重要
この記事では、Microsoft Purview 統合カタログを使用した新しい Microsoft Purview ポータルでの Microsoft Purview データ ガバナンスのアクセス許可について説明します。
- クラシック Data Catalogを使用している場合は、クラシック Data Catalogのガバナンスアクセス許可に関するページを参照してください。
- 従来の Microsoft Purview ポータルでのデータ ガバナンスのアクセス許可については、従来の Microsoft Purview ガバナンス ポータルのアクセス許可に関するページを参照してください。
Microsoft Purview データ ガバナンスには、Microsoft Purview ポータルにデータ マップと統合カタログという 2 つのソリューションがあります。 これらのソリューションでは、テナント/組織レベルのアクセス許可、既存のデータ アクセス許可、ドメイン/コレクションのアクセス許可を使用して、ガバナンス ツールとデータ資産へのアクセスをユーザーに提供します。
使用できるアクセス許可の種類は、Microsoft Purview アカウントの種類によって異なります。
アカウントの種類を確認する
organizationに無料またはエンタープライズの種類のアカウントがあるかどうかを確認します。 アカウントの種類をチェックするには、Microsoft Purview ポータルに移動し、[設定] カードを選択します。 [ アカウント] で、 アカウントの種類を表示します。
![Microsoft Purview ポータルの [設定] ページのスクリーンショット。](media/roles-permissions/check-your-account-type.png)
重要
Microsoft Entra IDで新しく作成されたユーザーの場合、正しいアクセス許可が適用された後でもアクセス許可が反映されるまでに時間がかかる場合があります。
エンタープライズ バージョンのアクセス許可
すべてのユーザーは、少なくとも 既に読み取り アクセス許可を持っている使用可能なソースのデータ資産を表示できます。 所有者であるユーザーは、少なくとも所有者 /書き込み アクセス許可が既にある資産のメタデータを管理できます。 Azure ロールの詳細については、こちらをご覧ください。
アクセス許可の種類
- テナント/organizationアクセス許可: 組織レベルで割り当てられ、一般的なアクセス許可と管理アクセス許可が提供されます。
- 統合カタログアクセス許可: ユーザーが統合カタログを参照し、データ ガバナンス ソリューションを構築できるようにします。
- データ マップ ドメインとコレクション レベルのアクセス許可: Microsoft Purview のデータ資産へのアクセスを許可する Data Map のアクセス許可。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
テナント レベルの役割グループ
組織レベルで割り当てられたテナント レベルの役割グループは、Microsoft Purview データ マップと統合カタログの両方に対して一般的なアクセス許可と管理アクセス許可を提供します。 Microsoft Purview アカウントまたはorganizationのデータ ガバナンス戦略を管理する場合は、次の役割グループの 1 つ以上に属している必要があります。
- Purview 管理者
- データ ソース管理者
- データ ガバナンス
データ ガバナンスだけでなく、使用可能なすべてのロールと役割グループの完全な一覧については、Microsoft Defender XDRポータルと Microsoft Purview ポータルのロールと役割グループに関するページを参照してください。
役割グループを割り当てて管理する方法
ユーザーまたはグループを Microsoft Purview ロール グループに追加するには、ユーザーがロール管理ロールを保持している必要があります。 Microsoft Purview でのロールの割り当てと管理の手順については、 Microsoft Purview のアクセス許可に関するページを参照してください。
アクセス許可の統合カタログ
ユーザーが統合カタログの情報にアクセスできるようにするためのアクセス許可には、次の 3 つのレベルがあります。
データ ガバナンス テナント レベル: データ ガバナンス 管理 ロールを持つテナント/組織レベルの役割グループ。 このロールは、ガバナンス ドメイン作成者の最初のレベルのアクセス権を委任します。 (このロールは統合カタログでは表示されませんが、統合カタログでアクセス許可を割り当てる機能に影響します)。
