Bereitstellen des Ressourcengruppen- und Abonnementzugriffs durch den Datenbesitzer (Vorschau)

Wichtig

Dieses Feature befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen für Azure-Features, die sich in der Beta- oder Vorschauphase befinden oder anderweitig noch nicht allgemein verfügbar sind.

Zugriffsrichtlinien ermöglichen es Ihnen, über Microsoft Purview den Zugriff auf Datenquellen zu verwalten, die für die Verwaltung der Datennutzung registriert wurden.

Sie können auch eine gesamte Ressourcengruppe oder ein gesamtes Abonnement registrieren und eine einzelne Richtlinie erstellen, die den Zugriff auf alle Datenquellen in dieser Ressourcengruppe oder in diesem Abonnement verwaltet. Diese einzelne Richtlinie umfasst alle vorhandenen Datenquellen und alle Datenquellen, die danach erstellt werden. In diesem Artikel wird beschrieben, wie dies geschieht.

Voraussetzungen

Nur diese Datenquellen sind für Zugriffsrichtlinien für eine Ressourcengruppe oder ein Abonnement aktiviert. Befolgen sie die Anweisungen im Abschnitt Voraussetzungen, der speziell für die Datenquellen in diesen Leitfäden gilt:

(*) Für SQL-Datenquellen werden nur die Aktionen SQL-Leistungsüberwachung und Sicherheitsüberwachung vollständig unterstützt. Für die Aktion Lesen ist eine Problemumgehung erforderlich, die später in diesem Leitfaden beschrieben wird. Die Aktion Ändern wird derzeit für SQL-Datenquellen nicht unterstützt.

Konfiguration

Registrieren von Microsoft Purview als Ressourcenanbieter in anderen Abonnements

Führen Sie diesen Schritt nur aus, wenn die Datenquellen und das Microsoft Purview-Konto zu unterschiedlichen Abonnements gehören. Registrieren Sie Microsoft Purview als Ressourcenanbieter in jedem Abonnement, in dem sich Datenquellen befinden, indem Sie diese Anleitungen befolgen: Azure-Ressourcenanbieter und -typen.

Der Microsoft Purview-Ressourcenanbieter ist:

Microsoft.Purview

Konfigurieren von Berechtigungen für Richtlinienverwaltungsaktionen

In diesem Abschnitt werden die Berechtigungen erläutert, die für die folgenden Aktionen erforderlich sind:

  • Verfügbarmachen einer Datenressource für die Verwaltung der Datennutzung. Dieser Schritt ist erforderlich, bevor in Microsoft Purview eine Richtlinie für diese Ressource erstellt werden kann.
  • Erstellen und Veröffentlichen von Richtlinien in Microsoft Purview

Wichtig

Zurzeit müssen Microsoft Purview-Rollen im Zusammenhang mit Richtlinienvorgängen auf Stammsammlungsebene konfiguriert werden.

Berechtigungen zum Verfügbarmachen einer Datenressource für die Verwaltung der Datennutzung

Um die Umschaltfläche Verwaltung der Datennutzung für eine Datenquelle, Ressourcengruppe oder ein Abonnement zu aktivieren, müssen Benutzer sowohl über bestimmte IAM-Berechtigungen für die Ressource als auch bestimmte Microsoft Purview-Berechtigungen verfügen.

  1. Ein Benutzer muss über eine der folgenden IAM-Rollenkombinationen im ARM-Pfad der Ressource oder einem beliebigen ihm übergeordneten Element (mithilfe von Vererbung) verfügen.

    • IAM-Besitzer
    • Beide IAM Beitragszahler + IAM Benutzerzugang Administrator

    Befolgen Sie die Anleitungen in diesem Leitfaden zur Konfiguration von Azure RBAC-Rollenberechtigungen. Im folgenden Screenshot wird gezeigt, wie Sie in der Benutzeroberfläche des Azure-Portals für die Datenressource auf den Abschnitt „Zugriffssteuerung“ zugreifen, um eine Rollenzuweisung hinzuzufügen:

Screenshot: Zugriff auf die Zugriffssteuerung im Azure-Portal, um eine Rollenzuweisung hinzuzufügen

  1. Darüber hinaus müssen dieselben Benutzer*innen über die Microsoft Purview-Rolle „Datenquellenadministrator“ auf der Ebene Stammsammlungsebene verfügen. Weitere Informationen finden Sie unter Zuweisen von Berechtigungen für Ihre Benutzer. Im folgenden Screenshot wird gezeigt, wie Sie die Rolle „Datenquellenadministrator“ auf Stammsammlungsebene zuweisen:

Screenshot: Zuweisen der Rolle „Datenquellenadministrator“ auf Stammsammlungsebene

Berechtigungen für die Richtlinienerstellung und -veröffentlichung

Die folgenden Berechtigungen sind in Microsoft Purview auf Stammsammlungsebene erforderlich.

  • Die Rolle Richtlinienautor kann Richtlinien erstellen oder bearbeiten.
  • Die Rolle Datenquellenadministrator kann eine Richtlinie veröffentlichen.

Lesen Sie den Abschnitt über die Verwaltung von Microsoft Purview-Rollenzuweisungen in diesem Leitfaden.

Hinweis

Bekannte Probleme im Zusammenhang mit Berechtigungen

  • Zusätzlich zur Microsoft Purview-Rolle Richtlinienautor benötigt ein Benutzer in Azure Active Directory möglicherweise die Berechtigung Verzeichnisleseberechtigter, um eine Datenbesitzerrichtlinie erstellen zu können. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Sie können Berechtigungen für die Rolle Azure AD-Verzeichnisleseberechtigter überprüfen.

Delegierung der Verantwortung für die Zugriffssteuerung an Microsoft Purview

Warnung

  • DIE ROLLE DES IAM-Besitzers für eine Datenquelle kann von der übergeordneten Ressourcengruppe, dem Abonnement oder der Abonnementverwaltungsgruppe geerbt werden.
  • Sobald eine Ressource für die Verwaltung der Datennutzung aktiviert wurde, kann jederRichtlinienautor für die Microsoft Purview-Stammsammlung Zugriffsrichtlinien für sie erstellen, und jederDatenquellenadministrator für die Microsoft Purview-Stammsammlung kann diese Richtlinien später jederzeit veröffentlichen.
  • Jeder Microsoft Purview-Stammsammlungsadministrator kann eine neue Rolle wie Datenquellenadministrator und Richtlinienautor für die Stammsammlung zuweisen.
  • Wenn das Microsoft Purview-Konto gelöscht wird, werden alle veröffentlichten Richtlinien innerhalb eines Zeitraums, der von der spezifischen Datenquelle abhängig ist, nicht mehr erzwungen. Dies kann Auswirkungen sowohl auf die Sicherheit als auch die Verfügbarkeit für Datenzugriff haben.

In diesen Warnungen sind einige empfohlene bewährte Methoden für Berechtigungen aufgeführt:

  • Minimieren Sie die Anzahl von Personen, die die Rolle Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor für den Microsoft Purview-Stamm besitzen.
  • Weisen Sie die Microsoft Purview-Rollen Richtlinienautor und Datenquellenadministrator verschiedenen Personen in der Organisation zu, um gegenseitige Kontrolle zu gewährleisten. Bevor eine Datenrichtlinie in Kraft tritt, muss eine zweite Person (der Datenquellenadministrator) sie überprüfen und ausdrücklich genehmigen, indem er sie veröffentlicht.
  • Ein Microsoft Purview-Konto kann von den Rollen „Mitwirkender“ und „Besitzer“ in IAM gelöscht werden. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt „Zugriffssteuerung (IAM)“ für Ihr Microsoft Purview-Konto navigieren und Rollenzuweisungen auswählen. Sie können auch eine Sperre platzieren, um zu verhindern, dass das Microsoft Purview-Konto über ARM-Sperren gelöscht wird.

Registrieren des Abonnements oder der Ressourcengruppe für die Verwaltung der Datennutzung

Das Abonnement oder die Ressourcengruppe muss bei Microsoft Purview registriert werden, um später Zugriffsrichtlinien definieren zu können.

