Tutorial: Aceder ao aprovisionamento por proprietário de dados para conjuntos de dados do Armazenamento do Azure (pré-visualização)

Importante

Este recurso está atualmente no modo de visualização. Os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

As políticas no Microsoft Purview permitem-lhe ativar o acesso a origens de dados registadas numa coleção. Este tutorial descreve como um proprietário de dados pode utilizar o Microsoft Purview para permitir o acesso a conjuntos de dados no Armazenamento do Azure através do Microsoft Purview.

Neste tutorial, você aprende a:

• Preparar o ambiente do Azure
• Configurar permissões para permitir que o Microsoft Purview se ligue aos seus recursos
• Registar o recurso de Armazenamento do Azure para a Imposição da Política de Dados
• Criar e publicar uma política para o grupo de recursos ou subscrição

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Uma conta do Microsoft Purview nova ou existente. Siga este guia de início rápido para criar um.

Suporte de região

• Todas as regiões do Microsoft Purview são suportadas.
• As contas de armazenamento nas seguintes regiões são suportadas sem a necessidade de configuração adicional. No entanto, as contas de armazenamento com redundância entre zonas (ZRS) não são suportadas.
  • Austrália Central
  • Leste da Austrália
  • Sudeste da Austrália
  • Sul do Brasil
  • Canadá Central
  • Leste do Canadá
  • Índia Central
  • EUA Central
  • Leste da Ásia
  • Leste 2 dos EUA
  • Leste dos EUA
  • França Central
  • Centro-Oeste da Alemanha
  • Leste do Japão
  • Oeste do Japão
  • Coréia Central
  • Centro-Norte dos EUA
  • Norte da Europa
  • Noruega Leste
  • Polônia Central
  • Catar Central
  • Centro-Sul dos EUA
  • Norte da África do Sul
  • Sudeste da Ásia
  • Sul da Índia
  • Suécia Central
  • Suíça (Norte)
  • Centro-Oeste dos EUA
  • Europa Ocidental
  • Oeste dos EUA
  • Oeste 2 dos EUA
  • E.U.A. Oeste 3
  • Emirados Árabes Unidos Norte
  • Sul do Reino Unido
  • Oeste do Reino Unido do Reino Unido
• As contas de armazenamento noutras regiões na Cloud Pública são suportadas após definir o sinalizador de funcionalidade AllowPurviewPolicyEnforcement, conforme descrito na secção seguinte. As contas de Armazenamento ZRS recentemente criadas são suportadas, se forem criadas depois de definir o sinalizador de funcionalidade AllowPurviewPolicyEnforcement.

Se necessário, pode criar uma nova conta de Armazenamento ao seguir este guia.

Configurar a subscrição onde reside a conta de Armazenamento do Azure para políticas do Microsoft Purview

Este passo só é necessário em determinadas regiões (ver secção anterior). Para permitir que o Microsoft Purview faça a gestão de políticas para uma ou mais contas de Armazenamento do Azure, execute os seguintes comandos do PowerShell na subscrição onde irá implementar a sua conta de Armazenamento do Azure. Estes comandos do PowerShell permitirão ao Microsoft Purview gerir políticas em todas as contas de Armazenamento do Azure nessa subscrição.

Se estiver a executar estes comandos localmente, certifique-se de que executa o PowerShell como administrador. Em alternativa, pode utilizar a Cloud Shell do Azure no portal do Azure: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Se o resultado do último comando mostrar RegistrationState como Registado, a subscrição estará ativada para políticas de acesso. Se o resultado for Registar, aguarde pelo menos 10 minutos e, em seguida, repita o comando. Não continue, a menos que RegistrationState seja apresentado como Registado.

Configuração

Registar a origem de dados no Microsoft Purview

Antes de uma política poder ser criada no Microsoft Purview para um recurso de dados, tem de registar esse recurso de dados no Microsoft Purview Studio. Encontrará as instruções relacionadas com o registo do recurso de dados mais adiante neste guia.

Observação

As políticas do Microsoft Purview dependem do caminho arm do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou subscrição, terá de ser desativado e registado novamente no Microsoft Purview.