カタログ レベルのアクセス許可: ガバナンス ドメインに所有権を付与し、正常性管理にアクセスするためのアクセス許可。
ガバナンス ドメイン レベルのアクセス許可: 特定のガバナンス ドメイン内のリソースにアクセスして管理するためのアクセス許可。
完全な統合カタログを検索するためのアクセス許可
統合カタログで統合カタログを検索できるようにするために、特定のアクセス許可は必要ありません。 ただし、統合カタログを検索すると、Data Map で表示するアクセス許可を持つ関連するデータ資産のみが返されます。 ユーザーは、次の場合に統合カタログでデータ資産を見つけることができます。
- ユーザーは、カタログ 閲覧者のアクセス許可を持つガバナンス ドメイン内の データ製品を検索 します。
- ユーザーは、資産が格納されている Data Map 内のドメインまたはコレクションに対するデータ リーダーのアクセス許可 を持っています。
- ユーザーは、 使用可能な Azure または Microsoft Fabric リソースに対する読み取りアクセス許可を少なくとも持っています。
重要
Azure で既に読み取りアクセス許可を持っているユーザーは、自分が持つつもりがなかった統合カタログの資産にアクセスできる可能性があります。 このようなアクセス権を持たせたくない場合は、 アクセス許可を削除する必要があります。
これらの資産に対するアクセス許可は、それぞれリソース レベルとデータ マップ レベルで管理されます。
カタログが適切にキュレーションされている場合、日常のビジネス ユーザーは完全なカタログを検索する必要はありません。 データ製品で必要なデータを見つけることができるはずです。 統合カタログの設定の詳細については、「データ ガバナンスの概要」および「統合カタログの計画」を参照してください。
カタログ レベルのアクセス許可
カタログ レベルのアクセス許可は、統合カタログ内の高レベルのアクセスのみを提供し、次のロールで構成されます。
- ガバナンス ドメイン作成者
- グローバル カタログ リーダー
- データ正常性所有者
- データ正常性リーダー
カタログ レベルのロールを割り当てる方法
- データ ガバナンス ロールが割り当てられている管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
- [設定] に移動し、[統合カタログ] を選択します。
- [ ロールとアクセス許可] を選択します。
- [ ガバナンス ドメインの作成者 ] または別のロールを選択し、[ユーザーの追加] アイコンを選択します。
- 追加するユーザーを検索し、ユーザーを選択します。
- [保存] を選択します。
ガバナンス ドメイン レベルのアクセス許可
ガバナンス ドメインのアクセス許可は、特定の ガバナンス ドメイン内でアクセスを提供します。 これらのアクセス許可は、ガバナンス ドメイン内のオブジェクトの読み取りと管理を行うために、データエキスパートとビジネス ユーザーに付与する必要があります。 ガバナンス ドメインのアクセス許可は、 ガバナンス ドメイン所有者 ロールを持つユーザーのみが付与できます。
これらのロールと説明の一覧を表示します。
ヒント
ガバナンス ドメイン所有者ロールは、データ ガバナンスまたは統合カタログを実行するユーザーがorganizationに保持することが重要です。 このロールは、ガバナンス ドメイン、データ製品、用語集の用語などのエンティティを構築するために不可欠な役割です。 少なくとも 2 人がガバナンス ドメインの所有者として割り当てられていることをお勧めします。
ガバナンス ドメイン ロールを割り当てる方法
ガバナンス ドメイン ロールを割り当てるには、ユーザーがガバナンス ドメインの所有者である必要があります。 このロールは、データ ガバナンス管理者またはガバナンス ドメイン作成者によって割り当てられます。
ガバナンス ドメインのロールは、ガバナンス ドメインの [ ロール ] タブで割り当てられます。 ロールを割り当てる手順については、 ガバナンス ドメインを管理する方法に関するページを参照してください。
ロールの統合カタログ
重要
2 つのカタログ閲覧者ロールの違いを理解していることを確認してください。
グローバル カタログ リーダー を使用すると、公開されたガバナンス ドメインから公開されたビジネス概念にユーザーがアクセスできます。
ローカル カタログ リーダーを使用 すると、ガバナンス ドメインへのアクセスが大幅に削減されます。 ガバナンス ドメイン内でユーザーをこのロールに割り当てる場合:
- これらのユーザーのみが、そのガバナンス ドメイン内の公開された概念に閲覧者アクセス権を持つことになります。
