在 Microsoft Purview 源上启用数据策略强制实施
数据策略强制实施是 Microsoft Purview 的数据源注册中的一个选项。 此选项让 Microsoft Purview 管理你的资源的数据访问。 高级概念是,数据所有者通过启用数据策略强制实施来允许对其数据资源使用访问策略。
目前,数据所有者可以在数据资源上启用数据策略强制实施,从而使其能够执行以下类型的访问策略:
若要能够在资源上创建任何数据策略,必须先在该资源上启用数据策略强制实施。 本文将介绍如何在 Microsoft Purview 的资源上启用数据策略强制实施。
先决条件
在 Microsoft Purview 中注册数据源
你必须先在 Microsoft Purview Studio 中注册一个数据资源,然后才能在 Microsoft Purview 中为该数据资源创建策略。 本指南稍后将会提供与注册数据资源相关的说明。
注意
Azure Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要先将它取消注册,然后在 Microsoft Purview 中重新注册它。
配置权限以启用数据源上的数据策略实施
注册资源后,必须在 Microsoft Purview 中为该资源创建策略之前配置权限。 需要具有一组权限才能启用“数据策略实施”。 这适用于数据源、资源组或订阅。 若要启用“数据策略实施”,则必须同时拥有对资源的特定标识和访问管理 (IAM) 特权以及特定的 Microsoft Purview 特权:
你必须在资源的 Azure 资源管理器路径或其任何父路径上拥有以下任一 IAM 角色组合(即使用 IAM 权限继承):
- IAM“所有者”
- IAM“参与者”和 IAM“用户访问管理员”
若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照指南进行操作。 以下屏幕截图显示了如何访问 Azure 门户中的访问控制部分,以便为数据资源添加角色分配。
注意
可以从父资源组、订阅或订阅管理组继承数据源的 IAM 所有者角色。 检查哪些 Microsoft Entra 用户、组和服务主体保留或正在继承资源的“IAM 所有者”角色。
你还需要有集合或父集合(如果启用了继承)的 Microsoft Purview 数据源管理员角色。 有关详细信息,请参阅有关管理 Microsoft Purview 角色分配的指南。
以下屏幕截图显示了如何在根集合级别分配数据源管理员角色。
配置 Microsoft Purview 权限以创建、更新或删除访问策略
若要创建、更新或删除策略,你需要在 Microsoft Purview 中的根集合级别获取“策略创建者”角色:
- “策略创建者”角色可以创建、更新以及删除 DevOps 和数据所有者策略。
- 策略创建者角色可以删除自助服务访问策略。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
必须在根集合级别配置“策略创建者”角色。
此外,为了在创建或更新策略主题时能够轻松搜索 Microsoft Entra 用户或组,在 Microsoft Entra ID 中获取目录读取者权限可为你提供极大的帮助。 这是 Azure 租户中用户的常见权限。 如果没有目录读取者权限,策略创建者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件地址。
将访问预配责任委托给 Microsoft Purview 中的角色
在为某个资源启用“数据策略实施”后,任何在根集合级别具有“策略创建者”角色的 Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。
注意
任何 Microsoft Purview 根集合管理员都可以将新用户分配到根“策略创建者”角色。 任何集合管理员都可以将新用户分配到该集合下的“数据源管理员”角色。 最大程度地减少具有 Microsoft Purview 集合管理员、数据源管理员或策略创建者角色的用户并对其仔细审查。
