Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
In diesem Artikel werden Microsoft Purview-Datengovernanceberechtigungen im neuen Microsoft Purview-Portal mit Microsoft Purview Unified Catalog behandelt.
- Wenn Sie die klassische Data Catalog verwenden, finden Sie weitere Informationen unter Governanceberechtigungen für die klassische Data Catalog.
- Informationen zu Datengovernanceberechtigungen im klassischen Microsoft Purview-Portal finden Sie unter Berechtigungen im klassischen Microsoft Purview-Governanceportal.
Microsoft Purview Data Governance verfügt über zwei Lösungen im Microsoft Purview-Portal: Data Map und Unified Catalog. Diese Lösungen verwenden Berechtigungen auf Mandanten-/Organisationsebene, vorhandene Datenzugriffsberechtigungen und Domänen-/Sammlungsberechtigungen, um Benutzern Zugriff auf Governancetools und Datenressourcen zu gewähren.
Die Art der verfügbaren Berechtigungen hängt vom Typ Ihres Microsoft Purview-Kontos ab.
Überprüfen Des Kontotyps
Überprüfen Sie, ob Ihr organization über das Konto "Free" oder "Enterprise" verfügt. Um Ihren Kontotyp zu überprüfen, wechseln Sie zum Microsoft Purview-Portal, und wählen Sie die Karte Einstellungen aus. Zeigen Sie unter Konto Ihren Kontotyp an.
Wichtig
Bei Benutzern, die in Microsoft Entra ID neu erstellt wurden, kann es einige Zeit dauern, bis Berechtigungen weitergegeben werden, auch wenn die richtigen Berechtigungen angewendet wurden.
Berechtigungen in der Unternehmensversion
Alle Benutzer können Datenressourcen für verfügbare Quellen anzeigen, bei denen sie mindestens über Leseberechtigungen verfügen. Benutzer, die Besitzer sind, können die Metadaten für Ressourcen verwalten, bei denen sie mindestens über Besitzer-/Schreibberechtigungen verfügen. Erfahren Sie mehr über Microsoft Azure-Rollen.
Berechtigungstypen
- Mandanten-/organization-Berechtigungen: Diese Berechtigungen sind auf Organisationsebene zugewiesen und bieten allgemeine und administrative Berechtigungen.
- Unified Catalog Berechtigungen: Mit diesen Berechtigungen können Benutzer Unified Catalog durchsuchen und ihre Datengovernancelösungen erstellen.
- Data Map-Domänen- und Sammlungsebenenberechtigungen: Berechtigungen in Data Map, die Zugriff auf Datenressourcen in Microsoft Purview gewähren.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.
Rollengruppen auf Mandantenebene
Rollengruppen auf Organisationsebene bieten allgemeine und administrative Berechtigungen für Microsoft Purview Data Map und Unified Catalog. Wenn Sie Ihr Microsoft Purview-Konto oder die Datengovernancestrategie Ihrer organization verwalten, müssen Sie wahrscheinlich zu einer oder mehreren dieser Rollengruppen gehören:
- Purview-Administratoren
- Datenquellenadministratoren
- Datengovernance
Weitere Informationen finden Sie unter Beschreibungen dieser Rollen.
Eine vollständige Liste aller verfügbaren Rollen und Rollengruppen, nicht nur für Datengovernance, finden Sie unter Rollen und Rollengruppen im Microsoft Defender XDR- und Microsoft Purview-Portal.
Zuweisen und Verwalten von Rollengruppen
Ein Benutzer muss die Rollenverwaltungsrolle besitzen, um Einer Microsoft Purview-Rollengruppe Benutzer oder Gruppen hinzufügen zu können. Anweisungen zum Zuweisen und Verwalten von Rollen in Microsoft Purview finden Sie unter Berechtigungen in Microsoft Purview.
