Erste Schritte mit Schutzrichtlinien (Vorschau)

Schutzzugriffssteuerungsrichtlinien (Schutzrichtlinien) helfen Organisationen dabei, vertrauliche Daten automatisch datenquellenübergreifend zu schützen. Microsoft Purview scannt bereits Datenressourcen und identifiziert vertrauliche Datenelemente. Mit diesem neuen Feature können Sie den Zugriff auf diese Daten mithilfe von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection automatisch einschränken.

Schutzrichtlinien stellen sicher, dass Unternehmensadministratoren den Datenzugriff für einen Vertraulichkeitstyp autorisieren müssen. Nachdem Sie diese Richtlinien aktiviert haben, wird die Zugriffssteuerung automatisch erzwungen, wenn Information Protection vertrauliche Informationen erkennt.

Unterstützte Aktionen

• Schränken Sie den Zugriff auf bezeichnete Datenressourcen ein, sodass nur von Ihnen ausgewählte Benutzer und Gruppen darauf zugreifen können.
• Konfigurieren Sie die Aktion für Vertraulichkeitsbezeichnungen in der Information Protection Lösung.

Unterstützte Datenquellen

• Azure Quellen:
  • Azure SQL-Datenbank
  • Azure Blob Storage
  • Azure Data Lake Storage Gen2
• Microsoft Fabric

Tipp

In diesem Artikel werden allgemeine Schritte für alle Schutzrichtlinien behandelt. Die verfügbaren Datenquellenartikel behandeln Besonderheiten wie verfügbare Regionen, Einschränkungen und spezifische Features für diese Datenquellen.

Voraussetzungen

• 1 Microsoft 365 E5 Lizenzen und Einrichten des Abrechnungsmodells mit nutzungsbasierter Bezahlung. Informationen zum Verständnis der nutzungsbasierten Abrechnung nach geschützten Ressourcen finden Sie im Abrechnungsmodell mit nutzungsbasierter Bezahlung. Informationen zu den erforderlichen Lizenzen finden Sie in diesen Informationen zu Vertraulichkeitsbezeichnungen. Microsoft 365 E5 Testlizenzen können für Ihren Mandanten abgerufen werden, indem Sie von Ihrer Umgebung aus hierher navigieren.

Azure Quellen

1. Konfigurieren sie Benutzer und Berechtigungen.

2. Erstellen oder erweitern Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection auf Data Map-Ressourcen.

3. Registrieren von Quellen: Registrieren Sie eine der folgenden Quellen, die Sie möchten:

   1. Azure SQL-Datenbank
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Hinweis

   Um fortzufahren, müssen Sie ein Datenquellenadministrator in der Sammlung sein, in der Ihre Azure Speicherquelle registriert ist.

4. Aktivieren der Datenrichtlinienerzwingung

   1. Wechseln Sie zum neuen Microsoft Purview-Portal.
   2. Wählen Sie im linken Menü die Registerkarte Data Map aus.
   3. Wählen Sie im linken Menü die Registerkarte Datenquellen aus.
   4. Wählen Sie die Quelle aus, in der Sie die Datenrichtlinienerzwingung aktivieren möchten.
   5. Legen Sie die Umschaltfläche Datenrichtlinienerzwingung auf Ein fest.

5. Quellen überprüfen: Registrieren Sie alle Von Ihnen registrierten Quellen.

   1. Azure SQL-Datenbank
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Hinweis

   Warten Sie nach dem Scannen mindestens 24 Stunden.

Microsoft Fabric

Weitere Informationen finden Sie im Artikel Übersicht über Fabric-Schutzrichtlinien.

Benutzer und Berechtigungen für Azure Quellen

Es gibt mehrere Arten von Benutzern, die Sie benötigen, und Sie müssen die entsprechenden Rollen und Berechtigungen für diese Benutzer einrichten:

1. Microsoft Purview Information Protection Admin : Umfassende Rechte zum Verwalten Information Protection Lösung: Überprüfen/Erstellen/Aktualisieren/Löschen von Schutzrichtlinien, Vertraulichkeitsbezeichnungen und Richtlinien für Bezeichnungen/automatische Bezeichnungen, alle Klassifizierertypen. Sie sollten auch Vollzugriff auf Daten-Explorer, Aktivitäts-Explorer, Microsoft Purview Information Protection Insights und Berichte haben.
   • Der Benutzer benötigt die Rollen aus der integrierten Rollengruppe "Information Protection" sowie neue Rollen für Data Map-Leser, Insights-Leser, Scanleser und Quellleser. Vollständige Berechtigungen wären:
     • Information Protection Leser
     • Data Map Reader
     • Insights-Leser
     • Quellleseberechtigter
     • Scanleseberechtigter
     • Information Protection Administrator
     • Information Protection Analyst
     • Informationsschutzermittler
     • Datenklassifizierungslisten-Viewer
     • Inhaltsanzeige zur Datenklassifizierung
     • Microsoft Purview-Evaluierungsadministrator
   • Option 1 – Empfohlen:
     1. Suchen Sie im Bereich Microsoft Purview-Rollengruppen nach Information Protection.
     2. Wählen Sie die rollengruppe Information Protection und dann Kopieren aus.
     3. Geben Sie ihr den Namen "Vorschau – Information Protection", und wählen Sie Kopie erstellen aus.
     4. Wählen Sie Vorschau – Information Protection und dann Bearbeiten aus.
     5. Wählen Sie auf der Seite Rollendie Option + Rollen auswählen aus, und suchen Sie nach "Leser".
     6. Wählen Sie diese vier Rollen aus: Datenzuordnungsleser, Insights-Leser, Scanleser, Quellleser.
     7. Fügen Sie der neuen kopierten Gruppe das Microsoft Purview Information Protection Administrator-Testbenutzerkonto hinzu, und schließen Sie den Assistenten ab.
   • Option 2: Verwendet integrierte Gruppen (bietet mehr Berechtigungen als erforderlich)
     1. Platzieren Sie ein neues Microsoft Purview Information Protection Administratortestbenutzerkonto in den integrierten Gruppen für Information Protection, Data Estate Insights-Leser und Datenquellenadministratoren.
2. Datenbesitzer/Admin: Dieser Benutzer aktiviert Ihre Quelle für die Erzwingung von Datenrichtlinien in Microsoft Purview für Azure- und Amazon S3-Quellen.

