寫,因此至少需要集合的數據讀取者許可權,才能存取 Purview 治理入口網站。
注意事項
此時,Microsoft Purview 原則作者角色不足以建立原則。 也需要 Microsoft Purview 數據源管理員角色。
重要事項
建立帳戶的使用者會在預設網域上自動指派網域管理員,並在根集合上指派集合管理員。
新增角色指派
開啟 Microsoft Purview 資料對應。
選取您要新增角色指派的網域或集合。
選取 [ 角色指派] 索引標籤 ,以查看集合或網域中的所有角色。 只有集合管理員或網域管理員可以管理角色指派。
![Microsoft Purview 治理入口網站集合視窗的螢幕快照,其中已醒目提示 [角色指派] 索引卷標。](media/include-manage-domain-collection-roles/select-role-assignments.png)
選取 [編輯角色指派] 或人員圖示,以編輯每個角色成員。
![Microsoft Purview 治理入口網站集合視窗的螢幕快照,其中已選取 [編輯角色指派] 下拉式清單。](media/include-manage-domain-collection-roles/edit-role-assignments.png)
在文字框中輸入 ,以搜尋您要新增至角色成員的使用者。 選 取 [X ] 以移除您不想要新增的成員。
選取 [確定 ] 以儲存您的變更,您會看到新使用者反映在角色指派清單中。
拿掉角色指派
選取使用者名稱旁邊的 [X ] 按鈕,以移除角色指派。
![Microsoft Purview 治理入口網站集合視窗的螢幕快照,其中已選取 [角色指派] 索引卷標,且其中一個名稱旁邊的 x 按鈕已醒目提示。](media/include-manage-domain-collection-roles/remove-role-assignment.png)
選取 [確認 您是否確定要移除使用者]。
![確認彈出視窗的螢幕快照,其中已醒目提示 [確認] 按鈕。](media/include-manage-domain-collection-roles/confirm-remove.png)
限制繼承
集合許可權會自動繼承自父集合。 您可以使用 [限制繼承的許可權] 選項,隨時限制父集合的繼承。
注意事項
目前無法限制來自預設網域的許可權。 在預設網域指派的任何許可權都會由網域的直接子集合繼承。
限制繼承之後,您必須將使用者直接新增至受限制的集合,以授與他們存取權。
流覽至您要限制繼承的集合,然後選取 [ 角色指派] 索引標籤 。
選 取 [限制繼承的 許可權],然後在快顯對話框中選取 [ 限制存取 ],以移除此集合和任何子集合的繼承許可權。 集合系統管理員許可權不會受到影響。
![Microsoft Purview 治理入口網站集合視窗的螢幕快照,其中已選取 [角色指派] 索引卷標,並醒目提示 [限制繼承的許可權] 投影片按鈕。](media/include-manage-domain-collection-roles/restrict-access-inheritance.png)
在限制之後,繼承的成員會從集合管理員預期的角色中移除。
再次選取 [ 限制繼承的許可權 ] 切換按鈕以還原。
![Microsoft Purview 治理入口網站集合視窗的螢幕快照,其中已選取 [角色指派] 索引卷標,並醒目提示 [不受限制繼承的許可權] 投影片按鈕。](media/include-manage-domain-collection-roles/remove-restriction.png)
提示
如需集合中可用角色的詳細資訊,請 參閱應指派哪些角色數據表 或 集合範例的人員。
數據訪問許可權
數據訪問許可權是使用者在其 Azure 數據源上已經擁有的許可權。 這些現有的許可權也會根據許可權層級,授與存取和管理這些來源元數據的許可權:
目前,這些功能僅適用於某些 Azure 來源:
| 資料來源 | 讀取者許可權 |
|---|---|
| Azure SQL Database | 讀取器或 這些動作。 |
| Azure Blob 儲存體 | 讀取器或 這些動作。 |
| Azure Data Lake Storage Gen2 | 讀取器或 這些動作。 |
| Azure 訂用帳戶 | 訂用帳戶或這些動作的讀取權 限。 |
讀取者角色包含足夠的許可權,但如果您要建置自訂角色,您的使用者必須包含下列動作:
| 資料來源 | 讀取者許可權 |
|---|---|
| Azure SQL Database | “Microsoft.Sql/servers/read”、“Microsoft.Sql/servers/databases/read”、“Microsoft.Sql/servers/databases/schemas/read”、“Microsoft.Sql/servers/databases/schemas/tables/read”、“Microsoft.Sql/servers/databases/schemas/tables/columns/read” |
| Azure Blob 儲存體 | “Microsoft.Storage/storageAccounts/read”、“Microsoft.Storage/storageAccounts/blobServices/read”、“Microsoft.Storage/storageAccounts/blobServices/containers/read” |
