Aktivieren der Erzwingung von Datenrichtlinien für Ihre Microsoft Purview-Quellen
Die Erzwingung von Datenrichtlinien ist eine Option innerhalb der Datenquellenregistrierung in Microsoft Purview. Mit dieser Option kann Microsoft Purview den Datenzugriff für Ihre Ressourcen verwalten. Das allgemeine Konzept besteht darin, dass der Datenbesitzer seine Datenressource für Zugriffsrichtlinien verfügbar macht, indem er die Erzwingung von Datenrichtlinien aktiviert.
Derzeit kann ein Datenbesitzer die Erzwingung von Datenrichtlinien für eine Datenressource aktivieren, wodurch sie für diese Arten von Zugriffsrichtlinien aktiviert wird:
- DevOps-Richtlinien
- Zugriffsrichtlinien für Datenbesitzer
- Self-Service-Zugriffsrichtlinien : Zugriffsrichtlinien, die automatisch von Microsoft Purview generiert werden, nachdem eine Self-Service-Zugriffsanforderung genehmigt wurde.
- Schutzrichtlinien
Um eine Beliebige Datenrichtlinie für eine Ressource erstellen zu können, muss zuerst die Datenrichtlinienerzwingung für diese Ressource aktiviert werden. In diesem Artikel wird erläutert, wie Sie die Erzwingung von Datenrichtlinien für Ihre Ressourcen in Microsoft Purview aktivieren.
Wichtig
Da sich die Erzwingung von Datenrichtlinien direkt auf den Zugriff auf Ihre Daten auswirkt, wirkt sich dies direkt auf Ihre Datensicherheit aus. Lesen Sie die folgenden zusätzlichen Überlegungen und bewährten Methoden , bevor Sie die Erzwingung von Datenrichtlinien in Ihrer Umgebung aktivieren.
Voraussetzungen
Registrieren der Datenquelle in Microsoft Purview
Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.
Hinweis
Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.
Konfigurieren von Berechtigungen zum Aktivieren der Datenrichtlinienerzwingung für die Datenquelle
Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datenrichtlinienerzwingung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Erzwingung von Datenrichtlinien zu aktivieren, müssen Sie sowohl über bestimmte Identitäts- und Zugriffsverwaltungsberechtigungen (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:
Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:
- IAM-Besitzer
- Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator
Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.
Hinweis
Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Microsoft Entra Benutzer, Gruppen und Dienstprinzipale die ROLLE IAM-Besitzer für die Ressource besitzen oder erben.
Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.
Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.
Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien
Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:
- Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
- Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.
Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.
Hinweis
Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.
Wenn Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie problemlos Microsoft Entra Benutzer oder Gruppen durchsuchen möchten, können Sie außerdem davon profitieren, dass Sie die Berechtigung Verzeichnisleseberechtigte in Microsoft Entra ID erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.
Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien
Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.
Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.
Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.
Hinweis
Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.
Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview
Nachdem eine Ressource für die Erzwingung von Datenrichtlinien aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.
Hinweis
Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.
Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.
Aktivieren der Datenrichtlinienerzwingung
Um die Erzwingung von Datenrichtlinien für eine Ressource zu aktivieren, muss die Ressource zuerst in Microsoft Purview registriert werden. Um eine Ressource zu registrieren, befolgen Sie die Abschnitte Voraussetzungen und Registrieren der Quellseiten für Ihre Ressourcen.
Nachdem Sie Ihre Ressource registriert haben, führen Sie die restlichen Schritte aus, um eine einzelne Ressource für die Erzwingung von Datenrichtlinien zu aktivieren.
Über das klassische Microsoft Purview-Governanceportal
Wechseln Sie zum klassischen Microsoft Purview-Governanceportal.
Wählen Sie im linken Menü die Registerkarte Data Map aus.
Wählen Sie im linken Menü die Registerkarte Quellen aus.
Wählen Sie die Quelle aus, in der Sie die Datenrichtlinienerzwingung aktivieren möchten.
Wählen Sie oben auf der Quellseite Quelle bearbeiten aus.
Legen Sie die Umschaltfläche Datenrichtlinienerzwingung auf Aktiviert fest, wie in der folgenden Abbildung dargestellt.
Über das neue Microsoft Purview-Portal
Wechseln Sie zum neuen Microsoft Purview-Portal.
Wählen Sie im linken Menü die Registerkarte Data Map aus.
Wählen Sie im linken Menü die Registerkarte Datenquellen aus.
Wählen Sie die Quelle aus, in der Sie die Datenrichtlinienerzwingung aktivieren möchten.
Legen Sie die Umschaltfläche Datenrichtlinienerzwingung auf Ein fest, wie in der folgenden Abbildung dargestellt.
Deaktivieren der Erzwingung von Datenrichtlinien
Um die Erzwingung von Datenrichtlinien für eine Quelle, Ressourcengruppe oder ein Abonnement zu deaktivieren, muss ein Benutzer entweder ein IAM-Ressourcenbesitzer oder ein Microsoft Purview-Datenquellenadministrator sein. Sobald Sie über diese Berechtigungen verfügen, führen Sie die folgenden Schritte aus:
Über das klassische Microsoft Purview-Governanceportal
Navigieren Sie zum Microsoft Purview-Governanceportal.
