Freigeben über


Ermitteln und Steuern mehrerer Azure-Quellen in Microsoft Purview

In diesem Artikel wird beschrieben, wie Sie mehrere Azure-Quellen registrieren und wie Sie sich in Microsoft Purview authentifizieren und damit interagieren. Weitere Informationen zu Microsoft Purview finden Sie im Einführungsartikel.

Unterstützte Funktionen

Metadatenextraktion Vollständiger Scan Inkrementelle Überprüfung Bereichsbezogene Überprüfung Klassifizierung Bezeichnen Zugriffsrichtlinie Herkunft Datenfreigabe Live-Ansicht
Ja Ja Ja Ja Ja Quellenabhängig Ja Quellenabhängig Nein Begrenzt

Voraussetzungen

Registrieren

In diesem Abschnitt wird beschrieben, wie Sie mehrere Azure-Quellen in Microsoft Purview mithilfe des Microsoft Purview-Governanceportals registrieren.

Voraussetzungen für die Registrierung

Microsoft Purview benötigt Berechtigungen, um Ressourcen unter einem Abonnement oder einer Ressourcengruppe auflisten zu können.

  1. Wechseln Sie zum Abonnement oder zur Ressourcengruppe im Azure-Portal.
  2. Wählen Sie im linken Menü Access Control (IAM) aus.
  3. Wählen Sie +Hinzufügen aus.
  4. Wählen Sie im Feld Eingabe auswählen die Rolle Leser aus, und geben Sie den Namen Ihres Microsoft Purview-Kontos ein (der den MSI-Dateinamen darstellt).
  5. Wählen Sie Speichern aus, um die Rollenzuweisung abzuschließen. Dadurch kann Microsoft Purview Ressourcen unter einem Abonnement oder einer Ressourcengruppe auflisten.

Authentifizierung für die Registrierung

Es gibt zwei Möglichkeiten, die Authentifizierung für mehrere Quellen in Azure einzurichten:

  • Verwaltete Identität
  • Dienstprinzipal

Sie müssen die Authentifizierung für jede Ressource in Ihrem Abonnement oder ihrer Ressourcengruppe einrichten, die Sie registrieren und überprüfen möchten. Azure Storage-Ressourcentypen (Azure Blob Storage und Azure Data Lake Storage Gen2) erleichtern das Hinzufügen der MSI-Datei oder des Dienstprinzipals auf Abonnement- oder Ressourcengruppenebene als Speicherblobdatenleser. Die Berechtigungen werden dann auf jedes Speicherkonto innerhalb dieses Abonnements oder dieser Ressourcengruppe weitergegeben. Für alle anderen Ressourcentypen müssen Sie die MSI-Datei oder den Dienstprinzipal auf jede Ressource anwenden oder dazu ein Skript erstellen.

Informationen zum Hinzufügen von Berechtigungen für jeden Ressourcentyp innerhalb eines Abonnements oder einer Ressourcengruppe finden Sie in den folgenden Ressourcen:

Schritte zum Registrieren

  1. Öffnen Sie das Microsoft Purview-Governanceportal wie folgt:

  2. Wählen Sie im linken Menü Data Map aus.

  3. Wählen Sie Registrieren aus.

  4. Wählen Sie unter Quellen registrieren die Option Azure (mehrere) aus.

    Screenshot: Kachel für Azure Multiple auf dem Bildschirm zum Registrieren mehrerer Quellen

  5. Wählen Sie Weiter.

  6. Gehen Sie auf dem Bildschirm Quellen registrieren (Azure) wie folgt vor:

    1. Geben Sie im Feld Name einen Namen ein, mit dem die Datenquelle im Katalog aufgeführt wird.

    2. Wählen Sie im Feld Verwaltungsgruppe optional eine Verwaltungsgruppe aus, nach der gefiltert werden soll.

    3. Wählen Sie in den Dropdownlistenfeldern Abonnement und Ressourcengruppe ein Abonnement bzw. eine bestimmte Ressourcengruppe aus. Der Registrierungsbereich wird auf das ausgewählte Abonnement oder die ausgewählte Ressourcengruppe festgelegt.

