Création et publication de stratégies de protection pour les sources Azure (préversion)

Les stratégies de contrôle d’accès de protection (stratégies de protection) permettent aux organisations de protéger automatiquement les données sensibles entre les sources de données. Microsoft Purview analyse déjà les ressources de données et identifie les éléments de données sensibles, et cette nouvelle fonctionnalité vous permet de restreindre automatiquement l’accès à ces données à l’aide d’étiquettes de confidentialité de Protection des données Microsoft Purview.

Les stratégies de protection garantissent que les administrateurs d’entreprise doivent autoriser l’accès aux données pour un type de confidentialité. Une fois ces stratégies activées, le contrôle d’accès est automatiquement imposé chaque fois que des informations sensibles sont détectées avec Protection des données Microsoft Purview.

Actions prises en charge

• Limitez l’accès aux ressources de données étiquetées afin que seuls les utilisateurs et les groupes que vous sélectionnez puissent y accéder.
• Action configurée sur les étiquettes de confidentialité dans la solution Protection des données Microsoft Purview.

Sources prises en charge

• Base de données Azure SQL
• Stockage Blob Azure
• Azure Data Lake Storage Gen2

Configuration requise

• Microsoft 365 E5 licences. Pour plus d’informations sur les licences spécifiques requises, consultez ces informations sur les étiquettes de sensibilité. Microsoft 365 E5 licences d’évaluation peuvent être obtenues pour votre locataire en accédant ici à partir de votre environnement.

• Comptes Microsoft Purview existants mis à niveau vers le modèle monolocataire Microsoft Purview et nouvelle expérience du portail, à l’aide de la version entreprise de Microsoft Purview.

1. Configurez les utilisateurs et les autorisations.

2. Créez ou étendez des étiquettes de confidentialité de Protection des données Microsoft Purview à des ressources Data Map.

3. Inscrire des sources : inscrivez l’une des sources que vous aimez :

   1. Base de données Azure SQL
   2. Stockage Blob Azure
   3. Azure Data Lake Storage Gen2

   Remarque

   Pour continuer, vous devez être administrateur de source de données dans la collection où votre source de stockage Azure est inscrite.

4. Activer l’application de la stratégie de données

   1. Accédez au nouveau portail Microsoft Purview.
   2. Sélectionnez l’onglet Data Map dans le menu de gauche.
   3. Sélectionnez l’onglet Sources de données dans le menu de gauche.
   4. Sélectionnez la source dans laquelle vous souhaitez activer l’application de la stratégie de données.
   5. Définissez le bouton bascule Application de la stratégie de donnéessur Activé.

5. Analyser les sources : inscrivez l’une des sources que vous avez inscrites.

   1. Base de données Azure SQL
   2. Stockage Blob Azure
   3. Azure Data Lake Storage Gen2

   Remarque

   Attendez au moins 24 heures après l’analyse.

Utilisateurs et autorisations

Il existe plusieurs types d’utilisateurs dont vous avez besoin, et vous devez configurer les rôles et autorisations correspondants pour ces utilisateurs :

1. Protection des données Microsoft Purview Administration - Droits étendus pour gérer Information Protection solution : révision/ création/mise à jour/suppression des stratégies de protection, étiquettes de confidentialité et stratégies d’étiquette/étiquetage automatique, tous les types de classifieur. Ils doivent également disposer d’un accès complet à l’Explorateur de données, à l’Explorateur d’activités, aux insights Protection des données Microsoft Purview et aux rapports.
   • L’utilisateur a besoin des rôles du groupe de rôles intégré « Information Protection », ainsi que de nouveaux rôles pour le lecteur de carte de données, le lecteur d’insights, le lecteur d’analyse et le lecteur source. Les autorisations complètes seraient les suivantes :
     • lecteur Information Protection
     • Lecteur de carte de données
     • Lecteur Insights
     • Lecteur source
     • Lecteur d’analyse
     • administrateur Information Protection
     • analyste Information Protection
     • Enquêteur sur la protection des informations
     • Visionneuse de liste de classification des données
     • Visionneuse de contenu de classification des données
     • Administrateur d’évaluation Microsoft Purview
   • Option 1 - Recommandé :
     1. Dans le panneau groupes de rôles Microsoft Purview, recherchez Information Protection.
     2. Sélectionnez le groupe de rôles Information Protection, puis sélectionnez Copier.
     3. Nommez-le : « Aperçu - Information Protection », puis sélectionnez Créer une copie.
     4. Sélectionnez Aperçu - Information Protection, puis Modifier.
     5. Dans la page Rôles , + Choisissez des rôles et recherchez « lecteur ».
     6. Sélectionnez ces quatre rôles : Lecteur de carte de données, Lecteur d’insights, Lecteur d’analyse, Lecteur source.
     7. Ajoutez le compte d’utilisateur de test Protection des données Microsoft Purview administrateur à ce nouveau groupe copié et terminez l’Assistant.
   • Option 2 : utilise des groupes intégrés (fournit plus d’autorisations que nécessaire)
     1. Placez un nouveau compte d’utilisateur de test Protection des données Microsoft Purview administrateur dans les groupes intégrés pour Information Protection, lecteurs Data Estate Insights et administrateurs de sources de données.
2. Propriétaire de données/Administration : cet utilisateur active votre source pour l’application de la stratégie de données dans Microsoft Purview pour les sources Azure et Amazon S3.

