Creación y publicación de directivas de protección para orígenes de Azure (versión preliminar)

Las directivas de control de acceso de protección (directivas de protección) permiten a las organizaciones proteger automáticamente los datos confidenciales en los orígenes de datos. Microsoft Purview ya examina los recursos de datos e identifica elementos de datos confidenciales, y esta nueva característica permite restringir automáticamente el acceso a esos datos mediante etiquetas de confidencialidad de Microsoft Purview Information Protection.

Las directivas de protección garantizan que los administradores de empresa deben autorizar el acceso a los datos para un tipo de confidencialidad. Una vez habilitadas estas directivas, el control de acceso se impone automáticamente cada vez que se detecta información confidencial con Microsoft Purview Information Protection.

Acciones admitidas

• Restrinja el acceso a los recursos de datos etiquetados para que solo los usuarios y grupos seleccionados puedan acceder a ellos.
• Acción configurada en etiquetas de confidencialidad en la solución Microsoft Purview Information Protection.

Orígenes admitidos

• Base de datos SQL de Azure
• Azure Blob Storage
• Azure Data Lake Storage Gen2

Requisitos previos

• 1 Microsoft 365 E5 licencias y configuración del modelo de facturación de pago por uso. Para comprender la facturación de pago por activos protegidos, consulte el modelo de facturación de pago por uso. Para obtener información sobre las licencias específicas necesarias, consulte esta información sobre las etiquetas de confidencialidad. Microsoft 365 E5 licencias de prueba se pueden obtener para el inquilino navegando aquí desde su entorno.

• Las cuentas existentes de Microsoft Purview se actualizaron al modelo de inquilino único de Microsoft Purview y a la nueva experiencia del portal, con la versión empresarial de Microsoft Purview.

1. Configurar usuarios y permisos.

2. Cree o extienda etiquetas de confidencialidad de Microsoft Purview Information Protection a recursos de Mapa de datos.

3. Registrar orígenes: registre cualquiera de estos orígenes que le gusten:

   1. Base de datos SQL de Azure
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Nota

   Para continuar, debe ser administrador del origen de datos en la colección donde está registrado el origen de almacenamiento de Azure.

4. Habilitación de la aplicación de directivas de datos

   1. Vaya al nuevo portal de Microsoft Purview.
   2. Seleccione la pestaña Mapa de datos en el menú de la izquierda.
   3. Seleccione la pestaña Orígenes de datos en el menú de la izquierda.
   4. Seleccione el origen donde desea habilitar la aplicación de directivas de datos.
   5. Establezca el botón de alternancia Aplicación de directivas de datosen Activado.

5. Examinar orígenes: registre cualquiera de los orígenes que ha registrado.

   1. Base de datos SQL de Azure
   2. Azure Blob Storage
   3. Azure Data Lake Storage Gen2

   Nota

   Espere al menos 24 horas después del escaneo.

Usuarios y permisos

Hay varios tipos de usuarios que necesita y debe configurar los roles y permisos correspondientes para estos usuarios:

1. Microsoft Purview Information Protection Administración: amplios derechos para administrar Information Protection solución: revisar, crear, actualizar o eliminar directivas de protección, etiquetas de confidencialidad y directivas de etiquetado automático y etiquetas, todos los tipos de clasificador. También deben tener acceso completo al explorador de datos, al explorador de actividades, a la información Microsoft Purview Information Protection y a los informes.
   • El usuario necesita los roles del grupo de roles integrado "Information Protection", junto con los nuevos roles para el lector de mapas de datos, el lector de conclusiones, el lector de examen, el lector de origen. Los permisos completos serían:
     • lector de Information Protection
     • Lector de mapas de datos
     • Lector de conclusiones
     • Lector de origen
     • Lector de examen
     • administrador de Information Protection
     • analista de Information Protection
     • Investigador de protección de la información
     • Visor de lista de clasificación de datos
     • Visor de contenido de clasificación de datos
     • Administrador de evaluación de Microsoft Purview
   • Opción 1 : recomendado:
     1. En el panel Grupos de roles de Microsoft Purview, busque Information Protection.
     2. Seleccione el grupo de roles Information Protection y seleccione Copiar.
     3. Asígnele el nombre "Preview - Information Protection" y seleccione Create copy (Crear copia).
     4. Seleccione Vista previa: Information Protection y seleccione Editar.
     5. En la página Roles , + Elija roles y busque "lector".
     6. Seleccione estos cuatro roles: lector de mapas de datos, lector de conclusiones, lector de examen, lector de origen.
     7. Agregue la cuenta de usuario de prueba Microsoft Purview Information Protection administrador a este nuevo grupo copiado y complete el asistente.
   • Opción 2: usa grupos integrados (proporcionará más permisos de los necesarios)
     1. Coloque una nueva cuenta de usuario de prueba de administrador Microsoft Purview Information Protection dentro de los grupos integrados para Information Protection, lectores de Data Estate Insights y administradores de orígenes de datos.
2. Propietario de datos/Administración: este usuario habilitará el origen para la aplicación de directivas de datos en Microsoft Purview para orígenes de Azure y Amazon S3.

