Implementieren der Datenklassifizierung vertraulicher Informationen mithilfe des Microsoft Purview-Governanceportals

  • 7 Minuten

Verwalten von Datenquellen in Microsoft Purview

  1. Registrieren
  2. Scannen und Erfassen
  3. Klassifizieren

Die Bezeichnung in Microsoft Purview Data Map befindet sich derzeit in der VORSCHAUPHASE.

Ergänzende Nutzungsbedingungen für Microsoft Azure-Vorschauversionen

Azure kann Features, Dienste, Software oder Regionen aus Vorschau-, Beta- oder sonstigen Vorabversionen enthalten, die von Microsoft optional zu Evaluierungszwecken angeboten werden („Vorschauversionen“). Vorschauversionen sind im Rahmen Ihrer Vereinbarung zur Nutzung von Azure lizenziert und unterliegen den Bedingungen für Vorschauversionen.

Bestimmte, namentlich genannte Vorschauversionen unterliegen gegebenenfalls den unten aufgeführten Zusatzbestimmungen. Diese Vorschauversionen werden Ihnen in Anwendung dieser Zusatzbestimmungen zur Verfügung gestellt, die Ihren Vertrag zur Nutzung von Azure ergänzen. Die hier nicht definierten großgeschriebenen Begriffe haben die in Ihrer Vereinbarung dargelegte Bedeutung. Wenn Sie diesen Bedingungen nicht zustimmen, verwenden Sie die Vorschauversion(en) nicht.

Registrieren einer neuen Quelle

Hinweis

Sie müssen ein Datenquellenadministrator sein und über eine der anderen Purview-Rollen (z. B. Datenleser oder Data Share-Mitwirkender) verfügen, um eine Quelle zu registrieren und im Microsoft Purview-Governanceportal zu verwalten.

Nachdem Sie Ihre Datenquelle registriert haben, können Sie in Microsoft Purview Ihre Quelle scannen, um technische Metadaten zu erfassen, Schemas zu extrahieren und Klassifizierungen auf Ihre Daten anzuwenden.

Voraussetzungen

Hier ist eine Liste aller Quellen, die derzeit zum Registrieren und Überprüfen in Microsoft Purview verfügbar sind.

Bevor Sie Ihre Datenquelle überprüfen können, müssen Sie die folgenden Schritte ausführen:

  1. Registrieren Ihrer Datenquelle: Dadurch erhält Microsoft Purview im Wesentlichen die Adresse Ihrer Datenquelle und ordnet sie einer Sammlung in Microsoft Purview Data Map zu.
  2. Berücksichtigen Sie Ihr Netzwerk, und wählen Sie die richtige Integration Runtime-Konfiguration für Ihr Szenario aus.
  3. Berücksichtigen Sie, welche Anmeldeinformationen Sie zum Herstellen einer Verbindung mit Ihrer Quelle verwenden werden. Alle Quellseiten verfügen über den Abschnitt „Überprüfen“, der Details dazu enthält, welche Authentifizierungstypen verfügbar sind.

Scans und Einnahme in Microsoft Purview

Das Scannen und Erfassen von Features in Microsoft Purview verbindet Ihr Microsoft Purview-Konto mit Ihren Quellen, um die Datenzuordnung und den Datenkatalog aufzufüllen, damit Sie mit der Erkundung und Verwaltung Ihrer Daten über Microsoft Purview beginnen können.

  • Beim Scannen werden die Metadaten aus Datenquellen erfasst und in Microsoft Purview importiert.

  • Der Ingestionsprozess verarbeitet Metadaten und speichert sie im Datenkatalog von beiden Quellen.

    • Datenquellenüberprüfungen – gescannte Metadaten werden der Microsoft Purview Data Map hinzugefügt.
    • Linienverbindungen – Transformationsressourcen fügen Metadaten zu ihren Quellen, Ausgaben und Aktivitäten zur Microsoft Purview Data Map hinzu.

Scannen

Nachdem Datenquellen in Ihrem Microsoft Purview-Konto registriert wurden, besteht der nächste Schritt darin, die Datenquellen zu überprüfen. Der Überprüfungsprozess stellt eine Verbindung mit der Datenquelle her und erfasst technische Metadaten wie Namen, Dateigröße, Spalten usw. Bei diesem Prozess wird auch ein Schema für strukturierte Datenquellen extrahiert. Außerdem werden Klassifizierungen auf Schemas angewendet und Vertraulichkeitsbezeichnungen zugewiesen, wenn Ihre Microsoft Purview Data Map mit einem Microsoft Purview Compliance-Portal verbunden ist. Der Überprüfungprozess kann sofort ausgelöst oder für eine regelmäßige Ausführung geplant werden, um Ihr Microsoft Purview-Konto auf dem neuesten Stand zu halten.