Unified Catalog-Berechtigungen
Drei Berechtigungsebenen gewähren Benutzern Zugriff auf Informationen in Unified Catalog:
Datengovernance-Mandantenebene: Eine Rollengruppe auf Mandanten-/Organisationsebene, die über die Rolle Data Governance Admin verfügt. Diese Rolle delegiert die erste Zugriffsebene für Governancedomänenersteller. (Diese Rolle wird nicht in Unified Catalog angezeigt, sondern wirkt sich auf Ihre Fähigkeit aus, Berechtigungen in Unified Catalog zuzuweisen.)
Berechtigungen auf Katalogebene: Berechtigungen, die Governancedomänen Besitz und Zugriff auf die Integritätsverwaltung gewähren.
Berechtigungen auf Governancedomänenebene: Berechtigungen für den Zugriff auf und die Verwaltung von Ressourcen innerhalb bestimmter Governancedomänen.
Berechtigungen zum Durchsuchen des vollständigen Unified Catalog
Sie benötigen keine bestimmten Berechtigungen in Unified Catalog, um die Unified Catalog zu durchsuchen. Bei der Suche nach Unified Catalog werden jedoch nur relevante Datenressourcen zurückgegeben, die Sie in Data Map anzeigen können. Benutzer können eine Datenressource in Unified Catalog finden, wenn:
- Sie durchsuchen Datenprodukte in einer Governancedomäne, in der sie über Katalogleseberechtigungen verfügen.
- Sie verfügen über Datenleserberechtigungen für eine Domäne oder Sammlung in Data Map , in der das Medienobjekt gespeichert ist.
- Sie verfügen mindestens über Leseberechtigungen für eine verfügbare Azure- oder Microsoft Fabric-Ressource.
Wichtig
Benutzer, die bereits über Leseberechtigungen in Azure verfügen, haben möglicherweise Zugriff auf Ressourcen in Unified Catalog, die Sie nicht beabsichtigt haben. Wenn Sie nicht möchten, dass sie über einen solchen Zugriff verfügen, müssen Sie ihre Berechtigungen entfernen.
Sie verwalten Berechtigungen für diese Ressourcen auf Ressourcenebene und auf Data Map-Ebene.
Wenn Ihr Katalog gut zusammengestellt ist, sollten tägliche Geschäftsbenutzer nicht den vollständigen Katalog durchsuchen müssen. Sie sollten in der Lage sein, die benötigten Daten in Datenprodukten zu finden. Weitere Informationen zum Einrichten der Unified Catalog finden Sie unter Erste Schritte mit Der Datengovernance und Planen der Unified Catalog.
Berechtigungen auf Katalogebene
Berechtigungen auf Katalogebene bieten allgemeinen Zugriff innerhalb Unified Catalog und umfassen die folgenden Rollen:
- Ersteller der Governancedomäne
- Globaler Katalogleser
- Datenintegritätsbesitzer
- Datenintegritätsleser
Weitere Informationen finden Sie unter Beschreibungen dieser Rollen.
Zuweisen von Rollen auf Katalogebene
- Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto an, dem die Data Governance-Rolle zugewiesen ist.
- Wechseln Sie zu Einstellungen, und wählen Sie Unified Catalog aus.
- Wählen Sie Rollen und Berechtigungen aus.
- Wählen Sie Governancedomänenersteller oder eine andere Rolle aus, und wählen Sie dann das Symbol Benutzer hinzufügen aus.
- Suchen Sie nach dem Benutzer, den Sie hinzufügen möchten, und wählen Sie dann den Benutzer aus.
- Klicken Sie auf Speichern.
Berechtigungen auf Governancedomänenebene
Governancedomänenberechtigungen bieten Zugriff innerhalb einer bestimmten Governancedomäne. Erteilen Sie diese Berechtigungen Datenexperten und Geschäftsbenutzern, damit sie Objekte innerhalb der Governancedomäne lesen und verwalten können. Nur ein Benutzer mit der Rolle "Governancedomänenbesitzer " kann Governancedomänenberechtigungen erteilen.
