次の方法で共有

Microsoft Purview ソースでデータ ポリシーの適用を有効にする

  • [アーティクル]

データ ポリシーの適用 は、Microsoft Purview のデータ ソース登録内のオプションです。 このオプションを使用すると、Microsoft Purview はリソースのデータ アクセスを管理できます。 大まかに言うと、データ 所有者は、データ ポリシーの適用を有効にすることで、データ リソースをアクセス ポリシーで使用できるようにすることです。

現在、データ所有者はデータ リソースに対してデータ ポリシーの適用を有効にできます。これにより、次の種類のアクセス ポリシーに対して有効になります。

リソースに対して任意のデータ ポリシーを作成できるようにするには、まずそのリソースでデータ ポリシーの適用を有効にする必要があります。 この記事では、Microsoft Purview でリソースに対してデータ ポリシーの適用を有効にする方法について説明します。

重要

データ ポリシーの適用はデータへのアクセスに直接影響するため、データのセキュリティに直接影響します。 環境内でデータ ポリシーの適用を有効にする前に、以下の 追加の考慮事項ベスト プラクティス を確認してください。

前提条件

Microsoft Purview でデータ ソースを登録する

データ リソースのポリシーを Microsoft Purview で作成するには、そのデータ リソースを Microsoft Purview Studio に登録する必要があります。 データ リソースの登録に関連する手順については、このガイドの後半で説明します。

注:

Microsoft Purview ポリシーは、データ リソース ARM パスに依存します。 データ リソースを新しいリソース グループまたはサブスクリプションに移動する場合は、登録を解除してから、Microsoft Purview に再登録する必要があります。

データ ソースに対してデータ ポリシーの適用を有効にするアクセス許可を構成する

リソースが登録されたら、そのリソースのポリシーを Microsoft Purview で作成する前に、アクセス許可を構成する必要があります。 データ ポリシーの適用を有効にするには、一連のアクセス許可が必要です。 これは、データ ソース、リソース グループ、またはサブスクリプションに適用されます。 データ ポリシーの適用を有効にするには、リソースに対する特定の ID とアクセス管理 (IAM) 特権と、特定の Microsoft Purview 権限の両方が必要です。

  • リソースの Azure Resource Manager パスまたはその親 (つまり、IAM アクセス許可の継承を使用) には、次のいずれかの IAM ロールの組み合わせが必要です。

    • IAM 所有者
    • IAM 共同作成者と IAM ユーザー アクセス管理者の両方

    Azure ロールベースのアクセス制御 (RBAC) アクセス許可を構成するには、 このガイドに従います。 次のスクリーンショットは、データ リソースのAzure portalの [Access Control] セクションにアクセスしてロールの割り当てを追加する方法を示しています。

    ロールの割り当てを追加するためのAzure portalのセクションを示すスクリーンショット。

    注:

    データ リソースの IAM 所有者 ロールは、親リソース グループ、サブスクリプション、またはサブスクリプション管理グループから継承できます。 ユーザー、グループ、およびサービス プリンシパルがリソースの IAM 所有者ロールを保持しているか、継承しているMicrosoft Entraを確認します。

  • また、コレクションまたは親コレクションの Microsoft Purview データ ソース管理者 ロールも必要です (継承が有効な場合)。 詳細については、 Microsoft Purview ロールの割り当ての管理に関するガイドを参照してください。

    次のスクリーンショットは、ルート コレクション レベルで データ ソース管理者 ロールを割り当てる方法を示しています。

    ルート コレクション レベルでデータ ソース管理者ロールを割り当てるための選択を示すスクリーンショット。

アクセス ポリシーを作成、更新、または削除するように Microsoft Purview アクセス許可を構成する

ポリシーを作成、更新、または削除するには、ルート コレクション レベルで Microsoft Purview でポリシー作成者ロールを取得する必要があります。

  • ポリシー作成者ロールは、DevOps ポリシーとデータ所有者ポリシーを作成、更新、削除できます。
  • ポリシー作成者ロールは、セルフサービス アクセス ポリシーを削除できます。

Microsoft Purview ロールの割り当ての管理の詳細については、Microsoft Purview データ マップでのコレクションの作成と管理に関するページを参照してください。

注:

