Erstellungs- und Veröffentlichungsschutzrichtlinien für Azure-Quellen (Vorschau)

Mithilfe von Zugriffssteuerungsrichtlinien (Schutzrichtlinien) können Organisationen vertrauliche Daten automatisch datenquellenübergreifend schützen. Microsoft Purview scannt bereits Datenressourcen und identifiziert vertrauliche Datenelemente. Mit diesem neuen Feature können Sie den Zugriff auf diese Daten mithilfe von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection automatisch einschränken.

Schutzrichtlinien stellen sicher, dass Unternehmensadministratoren den Datenzugriff für einen Vertraulichkeitstyp autorisieren müssen. Nach dem Aktivieren dieser Richtlinien wird die Zugriffssteuerung automatisch erzwungen, wenn vertrauliche Informationen mit Microsoft Purview Information Protection erkannt werden.

Unterstützte Aktionen

• Schränken Sie den Zugriff auf bezeichnete Datenressourcen ein, sodass nur von Ihnen ausgewählte Benutzer und Gruppen darauf zugreifen können.
• Aktion, die für Vertraulichkeitsbezeichnungen in der Microsoft Purview Information Protection Lösung konfiguriert ist.

Unterstützte Quellen

• Azure SQL-Datenbank
• Azure Blob Storage*
• Azure Data Lake Storage Gen2*

Hinweis

*Azure Storage-Quellen befinden sich derzeit in einer abgegrenzten Vorschau. Um sich zu registrieren, folgen Sie diesem Link.

Unterstützte Regionen

Region	Azure SQL	Azure Storage
Süd-Afrika Nord	x
Ostasien	x
Südostasien	x
Australien Zentral	x
Australien (Osten)	x	x
Australien (Südosten)	x
Brasilien, Süden	x
Kanada, Mitte	x	x
Kanada, Osten	x
China, Osten	x
China, Osten 3	x
China, Norden	x
China, Norden 2	x
China, Norden 3	x
Nordeuropa	x	x
Westeuropa	x	x
Frankreich, Mitte	x	x
Deutschland, Westen-Mitte	x
Indien, Mitte	x
Indien, Süden	x
Israel, Mitte	x
Italien, Norden	x
Japan Osten	x
Japan Westen	x
Korea zentral	x
Norwegen Ost	x
Polen, Mitte	x
Katar, Mitte	x
Schweden, Mitte	x
Schweiz Nord	x
VAE Nord	x
Vereinigtes Königreich (Süden)	x
Vereinigtes Königreich (Westen)	x
USA (Mitte)	x
USA (Osten)	x	x
USA (Osten) 2	x	x
USA (Norden, Mitte)	x
USA (Süden, Mitte)	x	x
USA (Westen, Mitte)	x
USA (Westen)	x
USA (Westen) 2	x
USA, Westen 3	x

Voraussetzungen

• Microsoft 365 E5 Lizenzen. Informationen zu den erforderlichen Lizenzen finden Sie in diesen Informationen zu Sensitvity-Bezeichnungen. Microsoft 365 E5 Testlizenzen können für Ihren Mandanten abgerufen werden, indem Sie von Ihrer Umgebung aus hierher navigieren.

• Vorhandene Microsoft Purview-Konten, die auf das Microsoft Purview-Einzelmandantenmodell und die neue Portaloberfläche mit der Unternehmensversion von Microsoft Purview aktualisiert wurden.

1. Konfigurieren sie Benutzer und Berechtigungen.

2. Aktivieren Sie erweiterte Ressourcensätze in Microsoft Purview:

   1. Lassen Sie einen Benutzer, der Datenkurator oder Datenleseberechtigter in der Stammsammlung ist, sich beim Microsoft Purview-Portal anmelden und das Menü Einstellungen öffnen.

   2. Suchen Sie auf der Seite Konto nach Erweiterte Ressourcensätze , und legen Sie die Umschaltfläche auf Ein fest.

      

3. Erstellen oder erweitern Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection auf Data Map-Ressourcen.

   Hinweis

   Stellen Sie sicher, dass Sie ihre Bezeichnungen auch veröffentlichen, nachdem Sie sie erstellt haben.