Creación de una directiva de protección

Ahora que ha comprobado los requisitos previos y ha preparado la instancia y el origen de Microsoft Purview para las directivas de protección y ha esperado al menos 24 horas después del examen más reciente, siga estos pasos para crear las directivas de protección:

1. Inicie sesión en el portal de Microsoft Purview y seleccione la tarjeta de Information Protection. Si no se muestra la tarjeta de solución Information Protection, seleccione Ver todas las soluciones y, a continuación, seleccione Information Protection en la sección Seguridad de datos.

2. En el panel de navegación izquierdo, seleccione Directivas y, a continuación, directivas de protección.

3. Seleccione Nueva directiva de protección.

4. Proporcione un nombre y una descripción y seleccione Siguiente.

5. Seleccione + Agregar etiqueta de confidencialidad para agregar etiquetas de confidencialidad para detectar para la directiva y seleccione todas las etiquetas a las que desea aplicar la directiva.

6. Seleccione Agregar y, a continuación, seleccione Siguiente.

7. Seleccione los orígenes a los que desea aplicar la directiva. Puede seleccionar varios orígenes. Seleccione Editar para administrar el ámbito de cada uno de los que seleccione.

8. En función del origen, seleccione el botón + Incluir en la parte superior para agregar hasta 10 recursos a la lista de ámbitos. La directiva se aplicará a todos los recursos que seleccione.

   Nota

   Actualmente se admite un máximo de 10 recursos y se deben seleccionar en Editar para que estén habilitados.

9. Seleccione Agregar y, a continuación, seleccione Listo cuando se complete la lista de orígenes.

10. En función del origen, seleccione el tipo de directiva de protección que desea crear.

11. Seleccione los usuarios a los que NO se denegará el acceso en función de la etiqueta. A todos los usuarios de su organización se les denegará el acceso a los elementos etiquetados, excepto a los usuarios y grupos que agregue aquí.

    Importante

    Asegúrese de que las cuentas de entidad de servicio que ejecutan exámenes de gobernanza de datos para los orígenes con ámbito se incluyan en un grupo de seguridad. Agregue este grupo de seguridad a la lista de directivas de protección permitidas. Esto impedirá que los exámenes futuros se bloqueen mediante restricciones de acceso en los archivos etiquetados.

12. Seleccione Siguiente.

13. Elija si activa la directiva de inmediato o no y seleccione Siguiente.

14. Seleccione Enviar.

15. Seleccione Listo.

Ahora debería ver la nueva directiva en la lista de directivas de protección. Selecciónelo para confirmar que todos los detalles son correctos.

Administración de la directiva de protección

Para editar o eliminar una directiva de protección existente, siga estos pasos:

1. Abra el portal de Microsoft Purview.
2. Abra la solución Information Protection.
3. Seleccione Directivas y, a continuación, directivas de protección.
4. Seleccione la directiva que desea administrar.
5. Para cambiar cualquiera de los detalles, seleccione el botón Editar directiva .
6. Para eliminar la directiva, seleccione Eliminar directiva.