Compartilhar via


Ligar ao armazenamento de Blobs do Azure no Microsoft Purview

Este artigo descreve o processo de registo e governação de contas Armazenamento de Blobs do Azure no Microsoft Purview, incluindo instruções para autenticar e interagir com a origem Armazenamento de Blobs do Azure

Recursos compatíveis

Extração de Metadados Verificação Completa Análise Incremental Análise de Âmbito Classificação Rotulamento Política de Acesso Linhagem Compartilhamento de Dados Modo de exibição ao vivo
Sim Sim Sim Sim Sim Sim Sim (pré-visualização) Limitado** Sim Sim

** A linhagem é suportada se o conjunto de dados for utilizado como origem/sink em atividades de Cópia e Fluxo de Dados Azure Data Factory e [Azure Synapse Pipelines – Atividades de cópia e Fluxo de Dados] (how-to-lineage-azure-synapse-analytics.md)

Para tipos de ficheiro como csv, tsv, psv, ssv, o esquema é extraído quando existem as seguintes lógicas:

  • Os valores da primeira linha não estão vazios
  • Os valores da primeira linha são exclusivos
  • Os valores da primeira linha não são uma data ou um número

Pré-requisitos

** A linhagem é suportada se o conjunto de dados for utilizado como origem/sink no Data Factory atividade Copy

Registrar

Esta secção irá permitir-lhe registar a conta de armazenamento de Blobs do Azure para análise e partilha de dados no Purview.

Pré-requisitos do registo

  • Terá de ser uma Origem de Dados Administração e uma das outras funções do Purview (por exemplo, Leitor de Dados ou Contribuidor Data Share) para registar uma origem e geri-la no portal de governação do Microsoft Purview. Consulte a nossa página Permissões do Microsoft Purview para obter detalhes.

Passos para registar

É importante registar a origem de dados no Microsoft Purview antes de configurar uma análise da origem de dados.

  1. Aceda ao portal de governação do Microsoft Purview ao:

  2. Navegue para o Mapa de Dados – Origens>

    Captura de ecrã que mostra a ligação para abrir o portal de governação do Microsoft Purview

    Captura de ecrã que navega para a ligação Origens no Mapa de Dados

  3. Crie a hierarquia coleção com o menu Coleções e atribua permissões a subcoleções individuais, conforme necessário

    Captura de ecrã a mostrar o menu de coleção para criar uma hierarquia de coleções

  4. Navegue para a coleção adequada no menu Origens e selecione o ícone Registar para registar uma nova origem de dados do Blob do Azure

    Captura de ecrã que mostra a coleção utilizada para registar a origem de dados

  5. Selecione a origem de dados Armazenamento de Blobs do Azure e selecione Continuar

    Captura de ecrã que permite a seleção da origem de dados

  6. Forneça um Nome adequado para a origem de dados, selecione a subscrição do Azure relevante, o nome da conta Armazenamento de Blobs do Azure existente e a coleção e selecione Aplicar. Deixe o botão de alternar Imposição da Política de Dados na posição desativada até ter a oportunidade de analisar cuidadosamente este documento.

    Captura de ecrã que mostra os detalhes a introduzir para registar a origem de dados

  7. A conta de armazenamento de Blobs do Azure será apresentada na Coleção selecionada

    Captura de ecrã que mostra a origem de dados mapeada para a coleção para iniciar a análise

Examinar

Para tipos de ficheiro como csv, tsv, psv, ssv, o esquema é extraído quando existem as seguintes lógicas:

  • Os valores da primeira linha não estão vazios
  • Os valores da primeira linha são exclusivos
  • Os valores da primeira linha não são uma data ou um número

Autenticação para uma análise

A sua rede do Azure pode permitir comunicações entre os seus recursos do Azure, mas se tiver configurado firewalls, pontos finais privados ou redes virtuais no Azure, terá de seguir uma destas configurações abaixo.