Sehen Sie sich die Liste dieser Rollen und Beschreibungen an.
Tipp
Ein Benutzer in Ihrem organization, der Datengovernance oder Unified Catalog ausführt, sollte die Rolle Governancedomänenbesitzer besitzen. Diese Rolle ist für die Erstellung von Entitäten wie Governancedomänen, Datenprodukten und Glossarbegriffen unerlässlich. Weisen Sie mindestens zwei Personen als Governancedomänenbesitzer zu.
Zuweisen von Governancedomänenrollen
Ein Benutzer muss ein Governancedomänenbesitzer in der Governancedomäne sein, um Governancedomänenrollen zuweisen zu können. Data Governance-Administratoren oder Governancedomänenersteller weisen diese Rolle zu.
Zuweisen von Governancedomänenrollen auf der Registerkarte Rollen in einer Governancedomäne. Anweisungen zum Zuweisen von Rollen finden Sie unter Verwalten von Governancedomänen.
Unified Catalog Rollen
Wichtig
Stellen Sie sicher, dass Sie den Unterschied zwischen den beiden Katalogleserollen verstehen:
Der globale Katalogleser ermöglicht Benutzern den Zugriff auf veröffentlichte Geschäftskonzepte aus veröffentlichten Governancedomänen.
Der Lokale Katalogleser reduziert den Zugriff auf Governancedomänen erheblich. Wenn Sie benutzer dieser Rolle innerhalb einer Governancedomäne zuweisen:
- Nur diese Benutzer haben Lesezugriff auf veröffentlichte Konzepte innerhalb dieser Governancedomäne.
- Ein Benutzer mit dieser Rolle kann auch andere Rollen wie Datenproduktbesitzer oder Data Steward besitzen, mit denen er veröffentlichte Geschäftskonzepte aus anderen Governancedomänen anzeigen kann.
Die Rolle "Leser des lokalen Katalogs " ist hilfreich, wenn Sie z. B. den Zugriff auf eine Governancedomäne einschränken müssen, um gesetzliche oder gesetzliche Anforderungen zu erfüllen. Die übermäßige Verwendung dieser Rolle behindert jedoch einen Verbundansatz für die Datengovernance.
Hinweis
Die Dateneinblickbarkeit verwendet die gleichen Rollen wie der Rest der Unified Catalog. Katalogleser können nicht auf die breitere Ansicht des Data Observability-Explorers in der Integrität des Datenbestands zugreifen, und sie können nur veröffentlichte Konzepte anzeigen. Data Steward, Data Product Owners, Governance Domain Owners und Governance Domain Creators haben Zugriff auf Datenbeobachtbarkeitsansichten sowohl in den Konzepten, die sie anzeigen können, als auch in der Datenintegritätsverwaltungsansicht, die eine umfassendere Untersuchung und Ansicht über den gesamten Datenbestand ermöglicht.
