撰寫和發佈 Azure 來源的保護原則 (預覽)

保護訪問控制原則 (保護原則) 可讓組織自動保護跨數據源的敏感數據。 Microsoft Purview 已經掃描數據資產並識別敏感數據元素，而這項新功能可讓您使用 Microsoft Purview 資訊保護 的敏感度標籤自動限制該數據的存取。

保護原則可確保企業系統管理員必須授權敏感度類型的數據存取權。 啟用這些原則之後，只要使用 Microsoft Purview 資訊保護 偵測到敏感性資訊，就會自動強制執行訪問控制。

支援的動作

• 限制標籤數據資產的存取權，讓您選取的使用者和群組只能存取它們。
• 在 Microsoft Purview 資訊保護解決方案中的敏感度標籤上設定的動作。

支援的來源

• Azure SQL Database
• Azure Blob 儲存體
• Azure Data Lake Storage Gen2

必要條件

• Microsoft 365 E5 授權。 如需所需特定授權的相關信息，請參閱 有關敏感度標籤的這項資訊。 Microsoft 365 E5 從您的環境瀏覽這裡，即可為您的租使用者取得試用版授權。

• 現有的 Microsoft Purview 帳戶會使用企業版的 Microsoft Purview 升級為 Microsoft Purview 單一租使用者模型和新的入口網站體驗。

1. 設定使用者和許可權。

2. 建立或擴充敏感度標籤，從 Microsoft Purview 資訊保護 到數據對應資產。

3. 註冊來源 - 註冊您喜歡的任何來源：

   1. Azure SQL Database
   2. Azure Blob 儲存體
   3. Azure Data Lake Storage Gen2

   注意事項

   若要繼續，您必須是 Azure 記憶體來源註冊所在集合中 的數據源管理員 。

4. 啟用數據原則強制執行

   1. 移至新的 Microsoft 入口網站。
   2. 選取左側選單中的 [數據對應 ] 索引標籤。
   3. 選取左側選單中的 [ 數據源 ] 索引標籤。
   4. 選取您要啟用 數據原則強制執行的來源。
   5. 將 [數據原則強制執行 ] 切換設定為 [ 開啟]。

5. 掃描來源 - 註冊您已註冊的任何來源。

   1. Azure SQL Database
   2. Azure Blob 儲存體
   3. Azure Data Lake Storage Gen2

   注意事項

   掃描後至少等候 24 小時。

使用者與權限

您需要數種類型的使用者，而且您必須為這些使用者設定對應的角色和權限：

1. Microsoft Purview 資訊保護 管理員 - 管理 資訊保護 解決方案的廣泛許可權：檢閱/建立/更新/刪除保護原則、敏感度標籤和標籤/自動套用卷標原則，以及所有分類器類型。 他們也應該擁有數據總管、活動總管、Microsoft Purview 資訊保護 深入解析和報表的完整存取權。
   • 使用者需要來自內建角色群組 「資訊保護」 內的角色，以及數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器的新角色。 完整權限為：
     • 資訊保護 讀取器
     • 數據對應讀取器
     • 深入解析讀者
     • 來源讀取器
     • 掃描讀取器
     • 資訊保護 系統管理員
     • 資訊保護 分析師
     • 信息保護保護保護
     • 數據分類清單查看器
     • 數據分類內容查看器
     • Microsoft Purview 評估系統管理員
   • 選項 1 - 建議：
     1. 在 [Microsoft Purview 角色群組] 面板中，搜尋 資訊保護。
     2. 選取 資訊保護 角色群組，然後選取 [複製]。
     3. 將其命名為：「預覽 - 資訊保護」，然後選取 [建立複本]。
     4. 選取 [預覽 - 資訊保護]，然後選取 [編輯]。
     5. 在 [ 角色] 頁面上， [ + 選擇角色 ] 並搜尋 「讀取器」。
     6. 選取這四個角色：數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器。
     7. 將 Microsoft Purview 資訊保護 系統管理員測試用戶帳戶新增至這個新的複製群組，並完成精靈。
   • 選項 2- 使用內建群組 (提供比所需更多的許可權)
     1. 在 資訊保護、數據資產深入解析讀取者、數據源管理員的內建群組內，放置新的 Microsoft Purview 資訊保護 系統管理員測試用戶帳戶。
2. 數據擁有者/管理員 - 此使用者會在 Azure 和 Amazon S3 來源的 Microsoft Purview 中啟用您的數據原則強制執行來源。

建立保護原則

現在，您已檢查 必要條件，並備妥Microsoft Purview 實例和來源以取得保護原則 ，並在您最近的掃描之後等候至少 24 小時，請遵循下列步驟來建立您的保護原則：

1. 登入 Microsoft Purview 入口網站，然後選取 資訊保護 卡片。 如果未顯示 資訊保護 解決方案卡片，請選取 [檢視所有解決方案]，然後從 [數據安全性] 區段選取 [資訊保護]。

2. 在左側導覽中，選取 [ 原則]，然後選取 [ 保護原則]。

3. 選 取 [新增保護原則]。

4. 提供名稱和描述，然後選取 [ 下一步]。

5. 選 取 [+ 新增敏感度標籤 ] 以新增敏感度標籤 (要偵測原則的) ，然後選取您想要套用原則的所有標籤。

6. 選 取 [新增 ]，然後選取 [ 下一步]。

7. 選取您要套用原則的來源。 您可以選取多個來源。 選 取 [編輯 ] 以管理您所選取的每個範圍。

8. 根據您的來源，選取頂端的 [ + 包含 ] 按鈕，最多可新增10個範圍清單的資源。 原則將會套用至您選取的所有資源。

   注意事項

   目前最多支援 10 個資源，而且必須在 [ 編輯 ] 下選取這些資源才能啟用。

9. 選取 [新增 ]，然後在來源清單完成時選取 [ 完成 ]。

10. 根據您的來源，選取您想要建立的保護原則類型。

11. 根據標籤選取 不會 拒絕存取的使用者。 除了您在此處新增的使用者和群組以外，組織中的每個人都會被拒絕存取標記的專案。

    重要事項

    請確定安全組中包含執行範圍來源之數據控管掃描的任何服務主體帳戶。 將此安全組新增至您保護原則的允許清單。 這可防止受標籤檔案的存取限制封鎖未來的掃描。

12. 選取 [下一步]。

13. 選擇是否立即開啟原則，然後選取 [ 下一步]。

14. 選取 [提交]。

15. 選取 [完成]。

您現在應該會在保護原則清單中看到新的原則。 選取它以確認所有詳細數據都正確無誤。

管理保護原則

若要編輯或刪除現有的保護原則，請遵循下列步驟：

1. 開 啟 Microsoft Purview 入口網站。
2. 開啟 資訊保護解決方案。
3. 選 取 [原則]，然後選取 [ 保護原則]。
4. 選取您想要管理的原則。
5. 若要變更任何詳細數據，請選取 [ 編輯原則 ] 按鈕。
6. 若要刪除原則，請選取 [ 刪除原則]。