      Screenshot: Felder zum Auswählen eines Abonnements und einer Ressourcengruppe

    4. Wählen Sie eine Sammlung aus der Liste aus.

    5. Wählen Sie Registrieren aus, um die Datenquellen zu registrieren.

Überprüfung

Wichtig

Derzeit wird das Überprüfen mehrerer Azure-Quellen nur mithilfe der Azure Integration Runtime unterstützt. Daher können nur Microsoft Purview-Konten, die öffentlichen Zugriff auf die Firewall zulassen, diese Option verwenden.

Führen Sie die folgenden Schritte aus, um mehrere Azure-Quellen zu überprüfen, um Ressourcen automatisch zu identifizieren und Ihre Daten zu klassifizieren. Weitere Informationen zum Scannen im Allgemeinen finden Sie in unserer Einführung in Scans und Erfassung.

Erstellen und Ausführen der Überprüfung

Gehen Sie wie folgt vor, um eine neue Überprüfung zu erstellen und auszuführen:

  1. Wählen Sie im linken Bereich des Microsoft Purview-Governanceportals die Registerkarte Data Map aus.

  2. Wählen Sie die datenquelle aus, die Sie registriert haben.

  3. Wählen Sie Details> anzeigen + Neuer Scan aus, oder verwenden Sie das Schnellaktionssymbol Scan auf der Quellkachel.

  4. Geben Sie unter Name den Namen ein.

  5. Wählen Sie unter Typ die Ressourcentypen aus, die Sie innerhalb dieser Quelle überprüfen möchten. Wählen Sie eine der folgenden Optionen aus:

    • Übernehmen Sie die Einstellung Alle. Diese Auswahl umfasst zukünftige Ressourcentypen, die derzeit möglicherweise nicht in diesem Abonnement oder dieser Ressourcengruppe vorhanden sind.
    • Verwenden Sie die Felder, um ressourcentypen auszuwählen, die Sie überprüfen möchten. Wenn Sie diese Option auswählen, werden zukünftige Ressourcentypen, die möglicherweise in diesem Abonnement oder in dieser Ressourcengruppe erstellt werden, nicht für Überprüfungen einbezogen, es sei denn, die Überprüfung wird in Zukunft explizit bearbeitet.

    Screenshot: Optionen zum Überprüfen mehrerer Quellen

  6. Wählen Sie die Anmeldeinformationen aus, um eine Verbindung mit den Ressourcen in Ihrer Datenquelle herzustellen:

    • Sie können Anmeldeinformationen auf der übergeordneten Ebene als MSI-Datei oder anmeldeinformationen für einen bestimmten Dienstprinzipaltyp auswählen. Sie können diese Anmeldeinformationen dann für alle Ressourcentypen unter dem Abonnement oder der Ressourcengruppe verwenden.
    • Sie können speziell den Ressourcentyp auswählen und andere Anmeldeinformationen für diesen Ressourcentyp anwenden.

    Jede Anmeldeinformation wird als Authentifizierungsmethode für alle Ressourcen unter einem bestimmten Typ betrachtet. Sie müssen die ausgewählten Anmeldeinformationen für die Ressourcen festlegen, um sie erfolgreich zu überprüfen, wie weiter oben in diesem Artikel beschrieben.