Configurar permissões para ativar a imposição de políticas de dados na origem de dados

Assim que um recurso for registado, mas antes de poder criar uma política no Microsoft Purview para esse recurso, tem de configurar as permissões. É necessário um conjunto de permissões para ativar a imposição da política de dados. Isto aplica-se a origens de dados, grupos de recursos ou subscrições. Para ativar a imposição da política de dados, tem de ter privilégios específicos de Gestão de Identidades e Acessos (IAM) no recurso, bem como privilégios específicos do Microsoft Purview:

• Tem de ter uma das seguintes combinações de funções IAM no caminho de Resource Manager do Azure do recurso ou qualquer elemento principal do mesmo (ou seja, através da herança de permissões IAM):

  • Proprietário do IAM
  • Contribuidor de IAM e Administrador de Acesso de Utilizador do IAM

  Para configurar permissões de controlo de acesso baseado em funções (RBAC) do Azure, siga este guia. A seguinte captura de ecrã mostra como aceder à secção Controle de Acesso no portal do Azure para o recurso de dados adicionar uma atribuição de função.

  

  Observação

  A função Proprietário de IAM para um recurso de dados pode ser herdada de um grupo de recursos principal, de uma subscrição ou de um grupo de gestão de subscrições. Verifique que Microsoft Entra utilizadores, grupos e principais de serviço têm ou estão a herdar a função Proprietário do IAM do recurso.

• Também tem de ter a função de administrador da origem de dados do Microsoft Purview para a coleção ou uma coleção principal (se a herança estiver ativada). Para obter mais informações, veja o guia sobre como gerir atribuições de funções do Microsoft Purview.

  A captura de ecrã seguinte mostra como atribuir a função de administrador da Origem de dados ao nível da coleção de raiz.

  

Configurar permissões do Microsoft Purview para criar, atualizar ou eliminar políticas de acesso

Para criar, atualizar ou eliminar políticas, tem de obter a função de Autor de políticas no Microsoft Purview ao nível da coleção de raiz:

• A função de autor da Política pode criar, atualizar e eliminar políticas de DevOps e Proprietário de Dados.
• A função de autor da Política pode eliminar políticas de acesso self-service.

Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.

Observação

A função de autor da política tem de ser configurada ao nível da coleção de raiz.

Além disso, para procurar facilmente Microsoft Entra utilizadores ou grupos ao criar ou atualizar o assunto de uma política, pode beneficiar bastante da obtenção da permissão Leitores de Diretórios no Microsoft Entra ID. Esta é uma permissão comum para utilizadores num inquilino do Azure. Sem a permissão Leitor de Diretórios, o Autor da Política terá de escrever o nome de utilizador ou e-mail completo para todos os principais incluídos no assunto de uma política de dados.

Configurar permissões do Microsoft Purview para publicar políticas de Proprietário de Dados

As políticas de Proprietário de Dados permitem verificações e saldos se atribuir o autor da Política do Microsoft Purview e as funções de administrador da origem de dados a diferentes pessoas na organização. Antes de uma política de Proprietário de dados ter efeito, uma segunda pessoa (administrador da origem de dados) tem de revê-la e aprová-la explicitamente ao publicá-la. Isto não se aplica às políticas de acesso DevOps ou Self-service, uma vez que a publicação é automática para as mesmas quando essas políticas são criadas ou atualizadas.

Para publicar uma política de Proprietário de dados, tem de obter a função de Administrador da origem de dados no Microsoft Purview ao nível da coleção de raiz.

Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.

Observação

Para publicar políticas de Proprietário de dados, a função de administrador da origem de dados tem de ser configurada ao nível da coleção de raiz.

Delegar a responsabilidade de aprovisionamento de acesso a funções no Microsoft Purview

Depois de um recurso ter sido ativado para a imposição da política de dados, qualquer utilizador do Microsoft Purview com a função de Autor de políticas ao nível da coleção de raiz pode aprovisionar o acesso a essa origem de dados a partir do Microsoft Purview.

Observação

Qualquer administrador da Coleção de raiz do Microsoft Purview pode atribuir novos utilizadores às funções de autor da Política de raiz. Qualquer administrador da Coleção pode atribuir novos utilizadores a uma função de administrador de Origem de dados na coleção. Minimize e analise cuidadosamente os utilizadores que detêm funções de administrador da Coleção do Microsoft Purview, Administrador da origem de dados ou Autor de políticas .