| Berechtigungsstufe | Rolle | Beschreibung |
|---|---|---|
| Mandant | Data Governance-Rollengruppe | Gewährt Zugriff auf Datengovernancerollen in Microsoft Purview. |
| Rollengruppe "Datenquellenadministratoren" | Verwalten von Datenquellen und Datenscans im Microsoft Purview Data Map. | |
| Rollengruppe "Purview-Administratoren" | Erstellen, Bearbeiten und Löschen von Domänen und Ausführen von Rollenzuweisungen. | |
| Katalog | Data Governance-Administrator | Delegiert die erste Zugriffsebene für Governance Domain Creators und andere Berechtigungen auf Katalogebene. |
| Datenintegritätsbesitzer | Kann Artefakte im Bereich Integritätsverwaltung von Unified Catalog erstellen, aktualisieren und lesen. | |
| Datenintegritätsleser | Kann Artefakte im Bereich Integritätsverwaltung von Unified Catalog lesen. | |
| Globaler Katalogleser | Kann veröffentlichte Artefakte über Governancedomänen hinweg lesen, für die kein lokaler Katalogleser angegeben ist. | |
| Ersteller der Governancedomäne | Kann Domänen erstellen und Governancedomänenbesitzer delegieren (oder bleibt standardmäßig Besitzer der Governancedomäne). | |
| Governancedomäne | Datenproduktbesitzer* | Datenprodukte können nur innerhalb ihrer Governancedomäne erstellt, aktualisiert und gelesen werden. Kann Beziehungen mit Konzepten in Governancedomänen lesen und aufbauen. |
| Datenprofilleser | Hat Zugriff auf Datenprofilerkenntnisse und kann einen Drilldown der Profilerstellungsergebnisse ausführen, um die Statistiken auf Spaltenebene zu durchsuchen. Dies ist eine Untergeordnete Rolle, die erfordert, dass der Benutzer auch den Governancedomänenleserund entweder die Rolle Globaler Katalogleser oder Leser des lokalen Katalogs besitzen muss. | |
| Data Profile Steward | Kann Datenprofilerstellungsaufträge ausführen und auf Details zur Profilerstellung zugreifen. Diese Rolle kann auch alle Erkenntnisse zur Datenqualität durchsuchen und Profilerstellungsaufträge überwachen. Diese Rolle kann keine Regeln erstellen und keine Datenqualitätsüberprüfung ausführen. Dies ist eine Untergeordnete Rolle, für die der Benutzer auch die Rollen GovernancedomänenleserundDatenproduktbesitzer besitzen muss. | |
| Data Quality Metadata Reader | Kann Datenqualitätserkenntnisse (mit Ausnahme von Erkenntnissen zur Profilerstellungsergebnisse auf Spaltenebene), Datenqualitätsregeldefinitionen und Bewertungen auf Regelebene durchsuchen. Diese Rolle kann nicht auf Fehlerdatensätze zugreifen und keine Profilerstellungs- und Datenqualitätsüberprüfungsaufträge ausführen. Dies ist eine Untergeordnete Rolle, die erfordert, dass der Benutzer auch den Governancedomänenleserund entweder die Rolle Globaler Katalogleser oder Leser des lokalen Katalogs besitzen muss. | |
| Data Quality Reader | Kann alle Datenqualitätserkenntnisse und Datenqualitätsregelndefinitionen durchsuchen. Diese Rolle kann keine Datenqualitätsüberprüfungs- und Datenprofilerstellungsaufträge ausführen und kann nicht als Erkenntnis auf Spaltenebene auf Datenprofilerstellung zugreifen. Dies ist eine Untergeordnete Rolle, die erfordert, dass der Benutzer auch den Governancedomänenleserund entweder die Rolle Globaler Katalogleser oder Leser des lokalen Katalogs besitzen muss. | |
| Data Quality Steward | Kann Data Quality-Features wie Data Quality Rule Management, Data Quality Scanning, Durchsuchen von Datenqualitätserkenntnissen, Datenqualitätsplanung, Auftragsüberwachung und Konfigurieren von Schwellenwerten und Warnungen verwenden. Dies ist eine Untergeordnete Rolle, für die der Benutzer auch die Rollen GovernancedomänenleserundDatenproduktbesitzer besitzen muss. | |
| Data Steward* | Kann Artefakte und Richtlinien innerhalb ihrer Governancedomäne erstellen, aktualisieren und lesen. Kann auch Artefakte aus anderen Governancedomänen lesen. | |
| Governancedomänenbesitzer | Kann alle anderen Governancedomänenberechtigungen delegieren, Warnungen zur Datenqualitätsüberprüfung auf Domänenebene konfigurieren, einen Zeitplan auf Domänenebene für den Auftrag zur Überprüfung der Datenqualität einrichten und Zugriffsrichtlinien auf Domänenebene festlegen. | |
| Governancedomänenleser | Kann Governancedomänenmetadaten für veröffentlichte Domänen lesen, zu der sie hinzugefügt wurden. | |
| Lokaler Katalogleser | Veröffentlichte Konzepte können nur in der Governancedomäne gelesen werden, auf die ihnen Zugriff gewährt wird. Da diese Rolle den Umfang der Personen, die auf Daten zugreifen und diese verwalten können, stark einschränkt, wird empfohlen, die Verwendung dieser Rolle einzuschränken, damit Sie einen Verbundansatz für die Datengovernance besser nutzen können. |
*Um einem Datenprodukt Datenressourcen hinzufügen zu können, benötigen Datenproduktbesitzer und Data Stewards auch Data Map-Berechtigungen, um diese Datenassets in Data Map zu lesen.
