Freigeben über


Tutorial: Zugreifen auf die Bereitstellung durch Datenbesitzer für Azure Storage-Datasets (Vorschau)

Wichtig

Dieses Feature ist derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.

Richtlinien in Microsoft Purview ermöglichen es Ihnen, den Zugriff auf Datenquellen zu ermöglichen, die für eine Sammlung registriert wurden. In diesem Tutorial wird beschrieben, wie ein Datenbesitzer Microsoft Purview verwenden kann, um den Zugriff auf Datasets in Azure Storage über Microsoft Purview zu ermöglichen.

In diesem Tutorial wird Folgendes vermittelt:

  • Vorbereiten Ihrer Azure-Umgebung
  • Konfigurieren von Berechtigungen, damit Microsoft Purview eine Verbindung mit Ihren Ressourcen herstellen kann
  • Registrieren Ihrer Azure Storage-Ressource für die Erzwingung von Datenrichtlinien
  • Erstellen und Veröffentlichen einer Richtlinie für Ihre Ressourcengruppe oder Ihr Abonnement

Voraussetzungen

Regionsunterstützung

  • Alle Microsoft Purview-Regionen werden unterstützt.
  • Speicherkonten in den folgenden Regionen werden ohne zusätzliche Konfiguration unterstützt. Zonenredundante Speicherkonten (ZRS) werden jedoch nicht unterstützt.
    • Australien Zentral
    • Australien (Osten)
    • Australien (Südosten)
    • Brasilien Süd
    • Kanada, Mitte
    • Kanada, Osten
    • Indien, Mitte
    • USA (Mitte)
    • Ostasien
    • USA (Osten) 2
    • USA (Osten)
    • Frankreich, Mitte
    • Deutschland, Westen-Mitte
    • Japan Osten
    • Japan Westen
    • Korea zentral
    • USA (Norden, Mitte)
    • Nordeuropa
    • Norwegen Ost
    • Polen, Mitte
    • Katar, Mitte
    • USA (Süden, Mitte)
    • Süd-Afrika Nord
    • Südostasien
    • Indien, Süden
    • Schweden, Mitte
    • Schweiz Nord
    • USA (Westen, Mitte)
    • Westeuropa
    • USA (Westen)
    • USA (Westen) 2
    • USA, Westen 3
    • VAE Nord
    • Vereinigtes Königreich (Süden)
    • Vereinigtes Königreich (Westen)
  • Speicherkonten in anderen Regionen in der öffentlichen Cloud werden nach dem Festlegen des Featureflags AllowPurviewPolicyEnforcement unterstützt, wie im nächsten Abschnitt beschrieben. Neu erstellte ZRS Storage-Konten werden unterstützt, wenn sie nach dem Festlegen des Featureflags AllowPurviewPolicyEnforcement erstellt wurden.

Bei Bedarf können Sie ein neues Speicherkonto erstellen, indem Sie diese Anleitung befolgen.

Konfigurieren des Abonnements, in dem sich das Azure Storage-Konto befindet, für Richtlinien aus Microsoft Purview

Dieser Schritt ist nur in bestimmten Regionen erforderlich (siehe vorheriger Abschnitt). Damit Microsoft Purview Richtlinien für ein oder mehrere Azure Storage-Konten verwalten kann, führen Sie die folgenden PowerShell-Befehle in dem Abonnement aus, in dem Sie Ihr Azure Storage-Konto bereitstellen. Mit diesen PowerShell-Befehlen kann Microsoft Purview Richtlinien für alle Azure Storage-Konten in diesem Abonnement verwalten.

Wenn Sie diese Befehle lokal ausführen, stellen Sie sicher, dass Sie PowerShell als Administrator ausführen. Alternativ können Sie die Azure-Cloud Shell im Azure-Portal verwenden: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Wenn in der Ausgabe des letzten Befehls RegistrationState als Registriert angezeigt wird, ist Ihr Abonnement für Zugriffsrichtlinien aktiviert. Wenn die Ausgabe Registrieren lautet, warten Sie mindestens 10 Minuten, und wiederholen Sie dann den Befehl. Fahren Sie nicht fort, es sei denn, der RegistrationState wird als Registriert angezeigt.

Konfiguration

Registrieren der Datenquelle in Microsoft Purview

Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.

Hinweis

Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.