- このロールを持つユーザーは、Data Product Owner や Data Steward などの他のロールを保持して、他のガバナンス ドメインから公開されたビジネス概念を表示することもできます。
ローカル カタログ閲覧者ロールは、たとえば、規制または法的要件を満たすためにガバナンス ドメインへのアクセスを制限する必要がある場合に役立ちます。 ただし、このロールの過剰使用は、 データ ガバナンスに対するフェデレーション アプローチを妨げるものです。
注:
データ監視は、統合カタログの残りの部分と同じロールを使用します。 カタログ 閲覧者は、データ資産の正常性に関する広範な Data Observability エクスプローラー ビューにアクセスできず、公開された概念のみを表示できます。 Data Steward、Data Product Owner、Governance Domain Owner、Governance Domain Creators は、表示できる概念と、完全なデータ資産全体にわたる広範な探索とビューを可能にするデータ正常性管理ビューの両方で、データ監視ビューにアクセスできます。
| 権限レベル | 役割 | 説明 |
|---|---|---|
| テナント | データ ガバナンス ロール グループ | Microsoft Purview 内のデータ ガバナンス ロールへのアクセスを許可します。 |
| データ ソース管理者ロール グループ | Microsoft Purview データ マップでデータ ソースとデータ スキャンを管理します。 | |
| Purview Administrators ロール グループ | ドメインを作成、編集、削除し、ロールの割り当てを実行します。 | |
| Catalog | データ ガバナンス管理者 | ガバナンス ドメイン作成者およびその他のカタログ レベルのアクセス許可の最初のレベルのアクセス権を委任します。 |
| データ正常性所有者 | 統合カタログの [正常性管理] 領域で成果物を作成、更新、および読み取ることができます。 | |
| データ正常性リーダー | 統合カタログの [正常性管理] 領域で成果物を読み取ることができます。 | |
| グローバル カタログ リーダー | ローカル カタログ リーダーが指定されていないガバナンス ドメイン間で公開された成果物を読み取ることができます。 | |
| ガバナンス ドメイン作成者 | ドメインを作成し、ガバナンス ドメイン所有者を委任できます (または、既定ではガバナンス ドメイン所有者のままです)。 | |
| ガバナンス ドメイン | データ製品の所有者* | ガバナンス ドメイン内でのみデータ製品を作成、更新、および読み取ることができます。 ガバナンス ドメインの概念との関係を読み取り、構築できます。 |
| データ プロファイル 閲覧者 | データ プロファイルの分析情報を参照するためのアクセス権を持ち、プロファイル結果をドリルダウンして列レベルで統計を参照できます。 これはサブロールであり、ユーザーはガバナンス ドメイン リーダーとグローバル カタログ閲覧者ロールまたはローカル カタログ閲覧者ロールも保持する必要があります。 | |
| データ プロファイル スチュワード | データ プロファイル ジョブを実行し、プロファイリング分析情報の詳細にアクセスできます。 このロールでは、すべてのデータ品質分析情報を参照したり、プロファイリング ジョブを監視したりすることもできます。 このロールではルールを作成できません。また、データ品質スキャンを実行することもできません。 これはサブロールであり、ユーザーは ガバナンス ドメイン 閲覧者ロールとデータ製品所有者 ロールも保持する必要があります。 | |
| データ品質メタデータ 閲覧者 | データ品質分析情報 (プロファイリング結果列レベルの分析情報を除く)、データ品質ルール定義、およびルール レベルスコアを参照できます。 このロールはエラー レコードにアクセスできないため、プロファイリングとデータ品質スキャン ジョブを実行できません。 これはサブロールであり、ユーザーはガバナンス ドメイン リーダーとグローバル カタログ閲覧者ロールまたはローカル カタログ閲覧者ロールも保持する必要があります。 | |
| データ品質リーダー | すべてのデータ品質分析情報とデータ品質ルールの定義を参照できます。 このロールでは、データ品質スキャンとデータ プロファイル ジョブを実行できません。また、列レベルの分析情報としてデータ プロファイル列レベルの分析情報にアクセスすることはできません。 これはサブロールであり、ユーザーはガバナンス ドメイン リーダーとグローバル カタログ閲覧者ロールまたはローカル カタログ閲覧者ロールも保持する必要があります。 | |
