Поделиться через

Включение принудительного применения политики данных в источниках Microsoft Purview

  • Статья

Принудительное применение политики данных — это возможность регистрации источника данных в Microsoft Purview. Этот параметр позволяет Microsoft Purview управлять доступом к данным для ресурсов. Концепция высокого уровня заключается в том, что владелец данных разрешает доступ к своему ресурсу данных для политик доступа, включив принудительное применение политики данных.

В настоящее время владелец данных может включить принудительное применение политики данных к ресурсу данных, что позволяет ему использовать следующие типы политик доступа:

Чтобы иметь возможность создавать любую политику данных в ресурсе, необходимо сначала включить для этого ресурса принудительное применение политики данных. В этой статье объясняется, как включить принудительное применение политики данных для ресурсов в Microsoft Purview.

Важно!

Так как применение политики данных напрямую влияет на доступ к данным, это напрямую влияет на безопасность данных. Ознакомьтесь с дополнительными рекомендациями и рекомендациями, приведенными ниже, прежде чем включать принудительное применение политики данных в вашей среде.

Предварительные условия

Регистрация источника данных в Microsoft Purview

Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.

Примечание.

Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.

Настройка разрешений для включения принудительного применения политики данных в источнике данных

После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения принудительного применения политики данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить принудительное применение политики данных, необходимо иметь определенные права управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:

  • Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):

    • Владелец IAM
    • Участник IAM и администратор доступа пользователей IAM

    Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.

    Снимок экрана: раздел в портал Azure для добавления назначения ролей.

    Примечание.

    Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Microsoft Entra пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.

  • Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.

    На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.

    Снимок экрана, на котором показаны выборы для назначения роли администратора источника данных на корневом уровне коллекции.

Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа

Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:

  • Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
  • Роль "Автор политики" может удалять политики самостоятельного доступа.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Роль автора политики должна быть настроена на уровне корневой коллекции.

Кроме того, для упрощения поиска Microsoft Entra пользователей или групп при создании или обновлении темы политики вы можете получить разрешение читателей каталогов в Microsoft Entra ID. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.

Настройка разрешений Microsoft Purview для публикации политик владельца данных

Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.

Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.

Делегирование ответственности за подготовку доступа ролям в Microsoft Purview

После включения для ресурса принудительного применения политики данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.

Примечание.

Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .

Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.

Включение принудительного применения политики данных

Чтобы включить принудительное применение политики данных для ресурса, сначала необходимо зарегистрировать ресурс в Microsoft Purview. Чтобы зарегистрировать ресурс, следуйте разделам Предварительные требования и Регистрацияисходных страниц ресурсов.

После регистрации ресурса выполните остальные действия, чтобы включить отдельный ресурс для принудительного применения политики данных.

На классическом портале управления Microsoft Purview

  1. Перейдите на классический портал управления Microsoft Purview.

  2. Выберите вкладку Карта данных в меню слева.

  3. Выберите вкладку Источники в меню слева.

  4. Выберите источник, в котором необходимо включить принудительное применение политики данных.

  5. В верхней части исходной страницы выберите Изменить источник.

  6. Установите переключатель Принудительное применение политики данных в значение Включено, как показано на рисунке ниже.

Установите переключатель принудительного применения политики данных в значение **Включено** в нижней части меню.

На новом портале Microsoft Purview

  1. Перейдите на новый портал Microsoft Purview.

  2. Выберите вкладку Карта данных в меню слева.

  3. Выберите вкладку Источники данных в меню слева.

  4. Выберите источник, в котором необходимо включить принудительное применение политики данных.

  5. Установите переключатель Принудительное применение политики данных в значение Вкл., как показано на рисунке ниже.

Установите переключатель принудительного применения политики данных в значение **On** в сведениях об источнике данных.

Отключение принудительного применения политики данных

Чтобы отключить принудительное применение политики данных для источника, группы ресурсов или подписки, пользователь должен быть владельцем ресурса IAM или администратором источника данных Microsoft Purview. Получив эти разрешения, выполните следующие действия.