Wählen Sie im linken Menü die Registerkarte Data Map aus.
Wählen Sie im linken Menü die Registerkarte Quellen aus.
Wählen Sie die Quelle aus, für die Sie die Datenrichtlinienerzwingung deaktivieren möchten.
Wählen Sie oben auf der Quellseite Quelle bearbeiten aus.
Legen Sie die Umschaltfläche Datenrichtlinienerzwingung auf Deaktiviert fest.
Über das neue Microsoft Purview-Portal
Wechseln Sie zum neuen Microsoft Purview-Portal.
Wählen Sie im linken Menü die Registerkarte Data Map aus.
Wählen Sie im linken Menü die Registerkarte Quellen aus.
Wählen Sie die Quelle aus, für die Sie die Datenrichtlinienerzwingung deaktivieren möchten.
Legen Sie die Umschaltfläche Datenrichtlinienerzwingung auf Aus fest.
Zusätzliche Überlegungen im Zusammenhang mit der Erzwingung von Datenrichtlinien
- Notieren Sie sich unbedingt den Namen , den Sie bei der Registrierung in Microsoft Purview verwenden. Sie benötigen sie, wenn Sie eine Richtlinie veröffentlichen. Es wird empfohlen, den registrierten Namen genau mit dem Endpunktnamen zu identisch zu machen.
- Um eine Quelle für die Erzwingung von Datenrichtlinien zu deaktivieren, müssen Sie zunächst alle veröffentlichten Richtlinien für diese Datenquelle entfernen.
- Der Benutzer muss zwar sowohl über den Datenquellenbesitzer als auch über einen Microsoft Purview-Datenquellenadministrator verfügen, um eine Quelle für die Erzwingung von Datenrichtlinien zu aktivieren, aber jeder Datenquellenadministrator für die Sammlung kann sie deaktivieren.
- Wenn Sie die Erzwingung von Datenrichtlinien für ein Abonnement deaktivieren, wird sie auch für alle in diesem Abonnement registrierten Ressourcen deaktiviert.
Warnung
Bekannte Probleme im Zusammenhang mit der Quellregistrierung
- Das Verschieben von Datenquellen in eine andere Ressourcengruppe oder ein anderes Abonnement wird nicht unterstützt. Wenn Sie dies tun möchten, heben Sie die Registrierung der Datenquelle in Microsoft Purview auf, bevor Sie sie verschieben, und registrieren Sie sie anschließend erneut. Beachten Sie, dass Richtlinien an den ARM-Pfad der Datenquelle gebunden sind. Wenn Sie das Datenquellenabonnement oder die Ressourcengruppe ändern, werden Richtlinien ineffektiv.
- Sobald ein Abonnement für die Erzwingung von Datenrichtlinien deaktiviert wurde, werden alle zugrunde liegenden Ressourcen, die für die Erzwingung von Datenrichtlinien aktiviert sind, deaktiviert. Dies ist das richtige Verhalten. Richtlinienanweisungen, die auf diesen Ressourcen basieren, sind auch danach weiterhin zulässig.
Bewährte Methoden zur Erzwingung von Datenrichtlinien
- Es wird dringend empfohlen, Datenquellen für die Erzwingung von Datenrichtlinien zu registrieren und alle zugehörigen Zugriffsrichtlinien in einem einzigen Microsoft Purview-Konto zu verwalten.
- Wenn Sie über mehrere Microsoft Purview-Konten verfügen, beachten Sie, dass alle Datenquellen, die zu einem Abonnement gehören, für die Erzwingung von Datenrichtlinien in einem einzelnen Microsoft Purview-Konto registriert werden müssen. Dieses Microsoft Purview-Konto kann sich in einem beliebigen Abonnement im Mandanten befinden. Die Umschaltfläche zur Erzwingung von Datenrichtlinien wird abgeblendet, wenn ungültige Konfigurationen vorhanden sind. Im folgenden Diagramm finden Sie einige Beispiele für gültige und ungültige Konfigurationen:
- Fall 1 zeigt eine gültige Konfiguration an, bei der ein Speicherkonto in einem Microsoft Purview-Konto im selben Abonnement registriert ist.
- Fall 2 zeigt eine gültige Konfiguration an, bei der ein Speicherkonto in einem Microsoft Purview-Konto in einem anderen Abonnement registriert ist.
- Fall 3 zeigt, dass eine ungültige Konfiguration entsteht, da die Speicherkonten S3SA1 und S3SA2 beide zu Abonnement 3 gehören, aber für verschiedene Microsoft Purview-Konten registriert sind. In diesem Fall wird die Umschaltfläche zur Erzwingung der Datenrichtlinie nur in dem Microsoft Purview-Konto aktiviert, das zuerst eine Datenquelle in diesem Abonnement gewinnt und registriert. Der Umschalter wird dann für die andere Datenquelle ausgegraut.
- Wenn die Datenrichtlinienerzwingung abgeblendet ist und nicht aktiviert werden kann, zeigen Sie darauf, um den Namen des Microsoft Purview-Kontos zu ermitteln, das die Datenressource registriert hat.