Restrições de rede Tipo de runtime de integração Tipos de credenciais disponíveis
Sem pontos finais privados ou firewalls Azure IR Identidade gerida (Recomendado), principal de serviço ou chave de conta
Firewall ativada, mas sem pontos finais privados Azure IR Identidade gerenciada
Pontos finais privados ativados *IR Autoalojado Principal de serviço, chave de conta

*Para utilizar um runtime de integração autoalojado, primeiro terá de escolher o mais adequado para o seu cenário, criar um e confirmar as definições de rede do Microsoft Purview.

Utilizar uma identidade gerida atribuída pelo sistema ou utilizador para análise

Existem dois tipos de identidade gerida que pode utilizar:

  • Identidade gerida atribuída pelo sistema (Recomendado) – assim que a Conta do Microsoft Purview é criada, é criada automaticamente uma identidade gerida atribuída pelo sistema (SAMI) no inquilino Microsoft Entra. Consoante o tipo de recurso, são necessárias atribuições de funções RBAC específicas para que a identidade gerida (SAMI) atribuída pelo sistema (SAMI) do Microsoft Purview efetue as análises.

  • Identidade gerida atribuída pelo utilizador (pré-visualização) – semelhante a uma identidade gerida pelo sistema, uma identidade gerida atribuída pelo utilizador (UAMI) é um recurso de credenciais que pode ser utilizado para permitir que o Microsoft Purview se autentique em Microsoft Entra ID. Para obter mais informações, pode ver o nosso Guia de identidade gerida atribuída pelo utilizador. É importante dar permissão à sua conta do Microsoft Purview para analisar a origem de dados do Blob do Azure. Pode adicionar acesso para SAMI ou UAMI ao nível da Subscrição, do Grupo de Recursos ou do Recurso, consoante o nível de permissão de análise necessário.

Observação

Se tiver a firewall ativada para a conta de armazenamento, tem de utilizar o método de autenticação de identidade gerida ao configurar uma análise.

Observação

Tem de ser um proprietário da subscrição para poder adicionar uma identidade gerida num recurso do Azure.

  1. No portal do Azure, localize a subscrição, o grupo de recursos ou o recurso (por exemplo, uma conta de armazenamento de Blobs do Azure) que pretende permitir que o catálogo analise.

    Captura de ecrã que mostra a conta de armazenamento

  2. Selecione Controle de Acesso (IAM) no painel de navegação esquerdo e, em seguida, selecione + Adicionar --Adicionar atribuição de> função

    Captura de ecrã que mostra o controlo de acesso da conta de armazenamento

  3. Defina a Função como Leitor de Dados de Blobs de Armazenamento e introduza o nome da conta do Microsoft Purview ou a identidade gerida atribuída pelo utilizador em Selecionar caixa de entrada. Em seguida, selecione Guardar para atribuir esta função à sua conta do Microsoft Purview.

    Captura de ecrã que mostra os detalhes para atribuir permissões à conta do Microsoft Purview

  4. Aceda à sua conta de armazenamento de Blobs do Azure no portal do Azure

  5. Navegue para Segurança + Rede >

  6. Selecione Redes Selecionadas em Permitir acesso a partir de

  7. Na secção Exceções , selecione Permitir que os serviços Microsoft fidedignos acedam a esta conta de armazenamento e prima Guardar

    Captura de ecrã que mostra as exceções para permitir que os serviços Microsoft fidedignos acedam à conta de armazenamento

Observação

Para obter mais detalhes, veja os passos em Autorizar o acesso a blobs e filas com Microsoft Entra ID

Utilizar a Chave de Conta para análise

Quando o método de autenticação selecionado for Chave de Conta, tem de obter a chave de acesso e armazenar no cofre de chaves:

  1. Navegue para a sua conta de armazenamento de Blobs do Azure

  2. Selecione Segurança + chaves de Acesso de > rede

    Captura de ecrã que mostra as chaves de acesso na conta de armazenamento

  3. Copie a sua chave e guarde-a separadamente para os passos seguintes

    Captura de ecrã que mostra as chaves de acesso a copiar

  4. Navegue para o cofre de chaves

    Captura de ecrã que mostra o cofre de chaves

  5. Selecione Definições Segredos > e selecione + Gerar/Importar

    Captura de ecrã que mostra a opção do cofre de chaves para gerar um segredo

  6. Introduza o Nome e o Valor como a chave da sua conta de armazenamento

    Captura de ecrã que mostra a opção do cofre de chaves para introduzir os valores secretos