Konfigurieren von Berechtigungen zum Aktivieren der Datenrichtlinienerzwingung für die Datenquelle

Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datenrichtlinienerzwingung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Erzwingung von Datenrichtlinien zu aktivieren, müssen Sie sowohl über bestimmte Identitäts- und Zugriffsverwaltungsberechtigungen (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:

  • Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:

    • IAM-Besitzer
    • Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator

    Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.

    Screenshot: Abschnitt im Azure-Portal zum Hinzufügen einer Rollenzuweisung

    Hinweis

    Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Microsoft Entra Benutzer, Gruppen und Dienstprinzipale die ROLLE IAM-Besitzer für die Ressource besitzen oder erben.

  • Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.

    Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.

    Screenshot: Auswahl zum Zuweisen der Rolle

Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien

Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:

  • Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
  • Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.

Wenn Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie problemlos Microsoft Entra Benutzer oder Gruppen durchsuchen möchten, können Sie außerdem davon profitieren, dass Sie die Berechtigung Verzeichnisleseberechtigte in Microsoft Entra ID erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.

Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien

Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.

Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.

Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview

Nachdem eine Ressource für die Erzwingung von Datenrichtlinien aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.

Hinweis

Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.

Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.

Registrieren der Datenquellen in Microsoft Purview für die Erzwingung von Datenrichtlinien

Ihr Azure Storage-Konto muss in Microsoft Purview registriert werden, um später Zugriffsrichtlinien zu definieren, und während der Registrierung aktivieren wir die Erzwingung von Datenrichtlinien. Die Datenrichtlinienerzwingung ist ein in Microsoft Purview verfügbares Feature, mit dem Benutzer den Zugriff auf eine Ressource aus Microsoft Purview verwalten können. Dadurch können Sie die Datenermittlung und die Zugriffsverwaltung zentralisieren. Dies ist jedoch ein Feature, das sich direkt auf Ihre Datensicherheit auswirkt.

Warnung

Bevor Sie die Erzwingung von Datenrichtlinien für Ihre Ressourcen aktivieren, lesen Sie unseren Artikel Zur Erzwingung von Datenrichtlinien.

Dieser Artikel enthält bewährte Methoden zur Durchsetzung von Datenrichtlinien, mit denen Sie sicherstellen können, dass Ihre Informationen sicher sind.

Führen Sie die folgenden Schritte aus, um Ihre Ressource zu registrieren und die Datenrichtlinienerzwingung zu aktivieren:

Hinweis

Sie müssen Besitzer des Abonnements oder der Ressourcengruppe sein, um einer Azure-Ressource eine verwaltete Identität hinzufügen zu können.

  1. Suchen Sie im Azure-Portal nach dem Azure Blob Storage-Konto, das Sie registrieren möchten.

    Screenshot: Speicherkonto

  2. Wählen Sie im linken Navigationsbereich Access Control (IAM) und dann + Hinzufügen -->Rollenzuweisung hinzufügen aus.

    Screenshot: Zugriffssteuerung für das Speicherkonto

  3. Legen Sie die Rolle auf Storage Blob Data Reader fest, und geben Sie den Namen Ihres Microsoft Purview-Kontos unter dem Eingabefeld Auswählen ein. Wählen Sie dann Speichern aus, um diese Rollenzuweisung an Ihr Microsoft Purview-Konto zu erteilen.

    Screenshot: Details zum Zuweisen von Berechtigungen für das Microsoft Purview-Konto

  4. Wenn Für Ihr Speicherkonto eine Firewall aktiviert ist, führen Sie auch die folgenden Schritte aus:

    1. Wechseln Sie in Azure-Portal zu Ihrem Azure Storage-Konto.

    2. Navigieren Sie zu Sicherheit + Netzwerknetzwerk>.

    3. Wählen Sie unter Zugriff zulassen vondie Option Ausgewählte Netzwerke aus.

    4. Wählen Sie im Abschnitt Ausnahmen die Option Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben und dann Speichern aus.

      Screenshot: Ausnahmen, die vertrauenswürdigen Microsoft-Diensten den Zugriff auf das Speicherkonto ermöglichen.

  5. Nachdem Sie die Authentifizierung für Ihr Speicherkonto eingerichtet haben, wechseln Sie zum Microsoft Purview-Governanceportal.

