对 Microsoft Purview 源启用数据策略强制实施

数据策略强制 实施是 Microsoft Purview 中数据源注册中的一个选项。 此选项允许Microsoft Purview 管理资源的数据访问。 高级概念是,数据所有者通过启用数据 策略强制允许其数据资源可用于访问策略。

目前,数据所有者可以对数据资源启用数据策略强制实施,从而针对以下类型的访问策略启用该策略:

为了能够在资源上创建任何数据策略,必须先在该资源上启用数据策略强制实施。 本文介绍如何在 Microsoft Purview 中的资源上启用数据策略强制实施。

重要

由于数据策略强制实施直接影响对数据的访问,因此会直接影响数据安全性。 在环境中启用数据策略强制实施之前,请查看以下 其他注意事项最佳做法

先决条件

在 Microsoft Purview 中注册数据源

在 Microsoft Purview 中为数据资源创建策略之前,必须在 Purview Studio Microsoft 注册该数据资源。 本指南稍后会介绍与注册数据资源相关的说明。

注意

Microsoft Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要取消注册,然后在 Microsoft Purview 中再次注册。

配置权限以在数据源上启用数据策略强制实施

注册资源后,但在 Microsoft Purview 中为该资源创建策略之前,必须配置权限。 需要一组权限才能启用 数据策略强制实施。 这适用于数据源、资源组或订阅。 若要启用 数据策略强制实施,必须 资源具有特定的标识和访问管理 (IAM) 特权,以及特定的Microsoft Purview 权限:

  • 必须在资源的 Azure 资源管理器 路径上使用以下 IAM 角色组合之一,或者 (的任何父角色组合之一,即使用 IAM 权限继承) :

    • IAM 所有者
    • IAM 参与者和 IAM 用户访问管理员

    若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照 本指南操作。 以下屏幕截图显示了如何访问数据资源Azure 门户中的“访问控制”部分以添加角色分配。

    显示Azure 门户中用于添加角色分配的部分的屏幕截图。

    注意

    数据资源的 IAM 所有者 角色可以从父资源组、订阅或订阅管理组继承。 检查哪些Microsoft Entra用户、组和服务主体持有或正在继承资源的 IAM 所有者角色。

  • 如果启用了) 继承,则还需要具有集合或父集合的 Microsoft Purview 数据源管理员 角色 (。 有关详细信息,请参阅 管理 Microsoft Purview 角色分配的指南

    以下屏幕截图显示了如何在根集合级别分配 数据源管理员 角色。

    显示用于在根集合级别分配数据源管理员角色的选项的屏幕截图。

配置 Microsoft Purview 权限以创建、更新或删除访问策略

若要创建、更新或删除策略,需要在根集合级别获取 Microsoft Purview 中的策略作者角色:

  • 策略作者角色可以创建、更新和删除 DevOps 和数据所有者策略。
  • 策略作者角色可以删除自助服务访问策略。

有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合

注意

必须在根集合级别配置策略作者角色。

此外,若要在创建或更新策略的主题时轻松搜索Microsoft Entra用户或组,可以在Microsoft Entra ID中获取目录读取者权限,从而大大受益。 这是 Azure 租户中的用户的常见权限。 如果没有目录读取者权限,策略作者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件。

为发布数据所有者策略配置 Microsoft Purview 权限

如果将 Microsoft Purview 策略作者数据源管理员 角色分配给组织中的不同人员,则数据所有者策略允许进行检查和平衡。 在数据所有者策略生效之前, (数据源管理员) 的第二个人必须对其进行查看并通过发布来显式批准该策略。 这不适用于 DevOps 或自助访问策略,因为创建或更新这些策略时,这些策略会自动发布。

若要发布数据所有者策略,需要在根集合级别获取 Microsoft Purview 中的数据源管理员角色。

有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合

注意

若要发布数据所有者策略,必须在根集合级别配置数据源管理员角色。

将访问预配责任委托给 Microsoft Purview 中的角色

为资源启用 数据策略强制实施后,在根集合级别具有 策略作者 角色的任何Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。

注意

任何Microsoft Purview 根 集合管理员可以 将新用户分配到根 策略作者 角色。 任何 集合管理员可以 将新用户分配到集合下的 数据源管理员 角色。 最小化并仔细审查拥有 Microsoft Purview 集合管理员数据源管理员策略作者 角色的用户。

如果删除具有已发布策略的 Microsoft Purview 帐户,这些策略将在依赖于特定数据源的一段时间内停止强制实施。 此更改可能会影响安全性和数据访问可用性。 IAM 中的“参与者”和“所有者”角色可以删除Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的“访问控制 (IAM) ”部分并选择“角色分配”来检查这些权限。 还可以使用锁来防止通过资源管理器锁删除 Microsoft Purview 帐户。

启用数据策略强制实施

若要为资源启用 数据策略强制实施 ,首先需要在 Purview Microsoft 中注册资源。 若要注册资源,请遵循资源源页先决条件注册部分。

注册资源后,请按照其余步骤启用单个资源以 实施数据策略

从经典 Microsoft Purview 治理门户

  1. 转到 经典 Microsoft Purview 治理门户

  2. 选择左侧菜单中的“ 数据映射 ”选项卡。

  3. 在左侧菜单中选择“ ”选项卡。

  4. 选择要在其中启用 数据策略强制执行的源。

  5. 在源页面顶部,选择 “编辑源”。

  6. “数据策略强制 ”切换开关设置为 “已启用”,如下图所示。

将数据策略强制切换开关设置为菜单底部的“已启用”。

从新的 Microsoft Purview 门户

  1. 转到新的 Microsoft Purview 门户

  2. 选择左侧菜单中的“ 数据映射 ”选项卡。

  3. 选择左侧菜单中 的“数据源 ”选项卡。

  4. 选择要在其中启用 数据策略强制执行的源。

  5. “数据策略强制” 开关设置为 “开”,如下图所示。

在数据源详细信息中,将数据策略强制切换开关设置为“开”。

禁用数据策略强制实施

若要对源、资源组或订阅禁用数据策略强制实施,用户需要是资源 IAM 所有者 或 Microsoft Purview 数据源管理员。拥有这些权限后,请执行以下步骤:

从经典 Microsoft Purview 治理门户

  1. 转到 Microsoft Purview 治理门户

  2. 选择左侧菜单中的“ 数据映射 ”选项卡。

  3. 在左侧菜单中选择“ ”选项卡。

  4. 选择要为其禁用数据策略强制执行的源。

  5. 在源页面顶部,选择 “编辑源”。

  6. “数据策略强制 ”切换设置为 “已禁用”。

从新的 Microsoft Purview 门户

  1. 转到新的 Microsoft Purview 门户

  2. 选择左侧菜单中的“ 数据映射 ”选项卡。

  3. 在左侧菜单中选择“ ”选项卡。

  4. 选择要为其禁用数据策略强制执行的源。

  5. “数据策略强制 ”切换开关设置为 “关”。

  • 请确保记下在 Microsoft Purview 中注册时使用 的名称 。 发布策略时需要它。 建议的做法是使注册的名称与终结点名称完全相同。
  • 若要禁用数据源以 强制实施数据策略,首先必须删除该数据源上的任何已发布策略。
  • 虽然用户需要同时具有数据源 所有者 和Microsoft Purview 数据源管理员 才能为 数据策略强制启用源,但集合 的任何 数据源管理员都可以禁用它。
  • 为订阅禁用 数据策略强制 实施也将禁用该订阅中注册的所有资产。

警告

与源注册相关的已知问题

  • 不支持将数据源移动到其他资源组或订阅。 如果想要执行此操作,请在移动数据源之前取消注册 Microsoft Purview 中的数据源,然后在发生该操作后再次注册它。 请注意,策略绑定到数据源 ARM 路径。 更改数据源订阅或资源组会使策略无效。
  • 数据策略强制 禁用订阅后,将禁用为 数据策略强制实施 启用的任何基础资产,这是正确的行为。 但是,之后仍允许基于这些资产的策略语句。

数据策略强制实施最佳做法

  • 我们强烈建议在单个 Microsoft Purview 帐户中注册数据源以 实施数据策略 和管理所有相关访问策略。
  • 如果有多个Microsoft Purview 帐户,请注意,必须注册属于订阅 的所有 数据源,以便在单个 Microsoft Purview 帐户中 执行数据策略 。 该Microsoft Purview 帐户可以位于租户中的任何订阅中。 当配置无效时 ,数据策略强制 切换开关将灰显。 下图中提供了一些有效和无效配置的示例:
    • 案例 1 显示了一个有效的配置,其中存储帐户在同一订阅的 Microsoft Purview 帐户中注册。
    • 案例 2 显示了一个有效的配置,其中存储帐户在不同订阅的 Microsoft Purview 帐户中注册。
    • 案例 3 显示由于存储帐户 S3SA1 和 S3SA2 都属于订阅 3,但注册到不同的 Microsoft Purview 帐户,因此出现无效配置。 在这种情况下, 数据策略强制 切换将仅在首先在该订阅中获胜并注册数据源的 Microsoft Purview 帐户中启用。 然后,对于其他数据源,切换开关将灰显。
  • 如果 数据策略强制 切换为灰显且无法启用,请将鼠标悬停在它上方,以了解已首先注册数据资源的 Microsoft Purview 帐户的名称。

关系图显示了使用多个 Microsoft Purview 帐户管理策略时的有效配置和无效配置。

后续步骤