共用方式為

在 Microsoft Purview 來源上啟用數據原則強制執行

注意事項

Microsoft Purview 資料目錄 (傳統) 和 Data Health Insights (傳統) 不再接受新客戶,而且這些服務 (先前為 Azure Purview) 現在處於客戶支援模式。

數據原則強制執行 是 Microsoft Purview 中數據源註冊內的選項。 此選項可讓 Microsoft Purview 管理資源的資料存取。 高階概念是資料擁有者透過啟用 資料原則強制執行,允許其資料資源可用於存取原則。

目前,資料擁有者可以在資料資源上啟用資料原則強制執行,從而針對下列類型的存取原則啟用:

若要能夠在資源上建立任何資料原則,必須先在該資源上啟用資料原則強制執行。 本文將說明如何在 Microsoft Purview 中的資源上啟用數據原則強制執行。

重要事項

由於資料原則強制執行會直接影響資料的存取,因此會直接影響您的資料安全性。 在您的環境中啟用資料原則強制執行之前,請檢閱下列 其他考量事項最佳實務

必要條件

在 Microsoft Purview 中註冊資料來源

在 Microsoft Purview 中為資料資源建立原則之前,您必須在 Microsoft Purview Studio 中註冊該資料資源。 您將在本指南稍後找到與註冊資料資源相關的指示。

注意事項

Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後在 Microsoft Purview 中重新註冊。

設定許可權以在資料來源上啟用資料原則強制執行

註冊資源之後,在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟用 資料原則強制執行。 這適用於資料來源、資源群組或訂用帳戶。 若要啟用 資料原則強制執行您必須同時具有 資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:

  • 您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合,或其任何父項 (,也就是使用 IAM 許可繼承) :

    • IAM 擁有者
    • IAM 參與者和 IAM 使用者存取管理員

    若要設定 Azure 角色型存取控制 (RBAC) 許可權,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取 Azure 入口網站中的 [存取控制] 區段,讓資料資源新增角色指派。

    螢幕擷取畫面,顯示 Azure 入口網站中新增角色指派的區段。

    注意事項

    資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體持有或正在繼承資源的 IAM 擁有者角色。

  • 如果您) 已啟用繼承,您也必須具有集合的 Microsoft Purview 數據源系統管理員 角色,或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南

    下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。

    螢幕擷取畫面,顯示在根集合層級指派資料來源系統管理員角色的選取範圍。

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:

  • 原則作者角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
  • 原則作者角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱 在 Microsoft Purview 資料對應中建立和管理集合

注意事項

原則作者角色必須在根集合層級設定。

此外,若要在建立或更新原則主旨時輕鬆搜尋 Microsoft Entra 使用者或群組,您可以從取得 Microsoft Entra ID 中的目錄讀取者權限中獲益匪淺。 這是 Azure 租用戶中使用者的通用許可權。 如果沒有目錄讀取者權限,原則作者必須輸入資料原則主旨中包含的所有主體的完整使用者名稱或電子郵件。

設定 Microsoft Purview 許可權以發佈資料擁有者原則

如果您將 Microsoft Purview 原則作者資料來源系統管理員 角色指派給組織中的不同人員,則資料擁有者原則允許檢查和平衡。 在資料擁有者原則生效之前,第二個人員 (資料來源管理員) 必須檢閱它,並透過發佈來明確核准它。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時會自動發佈這些原則。

若要發佈資料擁有者原則,您必須在根集合層級的 Microsoft Purview 中取得資料來源系統管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱 在 Microsoft Purview 資料對應中建立和管理集合

注意事項

若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資源以強制 執行資料原則之後,任何在根集合層級具有 原則作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。

注意事項

任何 Microsoft Purview 根 集合系統管理員 都可以將新使用者指派給根 原則 撰寫者角色。 任何 集合管理員 都可以將新使用者指派給集合下的 資料來源管理員 角色。 將持有 Microsoft Purview 集合系統管理員數據源系統管理員原則作者 角色的使用者最小化並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則將會在取決於特定資料來源的時間量內停止強制執行。 此變更可能會對安全性和資料存取可用性產生影響。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以移至 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段,然後選取 [角色指派] 來檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除 Microsoft Purview 帳戶。

