Microsoft Purview 数据治理与合规总览

Microsoft Purview 概念和作用

以下内容从“是什么、能做什么、适用场景、如何运作、角色与权限、与相关产品关系、成本与上手建议”几个方面,概括 Microsoft Purview 的概念与作用。

一、概念

  • Microsoft Purview 是微软的统一数据治理与合规平台品牌,覆盖两大领域:
    • 数据治理(面向全数据资产的发现、目录、血缘、分类与访问策略),前身为 Azure Purview。
    • 合规与风险(信息保护、DLP、合规审计、电子取证、隐私与记录管理等,原 Microsoft 365 合规套件)。
  • 目标:让组织在本地、云端与多云的数据资产上,实现可见、可控、可用且合规的数据管理。

二、核心能力(按数据治理与合规两块)

  • 数据治理
    • 数据地图与连接器:连接 Azure、本地、SaaS 与主流多云数据源;自动发现数据资产与元数据。
    • 数据目录与词汇表:面向业务的可搜索目录、术语管理、数据所有者/管家标注与资产评分。
    • 数据分类与敏感度识别:内置上百种敏感信息类型(如个人、财务、健康),支持自定义分类器与规则。
    • 数据血缘:追踪从数据源到 ETL/ELT(如 Data Factory/Databricks/Fabric Pipeline)、到仓库/湖仓、到 Power BI 的端到端流转与影响分析。
    • 访问与使用策略(支持的源上):集中发布列/行级访问、数据遮蔽与共享策略,治理数据可用性与最小化暴露。
    • 数据共享:跨团队/跨租户在受支持的数据源上进行原位或快照式共享(例如 ADLS Gen2、Microsoft Fabric OneLake 等场景)。
    • 数据资产洞察:从覆盖率、敏感数据分布、血缘健康、数据所有权等维度提供治理度量与看板。
  • 风险与合规(Microsoft 365 侧)
    • 信息保护与标签:统一的敏感度标签(机密/内部等)及自动/建议性标记,适用于文档、邮件、Power BI 等。
    • 数据丢失防护(DLP):在端点、Exchange/SharePoint/Teams、Power BI 等处检测并阻止不当外泄。
    • 生命周期与记录管理:保留/删除策略、法律保全,满足记录法规。
    • 电子取证与审计:eDiscovery(标准/高级)、审计(标准/高级),支持法务检索与调查。
    • 内部风险与通信合规:监控异常数据活动与沟通风险,降低内生合规风险。
    • 隐私管理与数据主体请求:识别隐私风险、响应 GDPR/CCPA 的数据主体访问请求。

三、典型价值与应用场景

  • 建立企业数据目录与数据地图,提升找数、懂数、用数效率,减少重复建设。
  • 全面识别与标注敏感数据,支撑合规评估(如 GDPR、ISO、行业法规)。
  • 用数据血缘做影响分析与问题追溯,保障变更安全、加速排障。
  • 在多云与本地统一制定访问策略与数据共享规则,既开放数据又可控。
  • 将敏感度标签与 DLP 贯穿文件、邮件、BI 与数据平台,降低泄露与误用风险。
  • 支撑审计、取证、记录管理与隐私请求,降低合规成本与风险暴露。

四、基本工作原理(治理侧)

  • 连接与扫描:通过托管或自托管集成运行时连接数据源,抓取元数据与采样(不搬走原数据),执行分类与血缘解析。
  • 数据地图存储:扫描结果进入 Purview Data Map,供目录、搜索、血缘与洞察使用。
  • 策略下发(支持的源):在源系统原位强制访问/遮蔽/共享策略,或与安全/标签/DLP联动。
  • 权限与审计:通过基于集合/资产的 RBAC 控制访问,操作与变更可审计。

五、角色与职责

  • 数据所有者/业务负责人:定义数据用途、授权共享、确认质量门槛。
  • 数据管家/治理专员:维护目录、词汇表与元数据质量,处理敏感度与合规标注。
  • 数据工程/平台团队:配置连接/扫描、血缘对接、性能与稳定性。
  • 安全与合规/隐私/法务:制定标签、DLP、记录与取证策略,出具合规报告。
  • 终端数据消费者:通过目录自助找数、安全访问、合规使用。

六、与相关产品/名词的关系与澄清

  • Azure Purview 已并入 Microsoft Purview 品牌;数据治理能力仍在 Azure 订阅中部署与计费。
  • Microsoft Information Protection(MIP)与 DLP、eDiscovery、Insider Risk 等均在 Purview 品牌下统一呈现(Microsoft 365 合规门户)。
  • 与第三方目录工具(如 Collibra/Alation)功能有重叠;Purview 的优势在于与 Azure、M365、Power BI/Fabric 的原生集成与端到端血缘。

七、许可与成本(高层概览)

  • 数据治理(Azure 侧):按使用量计费,包括数据地图容量、扫描与血缘处理、数据共享等资源用量。
  • 合规与风险(M365 侧):多随 Microsoft 365 E5/E5 Compliance 或单项附加许可提供;不同能力需要不同级别授权。
  • 实际价格、支持的数据源与可用性以微软官方最新定价与文档为准。

八、上手建议

  • 先盘点数据源与业务优先级,定义治理范围与成功指标(如敏感数据覆盖、目录可用度)。
  • 建立 Purview 账户与集合结构,映射组织/域/系统,明确资产所有权与管家。
  • 从关键系统小步扫描,配置内置与自定义分类器,逐步扩大覆盖面。
  • 打通血缘(数据管道、仓库/湖仓、Power BI/Fabric),用于变更影响分析。
  • 统一敏感度标签策略,并与 DLP、共享/访问策略联动落地。
  • 建立例行治理机制(词汇表评审、元数据SLA、资产健康看板)与跨部门协作。

如果你提供行业、数据源类型(如 SQL、SAP、S3、BigQuery、Power BI/Fabric 等)和合规要求(如 GDPR、SOX、HIPAA),我可以给出更贴合的落地架构与实施清单。