チュートリアル: データ所有者による Azure Storage データセットへのアクセス プロビジョニング (プレビュー)

重要

この機能は現在プレビューの段階です。 Microsoft Azure プレビューの補足使用条件には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。

Microsoft Purview のポリシーを使用すると、コレクションに登録されているデータ ソースへのアクセスを有効にすることができます。 このチュートリアルでは、データ所有者が Microsoft Purview を使用して、Microsoft Purview を使用して Azure Storage 内のデータセットへのアクセスを有効にする方法について説明します。

このチュートリアルでは、以下を実行する方法について説明します。

• Azure 環境を準備する
• Microsoft Purview がリソースに接続できるようにアクセス許可を構成する
• データ ポリシーの適用のために Azure Storage リソースを登録する
• リソース グループまたはサブスクリプションのポリシーを作成して発行する

前提条件

• アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成します。

• 新しいまたは既存の Microsoft Purview アカウント。 このクイック スタート ガイドに従って作成します。

リージョンのサポート

• すべての Microsoft Purview リージョンがサポートされています。
• 次のリージョンのストレージ アカウントは、追加の構成を必要とせずにサポートされます。 ただし、ゾーン冗長ストレージ (ZRS) アカウントはサポートされていません。
  • オーストラリア中部
  • オーストラリア東部
  • オーストラリア南東部
  • ブラジル南部
  • カナダ中部
  • カナダ東部
  • インド中部
  • 米国中部
  • 東アジア
  • 米国東部 2
  • 米国東部
  • フランス中部
  • ドイツ中西部
  • 東日本
  • 西日本
  • 韓国中部
  • 米国中央北部
  • 北ヨーロッパ
  • ノルウェー東部
  • ポーランド中部
  • カタール中部
  • 米国中央南部
  • 南アフリカ北部
  • 東南アジア
  • インド南部
  • スウェーデン中部
  • スイス北部
  • 米国中央西部
  • 西ヨーロッパ
  • 米国西部
  • 米国西部 2
  • 米国西部 3
  • アラブ首長国連邦北部
  • 英国南部
  • 英国西部
• 次のセクションで説明するように、機能フラグ AllowPurviewPolicyEnforcement を設定した後、Public Cloud の他のリージョンのストレージ アカウントがサポートされます。 機能フラグ AllowPurviewPolicyEnforcement を設定した後に作成された場合、新しく作成された ZRS ストレージ アカウントがサポートされます。

必要に応じて、 このガイドに従って新しいストレージ アカウントを作成できます。

Microsoft Purview からのポリシーに対して Azure Storage アカウントが存在するサブスクリプションを構成する

この手順は、特定のリージョンでのみ必要です (前のセクションを参照)。 Microsoft Purview で 1 つ以上の Azure Storage アカウントのポリシーを管理できるようにするには、Azure Storage アカウントをデプロイするサブスクリプションで次の PowerShell コマンドを実行します。 これらの PowerShell コマンドを使用すると、Microsoft Purview は、そのサブスクリプション内のすべての Azure Storage アカウントのポリシーを管理できます。

これらのコマンドをローカルで実行する場合は、必ず管理者として PowerShell を実行してください。 または、Azure portal: https://shell.azure.comで Azure Cloud Shellを使用することもできます。

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

最後のコマンドの出力に RegistrationStateが [登録済み] と表示されている場合、サブスクリプションはアクセス ポリシーに対して有効になります。 出力が [登録中] の場合は、少なくとも 10 分待ってから、コマンドを再試行します。 RegistrationState に [登録済み] と表示されない限り、続行しないでください。

構成

Microsoft Purview でデータ ソースを登録する

データ リソースのポリシーを Microsoft Purview で作成するには、そのデータ リソースを Microsoft Purview Studio に登録する必要があります。 データ リソースの登録に関連する手順については、このガイドの後半で説明します。

注:

Microsoft Purview ポリシーは、データ リソース ARM パスに依存します。 データ リソースを新しいリソース グループまたはサブスクリプションに移動する場合は、登録を解除してから、Microsoft Purview に再登録する必要があります。

データ ソースに対してデータ ポリシーの適用を有効にするアクセス許可を構成する

リソースが登録されたら、そのリソースのポリシーを Microsoft Purview で作成する前に、アクセス許可を構成する必要があります。 データ ポリシーの適用を有効にするには、一連のアクセス許可が必要です。 これは、データ ソース、リソース グループ、またはサブスクリプションに適用されます。 データ ポリシーの適用を有効にするには、リソースに対する特定の ID とアクセス管理 (IAM) 特権と、特定の Microsoft Purview 権限の両方が必要です。

