使用 Microsoft Purview 治理门户实现敏感信息的数据分类

  • 7 分钟

在 Microsoft Purview 中管理数据源

  1. 注册
  2. 扫描和引入
  3. 分类

Microsoft Purview 数据映射中的标签目前为预览版。

Microsoft Azure 预览版补充使用条款

Azure 可能会包含 Microsoft 提供的预览版、beta 版或其他预发行功能、服务、软件或区域,以供可选评估(“预览版”)。 预览版作为使用 Azure 的协议的一部分授权给您,并受适用于“预览版”的条款的约束。

某些指定的预览版(若有)须遵守以下规定的额外条款。 这些预览版是根据这些附加条款提供给的,这些条款是管理 Azure 使用的协议的补充。 此处未定义的大写术语应具有贵方协议中规定的含义。 如果不同意这些条款,请不要使用该预览版。

注册新源

注意

需要数据源管理员和其他 Purview 角色之一(例如,数据读者或数据共享参与者)才能在 Microsoft Purview 治理门户中注册和管理源。

在 Microsoft Purview 中,注册数据源后,可以扫描该源以捕获技术元数据、提取架构并对数据应用分类。

先决条件

此处提供了当前可在 Microsoft Purview 中注册和扫描的所有源的列表。

在扫描数据源之前,必须先完成以下步骤:

  1. 注册数据源 - 这实际上是为 Microsoft Purview 提供数据源的地址,并将其映射到 Microsoft Purview 数据映射中的集合。
  2. 请仔细考虑你的网络,并为你的方案选择正确的集成运行时配置。
  3. 考虑使用哪些凭据连接到源。 所有源页都包含一个“扫描”部分,其中提供了有关可用身份验证类型的详细信息。

Microsoft Purview 中的扫描和引入

Microsoft Purview 中的扫描和引入功能将 Microsoft Purview 帐户连接到源,以填充数据映射和数据目录,以便你可以通过 Microsoft Purview 开始浏览和管理数据。

  • 扫描可从数据源捕获元数据并将其引入 Microsoft Purview。
  • 引入将处理以下两个位置的元数据并将其存储在数据目录中:
    • 数据源扫描 - 扫描的元数据将添加到 Microsoft Purview 数据映射。
    • 世系连接 - 转换资源将有关其源、输出和活动的元数据添加到 Microsoft Purview 数据映射。

扫描

在 Microsoft Purview 帐户中注册数据源后,下一步是扫描数据源。 在扫描过程中会与数据源建立连接,并捕获技术元数据,例如名称、文件大小、列,等等。 它还会提取结构化数据源的架构,对架构应用分类,并在你的 Microsoft Purview 数据映射连接到 Microsoft Purview 符合性门户的情况下应用敏感度标签。 扫描过程可以在触发后立即运行,也可以按计划定期运行,使你的 Microsoft Purview 帐户保持最新。

对于每个扫描,都可以应用自定义设置,以便仅扫描所需的信息,而不是扫描整个源。

创建扫描规则集

在 Microsoft Purview 目录中,可以创建扫描规则集,以便能够快速扫描组织中的数据源。

扫描规则集是一个容器,用于将一组扫描规则组合在一起,以便轻松地将这些扫描规则与扫描相关联。 例如,可以为每种数据源类型创建一个默认扫描规则集,然后对公司内的所有扫描中默认使用这些扫描规则集。 你可能还希望具有适当权限的用户也能根据业务需求创建具有不同配置的其他扫描规则集。

系统扫描规则集

系统扫描规则集是由 Microsoft 定义的扫描规则集,将为每个 Microsoft Purview 目录自动创建。 每个系统扫描规则集均与特定的数据源类型相关联。 创建扫描时,可以将其与系统扫描规则集相关联。 每次 Microsoft 对这些系统规则集进行更新时,用户可以在目录中更新它们,并将更新应用于所有关联的扫描。

分类 - Microsoft Purview 治理门户中的数据分类

Microsoft Purview 治理门户中的数据分类是一种通过将唯一的逻辑标记或类分配给数据资产来对数据资产进行分类的方法。 分类基于数据的业务上下文。 例如,可以按护照号码、驾照编号、信用卡号码、SWIFT 代码、个人姓名等对资产进行分类。

将数据资产分类会使它们更易于理解、搜索和治理。 将数据资产分类还有助于了解其相关的风险。 而这又有助于实施措施来保护敏感或重要的数据,避免其在整个数据产业中不受监管地扩散和未经授权对其进行访问。

扫描数据源时,Microsoft Purview 数据映射会提供自动分类功能。 你将获得 200 多种内置系统分类,并可为数据创建自定义分类。 可以在资产作为已配置扫描的一部分被引入时自动对其进行分类,也可以在扫描和引入资产后在 Microsoft Purview 治理门户中手动对其进行编辑。

分类的用途

分类是将数据组织成逻辑类别,使数据易于检索、排序和识别以备将来使用的过程。 这对于数据治理而言尤为重要。 对数据资产进行分类非常重要的其他原因包括,这有助于:

  • 缩小你感兴趣的数据资产的搜索范围。
  • 整理和了解在组织中非常重要的各种数据类及其存储位置。
  • 了解与最重要数据资产相关的风险,然后采取适当的措施来缓解这些风险。

分类类型

Microsoft Purview 治理门户支持系统分类和自定义分类。

  • 系统分类:支持 200 多种现成的系统分类。

    在上图中的示例中,“人员姓名”是一个系统分类。 系统分类有闪电图标和分类名称。 将鼠标悬停在分类本身上可提供有关分类类型的更多详细信息,以及有关如何应用分类的更多详细信息

  • 自定义分类:当你想要基于某个不可用作系统分类的模式或特定列名对资产进行分类时,可以创建自定义分类。 自定义分类规则可以基于正则表达式模式或字典。

    假设“员工 ID”列遵循 EMPLOYEE{GUID} 模式(例如 EMPLOYEE9c55c474-9996-420c-a285-0d0fc23f1f55)。 可以使用正则表达式创建你自己的自定义分类,例如 \^Employee\[A-Za-z0-9\]{8}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{12}\$。

注意

敏感度标签不同于分类。 敏感度标签在数据安全和隐私的上下文中将资产分类(例如“高度机密”、“受限”、“公开”等)。 若要在 Microsoft Purview 数据映射中使用敏感度标签,在 Microsoft Purview 数据映射所在的同一个 Microsoft Entra 租户中至少需要有一个 Microsoft 365 许可证或帐户。

Microsoft Purview 数据映射中的标记

重要

Microsoft Purview 数据映射中的标记功能目前以预览版提供。 Microsoft Azure 预览版的补充使用条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

为了完成工作,组织中的人员会与组织内外的其他人员进行协作。 数据并非始终保存在云中,而是经常在设备、应用和服务之间到处漫游。 当你的数据处于漫游状态时,你仍希望按照组织的业务与合规策略为其提供安全保护。

将敏感度标签应用于你的内容,可以通过指明组织中特定数据的敏感程度来确保数据安全。 这样还会抽象化数据本身,使你可以使用标签来跟踪数据的类型,而无需在另一个平台上透露敏感数据。

例如,将敏感度标签“高度机密”应用于包含社会安全号码和信用卡号的文档有助于识别文档的敏感度,而不需要知道文档中的实际数据。

在 Microsoft Purview 中进行标记的优点

Microsoft Purview 允许你将敏感度标签应用于资产,使你能够对数据进行分类和保护。

  • 标签与数据一起传播:在 Microsoft Purview 信息保护中创建的敏感度标签也可以扩展到 Microsoft Purview 数据映射、SharePoint、Teams、Power BI 和 SQL。 当你在 Office 文档中应用某个标签,然后将其扫描到 Microsoft Purview 数据映射中时,该标签将应用于数据资产。 虽然标签应用于 Microsoft Purview 信息保护中的实际文件,但它仅作为元数据添加到 Microsoft Purview 映射中。 虽然在不同的服务/应用程序中,标签应用于资产的方式各不相同,但标签会随数据一起传输,并且你将其扩展到的所有服务均会识别它。
  • Microsoft Purview 通过预先准备的报告提供数据见解。 当你将数据扫描到 Microsoft Purview 数据映射中时,我们将使用有关你拥有的资产、扫描历史记录、在数据中找到的分类、应用的标签、词汇表术语等信息来生成报告。
  • 自动标记:可以基于数据敏感度自动应用标签。 扫描资产中的敏感数据时,将使用自动标记规则来确定要应用哪个敏感度标签。 可为每个敏感度标签创建自动标记规则,定义构成标签的分类/敏感信息类型。
  • 将标签应用于文件和数据库列:标签可以应用于存储(如 Azure Data Lake 或 Azure 文件存储)中的文件以及架构化数据(例如 Azure SQL 数据库中的列)。

敏感度标签是可以应用于资产的标记,用于对数据进行分类和保护。

如何将标签应用于 Microsoft Purview 数据映射中的资产

若要将标签应用于数据映射中的资产,需要执行以下步骤:

  1. 在 Microsoft Purview 合规性门户中创建新的或应用现有的敏感度标签。 创建敏感度标签的过程包括创建自动标记规则,以便告知我们应该根据在数据中找到的分类应用哪个标签。
  2. 在 Microsoft Purview 数据映射中注册并扫描资产。
  3. Microsoft Purview 应用分类:当你针对某个资产计划扫描时,Microsoft Purview 会扫描该资产中的数据类型,并在数据映射中对这些数据应用分类。 应用分类的过程将由 Microsoft Purview 自动完成,你无需执行任何操作。
  4. Microsoft Purview 应用标签:在资产上找到分类后,Microsoft Purview 将根据自动标记规则向资产应用标签。 应用标签的过程将由 Microsoft Purview 自动完成,只要你在步骤 1 中创建了具有自动标记规则的标签,就不需要执行任何操作。

注意

自动标记规则是你指定的条件,说明应该何时应用特定标签。 如果满足这些条件,则将标签自动分配到数据。 创建标签时,请确保针对文件和数据库列定义自动标记规则,以在每次扫描时自动应用标签。

SQL 数据库标记

除了 Microsoft Purview 数据映射对架构化数据资产的标记之外,Microsoft 还支持使用 SQL Server Management Studio (SSMS) 中的 SQL 数据分类来标记 SQL 数据库列。 Microsoft Purview 使用全局敏感度标签,而 SSMS 仅使用本地定义的标签。

Microsoft Purview 中的标记和 SSMS 中的标记是独立的进程,当前不会彼此交互。 因此,SSMS 中应用的标签不会显示在 Microsoft Purview 中,反之亦然。 我们建议使用 Microsoft Purview 来标记 SQL 数据库,因为标签可以跨多个平台全局应用。