Introducción a las directivas de protección (versión preliminar)

Las directivas de control de acceso de protección (directivas de protección) ayudan a las organizaciones a proteger automáticamente los datos confidenciales en los orígenes de datos. Microsoft Purview ya examina los recursos de datos e identifica los elementos de datos confidenciales. Esta nueva característica le ayuda a restringir automáticamente el acceso a esos datos mediante etiquetas de confidencialidad de Microsoft Purview Information Protection.

Las directivas de protección garantizan que los administradores de empresa deben autorizar el acceso a los datos para un tipo de confidencialidad. Después de habilitar estas directivas, el control de acceso se impone automáticamente cada vez que Information Protection detecta información confidencial.

Acciones admitidas

• Restrinja el acceso a los recursos de datos etiquetados para que solo los usuarios y grupos seleccionados puedan acceder a ellos.
• Configure la acción en etiquetas de confidencialidad en la solución Information Protection.

Orígenes de datos admitidos

• orígenes de Azure:
  • Base de datos SQL de Azure
  • Almacenamiento de blob de Azure
  • Azure Data Lake Storage Gen2
• Microsoft Fabric

Sugerencia

En este artículo se tratan los pasos generales de todas las directivas de protección. Los artículos del origen de datos disponibles tratan aspectos específicos como las regiones disponibles, las limitaciones y las características específicas de esos orígenes de datos.

Requisitos previos

• 1 Microsoft 365 E5 licencias y configuración del modelo de facturación de pago por uso. Para comprender la facturación de pago por activos protegidos, consulte el modelo de facturación de pago por uso. Para obtener información sobre las licencias específicas necesarias, consulte esta información sobre las etiquetas de confidencialidad. Microsoft 365 E5 licencias de prueba se pueden obtener para el inquilino navegando aquí desde su entorno.

orígenes de Azure

1. Configurar usuarios y permisos.

2. Cree o extienda etiquetas de confidencialidad de Microsoft Purview Information Protection a recursos de Mapa de datos.

3. Registrar orígenes: registre cualquiera de estos orígenes que le gusten:

   1. Base de datos SQL de Azure
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Nota:

   Para continuar, debe ser administrador del origen de datos en la colección donde está registrado el origen de almacenamiento de Azure.

4. Habilitación de la aplicación de directivas de datos

   1. Vaya al nuevo portal de Microsoft Purview.
   2. Seleccione la pestaña Mapa de datos en el menú de la izquierda.
   3. Seleccione la pestaña Orígenes de datos en el menú de la izquierda.
   4. Seleccione el origen donde desea habilitar la aplicación de directivas de datos.
   5. Establezca el botón de alternancia Aplicación de directivas de datosen Activado.

5. Examinar orígenes: registre cualquiera de los orígenes que ha registrado.

   1. Base de datos SQL de Azure
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Nota:

   Espere al menos 24 horas después del escaneo.

Microsoft Fabric

Consulte el artículo información general sobre las directivas de protección de Fabric.

Usuarios y permisos para orígenes de Azure

Hay varios tipos de usuarios que necesita y debe configurar los roles y permisos correspondientes para estos usuarios:

1. Microsoft Purview Information Protection Administración: amplios derechos para administrar Information Protection solución: revisar, crear, actualizar o eliminar directivas de protección, etiquetas de confidencialidad y directivas de etiquetado automático y etiquetas, todos los tipos de clasificador. También deben tener acceso completo al explorador de datos, al explorador de actividades, a la información Microsoft Purview Information Protection y a los informes.
   • El usuario necesita los roles del grupo de roles integrado "Information Protection", junto con los nuevos roles para el lector de mapas de datos, el lector de conclusiones, el lector de examen, el lector de origen. Los permisos completos serían:
     • lector de Information Protection
     • Lector de mapas de datos
     • Lector de conclusiones
     • Lector de origen
     • Lector de examen
     • administrador de Information Protection
     • analista de Information Protection
     • Investigador de protección de la información
     • Visor de lista de clasificación de datos
     • Visor de contenido de clasificación de datos
     • Administrador de evaluación de Microsoft Purview
   • Opción 1 : recomendado:
     1. En el panel Grupos de roles de Microsoft Purview, busque Information Protection.
     2. Seleccione el grupo de roles Information Protection y seleccione Copiar.
     3. Asígnele el nombre "Preview - Information Protection" y seleccione Create copy (Crear copia).
     4. Seleccione Vista previa: Information Protection y seleccione Editar.
     5. En la página Roles , + Elija roles y busque "lector".
     6. Seleccione estos cuatro roles: lector de mapas de datos, lector de conclusiones, lector de examen, lector de origen.
     7. Agregue la cuenta de usuario de prueba Microsoft Purview Information Protection administrador a este nuevo grupo copiado y complete el asistente.
   • Opción 2: usa grupos integrados (proporcionará más permisos de los necesarios)
     1. Coloque una nueva cuenta de usuario de prueba de administrador Microsoft Purview Information Protection dentro de los grupos integrados para Information Protection, lectores de Data Estate Insights y administradores de orígenes de datos.
2. Propietario o Administración de datos: este usuario habilitará el origen para la aplicación de directivas de datos en Microsoft Purview para orígenes de Azure y Amazon S3.

