Creación y publicación de directivas de protección para orígenes de Azure (versión preliminar)
Artículo
Las directivas de control de acceso de protección (directivas de protección) permiten a las organizaciones proteger automáticamente los datos confidenciales en los orígenes de datos. Microsoft Purview ya examina los recursos de datos e identifica elementos de datos confidenciales, y esta nueva característica permite restringir automáticamente el acceso a esos datos mediante etiquetas de confidencialidad de Microsoft Purview Information Protection.
Las directivas de protección garantizan que los administradores de empresa deben autorizar el acceso a los datos para un tipo de confidencialidad. Una vez habilitadas estas directivas, el control de acceso se impone automáticamente cada vez que se detecta información confidencial con Microsoft Purview Information Protection.
Acciones admitidas
Restrinja el acceso a los recursos de datos etiquetados para que solo los usuarios y grupos seleccionados puedan acceder a ellos.
Acción configurada en etiquetas de confidencialidad en la solución Microsoft Purview Information Protection.
Orígenes admitidos
Base de datos SQL de Azure
Azure Blob Storage
Azure Data Lake Storage Gen2
Requisitos previos
1 Microsoft 365 E5 licencias y configuración del modelo de facturación de pago por uso. Para comprender la facturación de pago por activos protegidos, consulte el modelo de facturación de pago por uso. Para obtener información sobre las licencias específicas necesarias, consulte esta información sobre las etiquetas de confidencialidad. Microsoft 365 E5 licencias de prueba se pueden obtener para el inquilino navegando aquí desde su entorno.
Hay varios tipos de usuarios que necesita y debe configurar los roles y permisos correspondientes para estos usuarios:
Microsoft Purview Information Protection Administración: amplios derechos para administrar Information Protection solución: revisar, crear, actualizar o eliminar directivas de protección, etiquetas de confidencialidad y directivas de etiquetado automático y etiquetas, todos los tipos de clasificador. También deben tener acceso completo al explorador de datos, al explorador de actividades, a la información Microsoft Purview Information Protection y a los informes.
El usuario necesita los roles del grupo de roles integrado "Information Protection", junto con los nuevos roles para el lector de mapas de datos, el lector de conclusiones, el lector de examen, el lector de origen. Los permisos completos serían:
lector de Information Protection
Lector de mapas de datos
Lector de conclusiones
Lector de origen
Lector de examen
administrador de Information Protection
analista de Information Protection
Investigador de protección de la información
Visor de lista de clasificación de datos
Visor de contenido de clasificación de datos
Administrador de evaluación de Microsoft Purview
Opción 1 : recomendado:
En el panel Grupos de roles de Microsoft Purview, busque Information Protection.
Seleccione el grupo de roles Information Protection y seleccione Copiar.
Asígnele el nombre "Preview - Information Protection" y seleccione Create copy (Crear copia).
Seleccione Vista previa: Information Protection y seleccione Editar.
En la página Roles , + Elija roles y busque "lector".
Seleccione estos cuatro roles: lector de mapas de datos, lector de conclusiones, lector de examen, lector de origen.
Agregue la cuenta de usuario de prueba Microsoft Purview Information Protection administrador a este nuevo grupo copiado y complete el asistente.
Opción 2: usa grupos integrados (proporcionará más permisos de los necesarios)
Coloque una nueva cuenta de usuario de prueba de administrador Microsoft Purview Information Protection dentro de los grupos integrados para Information Protection, lectores de Data Estate Insights y administradores de orígenes de datos.
Propietario de datos/Administración: este usuario habilitará el origen para la aplicación de directivas de datos en Microsoft Purview para orígenes de Azure y Amazon S3.
Inicie sesión en el portal de Microsoft Purview y seleccione la tarjeta de Information Protection. Si no se muestra la tarjeta de solución Information Protection, seleccione Ver todas las soluciones y, a continuación, seleccione Information Protection en la sección Seguridad de datos.
En el panel de navegación izquierdo, seleccione Directivas y, a continuación, directivas de protección.
Seleccione Nueva directiva de protección.
Proporcione un nombre y una descripción y seleccione Siguiente.
Seleccione + Agregar etiqueta de confidencialidad para agregar etiquetas de confidencialidad para detectar para la directiva y seleccione todas las etiquetas a las que desea aplicar la directiva.
Seleccione Agregar y, a continuación, seleccione Siguiente.
Seleccione los orígenes a los que desea aplicar la directiva. Puede seleccionar varios orígenes. Seleccione Editar para administrar el ámbito de cada uno de los que seleccione.
En función del origen, seleccione el botón + Incluir en la parte superior para agregar hasta 10 recursos a la lista de ámbitos. La directiva se aplicará a todos los recursos que seleccione.
Nota
Actualmente se admite un máximo de 10 recursos y se deben seleccionar en Editar para que estén habilitados.
Seleccione Agregar y, a continuación, seleccione Listo cuando se complete la lista de orígenes.
En función del origen, seleccione el tipo de directiva de protección que desea crear.
Seleccione los usuarios a los que NO se denegará el acceso en función de la etiqueta. A todos los usuarios de su organización se les denegará el acceso a los elementos etiquetados, excepto a los usuarios y grupos que agregue aquí.
Importante
Asegúrese de que las cuentas de entidad de servicio que ejecutan exámenes de gobernanza de datos para los orígenes con ámbito se incluyan en un grupo de seguridad. Agregue este grupo de seguridad a la lista de directivas de protección permitidas. Esto impedirá que los exámenes futuros se bloqueen mediante restricciones de acceso en los archivos etiquetados.
Seleccione Siguiente.
Elija si activa la directiva de inmediato o no y seleccione Siguiente.
Seleccione Enviar.
Seleccione Listo.
Ahora debería ver la nueva directiva en la lista de directivas de protección. Selecciónelo para confirmar que todos los detalles son correctos.
Administración de la directiva de protección
Para editar o eliminar una directiva de protección existente, siga estos pasos:
Microsoft Purview sensitivity labels enable you to classify and protect sensitive data throughout your organization, including in the cloud and on devices. This module covers how to classify and protect sensitive information to ensure its security and compliance.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.