  7. Innerhalb jedes Typs können Sie auswählen, ob sie entweder alle Ressourcen überprüfen oder eine Teilmenge davon anhand des Namens überprüfen möchten:

    • Wenn Sie die Option Auf Alle belassen, werden zukünftige Ressourcen dieses Typs auch in zukünftigen Scanausführungen überprüft.
    • Wenn Sie bestimmte Speicherkonten oder SQL-Datenbanken auswählen, werden zukünftige Ressourcen dieses Typs, die in diesem Abonnement oder in dieser Ressourcengruppe erstellt wurden, nicht für Überprüfungen einbezogen, es sei denn, die Überprüfung wird in Zukunft explizit bearbeitet.
  8. Wählen Sie Verbindung testen aus. Dadurch wird zunächst der Zugriff getestet, um zu überprüfen, ob Sie die Microsoft Purview MSI-Datei als Leser auf das Abonnement oder die Ressourcengruppe angewendet haben. Wenn Sie eine Fehlermeldung erhalten, befolgen Sie diese Anweisungen , um dies zu beheben. Anschließend wird Ihre Authentifizierung und Verbindung mit jeder ihrer ausgewählten Quellen getestet und ein Bericht generiert. Die Anzahl der ausgewählten Quellen wirkt sich auf die Zeit aus, die zum Generieren dieses Berichts benötigt wird. Wenn bei einigen Ressourcen ein Fehler aufgetreten ist, wird beim Zeigen auf das X-Symbol die ausführliche Fehlermeldung angezeigt.

    Screenshot: Schieberegler für die Überprüfungseinrichtung mit hervorgehobener Schaltfläche Screenshot eines Beispielberichts zum Testen der Verbindung, bei dem einige Verbindungen bestanden wurden und einige nicht erfolgreich waren. Wenn Sie auf eine der fehlerhaften Verbindungen zeigen, wird ein ausführlicher Fehlerbericht angezeigt.

  9. Nachdem die Testverbindung bestanden wurde, wählen Sie Weiter aus, um fortzufahren.

  10. Wählen Sie Überprüfungsregelsätze für jeden Ressourcentyp aus, den Sie im vorherigen Schritt ausgewählt haben. Sie können Scanregelsätze auch inline erstellen.

    Screenshot: Überprüfungsregeln für jeden Ressourcentyp

  11. Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.

  12. Überprüfen Sie Ihre Überprüfung, und wählen Sie Speichern aus, um das Setup abzuschließen.

Anzeigen Ihrer Überprüfungen und Überprüfungsausführungen

  1. Zeigen Sie Quelldetails an, indem Sie auf der Kachel im Abschnitt Data Map die Option Details anzeigen auswählen.

    Screenshot: Quelldetails

  2. Zeigen Sie Details zur Überprüfungsausführung an, indem Sie zur Seite Scandetails wechseln.

    Der status-Balken ist eine kurze Zusammenfassung der ausgeführten status der untergeordneten Ressourcen. Sie wird auf Abonnement- oder Ressourcengruppenebene angezeigt. Die Farben haben die folgenden Bedeutungen:

    • Grün: Die Überprüfung war erfolgreich.
    • Rot: Fehler bei der Überprüfung.
    • Grau: Die Überprüfung wird noch ausgeführt.

    Sie können jede Überprüfung auswählen, um detailliertere Details anzuzeigen.

    Screenshot: Überprüfungsdetails

  3. Zeigen Sie unten in den Quelldetails eine Zusammenfassung der zuletzt fehlgeschlagenen Scanausführungen an. Sie können auch detailliertere Details zu diesen Ausführungen anzeigen.

Verwalten Ihrer Überprüfungen: Bearbeiten, Löschen oder Abbrechen

Gehen Sie wie folgt vor, um eine Überprüfung zu verwalten:

  1. Wechseln Sie zum Verwaltungscenter.

  2. Wählen Sie im Abschnitt Quellen und Überprüfung die Option Datenquellen aus, und wählen Sie dann die gewünschte Datenquelle aus.

  3. Wählen Sie die Überprüfung aus, die Sie verwalten möchten. Gehen Sie dann wie folgt vor:

    • Sie können die Überprüfung bearbeiten, indem Sie Auf Bearbeiten klicken.
    • Sie können die Überprüfung löschen, indem Sie Löschen auswählen.
    • Wenn die Überprüfung ausgeführt wird, können Sie sie abbrechen, indem Sie Abbrechen auswählen.