| Azure Data Lake Storage Gen2 | “Microsoft.Storage/storageAccounts/read”、“Microsoft.Storage/storageAccounts/blobServices/read”、“Microsoft.Storage/storageAccounts/blobServices/containers/read” |
| Azure 訂用帳戶 | “Microsoft.Resources/subscriptions/resourceGroups/read” |
讀取者許可權
在可用 Azure 資源上至少具有讀者角色的使用者,也可以存取免費和企業帳戶類型的這些資源元數據。
用戶可以在 整合式目錄 中搜尋和流覽來自這些來源的資產,並檢視其元數據。
這些是資源上需要的許可權,讓用戶被視為「讀者」:
| 資料來源 | 讀取者許可權 |
|---|---|
| Azure SQL Database | 讀取器或 這些動作。 |
| Azure Blob 儲存體 | 讀取器或 這些動作。 |
| Azure Data Lake Storage Gen2 | 讀取器或 這些動作。 |
| Azure 訂用帳戶 | 訂用帳戶或這些動作的讀取權 限。 |
擁有者許可權
具有可用 Azure 資源擁有者角色或寫入許可權的使用者,可以免費和企業帳戶類型存取和編輯這些資源的元數據。
擁有使用者可以在 整合式目錄 中搜尋和瀏覽來自這些來源的資產,並檢視其元數據。 他們也可以更新和管理這些資源的元數據。 如需此元數據策劃的詳細資訊,請參閱我們的 元數據數據指標一文。
這些是將使用者視為「擁有者」之資源所需的許可權:
| 資料來源 | 擁有者權限 |
|---|---|
| Azure SQL Database | “Microsoft.Sql/servers/write”、“Microsoft.Sql/servers/databases/write”、“Microsoft.Authorization/roleAssignments/write” |
| Azure Blob 儲存體 | “Microsoft.Storage/storageAccounts/write”, “Microsoft.Authorization/roleAssignments/write” |
| Azure Data Lake Storage Gen2 | “Microsoft.Storage/storageAccounts/write”, “Microsoft.Authorization/roleAssignments/write” |
免費版本中的許可權
所有使用者都可以檢視可用來源的數據資產,其中至少有 讀 取許可權。 擁有權的用戶能夠管理至少已擁有擁有者/寫入許可權之可用資產的元數據。 如需詳細資訊,請參閱 數據訪問許可權一節。
您也可以使用 租用戶層級角色群組來指派額外的許可權。
重要事項
針對在 Microsoft Entra ID 中新建立的使用者,即使套用了正確的許可權,許可權也可能需要一些時間才能傳播。
企業版中的許可權
所有使用者都可以檢視可用來源的數據資產,其中至少有 讀 取許可權。 擁有的用戶能夠管理資產的元數據,這些資產至少已經有 擁有者/寫 入許可權。 如需詳細資訊,請參閱 數據訪問許可權一節。
您也可以使用 租用戶層級角色群組來指派額外的許可權。
您也可以在數據對應中指派許可權,讓使用者可以在數據對應中瀏覽資產,或 整合式目錄 他們還沒有數據存取權的搜尋。
整合式目錄 許可權可以指派給使用者,以授與目錄的許可權,以建置其數據控管解決方案。
數據資產生命週期範例
若要瞭解許可權在數據對應與 整合式目錄 之間的運作方式,請檢閱下表,瞭解環境中 Azure SQL 數據表的完整生命週期:
| 步驟 | 角色 | 角色指派層級 |
|---|---|---|
| 1.Azure SQL 資料庫已在數據對應中註冊 | 數據源系統管理員 | 數據對應許可權 |
| 2.在數據對應中掃描 Azure SQL 資料庫 | 數據編者或數據源管理員 | 數據對應許可權 |
| 3.Azure SQL 數據表經過策劃和認證 | 數據編者 | 數據對應許可權 |
| 4.在 Microsoft Purview 帳戶中建立治理網域 | 治理網域建立者 | 應用層級角色 |
| 5.在治理網域中建立數據產品 | 控管網域擁有者和/或數據產品擁有者 | 治理網域層級角色 |
| 6.Azure SQL 數據表會新增為數據產品的資產 | 數據產品擁有者和/或管理人 | 治理網域層級角色 |
| 7.存取原則已新增至數據產品 | 數據產品擁有者和/或管理人 | 治理網域層級角色 |
| 8.用戶搜尋 整合式目錄,尋找符合其需求的數據資產 | 資產許可權或數據讀取者許可權 | 資產許可權 或 數據對應許可權 |
| 9.用戶搜尋數據產品,尋找符合其需求的產品 | 資料目錄 讀取器 | 應用層級角色 |
| 10.使用者要求存取數據產品中的資源 | 資料目錄 讀取器 | 應用層級角色 |
| 11. 使用者檢視數據健康情況深入解析,以追蹤其 資料目錄 | 數據健康情況讀取器 | 應用層級角色 |
| 12.使用者想要開發新的報表,以追蹤其目錄中的數據健康情況進度 | 數據健康情況擁有者 | 應用層級角色 |