Azure ソースの保護ポリシーの作成と発行 (プレビュー)

保護アクセス制御ポリシー (保護ポリシー) を使用すると、組織はデータ ソース間で機密データを自動的に保護できます。 Microsoft Purview は既にデータ資産をスキャンし、機密データ要素を識別します。この新機能を使用すると、Microsoft Purview Information Protectionからの秘密度ラベルを使用してそのデータへのアクセスを自動的に制限できます。

保護ポリシーにより、エンタープライズ管理者は秘密度の種類のデータ アクセスを承認する必要があります。 これらのポリシーが有効になると、Microsoft Purview Information Protectionで機密情報が検出されるたびに、アクセス制御が自動的に適用されます。

サポートされているアクション

• ラベル付きデータ資産へのアクセスを制限して、選択したユーザーとグループのみがアクセスできるようにします。
• Microsoft Purview Information Protection ソリューションの秘密度ラベルに対して構成されたアクション。

サポートされているソース

• Azure SQL データベース
• Azure Blob Storage
• Azure Data Lake Storage Gen2

前提条件

• 1 Microsoft 365 E5ライセンスと課金モデルに進むにつれて支払いを設定します。 保護された資産による課金を行う際の支払いについては、 従量課金制の課金モデルに関するページを参照してください。 必要な特定のライセンスの詳細については、 秘密度ラベルに関するこの情報を参照してください。 Microsoft 365 E5環境からここに移動することで、テナントの試用版ライセンスを取得できます。

• Microsoft Purview のエンタープライズ バージョン を使用して、Microsoft Purview シングル テナント モデルと新しいポータル エクスペリエンスにアップグレードされた既存 の Microsoft Purview アカウント。

1. ユーザーとアクセス許可を構成します。

2. 秘密度ラベルをMicrosoft Purview Information Protectionから Data Map アセットに作成または拡張します。

3. ソースの登録 - 次のいずれかのソースを登録します。

   1. Azure SQL データベース
   2. Azure Blob ストレージ
   3. Azure Data Lake Storage Gen2

   注:

   続行するには、Azure ストレージ ソースが登録されているコレクションの データ ソース管理者 である必要があります。

4. データ ポリシーの適用を有効にする

   1. 新しい Microsoft Purview ポータルに移動します。
   2. 左側のメニューの [ データ マップ ] タブを選択します。
   3. 左側のメニューの [ データ ソース ] タブを選択します。
   4. データ ポリシーの適用を有効にするソースを選択します。
   5. [データ ポリシーの適用] トグルを [オン] に設定します。

5. [ソースのスキャン] - 登録したソースのいずれかを登録します。

   1. Azure SQL データベース
   2. Azure Blob ストレージ
   3. Azure Data Lake Storage Gen2

   注:

   スキャン後、少なくとも 24 時間待ちます。

ユーザーと権限

必要なユーザーにはいくつかの種類があり、これらのユーザーに対応するロールとアクセス許可を設定する必要があります。

1. Microsoft Purview Information Protection 管理 - Information Protection ソリューションを管理するための広範な権限:保護ポリシー、秘密度ラベル、ラベル/自動ラベル付けポリシー、すべての分類子の種類を確認/作成/更新/削除します。 また、データ エクスプローラー、アクティビティ エクスプローラー、Microsoft Purview Information Protection分析情報、レポートにもフル アクセスできる必要があります。
   • ユーザーには、組み込みのロール グループ "Information Protection" 内のロールと、データ マップ リーダー、分析情報リーダー、スキャン リーダー、ソース リーダーの新しいロールが必要です。 完全なアクセス許可は次のようになります。
     • Information Protection リーダー
     • データ マップ リーダー
     • Insights 閲覧者
     • ソース リーダー
     • スキャン リーダー
     • Information Protection管理者
     • Information Protection アナリスト
     • 情報保護調査員
     • データ分類リスト ビューアー
     • データ分類コンテンツ ビューアー
     • Microsoft Purview 評価管理者
   • オプション 1 - 推奨:
     1. [Microsoft Purview ロール グループ] パネルで、Information Protectionを検索します。
     2. Information Protectionロール グループを選択し、[コピー] を選択します。
     3. "プレビュー - Information Protection" という名前を付け、[コピーの作成] を選択します。
     4. [プレビュー - Information Protection] を選択し、[編集] を選択します。
     5. [ ロール ] ページで、[ + ロールの選択] を選択 し、"閲覧者" を検索します。
     6. データ マップ リーダー、分析情報リーダー、スキャン リーダー、ソース リーダーの 4 つのロールを選択します。
     7. この新しいコピーされたグループにMicrosoft Purview Information Protection管理者テスト ユーザー アカウントを追加し、ウィザードを完了します。
   • オプション 2 - 組み込みのグループを使用します (必要以上に多くのアクセス許可が提供されます)
     1. Information Protection、Data Estate Insights 閲覧者、データ ソース管理者用の組み込みグループ内に、新しいMicrosoft Purview Information Protection管理者テスト ユーザー アカウントを配置します。
2. データ所有者/管理 - このユーザーは、Microsoft Purview for Azure および Amazon S3 ソースでデータ ポリシーの適用のためにソースを有効にします。

保護ポリシーを作成する

前提条件を確認 し、保護ポリシーの Microsoft Purview インスタンスとソースを準備 し、最新のスキャンから少なくとも 24 時間後に待機したので、次の手順に従って保護ポリシーを作成します。

1. Microsoft Purview ポータルにサインインし、Information Protection カードを選択します。 Information Protection ソリューション カードが表示されない場合は、[すべてのソリューションの表示] を選択し、[データ セキュリティ] セクションから [Information Protection] を選択します。

2. 左側のナビゲーションで、[ ポリシー] を選択し、[ 保護ポリシー] を選択します。

3. [ 新しい保護ポリシー] を選択します。

4. 名前と説明を入力し、[ 次へ] を選択します。

5. [ + 秘密度ラベルの追加] を選択して、ポリシーを検出する秘密度ラベルを追加し、ポリシーを適用するすべてのラベルを選択します。

6. [ 追加] を選択し、[ 次へ] を選択します。

7. ポリシーを適用するソースを選択します。 複数のソースを選択できます。 [ 編集] を 選択して、選択した各スコープを管理します。

8. ソースに応じて、上部にある [ + 含める ] ボタンを選択して、スコープリストに最大 10 個のリソースを追加します。 ポリシーは、選択したすべてのリソースに適用されます。

   注:

   現在、最大 10 個のリソースがサポートされており、有効にするには [編集] で選択する必要があります。

9. [ 追加] を選択し、ソースの一覧が完了したら [完了 ] を選択します。

10. ソースに応じて、作成する保護ポリシーの種類を選択します。

11. ラベルに基づいてアクセスが拒否 されない ユーザーを選択します。 組織のすべてのユーザーは、ここに追加したユーザーとグループを除き、ラベル付きアイテムへのアクセスを拒否されます。

    重要

    スコープ付きソースのデータ ガバナンス スキャンを実行しているサービス プリンシパル アカウントがセキュリティ グループに含まれていることを確認します。 このセキュリティ グループを、保護ポリシーの許可された一覧に追加します。 これにより、ラベル付きファイルに対するアクセス制限によって将来のスキャンがブロックされるのを防ぐことができます。

12. [次へ] を選択します。

13. ポリシーをすぐに有効にするかどうかを選択し、[ 次へ] を選択します。

14. [送信] を選択します。

15. [完了] を選択します。

これで、保護ポリシーの一覧に新しいポリシーが表示されます。 これを選択して、すべての詳細が正しいことを確認します。

保護ポリシーを管理する

既存の保護ポリシーを編集または削除するには、次の手順に従います。

1. Microsoft Purview ポータルを開きます。
2. Information Protection ソリューションを開きます。
3. [ ポリシー] を選択し、[ 保護ポリシー] を選択します。
4. 管理するポリシーを選択します。
5. 詳細を変更するには、[ ポリシーの編集 ] ボタンを選択します。
6. ポリシーを削除するには、[ ポリシーの削除] を選択します。