• リソースの Azure Resource Manager パスまたはその親 (つまり、IAM アクセス許可の継承を使用) には、次のいずれかの IAM ロールの組み合わせが必要です。

  • IAM 所有者
  • IAM 共同作成者と IAM ユーザー アクセス管理者の両方

  Azure ロールベースのアクセス制御 (RBAC) アクセス許可を構成するには、 このガイドに従います。 次のスクリーンショットは、データ リソースのAzure portalの [Access Control] セクションにアクセスしてロールの割り当てを追加する方法を示しています。

  

  注:

  データ リソースの IAM 所有者 ロールは、親リソース グループ、サブスクリプション、またはサブスクリプション管理グループから継承できます。 ユーザー、グループ、およびサービス プリンシパルがリソースの IAM 所有者ロールを保持しているか、継承しているMicrosoft Entraを確認します。

• また、コレクションまたは親コレクションの Microsoft Purview データ ソース管理者 ロールも必要です (継承が有効な場合)。 詳細については、 Microsoft Purview ロールの割り当ての管理に関するガイドを参照してください。

  次のスクリーンショットは、ルート コレクション レベルで データ ソース管理者 ロールを割り当てる方法を示しています。

  

アクセス ポリシーを作成、更新、または削除するように Microsoft Purview アクセス許可を構成する

ポリシーを作成、更新、または削除するには、ルート コレクション レベルで Microsoft Purview でポリシー作成者ロールを取得する必要があります。

• ポリシー作成者ロールは、DevOps ポリシーとデータ所有者ポリシーを作成、更新、削除できます。
• ポリシー作成者ロールは、セルフサービス アクセス ポリシーを削除できます。

Microsoft Purview ロールの割り当ての管理の詳細については、Microsoft Purview データ マップでのコレクションの作成と管理に関するページを参照してください。

注:

ポリシー作成者ロールは、ルート コレクション レベルで構成する必要があります。

さらに、ポリシーの件名を作成または更新するときに、Microsoft Entraユーザーまたはグループを簡単に検索するには、Microsoft Entra IDで [ディレクトリ閲覧者] アクセス許可を取得することで大きなメリットを得ることができます。 これは、Azure テナント内のユーザーに共通のアクセス許可です。 ディレクトリ閲覧者のアクセス許可がない場合、ポリシー作成者は、データ ポリシーの件名に含まれるすべてのプリンシパルの完全なユーザー名または電子メールを入力する必要があります。

データ所有者ポリシーを発行するための Microsoft Purview アクセス許可を構成する

データ所有者ポリシーを使用すると、Microsoft Purview ポリシーの作成者とデータ ソース管理者ロールをorganization内の別のユーザーに割り当てる場合、チェックと残高が許可されます。 データ所有者ポリシーが有効になる前に、2 人目のユーザー (データ ソース管理者) がそれを確認し、公開して明示的に承認する必要があります。 これは、DevOps またはセルフサービス アクセス ポリシーには適用されません。公開は、それらのポリシーが作成または更新されるときに自動的に行われます。

データ所有者ポリシーを発行するには、ルート コレクション レベルで Microsoft Purview でデータ ソース管理者ロールを取得する必要があります。

Microsoft Purview ロールの割り当ての管理の詳細については、Microsoft Purview データ マップでのコレクションの作成と管理に関するページを参照してください。

注:

データ所有者ポリシーを発行するには、ルート コレクション レベルでデータ ソース管理者ロールを構成する必要があります。

Microsoft Purview のロールにアクセス プロビジョニングの責任を委任する

データ ポリシーの適用に対してリソースが有効になった後、ルート コレクション レベルでポリシー作成者ロールを持つ Microsoft Purview ユーザーは、Microsoft Purview からそのデータ ソースへのアクセスをプロビジョニングできます。

注:

Microsoft Purview ルート コレクション管理者 は、ルート ポリシー作成者 ロールに新しいユーザーを割り当てることができます。 コレクション管理者は、コレクションの下のデータ ソース管理者ロールに新しいユーザーを割り当てることができます。 Microsoft Purview コレクション管理者、 データ ソース管理者、または ポリシー作成者 ロールを保持するユーザーを最小限に抑え、慎重に確認します。

