Partager via


Se connecter au stockage Blob Azure dans Microsoft Purview

Cet article décrit le processus d’inscription et de gouvernance des comptes Stockage Blob Azure dans Microsoft Purview, y compris des instructions pour s’authentifier et interagir avec la source Stockage Blob Azure

Fonctionnalités prises en charge

Extraction de métadonnées Analyse complète Analyse incrémentielle Analyse délimitée Classification Étiquetage Stratégie d’accès Traçabilité Partage de données Affichage en direct
Oui Oui Oui Oui Oui Oui Oui (préversion) Limité** Oui Oui

** La traçabilité est prise en charge si le jeu de données est utilisé comme source/récepteur dans Azure Data Factory activités de copie et de Data Flow et [Azure Synapse Pipelines - Activités de copie et de Data Flow] (how-to-lineage-azure-synapse-analytics.md)

Pour les types de fichiers tels que csv, tsv, psv, ssv, le schéma est extrait lorsque les logiques suivantes sont en place :

  • Les valeurs de la première ligne ne sont pas vides
  • Les valeurs de la première ligne sont uniques
  • Les valeurs de la première ligne ne sont pas une date ou un nombre

Configuration requise

** La traçabilité est prise en charge si le jeu de données est utilisé comme source/récepteur dans Data Factory activité Copy

Inscrire

Cette section vous permet d’inscrire le compte de stockage Blob Azure pour l’analyse et le partage de données dans Purview.

Prérequis pour l’inscription

  • Vous devez être un Administration de source de données et l’un des autres rôles Purview (par exemple, Lecteur de données ou Contributeur Data Share) pour inscrire une source et la gérer dans le portail de gouvernance Microsoft Purview. Pour plus d’informations, consultez notre page Autorisations Microsoft Purview .

Étapes d’inscription

Il est important d’inscrire la source de données dans Microsoft Purview avant de configurer une analyse pour la source de données.

  1. Accédez au portail de gouvernance Microsoft Purview en :

  2. Accédez à Data Map --> Sources

    Capture d’écran montrant le lien pour ouvrir le portail de gouvernance Microsoft Purview

    Capture d’écran qui accède au lien Sources dans data map

  3. Créez la hiérarchie collection à l’aide du menu Collections et attribuez des autorisations à des sous-collections individuelles, selon les besoins

    Capture d’écran montrant le menu de collection pour créer une hiérarchie de regroupements

  4. Accédez à la collection appropriée sous le menu Sources et sélectionnez l’icône Inscrire pour inscrire une nouvelle source de données Blob Azure

    Capture d’écran montrant la collection utilisée pour inscrire la source de données

  5. Sélectionnez la source de données Stockage Blob Azure, puis sélectionnez Continuer

    Capture d’écran qui autorise la sélection de la source de données

  6. Fournissez un nom approprié pour la source de données, sélectionnez l’abonnement Azure approprié, le nom du compte Stockage Blob Azure existant et la collection, puis sélectionnez Appliquer. Laissez le bouton bascule Application de la stratégie de données sur la position désactivée jusqu’à ce que vous ayez la possibilité d’examiner attentivement ce document.

    Capture d’écran montrant les détails à entrer pour inscrire la source de données

  7. Le compte de stockage Blob Azure s’affiche sous la collection sélectionnée

    Capture d’écran montrant la source de données mappée à la collection pour lancer l’analyse

Analyser

Pour les types de fichiers tels que csv, tsv, psv, ssv, le schéma est extrait lorsque les logiques suivantes sont en place :

  • Les valeurs de la première ligne ne sont pas vides
  • Les valeurs de la première ligne sont uniques
  • Les valeurs de la première ligne ne sont pas une date ou un nombre

Authentification pour une analyse

Votre réseau Azure peut autoriser les communications entre vos ressources Azure, mais si vous avez configuré des pare-feu, des points de terminaison privés ou des réseaux virtuels dans Azure, vous devez suivre l’une de ces configurations ci-dessous.

Contraintes de mise en réseau Type de runtime d’intégration Types d’informations d’identification disponibles
Aucun point de terminaison ou pare-feu privé Azure IR Identité managée (recommandé), principal de service ou clé de compte
Pare-feu activé, mais aucun point de terminaison privé Azure IR Identité gérée
Points de terminaison privés activés *Runtime d’intégration auto-hébergé Principal de service, clé de compte

*Pour utiliser un runtime d’intégration auto-hébergé, vous devez d’abord choisir celui qui convient à votre scénario, en créer un et confirmer vos paramètres réseau pour Microsoft Purview.

Utilisation d’une identité managée affectée par le système ou l’utilisateur pour l’analyse

Vous pouvez utiliser deux types d’identité managée :

  • Identité managée affectée par le système (recommandé) : dès que le compte Microsoft Purview est créé, une identité managée affectée par le système (SAMI) est créée automatiquement dans Microsoft Entra locataire. Selon le type de ressource, des attributions de rôles RBAC spécifiques sont requises pour que l’identité managée affectée par le système (SAMI) Microsoft Purview effectue les analyses.