  7. Selecione Criar para concluir

  8. Se o cofre de chaves ainda não estiver ligado ao Microsoft Purview, terá de criar uma nova ligação ao cofre de chaves

  9. Por fim, crie uma nova credencial com a chave para configurar a análise

Utilizar o Principal de Serviço para análise

Criar um novo principal de serviço

Se precisar de Criar um novo principal de serviço, é necessário registar uma aplicação no inquilino do Microsoft Entra e fornecer acesso ao Principal de Serviço nas suas origens de dados. O administrador da aplicação Microsoft Entra pode executar esta operação.

Obter o ID da Aplicação do Principal de Serviço
  1. Copie o ID da Aplicação (cliente) presente na Descrição Geral do Principal de Serviço já criado

    Captura de ecrã que mostra o ID da Aplicação (cliente) do Principal de Serviço

Conceder ao Principal de Serviço acesso à sua conta de Blob do Azure

É importante dar ao principal de serviço a permissão para analisar a origem de dados do Blob do Azure. Pode adicionar acesso ao principal de serviço ao nível da Subscrição, do Grupo de Recursos ou do Recurso, consoante o nível de acesso de análise necessário.

Observação

Tem de ser um proprietário da subscrição para poder adicionar um principal de serviço num recurso do Azure.

  1. No portal do Azure, localize a subscrição, o grupo de recursos ou o recurso (por exemplo, uma conta de armazenamento Armazenamento de Blobs do Azure) que pretende permitir que o catálogo analise.

    Captura de ecrã que mostra a conta de armazenamento

  2. Selecione Controle de Acesso (IAM) no painel de navegação esquerdo e, em seguida, selecione + Adicionar --Adicionar atribuição de> função

    Captura de ecrã que mostra o controlo de acesso da conta de armazenamento

  3. Defina a Função como Leitor de Dados de Blobs de Armazenamento e introduza o principal de serviço na caixa Selecionar entrada. Em seguida, selecione Guardar para atribuir esta função à sua conta do Microsoft Purview.

    Captura de ecrã que mostra os detalhes para fornecer permissões de conta de armazenamento ao principal de serviço

Criar a análise

  1. Abra a sua conta do Microsoft Purview e selecione o portal de governação Abrir o Microsoft Purview

  2. Navegue para o Mapa de dadosOrigens> para ver a hierarquia de coleções

  3. Selecione o ícone Nova Análise na origem de dados do Blob do Azure registada anteriormente

    Captura de ecrã que mostra o ecrã para criar uma nova análise

  4. Escolha o runtime de integração do Azure se a sua origem estiver acessível publicamente, um runtime de integração de rede virtual gerido se estiver a utilizar uma rede virtual gerida ou um runtime de integração autoalojado se a sua origem estiver numa rede virtual privada. Para obter mais informações sobre o runtime de integração a utilizar, veja o artigo escolher a configuração do runtime de integração correta.

Se estiver a utilizar um sistema ou uma identidade gerida atribuída pelo utilizador

Forneça um Nome para a análise, selecione as contas SAMI ou UAMI do Microsoft Purview em Credencial, escolha a coleção adequada para a análise e selecione Testar ligação. Numa ligação com êxito, selecione Continuar

Captura de ecrã que mostra a opção de identidade gerida para executar a análise

Se estiver a utilizar a Chave de Conta

Forneça um Nome para a análise, selecione o IR do Azure ou o Self-Hosted IR consoante a configuração, escolha a coleção adequada para a análise e selecione Método de autenticação como Chave de Conta e selecione Criar

Captura de ecrã que mostra a opção Chave de Conta para análise

Se estiver a utilizar o Principal de Serviço

  1. Indique um Nome para a análise, selecione o IR do Azure ou o Self-Hosted IR consoante a configuração, escolha a coleção adequada para a análise e selecione + Novo em Credencial

