撰寫和發佈 Azure 來源的保護原則 (預覽)
保護訪問控制原則 (保護原則) 可讓組織自動保護跨數據源的敏感數據。 Microsoft Purview 已經掃描數據資產並識別敏感數據元素,而這項新功能可讓您使用 Microsoft Purview 資訊保護 的敏感度標籤自動限制該數據的存取。
保護原則可確保企業系統管理員必須授權敏感度類型的數據存取權。 啟用這些原則之後,只要使用 Microsoft Purview 資訊保護 偵測到敏感性資訊,就會自動強制執行訪問控制。
支援的動作
- 限制標籤數據資產的存取權,讓您選取的使用者和群組只能存取它們。
- 在 Microsoft Purview 資訊保護解決方案中的敏感度標籤上設定的動作。
支援的來源
- Azure SQL Database
- Azure Blob 儲存體*
- Azure Data Lake Storage Gen2*
注意事項
*Azure 記憶體來源目前處於閘道預覽狀態。 若要註冊, 請遵循此連結。
支援的地區
區域 | Azure SQL | Azure 儲存體 |
---|---|---|
南非北部 | x | |
東亞 | x | |
東南亞 | x | |
澳大利亞中部 | x | |
澳大利亞東部 | x | x |
澳大利亞東南部 | x | |
Brasil South | x | |
加拿大中部 | x | x |
加拿大東部 | x | |
中國東部 | x | |
中國東部 3 | x | |
中國北部 | x | |
中國北部 2 | x | |
中國北部 3 | x | |
北歐 | x | x |
西歐 | x | x |
法國中部 | x | x |
德國中西部 | x | |
印度中部 | x | |
印度南部 | x | |
以色列中部 | x | |
義大利北部 | x | |
日本東部 | x | |
日本西部 | x | |
南韓中部 | x | |
挪威東部 | x | |
波蘭中部 | x | |
卡達中部 | x | |
瑞典中部 | x | |
瑞士北部 | x | |
阿拉伯聯合大公國北部 | x | |
英國南部 | x | |
英國西部 | x | |
美國中部 | x | |
美國東部 | x | x |
美國東部 2 | x | x |
美國中北部 | x | |
美國中南部 | x | x |
美國中西部 | x | |
美國西部 | x | |
美國西部 2 | x | |
美國西部 3 | x |
必要條件
- Microsoft 365 E5 授權。 如需所需特定授權的相關信息,請參閱 有關敏感度標籤的這項資訊。 Microsoft 365 E5 從您的環境瀏覽這裡,即可為您的租使用者取得試用版授權。
- 現有的 Microsoft Purview 帳戶會使用企業版的 Microsoft Purview 升級為 Microsoft Purview 單一租使用者模型和新的入口網站體驗。
在 Microsoft Purview 中啟用進階資源集:
讓身為根集合之數據編者或數據讀取器的使用者登入 Microsoft Purview 入口網站,然後開啟 [ 設定] 功能表。
在 [ 帳戶] 頁面下,尋找 [ 進階資源集] ,並將切換開關設定為 [ 開啟]。
建立或擴充從 Microsoft Purview 資訊保護 到數據對應資產的敏感度標籤。
注意事項
建立標籤之後,請務必一併發佈標籤。
註冊來源 - 註冊您喜歡的任何來源:
注意事項
若要繼續,您必須是 Azure 記憶體來源註冊所在集合中 的數據源管理員 。
啟用數據原則強制執行
移至新的 Microsoft 入口網站。
選取左側選單中的 [數據對應 ] 索引標籤。
選取左側選單中的 [ 數據源 ] 索引標籤。
選取您要啟用 數據原則強制執行的來源。
將 [數據原則強制執行 ] 切換為 [ 開啟],如下圖所示。
掃描來源 - 註冊您已註冊的任何來源。
注意事項
掃描後至少等候 24 小時。
使用者與權限
您需要數種類型的使用者,而且您必須為這些使用者設定對應的角色和權限:
- Microsoft Purview 資訊保護 管理員 - 管理 資訊保護 解決方案的廣泛許可權:檢閱/建立/更新/刪除保護原則、敏感度標籤和標籤/自動套用卷標原則,以及所有分類器類型。 他們也應該擁有數據總管、活動總管、Microsoft Purview 資訊保護 深入解析和報表的完整存取權。
- 使用者需要內建角色群組 「資訊保護」 內的角色,以及數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器的新角色。 完整權限為:
- 資訊保護 讀取器
- 數據對應讀取器
- 深入解析讀者
- 來源讀取器
- 掃描讀取器
- 資訊保護 系統管理員
- 資訊保護 分析師
- 信息保護保護保護
- 數據分類清單查看器
- 數據分類內容查看器
- Microsoft Purview 評估系統管理員
-
選項 1 - 建議:
- 在 [Microsoft Purview 角色群組] 面板中,搜尋 資訊保護。
- 選取 資訊保護 角色群組,然後選取 [複製]。
- 將其命名為:「預覽 - 資訊保護」,然後選取 [建立複本]。
- 選取 [預覽 - 資訊保護],然後選取 [編輯]。
- 在 [ 角色] 頁面上, [ + 選擇角色 ] 並搜尋 「讀取器」。
- 選取這四個角色:數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器。
- 將 Microsoft Purview 資訊保護 系統管理員測試用戶帳戶新增至這個新的複製群組,並完成精靈。
-
選項 2- 使用內建群組 (提供比所需更多的許可權)
- 在 資訊保護、數據資產深入解析讀取者、數據源管理員的內建群組內,放置新的 Microsoft Purview 資訊保護 系統管理員測試用戶帳戶。
- 使用者需要內建角色群組 「資訊保護」 內的角色,以及數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器的新角色。 完整權限為:
- 數據擁有者/管理員 - 此使用者會在 Azure 和 Amazon S3 來源的 Microsoft Purview 中啟用您的數據原則強制執行來源。
建立保護原則
現在,您已檢查 必要條件,並備妥Microsoft Purview 實例和來源以取得保護原則 ,並在您最近的掃描之後等候至少 24 小時,請遵循下列步驟來建立您的保護原則:
根據您使用的入口網站,流覽至下列其中一個位置:
登入 Microsoft Purview 入口網站>資訊保護 卡>原則
如果未顯示 資訊保護 解決方案卡片,請選取 [檢視所有解決方案],然後從 [數據安全性] 區段選取 [資訊保護]。
登入 Microsoft Purview 合規性入口網站>Solutions>資訊保護>原則
選 取 [保護原則]。
選 取 [新增保護原則]。
提供名稱和描述,然後選取 [ 下一步]。
選 取 [+ 新增敏感度標籤 ] 以新增敏感度標籤 (要偵測原則的) ,然後選取您想要套用原則的所有標籤。
選 取 [新增 ],然後選取 [ 下一步]。
選取您要套用原則的來源。 您可以選取多個 ,然後選取 [ 編輯 ] 按鈕來管理您所選取的每個範圍。
根據您的來源,選取頂端的 [ + 包含 ] 按鈕,最多可新增10個範圍清單的資源。 原則將會套用至您選取的所有資源。
注意事項
目前最多支援 10 個資源,而且必須在 [ 編輯 ] 下選取這些資源才能啟用。
選取 [新增 ],然後在來源清單完成時選取 [ 完成 ]。
根據您的來源,選取您想要建立的保護原則類型。
根據標籤選取 不會 拒絕存取的使用者。 除了您在此處新增的使用者和群組以外,組織中的每個人都會被拒絕存取標記的專案。
選取 [下一步]。
選擇是否立即開啟原則,然後選取 [ 下一步]。
選取 [提交]。
選取 [完成]。
您現在應該會在保護原則清單中看到新的原則。 選取它以確認所有詳細數據都正確無誤。
管理保護原則
若要編輯或刪除現有的保護原則,請遵循下列步驟:
開啟 資訊保護解決方案。
選取 [ 原則] 下拉式清單,然後選取 [ 保護原則]。
選取您想要管理的原則。
若要變更任何詳細數據,請選取 [ 編輯原則 ] 按鈕。
若要刪除原則,請選取 [ 刪除原則 ] 按鈕。