Se uma conta do Microsoft Purview com políticas publicadas for eliminada, essas políticas deixarão de ser impostas num período de tempo que dependa da origem de dados específica. Esta alteração pode ter implicações na disponibilidade de acesso a dados e segurança. As funções Contribuidor e Proprietário no IAM podem eliminar contas do Microsoft Purview. Pode marcar estas permissões ao aceder à secção Controlo de acesso (IAM) da sua conta do Microsoft Purview e selecionar Atribuições de Funções. Também pode utilizar um bloqueio para impedir que a conta do Microsoft Purview seja eliminada através de bloqueios de Resource Manager.

Registar as origens de dados no Microsoft Purview para imposição de políticas de dados

A sua conta de Armazenamento do Azure tem de estar registada no Microsoft Purview para definir políticas de acesso posteriormente e, durante o registo, iremos ativar a Imposição de Políticas de Dados. A Imposição de Políticas de Dados é uma funcionalidade disponível no Microsoft Purview que permite aos utilizadores gerir o acesso a um recurso a partir do Microsoft Purview. Isto permite-lhe centralizar a deteção de dados e a gestão de acesso, no entanto, é uma funcionalidade que afeta diretamente a segurança dos dados.

Aviso

Antes de ativar a Imposição da Política de Dados para qualquer um dos seus recursos, leia o nosso artigo Aplicação da Política de Dados.

Este artigo inclui as melhores práticas de Imposição de Políticas de Dados para o ajudar a garantir que as suas informações estão seguras.

Para registar o recurso e ativar a Imposição de Políticas de Dados, siga estes passos:

Observação

Tem de ser proprietário da subscrição ou do grupo de recursos para poder adicionar uma identidade gerida num recurso do Azure.

1. Na portal do Azure, localize a conta de armazenamento de Blobs do Azure que pretende registar.

   

2. Selecione Controle de Acesso (IAM) no painel de navegação esquerdo e, em seguida, selecione + Adicionar --Adicionar atribuição de> função.

   

3. Defina a Função como Leitor de Dados do Blob de Armazenamento e introduza o nome da conta do Microsoft Purview na caixa Selecionar entrada. Em seguida, selecione Guardar para atribuir esta função à sua conta do Microsoft Purview.

   

4. Se tiver uma firewall ativada na conta de Armazenamento, siga estes passos também:

   1. Aceda à sua conta de Armazenamento do Azure no portal do Azure.

   2. Navegue para Segurança + Rede>.

   3. Selecione Redes Selecionadas em Permitir acesso a partir de.

   4. Na secção Exceções , selecione Permitir que os serviços Microsoft fidedignos acedam a esta conta de armazenamento e selecione Guardar.

      

5. Depois de configurar a autenticação para a sua conta de armazenamento, aceda ao portal de governação do Microsoft Purview.

6. Selecione Mapa de Dados no menu esquerdo.

   

7. Selecione Registrar.

   

8. Em Registar origens, selecione Armazenamento de Blobs do Azure.

   

9. Selecione Continuar.

10. No ecrã Registar origens (Azure), faça o seguinte:

    1. Na caixa Nome , introduza um nome amigável com o qual a origem de dados será listada no catálogo.

    2. Nas caixas de lista pendente Subscrição , selecione a subscrição onde a sua conta de armazenamento está alojada. Em seguida, selecione a sua conta de armazenamento em Nome da conta de armazenamento. Em Selecionar uma coleção, selecione a coleção onde pretende registar a sua conta de Armazenamento do Azure.

       

    3. Na caixa Selecionar uma coleção, selecione uma coleção ou crie uma nova (opcional).

    4. Defina o botão de alternar Imposição de Política de Dados como Ativado, conforme mostrado na imagem abaixo.

       

       Dica

       Se o botão de alternar Imposição da Política de Dados estiver desativado e não for possível selecionar:

       1. Confirme que seguiu todos os pré-requisitos para ativar a Imposição da Política de Dados nos seus recursos.
       2. Confirme que selecionou uma conta de armazenamento a registar.
       3. Pode ser que este recurso já esteja registado noutra conta do Microsoft Purview. Paire o cursor sobre o mesmo para saber o nome da conta do Microsoft Purview que registou o recurso de dados.first. Apenas uma conta do Microsoft Purview pode registar um recurso para a Imposição de Políticas de Dados no momento.