    Captura de ecrã que mostra a opção do principal de serviço para ativar a análise

  2. Selecione a ligação adequada ao Cofre de chaves e o Nome do segredo que foi utilizado ao criar o Principal de Serviço. O ID do Principal de Serviço é o ID da Aplicação (cliente) copiado anteriormente

    Captura de ecrã que mostra a opção do principal de serviço

  3. Selecione Testar ligação. Numa ligação com êxito, selecione Continuar

Âmbito e execução da análise

  1. Pode definir o âmbito da análise para pastas e subpastas específicas ao selecionar os itens adequados na lista.

    Definir o âmbito da análise

  2. Em seguida, selecione um conjunto de regras de análise. Pode escolher entre a predefinição do sistema, os conjuntos de regras personalizadas existentes ou criar um novo conjunto de regras inline.

    Conjunto de regras de análise

  3. Se criar um novo conjunto de regras de análise, selecione os tipos de ficheiro a incluir na regra de análise.

    Analisar tipos de ficheiro de conjunto de regras

  4. Pode selecionar as regras de classificação a incluir na regra de análise

    Analisar regras de classificação de conjuntos de regras

    Seleção do conjunto de regras de análise

  5. Escolha o acionador de análise. Pode configurar uma agenda ou executar a análise uma vez.

    acionador de análise

  6. Reveja a análise e selecione Guardar e executar.

    rever análise

Ver Análise

  1. Navegue para a origem de dados na Coleção e selecione Ver Detalhes para marcar a status da análise

    ver análise

  2. Os detalhes da análise indicam o progresso da análise na última execução status e o número de recursos analisados e classificados

    ver detalhes da análise

  3. A última execução status será atualizada para Em curso e, em seguida, concluída depois de toda a análise ter sido executada com êxito

    ver análise em curso

    análise de visualização concluída

Gerir a Análise

As análises podem ser geridas ou executadas novamente após a conclusão

  1. Selecione o Nome da análise para gerir a análise

    gerir a análise

  2. Pode executar a análise novamente, editar a análise, eliminar a análise

    gerir opções de análise

  3. Pode executar uma análise incremental ou uma análise completa novamente.

    análise completa ou incremental

Compartilhamento de dados

Compartilhamento de Dados do Microsoft Purview (pré-visualização) permite a partilha de dados no local da conta de armazenamento de Blobs do Azure para a conta de armazenamento de Blobs do Azure. Esta secção fornece detalhes sobre os requisitos específicos para partilhar e receber dados no local entre contas de armazenamento de Blobs do Azure. Veja Como partilhar dados e Como receber guias de partilha passo a passo sobre como utilizar a partilha de dados.

Contas de armazenamento suportadas para partilha de dados no local

As seguintes contas de armazenamento são suportadas para a partilha de dados no local:

  • Regiões: Canadá Central, Leste do Canadá, Sul do Reino Unido, Oeste do Reino Unido, Leste da Austrália, Leste do Japão, Sul da Coreia do Sul e Norte da África do Sul
  • Opções de redundância: LRS, GRS, RA-GRS
  • Camadas: Frequente, Esporádico

Utilize apenas contas de armazenamento sem carga de trabalho de produção para a pré-visualização.

Observação

As contas de armazenamento de origem e de destino têm de estar na mesma região que as outras. Não precisam de estar na mesma região que a conta do Microsoft Purview.

Permissões da conta de armazenamento necessárias para partilhar dados

Para adicionar ou atualizar um recurso de conta de armazenamento para uma partilha, precisa de uma das seguintes permissões:

  • Microsoft.Authorization/roleAssignments/write – esta permissão está disponível na função Proprietário .
  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/ – esta permissão está disponível na função Proprietário de Dados de Armazenamento de Blobs .

Permissões da conta de armazenamento necessárias para receber dados partilhados

Para mapear um recurso de conta de armazenamento numa partilha recebida, precisa de uma das seguintes permissões:

  • Microsoft.Storage/storageAccounts/write – esta permissão está disponível na função Contribuidor e Proprietário .
  • Microsoft.Storage/storageAccounts/blobServices/containers/write - Esta permissão está disponível na função Contribuidor, Proprietário, Contribuidor de Dados do Blob de Armazenamento e Proprietário de Dados do Blob de Armazenamento .