4. Registrieren von Quellen: Registrieren Sie eine der folgenden Quellen, die Sie möchten:

   1. Azure SQL-Datenbank
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Hinweis

   Um fortzufahren, müssen Sie ein Datenquellenadministrator in der Sammlung sein, in der Ihre Azure-Speicherquelle registriert ist.

5. Aktivieren der Datenrichtlinienerzwingung

   1. Wechseln Sie zum neuen Microsoft Purview-Portal.

   2. Wählen Sie im linken Menü die Registerkarte Data Map aus.

   3. Wählen Sie im linken Menü die Registerkarte Datenquellen aus.

   4. Wählen Sie die Quelle aus, in der Sie die Datenrichtlinienerzwingung aktivieren möchten.

   5. Legen Sie die Umschaltfläche Datenrichtlinienerzwingung auf Ein fest, wie in der folgenden Abbildung dargestellt.

      

6. Quellen überprüfen: Registrieren Sie alle Von Ihnen registrierten Quellen.

   1. Azure SQL-Datenbank
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Hinweis

   Warten Sie nach dem Scannen mindestens 24 Stunden.

Benutzer und Berechtigungen

Es gibt mehrere Arten von Benutzern, die Sie benötigen, und Sie müssen die entsprechenden Rollen und Berechtigungen für diese Benutzer einrichten:

1. Microsoft Purview Information Protection Admin : Umfassende Rechte zum Verwalten Information Protection Lösung: Überprüfen/Erstellen/Aktualisieren/Löschen von Schutzrichtlinien, Vertraulichkeitsbezeichnungen und Richtlinien für Bezeichnungen/automatische Bezeichnungen, alle Klassifizierertypen. Sie sollten auch Vollzugriff auf Daten-Explorer, Aktivitäts-Explorer, Microsoft Purview Information Protection Insights und Berichte haben.
   • Der Benutzer benötigt die Rollen aus der integrierten Rollengruppe "Information Protection" sowie neue Rollen für Data Map-Leser, Insights-Leser, Scanleser und Quellleser. Vollständige Berechtigungen wären:
     • Information Protection Leser
     • Data Map Reader
     • Insights-Leser
     • Quellleseberechtigter
     • Scanleseberechtigter
     • Information Protection Administrator
     • Information Protection Analyst
     • Informationsschutzermittler
     • Datenklassifizierungslisten-Viewer
     • Inhaltsanzeige zur Datenklassifizierung
     • Microsoft Purview-Evaluierungsadministrator
   • Option 1 – Empfohlen:
     1. Suchen Sie im Bereich Microsoft Purview-Rollengruppen nach Information Protection.
     2. Wählen Sie die rollengruppe Information Protection und dann Kopieren aus.
     3. Geben Sie ihr den Namen "Vorschau – Information Protection", und wählen Sie Kopie erstellen aus.
     4. Wählen Sie Vorschau – Information Protection und dann Bearbeiten aus.
     5. Wählen Sie auf der Seite Rollendie Option + Rollen auswählen aus, und suchen Sie nach "Leser".
     6. Wählen Sie diese vier Rollen aus: Datenzuordnungsleser, Insights-Leser, Scanleser, Quellleser.
     7. Fügen Sie der neuen kopierten Gruppe das Microsoft Purview Information Protection Administrator-Testbenutzerkonto hinzu, und schließen Sie den Assistenten ab.
   • Option 2: Verwendet integrierte Gruppen (bietet mehr Berechtigungen als erforderlich)
     1. Platzieren Sie ein neues Microsoft Purview Information Protection Administratortestbenutzerkonto in den integrierten Gruppen für Information Protection, Data Estate Insights-Leser und Datenquellenadministratoren.
2. Datenbesitzer/Admin: Dieser Benutzer aktiviert Ihre Quelle für die Erzwingung von Datenrichtlinien in Microsoft Purview für Azure- und Amazon S3-Quellen.