    5. Selecione Registar para registar o grupo de recursos ou a subscrição no Microsoft Purview com a Imposição da Política de Dados ativada.

Dica

Para obter mais informações sobre a Imposição de Políticas de Dados, incluindo melhores práticas ou problemas conhecidos, veja o nosso artigo Aplicação da Política de Dados.

Criar uma política de proprietário de dados

1. Inicie sessão no portal de governação do Microsoft Purview.

2. Navegue para a funcionalidade Política de dados com o painel esquerdo. Em seguida, selecione Políticas de dados.

3. Selecione o botão Nova Política na página de política.

   

4. Será apresentada a nova página de política. Introduza o Nome e a Descrição da política.

5. Para adicionar uma declaração de política à nova política, selecione o botão Nova declaração de política . Esta ação irá apresentar o construtor de declarações de políticas.

   

6. Selecione o botão Efeito e selecione Permitir na lista pendente.

7. Selecione o botão Ação e selecione Ler ou Modificar na lista pendente.

8. Selecione o botão Recursos de Dados para abrir a janela para introduzir As informações do recurso de dados, que serão abertas à direita.

9. No Painel de Recursos de Dados , efetue um de dois procedimentos consoante a granularidade da política:

   • Para criar uma declaração de política abrangente que abrange toda uma origem de dados, grupo de recursos ou subscrição que foi registada anteriormente, utilize a caixa Origens de dados e selecione o respetivo Tipo.
   • Para criar uma política detalhada, utilize a caixa Recursos . Introduza o Tipo de Origem de Dados e o Nome de uma origem de dados previamente registada e analisada. Veja o exemplo na imagem.

   

10. Selecione o botão Continuar e percorra a hierarquia para selecionar e subjacente objeto de dados (por exemplo: pasta, ficheiro, etc.). Selecione Recursivo para aplicar a política a partir desse ponto na hierarquia até quaisquer objetos de dados subordinados. Em seguida, selecione o botão Adicionar . Esta ação irá levá-lo de volta ao editor de políticas.

    

11. Selecione o botão Assuntos e introduza a identidade do requerente como principal, grupo ou MSI. Em seguida, selecione o botão OK . Esta ação irá levá-lo de volta ao editor de políticas

    

12. Selecione o botão Guardar para guardar a política.

    

Publicar uma política de proprietário de dados

1. Inicie sessão no portal de governação do Microsoft Purview.

2. Navegue para a funcionalidade Política de dados com o painel esquerdo. Em seguida, selecione Políticas de dados.

   

3. O Portal de políticas apresentará a lista de políticas existentes no Microsoft Purview. Localize a política que tem de ser publicada. Selecione o botão Publicar no canto superior direito da página.

   

4. É apresentada uma lista de origens de dados. Pode introduzir um nome para filtrar a lista. Em seguida, selecione cada origem de dados onde esta política deve ser publicada e, em seguida, selecione o botão Publicar .

   

Importante

• Publicar é uma operação em segundo plano. Pode demorar até 2 horas para que as alterações sejam refletidas nas contas de Armazenamento.

Limpe os recursos

Para eliminar uma política no Microsoft Purview, siga estes passos:

1. Inicie sessão no portal de governação do Microsoft Purview.

2. Navegue para a funcionalidade Política de dados com o painel esquerdo. Em seguida, selecione Políticas de dados.

   

3. O Portal de políticas apresentará a lista de políticas existentes no Microsoft Purview. Selecione a política que precisa de ser atualizada.

4. A página de detalhes da política será apresentada, incluindo as opções Editar e Eliminar. Selecione o botão Editar , que apresenta o construtor de declarações de política. Agora, todas as partes das instruções nesta política podem ser atualizadas. Para eliminar a política, utilize o botão Eliminar .

   

Próximas etapas

Veja a nossa demonstração e tutoriais relacionados:

Demonstração da política de acesso para conceitos de armazenamento do Azurepara políticas de proprietário de dados do Microsoft PurviewAtivar políticas de proprietário de dados do Microsoft Purview em todas as origens de dados numa subscrição ou grupo de recursos