発行されたポリシーを持つ Microsoft Purview アカウントが削除されると、特定のデータ ソースに依存する時間内にそのようなポリシーが適用されなくなります。 この変更は、セキュリティとデータ アクセスの可用性の両方に影響を与える可能性があります。 IAM の共同作成者ロールと所有者ロールは、Microsoft Purview アカウントを削除できます。 これらのアクセス許可をチェックするには、Microsoft Purview アカウントの [アクセス制御 (IAM)] セクションに移動し、[ロールの割り当て] を選択します。 ロックを使用して、Resource Manager ロックによって Microsoft Purview アカウントが削除されないようにすることもできます。

データ ポリシー適用のために Microsoft Purview にデータ ソースを登録する

後でアクセス ポリシーを定義するには、Azure Storage アカウントを Microsoft Purview に登録する必要があります。登録時にデータ ポリシーの適用を有効にします。 データ ポリシーの適用 は、Microsoft Purview で使用できる機能であり、ユーザーは Microsoft Purview 内からリソースへのアクセスを管理できます。 これにより、データの検出とアクセス管理を一元化できますが、データのセキュリティに直接影響を与える機能です。

警告

任意のリソースに対してデータ ポリシーの適用を有効にする前に、 データ ポリシーの適用に関する記事を参照してください。

この記事には、データ ポリシーの適用に関するベスト プラクティスが含まれています。これは、情報がセキュリティで保護されていることを確認するのに役立ちます。

リソースを登録し、データ ポリシーの適用を有効にするには、次の手順に従います。

注:

Azure リソースにマネージド ID を追加できるようにするには、サブスクリプションまたはリソース グループの所有者である必要があります。

1. Azure portalから、登録する Azure BLOB ストレージ アカウントを見つけます。

   

2. 左側のナビゲーションで [Access Control (IAM)] を選択し、[+ 追加] -->[ロールの割り当ての追加] を選択します。

   

3. [ロール] を [ストレージ BLOB データ 閲覧者] に設定し、[入力の選択] ボックスに Microsoft Purview アカウント名を入力します。 次に、[ 保存] を 選択して、このロールの割り当てを Microsoft Purview アカウントに付与します。

   

4. ストレージ アカウントでファイアウォールが有効になっている場合は、次の手順も実行します。

   1. Azure portalで Azure Storage アカウントに移動します。

   2. [セキュリティとネットワーク] > [ネットワーク] に移動します。

   3. [アクセスを許可する] の下の [選択したネットワーク] を選択します。

   4. [ 例外 ] セクションで、[ 信頼された Microsoft サービスにこのストレージ アカウントへのアクセスを許可する ] を選択し、[保存] を選択 します。

      

5. ストレージ アカウントの認証を設定したら、 Microsoft Purview ガバナンス ポータルに移動します。

6. 左側のメニューで [ データ マップ ] を選択します。

   

7. [登録] を選択します。

   

8. [ソースの登録] で、[Azure Blob Storage] を選択します。

   

9. [続行] を選択します。

10. [ ソースの登録 (Azure)] 画面で、次の操作を行います。

    1. [ 名前 ] ボックスに、データ ソースがカタログに表示されるフレンドリ名を入力します。

    2. [ サブスクリプション ] ドロップダウン リスト ボックスで、ストレージ アカウントが格納されているサブスクリプションを選択します。 次に、[ストレージ アカウント名] で ストレージ アカウントを選択します。 [ コレクションの選択 ] で、Azure Storage アカウントを登録するコレクションを選択します。

       

    3. [ コレクションの選択 ] ボックスで、コレクションを選択するか、新しいコレクションを作成します (省略可能)。

    4. 次の図に示すように、[ データ ポリシーの適用 ] トグルを [有効] に設定します。

       

       ヒント

       [データ ポリシーの適用] トグルが灰色表示され、選択できない場合:

       1. リソース全体でデータ ポリシーの適用を有効にするために、すべての前提条件に従っていることを確認します。
       2. 登録するストレージ アカウントが選択されていることを確認します。
       3. このリソースが別の Microsoft Purview アカウントに既に登録されている可能性があります。 その上にカーソルを合わせると、データ リソースを登録した Microsoft Purview アカウントの名前が最初にわかります。 一度にデータ ポリシー適用のリソースを登録できる Microsoft Purview アカウントは 1 つだけです。