Richtlinien

Die folgenden Richtlinientypen werden für diese Datenressource von Microsoft Purview unterstützt:

Voraussetzungen für Zugriffsrichtlinien für Azure Storage-Konten

Um Richtlinien aus Microsoft Purview erzwingen zu können, müssen zuerst Datenquellen unter einer Ressourcengruppe oder einem Abonnement konfiguriert werden. Die Anweisungen variieren je nach Datenquellentyp. Überprüfen Sie, ob sie Microsoft Purview-Richtlinien unterstützen, und wenn ja, die spezifischen Anweisungen zu deren Aktivierung unter dem Link Zugriffsrichtlinie im Microsoft Purview-Connectordokument.

Konfigurieren des Microsoft Purview-Kontos für Richtlinien

Registrieren der Datenquelle in Microsoft Purview

Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.

Hinweis

Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.

Konfigurieren von Berechtigungen zum Aktivieren der Datenrichtlinienerzwingung für die Datenquelle

Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datenrichtlinienerzwingung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Erzwingung von Datenrichtlinien zu aktivieren, müssen Sie sowohl über bestimmte Identitäts- und Zugriffsverwaltungsberechtigungen (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:

  • Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:

    • IAM-Besitzer
    • Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator

    Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.

    Screenshot: Abschnitt im Azure-Portal zum Hinzufügen einer Rollenzuweisung

    Hinweis

    Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Microsoft Entra Benutzer, Gruppen und Dienstprinzipale die ROLLE IAM-Besitzer für die Ressource besitzen oder erben.

  • Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.

    Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.

    Screenshot: Auswahl zum Zuweisen der Rolle

Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien

Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:

  • Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
  • Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.

Wenn Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie problemlos Microsoft Entra Benutzer oder Gruppen durchsuchen möchten, können Sie außerdem davon profitieren, dass Sie die Berechtigung Verzeichnisleseberechtigte in Microsoft Entra ID erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.

Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien

Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.

Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.

Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview

Nachdem eine Ressource für die Erzwingung von Datenrichtlinien aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.

Hinweis

Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.

Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.

Registrieren der Datenquelle in Microsoft Purview für die Erzwingung von Datenrichtlinien

Das Azure-Abonnement oder die Ressourcengruppe muss zuerst bei Microsoft Purview registriert werden, bevor Sie Zugriffsrichtlinien erstellen können. Um Ihre Ressource zu registrieren, befolgen Sie die Schritte in den Abschnitten Voraussetzungen und Registrieren dieses Leitfadens:

Nachdem Sie die Datenressource registriert haben, müssen Sie die Datenrichtlinienerzwingung aktivieren. Dies ist eine Voraussetzung, damit Sie Richtlinien für die Datenressource erstellen können. Die Erzwingung von Datenrichtlinien kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen delegiert wird, die den Zugriff auf die Datenquellen verwalten. Gehen Sie die sicheren Methoden im Zusammenhang mit der Erzwingung von Datenrichtlinien in diesem Leitfaden durch: Aktivieren der Datenrichtlinienerzwingung

Sobald für Ihre Datenquelle die Option Datenrichtlinienerzwingung auf Aktiviert festgelegt ist, sieht sie wie dieser Screenshot aus: Screenshot zeigt, wie eine Datenquelle für die Richtlinie registriert wird, wobei die Option Datenrichtlinienerzwingung aktiviert ist.

Richtlinie erstellen

Befolgen Sie die folgenden Anleitungen, um eine Zugriffsrichtlinie für ein gesamtes Azure-Abonnement oder eine gesamte Ressourcengruppe zu erstellen:

Nächste Schritte

Nachdem Sie Ihre Quelle registriert haben, folgen Sie den folgenden Anleitungen, um mehr über Microsoft Purview und Ihre Daten zu erfahren.