Atualizar dados partilhados na conta de armazenamento de origem

Atualizações efetuar a partilha de ficheiros ou dados na pasta partilhada a partir da conta de armazenamento de origem será disponibilizado ao destinatário na conta de armazenamento de destino quase em tempo real. Quando elimina subpastas ou ficheiros na pasta partilhada, estes desaparecem para o destinatário. Para eliminar a pasta, ficheiro ou pastas principais ou contentores partilhados, tem primeiro de revogar o acesso a todas as partilhas da conta de armazenamento de origem.

Aceder a dados partilhados na conta de armazenamento de destino

A conta de armazenamento de destino permite que o destinatário aceda aos dados partilhados só de leitura quase em tempo real. Pode ligar ferramentas de análise, como a Área de Trabalho do Synapse e o Databricks, aos dados partilhados para efetuar análises. O custo de acesso aos dados partilhados é cobrado à conta de armazenamento de destino.

Limite de serviços

A conta de armazenamento de origem pode suportar até 20 destinos e a conta de armazenamento de destino pode suportar até 100 origens. Se precisar de um aumento do limite, contacte o Suporte.

Políticas

Os seguintes tipos de políticas são suportados neste recurso de dados do Microsoft Purview:

  • Políticas de proprietário de dados – um conjunto de declarações de políticas que lhe permitem conceder aos utilizadores e grupos acesso a origens de dados.
  • Políticas de acesso self-service – política que permite aos utilizadores pedir acesso a origens de dados registadas no Microsoft Purview.
  • Políticas de proteção – nega o acesso a dados etiquetados com etiquetas de confidencialidade a todos os utilizadores, exceto os especificados pela política.

Pré-requisitos da política de acesso nas contas de Armazenamento do Azure

Suporte de região

  • Todas as regiões do Microsoft Purview são suportadas.
  • As contas de armazenamento nas seguintes regiões são suportadas sem a necessidade de configuração adicional. No entanto, as contas de armazenamento com redundância entre zonas (ZRS) não são suportadas.
    • Austrália Central
    • Leste da Austrália
    • Sudeste da Austrália
    • Sul do Brasil
    • Canadá Central
    • Leste do Canadá
    • Índia Central
    • EUA Central
    • Leste da Ásia
    • Leste 2 dos EUA
    • Leste dos EUA
    • França Central
    • Centro-Oeste da Alemanha
    • Leste do Japão
    • Oeste do Japão
    • Coréia Central
    • Centro-Norte dos EUA
    • Norte da Europa
    • Noruega Leste
    • Polônia Central
    • Catar Central
    • Centro-Sul dos EUA
    • Norte da África do Sul
    • Sudeste da Ásia
    • Sul da Índia
    • Suécia Central
    • Suíça (Norte)
    • Centro-Oeste dos EUA
    • Europa Ocidental
    • Oeste dos EUA
    • Oeste 2 dos EUA
    • E.U.A. Oeste 3
    • Emirados Árabes Unidos Norte
    • Sul do Reino Unido
    • Oeste do Reino Unido do Reino Unido
  • As contas de armazenamento noutras regiões na Cloud Pública são suportadas após definir o sinalizador de funcionalidade AllowPurviewPolicyEnforcement, conforme descrito na secção seguinte. As contas de Armazenamento ZRS recentemente criadas são suportadas, se forem criadas depois de definir o sinalizador de funcionalidade AllowPurviewPolicyEnforcement.

Se necessário, pode criar uma nova conta de Armazenamento ao seguir este guia.

Configurar a subscrição onde reside a conta de Armazenamento do Azure para políticas do Microsoft Purview

Este passo só é necessário em determinadas regiões (ver secção anterior). Para permitir que o Microsoft Purview faça a gestão de políticas para uma ou mais contas de Armazenamento do Azure, execute os seguintes comandos do PowerShell na subscrição onde irá implementar a sua conta de Armazenamento do Azure. Estes comandos do PowerShell permitirão ao Microsoft Purview gerir políticas em todas as contas de Armazenamento do Azure nessa subscrição.