Creación de una directiva de protección

Después de comprobar los requisitos previos y preparar la instancia y el origen de Microsoft Purview para las directivas de protección y esperar al menos 24 horas después del examen más reciente, complete los pasos siguientes para crear las directivas de protección:

1. Inicie sesión en el portal > de Microsoft PurviewInformation Protection directivas de tarjeta>. Si no se muestra la tarjeta de solución Information Protection, seleccione Ver todas las soluciones y, a continuación, seleccione Information Protection en la sección Seguridad de datos.

2. Seleccione Directivas de protección.

3. Seleccione + Nueva directiva de protección.

4. Escriba un nombre y una descripción y seleccione Siguiente.

5. Seleccione + Agregar etiqueta de confidencialidad para agregar etiquetas de confidencialidad para detectar para la directiva y seleccione todas las etiquetas a las que desea aplicar la directiva.

6. Seleccione Agregar y, a continuación, seleccione Siguiente.

7. Seleccione los orígenes a los que desea aplicar la directiva.

   1. En Orígenes de Fabric, seleccione solo Fabric y seleccione Siguiente. (Para obtener más información, consulte la documentación de Fabric).
   2. Para Azure orígenes, puede seleccionar varios orígenes. Seleccione el botón Editar para administrar el ámbito de cada origen que seleccione.

8. En función del origen, seleccione el botón + Incluir de la parte superior para agregar hasta 10 recursos a la lista de ámbitos. La directiva se aplica a todos los recursos que seleccione.

   Nota:

   Actualmente, se admite un máximo de 10 recursos y debe seleccionarlos en Editar para que estén habilitados. Si la cuenta de almacenamiento de Azure habilita la clave administrada por el cliente, la cuenta de almacenamiento no funciona para la directiva de protección.

9. Seleccione Agregar y, a continuación, seleccione Listo cuando se complete la lista de orígenes.

10. En función del origen, seleccione el tipo de directiva de protección que desea crear.

    1. Para los orígenes de Fabric, siga las directivas de protección de la documentación de Fabric.
    2. Para otros orígenes, seleccione los usuarios a los que NO se deniega el acceso en función de la etiqueta. A todos los usuarios de su organización se les deniega el acceso a los elementos etiquetados, excepto a los usuarios y grupos que agregue aquí.

Importante

Asegúrese de incluir las cuentas de entidad de servicio que ejecuten Gobierno de datos de Microsoft Purview Examina los orígenes con ámbito en un grupo de seguridad. Agregue este grupo de seguridad a la lista de directivas de protección permitidas. Esta acción impide que las restricciones de acceso en los archivos etiquetados bloqueen exámenes futuros.

1. Seleccione Siguiente.
2. Seleccione si desea activar la directiva de inmediato o no y seleccione Siguiente.
3. Seleccione Enviar.
4. Seleccione Listo.
5. Ahora debería ver la nueva directiva en la lista de directivas de protección. Selecciónelo para confirmar que todos los detalles son correctos.

Administración de la directiva de protección

Para editar o eliminar una directiva de protección existente, siga estos pasos:

1. Abra el portal de Microsoft Purview.
2. Abra la solución Information Protection.
3. Seleccione Directivas y, a continuación, directivas de protección.
4. Seleccione la directiva que desea administrar.
5. Para cambiar cualquiera de los detalles, seleccione el botón Editar directiva .
6. Para eliminar la directiva, seleccione Eliminar directiva.

Pasos siguientes

• Directivas de protección para orígenes de Azure: obtenga información sobre la disponibilidad de la región, las limitaciones y las características específicas para Azure orígenes de datos.
• Directivas de protección para Fabric: obtenga información sobre las directivas de protección para elementos de Fabric.