预览) (保护策略入门

注意

Microsoft Purview 数据目录将其名称更改为 Microsoft Purview 统一目录。 所有功能将保持不变。 当新的 Microsoft Purview 数据治理体验在你的区域中正式发布时，你将看到名称更改。 检查你所在的区域的名称。

保护访问控制策略 (保护策略) 使组织能够跨数据源自动保护敏感数据。 Microsoft Purview 已扫描数据资产并标识敏感数据元素，并且此新功能允许使用Microsoft Purview 信息保护的敏感度标签自动限制对该数据的访问。

保护策略确保企业管理员必须授权敏感度类型的数据访问权限。 启用这些策略后，每当使用 Microsoft Purview 信息保护 检测到敏感信息时，都会自动实施访问控制。

支持的操作

• 限制对已标记数据资产的访问，以便只有你选择的用户和组才能访问它们。
• 对Microsoft Purview 信息保护解决方案中的敏感度标签配置的操作。

支持的数据源

• Azure 源：
  • Azure SQL数据库
  • Azure Blob 存储*
  • Azure Data Lake Storage Gen2*
• Microsoft Fabric

注意

*Azure 存储源目前处于封闭预览状态。 若要注册， 请按照此链接操作。

提示

本文介绍所有保护策略的一般步骤。 可用数据源文章介绍了这些数据源的可用区域、限制和特定功能等详细信息。

先决条件

• Microsoft 365 E5许可证。 有关所需特定许可证的信息，请参阅 有关敏感度标签的信息。 Microsoft 365 E5，可以通过从环境导航到此处来获取租户的试用版许可证。

Azure 源

1. 配置用户和权限。

2. 在 Microsoft Purview 中启用高级资源集：

   1. 让用户是根集合中的数据策展人或数据读取者，登录到 Microsoft Purview 门户并打开 “设置” 菜单。

   2. 在 “帐户 ”页下，找到 “高级资源集” ，并将开关设置为“ 开”。

      

3. 创建敏感度标签或将敏感度标签从Microsoft Purview 信息保护扩展到数据映射资产。

   注意

   创建标签后，请务必发布标签。

4. 注册源 - 注册你喜欢的以下任何源：

   1. Azure SQL 数据库
   2. Azure Blob 存储
   3. Azure Data Lake Storage Gen2

   注意

   若要继续，需要是注册 Azure 存储源的集合中的 数据源管理员 。

5. 启用数据策略强制实施

   1. 转到新的 Microsoft Purview 门户。

   2. 选择左侧菜单中的“ 数据映射 ”选项卡。

   3. 选择左侧菜单中 的“数据源 ”选项卡。

   4. 选择要在其中启用 数据策略强制执行的源。

   5. 将 “数据策略强制” 开关设置为 “开”，如下图所示。

      

6. 扫描源 - 注册已注册的任何源。

   1. Azure SQL 数据库
   2. Azure Blob 存储
   3. Azure Data Lake Storage Gen2

   注意

   扫描后至少等待 24 小时。

Microsoft Fabric

请参阅 Fabric 保护策略概述一文。

Azure 源和 Amazon S3 的用户和权限

需要多种类型的用户，需要为这些用户设置相应的角色和权限：

1. Microsoft Purview 信息保护 管理员 - 管理信息保护解决方案的广泛权限：查看/创建/更新/删除保护策略、敏感度标签和标签/自动标记策略，以及所有分类器类型。 他们还应该对数据资源管理器、活动资源管理器、Microsoft Purview 信息保护见解和报表具有完全访问权限。
   • 用户需要内置角色组“信息保护”中的角色，以及数据映射读取者、见解读取者、扫描读取者、源读取者的新角色。 完全权限为：
     • 信息保护阅读器
     • 数据映射读取器
     • 见解读取者
     • 源读取器
     • 扫描读取器
     • 信息保护管理员
     • 信息保护分析师
     • 信息保护调查员
     • 数据分类列表查看器
     • 数据分类内容查看器
     • Microsoft Purview 评估管理员
   • 选项 1 - 建议：
     1. 在“Microsoft Purview 角色组”面板中，搜索信息保护。
     2. 选择信息保护角色组，然后选择“复制”。
     3. 将其命名为“预览 - 信息保护”，然后选择“创建副本”。
     4. 选择“预览 - 信息保护”，然后选择“编辑”。
     5. 在 “角色 ”页上， +选择角色 并搜索“读者”。
     6. 选择这四个角色：数据映射读取者、见解读取者、扫描读取者、源读取者。
     7. 将Microsoft Purview 信息保护管理员测试用户帐户添加到此新的复制组并完成向导。
   • 选项 2 - 使用内置组 (将提供比所需权限更多的)
     1. 将新的Microsoft Purview 信息保护管理员测试用户帐户置于信息保护、Data Estate Insights 读取者、数据源管理员的内置组中。
2. 数据所有者/管理员 - 此用户将在 Microsoft Purview for Azure 和 Amazon S3 源中启用源以实施数据策略。

创建保护策略

现在，你已检查 先决条件并为保护策略准备了Microsoft Purview 实例和源 ，并在最近一次扫描后至少等待 24 小时，请按照以下步骤创建保护策略：

1. 根据所使用的门户，导航到以下位置之一：

   • 登录到 Microsoft Purview 门户>信息保护卡>策略

     如果未显示信息保护解决方案卡，请选择“查看所有解决方案”，然后从“数据安全性”部分选择“信息保护”。

   • 登录到 Microsoft Purview 合规门户>Solutions>信息保护>策略

2. 选择“ 保护策略”。

   

3. 选择“ + 新建保护策略”。

4. 提供名称和说明，然后选择“ 下一步”。

5. 选择“ + 添加敏感度标签 ”以添加要检测策略的敏感度标签，然后选择要应用策略的所有标签。

6. 依次选择“ 添加 ”、“ 下一步”。

7. 选择要应用策略的源。

   1. 对于“构造源”，请仅选择“构造”，然后选择“ 下一步”。 (有关详细信息，请参阅 Fabric 文档。)
   2. 对于 Azure 源，可以选择多个源，然后选择“ 编辑 ”按钮来管理所选的每个源的范围。

8. 根据源，选择顶部的“ + 包括 ”按钮，最多添加 10 个范围列表的资源。 该策略将应用于所选的所有资源。

   注意

   目前最多支持 10 个资源，并且必须在 “编辑” 下选择这些资源才能启用它们。

9. 选择 “添加 ”，然后在源列表完成后选择“ 完成 ”。

10. 根据源，选择要创建的保护策略类型。

    1. 对于 Fabric 源，请遵循 Fabric 文档的保护策略。
    2. 对于其他源，根据标签选择 不会 被拒绝访问的用户。 除在此处添加的用户和组外，组织中的所有人将被拒绝访问已标记的项目。

11. 选择 下一步。

12. 选择是否立即打开策略，然后选择 “下一步”。

13. 选择“提交”。

14. 选择“完成”。

15. 现在，应在保护策略列表中看到新策略。 选择它以确认所有详细信息都正确。

管理保护策略

若要编辑或删除现有保护策略，请执行以下步骤：

1. 打开 Microsoft Purview 门户。

2. 打开信息保护解决方案。

3. 选择 “策略 ”下拉列表，然后选择“ 保护策略”。

   

4. 选择要管理的策略。

5. 若要更改任何详细信息，请选择“ 编辑策略 ”按钮。

6. 若要删除策略，请选择“ 删除策略 ”按钮。