Se estiver a executar estes comandos localmente, certifique-se de que executa o PowerShell como administrador. Em alternativa, pode utilizar a Cloud Shell do Azure no portal do Azure: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Se o resultado do último comando mostrar RegistrationState como Registado, a subscrição estará ativada para políticas de acesso. Se o resultado for Registar, aguarde pelo menos 10 minutos e, em seguida, repita o comando. Não continue, a menos que RegistrationState seja apresentado como Registado.

Configurar a conta do Microsoft Purview para políticas

Registar a origem de dados no Microsoft Purview

Antes de uma política poder ser criada no Microsoft Purview para um recurso de dados, tem de registar esse recurso de dados no Microsoft Purview Studio. Encontrará as instruções relacionadas com o registo do recurso de dados mais adiante neste guia.

Observação

As políticas do Microsoft Purview dependem do caminho arm do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou subscrição, terá de ser desativado e registado novamente no Microsoft Purview.

Configurar permissões para ativar a imposição de políticas de dados na origem de dados

Assim que um recurso for registado, mas antes de poder criar uma política no Microsoft Purview para esse recurso, tem de configurar as permissões. É necessário um conjunto de permissões para ativar a imposição da política de dados. Isto aplica-se a origens de dados, grupos de recursos ou subscrições. Para ativar a imposição da política de dados, tem de ter privilégios específicos de Gestão de Identidades e Acessos (IAM) no recurso, bem como privilégios específicos do Microsoft Purview:

  • Tem de ter uma das seguintes combinações de funções IAM no caminho de Resource Manager do Azure do recurso ou qualquer elemento principal do mesmo (ou seja, através da herança de permissões IAM):

    • Proprietário do IAM
    • Contribuidor de IAM e Administrador de Acesso de Utilizador do IAM

    Para configurar permissões de controlo de acesso baseado em funções (RBAC) do Azure, siga este guia. A seguinte captura de ecrã mostra como aceder à secção Controle de Acesso no portal do Azure para o recurso de dados adicionar uma atribuição de função.

    Captura de ecrã a mostrar a secção no portal do Azure para adicionar uma atribuição de função.

    Observação

    A função Proprietário de IAM para um recurso de dados pode ser herdada de um grupo de recursos principal, de uma subscrição ou de um grupo de gestão de subscrições. Verifique que Microsoft Entra utilizadores, grupos e principais de serviço têm ou estão a herdar a função Proprietário do IAM do recurso.

  • Também tem de ter a função de administrador da origem de dados do Microsoft Purview para a coleção ou uma coleção principal (se a herança estiver ativada). Para obter mais informações, veja o guia sobre como gerir atribuições de funções do Microsoft Purview.

    A captura de ecrã seguinte mostra como atribuir a função de administrador da Origem de dados ao nível da coleção de raiz.

    Captura de ecrã que mostra as seleções para atribuir a função de administrador da origem de dados ao nível da coleção de raiz.

Configurar permissões do Microsoft Purview para criar, atualizar ou eliminar políticas de acesso

Para criar, atualizar ou eliminar políticas, tem de obter a função de Autor de políticas no Microsoft Purview ao nível da coleção de raiz:

  • A função de autor da Política pode criar, atualizar e eliminar políticas de DevOps e Proprietário de Dados.
  • A função de autor da Política pode eliminar políticas de acesso self-service.

Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.

Observação

A função de autor da política tem de ser configurada ao nível da coleção de raiz.

Além disso, para procurar facilmente Microsoft Entra utilizadores ou grupos ao criar ou atualizar o assunto de uma política, pode beneficiar bastante da obtenção da permissão Leitores de Diretórios no Microsoft Entra ID. Esta é uma permissão comum para utilizadores num inquilino do Azure. Sem a permissão Leitor de Diretórios, o Autor da Política terá de escrever o nome de utilizador ou e-mail completo para todos os principais incluídos no assunto de uma política de dados.

