创作和发布 Azure 源的保护策略 (预览)
保护访问控制策略 (保护策略) 使组织能够跨数据源自动保护敏感数据。 Microsoft Purview 已扫描数据资产并标识敏感数据元素,并且此新功能允许使用Microsoft Purview 信息保护的敏感度标签自动限制对该数据的访问。
保护策略确保企业管理员必须授权敏感度类型的数据访问权限。 启用这些策略后,每当使用 Microsoft Purview 信息保护 检测到敏感信息时,都会自动实施访问控制。
支持的操作
- 限制对已标记数据资产的访问,以便只有你选择的用户和组才能访问它们。
- 对Microsoft Purview 信息保护解决方案中的敏感度标签配置的操作。
支持的源
- Azure SQL 数据库
- Azure Blob 存储*
- Azure Data Lake Storage Gen2*
注意
*Azure 存储源目前处于封闭预览状态。 若要注册, 请按照此链接操作。
支持的区域
地区 | Azure SQL | Azure 存储 |
---|---|---|
南非北部 | x | |
东亚 | x | |
东南亚 | x | |
澳大利亚中部 | x | |
澳大利亚东部 | x | x |
澳大利亚东南部 | x | |
巴西南部 | x | |
加拿大中部 | x | x |
加拿大东部 | x | |
中国东部 | x | |
中国东部 3 | x | |
中国北部 | x | |
中国北部 2 | x | |
中国北部 3 | x | |
北欧 | x | x |
西欧 | x | x |
法国中部 | x | x |
德国中西部 | x | |
印度中部 | x | |
印度南部 | x | |
以色列中部 | x | |
意大利北部 | x | |
日本东部 | x | |
日本西部 | x | |
韩国中部 | x | |
挪威东部 | x | |
波兰中部 | x | |
卡塔尔中部 | x | |
瑞典中部 | x | |
瑞士北部 | x | |
阿联酋北部 | x | |
英国南部 | x | |
英国西部 | x | |
美国中部 | x | |
美国东部 | x | x |
美国东部 2 | x | x |
美国中北部 | x | |
美国中南部 | x | x |
美国中西部 | x | |
美国西部 | x | |
美国西部 2 | x | |
美国西部 3 | x |
先决条件
- Microsoft 365 E5许可证。 有关所需特定许可证的信息,请参阅 有关敏感度标签的信息。 Microsoft 365 E5,可以通过从环境导航到此处来获取租户的试用版许可证。
- 现有 Microsoft Purview 帐户 已升级到 Microsoft Purview 单租户模型,并使用Microsoft Purview 企业版的新门户体验。
在 Microsoft Purview 中启用高级资源集:
让用户是根集合中的数据策展人或数据读取者,登录到 Microsoft Purview 门户并打开 “设置” 菜单。
在 “帐户 ”页下,找到 “高级资源集” ,并将开关设置为“ 开”。
创建敏感度标签或将敏感度标签从Microsoft Purview 信息保护扩展到数据映射资产。
注意
创建标签后,请务必发布标签。
注册源 - 注册你喜欢的以下任何源:
注意
若要继续,需要是注册 Azure 存储源的集合中的 数据源管理员 。
启用数据策略强制实施
转到新的 Microsoft Purview 门户。
选择左侧菜单中的“ 数据映射 ”选项卡。
选择左侧菜单中 的“数据源 ”选项卡。
选择要在其中启用 数据策略强制执行的源。
将 “数据策略强制” 开关设置为 “开”,如下图所示。
扫描源 - 注册已注册的任何源。
注意
扫描后至少等待 24 小时。
用户和权限
需要多种类型的用户,需要为这些用户设置相应的角色和权限:
- Microsoft Purview 信息保护 管理员 - 管理信息保护解决方案的广泛权限:查看/创建/更新/删除保护策略、敏感度标签和标签/自动标记策略,以及所有分类器类型。 他们还应该对数据资源管理器、活动资源管理器、Microsoft Purview 信息保护见解和报表具有完全访问权限。
- 用户需要内置角色组“信息保护”中的角色,以及数据映射读取者、见解读取者、扫描读取者、源读取者的新角色。 完全权限为:
- 信息保护阅读器
- 数据映射读取器
- 见解读取者
- 源读取器
- 扫描读取器
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 数据分类列表查看器
- 数据分类内容查看器
- Microsoft Purview 评估管理员
-
选项 1 - 建议:
- 在“Microsoft Purview 角色组”面板中,搜索信息保护。
- 选择信息保护角色组,然后选择“复制”。
- 将其命名为“预览 - 信息保护”,然后选择“创建副本”。
- 选择“预览 - 信息保护”,然后选择“编辑”。
- 在 “角色 ”页上, +选择角色 并搜索“读者”。
- 选择这四个角色:数据映射读取者、见解读取者、扫描读取者、源读取者。
- 将Microsoft Purview 信息保护管理员测试用户帐户添加到此新的复制组并完成向导。
-
选项 2 - 使用内置组 (将提供比所需权限更多的)
- 将新的Microsoft Purview 信息保护管理员测试用户帐户置于信息保护、Data Estate Insights 读取者、数据源管理员的内置组中。
- 用户需要内置角色组“信息保护”中的角色,以及数据映射读取者、见解读取者、扫描读取者、源读取者的新角色。 完全权限为:
- 数据所有者/管理员 - 此用户将在 Microsoft Purview for Azure 和 Amazon S3 源中启用源以实施数据策略。
创建保护策略
现在,你已检查 先决条件并为保护策略准备了Microsoft Purview 实例和源 ,并在最近一次扫描后至少等待 24 小时,请按照以下步骤创建保护策略:
根据所使用的门户,导航到以下位置之一:
登录到 Microsoft Purview 门户>信息保护卡>策略
如果未显示信息保护解决方案卡,请选择“查看所有解决方案”,然后从“数据安全性”部分选择“信息保护”。
登录到 Microsoft Purview 合规门户>Solutions>信息保护>策略
选择“ 保护策略”。
选择“ 新建保护策略”。
提供名称和说明,然后选择“ 下一步”。
选择“ + 添加敏感度标签 ”以添加敏感度标签 () 以检测策略,然后选择要应用策略的所有标签。
依次选择“ 添加 ”、“ 下一步”。
选择要应用策略的源。 可以选择多个,然后选择“ 编辑 ”按钮来管理所选的每个范围。
根据源,选择顶部的“ + 包括 ”按钮,最多添加 10 个范围列表的资源。 该策略将应用于所选的所有资源。
注意
目前最多支持 10 个资源,并且必须在 “编辑” 下选择这些资源才能启用它们。
选择 “添加 ”,然后在源列表完成后选择“ 完成 ”。
根据源,选择要创建的保护策略类型。
根据标签选择 不会 被拒绝访问的用户。 除在此处添加的用户和组外,组织中的所有人将被拒绝访问已标记的项目。
选择 下一步。
选择是否立即打开策略,然后选择 “下一步”。
选择“提交”。
选择“完成”。
现在,应在保护策略列表中看到新策略。 选择它以确认所有详细信息都正确。
管理保护策略
若要编辑或删除现有保护策略,请执行以下步骤:
打开信息保护解决方案。
选择 “策略 ”下拉列表,然后选择“ 保护策略”。
选择要管理的策略。
若要更改任何详细信息,请选择“ 编辑策略 ”按钮。
若要删除策略,请选择“ 删除策略 ”按钮。