Konfigurieren und Verwalten von Datenkatalog-Zugriffsrichtlinien

  • Artikel

Wichtig

In diesem Artikel wird erläutert, wie Sie Zugriffsrichtlinien für Geschäftskonzepte festlegen, einschließlich Governancedomänen, Datenprodukten, kritischen Datenelementen und Glossarbegriffen, und wie Zugriffsanforderungen verwaltet werden. Wenn Sie Zugriff auf ein Datenprodukt anfordern möchten, befolgen Sie diesen Artikel, um Zugriff anzufordern.

In diesem Artikel wird beschrieben, wie Sie den Zugriff auf Ihre Datenprodukte verwalten und ein System einrichten können, um Benutzern Zugriff zu gewähren, die dies anfordern.

Was bietet Ihnen der Zugriff auf ein Datenprodukt? Berechtigungen für das Datenprodukt und Berechtigungen für die darin enthaltenen Datenressourcen.

In diesem Artikel erhalten Sie Informationen zu folgenden Themen:

Berechtigungen

  1. Zum Anzeigen und Verwalten von Richtlinien auf Governancedomänenebene sind Berechtigungen für Governancedomänenbesitzer erforderlich.
  2. Zum Anzeigen und Verwalten von Richtlinien auf Datenproduktebene sind Berechtigungen für Datenproduktbesitzer erforderlich.
  3. Zum Anzeigen und Verwalten von Richtlinien in Datenprodukten oder Glossarbegriffen sind Data Steward-Berechtigungen erforderlich.
  4. Datenkatalogleser können Den Zugriff auf Datenprodukte anzeigen und anfordern.
  5. Manager und genehmigende Personen des Datenschutzes für Zugriffsanforderungen müssen außerdem mindestens über Einen Datenkatalogleser verfügen, um die Data Catalog verwenden und Anforderungen im Rahmen der mehrstufigen Genehmigung genehmigen zu können.

Überlegungen

In dieser Erfahrung müssen genehmigende Personen den Zugriff auf die einzelnen Datenassets im Rahmen des Genehmigungsprozesses manuell gewähren oder einen Zugriffsanbieter angeben.

Die Richtlinien wie Nachweise (einschließlich des Nachweises ohne Kopie) werden im Produkt nicht erzwungen. Der Datenconsumer bestätigt, dass er diese Richtlinien befolgt, während er Zugriff anfordert.

Einrichten von Datenprodukt-Zugriffsrichtlinien

Zum Erstellen von Zugriffsrichtlinien benötigen Sie in den meisten Situationen Datenproduktbesitzer- oder Data Steward-Berechtigungen.

Tipp

Ihr Datenprodukt muss sich in einem nicht veröffentlichten Zustand befinden, um Zugriffsrichtlinien verwalten zu können.

  1. Öffnen Sie im Microsoft Purview-Portal den Datenkatalog.
  2. Wählen Sie die Dropdownliste Katalogverwaltung und dann Datenprodukte aus.
  3. Wählen Sie ein Datenprodukt aus.
  4. Wählen Sie auf der Seite datenprodukt die Option Richtlinien verwalten aus.
  5. Im Fenster für die Richtlinienkonfiguration können Sie die Zugriffsrichtlinie Ihres Datenprodukts erstellen und verwalten.

Konfigurieren von Datenprodukt-Zugriffsrichtlinien

Im Fenster Richtlinien verwalten können Sie die Standardwerte anzeigen und bearbeiten, die dem Standardsatz von Datenproduktzugriffsrichtlinien zugewiesen sind. Die ausgewählten Werte wirken sich darauf aus, was den Datenconsumern in ihrem Zugriffsanforderungsformular angezeigt wird und welche Aktionen sie ausführen müssen.

  1. Fügen Sie in der Dropdownliste Zulässiger Zugriff Ihre Nutzungszwecke hinzu, bei denen es sich um die autorisierten Zwecke für den Zugriff auf und die Verwendung des Datenprodukts handelt. Standardmäßig werden drei Werte bereitgestellt, für die Sie die Beschreibung bearbeiten und weitere Zwecke hinzufügen können, aus denen der Consumer im Anforderungszugriffsformular auswählen wird.
  2. Ermitteln Sie in der Dropdownliste Genehmigungsanforderungen , ob eine Genehmigung des Managers oder eine Überprüfung der Datenschutz- und Complianceanforderungen erforderlich ist.