Configurar permissões do Microsoft Purview para publicar políticas de Proprietário de Dados

As políticas de Proprietário de Dados permitem verificações e saldos se atribuir o autor da Política do Microsoft Purview e as funções de administrador da origem de dados a diferentes pessoas na organização. Antes de uma política de Proprietário de dados ter efeito, uma segunda pessoa (administrador da origem de dados) tem de revê-la e aprová-la explicitamente ao publicá-la. Isto não se aplica às políticas de acesso DevOps ou Self-service, uma vez que a publicação é automática para as mesmas quando essas políticas são criadas ou atualizadas.

Para publicar uma política de Proprietário de dados, tem de obter a função de Administrador da origem de dados no Microsoft Purview ao nível da coleção de raiz.

Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.

Observação

Para publicar políticas de Proprietário de dados, a função de administrador da origem de dados tem de ser configurada ao nível da coleção de raiz.

Delegar a responsabilidade de aprovisionamento de acesso a funções no Microsoft Purview

Depois de um recurso ter sido ativado para a imposição da política de dados, qualquer utilizador do Microsoft Purview com a função de Autor de políticas ao nível da coleção de raiz pode aprovisionar o acesso a essa origem de dados a partir do Microsoft Purview.

Observação

Qualquer administrador da Coleção de raiz do Microsoft Purview pode atribuir novos utilizadores às funções de autor da Política de raiz. Qualquer administrador da Coleção pode atribuir novos utilizadores a uma função de administrador de Origem de dados na coleção. Minimize e analise cuidadosamente os utilizadores que detêm funções de administrador da Coleção do Microsoft Purview, Administrador da origem de dados ou Autor de políticas .

Se uma conta do Microsoft Purview com políticas publicadas for eliminada, essas políticas deixarão de ser impostas num período de tempo que dependa da origem de dados específica. Esta alteração pode ter implicações na disponibilidade de acesso a dados e segurança. As funções Contribuidor e Proprietário no IAM podem eliminar contas do Microsoft Purview. Pode marcar estas permissões ao aceder à secção Controlo de acesso (IAM) da sua conta do Microsoft Purview e selecionar Atribuições de Funções. Também pode utilizar um bloqueio para impedir que a conta do Microsoft Purview seja eliminada através de bloqueios de Resource Manager.

Registar a origem de dados no Microsoft Purview para imposição de políticas de dados

O recurso de Armazenamento do Azure tem de ser registado primeiro no Microsoft Purview antes de poder criar políticas de acesso. Para registar o recurso, siga as secções Pré-requisitos e Registar deste guia:

Depois de registar a origem de dados, terá de ativar a Imposição da Política de Dados. Este é um pré-requisito antes de poder criar políticas na origem de dados. A Imposição da Política de Dados pode afetar a segurança dos seus dados, uma vez que delega a determinadas funções do Microsoft Purview a gestão do acesso às origens de dados. Veja as práticas seguras relacionadas com a Imposição de Políticas de Dados neste guia: Como ativar a Imposição de Políticas de Dados

Assim que a origem de dados tiver a opção Imposição da Política de Dados definida como Ativada, terá o seguinte aspeto: Captura de ecrã a mostrar como registar uma origem de dados para a política com a opção Imposição da política de dados definida para ativar

Criar uma política

Para criar uma política de acesso para Armazenamento de Blobs do Azure, siga este guia: Aprovisionar o acesso de leitura/modificação numa única conta de armazenamento.

Para criar políticas que abrangem todas as origens de dados dentro de um grupo de recursos ou subscrição do Azure, pode consultar esta secção.

Política de proteção

As políticas de controlo de acesso à proteção (políticas de proteção) permitem que as organizações protejam automaticamente dados confidenciais entre origens de dados. O Microsoft Purview já analisa recursos de dados e identifica elementos de dados confidenciais e esta nova funcionalidade permite-lhe restringir automaticamente o acesso a esses dados através de etiquetas de confidencialidade de Proteção de Informações do Microsoft Purview.

Siga esta documentação para criar uma política de proteção: Como criar uma política de Proteção de Informações do Microsoft Purview.

Próximas etapas

Siga os guias abaixo para saber mais sobre o Microsoft Purview e os seus dados.