创作和发布 Azure 源的保护策略 (预览)

保护访问控制策略 (保护策略) 使组织能够跨数据源自动保护敏感数据。 Microsoft Purview 已扫描数据资产并标识敏感数据元素,并且此新功能允许使用Microsoft Purview 信息保护的敏感度标签自动限制对该数据的访问。

保护策略确保企业管理员必须授权敏感度类型的数据访问权限。 启用这些策略后,每当使用 Microsoft Purview 信息保护 检测到敏感信息时,都会自动实施访问控制。

支持的操作

  • 限制对已标记数据资产的访问,以便只有你选择的用户和组才能访问它们。
  • 对Microsoft Purview 信息保护解决方案中的敏感度标签配置的操作。

支持的源

  • Azure SQL 数据库
  • Azure Blob 存储*
  • Azure Data Lake Storage Gen2*

注意

*Azure 存储源目前处于封闭预览状态。 若要注册, 请按照此链接操作。

支持的区域

地区 Azure SQL Azure 存储
南非北部 x
东亚 x
东南亚 x
澳大利亚中部 x
澳大利亚东部 x x
澳大利亚东南部 x
巴西南部 x
加拿大中部 x x
加拿大东部 x
中国东部 x
中国东部 3 x
中国北部 x
中国北部 2 x
中国北部 3 x
北欧 x x
西欧 x x
法国中部 x x
德国中西部 x
印度中部 x
印度南部 x
以色列中部 x
意大利北部 x
日本东部 x
日本西部 x
韩国中部 x
挪威东部 x
波兰中部 x
卡塔尔中部 x
瑞典中部 x
瑞士北部 x
阿联酋北部 x
英国南部 x
英国西部 x
美国中部 x
美国东部 x x
美国东部 2 x x
美国中北部 x
美国中南部 x x
美国中西部 x
美国西部 x
美国西部 2 x
美国西部 3 x

先决条件

  1. 配置用户和权限

  2. 在 Microsoft Purview 中启用高级资源集:

    1. 让用户是根集合中的数据策展人或数据读取者,登录到 Microsoft Purview 门户并打开 “设置” 菜单。

    2. “帐户 ”页下,找到 “高级资源集” ,并将开关设置为“ ”。

      设置中帐户页的屏幕截图,其中“高级资源集”切换开关设置为“打开”。

  3. 创建敏感度标签或将敏感度标签从Microsoft Purview 信息保护扩展到数据映射资产

    注意

    创建标签后,请务必发布标签。

  4. 注册源 - 注册你喜欢的以下任何源:

    1. Azure SQL 数据库
    2. Azure Blob 存储
    3. Azure Data Lake Storage Gen2

    注意

    若要继续,需要是注册 Azure 存储源的集合中的 数据源管理员

  5. 启用数据策略强制实施

    1. 转到新的 Microsoft Purview 门户

    2. 选择左侧菜单中的“ 数据映射 ”选项卡。

    3. 选择左侧菜单中 的“数据源 ”选项卡。

    4. 选择要在其中启用 数据策略强制执行的源。

    5. “数据策略强制” 开关设置为 “开”,如下图所示。

      在数据源详细信息中,将数据策略强制切换开关设置为“开”。

  6. 扫描源 - 注册已注册的任何源。

    1. Azure SQL 数据库
    2. Azure Blob 存储
    3. Azure Data Lake Storage Gen2

    注意

    扫描后至少等待 24 小时。

用户和权限

需要多种类型的用户,需要为这些用户设置相应的角色和权限:

  1. Microsoft Purview 信息保护 管理员 - 管理信息保护解决方案的广泛权限:查看/创建/更新/删除保护策略、敏感度标签和标签/自动标记策略,以及所有分类器类型。 他们还应该对数据资源管理器、活动资源管理器、Microsoft Purview 信息保护见解和报表具有完全访问权限。
    • 用户需要内置角色组“信息保护”中的角色,以及数据映射读取者、见解读取者、扫描读取者、源读取者的新角色。 完全权限为:
      • 信息保护阅读器
      • 数据映射读取器
      • 见解读取者
      • 源读取器
      • 扫描读取器
      • 信息保护管理员
      • 信息保护分析师
      • 信息保护调查员
      • 数据分类列表查看器
      • 数据分类内容查看器
      • Microsoft Purview 评估管理员
    • 选项 1 - 建议:
      1. 在“Microsoft Purview 角色组”面板中,搜索信息保护
      2. 选择信息保护角色组,然后选择“复制”。
      3. 将其命名为“预览 - 信息保护”,然后选择“创建副本”。
      4. 选择“预览 - 信息保护”,然后选择“编辑”。
      5. “角色 ”页上, +选择角色 并搜索“读者”。
      6. 选择这四个角色:数据映射读取者、见解读取者、扫描读取者、源读取者。
      7. 将Microsoft Purview 信息保护管理员测试用户帐户添加到此新的复制组并完成向导。
    • 选项 2 - 使用内置组 (将提供比所需权限更多的)
      1. 将新的Microsoft Purview 信息保护管理员测试用户帐户置于信息保护、Data Estate Insights 读取者、数据源管理员的内置组中。
  2. 数据所有者/管理员 - 此用户将在 Microsoft Purview for Azure 和 Amazon S3 源中启用源以实施数据策略。

创建保护策略

现在,你已检查 先决条件并为保护策略准备了Microsoft Purview 实例和源 ,并在最近一次扫描后至少等待 24 小时,请按照以下步骤创建保护策略:

  1. 根据所使用的门户,导航到以下位置之一:

  2. 选择“ 保护策略”。

    “信息保护”菜单的屏幕截图,其中打开了“策略”下拉列表,并突出显示了“保护策略”。

  3. 选择“ 新建保护策略”。

    “保护策略”页的屏幕截图,其中突出显示了“+ 新建保护策略”按钮。

  4. 提供名称和说明,然后选择“ 下一步”。

  5. 选择“ + 添加敏感度标签 ”以添加敏感度标签 () 以检测策略,然后选择要应用策略的所有标签。

  6. 依次选择“ 添加 ”、“ 下一步”。

  7. 选择要应用策略的源。 可以选择多个,然后选择“ 编辑 ”按钮来管理所选的每个范围。

    新保护策略菜单的屏幕截图,其中显示了已选择的每个源的编辑按钮。

  8. 根据源,选择顶部的“ + 包括 ”按钮,最多添加 10 个范围列表的资源。 该策略将应用于所选的所有资源。

    注意

    目前最多支持 10 个资源,并且必须在 “编辑” 下选择这些资源才能启用它们。

  9. 选择 “添加 ”,然后在源列表完成后选择“ 完成 ”。

  10. 根据源,选择要创建的保护策略类型。

  11. 根据标签选择 不会 被拒绝访问的用户。 除在此处添加的用户和组外,组织中的所有人将被拒绝访问已标记的项目。

  12. 选择 下一步

  13. 选择是否立即打开策略,然后选择 “下一步”。

  14. 选择“提交”。

  15. 选择“完成”。

  16. 现在,应在保护策略列表中看到新策略。 选择它以确认所有详细信息都正确。

管理保护策略

若要编辑或删除现有保护策略,请执行以下步骤:

  1. 打开 Microsoft Purview 门户。

  2. 打开信息保护解决方案。

  3. 选择 “策略 ”下拉列表,然后选择“ 保护策略”。

    “信息保护”菜单的屏幕截图,其中突出显示了“保护策略”。

  4. 选择要管理的策略。

  5. 若要更改任何详细信息,请选择“ 编辑策略 ”按钮。

  6. 若要删除策略,请选择“ 删除策略 ”按钮。

    策略详细信息页的屏幕截图,其中突出显示了编辑和删除按钮。