    5. [ 登録 ] を選択して、データ ポリシー適用が有効になっている Microsoft Purview でリソース グループまたはサブスクリプションを登録します。

ヒント

ベスト プラクティスや既知の問題など、データ ポリシーの適用の詳細については、 データ ポリシーの適用に関する記事を参照してください。

データ所有者ポリシーを作成する

1. Microsoft Purview ガバナンス ポータルにサインインします。

2. 左側のパネルを使用して 、データ ポリシー 機能に移動します。 次 に、[データ ポリシー] を選択します。

3. ポリシー ページで [ 新しいポリシー ] ボタンを選択します。

   

4. 新しいポリシー ページが表示されます。 ポリシー の [名前] と [説明] を 入力 します。

5. 新しいポリシーにポリシー ステートメントを追加するには、[ 新しいポリシー ステートメント ] ボタンを選択します。 これにより、ポリシー ステートメント ビルダーが表示されます。

   

6. [ 効果 ] ボタンを選択し、ドロップダウン リストから [許可 ] を選択します。

7. [ アクション ] ボタンを選択し、ドロップダウン リストから [読み取り ] または [ 変更 ] を選択します。

8. [ データ リソース ] ボタンを選択してウィンドウを開き、右側に開くデータ リソース情報を入力します。

9. [ データ リソース ] パネルで、ポリシーの細分性に応じて、次の 2 つのいずれかを実行します。

   • 以前に登録されたデータ ソース、リソース グループ、またはサブスクリプション全体をカバーする広範なポリシー ステートメントを作成するには、[ データ ソース ] ボックスを使用して、その [種類] を選択します。
   • きめ細かいポリシーを作成するには、代わりに [ 資産 ] ボックスを使用します。 [データ ソースの種類] と、以前に登録およびスキャンしたデータ ソースの [名前] を入力します。 画像の例を参照してください。

   

10. [ 続行 ] ボタンを選択し、階層を走査して、基になるデータ オブジェクト (フォルダー、ファイルなど) を選択します。 [ 再帰的 ] を選択して、階層内のそのポイントから任意の子データ オブジェクトにポリシーを適用します。 次に、[ 追加 ] ボタンを選択します。 これにより、ポリシー エディターに戻ります。

    

11. [サブジェクト] ボタン を 選択し、プリンシパル、グループ、または MSI としてサブジェクト ID を入力します。 次に、[ OK ] ボタンを選択します。 これにより、ポリシー エディターに戻ります

    

12. [ 保存 ] ボタンを選択してポリシーを保存します。

    

データ所有者ポリシーを発行する

1. Microsoft Purview ガバナンス ポータルにサインインします。

2. 左側のパネルを使用して 、データ ポリシー 機能に移動します。 次 に、[データ ポリシー] を選択します。

   

3. ポリシー ポータルには、Microsoft Purview の既存のポリシーの一覧が表示されます。 発行する必要があるポリシーを見つけます。 ページの右上隅にある [ 発行 ] ボタンを選択します。

   

4. データ ソースの一覧が表示されます。 リストをフィルター処理する名前を入力できます。 次に、このポリシーを発行する各データ ソースを選択し、[ 発行 ] ボタンを選択します。

   

重要

• 発行はバックグラウンド操作です。 変更がストレージ アカウントに反映されるまでに最大 2 時間 かかることがあります。

リソースをクリーンアップする

Microsoft Purview でポリシーを削除するには、次の手順に従います。

1. Microsoft Purview ガバナンス ポータルにサインインします。

2. 左側のパネルを使用して 、データ ポリシー 機能に移動します。 次 に、[データ ポリシー] を選択します。

   

3. ポリシー ポータルには、Microsoft Purview の既存のポリシーの一覧が表示されます。 更新する必要があるポリシーを選択します。

4. [編集] オプションと [削除] オプションなど、ポリシーの詳細ページが表示されます。 [ 編集 ] ボタンを選択すると、ポリシー ステートメント ビルダーが表示されます。 これで、このポリシー内のステートメントの任意の部分を更新できます。 ポリシーを削除するには、[ 削除 ] ボタンを使用します。

   

次の手順

デモと関連するチュートリアルを確認します。

Microsoft Purview データ所有者ポリシーの Azure Storage の概念に関するアクセス ポリシーのデモサブスクリプションまたはリソース グループ内のすべてのデータ ソースで Microsoft Purview データ所有者ポリシーを有効にする