    Hinweis

    Wenn diese Option ausgewählt ist, zeigt das Zugriffsanforderungsformular an, dass ein vorgesetzter genehmiger Oder eine Datenschutz- und Complianceüberprüfung erforderlich ist. Der Vorgesetzte des Verbrauchers in Microsoft Entra ID wird über die erste Genehmigungsebene benachrichtigt. Der vom Verbraucher im Anforderungsformular benannte Datenschutzprüfer wird zur Genehmigung benachrichtigt. Die Anforderung wird zuerst vom Manager, gefolgt vom Datenschutzprüfer und dann von den genehmigenden Personen der Zugriffsanforderung auf Genehmigung und Gewährung des Zugriffs überprüft. Die optionale Zugriffsanbieterebene ist der letzte, sofern ausgewählt. Die Anforderung status ist erst endgültig, wenn alle konfigurierten Genehmigungsebenen abgeschlossen sind.

  3. Wählen Sie in der Dropdownliste Genehmigungsanforderungen unter Genehmigende Personen der Zugriffsanforderung die Benutzer aus, die die Zugriffsanforderung genehmigen müssen. Die erste genehmigende Person, die Maßnahmen ergreifen soll, genehmigt die Anforderung und erteilt den Zugriff auf die Datenressourcen manuell, zeichnet die status des Zugriffs auf, die für jede Ressource bereitgestellt wird, und gibt Datenzugriffsanweisungen oder Kommentare an den Datenconsumer an. Standardmäßig werden Datenproduktbesitzer aufgefüllt, und es können weitere genehmigende Personen hinzugefügt werden. Sie können auch Microsoft Entra ID Gruppen oder Sicherheitsgruppen hinzufügen, da genehmigende Personen und genehmigende Personen detaillierte status in der Anforderungsansicht sehen können.
  4. Ein optionaler Tarif namens Zugriffsanbieter kann explizit festgelegt werden, um den Zugriff auf die Datenressourcen manuell zu gewähren, die status des Zugriffs aufzuzeichnen, die für die einzelnen Medienobjekte bereitgestellt werden, und datenzugriffsanweisungen oder Kommentare für den Datenconsumer anzugeben. Diese Vorgehensweise stellt sicher, dass der Datenconsumer über die nächsten Schritte informiert ist, die er ausführen kann, um auf die Daten zuzugreifen und sie zu verwenden.
  5. Ermitteln Sie unter Nachweise, ob Kopien der Daten zulässig sind. Die Nachweise werden auf dem Zugriffsanforderungsformular für den Consumer zum Nachweis angezeigt.
  6. Wenn Nutzungsbedingungen für ein Datenprodukt vorhanden sind, werden diese auch auf dem Zugriffsanforderungsformular wider, das der Verbraucher nachweisen kann.
  7. Fügen Sie weitere Nachweise hinzu, indem Sie Nachweis hinzufügen auswählen und einen Anzeigenamen und den Dateispeicherort hinzufügen. Diese werden im Anforderungszugriffsformular für den Consumer zum Nachweis angezeigt.
  8. Wenn Richtlinien vorhanden sind, die von der Governancedomäne, dem kritischen Datenelement oder dem Glossarbegriff geerbt wurden, finden Sie auf der Registerkarte Geerbte Richtlinien. Ausführliche Informationen finden Sie im folgenden Abschnitt dieses Dokuments: Richtlinien für Governancedomänen und Glossarbegriffe (geerbte Richtlinien).
  9. Wählen Sie Vorschauanforderungsformular aus, um anzuzeigen, was Benutzern angezeigt wird, wenn sie Zugriff anfordern.
  10. Wählen Sie Änderungen speichern aus, um die Zugriffsrichtlinie für die Governancedomäne zu speichern.

Richtlinien für Governancedomänen, Glossarbegriffe und kritische Datenelemente (geerbte Richtlinien)

Richtlinien können für Governancedomänen, Glossarbegriffe und kritische Datenelemente festgelegt werden. Datenprodukte in der Governancedomäne oder Datenprodukte, auf die Glossarbegriffe oder wichtige Datenelemente angewendet wurden, erben und aggregieren die Richtlinien.