Créer une stratégie de protection

Maintenant que vous avez vérifié les prérequis et préparé votre instance et votre source Microsoft Purview pour les stratégies de protection et que vous avez attendu au moins 24 heures après votre analyse la plus récente, procédez comme suit pour créer vos stratégies de protection :

1. Connectez-vous au portail Microsoft Purview et sélectionnez le carte Information Protection. Si la solution Information Protection carte n’est pas affichée, sélectionnez Afficher toutes les solutions, puis Information Protection dans la section Sécurité des données.

2. Dans le volet de navigation de gauche, sélectionnez Stratégies, puis Stratégies de protection.

3. Sélectionnez Nouvelle stratégie de protection.

4. Fournissez un nom et une description, puis sélectionnez Suivant.

5. Sélectionnez + Ajouter une étiquette de confidentialité pour ajouter des étiquettes de confidentialité afin de détecter la stratégie, puis sélectionnez toutes les étiquettes à appliquer à la stratégie.

6. Sélectionnez Ajouter , puis Suivant.

7. Sélectionnez les sources auxquelles vous souhaitez appliquer la stratégie. Vous pouvez sélectionner plusieurs sources. Sélectionnez Modifier pour gérer l’étendue de chacun de vos choix.

8. En fonction de votre source, sélectionnez le bouton + Inclure en haut pour ajouter jusqu’à 10 ressources à votre liste d’étendues. La stratégie sera appliquée à toutes les ressources que vous sélectionnez.

   Remarque

   Actuellement, un maximum de 10 ressources est pris en charge, et elles doivent être sélectionnées sous Modifier pour qu’elles soient activées.

9. Sélectionnez Ajouter , puis Sélectionnez Terminé lorsque votre liste de sources est terminée.

10. Selon votre source, sélectionnez le type de stratégie de protection que vous souhaitez créer.

11. Sélectionnez les utilisateurs qui ne se verront PAS refuser l’accès en fonction de l’étiquette. Tous les membres de votre organisation se verront refuser l’accès aux éléments étiquetés, à l’exception des utilisateurs et des groupes que vous ajoutez ici.

    Importante

    Assurez-vous que tous les comptes de principal de service exécutant des analyses de gouvernance des données pour les sources délimitées sont inclus dans un groupe de sécurité. Ajoutez ce groupe de sécurité à la liste autorisée de vos stratégies de protection. Cela empêchera les futures analyses d’être bloquées par des restrictions d’accès sur les fichiers étiquetés.

12. Sélectionnez Suivant.

13. Indiquez si vous activez la stratégie immédiatement ou non, puis sélectionnez Suivant.

14. Sélectionnez Envoyer.

15. Sélectionnez Terminé.

Vous devez maintenant voir votre nouvelle stratégie dans la liste des stratégies de protection. Sélectionnez-la pour confirmer que tous les détails sont corrects.

Gérer la stratégie de protection

Pour modifier ou supprimer une stratégie de protection existante, procédez comme suit :

1. Ouvrez le portail Microsoft Purview.
2. Ouvrez la solution Information Protection.
3. Sélectionnez Stratégies, puis Stratégies de protection.
4. Sélectionnez la stratégie que vous souhaitez gérer.
5. Pour modifier les détails, sélectionnez le bouton Modifier la stratégie .
6. Pour supprimer la stratégie, sélectionnez Supprimer la stratégie.