ポリシー作成者ロールは、ルート コレクション レベルで構成する必要があります。

さらに、ポリシーの件名を作成または更新するときに、Microsoft Entraユーザーまたはグループを簡単に検索するには、Microsoft Entra IDで [ディレクトリ閲覧者] アクセス許可を取得することで大きなメリットを得ることができます。 これは、Azure テナント内のユーザーに共通のアクセス許可です。 ディレクトリ閲覧者のアクセス許可がない場合、ポリシー作成者は、データ ポリシーの件名に含まれるすべてのプリンシパルの完全なユーザー名または電子メールを入力する必要があります。

データ所有者ポリシーを発行するための Microsoft Purview アクセス許可を構成する

データ所有者ポリシーを使用すると、Microsoft Purview ポリシーの作成者データ ソース管理者ロールをorganization内の別のユーザーに割り当てる場合、チェックと残高が許可されます。 データ所有者ポリシーが有効になる前に、2 人目のユーザー (データ ソース管理者) がそれを確認し、公開して明示的に承認する必要があります。 これは、DevOps またはセルフサービス アクセス ポリシーには適用されません。公開は、それらのポリシーが作成または更新されるときに自動的に行われます。

データ所有者ポリシーを発行するには、ルート コレクション レベルで Microsoft Purview でデータ ソース管理者ロールを取得する必要があります。

Microsoft Purview ロールの割り当ての管理の詳細については、Microsoft Purview データ マップでのコレクションの作成と管理に関するページを参照してください。

注:

データ所有者ポリシーを発行するには、ルート コレクション レベルでデータ ソース管理者ロールを構成する必要があります。

Microsoft Purview のロールにアクセス プロビジョニングの責任を委任する

データ ポリシーの適用に対してリソースが有効になった後、ルート コレクション レベルでポリシー作成者ロールを持つ Microsoft Purview ユーザーは、Microsoft Purview からそのデータ ソースへのアクセスをプロビジョニングできます。

注:

Microsoft Purview ルート コレクション管理者 は、ルート ポリシー作成者 ロールに新しいユーザーを割り当てることができます。 コレクション管理者は、コレクションの下のデータ ソース管理者ロールに新しいユーザーを割り当てることができます。 Microsoft Purview コレクション管理者データ ソース管理者、または ポリシー作成者 ロールを保持するユーザーを最小限に抑え、慎重に確認します。

発行されたポリシーを持つ Microsoft Purview アカウントが削除されると、特定のデータ ソースに依存する時間内にそのようなポリシーが適用されなくなります。 この変更は、セキュリティとデータ アクセスの可用性の両方に影響を与える可能性があります。 IAM の共同作成者ロールと所有者ロールは、Microsoft Purview アカウントを削除できます。 これらのアクセス許可をチェックするには、Microsoft Purview アカウントの [アクセス制御 (IAM)] セクションに移動し、[ロールの割り当て] を選択します。 ロックを使用して、Resource Manager ロックによって Microsoft Purview アカウントが削除されないようにすることもできます。

データ ポリシーの適用を有効にする

リソースの データ ポリシー適用 を有効にするには、まずリソースを Microsoft Purview に登録する必要があります。 リソースを登録するには、リソースのソース ページ[前提条件] セクションと [登録] セクションに従います。

リソースを登録したら、残りの手順に従って 、データ ポリシーの適用のために個々のリソースを有効にします。

従来の Microsoft Purview ガバナンス ポータルから

  1. 従来の Microsoft Purview ガバナンス ポータルに移動します。

  2. 左側のメニューの [ データ マップ ] タブを選択します。

  3. 左側のメニューの [ ソース ] タブを選択します。

  4. データ ポリシーの適用を有効にするソースを選択します。

  5. ソース ページの上部にある [ ソースの編集] を選択します。

  6. 次の図に示すように、[ データ ポリシーの適用 ] トグルを [有効] に設定します。

メニューの下部にある [データ ポリシーの適用] トグルを **Enabled** に設定します。

新しい Microsoft Purview ポータルから

  1. 新しい Microsoft Purview ポータルに移動します。

  2. 左側のメニューの [ データ マップ ] タブを選択します。

  3. 左側のメニューの [ データ ソース ] タブを選択します。

  4. データ ポリシーの適用を有効にするソースを選択します。

  5. 次の図に示すように、[ データ ポリシーの適用 ] トグルを [オン] に設定します。

データ ソースの詳細内で、データ ポリシーの適用トグルを **On** に設定します。

データ ポリシーの適用を無効にする

ソース、リソース グループ、またはサブスクリプションのデータ ポリシーの適用を無効にするには、ユーザーがリソース IAM 所有者 または Microsoft Purview データ ソース管理者である必要があります。これらのアクセス許可を取得したら、次の手順に従います。

