Ativar a imposição de políticas de dados nas origens do Microsoft Purview

A imposição da política de dados é uma opção no registo da origem de dados no Microsoft Purview. Esta opção permite ao Microsoft Purview gerir o acesso aos dados dos seus recursos. O conceito de alto nível é que o proprietário dos dados permite que o respetivo recurso de dados esteja disponível para políticas de acesso ao ativar a aplicação da política de dados.

Atualmente, um proprietário de dados pode ativar a imposição de políticas de dados num recurso de dados, o que a permite para estes tipos de políticas de acesso:

• Políticas de DevOps
• Políticas de acesso do proprietário de dados
• Políticas de acesso self-service – políticas de acesso geradas automaticamente pelo Microsoft Purview após a aprovação de um pedido de acesso self-service .
• Políticas de proteção

Para poder criar qualquer política de dados num recurso, a imposição da política de dados tem de ser ativada primeiro nesse recurso. Este artigo explica como ativar a imposição de políticas de dados nos seus recursos no Microsoft Purview.

Importante

Uma vez que a aplicação da política de dados afeta diretamente o acesso aos seus dados, afeta diretamente a segurança dos dados. Veja as considerações eas melhores práticas adicionais abaixo antes de ativar a aplicação da política de dados no seu ambiente.

Pré-requisitos

Registar a origem de dados no Microsoft Purview

Antes de uma política poder ser criada no Microsoft Purview para um recurso de dados, tem de registar esse recurso de dados no Microsoft Purview Studio. Encontrará as instruções relacionadas com o registo do recurso de dados mais adiante neste guia.

Observação

As políticas do Microsoft Purview dependem do caminho arm do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou subscrição, terá de ser desativado e registado novamente no Microsoft Purview.

Configurar permissões para ativar a imposição de políticas de dados na origem de dados

Assim que um recurso for registado, mas antes de poder criar uma política no Microsoft Purview para esse recurso, tem de configurar as permissões. É necessário um conjunto de permissões para ativar a imposição da política de dados. Isto aplica-se a origens de dados, grupos de recursos ou subscrições. Para ativar a imposição da política de dados, tem de ter privilégios específicos de Gestão de Identidades e Acessos (IAM) no recurso, bem como privilégios específicos do Microsoft Purview:

• Tem de ter uma das seguintes combinações de funções IAM no caminho de Resource Manager do Azure do recurso ou qualquer elemento principal do mesmo (ou seja, através da herança de permissões IAM):

  • Proprietário do IAM
  • Contribuidor de IAM e Administrador de Acesso de Utilizador do IAM

  Para configurar permissões de controlo de acesso baseado em funções (RBAC) do Azure, siga este guia. A seguinte captura de ecrã mostra como aceder à secção Controle de Acesso no portal do Azure para o recurso de dados adicionar uma atribuição de função.

  

  Observação

  A função Proprietário de IAM para um recurso de dados pode ser herdada de um grupo de recursos principal, de uma subscrição ou de um grupo de gestão de subscrições. Verifique que Microsoft Entra utilizadores, grupos e principais de serviço têm ou estão a herdar a função Proprietário do IAM do recurso.

• Também tem de ter a função de administrador da origem de dados do Microsoft Purview para a coleção ou uma coleção principal (se a herança estiver ativada). Para obter mais informações, veja o guia sobre como gerir atribuições de funções do Microsoft Purview.

  A captura de ecrã seguinte mostra como atribuir a função de administrador da Origem de dados ao nível da coleção de raiz.

  

Configurar permissões do Microsoft Purview para criar, atualizar ou eliminar políticas de acesso

Para criar, atualizar ou eliminar políticas, tem de obter a função de Autor de políticas no Microsoft Purview ao nível da coleção de raiz:

• A função de autor da Política pode criar, atualizar e eliminar políticas de DevOps e Proprietário de Dados.
• A função de autor da Política pode eliminar políticas de acesso self-service.

Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.

Observação

A função de autor da política tem de ser configurada ao nível da coleção de raiz.