  6. Wählen Sie im linken Menü Data Map aus.

    Screenshot: Menü ganz links im Microsoft Purview-Governanceportal mit hervorgehobener Option

  7. Wählen Sie Registrieren aus.

    Screenshot: Data Map-Quellen im Microsoft Purview-Governanceportal mit hervorgehobener Schaltfläche

  8. Wählen Sie unter Quellen registrierendie Option Azure Blob Storage aus.

    Screenshot: Kachel für Azure Multiple auf dem Bildschirm zum Registrieren mehrerer Quellen

  9. Wählen Sie Weiter.

  10. Gehen Sie auf dem Bildschirm Quellen registrieren (Azure) wie folgt vor:

    1. Geben Sie im Feld Name einen Anzeigenamen ein, mit dem die Datenquelle im Katalog aufgeführt wird.

    2. Wählen Sie in den Dropdownlistenfeldern Abonnement das Abonnement aus, in dem Sich Ihr Speicherkonto befindet. Wählen Sie dann unter Speicherkontoname Ihr Speicherkonto aus. Wählen Sie unter Sammlung auswählen die Sammlung aus, in der Sie Ihr Azure Storage-Konto registrieren möchten.

      Screenshot: Felder zum Auswählen eines Speicherkontos

    3. Wählen Sie im Feld Sammlung auswählen eine Sammlung aus, oder erstellen Sie eine neue Sammlung (optional).

    4. Legen Sie die Umschaltfläche Datenrichtlinienerzwingung auf Aktiviert fest, wie in der folgenden Abbildung dargestellt.

      Screenshot: Umschaltfläche

      Tipp

      Wenn die Umschaltfläche Datenrichtlinie erzwingen abgeblendet ist und nicht ausgewählt werden kann:

      1. Vergewissern Sie sich, dass Sie alle Voraussetzungen erfüllt haben, um die Erzwingung von Datenrichtlinien für Ihre Ressourcen zu aktivieren.
      2. Vergewissern Sie sich, dass Sie ein Zu registrierende Speicherkonto ausgewählt haben.
      3. Es kann sein, dass diese Ressource bereits in einem anderen Microsoft Purview-Konto registriert ist. Zeigen Sie darauf, um den Namen des Microsoft Purview-Kontos zu ermitteln, das die data resource.first registriert hat. Nur ein Microsoft Purview-Konto kann eine Ressource zurzeit für die Datenrichtlinienerzwingung registrieren.
    5. Wählen Sie Registrieren aus, um die Ressourcengruppe oder das Abonnement mit Microsoft Purview mit aktivierter Datenrichtlinienerzwingung zu registrieren.

Tipp

Weitere Informationen zur Erzwingung von Datenrichtlinien, einschließlich bewährter Methoden oder bekannter Probleme, finden Sie im Artikel Erzwingen von Datenrichtlinien.

Erstellen einer Datenbesitzerrichtlinie

  1. Melden Sie sich beim Microsoft Purview-Governanceportal an.

  2. Navigieren Sie im linken Bereich zum Feature Datenrichtlinie . Wählen Sie dann Datenrichtlinien aus.

  3. Wählen Sie auf der Richtlinienseite die Schaltfläche Neue Richtlinie aus.

    Datenbesitzer können auf die Richtlinienfunktion in Microsoft Purview zugreifen, wenn er Richtlinien erstellen möchte.

  4. Die Neue Richtlinienseite wird angezeigt. Geben Sie den Namen und die Beschreibung der Richtlinie ein.

  5. Um der neuen Richtlinie eine Richtlinienanweisungen hinzuzufügen, wählen Sie die Schaltfläche Neue Richtlinienanweisungen aus. Dadurch wird der Richtlinienanweisungen-Generator angezeigt.

    Datenbesitzer können eine neue Richtlinienanweisungen erstellen.

  6. Wählen Sie die Schaltfläche Effekt und dann in der Dropdownliste Zulassen aus.

  7. Wählen Sie die Schaltfläche Aktion aus, und wählen Sie in der Dropdownliste Lesen oder Ändern aus.

  8. Wählen Sie die Schaltfläche Datenressourcen aus, um das Fenster für die Eingabe von Datenressourceninformationen aufzurufen, die auf der rechten Seite geöffnet werden.

