Начало работы с политиками защиты (предварительная версия)

Политики управления доступом (политики защиты) помогают организациям автоматически защищать конфиденциальные данные в разных источниках данных. Microsoft Purview уже сканирует ресурсы данных и определяет элементы конфиденциальных данных. Эта новая функция позволяет автоматически ограничивать доступ к этим данным с помощью меток конфиденциальности из Защита информации Microsoft Purview.

Политики защиты гарантируют, что администраторы предприятия должны авторизовать доступ к данным для типа конфиденциальности. После включения этих политик управление доступом автоматически применяется при каждом обнаружении конфиденциальной информации Information Protection.

Поддерживаемые действия

• Ограничьте доступ к помеченным ресурсам данных, чтобы к ним могли обращаться только пользователи и группы, которые вы выберете.
• Настройте действие для меток конфиденциальности в решении Information Protection.

Поддерживаемые источники данных

• Источники Azure:
  • База данных SQL Azure
  • Хранилище BLOB-объектов Azure
  • Azure Data Lake Storage 2-го поколения
• Microsoft Fabric

Предварительные условия

• 1 Microsoft 365 E5 лицензии и настройка оплаты по мере использования модели выставления счетов. Сведения о оплате по мере выставления счетов по защищенным ресурсам см. в статье Модель выставления счетов с оплатой по мере использования. Сведения о конкретных необходимых лицензиях см. в этой статье о метках конфиденциальности. Microsoft 365 E5 пробных лицензий можно получить для вашего клиента, перейдя здесь из своей среды.

Пользователи и разрешения для Azure источников

Существует несколько типов пользователей, и вам нужно настроить соответствующие роли и разрешения для этих пользователей:

1. Защита информации Microsoft Purview Администратор — широкие права на управление Information Protection решением: просмотр, создание, обновление и удаление политик защиты, меток конфиденциальности и политик автоматической маркировки, все типы классификаторов. Они также должны иметь полный доступ к обозревателе данных, обозревателю действий, Защита информации Microsoft Purview аналитике и отчетам.
   • Пользователю требуются роли из встроенной группы ролей "Information Protection", а также новые роли для чтения карт данных, средства чтения аналитических сведений, средства чтения сканирования и чтения источника. Полные разрешения:
     • средство чтения Information Protection
     • Средство чтения карты данных
     • Читатель аналитики
     • Средство чтения исходного кода
     • Средство чтения сканирования
     • администратор Information Protection
     • аналитик Information Protection
     • Следователь защиты информации
     • Средство просмотра списка классификации данных
     • Средство просмотра содержимого классификации данных
     • Администратор оценки Microsoft Purview
   • Вариант 1 . Рекомендуется:
     1. На панели группы ролей Microsoft Purview найдите Information Protection.
     2. Выберите группу ролей Information Protection и нажмите кнопку Копировать.
     3. Присвойте ему имя "Предварительная версия — Information Protection" и выберите Создать копию.
     4. Выберите Предварительный просмотр — Information Protection и нажмите кнопку Изменить.
     5. На странице Роли+ Выберите роли и выполните поиск по запросу "читатель".
     6. Выберите следующие четыре роли: читатель карты данных, читатель аналитических сведений, читатель сканирования, средство чтения источника.
     7. Добавьте учетную запись тестового пользователя Защита информации Microsoft Purview администратора в эту новую скопированную группу и завершите работу мастера.
   • Вариант 2. использует встроенные группы (предоставляет больше разрешений, чем требуется)
     1. Разместите новую учетную запись тестового пользователя Защита информации Microsoft Purview администратора во встроенных группах для Information Protection, читателей Аналитики ресурсов данных, администраторов источников данных.
2. Владелец данных или Администратор. Этот пользователь включает в источник принудительное применение политики данных в Microsoft Purview для источников Azure и Amazon S3.

Создание политики защиты

После проверка предварительных требований и подготовки экземпляра и источника Microsoft Purview к политикам защиты и ожидания не менее 24 часов после последней проверки выполните следующие действия, чтобы создать политики защиты.

1. Войдите напортал> Microsoft Purview Information Protection политики карта>. Если карта решения Information Protection не отображается, выберите Просмотреть все решения, а затем выберите Information Protection в разделе Безопасность данных.

2. Выберите Политики защиты.

3. Выберите + Новая политика защиты.

4. Введите имя и описание и нажмите кнопку Далее.

5. Выберите + Добавить метку конфиденциальности , чтобы добавить метки конфиденциальности для определения политики, и выберите все метки, к которым будет применяться политика.

6. Нажмите кнопку Добавить , а затем нажмите кнопку Далее.

7. Выберите источники, к которым требуется применить политику.

   1. Для источников Fabric выберите только Структура и нажмите кнопку Далее. (Дополнительные сведения см. в документации по Fabric.)
   2. Для Azure источников можно выбрать несколько источников. Нажмите кнопку Изменить, чтобы управлять область для каждого выбранного источника.

8. В зависимости от источника нажмите кнопку + Включить вверху, чтобы добавить до 10 ресурсов в список область. Политика применяется ко всем ресурсам, которые вы выбираете.

   Примечание.

   В настоящее время поддерживается не более 10 ресурсов, и их необходимо выбрать в разделе Изменить , чтобы они были включены. Если учетная запись хранения Azure включает ключ, управляемый клиентом, учетная запись хранения не работает для политики защиты.

9. Щелкните Добавить , а затем нажмите кнопку Готово , когда список источников будет завершен.

10. В зависимости от источника выберите тип политики защиты, которую вы хотите создать.

    1. Для источников Fabric следуйте политикам защиты документации по Fabric.
    2. Для других источников выберите пользователей, которым не отказано в доступе, на основе метки. Всем пользователям в вашей организации запрещается доступ к помеченным элементам, за исключением пользователей и групп, которые вы добавляете здесь.

1. Нажмите кнопку Далее.
2. Укажите, следует ли включить политику сразу, и нажмите кнопку Далее.
3. Выберите Отправить.
4. Нажмите кнопку Готово.
5. Теперь в списке политик защиты должна появиться новая политика. Выберите его, чтобы убедиться, что все сведения верны.

Управление политикой защиты

Чтобы изменить или удалить существующую политику защиты, выполните следующие действия.

1. Откройте портал Microsoft Purview.
2. Откройте решение Information Protection.
3. Выберите Политики, а затем политики защиты.
4. Выберите политику, которой вы хотите управлять.
5. Чтобы изменить какие-либо сведения, нажмите кнопку Изменить политику .
6. Чтобы удалить политику, выберите Удалить политику.

Дальнейшие действия

• Политики защиты для Azure источников. Сведения о доступности в регионах, ограничениях и специальных функциях для Azure источников данных.
• Политики защиты для Fabric. Сведения о политиках защиты для элементов Fabric.