Além disso, para procurar facilmente Microsoft Entra utilizadores ou grupos ao criar ou atualizar o assunto de uma política, pode beneficiar bastante da obtenção da permissão Leitores de Diretórios no Microsoft Entra ID. Esta é uma permissão comum para utilizadores num inquilino do Azure. Sem a permissão Leitor de Diretórios, o Autor da Política terá de escrever o nome de utilizador ou e-mail completo para todos os principais incluídos no assunto de uma política de dados.

Configurar permissões do Microsoft Purview para publicar políticas de Proprietário de Dados

As políticas de Proprietário de Dados permitem verificações e saldos se atribuir o autor da Política do Microsoft Purview e as funções de administrador da origem de dados a diferentes pessoas na organização. Antes de uma política de Proprietário de dados ter efeito, uma segunda pessoa (administrador da origem de dados) tem de revê-la e aprová-la explicitamente ao publicá-la. Isto não se aplica às políticas de acesso DevOps ou Self-service, uma vez que a publicação é automática para as mesmas quando essas políticas são criadas ou atualizadas.

Para publicar uma política de Proprietário de dados, tem de obter a função de Administrador da origem de dados no Microsoft Purview ao nível da coleção de raiz.

Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.

Observação

Para publicar políticas de Proprietário de dados, a função de administrador da origem de dados tem de ser configurada ao nível da coleção de raiz.

Delegar a responsabilidade de aprovisionamento de acesso a funções no Microsoft Purview

Depois de um recurso ter sido ativado para a imposição da política de dados, qualquer utilizador do Microsoft Purview com a função de Autor de políticas ao nível da coleção de raiz pode aprovisionar o acesso a essa origem de dados a partir do Microsoft Purview.

Observação

Qualquer administrador da Coleção de raiz do Microsoft Purview pode atribuir novos utilizadores às funções de autor da Política de raiz. Qualquer administrador da Coleção pode atribuir novos utilizadores a uma função de administrador de Origem de dados na coleção. Minimize e analise cuidadosamente os utilizadores que detêm funções de administrador da Coleção do Microsoft Purview, Administrador da origem de dados ou Autor de políticas .

Se uma conta do Microsoft Purview com políticas publicadas for eliminada, essas políticas deixarão de ser impostas num período de tempo que dependa da origem de dados específica. Esta alteração pode ter implicações na disponibilidade de acesso a dados e segurança. As funções Contribuidor e Proprietário no IAM podem eliminar contas do Microsoft Purview. Pode marcar estas permissões ao aceder à secção Controlo de acesso (IAM) da sua conta do Microsoft Purview e selecionar Atribuições de Funções. Também pode utilizar um bloqueio para impedir que a conta do Microsoft Purview seja eliminada através de bloqueios de Resource Manager.

Ativar a imposição da política de dados

Para ativar a imposição de políticas de dados para um recurso, o recurso terá primeiro de ser registado no Microsoft Purview. Para registar um recurso, siga as secções Pré-requisitos e Registar das páginas de origem dos seus recursos.

Depois de registar o recurso, siga os restantes passos para ativar um recurso individual para a aplicação da política de dados.

No portal de governação clássico do Microsoft Purview

1. Aceda ao portal de governação clássico do Microsoft Purview.

2. Selecione o separador Mapa de dados no menu esquerdo.

3. Selecione o separador Origens no menu esquerdo.

4. Selecione a origem onde pretende ativar a imposição da política de dados.

5. Na parte superior da página de origem, selecione Editar origem.

6. Defina o botão de alternar Imposição da política de dados como Ativado, conforme mostrado na imagem abaixo.

A partir do novo portal do Microsoft Purview

1. Aceda ao novo portal do Microsoft Purview.

2. Selecione o separador Mapa de Dados no menu esquerdo.

3. Selecione o separador Origens de dados no menu esquerdo.

4. Selecione a origem onde pretende ativar a imposição da política de dados.

5. Defina o botão de alternar Imposição da política de dados como Ativado, conforme mostrado na imagem abaixo.

Desativar a imposição da política de dados

Para desativar a imposição da política de dados para uma origem, grupo de recursos ou subscrição, um utilizador tem de ser proprietário de um IAM de recurso ou administrador da origem de dados do Microsoft Purview. Assim que tiver essas permissões, siga estes passos:

No portal de governação clássico do Microsoft Purview

1. Aceda ao portal de governação do Microsoft Purview.

2. Selecione o separador Mapa de dados no menu esquerdo.

3. Selecione o separador Origens no menu esquerdo.

4. Selecione a origem para a qual pretende desativar a imposição da política de dados.

5. Na parte superior da página de origem, selecione Editar origem.

6. Defina o botão de alternar Imposição da política de dados como Desativado.

A partir do novo portal do Microsoft Purview

1. Aceda ao novo portal do Microsoft Purview.

2. Selecione o separador Mapa de dados no menu esquerdo.

3. Selecione o separador Origens no menu esquerdo.

4. Selecione a origem para a qual pretende desativar a imposição da política de dados.

5. Defina o botão de alternar Imposição da política de dados como Desativado.

Considerações adicionais relacionadas com a imposição de políticas de dados

• Certifique-se de que anota o Nome que utiliza ao registar-se no Microsoft Purview. Irá precisar dela quando publicar uma política. A prática recomendada é tornar o nome registado exatamente igual ao nome do ponto final.
• Para desativar uma origem para a imposição de políticas de dados, primeiro tem de remover todas as políticas publicadas nessa origem de dados.
• Embora o utilizador precise de ter o Proprietário da origem de dados e o administrador da origem de dados do Microsoft Purview para ativar uma origem para a imposição da política de dados, qualquer administrador da Origem de Dados da coleção pode desativá-la.
• Desativar a imposição da política de dados para uma subscrição irá desativá-la também para todos os recursos registados nessa subscrição.

Aviso

Problemas conhecidos relacionados com o registo de origem

• A movimentação de origens de dados para um grupo de recursos ou subscrição diferente não é suportada. Se quiser fazê-lo, anula o registo da origem de dados no Microsoft Purview antes de a mover e, em seguida, registe-a novamente depois de tal acontecer. Tenha em atenção que as políticas estão vinculadas ao caminho arm da origem de dados. Alterar a subscrição da origem de dados ou o grupo de recursos torna as políticas ineficazes.
• Assim que uma subscrição for desativada para a imposição da política de dados , quaisquer recursos subjacentes que estejam ativados para a aplicação da política de dados serão desativados, que é o comportamento certo. No entanto, as declarações de política baseadas nesses recursos continuarão a ser permitidas depois disso.

Melhores práticas de imposição de políticas de dados

• Incentivamos vivamente o registo de origens de dados para a aplicação da política de dados e a gestão de todas as políticas de acesso associadas numa única conta do Microsoft Purview.
• Se tiver várias contas do Microsoft Purview, tenha em atenção que todas as origens de dados pertencentes a uma subscrição têm de estar registadas para a imposição da política de dados numa única conta do Microsoft Purview. Essa conta do Microsoft Purview pode estar em qualquer subscrição no inquilino. O botão de alternar da imposição da política de dados ficará a cinzento quando existirem configurações inválidas. Seguem-se alguns exemplos de configurações válidas e inválidas no diagrama abaixo:
  • O caso 1 mostra uma configuração válida em que uma conta de Armazenamento está registada numa conta do Microsoft Purview na mesma subscrição.
  • O caso 2 mostra uma configuração válida em que uma conta de Armazenamento está registada numa conta do Microsoft Purview numa subscrição diferente.
  • O caso 3 mostra uma configuração inválida que surge porque as contas de Armazenamento S3SA1 e S3SA2 pertencem à Subscrição 3, mas estão registadas em diferentes contas do Microsoft Purview. Nesse caso, o botão de ativação da política de dados só será ativado na conta do Microsoft Purview que ganha e regista uma origem de dados nessa subscrição primeiro. O botão de alternar ficará a cinzento para a outra origem de dados.
• Se o botão de alternar de imposição da política de dados estiver desativado e não puder ser ativado, paire o cursor sobre o mesmo para saber primeiro o nome da conta do Microsoft Purview que registou o recurso de dados.

Próximas etapas

• Criar políticas de proprietário de dados para os seus recursos
• Ativar políticas de proprietário de dados do Microsoft Purview em todas as origens de dados numa subscrição ou grupo de recursos
• Ativar as políticas de proprietário de dados do Microsoft Purview numa conta de Armazenamento do Azure