| データ品質スチュワード | データ品質ルール管理、データ品質スキャン、データ品質分析情報の閲覧、データ品質スケジューリング、ジョブ監視、しきい値とアラートの構成などのデータ品質機能を使用できます。 これはサブロールであり、ユーザーは ガバナンス ドメイン 閲覧者ロールとデータ製品所有者 ロールも保持する必要があります。 | |
| Data Steward* | ガバナンス ドメイン内で成果物とポリシーを作成、更新、および読み取ることができます。 他のガバナンス ドメインから成果物を読み取ることもできます。 | |
| ガバナンス ドメイン所有者 | 他のすべてのガバナンス ドメインのアクセス許可を委任したり、ドメイン レベルのデータ品質スキャン アラートを構成したり、データ品質スキャン ジョブのドメイン レベルのスケジュールを設定したり、ドメイン レベルのアクセス ポリシーを設定したりできます。 | |
| ガバナンス ドメイン 閲覧者 | 追加された発行済みドメインのガバナンス ドメイン メタデータを読み取ることができます。 | |
| ローカル カタログ リーダー | 公開された概念は、アクセス権が付与されているガバナンス ドメインでのみ読み取ることができます。 このロールは、データにアクセスして管理できるユーザーの範囲を大幅に制限するため、データ ガバナンスに対するフェデレーション アプローチをより適切に利用できるように、このロールの使用を制限することをお勧めします。 |
*データ資産をデータ製品に追加できるようにするには、Data Product の所有者とデータ スチュワードは、Data Map でこれらのデータ資産を読み取るために Data Map アクセス許可も必要です。
データ マップのアクセス許可
Data Map では、定義済みのロールのセットを使用して、アカウント内の何にアクセスできるかを制御します。 ドメインとコレクション は、Data Map によって、資産、ソース、およびその他の成果物を検出し、データ マップ内のアクセス制御を管理するために階層にグループ化するために使用されるツールです。
各ロールの説明を見つけ、ロールを追加し、コレクションを通じてアクセスを制限する方法について説明します。
コレクションで使用できるロールの詳細については、「どのロールまたはコレクションの例を割り当てる必要があるか」を参照してください。
ヒント
統合カタログのデータ スチュワードまたはデータ製品の所有者である場合は、Data Map のアクセス許可も付与することをお勧めします。
データ資産ライフサイクルの例
Data Map と 統合カタログ の間のアクセス許可のしくみを理解するには、環境内のAzure SQL テーブルの完全なライフサイクルに関する以下の表を確認してください。
| 手順 | 役割 | 権限レベル |
|---|---|---|
| 1. Azure SQL データベースが Data Map に登録されている | データ ソース管理者 | データ マップ |
| 2. データ マップでAzure SQL データベースがスキャンされる | データ キュレーターまたはデータ ソース管理者 | データ マップ |
| 3.Azure SQLテーブルはキュレーションされ、認定されています | データ キュレーター | データ マップ |
| 4. ガバナンス ドメインが Microsoft Purview アカウントに作成される | ガバナンス ドメイン作成者 | カタログ |
| 5. データ製品がガバナンス ドメインに作成される | ガバナンス ドメイン所有者またはデータ製品所有者 | ガバナンス ドメイン |
| 6. Azure SQLテーブルが資産としてデータ製品に追加されます | データ製品の所有者またはスチュワード | ガバナンス ドメイン |
| 7. アクセス ポリシーがデータ製品に追加される | データ製品の所有者またはスチュワード | ガバナンス ドメイン |
| 8. ユーザーが統合カタログ検索し、ニーズに合ったデータ資産を探します | 資産のアクセス許可またはデータ閲覧者のアクセス許可 | 資産のアクセス許可 または データ マップのアクセス許可 |
| 9. ユーザーがデータ製品を検索し、ニーズに合った製品を探す | グローバル カタログ リーダー | カタログ |
| 10. ユーザーがデータ製品内のリソースへのアクセスを要求する | グローバル カタログ リーダー | カタログ |
| 11. ユーザーが Data Health Insights を表示して、Data Catalogの正常性を追跡する | データ正常性リーダー | カタログ |
| 12. ユーザーは、カタログ内のデータ正常性の進行状況を追跡するための新しいレポートを開発したいと考えています | データ正常性所有者 | カタログ |