如果带有已发布策略的 Microsoft Purview 帐户被删除,则此类策略将在一段时间内停止强制执行,具体取决于特定数据源。 此更改可能对安全性和数据访问可用性都有影响。 IAM 中的参与者角色和所有者角色可以删除 Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的访问控制 (IAM) 部分并选择“角色分配”来检查这些权限。 还可以使用锁以防止 Microsoft Purview 帐户通过 Azure 资源管理器锁被删除。
启用数据策略强制实施
若要为某个资源启用数据策略强制实施,首先需要在 Microsoft Purview 中注册该资源。 若要注册资源,请按照资源的源页的“先决条件”和“注册”部分的说明操作。
注册资源后,请按照其余步骤为数据策略强制实施启用单个资源。
从经典 Microsoft Purview 治理门户启用
在左侧菜单中选择“数据映射”选项卡。
在左侧菜单中选择“源”选项卡。
选择要启用数据策略强制执行的源。
在源页的顶部,选择“编辑源”。
将“数据策略强制实施”切换开关设置为“已启用”,如下图所示。
从新的 Microsoft Purview 门户启用
转到新的 Microsoft Purview 门户。
在左侧菜单中选择“数据映射”。
在左侧菜单中选择“数据源”选项卡。
选择要启用数据策略强制实施的源。
将“数据策略强制实施”切换开关设置为“开”,如下图所示。
禁用数据策略强制实施
若要为源、资源组或订阅禁用数据策略强制实施,用户需是资源标识和访问管理的所有者或 Microsoft Purview 数据源管理员。获得这些权限后,请执行以下步骤:
从经典 Microsoft Purview 治理门户启用
在左侧菜单中选择“数据映射”选项卡。
在左侧菜单中选择“源”选项卡。
选择要禁用数据策略强制实施的源。
在源页的顶部,选择“编辑源”。
将“数据策略强制实施”切换开关设置为“已禁用”。
从新的 Microsoft Purview 门户启用
转到新的 Microsoft Purview 门户。
在左侧菜单中选择“数据映射”选项卡。
在左侧菜单中选择“源”选项卡。
选择要禁用数据策略强制实施的源。
将“数据策略强制实施”切换开关设置为“关”。
与数据策略强制实施相关的其他注意事项
- 请确保记下在 Microsoft Purview 中注册时所用的名称。 发布策略时需要用到它。 建议的做法是使用与终结点名称完全相同的注册名。
- 若要禁用数据策略强制实施的源,首先必须移除该数据源上的任何已发布策略。
- 虽然用户需要同时具有数据源“所有者”和 Microsoft Purview“数据源管理员”角色才能为源启用“数据策略强制实施”,但集合的任何数据源管理员都可以禁用此功能。
- 为订阅禁用数据策略强制实施也将为该订阅中注册的所有资产禁用它。
警告
有关源注册的已知问题
- 不支持将数据源移动到不同的资源组或订阅。 如果希望这么做,请在 Microsoft Purview 中取消注册数据源,然后移动并再次注册它。 请注意,策略绑定到数据源 ARM 路径。 更改数据源订阅或资源组会使策略失效。
- 对订阅禁用数据策略强制实施后,也将对订阅所含的已启用数据策略强制实施的任何资产禁用该功能,这是正确的行为。 但是,之后仍将允许基于这些资产的策略语句。
数据策略强制实施最佳做法
- 强烈建议注册用于数据策略强制实施的数据源,并在单个 Microsoft Purview 帐户中管理所有关联的访问策略。
- 如果有多个 Microsoft Purview 帐户,请注意,属于同一订阅的所有数据源必须在单个 Microsoft Purview 帐户中注册以用于“数据策略强制实施”。 该 Microsoft Purview 帐户可以位于租户的任何订阅中。 当存在无效配置时,数据策略强制实施切换开关将灰显。 下图显示了有效和无效配置的一些示例:
- 案例 1 显示有效配置,其中存储帐户注册在同一订阅的 Microsoft Purview 帐户中。
- 案例 2 显示有效配置,其中存储帐户注册在其他订阅的 Microsoft Purview 帐户中。
- 案例 3 显示无效配置,因存储帐户 S3SA1 和 S3SA2 帐户均属于订阅 3,但注册到了其他 Microsoft Purview 帐户而导致配置无效。 在这种情况下,“数据策略强制实施”切换开关只会在首先获得数据源且在该订阅中注册数据源的 Microsoft Purview 帐户中启用。 此切换开关之后将对其他数据源灰显。
- 如果“数据策略强制实施”切换开关灰显且无法启用,请将鼠标悬停于其上以了解首先注册数据资源的 Microsoft Purview 帐户的名称。