Sie können die geerbten Richtlinien in der Ansicht datenproduktverwaltungsrichtlinien auf einer separaten Registerkarte mit dem Namen Geerbte Richtlinien anzeigen. Sie können die aggregierte Ansicht anzeigen, indem Sie auf die Schaltfläche Vorschau klicken. Ihre Datenconsumer sehen diese aggregierte Ansicht, wenn sie Zugriff anfordern.

Wenn beispielsweise eine Genehmigungsrichtlinie für einen Glossarbegriff festgelegt ist, der auf das Datenprodukt angewendet wird, ist jetzt auch für das Datenprodukt die Genehmigung des Vorgesetzten erforderlich. Alle Nachweise, die für ein Geschäftskonzept (Governancedomäne, Datenprodukt, Glossarbegriff oder kritisches Datenelement) festgelegt sind, werden für das Datenprodukt aggregiert, und der Datenconsumer bestätigt alle erforderlichen Nachweise, wenn er Zugriff anfordert.

Um Zugriffsrichtlinien für Governancedomänen, Glossarbegriffe oder kritische Datenelemente zu erstellen, benötigen Sie Governancedomänenbesitzer- oder Data Steward-Berechtigungen.

  1. Öffnen Sie im Microsoft Purview-Portal den Datenkatalog.
  2. Wählen Sie die Dropdownliste Katalogverwaltung und dann Governancedomänen aus.
  3. Wählen Sie eine Governancedomäne aus.
  4. Wählen Sie auf der Seite Governancedomäne die Option Richtlinien verwalten aus.
  5. Wählen Sie alternativ auf der Seite eines Glossarbegriffs oder kritischen Datenelements Richtlinien verwalten aus.
  6. Im Fenster Richtlinienkonfiguration können Sie relevante Zugriffsrichtlinien erstellen und verwalten.

Konfigurieren geerbter Richtlinien

Im Fenster Richtlinien verwalten können Sie den Standardsatz von Zugriffsrichtlinien für jedes Geschäftskonzept anzeigen und verwalten. Die ausgewählten Werte wirken sich darauf aus, was den Datenconsumern in ihrem Zugriffsanforderungsformular angezeigt wird und welche Aktionen sie ausführen müssen.

  1. Ermitteln Sie, ob die Genehmigung des Managers erforderlich ist. Der in Microsoft Entra ID konfigurierte Vorgesetzte des Datenconsumers wird als erste Genehmigungsebene benachrichtigt. Wenn die Anforderung genehmigt wurde, wird die Anforderung mit der nächsten Ebene fortgesetzt.
  2. Ermitteln Sie, ob Kopien der Daten zulässig sind. Diese Auswahl wird im Zugriffsanforderungsformular angezeigt, das der Consumer nachweisen soll.
  3. Fügen Sie weitere Nachweise hinzu, die Sie wünschen, indem Sie Nachweis hinzufügen auswählen und einen Anzeigenamen und den Dateispeicherort hinzufügen. Diese Nachweise werden im Anforderungszugriffsformular für den Consumer zum Nachweis angezeigt.

Verwalten oder Reagieren auf Zugriffsanforderungen

  1. Öffnen Sie im Microsoft Purview-Portal die Data Catalog.
  2. Wählen Sie die Dropdownliste Katalogverwaltung und dann Anforderungen aus.
  3. In der Spalte status der Governancedomänentabelle können Sie nach allen Domänen sortieren, die offene Zugriffsanforderungen haben.
  4. Wählen Sie die Governancedomäne aus, für die Sie Zugriffsanforderungen verwalten möchten.
  5. Auf der Registerkarte Zugriffsanforderungen wird eine Liste der letzten Zugriffsanforderungen angezeigt.
  6. Sie können die Zugriffsanforderung auswählen, auf die Sie antworten möchten.
  7. Zeigen Sie die vom Consumer übermittelten Details an.
  8. Wählen Sie Genehmigen oder Verweigern aus.
  9. Wenn Sie die letzte genehmigende Person in der Sequenz der genehmigenden Personen sind (eine genehmigende Person für die Datenproduktzugriffsanforderung oder ein expliziter Zugriffsanbieter), sollten Sie auch die status des Zugriffs aufzeichnen, der für jede Ressource bereitgestellt wird, und Datenzugriffsanweisungen oder Kommentare für den Datenconsumer angeben. Diese Vorgehensweise stellt sicher, dass der Datenconsumer über die nächsten Schritte informiert ist, die er ausführen kann, um auf die Daten zuzugreifen und sie zu verwenden.
  10. Der Datenconsumer wird benachrichtigt, sobald die Anforderung beantwortet wurde.
  11. Der Anforderer wird per E-Mail benachrichtigt und kann die status auch im Dropdownmenü Microsoft Purview Data Catalog Ermittlung, Seite Datenprodukte, auf der Registerkarte Meine Datenzugriff anzeigen.