Für jeden Scan gibt es Anpassungen, die Sie anwenden können, damit Sie nur die benötigten Informationen überprüfen, anstatt die gesamte Quelle.

Erstellen eines Scanregelsatzes

In einem Microsoft Purview-Katalog können Sie Überprüfungsregelsätze erstellen, damit Sie die Datenquellen Ihrer Organisation schnell überprüfen können.

Ein Überprüfungsregelsatz ist ein Container zum Gruppieren eines Satzes mit Überprüfungsregeln, damit Sie diese leicht einer Überprüfung zuordnen können. Beispielsweise können Sie einen Standard-Überprüfungsregelsatz für jeden Datenquellentyp erstellen und diese Sätze dann standardmäßig für alle Überprüfungen in Ihrem Unternehmen verwenden. Ggf. möchten Sie auch zulassen, dass Benutzer mit den passenden Berechtigungen je nach geschäftlicher Anforderung weitere Überprüfungsregelsätze mit anderen Konfigurationen erstellen können.

Regelsätze für Systemscans

Bei Überprüfungsregelsätzen des Systems handelt es sich um von Microsoft definierte Überprüfungsregelsätze, die für jeden Microsoft Purview-Katalog automatisch erstellt werden. Jedem Überprüfungsregelsatz des Systems ist ein bestimmter Datenquellentyp zugeordnet. Wenn Sie eine Überprüfung erstellen, können Sie diese einem Überprüfungsregelsatz des Systems zuordnen. Jedes Mal, wenn von Microsoft ein Update dieser Systemregelsätze durchgeführt wird, können Sie sie in Ihrem Katalog aktualisieren und das Update auf alle zugeordneten Überprüfungen anwenden.

Klassifizieren: Datenklassifizierung im Microsoft Purview-Governanceportal

Mithilfe der Datenklassifizierung im Microsoft Purview-Governanceportal können Sie Datenbestände kategorisieren, indem Sie den Datenbeständen eindeutige logische Tags oder Klassen zuweisen. Die Klassifizierung basiert auf dem Aufgabenkontext der Daten. Beispielsweise können Sie Vermögenswerte nach Passnummer, Führerscheinnummer, Kreditkartennummer, SWIFT-Code, Name der Person usw. klassifizieren.

Wenn Sie Datenressourcen klassifizieren, erleichtern Sie deren Verständnis, Suche und Steuerung. Das Klassifizieren von Datenressourcen hilft Ihnen auch, die damit verbundenen Risiken zu verstehen. Dies wiederum kann Ihnen dabei helfen, Maßnahmen zum Schutz sensibler oder wichtiger Daten vor unkontrollierter Verbreitung und unbefugtem Zugriff auf den gesamten Datenbestand zu ergreifen.

Die Microsoft Purview Data Map bietet eine automatisierte Klassifizierungsfunktion, während Sie Ihre Datenquellen überprüfen. Sie erhalten mehr als 200 integrierte Systemklassifizierungen und die Möglichkeit, benutzerdefinierte Klassifizierungen für Ihre Daten zu erstellen. Sie können Ressourcen automatisch klassifizieren, wenn sie als Teil einer konfigurierten Überprüfung aufgenommen werden oder Sie können sie manuell im Microsoft Purview-Governanceportal bearbeiten, nachdem sie gescannt und aufgenommen wurden.

Verwendung von Klassifizierungen

Klassifizierung ist der Prozess der Organisation von Daten in logische Kategorien, die das Abrufen, Sortieren und Identifizieren der Daten für die zukünftige Verwendung erleichtern. Dies kann wichtig für die Datengovernance sein. Unter anderem ist das Klassifizieren von Datenressourcen wichtig, da es Ihnen bei Folgendem hilft:

  • Schränken Sie die Suche nach Datenressourcen ein, an denen Sie interessiert sind.
  • Organisieren und verstehen Sie die Vielzahl von Datenklassen, die in Ihrer Organisation wichtig sind und wo sie gespeichert werden.
  • Verstehen Sie die Risiken, die mit Ihren wichtigsten Datenressourcen verbunden sind, und ergreifen Sie dann geeignete Maßnahmen, um diese zu minimieren.

Klassifizierungstypen

Das Microsoft Purview-Governanceportal unterstützt sowohl System- als auch benutzerdefinierte Klassifizierungen.