Data Map-Berechtigungen
Data Map verwendet eine Reihe vordefinierter Rollen, um zu steuern, wer auf was innerhalb des Kontos zugreifen kann. Domänen und Sammlungen sind Tools, die von Data Map zum Gruppieren von Ressourcen, Quellen und anderen Artefakten in einer Hierarchie zur Auffindbarkeit und zum Verwalten der Zugriffssteuerung in Data Map verwendet werden.
Hier finden Sie eine Beschreibung der einzelnen Rollen, und erfahren Sie, wie Sie Rollen hinzufügen und den Zugriff über Sammlungen einschränken.
Ausführlichere Informationen zu den in Sammlungen verfügbaren Rollen finden Sie im Beispiel, wer welche Rollen zugewiesen werden soll.
Tipp
Wenn Sie Data Steward oder Data Product Owner für Unified Catalog sind, sollten Sie auch über Data Map-Berechtigungen verfügen.
Beispiel für den Lebenszyklus von Datenressourcen
Informationen zur Funktionsweise von Berechtigungen zwischen Data Map und Unified Catalog finden Sie in der folgenden Tabelle zum vollständigen Lebenszyklus einer Azure SQL Tabelle in der Umgebung:
| Schritt | Rolle | Berechtigungsstufe |
|---|---|---|
| 1. Die Azure SQL-Datenbank ist in Data Map registriert. | Datenquellenadministrator | Data Map |
| 2. Die Azure SQL Datenbank wird in Data Map gescannt | Datenkurator oder Datenquellenadministrator | Data Map |
| 3. Die Azure SQL Tabelle ist kuratiert und zertifiziert | Datenkurator | Data Map |
| 4. Eine Governancedomäne wird im Microsoft Purview-Konto erstellt. | Ersteller der Governancedomäne | Katalog |
| 5. Ein Datenprodukt wird in der Governancedomäne erstellt. | Governancedomänenbesitzer und/oder Datenproduktbesitzer | Governancedomäne |
| 6. Die Azure SQL Tabelle wird dem Datenprodukt als Ressource hinzugefügt. | Datenproduktbesitzer und/oder Steward | Governancedomäne |
| 7. Dem Datenprodukt wird eine Zugriffsrichtlinie hinzugefügt. | Datenproduktbesitzer und/oder Steward | Governancedomäne |
| 8. Ein Benutzer sucht Unified Catalog und sucht nach Datenressourcen, die seinen Anforderungen entsprechen | Ressourcenberechtigungen oder Datenleseberechtigungen | Ressourcenberechtigungen oder Data Map-Berechtigungen |
| 9. Ein Benutzer durchsucht Datenprodukte und sucht nach einem Produkt, das seinen Anforderungen entspricht | Globaler Katalogleser | Katalog |
| 10. Ein Benutzer fordert Zugriff auf die Ressourcen im Datenprodukt an | Globaler Katalogleser | Katalog |
| 11. Ein Benutzer zeigt Data Health Insights an, um die Integrität seiner Data Catalog | Datenintegritätsleser | Katalog |
| 12. Ein Benutzer möchte einen neuen Bericht entwickeln, um den Fortschritt der Datenintegrität in ihrem Katalog nachzuverfolgen. | Datenintegritätsbesitzer | Katalog |