従来の Microsoft Purview ガバナンス ポータルから

  1. Microsoft Purview ガバナンス ポータルに移動します。

  2. 左側のメニューの [ データ マップ ] タブを選択します。

  3. 左側のメニューの [ ソース ] タブを選択します。

  4. データ ポリシーの適用を無効にするソースを選択します。

  5. ソース ページの上部にある [ ソースの編集] を選択します。

  6. [データ ポリシーの適用] トグルを [無効] に設定します。

新しい Microsoft Purview ポータルから

  1. 新しい Microsoft Purview ポータルに移動します。

  2. 左側のメニューの [ データ マップ ] タブを選択します。

  3. 左側のメニューの [ ソース ] タブを選択します。

  4. データ ポリシーの適用を無効にするソースを選択します。

  5. [データ ポリシーの適用] トグルを [オフ] に設定します。

  • Microsoft Purview に登録するときに使用する 名前 を書き留めておいてください。 ポリシーを発行するときに必要になります。 推奨される方法は、登録された名前をエンドポイント名とまったく同じにすることです。
  • データ ポリシーの適用のためにソースを無効にするには、まず、そのデータ ソースの発行済みポリシーを削除する必要があります。
  • データ ポリシーの適用のためにソースを有効にするには、ユーザーにデータ ソース所有者と Microsoft Purview データ ソース管理者の両方が必要ですが、コレクションのすべてのデータ ソース管理者はそれを無効にすることができます。
  • サブスクリプションの データ ポリシーの適用 を無効にすると、そのサブスクリプションに登録されているすべての資産についても無効になります。

警告

ソース登録に関連する既知の問題

  • 別のリソース グループまたはサブスクリプションへのデータ ソースの移動はサポートされていません。 これを行う場合は、移動する前に Microsoft Purview でデータ ソースを登録解除し、その後にもう一度登録します。 ポリシーはデータ ソース ARM パスにバインドされることに注意してください。 データ ソース サブスクリプションまたはリソース グループを変更すると、ポリシーが無効になります。
  • データ ポリシーの適用に対してサブスクリプションが無効になると、データ ポリシーの適用に対して有効になっている基になる資産はすべて無効になります。これは適切な動作です。 ただし、これらの資産に基づくポリシー ステートメントは、その後も許可されます。

データ ポリシーの適用のベスト プラクティス

  • データ ポリシーの適用のためにデータ ソースを登録し、関連付けられているすべてのアクセス ポリシーを 1 つの Microsoft Purview アカウントで管理することを強くお勧めします。
  • 複数の Microsoft Purview アカウントがある場合は、サブスクリプションに属 するすべての データ ソースを 1 つの Microsoft Purview アカウントの データ ポリシー適用 に登録する必要があることに注意してください。 その Microsoft Purview アカウントは、テナント内の任意のサブスクリプションに含めることができます。 無効な構成がある場合、 データ ポリシーの適用 トグルは灰色表示されます。 有効な構成と無効な構成の例を次に示します。
    • ケース 1 は、ストレージ アカウントが同じサブスクリプションの Microsoft Purview アカウントに登録されている有効な構成を示しています。
    • ケース 2 は、ストレージ アカウントが別のサブスクリプションの Microsoft Purview アカウントに登録されている有効な構成を示しています。
    • ケース 3 は、ストレージ アカウント S3SA1 と S3SA2 の両方がサブスクリプション 3 に属しているが、異なる Microsoft Purview アカウントに登録されているために発生する無効な構成を示しています。 その場合、 データ ポリシーの適用 トグルは、最初にそのサブスクリプションにデータ ソースを優先して登録する Microsoft Purview アカウントでのみ有効になります。 その後、他のデータ ソースのトグルが灰色表示されます。
  • データ ポリシーの適用トグルが灰色表示され、有効にできない場合は、そのトグルをポイントして、データ リソースを最初に登録した Microsoft Purview アカウントの名前を確認します。

複数の Microsoft Purview アカウントを使用してポリシーを管理する場合の有効な構成と無効な構成を示す図。

次の手順