  • Systemklassifizierungen: Die Unterstützung von mehr als 200 Systemklassifizierungen ist vorkonfiguriert.
    Im Beispiel in der obigen Abbildung ist Name der Person eine Systemklassifizierung. Die Systemklassifizierung weist das Blitzsymbol zusammen mit dem Klassifizierungsnamen auf. Beim Daraufzeigen auf die Klassifizierung selbst finden Sie weitere Details zur Art der Klassifizierung und weitere Details zur Anwendung der Klassifizierung.
  • Benutzerdefinierte Klassifizierungen: Sie können benutzerdefinierte Klassifizierungen erstellen, wenn Sie Objekte basierend auf einem Muster oder einem bestimmten Spaltennamen klassifizieren möchten, der als Systemklassifizierung nicht verfügbar ist. Benutzerdefinierte Klassifizierungsregeln können auf einem Muster für reguläre Ausdrücke oder einem Wörterbuch basieren.
    Angenommen, die Spalte Employee ID folgt dem EMPLOYEE{GUID}-Muster (z.B. EMPLOYEE9c55c474-9996-420c-a285-0d0fc23f1f55). Sie können eine eigene benutzerdefinierte Klassifizierung erstellen, indem Sie einen regulären Ausdruck verwenden, z. B. \^Employee\[A-Za-z0-9\]{8}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{12}\$.

Hinweis

Vertraulichkeitsbezeichnungen unterscheiden sich von Klassifizierungen. Vertraulichkeitsbezeichnungen kategorisieren Ressourcen im Kontext von Datensicherheit und Datenschutz, z. B. streng vertraulich, eingeschränkt, öffentlich usw. Um Vertraulichkeitsbezeichnungen in Microsoft Purview Data Map zu verwenden, benötigen Sie mindestens eine Microsoft 365-Lizenz oder ein Konto innerhalb desselben Microsoft Entra-Mandanten wie Microsoft Purview Data Map.

Bezeichnung in Microsoft Purview Data Map

Wichtig

Die Bezeichnung in Microsoft Purview Data Map befindet sich derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen für Azure-Features, die sich in der Beta- oder Vorschauphase befinden oder anderweitig noch nicht allgemein verfügbar sind.

Um die Arbeit zu erledigen, arbeiten Personen in Ihrer Organisation mit anderen Personen innerhalb und außerhalb der Organisation zusammen. Daten bleiben nicht immer in Ihrer Cloud und wandern häufig über Geräte, Apps und Dienste hierhin und dorthin. Wenn Ihre Daten verschoben werden, sollen sie dabei weiterhin so sicher sein, dass dies den Geschäfts- und Compliancerichtlinien Ihrer Organisation entspricht.

Durch das Anwenden von Vertraulichkeitsbezeichnungen auf Ihre Inhalte können Sie Ihre Daten schützen, indem Sie angeben, wie vertraulich bestimmte Daten in Ihrer Organisation sind. Außerdem werden die Daten selbst abstrahiert, sodass Sie Bezeichnungen zum Nachverfolgen des Datentyps verwenden, ohne vertrauliche Daten auf einer anderen Plattform verfügbar zu machen.

Wenn Sie beispielsweise die Vertraulichkeitsbezeichnung „Streng vertraulich“ auf ein Dokument anwenden, das eine US-Sozialversicherungsnummer und Kreditkartennummern enthält, können Sie die Vertraulichkeitsstufe des Dokuments ermitteln, ohne die tatsächlichen Daten im Dokument zu kennen.

Vorteile von Bezeichnungen in Microsoft Purview

Mit Microsoft Purview können Sie Vertraulichkeitsbezeichnungen auf Ressourcen anwenden, sodass Sie Ihre Daten klassifizieren und schützen können.

