Разработка и публикация политик защиты для источников Azure (предварительная версия)

Политики управления доступом (политики защиты) позволяют организациям автоматически защищать конфиденциальные данные в разных источниках данных. Microsoft Purview уже сканирует ресурсы данных и определяет элементы конфиденциальных данных, и эта новая функция позволяет автоматически ограничивать доступ к этим данным с помощью меток конфиденциальности из Защита информации Microsoft Purview.

Политики защиты гарантируют, что администраторы предприятия должны авторизовать доступ к данным для типа конфиденциальности. После включения этих политик управление доступом автоматически вводится при обнаружении конфиденциальной информации с помощью Защита информации Microsoft Purview.

Поддерживаемые действия

• Ограничьте доступ к помеченным ресурсам данных, чтобы к ним могли обращаться только пользователи и группы, которые вы выберете.
• Действие, настроенное для меток конфиденциальности в решении Защита информации Microsoft Purview.

Поддерживаемые источники

• База данных SQL Azure
• Хранилище BLOB-объектов Azure
• Azure Data Lake Storage 2-го поколения

Предварительные условия

• Microsoft 365 E5 лицензии. Сведения о конкретных необходимых лицензиях см. в этой статье о метках чувствительности. Microsoft 365 E5 пробных лицензий можно получить для вашего клиента, перейдя здесь из своей среды.

• Существующие учетные записи Microsoft Purview обновлены до модели с одним клиентом Microsoft Purview и нового интерфейса портала с использованием корпоративной версии Microsoft Purview.

1. Настройка пользователей и разрешений.

2. Создание или расширение меток конфиденциальности из Защита информации Microsoft Purview в ресурсы карты данных.

3. Регистрация источников — зарегистрируйте любой из следующих источников:

   1. База данных SQL Azure
   2. Хранилище BLOB-объектов Azure
   3. Azure Data Lake Storage 2-го поколения

   Примечание.

   Чтобы продолжить, необходимо быть администратором источника данных в коллекции, в которой зарегистрирован источник хранилища Azure.

4. Включение принудительного применения политики данных

   1. Перейдите на новый портал Microsoft Purview.
   2. Выберите вкладку Карта данных в меню слева.
   3. Выберите вкладку Источники данных в меню слева.
   4. Выберите источник, в котором необходимо включить принудительное применение политики данных.
   5. Установите переключатель Принудительное применение политики данных в значение Вкл.

5. Проверка источников — зарегистрируйте любой из зарегистрированных источников.

   1. База данных SQL Azure
   2. Хранилище BLOB-объектов Azure
   3. Azure Data Lake Storage 2-го поколения

   Примечание.

   Подождите не менее 24 часов после сканирования.

Пользователи и разрешения

Существует несколько типов пользователей, и вам нужно настроить соответствующие роли и разрешения для этих пользователей:

1. Защита информации Microsoft Purview Администратор — широкие права на управление Information Protection решением: просмотр, создание, обновление и удаление политик защиты, меток конфиденциальности и политик автоматической маркировки, все типы классификаторов. Они также должны иметь полный доступ к обозревателе данных, обозревателю действий, Защита информации Microsoft Purview аналитике и отчетам.
   • Пользователю требуются роли из встроенной группы ролей "Information Protection", а также новые роли для чтения карт данных, средства чтения аналитических сведений, средства чтения сканирования и чтения источника. Полные разрешения:
     • средство чтения Information Protection
     • Средство чтения карты данных
     • Читатель аналитики
     • Средство чтения исходного кода
     • Средство чтения сканирования
     • администратор Information Protection
     • аналитик Information Protection
     • Следователь защиты информации
     • Средство просмотра списка классификации данных
     • Средство просмотра содержимого классификации данных
     • Администратор оценки Microsoft Purview
   • Вариант 1 . Рекомендуется:
     1. На панели группы ролей Microsoft Purview найдите Information Protection.
     2. Выберите группу ролей Information Protection и нажмите кнопку Копировать.
     3. Присвойте ему имя "Предварительная версия — Information Protection" и выберите Создать копию.
     4. Выберите Предварительный просмотр — Information Protection и нажмите кнопку Изменить.
     5. На странице Роли+ Выберите роли и выполните поиск по запросу "читатель".
     6. Выберите следующие четыре роли: читатель карты данных, читатель аналитических сведений, читатель сканирования, средство чтения источника.
     7. Добавьте учетную запись тестового пользователя Защита информации Microsoft Purview администратора в эту новую скопированную группу и завершите работу мастера.
   • Вариант 2. использует встроенные группы (предоставляет больше разрешений, чем требуется)
     1. Разместите новую учетную запись тестового пользователя Защита информации Microsoft Purview администратора во встроенных группах для Information Protection, читателей Аналитики ресурсов данных, администраторов источников данных.
2. Владелец данных или Администратор. Этот пользователь включит в источнике принудительное применение политики данных в Microsoft Purview для источников Azure и Amazon S3.

Создание политики защиты

Теперь, когда вы проверили предварительные требования и подготовили экземпляр Microsoft Purview и источник для политик защиты и ждали по крайней мере 24 часа после последней проверки, выполните следующие действия, чтобы создать политики защиты:

1. Войдите на портал Microsoft Purview и выберите карта Information Protection. Если карта решения Information Protection не отображается, выберите Просмотреть все решения, а затем выберите Information Protection в разделе Безопасность данных.

2. В области навигации слева выберите Политики, а затем политики защиты.

3. Выберите Новая политика защиты.

4. Укажите имя и описание и нажмите кнопку Далее.

5. Выберите + Добавить метку конфиденциальности , чтобы добавить метки конфиденциальности для обнаружения политики, и выберите все метки, к которым будет применяться политика.

6. Нажмите кнопку Добавить, а затем нажмите кнопку Далее.

7. Выберите источники, к которым требуется применить политику. Можно выбрать несколько источников. Выберите Изменить, чтобы управлять область для каждого выбранного элемента.

8. В зависимости от источника нажмите кнопку + Включить вверху, чтобы добавить до 10 ресурсов, область список. Политика будет применена ко всем ресурсам, которые вы выбрали.

   Примечание.

   В настоящее время поддерживается не более 10 ресурсов, и они должны быть выбраны в разделе Изменить , чтобы они были включены.

9. Щелкните Добавить , а затем нажмите кнопку Готово , когда список источников будет завершен.

10. В зависимости от источника выберите тип политики защиты, которую вы хотите создать.

11. Выберите пользователей, которым не будет отказано в доступе на основе метки. Всем пользователям в вашей организации будет отказано в доступе к помеченным элементам, за исключением пользователей и групп, которые вы добавляете здесь.

    Важно!

    Убедитесь, что все учетные записи субъекта-службы, выполняющие проверку управления данными для источников с заданной областью, включены в группу безопасности. Добавьте эту группу безопасности в список разрешенных политик защиты. Это предотвратит блокировку будущих проверок с помощью ограничений доступа к файлам с метками.

12. Нажмите кнопку Далее.

13. Выберите, следует ли включить политику сразу или нет, и нажмите кнопку Далее.

14. Выберите Отправить.

15. Нажмите кнопку Готово.

Теперь в списке политик защиты должна появиться новая политика. Выберите его, чтобы убедиться, что все сведения верны.

Управление политикой защиты

Чтобы изменить или удалить существующую политику защиты, выполните следующие действия.

1. Откройте портал Microsoft Purview.
2. Откройте решение Information Protection.
3. Выберите Политики, а затем политики защиты.
4. Выберите политику, которой вы хотите управлять.
5. Чтобы изменить какие-либо сведения, нажмите кнопку Изменить политику .
6. Чтобы удалить политику, выберите Удалить политику.