На классическом портале управления Microsoft Purview

  1. Перейдите на портал управления Microsoft Purview.

  2. Выберите вкладку Карта данных в меню слева.

  3. Выберите вкладку Источники в меню слева.

  4. Выберите источник, для которого требуется отключить принудительное применение политики данных.

  5. В верхней части исходной страницы выберите Изменить источник.

  6. Установите для переключателя Принудительное применение политики данных значение Отключено.

На новом портале Microsoft Purview

  1. Перейдите на новый портал Microsoft Purview.

  2. Выберите вкладку Карта данных в меню слева.

  3. Выберите вкладку Источники в меню слева.

  4. Выберите источник, для которого требуется отключить принудительное применение политики данных.

  5. Установите для переключателя Принудительное применение политики данных значение Выкл.

  • Обязательно запишите имя , используемое при регистрации в Microsoft Purview. Он понадобится при публикации политики. Рекомендуется сделать зарегистрированное имя точно таким же, как имя конечной точки.
  • Чтобы отключить источник для принудительного применения политики данных, сначала необходимо удалить все опубликованные политики в этом источнике данных.
  • Хотя пользователю необходимо иметь как владельца источника данных, так и администратора источника данных Microsoft Purview, чтобы включить источник для принудительного применения политики данных, любой администратор источника данных для коллекции может отключить его.
  • Отключение принудительного применения политики данных для подписки также отключает ее для всех ресурсов, зарегистрированных в этой подписке.

Предупреждение

Известные проблемы , связанные с регистрацией источника

  • Перемещение источников данных в другую группу ресурсов или подписку не поддерживается. Если вы хотите сделать это, отмените регистрацию источника данных в Microsoft Purview перед его перемещением, а затем снова зарегистрируйте его после этого. Обратите внимание, что политики привязаны к пути ARM источника данных. Изменение подписки на источник данных или группы ресурсов делает политики неэффективными.
  • После отключения подписки для принудительного применения политики данных все базовые ресурсы, которые включены для принудительного применения политики данных , будут отключены, что является правильным поведением. Однако инструкции политики, основанные на этих ресурсах, по-прежнему будут разрешены после этого.

Рекомендации по принудительному применению политики данных

  • Мы настоятельно рекомендуем регистрировать источники данных для принудительного применения политик данных и управлять всеми связанными политиками доступа в одной учетной записи Microsoft Purview.
  • Если у вас есть несколько учетных записей Microsoft Purview, имейте в виду, что все источники данных, принадлежащие подписке, должны быть зарегистрированы для принудительного применения политики данных в одной учетной записи Microsoft Purview. Эта учетная запись Microsoft Purview может находиться в любой подписке в клиенте. Переключатель принудительного применения политики данных станет серым при наличии недопустимых конфигураций. Ниже приведены некоторые примеры допустимых и недопустимых конфигураций:
    • В случае 1 показана допустимая конфигурация, в которой учетная запись хранения зарегистрирована в учетной записи Microsoft Purview в той же подписке.
    • В случае 2 показана допустимая конфигурация, в которой учетная запись хранения зарегистрирована в учетной записи Microsoft Purview в другой подписке.
    • В случае 3 показана недопустимая конфигурация, возникающая из-за того, что учетные записи хранения S3SA1 и S3SA2 принадлежат подписке 3, но зарегистрированы для разных учетных записей Microsoft Purview. В этом случае переключатель принудительного применения политики данных будет включаться только в учетной записи Microsoft Purview, которая сначала выигрывает и регистрирует источник данных в этой подписке. Затем переключатель будет выделен серым цветом для другого источника данных.
  • Если переключатель принудительного применения политики данных неактивен и не может быть включен, наведите указатель мыши на него, чтобы узнать имя учетной записи Microsoft Purview, которая сначала зарегистрировала ресурс данных.

На схеме показаны допустимые и недопустимые конфигурации при использовании нескольких учетных записей Microsoft Purview для управления политиками.

Дальнейшие действия