Condividi tramite

Abilitare l'imposizione dei criteri di dati nelle origini Microsoft Purview

  • Articolo

L'imposizione dei criteri di dati è un'opzione all'interno della registrazione dell'origine dati in Microsoft Purview. Questa opzione consente a Microsoft Purview di gestire l'accesso ai dati per le risorse. Il concetto generale è che il proprietario dei dati consente alla risorsa dati di essere disponibile per i criteri di accesso abilitando l'imposizione dei criteri dei dati.

Attualmente, un proprietario dei dati può abilitare l'imposizione dei criteri di dati in una risorsa dati, che lo consente per questi tipi di criteri di accesso:

Per poter creare criteri di dati in una risorsa, è necessario innanzitutto abilitare l'applicazione dei criteri di dati in tale risorsa. Questo articolo illustra come abilitare l'applicazione dei criteri di dati per le risorse in Microsoft Purview.

Importante

Poiché l'applicazione dei criteri di dati influisce direttamente sull'accesso ai dati, influisce direttamente sulla sicurezza dei dati. Esaminare altre considerazioni e procedure consigliate di seguito prima di abilitare l'applicazione dei criteri di dati nell'ambiente.

Prerequisiti

Registrare l'origine dati in Microsoft Purview

Prima di creare un criterio in Microsoft Purview per una risorsa dati, è necessario registrare tale risorsa dati in Microsoft Purview Studio. Le istruzioni relative alla registrazione della risorsa dati sono disponibili più avanti in questa guida.

Nota

I criteri di Microsoft Purview si basano sul percorso arm della risorsa dati. Se una risorsa dati viene spostata in un nuovo gruppo di risorse o sottoscrizione, sarà necessario deregistrarla e quindi registrarla di nuovo in Microsoft Purview.

Configurare le autorizzazioni per abilitare l'imposizione dei criteri dati nell'origine dati

Dopo aver registrato una risorsa, ma prima di poter creare un criterio in Microsoft Purview per tale risorsa, è necessario configurare le autorizzazioni. Per abilitare l'imposizione dei criteri dati, è necessario un set di autorizzazioni. Questo vale per le origini dati, i gruppi di risorse o le sottoscrizioni. Per abilitare l'imposizione dei criteri di dati, è necessario disporre di privilegi specifici di Gestione identità e accesso (IAM) per la risorsa e di privilegi specifici di Microsoft Purview:

  • È necessario disporre di una delle combinazioni di ruoli IAM seguenti nel percorso di Azure Resource Manager della risorsa o in qualsiasi altro elemento padre, ovvero usando l'ereditarietà delle autorizzazioni IAM:

    • Proprietario di IAM
    • Collaboratore IAM e Amministratore accesso utente di IAM

    Per configurare le autorizzazioni del controllo degli accessi in base al ruolo di Azure, seguire questa guida. Lo screenshot seguente mostra come accedere alla sezione Controllo di accesso nel portale di Azure per la risorsa dati per aggiungere un'assegnazione di ruolo.

    Screenshot che mostra la sezione nel portale di Azure per l'aggiunta di un'assegnazione di ruolo.

    Nota

    Il ruolo proprietario di IAM per una risorsa dati può essere ereditato da un gruppo di risorse padre, una sottoscrizione o un gruppo di gestione della sottoscrizione. Controllare quali Microsoft Entra utenti, gruppi ed entità servizio contengono o ereditano il ruolo di proprietario di IAM per la risorsa.

  • È anche necessario avere il ruolo di amministratore dell'origine dati di Microsoft Purview per la raccolta o una raccolta padre (se l'ereditarietà è abilitata). Per altre informazioni, vedere la guida sulla gestione delle assegnazioni di ruolo di Microsoft Purview.

    Lo screenshot seguente mostra come assegnare il ruolo di amministratore dell'origine dati a livello di raccolta radice.

    Screenshot che mostra le selezioni per l'assegnazione del ruolo di amministratore dell'origine dati a livello di raccolta radice.

Configurare le autorizzazioni di Microsoft Purview per creare, aggiornare o eliminare i criteri di accesso

Per creare, aggiornare o eliminare criteri, è necessario ottenere il ruolo Autore criteri in Microsoft Purview a livello di raccolta radice:

  • Il ruolo Autore criteri può creare, aggiornare ed eliminare i criteri DevOps e Proprietario dati.
  • Il ruolo Autore criteri può eliminare i criteri di accesso self-service.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Il ruolo di autore dei criteri deve essere configurato a livello di raccolta radice.