啟用資料原則強制執行

若要啟用資源的資料 原則強制執行 ,必須先在 Microsoft Purview 中註冊資源。 若要註冊資源,請遵循資源來源頁面先決條件註冊區段。

註冊資源之後,請遵循其餘步驟,以啟用個別資源以強制 執行資料原則

從傳統 Microsoft Purview 治理入口網站

  1. 移至 傳統 Microsoft Purview 治理入口網站

  2. 選取左側功能表中的 資料對應 索引標籤。

  3. 選取左側功能表中的 [來源] 索引標籤。

  4. 選取您要啟用 資料原則強制執行的來源。

  5. 在來源頁面頂端,選取 [編輯來源]。

  6. 資料原則強制執行 切換設定為 已啟用,如下圖所示。

將功能表底部的資料原則強制執行切換設定為 **已啟用**。

從新的 Microsoft Purview 入口網站

  1. 移至新的 Microsoft Purview 入口網站

  2. 選取左側功能表中的 資料對應 索引標籤。

  3. 選取左側功能表中的 [資料來源 ] 索引標籤。

  4. 選取您要啟用 資料原則強制執行的來源。

  5. [資料原則強制執行 ] 切換設定為 [ 開啟],如下圖所示。

在資料來源詳細資料中,將資料原則強制執行切換設定為 **開啟**。

停用資料原則強制執行

若要停用來源、資源群組或訂用帳戶的資料原則強制執行,使用者必須是資源 IAM 擁有者 或 Microsoft Purview 資料來源系統管理員。獲得這些權限後,請按照以下步驟操作:

從傳統 Microsoft Purview 治理入口網站

  1. 移至 Microsoft Purview 治理入口網站

  2. 選取左側功能表中的 資料對應 索引標籤。

  3. 選取左側功能表中的 [來源] 索引標籤。

  4. 選取您要停用資料原則強制執行的來源。

  5. 在來源頁面頂端,選取 [編輯來源]。

  6. [資料原則強制執行 ] 切換設定為 [已停用]。

從新的 Microsoft Purview 入口網站

  1. 移至新的 Microsoft Purview 入口網站

  2. 選取左側功能表中的 資料對應 索引標籤。

  3. 選取左側功能表中的 [來源] 索引標籤。

  4. 選取您要停用資料原則強制執行的來源。

  5. [資料原則強制執行 ] 切換設定為 [關閉]。

  • 請務必記下您在 Microsoft Purview 註冊時使用的 名稱 。 當您發佈原則時,您將需要它。 建議的做法是讓註冊名稱與端點名稱完全相同。
  • 若要停用 資料原則強制執行的來源,您必須先移除該資料來源上的任何已發佈政策。
  • 雖然使用者必須同時擁有數據源 擁有者 和 Microsoft Purview 數據源系統管理員 ,才能啟用 數據原則強制執行來源,但 集合的任何數據源系統管理員都可以停用它。
  • 停用訂閱的資料 原則強制執行 也會針對該訂閱中註冊的所有資產停用它。

警告

與來源註冊相關的已知問題

  • 不支援將資料來源移至不同的資源群組或訂用帳戶。 如果要這樣做,請先在 Microsoft Purview 中取消註冊數據源,再移動它,然後在發生之後再次註冊它。 請注意,原則會繫結至資料來源 ARM 路徑。 變更資料來源訂用帳戶或資源群組會使原則無效。
  • 一旦訂用帳戶停用以 強制執行資料原則 ,任何已啟用 以強制執行資料原則 的基礎資產都會停用,這是正確的行為。 但是,此後仍允許基於這些資產的政策聲明。

資料原則強制執行最佳實務

  • 我們強烈建議註冊數據 源以強制執行數據原則 ,並在單一 Microsoft Purview 帳戶中管理所有相關聯的存取原則。
  • 如果您有多個 Microsoft Purview 帳戶,請注意,屬於訂用帳戶 的所有 數據源都必須在單一 Microsoft Purview 帳戶中註冊數據 原則強制執行 。 該 Microsoft Purview 帳戶可以位於租使用者的任何訂用帳戶中。 當存在無效的組態時, 資料原則強制執行 切換會變成灰色。 下圖顯示有效和無效組態的一些範例:
    • 案例 1 顯示有效的設定,其中儲存體帳戶已在相同訂用帳戶的 Microsoft Purview 帳戶中註冊。
    • 案例 2 顯示有效的設定,其中儲存體帳戶已在不同訂用帳戶的 Microsoft Purview 帳戶中註冊。
    • 案例 3 顯示無效的設定,因為儲存體帳戶 S3SA1 和 S3SA2 都屬於訂用帳戶 3,但已註冊至不同的 Microsoft Purview 帳戶。 在此情況下, 資料原則強制執行 切換只會在贏得並先在該訂用帳戶中註冊資料來源的 Microsoft Purview 帳戶中啟用。 然後,其他資料來源的切換將顯示為灰色。
  • 如果 資料原則強制執行 切換呈灰色且無法啟用,請將滑鼠停留在其上,以瞭解已先註冊資料資源的 Microsoft Purview 帳戶名稱。

圖表顯示使用多個 Microsoft Purview 帳戶來管理原則時的有效和無效設定。

後續步驟

  • Last updated on