Reagieren auf Zugriffsanforderungen per E-Mail-Benachrichtigung

  1. Wählen Sie in der E-Mail, die als Anforderung zum Genehmigen einer Zugriffsanforderung empfangen wurde, den Link Genehmigungsanforderung aus.
  2. Sie werden zur Detailansicht der Anforderung auf der Seite Anforderungen in der Dropdownliste Katalogverwaltung im Microsoft Purview Data Catalog.
  3. Zeigen Sie die vom Consumer übermittelten Details an.
  4. Wählen Sie Genehmigen oder Verweigern aus.
  5. Wenn Sie die letzte genehmigende Person in der Sequenz der genehmigenden Personen sind; Eine genehmigende Person für die Zugriffsanforderung eines Datenprodukts oder einen expliziten Zugriffsanbieter sollten Sie auch die status des Zugriffs aufzeichnen, die für jedes Medienobjekt bereitgestellt wird, und Datenzugriffsanweisungen oder Kommentare für den Datenconsumer angeben. Dadurch wird sichergestellt, dass der Datenconsumer über die nächsten Schritte informiert ist, die er ausführen kann, um auf die Daten zuzugreifen und sie zu verwenden.
  6. Der Datenconsumer wird benachrichtigt, sobald die Anforderung beantwortet wurde.
  7. Der Anforderer wird per E-Mail benachrichtigt und kann die status auch auf der Microsoft Purview Data Catalog-Daten-Produktsuche-Seite auf der Registerkarte "Meine Datenzugriff" anzeigen.

Sequenzielle oder mehrstufige Genehmigungen und Anforderungsstatus

Wie im Abschnitt zum Verwalten von Richtlinien für datenprodukt beschrieben, ist abhängig von der getroffenen Auswahl der genehmigenden Person eine sequenzielle oder mehrstufige Genehmigung in Kraft. Die folgende Sequenz wird für Genehmigungen von Datenproduktzugriffsanforderungen beibehalten.

  1. Wenn die Vorgesetztengenehmigung ausgewählt ist, wird der Vorgesetzte des Verbrauchers in Microsoft Entra für die erste Genehmigungsebene benachrichtigt.
  2. Erst nachdem der Manager die Anforderung genehmigt hat, wird der Datenschutzprüfer bei Auswahl zur Genehmigung benachrichtigt oder kann Maßnahmen ergreifen.
  3. Nach der Genehmigung durch den Datenschutzprüfer wird die genehmigende Person der Zugriffsanforderung über die Genehmigung und Bereitstellung des Zugriffs auf die Datenressourcen im Datenprodukt benachrichtigt. Dieser Tarif genehmigt und schließt die Anforderung ab, wenn kein Zugriffsanbieter angegeben ist, andernfalls wird nur genehmigt.
  4. Wenn eine letzte Ebene des Zugriffsanbieters angegeben ist, ist dies die Ebene, die Den Zugriff auf die Datenressourcen bereitstellen und die status und Anweisungen für den Datenconsumer aufzeichnen würde. Sie werden die Anforderung abschließen. Abgeschlossen ist die letzte status.
  5. Der Workflow wird fortgesetzt, bis die letzte Genehmigung und der letzte Abschluss oder die erste Verweigerung erfolgt.
  6. Der Datenverbraucher wird erst benachrichtigt, nachdem alle seine jeweiligen Maßnahmen ergriffen haben.
  7. Der Datenconsumer kann die status der Anforderung jederzeit in der Dropdownliste Microsoft Purview Data Catalog Ermittlung auf der Registerkarte Meine Datenzugriffe auf der Seite Datenprodukte anzeigen.
  8. Eine Anforderung status kann von ausstehend über abgelehnt oder ausstehend bis zu genehmigt und dann abgeschlossen werden.