Um Ihr Abonnement oder Ihre Ressource zu registrieren, befolgen Sie die Anweisungen in den Abschnitten Voraussetzungen und Registrieren in diesem Leitfaden:

Nachdem Sie Ihre Ressourcen registriert haben, müssen Sie die Verwaltung der Datennutzung aktivieren. Die Verwaltung der Datennutzung erfordert bestimmte Berechtigungen und kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen delegiert, um den Zugriff auf die Datenquellen zu verwalten. Informieren Sie sich mithilfe des folgenden Leitfadens über die sicheren Methoden im Zusammenhang mit der Verwaltung der Datennutzung:Aktivieren der Verwaltung der Datennutzung in Ihren Microsoft Purview-Quellen

Am Ende ist die Umschaltfläche Verwaltung der Datennutzung für Ihre Ressource auf Aktiviert festgelegt, wie in der Abbildung gezeigt:

Screenshot der Registrierung einer Ressourcengruppe oder eines Abonnements für eine Richtlinie durch Umschalten des Schiebereglers zum Aktivieren der Option im Ressourcen-Editor

Wichtig

  • Wenn Sie eine Richtlinie für eine Ressourcengruppe oder ein Abonnement erstellen möchten und sie in SQL-Servern mit Arc-Unterstützung erzwungen haben, müssen Sie diese Server außerdem unabhängig zur Verwaltung der Datennutzung registrieren, um deren App-ID bereitstellen zu können.

Erstellen und Veröffentlichen einer Datenbesitzerrichtlinie

Führen Sie die Schritte in den Abschnitten Erstellen einer neuen Richtlinie und Veröffentlichen einer Richtlinie des Tutorials zum Erstellen von Datenbesitzerrichtlinien aus. Das Ergebnis ist eine Datenbesitzerrichtlinie, die dem in der Abbildung gezeigten Beispiel ähnelt: eine Richtlinie, die der Sicherheitsgruppe sg-Finance Zugriff vom Typ Ändern auf die Ressourcengruppe finance-rg erteilt: Verwenden Sie das Feld „Datenquelle“ auf der Benutzeroberfläche „Richtlinie“.

Screenshot einer Beispielrichtlinie für Datenbesitzer zum Erteilen des Zugriffs auf eine Ressourcengruppe

Wichtig

  • Veröffentlichen ist ein Hintergrundvorgang. Es kann beispielsweise bis zu zwei Stunden dauern, bis für Azure Storage-Konten die Änderungen wirksam werden.
  • Das Ändern einer Richtlinie erfordert keinen neuen Veröffentlichungsvorgang. Die Änderungen werden beim nächsten Pull übernommen.

Warnung

Bekannte Probleme

  • Es werden keine impliziten Verbindungsberechtigungen für SQL-Datenquellen (z. B. Azure SQL-Datenbank, SQL Server auf Servern mit Azure Arc-Unterstützung) bereitgestellt, wenn Sie eine Richtlinie mit Leseaktion für eine Ressourcengruppe oder ein Abonnement erstellen. Um dieses Szenario zu unterstützen, geben Sie die Verbindungsberechtigung für die Azure AD-Prinzipale lokal an, d. h. direkt in den SQL-Datenquellen.

Zusätzliche Informationen

  • Durch das Erstellen einer Richtlinie auf Abonnement- oder Ressourcengruppenebene können die Antragsteller auf Azure Storage-Systemcontainer zugreifen, z. B. auf $logs. Wenn Sie dies nicht wünschen, überprüfen Sie zunächst die Datenquelle, und erstellen Sie anschließend jeweils differenziertere Richtlinien (auf Container- oder Untercontainerebene).

Grenzwerte

Die Grenze für Microsoft Purview-Richtlinien, die von Speicherkonten durchgesetzt werden können, liegt bei 100 MB pro Abonnement, was ungefähr 100 Richtlinien entspricht.

Nächste Schritte

Überprüfen von Blogs, Demos und verwandten Tutorials