共用方式為

在您的 Microsoft Purview 來源上啟用數據原則強制執行

  • 發行項

數據原則強制執行 是 Microsoft Purview 中數據源註冊內的選項。 此選項可讓Microsoft管理資源的數據存取。 高階概念是,數據擁有者可藉由啟用 數據原則強制執行,使其數據資源可供存取原則使用。

目前,數據擁有者可以在數據資源上啟用數據原則強制執行,這可針對這些類型的存取原則加以啟用:

若要能夠在資源上建立任何數據原則,必須先在該資源上啟用數據原則強制執行。 本文將說明如何在 Microsoft Purview 中啟用資源的數據原則強制執行。

重要事項

由於強制執行數據原則會直接影響數據的存取,因此會直接影響您的數據安全性。 在您的環境中啟用數據原則強制執行之前,請先檢閱下列 其他考慮最佳做法

必要條件

在 Purview Microsoft註冊數據源

您必須先在 Purview Studio 中註冊該數據 Microsoft資源,才能在 Microsoft Purview 中為數據資源建立原則。 您稍後會在本指南中找到與註冊數據資源相關的指示。

注意事項

Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果數據資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後在 Microsoft Purview 中重新註冊。

設定許可權以在數據源上啟用數據原則強制執行

註冊資源之後,但在該資源的 Purview Microsoft 建立原則之前,您必須設定許可權。 需要一組許可權,才能強制 執行數據原則。 這適用於數據源、資源群組或訂用帳戶。 若要啟用 數據原則強制執行,您必須 具有 資源的特定身分識別和存取管理 (IAM) 許可權,以及特定Microsoft許可權:

  • 您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :

    • IAM 擁有者
    • IAM 參與者和 IAM 使用者存取系統管理員

    若要 (RBAC) 許可權設定 Azure 角色型訪問控制,請遵循 本指南。 下列螢幕快照顯示如何存取數據資源 Azure 入口網站 中的 [存取控制] 區段,以新增角色指派。

    顯示新增角色指派 Azure 入口網站 區段的螢幕快照。

    注意事項

    數據資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體保留或繼承資源的 IAM 擁有者角色。

  • 如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 數據源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 purview 角色指派Microsoft指南

    下列螢幕快照顯示如何在根集合層級指派 數據源系統管理員 角色。

    顯示在根集合層級指派數據源系統管理員角色之選取項目的螢幕快照。

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則,您必須在根集合層級的 Microsoft Purview 中取得原則作者角色:

  • 原則 作者 角色可以建立、更新和刪除DevOps和數據擁有者原則。
  • 原則 作者 角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在 Microsoft Purview 資料對應 中建立和管理集合

注意事項

原則作者角色必須在根集合層級設定。

此外,若要在建立或更新原則的主旨時輕鬆搜尋 Microsoft Entra 使用者或群組,您可以從取得 Microsoft Entra ID 中的目錄讀者許可權獲益。 這是 Azure 租用戶中用戶的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入數據原則主體中所包含之所有主體的完整用戶名稱或電子郵件。

設定 Microsoft Purview 許可權以發佈數據擁有者原則

如果您將 Microsoft Purview 原則 作者數據源系統管理員 角色指派給組織中的不同人員,數據擁有者原則允許檢查和平衡。 數據擁有者原則生效之前, (數據源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。

若要發佈數據擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的數據源管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在 Microsoft Purview 資料對應 中建立和管理集合

注意事項

若要發佈數據擁有者原則,必須在根集合層級設定數據源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資源以 強制執行數據原則之後,在根集合層級具有原則 作者 角色的任何 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該數據源的存取權。

注意事項

任何Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的數據 源系統管理員 角色。 將擔任 Purview 集合系統管理員數據源管理員或原則 作者 角色Microsoft使用者最小化並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則將會在相依於特定數據源的一段時間內停止強制執行。 這項變更可能會影響安全性和數據存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除Microsoft Purview 帳戶。

啟用數據原則強制執行

若要啟用資源 的數據原則強制執行 ,必須先在 Purview Microsoft註冊資源。 若要註冊資源,請遵循資源來源頁面的必要條件和註冊區段。

註冊資源之後,請遵循其餘步驟來啟用個別資源以 強制執行數據原則

從傳統Microsoft Purview 治理入口網站

  1. 移至 傳統Microsoft Purview 治理入口網站

  2. 選取左側選單中的 [ 數據對應 ] 索引標籤。

  3. 選取左側選單中的 [ 來源 ] 索引標籤。

  4. 選取您要啟用 數據原則強制執行的來源。

  5. 在來源頁面頂端,選取 [ 編輯來源]

  6. [數據原則強制執行 ] 切換設定為 [ 已啟用],如下圖所示。

將數據原則強制執行切換設定為功能表底部的 [已啟用]。

從新的 Microsoft 入口網站

  1. 移至新的 Microsoft 入口網站

  2. 選取左側選單中的 [數據對應 ] 索引標籤。

  3. 選取左側選單中的 [ 數據源 ] 索引標籤。

  4. 選取您要啟用 數據原則強制執行的來源。

  5. [數據原則強制執行 ] 切換為 [ 開啟],如下圖所示。

在數據源詳細數據內,將數據原則強制執行切換設定為 [開啟]。

停用數據原則強制執行

若要停用來源、資源群組或訂用帳戶的數據原則強制執行,用戶必須是資源 IAM 擁有者 或Microsoft Purview 數據源管理員。一旦您擁有這些許可權,請遵循下列步驟:

從傳統Microsoft Purview 治理入口網站

  1. 移至 Microsoft Purview 治理入口網站

  2. 選取左側選單中的 [ 數據對應 ] 索引標籤。

  3. 選取左側選單中的 [ 來源 ] 索引標籤。

  4. 選取您要停用數據原則強制執行的來源。

  5. 在來源頁面頂端,選取 [ 編輯來源]

  6. [數據原則強制執行 ] 切換設定為 [ 已停用]

從新的 Microsoft 入口網站

  1. 移至新的 Microsoft 入口網站

  2. 選取左側選單中的 [ 數據對應 ] 索引標籤。

  3. 選取左側選單中的 [ 來源 ] 索引標籤。

  4. 選取您要停用數據原則強制執行的來源。

  5. [數據原則強制執行 ] 切換設定為 [關閉]

  • 請務必記下您在 Purview 中註冊時所使用的 名稱 Microsoft。 當您發佈原則時,將會需要它。 建議的做法是讓已註冊的名稱與端點名稱完全相同。
  • 若要停用 數據原則強制執行的來源,您必須先移除該數據源上任何已發佈的原則。
  • 雖然用戶必須同時擁有數據源 擁有者 和Microsoft Purview 數據源管理員 ,才能啟用 數據原則強制執行的來源,但集合 的任何 數據源管理員都可以停用它。
  • 停用訂用帳戶 的數據原則強制執行 ,也會針對該訂用帳戶中註冊的所有資產停用它。

警告

與來源註冊相關的已知問題

  • 不支援將數據源移至不同的資源群組或訂用帳戶。 如果想要這樣做,請先在 Purview Microsoft中取消註冊數據源,然後再進行一次註冊。 請注意,原則會系結至數據源 ARM 路徑。 變更數據源訂用帳戶或資源群組會使原則無效。
  • 停用訂閱以 強制執行數據原則 之後,將會停用任何啟用 數據原則強制執行 的基礎資產,這是正確的行為。 不過,之後仍會允許以這些資產為基礎的原則聲明。

數據原則強制執行最佳做法

  • 強烈建議您註冊數據源以 強制執行數據原則 ,以及在單一Microsoft Purview 帳戶中管理所有相關聯的存取原則。
  • 如果您有多個 Microsoft Purview 帳戶,請注意屬於訂用帳戶 的所有 數據源都必須註冊,才能在單一 Microsoft Purview 帳戶中 強制執行數據 原則。 該Microsoft Purview 帳戶可以位於租使用者中的任何訂用帳戶中。 當設定無效時, 數據原則強制 執行切換會變成灰色。 下圖提供一些有效和無效設定的範例:
    • 案例 1 顯示有效的設定,其中記憶體帳戶已在相同訂用帳戶的 Microsoft Purview 帳戶中註冊。
    • 案例 2 顯示有效的設定,其中記憶體帳戶已在不同訂用帳戶的 Microsoft Purview 帳戶中註冊。
    • 案例 3 顯示的設定無效,因為記憶體帳戶 S3SA1 和 S3SA2 都屬於訂用帳戶 3,但註冊到不同的 Microsoft Purview 帳戶。 在此情況下, 數據原則強制切換 只會在取得優先權並先在該訂用帳戶中註冊數據源的 Microsoft Purview 帳戶中啟用。 接著,其他數據源的切換會呈現灰色。
  • 如果 數據原則強制執行 切換呈現灰色且無法啟用,請將滑鼠停留在其上方,以瞭解已先註冊數據資源的 Microsoft Purview 帳戶名稱。

圖表顯示使用多個 Microsoft Purview 帳戶來管理原則時的有效和無效設定。

後續步驟