  9. Führen Sie im Bereich Datenressourcen je nach Granularität der Richtlinie eine von zwei Dingen aus:

    • Um eine umfassende Richtlinienanweisung zu erstellen, die eine gesamte Datenquelle, Ressourcengruppe oder ein Abonnement abdeckt, die zuvor registriert wurde, verwenden Sie das Feld Datenquellen , und wählen Sie dessen Typ aus.
    • Um eine differenzierte Richtlinie zu erstellen, verwenden Sie stattdessen das Feld Bestand . Geben Sie den Datenquellentyp und den Namen einer zuvor registrierten und gescannten Datenquelle ein. Sehen Sie sich das Beispiel in der Abbildung an.

    Screenshot: Richtlinien-Editor mit ausgewählter Option

  10. Wählen Sie die Schaltfläche Weiter aus, und durchlaufen Sie die Hierarchie, um das zugrunde liegende Datenobjekt auszuwählen (z. B. Ordner, Datei usw.). Wählen Sie Rekursiv aus, um die Richtlinie ab diesem Punkt in der Hierarchie auf alle untergeordneten Datenobjekte anzuwenden. Wählen Sie dann die Schaltfläche Hinzufügen aus. Dadurch gelangen Sie zurück zum Richtlinien-Editor.

    Screenshot: Menü

  11. Wählen Sie die Schaltfläche Themen aus, und geben Sie die Antragstelleridentität als Prinzipal, Gruppe oder MSI ein. Wählen Sie dann die Schaltfläche OK aus. Dadurch gelangen Sie zurück zum Richtlinien-Editor.

    Screenshot: Menü

  12. Wählen Sie die Schaltfläche Speichern aus, um die Richtlinie zu speichern.

    Screenshot: Beispiel einer Datenbesitzerrichtlinie, die Zugriff auf ein Azure Storage-Konto ermöglicht.

Veröffentlichen einer Datenbesitzerrichtlinie

  1. Melden Sie sich beim Microsoft Purview-Governanceportal an.

  2. Navigieren Sie im linken Bereich zum Feature Datenrichtlinie . Wählen Sie dann Datenrichtlinien aus.

    Screenshot: Microsoft Purview-Governanceportal mit geöffnetem Menü ganz links, hervorgehobener Richtlinienverwaltung und ausgewählter Datenrichtlinien auf der nächsten Seite

  3. Im Richtlinienportal wird die Liste der vorhandenen Richtlinien in Microsoft Purview angezeigt. Suchen Sie die Richtlinie, die veröffentlicht werden muss. Wählen Sie in der rechten oberen Ecke der Seite die Schaltfläche Veröffentlichen aus.

    Screenshot: Menü

  4. Eine Liste der Datenquellen wird angezeigt. Sie können einen Namen eingeben, um die Liste zu filtern. Wählen Sie dann jede Datenquelle aus, in der diese Richtlinie veröffentlicht werden soll, und wählen Sie dann die Schaltfläche Veröffentlichen aus.

    Screenshot: Menü

Wichtig

  • Veröffentlichen ist ein Hintergrundvorgang. Es kann bis zu 2 Stunden dauern, bis die Änderungen in Speicherkonten widerzuspiegeln sind.

Ressourcen bereinigen

Führen Sie die folgenden Schritte aus, um eine Richtlinie in Microsoft Purview zu löschen:

  1. Melden Sie sich beim Microsoft Purview-Governanceportal an.

  2. Navigieren Sie im linken Bereich zum Feature Datenrichtlinie . Wählen Sie dann Datenrichtlinien aus.

    Screenshot: Menü ganz links geöffnet, Richtlinienverwaltung hervorgehoben und Datenrichtlinien auf der nächsten Seite ausgewählt

  3. Im Richtlinienportal wird die Liste der vorhandenen Richtlinien in Microsoft Purview angezeigt. Wählen Sie die Richtlinie aus, die aktualisiert werden muss.

  4. Die Seite mit den Richtliniendetails wird angezeigt, einschließlich der Optionen "Bearbeiten" und "Löschen". Wählen Sie die Schaltfläche Bearbeiten aus, um den Richtlinienanweisungen-Generator anzuzeigen. Jetzt können alle Teile der Anweisungen in dieser Richtlinie aktualisiert werden. Verwenden Sie die Schaltfläche Löschen , um die Richtlinie zu löschen.

    Screenshot: Geöffnete Richtlinie mit hervorgehobener Schaltfläche

Nächste Schritte

Sehen Sie sich unsere Demo und verwandte Tutorials an: