共用方式為


撰寫和發佈 Azure 來源的保護原則 (預覽)

保護訪問控制原則 (保護原則) 可讓組織自動保護跨數據源的敏感數據。 Microsoft Purview 已經掃描數據資產並識別敏感數據元素,而這項新功能可讓您使用 Microsoft Purview 資訊保護 的敏感度標籤自動限制該數據的存取。

保護原則可確保企業系統管理員必須授權敏感度類型的數據存取權。 啟用這些原則之後,只要使用 Microsoft Purview 資訊保護 偵測到敏感性資訊,就會自動強制執行訪問控制。

支援的動作

  • 限制標籤數據資產的存取權,讓您選取的使用者和群組只能存取它們。
  • 在 Microsoft Purview 資訊保護解決方案中的敏感度標籤上設定的動作。

支援的來源

  • Azure SQL Database
  • Azure Blob 儲存體*
  • Azure Data Lake Storage Gen2*

注意事項

*Azure 記憶體來源目前處於閘道預覽狀態。 若要註冊, 請遵循此連結。

支援的地區

區域 Azure SQL Azure 儲存體
南非北部 x
東亞 x
東南亞 x
澳大利亞中部 x
澳大利亞東部 x x
澳大利亞東南部 x
Brasil South x
加拿大中部 x x
加拿大東部 x
中國東部 x
中國東部 3 x
中國北部 x
中國北部 2 x
中國北部 3 x
北歐 x x
西歐 x x
法國中部 x x
德國中西部 x
印度中部 x
印度南部 x
以色列中部 x
義大利北部 x
日本東部 x
日本西部 x
南韓中部 x
挪威東部 x
波蘭中部 x
卡達中部 x
瑞典中部 x
瑞士北部 x
阿拉伯聯合大公國北部 x
英國南部 x
英國西部 x
美國中部 x
美國東部 x x
美國東部 2 x x
美國中北部 x
美國中南部 x x
美國中西部 x
美國西部 x
美國西部 2 x
美國西部 3 x

必要條件

  • Microsoft 365 E5 授權。 如需所需特定授權的相關信息,請參閱 有關敏感度標籤的這項資訊。 Microsoft 365 E5 從您的環境瀏覽這裡,即可為您的租使用者取得試用版授權。
  1. 設定使用者和許可權

  2. 在 Microsoft Purview 中啟用進階資源集:

    1. 讓身為根集合之數據編者或數據讀取器的使用者登入 Microsoft Purview 入口網站,然後開啟 [ 設定] 功能表。

    2. 在 [ 帳戶] 頁面下,尋找 [ 進階資源集] ,並將切換開關設定為 [ 開啟]

      設定中帳戶頁面的螢幕快照,其中 [進階資源集] 切換設定為 [開啟]。

  3. 建立或擴充從 Microsoft Purview 資訊保護 到數據對應資產的敏感度標籤

    注意事項

    建立標籤之後,請務必一併發佈標籤。

  4. 註冊來源 - 註冊您喜歡的任何來源:

    1. Azure SQL Database
    2. Azure Blob 儲存體
    3. Azure Data Lake Storage Gen2

    注意事項

    若要繼續,您必須是 Azure 記憶體來源註冊所在集合中 的數據源管理員

  5. 啟用數據原則強制執行

    1. 移至新的 Microsoft 入口網站

    2. 選取左側選單中的 [數據對應 ] 索引標籤。

    3. 選取左側選單中的 [ 數據源 ] 索引標籤。

    4. 選取您要啟用 數據原則強制執行的來源。

    5. [數據原則強制執行 ] 切換為 [ 開啟],如下圖所示。

      在數據源詳細數據內,將數據原則強制執行切換設定為 [開啟]。

  6. 掃描來源 - 註冊您已註冊的任何來源。

    1. Azure SQL Database
    2. Azure Blob 儲存體
    3. Azure Data Lake Storage Gen2

    注意事項

    掃描後至少等候 24 小時。

使用者與權限

您需要數種類型的使用者,而且您必須為這些使用者設定對應的角色和權限:

  1. Microsoft Purview 資訊保護 管理員 - 管理 資訊保護 解決方案的廣泛許可權:檢閱/建立/更新/刪除保護原則、敏感度標籤和標籤/自動套用卷標原則,以及所有分類器類型。 他們也應該擁有數據總管、活動總管、Microsoft Purview 資訊保護 深入解析和報表的完整存取權。
    • 使用者需要內建角色群組 「資訊保護」 內的角色,以及數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器的新角色。 完整權限為:
      • 資訊保護 讀取器
      • 數據對應讀取器
      • 深入解析讀者
      • 來源讀取器
      • 掃描讀取器
      • 資訊保護 系統管理員
      • 資訊保護 分析師
      • 信息保護保護保護
      • 數據分類清單查看器
      • 數據分類內容查看器
      • Microsoft Purview 評估系統管理員
    • 選項 1 - 建議:
      1. 在 [Microsoft Purview 角色群組] 面板中,搜尋 資訊保護
      2. 選取 資訊保護 角色群組,然後選取 [複製]
      3. 將其命名為:「預覽 - 資訊保護」,然後選取 [建立複本]
      4. 取 [預覽 - 資訊保護],然後選取 [編輯]
      5. 在 [ 角色] 頁面上, [ + 選擇角色 ] 並搜尋 「讀取器」。
      6. 選取這四個角色:數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器。
      7. 將 Microsoft Purview 資訊保護 系統管理員測試用戶帳戶新增至這個新的複製群組,並完成精靈。
    • 選項 2- 使用內建群組 (提供比所需更多的許可權)
      1. 在 資訊保護、數據資產深入解析讀取者、數據源管理員的內建群組內,放置新的 Microsoft Purview 資訊保護 系統管理員測試用戶帳戶。
  2. 數據擁有者/管理員 - 此使用者會在 Azure 和 Amazon S3 來源的 Microsoft Purview 中啟用您的數據原則強制執行來源。

建立保護原則

現在,您已檢查 必要條件,並備妥Microsoft Purview 實例和來源以取得保護原則 ,並在您最近的掃描之後等候至少 24 小時,請遵循下列步驟來建立您的保護原則:

  1. 根據您使用的入口網站,流覽至下列其中一個位置:

  2. 取 [保護原則]

    [資訊保護] 功能表的螢幕快照,其中已開啟 [原則] 下拉式清單,並醒目提示 [保護原則]。

  3. 取 [新增保護原則]

    [保護原則] 頁面的螢幕快照,其中已醒目提示 [+ 新增保護原則] 按鈕。

  4. 提供名稱和描述,然後選取 [ 下一步]

  5. 取 [+ 新增敏感度標籤 ] 以新增敏感度標籤 (要偵測原則的) ,然後選取您想要套用原則的所有標籤。

  6. 取 [新增 ],然後選取 [ 下一步]

  7. 選取您要套用原則的來源。 您可以選取多個 ,然後選取 [ 編輯 ] 按鈕來管理您所選取的每個範圍。

    新保護原則功能表的螢幕快照,其中顯示已選取每個來源的編輯按鈕。

  8. 根據您的來源,選取頂端的 [ + 包含 ] 按鈕,最多可新增10個範圍清單的資源。 原則將會套用至您選取的所有資源。

    注意事項

    目前最多支援 10 個資源,而且必須在 [ 編輯 ] 下選取這些資源才能啟用。

  9. 選取 [新增 ],然後在來源清單完成時選取 [ 完成 ]。

  10. 根據您的來源,選取您想要建立的保護原則類型。

  11. 根據標籤選取 不會 拒絕存取的使用者。 除了您在此處新增的使用者和群組以外,組織中的每個人都會被拒絕存取標記的專案。

  12. 選取 [下一步]

  13. 選擇是否立即開啟原則,然後選取 [ 下一步]

  14. 選取 [提交]

  15. 選取 [完成]

  16. 您現在應該會在保護原則清單中看到新的原則。 選取它以確認所有詳細數據都正確無誤。

管理保護原則

若要編輯或刪除現有的保護原則,請遵循下列步驟:

  1. 開啟 Microsoft Purview 入口網站。

  2. 開啟 資訊保護解決方案。

  3. 選取 [ 原則] 下拉式清單,然後選取 [ 保護原則]

    [資訊保護] 功能表的螢幕快照,其中已醒目提示 [保護原則]。

  4. 選取您想要管理的原則。

  5. 若要變更任何詳細數據,請選取 [ 編輯原則 ] 按鈕。

  6. 若要刪除原則,請選取 [ 刪除原則 ] 按鈕。

    原則詳細數據頁面的螢幕快照,其中已醒目提示 [編輯和刪除] 按鈕。