Microsoft Purview 概念和作用
以下内容从“是什么、能做什么、适用场景、如何运作、角色与权限、与相关产品关系、成本与上手建议”几个方面,概括 Microsoft Purview 的概念与作用。
一、概念
- Microsoft Purview 是微软的统一数据治理与合规平台品牌,覆盖两大领域:
- 数据治理(面向全数据资产的发现、目录、血缘、分类与访问策略),前身为 Azure Purview。
- 合规与风险(信息保护、DLP、合规审计、电子取证、隐私与记录管理等,原 Microsoft 365 合规套件)。
- 目标:让组织在本地、云端与多云的数据资产上,实现可见、可控、可用且合规的数据管理。
二、核心能力(按数据治理与合规两块)
- 数据治理
- 数据地图与连接器:连接 Azure、本地、SaaS 与主流多云数据源;自动发现数据资产与元数据。
- 数据目录与词汇表:面向业务的可搜索目录、术语管理、数据所有者/管家标注与资产评分。
- 数据分类与敏感度识别:内置上百种敏感信息类型(如个人、财务、健康),支持自定义分类器与规则。
- 数据血缘:追踪从数据源到 ETL/ELT(如 Data Factory/Databricks/Fabric Pipeline)、到仓库/湖仓、到 Power BI 的端到端流转与影响分析。
- 访问与使用策略(支持的源上):集中发布列/行级访问、数据遮蔽与共享策略,治理数据可用性与最小化暴露。
- 数据共享:跨团队/跨租户在受支持的数据源上进行原位或快照式共享(例如 ADLS Gen2、Microsoft Fabric OneLake 等场景)。
- 数据资产洞察:从覆盖率、敏感数据分布、血缘健康、数据所有权等维度提供治理度量与看板。
- 风险与合规(Microsoft 365 侧)
- 信息保护与标签:统一的敏感度标签(机密/内部等)及自动/建议性标记,适用于文档、邮件、Power BI 等。
- 数据丢失防护(DLP):在端点、Exchange/SharePoint/Teams、Power BI 等处检测并阻止不当外泄。
- 生命周期与记录管理:保留/删除策略、法律保全,满足记录法规。
- 电子取证与审计:eDiscovery(标准/高级)、审计(标准/高级),支持法务检索与调查。
- 内部风险与通信合规:监控异常数据活动与沟通风险,降低内生合规风险。
- 隐私管理与数据主体请求:识别隐私风险、响应 GDPR/CCPA 的数据主体访问请求。
三、典型价值与应用场景
- 建立企业数据目录与数据地图,提升找数、懂数、用数效率,减少重复建设。
- 全面识别与标注敏感数据,支撑合规评估(如 GDPR、ISO、行业法规)。
- 用数据血缘做影响分析与问题追溯,保障变更安全、加速排障。
- 在多云与本地统一制定访问策略与数据共享规则,既开放数据又可控。
- 将敏感度标签与 DLP 贯穿文件、邮件、BI 与数据平台,降低泄露与误用风险。
- 支撑审计、取证、记录管理与隐私请求,降低合规成本与风险暴露。
四、基本工作原理(治理侧)
- 连接与扫描:通过托管或自托管集成运行时连接数据源,抓取元数据与采样(不搬走原数据),执行分类与血缘解析。
- 数据地图存储:扫描结果进入 Purview Data Map,供目录、搜索、血缘与洞察使用。
- 策略下发(支持的源):在源系统原位强制访问/遮蔽/共享策略,或与安全/标签/DLP联动。
- 权限与审计:通过基于集合/资产的 RBAC 控制访问,操作与变更可审计。
五、角色与职责
- 数据所有者/业务负责人:定义数据用途、授权共享、确认质量门槛。
- 数据管家/治理专员:维护目录、词汇表与元数据质量,处理敏感度与合规标注。
- 数据工程/平台团队:配置连接/扫描、血缘对接、性能与稳定性。
- 安全与合规/隐私/法务:制定标签、DLP、记录与取证策略,出具合规报告。
- 终端数据消费者:通过目录自助找数、安全访问、合规使用。
六、与相关产品/名词的关系与澄清
- Azure Purview 已并入 Microsoft Purview 品牌;数据治理能力仍在 Azure 订阅中部署与计费。
- Microsoft Information Protection(MIP)与 DLP、eDiscovery、Insider Risk 等均在 Purview 品牌下统一呈现(Microsoft 365 合规门户)。
- 与第三方目录工具(如 Collibra/Alation)功能有重叠;Purview 的优势在于与 Azure、M365、Power BI/Fabric 的原生集成与端到端血缘。
七、许可与成本(高层概览)
- 数据治理(Azure 侧):按使用量计费,包括数据地图容量、扫描与血缘处理、数据共享等资源用量。
- 合规与风险(M365 侧):多随 Microsoft 365 E5/E5 Compliance 或单项附加许可提供;不同能力需要不同级别授权。
- 实际价格、支持的数据源与可用性以微软官方最新定价与文档为准。
八、上手建议
- 先盘点数据源与业务优先级,定义治理范围与成功指标(如敏感数据覆盖、目录可用度)。
- 建立 Purview 账户与集合结构,映射组织/域/系统,明确资产所有权与管家。
- 从关键系统小步扫描,配置内置与自定义分类器,逐步扩大覆盖面。
- 打通血缘(数据管道、仓库/湖仓、Power BI/Fabric),用于变更影响分析。
- 统一敏感度标签策略,并与 DLP、共享/访问策略联动落地。
- 建立例行治理机制(词汇表评审、元数据SLA、资产健康看板)与跨部门协作。
如果你提供行业、数据源类型(如 SQL、SAP、S3、BigQuery、Power BI/Fabric 等)和合规要求(如 GDPR、SOX、HIPAA),我可以给出更贴合的落地架构与实施清单。