Erstellen einer Schutzrichtlinie

Nachdem Sie die Voraussetzungen überprüft und Ihre Microsoft Purview-instance und -Quelle für Schutzrichtlinien vorbereitet haben und mindestens 24 Stunden nach der letzten Überprüfung warten, führen Sie die folgenden Schritte aus, um Ihre Schutzrichtlinien zu erstellen:

1. Melden Sie sich beim Microsoft Purview-Portal>an Information ProtectionKarte-Richtlinien>. Wenn die Information Protection Lösung Karte nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt DatensicherheitInformation Protection aus.

2. Wählen Sie Schutzrichtlinien aus.

3. Wählen Sie + Neue Schutzrichtlinie aus.

4. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie Weiter aus.

5. Wählen Sie + Vertraulichkeitsbezeichnung hinzufügen aus, um Vertraulichkeitsbezeichnungen hinzuzufügen, die für die Richtlinie erkannt werden sollen, und wählen Sie alle Bezeichnungen aus, auf die die Richtlinie angewendet werden soll.

6. Wählen Sie Hinzufügen und dann Weiter aus.

7. Wählen Sie die Quellen aus, auf die Sie die Richtlinie anwenden möchten.

   1. Wählen Sie für Fabric-Quellen nur Fabric und dann Weiter aus. (Weitere Informationen finden Sie in der Fabric-Dokumentation.)
   2. Für Azure Quellen können Sie mehrere Quellen auswählen. Wählen Sie die Schaltfläche Bearbeiten aus, um den Bereich für jede ausgewählte Quelle zu verwalten.

8. Wählen Sie je nach Quelle oben die Schaltfläche + Einschließen aus, um Ihrer Bereichsliste bis zu 10 Ressourcen hinzuzufügen. Die Richtlinie gilt für alle ressourcen, die Sie auswählen.

   Hinweis

   Derzeit werden maximal 10 Ressourcen unterstützt, und Sie müssen sie unter Bearbeiten auswählen, damit sie aktiviert werden können. Wenn das Azure Speicherkonto den kundenseitig verwalteten Schlüssel aktiviert, funktioniert das Speicherkonto nicht für die Schutzrichtlinie.

9. Wählen Sie Hinzufügen und dann Fertig aus, wenn Die Liste der Quellen abgeschlossen ist.

10. Wählen Sie je nach Quelle den Typ der Schutzrichtlinie aus, die Sie erstellen möchten.

    1. Befolgen Sie für Fabric-Quellen die Schutzrichtlinien für die Fabric-Dokumentation.
    2. Wählen Sie für andere Quellen die Benutzer aus, denen der Zugriff NICHT verweigert wird, basierend auf der Bezeichnung. Jeder Person in Ihrer Organisation wird der Zugriff auf bezeichnete Elemente verweigert, mit Ausnahme der Benutzer und Gruppen, die Sie hier hinzufügen.

Wichtig

Stellen Sie sicher, dass Sie alle Dienstprinzipalkonten einschließen, die Microsoft Purview Data Governance Überprüfungen für die bereichsbezogenen Quellen in einer Sicherheitsgruppe ausführen. Fügen Sie diese Sicherheitsgruppe der Liste der zulässigen Schutzrichtlinien hinzu. Diese Aktion verhindert, dass zukünftige Überprüfungen durch Zugriffsbeschränkungen für bezeichnete Dateien blockiert werden.

1. Wählen Sie Weiter aus.
2. Wählen Sie aus, ob die Richtlinie sofort aktiviert werden soll, und wählen Sie Weiter aus.
3. Wählen Sie Senden aus.
4. Wählen Sie Fertig aus.
5. Ihre neue Richtlinie sollte nun in der Liste der Schutzrichtlinien angezeigt werden. Wählen Sie es aus, um zu bestätigen, dass alle Details korrekt sind.

Verwalten von Schutzrichtlinien

Führen Sie die folgenden Schritte aus, um eine vorhandene Schutzrichtlinie zu bearbeiten oder zu löschen:

1. Öffnen Sie das Microsoft Purview-Portal.
2. Öffnen Sie die Information Protection Projektmappe.
3. Wählen Sie Richtlinien und dann Schutzrichtlinien aus.
4. Wählen Sie die Richtlinie aus, die Sie verwalten möchten.
5. Um die Details zu ändern, wählen Sie die Schaltfläche Richtlinie bearbeiten aus.
6. Um die Richtlinie zu löschen, wählen Sie Richtlinie löschen aus.

Nächste Schritte

• Schutzrichtlinien für Azure Quellen: Erfahren Sie mehr über die Verfügbarkeit von Regionen, Einschränkungen und spezifische Features für Azure Datenquellen.
• Schutzrichtlinien für Fabric: Erfahren Sie mehr über Schutzrichtlinien für Fabric-Elemente.