Inoltre, per eseguire facilmente ricerche Microsoft Entra utenti o gruppi durante la creazione o l'aggiornamento dell'oggetto di un criterio, è possibile ottenere l'autorizzazione Lettori directory in Microsoft Entra ID. Si tratta di un'autorizzazione comune per gli utenti in un tenant di Azure. Senza l'autorizzazione Lettore di directory, l'autore dei criteri dovrà digitare il nome utente o il messaggio di posta elettronica completo per tutte le entità incluse nell'oggetto di un criterio dati.

Configurare le autorizzazioni di Microsoft Purview per la pubblicazione dei criteri proprietario dei dati

I criteri del proprietario dei dati consentono controlli e saldi se si assegnano i ruoli di autore dei criteri di Microsoft Purview e amministratore dell'origine dati a persone diverse nell'organizzazione. Prima che i criteri di proprietario dei dati abbiano effetto, una seconda persona (amministratore dell'origine dati) deve esaminarlo e approvarlo in modo esplicito pubblicandolo. Questo non si applica ai criteri di accesso self-service o DevOps perché la pubblicazione è automatica quando tali criteri vengono creati o aggiornati.

Per pubblicare un criterio proprietario dei dati, è necessario ottenere il ruolo di amministratore dell'origine dati in Microsoft Purview a livello di raccolta radice.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Per pubblicare i criteri proprietario dei dati, il ruolo di amministratore dell'origine dati deve essere configurato a livello di raccolta radice.

Delegare la responsabilità del provisioning dell'accesso ai ruoli in Microsoft Purview

Dopo aver abilitato una risorsa per l'applicazione dei criteri dati, qualsiasi utente di Microsoft Purview con il ruolo Autore criteri a livello di raccolta radice può effettuare il provisioning dell'accesso a tale origine dati da Microsoft Purview.

Nota

Qualsiasi amministratore della raccolta radice di Microsoft Purview può assegnare nuovi utenti ai ruoli di autore dei criteri radice. Qualsiasi amministratore della raccolta può assegnare nuovi utenti a un ruolo di amministratore dell'origine dati nella raccolta. Ridurre al minimo e controllare attentamente gli utenti che detengono i ruoli amministratore della raccolta Di Microsoft Purview, Amministratore origine dati o Autore criteri .

Se viene eliminato un account Microsoft Purview con criteri pubblicati, tali criteri smetteranno di essere applicati entro un periodo di tempo che dipende dall'origine dati specifica. Questa modifica può avere implicazioni sia sulla sicurezza che sulla disponibilità dell'accesso ai dati. I ruoli Collaboratore e Proprietario in IAM possono eliminare gli account Microsoft Purview. È possibile controllare queste autorizzazioni passando alla sezione Controllo di accesso (IAM) per l'account Microsoft Purview e selezionando Assegnazioni di ruolo. È anche possibile usare un blocco per impedire l'eliminazione dell'account Microsoft Purview tramite blocchi Resource Manager.

Abilitare l'imposizione dei criteri dati

Per abilitare l'imposizione dei criteri dei dati per una risorsa, la risorsa dovrà prima essere registrata in Microsoft Purview. Per registrare una risorsa, seguire le sezioni Prerequisiti e Registra delle pagine di origine per le risorse.

Dopo aver registrato la risorsa, seguire il resto dei passaggi per abilitare una singola risorsa per l'imposizione dei criteri dati.

Dal portale di governance classico di Microsoft Purview

  1. Passare al portale di governance classico di Microsoft Purview.

  2. Selezionare la scheda Mappa dati nel menu a sinistra.

  3. Selezionare la scheda Origini nel menu a sinistra.

  4. Selezionare l'origine in cui si vuole abilitare l'imposizione dei criteri dati.

  5. Nella parte superiore della pagina di origine selezionare Modifica origine.

  6. Impostare l'interruttore Imposizione criteri dati su Abilitato, come illustrato nell'immagine seguente.

Impostare l'interruttore di imposizione dei criteri di dati su **Abilitato** nella parte inferiore del menu.

Dal nuovo portale di Microsoft Purview

  1. Passare al nuovo portale di Microsoft Purview.

  2. Selezionare la scheda Mappa dati nel menu a sinistra.

  3. Selezionare la scheda Origini dati nel menu a sinistra.

  4. Selezionare l'origine in cui si vuole abilitare l'imposizione dei criteri dati.

  5. Impostare l'interruttore Imposizione criteri dati su Attivato, come illustrato nell'immagine seguente.

Impostare l'interruttore di imposizione dei criteri di dati su **On** nei dettagli dell'origine dati.