  • Die Bezeichnung wandert mit den Daten: Die Vertraulichkeitsbezeichnungen, die in Microsoft Purview Information Protection erstellt wurden, können auch auf Microsoft Purview Data Map, SharePoint, Teams, Power BI und SQL ausgeweitet werden. Wenn Sie eine Bezeichnung auf ein Office-Dokument anwenden und dann in Microsoft Purview Data Map überprüfen, wird die Bezeichnung auf das Datenobjekt angewendet. Obwohl die Bezeichnung auf die tatsächliche Datei in Microsoft Purview Information Protection angewendet wird, wird sie nur in Form von Metadaten zu der Microsoft Purview-Zuordnung hinzugefügt. Es gibt zwar Unterschiede in der Anwendung einer Bezeichnung auf ein Objekt über verschiedene Dienste/Anwendungen hinweg, Bezeichnungen werden jedoch mit den Daten übergreifend verwendet und von allen Diensten erkannt, auf die Sie sie erweitern.
  • Übersicht über Ihre Daten: Microsoft Purview bietet mithilfe von vorgescannten Berichten Einblicke in Ihre Daten. Wenn Sie Daten in Microsoft Purview Data Map überprüfen, werden die Berichte beispielsweise mit Informationen zu Ihren Ressourcen, dem Überprüfungsverlauf, den in Ihren Daten gefundenen Klassifizierungen, angewendeten Bezeichnungen und Glossarbegriffen aktualisiert.
  • Automatische Bezeichnung: Bezeichnungen können basierend auf der Vertraulichkeit der Daten automatisch angewendet werden. Wenn eine Ressource auf vertrauliche Daten überprüft wird, werden Regeln für die automatische Bezeichnung verwendet, um zu entscheiden, welche Vertraulichkeitsbezeichnung angewendet werden soll. Sie können Regeln für die automatische Bezeichnung für jede Vertraulichkeitsbezeichnung erstellen und definieren, welcher Typ von Klassifizierung bzw. vertraulichen Informationen eine Bezeichnung ausmacht.
  • Anwenden von Bezeichnungen auf Dateien und Datenbankspalten: Bezeichnungen können auf Dateien in Speichern wie Azure Data Lake oder Azure Files sowie auf schematisierte Daten wie Spalten in Azure SQL-Datenbank angewendet werden.

Vertraulichkeitsbezeichnungen sind Tags, die Sie auf Ressourcen anwenden können, um Ihre Daten zu klassifizieren und zu schützen.

Anwenden von Bezeichnungen auf Ressourcen in Microsoft Purview Data Map

Um Bezeichnungen auf Ihre Ressource in der Datenzuordnung anwenden zu können, müssen Sie die folgenden Schritte ausführen:

  1. Erstellen Sie neue oder wenden Sie vorhandene Vertraulichkeitsbezeichnungen im Microsoft Purview-Complianceportal an. Das Erstellen von Vertraulichkeitsbezeichnungen umfasst Regeln für die automatische Bezeichnung, die Ihnen mitteilen, welche Bezeichnung basierend auf den in Ihren Daten gefundenen Klassifizierungen angewendet werden soll.
  2. Registrieren und überprüfen Sie Ihre Ressource in Microsoft Purview Data Map.
  3. Microsoft Purview wendet Klassifizierungen an: Wenn Sie eine Überprüfung einer Ressource planen, scannt Microsoft Purview den Typ der Daten in Ihrer Ressource und wendet in der Datenzuordnung Klassifizierungen darauf an. Die Anwendung von Klassifizierungen wird automatisch von Microsoft Purview durchgeführt, sodass Sie keine Schritte ausführen müssen.
  4. Microsoft Purview wendet Bezeichnungen an: Sobald Klassifizierungen für eine Ressource gefunden wurden, wendet Microsoft Purview in Abhängigkeit von den Regeln für die automatische Bezeichnung entsprechende Bezeichnungen auf die Ressourcen an. Die Anwendung von Klassifizierungen wird automatisch von Microsoft Purview durchgeführt, und Sie müssen keine Schritte ausführen, solange Sie in Schritt 1 Bezeichnungen mit Regeln für die automatische Bezeichnung erstellt haben.

Hinweis

Regeln für die automatische Bezeichnung sind Bedingungen, die Sie angeben, wenn eine bestimmte Bezeichnung angewendet werden soll. Wenn diese Bedingungen erfüllt sind, wird die Bezeichnung den Daten automatisch zugewiesen. Stellen Sie beim Erstellen der Bezeichnungen sicher, dass Sie sowohl für Dateien als auch Datenbankspalten Regeln für die automatische Bezeichnung definieren, um die Bezeichnungen automatisch mit jedem Scan anzuwenden.

Bezeichnungen für SQL-Datenbanken

Zusätzlich zur Bezeichnung von Microsoft Purview Data Map für schematisierte Datenressourcen unterstützt Microsoft auch die Bezeichnung für SQL-Datenbankspalten mithilfe der SQL-Datenklassifizierung in SQL Server Management Studio (SSMS). Während in Microsoft Purview die globalen Vertraulichkeitsbezeichnungen verwendet werden, werden in SSMS nur lokal definierte Bezeichnungen genutzt.

Bei den Bezeichnungen in Microsoft Purview und in SSMS handelt es sich um separate Prozesse, die derzeit nicht miteinander interagieren. Aus diesem Grund werden in SSMS angewendete Bezeichnungen in Microsoft Purview nicht angezeigt (und umgekehrt). Für Bezeichnungen in SQL-Datenbanken empfehlen wir Microsoft Purview, da die Bezeichnungen global und übergreifend für mehrere Plattformen angewendet werden können.