Erstellungs- und Veröffentlichungsschutzrichtlinien für Azure-Quellen (Vorschau)

Mithilfe von Zugriffssteuerungsrichtlinien (Schutzrichtlinien) können Organisationen vertrauliche Daten automatisch datenquellenübergreifend schützen. Microsoft Purview scannt bereits Datenressourcen und identifiziert vertrauliche Datenelemente. Mit diesem neuen Feature können Sie den Zugriff auf diese Daten mithilfe von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection automatisch einschränken.

Schutzrichtlinien stellen sicher, dass Unternehmensadministratoren den Datenzugriff für einen Vertraulichkeitstyp autorisieren müssen. Sobald diese Richtlinien aktiviert sind, wird die Zugriffssteuerung automatisch erzwungen, wenn vertrauliche Informationen mit Microsoft Purview Information Protection erkannt werden.

Unterstützte Aktionen

• Schränken Sie den Zugriff auf bezeichnete Datenressourcen ein, sodass nur von Ihnen ausgewählte Benutzer und Gruppen darauf zugreifen können.
• Aktion, die für Vertraulichkeitsbezeichnungen in der Microsoft Purview Information Protection Lösung konfiguriert ist.

Unterstützte Quellen

• Azure SQL-Datenbank
• Azure Blob Storage
• Azure Data Lake Storage Gen2

Voraussetzungen

• 1 Microsoft 365 E5 Lizenzen und Einrichten des Abrechnungsmodells mit nutzungsbasierter Bezahlung. Informationen zum Verständnis der nutzungsbasierten Abrechnung nach geschützten Ressourcen finden Sie im Abrechnungsmodell mit nutzungsbasierter Bezahlung. Informationen zu den erforderlichen Lizenzen finden Sie in diesen Informationen zu Vertraulichkeitsbezeichnungen. Microsoft 365 E5 Testlizenzen können für Ihren Mandanten abgerufen werden, indem Sie von Ihrer Umgebung aus hierher navigieren.

• Vorhandene Microsoft Purview-Konten, die auf das Microsoft Purview-Einzelmandantenmodell und die neue Portaloberfläche mit der Unternehmensversion von Microsoft Purview aktualisiert wurden.

1. Konfigurieren sie Benutzer und Berechtigungen.

2. Erstellen oder erweitern Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection auf Data Map-Ressourcen.

3. Registrieren von Quellen: Registrieren Sie eine der folgenden Quellen, die Sie möchten:

   1. Azure SQL-Datenbank
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Hinweis

   Um fortzufahren, müssen Sie ein Datenquellenadministrator in der Sammlung sein, in der Ihre Azure-Speicherquelle registriert ist.

4. Aktivieren der Datenrichtlinienerzwingung

   1. Wechseln Sie zum neuen Microsoft Purview-Portal.
   2. Wählen Sie im linken Menü die Registerkarte Data Map aus.
   3. Wählen Sie im linken Menü die Registerkarte Datenquellen aus.
   4. Wählen Sie die Quelle aus, in der Sie die Datenrichtlinienerzwingung aktivieren möchten.
   5. Legen Sie die Umschaltfläche Datenrichtlinienerzwingung auf Ein fest.

5. Quellen überprüfen: Registrieren Sie alle Von Ihnen registrierten Quellen.

   1. Azure SQL-Datenbank
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Hinweis

   Warten Sie nach dem Scannen mindestens 24 Stunden.

Benutzer und Berechtigungen

Es gibt mehrere Arten von Benutzern, die Sie benötigen, und Sie müssen die entsprechenden Rollen und Berechtigungen für diese Benutzer einrichten:

1. Microsoft Purview Information Protection Admin : Umfassende Rechte zum Verwalten Information Protection Lösung: Überprüfen/Erstellen/Aktualisieren/Löschen von Schutzrichtlinien, Vertraulichkeitsbezeichnungen und Richtlinien für Bezeichnungen/automatische Bezeichnungen, alle Klassifizierertypen. Sie sollten auch Vollzugriff auf Daten-Explorer, Aktivitäts-Explorer, Microsoft Purview Information Protection Insights und Berichte haben.
   • Der Benutzer benötigt die Rollen aus der integrierten Rollengruppe "Information Protection" sowie neue Rollen für Data Map-Leser, Insights-Leser, Scanleser und Quellleser. Vollständige Berechtigungen wären:
     • Information Protection Leser
     • Data Map Reader
     • Insights-Leser
     • Quellleseberechtigter
     • Scanleseberechtigter
     • Information Protection Administrator
     • Information Protection Analyst
     • Informationsschutzermittler
     • Datenklassifizierungslisten-Viewer
     • Inhaltsanzeige zur Datenklassifizierung
     • Microsoft Purview-Evaluierungsadministrator
   • Option 1 – Empfohlen:
     1. Suchen Sie im Bereich Microsoft Purview-Rollengruppen nach Information Protection.
     2. Wählen Sie die rollengruppe Information Protection und dann Kopieren aus.
     3. Geben Sie ihr den Namen "Vorschau – Information Protection", und wählen Sie Kopie erstellen aus.
     4. Wählen Sie Vorschau – Information Protection und dann Bearbeiten aus.
     5. Wählen Sie auf der Seite Rollendie Option + Rollen auswählen aus, und suchen Sie nach "Leser".
     6. Wählen Sie diese vier Rollen aus: Datenzuordnungsleser, Insights-Leser, Scanleser, Quellleser.
     7. Fügen Sie der neuen kopierten Gruppe das Microsoft Purview Information Protection Administrator-Testbenutzerkonto hinzu, und schließen Sie den Assistenten ab.
   • Option 2: Verwendet integrierte Gruppen (bietet mehr Berechtigungen als erforderlich)
     1. Platzieren Sie ein neues Microsoft Purview Information Protection Administratortestbenutzerkonto in den integrierten Gruppen für Information Protection, Data Estate Insights-Leser und Datenquellenadministratoren.
2. Datenbesitzer/Admin: Dieser Benutzer aktiviert Ihre Quelle für die Erzwingung von Datenrichtlinien in Microsoft Purview für Azure- und Amazon S3-Quellen.