Disabilitare l'imposizione dei criteri dati

Per disabilitare l'imposizione dei criteri di dati per un'origine, un gruppo di risorse o una sottoscrizione, un utente deve essere un proprietario IAM della risorsa o un amministratore dell'origine dati Microsoft Purview. Dopo aver creato queste autorizzazioni, seguire questa procedura:

Dal portale di governance classico di Microsoft Purview

  1. Passare al portale di governance di Microsoft Purview.

  2. Selezionare la scheda Mappa dati nel menu a sinistra.

  3. Selezionare la scheda Origini nel menu a sinistra.

  4. Selezionare l'origine per cui si vuole disabilitare l'imposizione dei criteri di dati.

  5. Nella parte superiore della pagina di origine selezionare Modifica origine.

  6. Impostare l'interruttore Imposizione criteri dati su Disabilitato.

Dal nuovo portale di Microsoft Purview

  1. Passare al nuovo portale di Microsoft Purview.

  2. Selezionare la scheda Mappa dati nel menu a sinistra.

  3. Selezionare la scheda Origini nel menu a sinistra.

  4. Selezionare l'origine per cui si vuole disabilitare l'imposizione dei criteri di dati.

  5. Impostare l'interruttore Imposizione criteri dati su Disattivato.

  • Assicurarsi di annotare il nome usato durante la registrazione in Microsoft Purview. Sarà necessario quando si pubblicano criteri. La procedura consigliata consiste nel rendere il nome registrato esattamente uguale al nome dell'endpoint.
  • Per disabilitare un'origine per l'imposizione dei criteri dati, è prima necessario rimuovere eventuali criteri pubblicati in tale origine dati.
  • Anche se l'utente deve disporre sia del proprietario dell'origine dati che dell'amministratore dell'origine dati microsoft Purview per abilitare un'origine per l'imposizione dei criteri di dati, qualsiasi amministratore dell'origine dati per la raccolta può disabilitarla.
  • La disabilitazione dell'imposizione dei criteri di dati per una sottoscrizione lo disabiliterà anche per tutti gli asset registrati in tale sottoscrizione.

Avviso

Problemi noti relativi alla registrazione dell'origine

  • Lo spostamento di origini dati in un gruppo di risorse o in una sottoscrizione diversa non è supportato. Se si vuole eseguire questa operazione, deregistrare l'origine dati in Microsoft Purview prima di spostarla e quindi registrarla di nuovo dopo tale operazione. Si noti che i criteri sono associati al percorso arm dell'origine dati. La modifica della sottoscrizione o del gruppo di risorse dell'origine dati rende i criteri inefficaci.
  • Una volta disabilitata una sottoscrizione per l'imposizione dei criteri di dati , tutti gli asset sottostanti abilitati per l'applicazione dei criteri di dati verranno disabilitati, ovvero il comportamento corretto. Tuttavia, le istruzioni dei criteri basate su tali asset saranno comunque consentite dopo tale operazione.

Procedure consigliate per l'applicazione dei criteri di dati

  • È consigliabile registrare le origini dati per l'applicazione dei criteri di dati e gestire tutti i criteri di accesso associati in un singolo account Microsoft Purview.
  • Se si dispone di più account Microsoft Purview, tenere presente che tutte le origini dati appartenenti a una sottoscrizione devono essere registrate per l'applicazione dei criteri di dati in un singolo account Microsoft Purview. L'account Microsoft Purview può trovarsi in qualsiasi sottoscrizione del tenant. L'interruttore di imposizione dei criteri di dati diventa disattivato quando sono presenti configurazioni non valide. Nel diagramma seguente sono riportati alcuni esempi di configurazioni valide e non valide:
    • Il caso 1 mostra una configurazione valida in cui un account di archiviazione è registrato in un account Microsoft Purview nella stessa sottoscrizione.
    • Il caso 2 mostra una configurazione valida in cui un account di archiviazione è registrato in un account Microsoft Purview in una sottoscrizione diversa.
    • Nel caso 3 viene visualizzata una configurazione non valida perché gli account di archiviazione S3SA1 e S3SA2 appartengono entrambi alla sottoscrizione 3, ma sono registrati in account Microsoft Purview diversi.Case 3 shows an invalid configuration arising because Storage accounts S3SA1 and S3SA2 both belong to Subscription 3, but are registered to different Microsoft Purview accounts. In tal caso, l'interruttore di imposizione dei criteri di dati verrà abilitato solo nell'account Microsoft Purview che vince e registra prima un'origine dati in tale sottoscrizione. L'interruttore verrà quindi disattivato per l'altra origine dati.
  • Se l'interruttore di imposizione dei criteri di dati è disattivato e non può essere abilitato, passare il puntatore del mouse su di esso per conoscere il nome dell'account Microsoft Purview che ha registrato prima la risorsa dati.

Il diagramma mostra configurazioni valide e non valide quando si usano più account Microsoft Purview per gestire i criteri.

Passaggi successivi