Erstellen einer Schutzrichtlinie

Nachdem Sie nun die Voraussetzungen überprüft und Ihre Microsoft Purview-instance und -Quelle für Schutzrichtlinien vorbereitet und mindestens 24 Stunden nach Ihrer letzten Überprüfung gewartet haben, führen Sie die folgenden Schritte aus, um Ihre Schutzrichtlinien zu erstellen:

1. Navigieren Sie abhängig vom verwendeten Portal zu einem der folgenden Speicherorte:

   • Anmelden beim Microsoft Purview-Portal>Information ProtectionKarte-Richtlinien>

     Wenn die Information Protection Lösung Karte nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt DatensicherheitInformation Protection aus.

   • Melden Sie sich bei den Microsoft Purview-Complianceportal>Solutions> InformationProtection-Richtlinienan>.

2. Wählen Sie Schutzrichtlinien aus.

   

3. Wählen Sie Neue Schutzrichtlinie aus.

   

4. Geben Sie einen Namen und eine Beschreibung an, und wählen Sie Weiter aus.

5. Wählen Sie + Vertraulichkeitsbezeichnung hinzufügen aus, um Vertraulichkeitsbezeichnungen hinzuzufügen, die für die Richtlinie erkannt werden sollen, und wählen Sie alle Bezeichnungen aus, auf die die Richtlinie angewendet werden soll.

6. Wählen Sie Hinzufügen und dann Weiter aus.

7. Wählen Sie die Quellen aus, auf die Sie die Richtlinie anwenden möchten. Sie können mehrere auswählen und dann auf die Schaltfläche Bearbeiten klicken, um den Bereich für jede Ausgewählte zu verwalten.

   

8. Wählen Sie je nach Quelle oben die Schaltfläche + Einschließen aus, um ihrer Bereichsliste bis zu 10 Ressourcen hinzuzufügen. Die Richtlinie wird auf alle von Ihnen ausgewählten Ressourcen angewendet.

   Hinweis

   Derzeit werden maximal 10 Ressourcen unterstützt, und sie müssen unter Bearbeiten ausgewählt werden, damit sie aktiviert werden können.

9. Wählen Sie Hinzufügen und dann Fertig aus, wenn Die Liste der Quellen abgeschlossen ist.

10. Wählen Sie je nach Quelle den Typ der Schutzrichtlinie aus, die Sie erstellen möchten.

11. Wählen Sie die Benutzer aus, denen der Zugriff basierend auf der Bezeichnung NICHT verweigert wird. Jeder Person in Ihrer Organisation wird der Zugriff auf bezeichnete Elemente verweigert, mit Ausnahme der Benutzer und Gruppen, die Sie hier hinzufügen.

12. Wählen Sie Weiter aus.

13. Wählen Sie aus, ob die Richtlinie sofort aktiviert wird oder nicht, und wählen Sie Weiter aus.

14. Wählen Sie Senden aus.

15. Wählen Sie Fertig aus.

16. Ihre neue Richtlinie sollte nun in der Liste der Schutzrichtlinien angezeigt werden. Wählen Sie es aus, um zu bestätigen, dass alle Details korrekt sind.

Verwalten von Schutzrichtlinien

Führen Sie die folgenden Schritte aus, um eine vorhandene Schutzrichtlinie zu bearbeiten oder zu löschen:

1. Öffnen Sie das Microsoft Purview-Portal.

2. Öffnen Sie die Information Protection Projektmappe.

3. Wählen Sie die Dropdownliste Richtlinien und dann Schutzrichtlinien aus.

   

4. Wählen Sie die Richtlinie aus, die Sie verwalten möchten.

5. Um die Details zu ändern, wählen Sie die Schaltfläche Richtlinie bearbeiten aus.

6. Um die Richtlinie zu löschen, wählen Sie die Schaltfläche Richtlinie löschen aus.