Erstellen einer Schutzrichtlinie

Nachdem Sie nun die Voraussetzungen überprüft und Ihre Microsoft Purview-instance und -Quelle für Schutzrichtlinien vorbereitet und mindestens 24 Stunden nach Ihrer letzten Überprüfung gewartet haben, führen Sie die folgenden Schritte aus, um Ihre Schutzrichtlinien zu erstellen:

1. Melden Sie sich beim Microsoft Purview-Portal an, und wählen Sie die Information Protection Karte aus. Wenn die Information Protection Lösung Karte nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt DatensicherheitInformation Protection aus.

2. Wählen Sie im linken Navigationsbereich Richtlinien auswählen und dann Schutzrichtlinien aus.

3. Wählen Sie Neue Schutzrichtlinie aus.

4. Geben Sie einen Namen und eine Beschreibung an, und wählen Sie Weiter aus.

5. Wählen Sie + Vertraulichkeitsbezeichnung hinzufügen aus, um Vertraulichkeitsbezeichnungen hinzuzufügen, die für die Richtlinie erkannt werden sollen, und wählen Sie alle Bezeichnungen aus, auf die die Richtlinie angewendet werden soll.

6. Wählen Sie Hinzufügen und dann Weiter aus.

7. Wählen Sie die Quellen aus, auf die Sie die Richtlinie anwenden möchten. Sie können mehrere Quellen auswählen. Wählen Sie Bearbeiten aus, um den Bereich für jede Ausgewählte zu verwalten.

8. Wählen Sie je nach Quelle oben die Schaltfläche + Einschließen aus, um ihrer Bereichsliste bis zu 10 Ressourcen hinzuzufügen. Die Richtlinie wird auf alle von Ihnen ausgewählten Ressourcen angewendet.

   Hinweis

   Derzeit werden maximal 10 Ressourcen unterstützt, und sie müssen unter Bearbeiten ausgewählt werden, damit sie aktiviert werden können.

9. Wählen Sie Hinzufügen und dann Fertig aus, wenn Die Liste der Quellen abgeschlossen ist.

10. Wählen Sie je nach Quelle den Typ der Schutzrichtlinie aus, die Sie erstellen möchten.

11. Wählen Sie die Benutzer aus, denen der Zugriff basierend auf der Bezeichnung NICHT verweigert wird. Jeder Person in Ihrer Organisation wird der Zugriff auf bezeichnete Elemente verweigert, mit Ausnahme der Benutzer und Gruppen, die Sie hier hinzufügen.

    Wichtig

    Stellen Sie sicher, dass alle Dienstprinzipalkonten, die Datengovernancescans für die bereichsbezogenen Quellen ausführen, in einer Sicherheitsgruppe enthalten sind. Fügen Sie diese Sicherheitsgruppe der Liste der zulässigen Schutzrichtlinien hinzu. Dadurch wird verhindert, dass zukünftige Überprüfungen durch Zugriffsbeschränkungen für bezeichnete Dateien blockiert werden.

12. Wählen Sie Weiter aus.

13. Wählen Sie aus, ob die Richtlinie sofort aktiviert wird oder nicht, und wählen Sie Weiter aus.

14. Wählen Sie Senden aus.

15. Wählen Sie Fertig aus.

Ihre neue Richtlinie sollte nun in der Liste der Schutzrichtlinien angezeigt werden. Wählen Sie es aus, um zu bestätigen, dass alle Details korrekt sind.

Verwalten von Schutzrichtlinien

Führen Sie die folgenden Schritte aus, um eine vorhandene Schutzrichtlinie zu bearbeiten oder zu löschen:

1. Öffnen Sie das Microsoft Purview-Portal.
2. Öffnen Sie die Information Protection Projektmappe.
3. Wählen Sie Richtlinien und dann Schutzrichtlinien aus.
4. Wählen Sie die Richtlinie aus, die Sie verwalten möchten.
5. Um die Details zu ändern, wählen Sie die Schaltfläche Richtlinie bearbeiten aus.
6. Um die Richtlinie zu löschen, wählen Sie Richtlinie löschen aus.