  • Identité managée affectée par l’utilisateur (préversion) : à l’instar d’une identité managée système, une identité managée affectée par l’utilisateur (UAMI) est une ressource d’informations d’identification qui peut être utilisée pour permettre à Microsoft Purview de s’authentifier auprès de Microsoft Entra ID. Pour plus d’informations, consultez notre guide sur les identités managées affectées par l’utilisateur. Il est important de donner à votre compte Microsoft Purview l’autorisation d’analyser la source de données d’objets blob Azure. Vous pouvez ajouter l’accès pour la SAMI ou l’UAMI au niveau de l’abonnement, du groupe de ressources ou de la ressource, selon le niveau d’autorisation d’analyse nécessaire.

Remarque

Si le pare-feu est activé pour le compte de stockage, vous devez utiliser la méthode d’authentification d’identité managée lors de la configuration d’une analyse.

Remarque

Vous devez être propriétaire de l’abonnement pour pouvoir ajouter une identité managée sur une ressource Azure.

  1. Dans le Portail Azure, recherchez l’abonnement, le groupe de ressources ou la ressource (par exemple, un compte de stockage Blob Azure) que vous souhaitez autoriser l’analyse du catalogue.

    Capture d’écran montrant le compte de stockage

  2. Sélectionnez Access Control (IAM) dans le volet de navigation gauche, puis + Ajouter --Ajouter une attribution de rôle>

    Capture d’écran montrant le contrôle d’accès pour le compte de stockage

  3. Définissez le Rôle sur Lecteur de données Blob du stockage et entrez le nom de votre compte Microsoft Purview ou votre identité managée affectée par l’utilisateur sous la zone d’entrée Sélectionner . Sélectionnez ensuite Enregistrer pour attribuer cette attribution de rôle à votre compte Microsoft Purview.

    Capture d’écran montrant les détails permettant d’attribuer des autorisations pour le compte Microsoft Purview

  4. Accédez à votre compte de stockage Blob Azure dans Portail Azure

  5. Accédez à Sécurité + mise en réseau >

  6. Choisissez Réseaux sélectionnés sous Autoriser l’accès à partir de

  7. Dans la section Exceptions, sélectionnez Autoriser les services Microsoft approuvés à accéder à ce compte de stockage, puis appuyez sur Enregistrer.

    Capture d’écran montrant les exceptions permettant aux services Microsoft approuvés d’accéder au compte de stockage

Utilisation de la clé de compte pour l’analyse

Lorsque la méthode d’authentification sélectionnée est Clé de compte, vous devez obtenir votre clé d’accès et la stocker dans le coffre de clés :

  1. Accédez à votre compte de stockage Blob Azure

  2. Sélectionnez Sécurité + mise en réseau > Clés d’accès

    Capture d’écran montrant les clés d’accès dans le compte de stockage

  3. Copiez votre clé et enregistrez-la séparément pour les étapes suivantes

    Capture d’écran montrant les clés d’accès à copier

  4. Accédez à votre coffre de clés

    Capture d’écran montrant le coffre de clés

  5. Sélectionnez Paramètres > Secrets , puis + Générer/Importer

    Capture d’écran montrant l’option de coffre de clés pour générer un secret

  6. Entrez le Nom et la Valeur comme clé de votre compte de stockage

    Capture d’écran montrant l’option de coffre de clés pour entrer les valeurs de secret

  7. Sélectionnez Créer pour terminer.

  8. Si votre coffre de clés n’est pas encore connecté à Microsoft Purview, vous devez créer une connexion de coffre de clés

  9. Enfin, créez des informations d’identification à l’aide de la clé pour configurer votre analyse

Utilisation du principal de service pour l’analyse

Création d’un principal de service

Si vous avez besoin de créer un principal de service, il est nécessaire d’inscrire une application dans votre locataire Microsoft Entra et de fournir l’accès au principal de service dans vos sources de données. Votre Microsoft Entra Administrateur d’application peut effectuer cette opération.

Obtention de l’ID d’application du principal de service
  1. Copiez l’ID d’application (client) présent dans la vue d’ensemble du principal de service déjà créé

    Capture d’écran montrant l’ID d’application (client) pour le principal de service

Octroi au principal de service de l’accès à votre compte d’objets blob Azure

Il est important de donner à votre principal de service l’autorisation d’analyser la source de données d’objets blob Azure. Vous pouvez ajouter l’accès pour le principal de service au niveau de l’abonnement, du groupe de ressources ou de la ressource, en fonction du niveau d’accès à l’analyse nécessaire.

Remarque

Vous devez être propriétaire de l’abonnement pour pouvoir ajouter un principal de service sur une ressource Azure.

  1. Dans le Portail Azure, recherchez l’abonnement, le groupe de ressources ou la ressource (par exemple, un compte de stockage Stockage Blob Azure) que vous souhaitez autoriser l’analyse du catalogue.

    Capture d’écran montrant le compte de stockage

  2. Sélectionnez Access Control (IAM) dans le volet de navigation gauche, puis + Ajouter --Ajouter une attribution de rôle>

    Capture d’écran montrant le contrôle d’accès pour le compte de stockage

  3. Définissez le Rôle sur Lecteur de données Blob du stockage et entrez votre principal de service sous La zone d’entrée Sélectionner . Sélectionnez ensuite Enregistrer pour attribuer cette attribution de rôle à votre compte Microsoft Purview.

    Capture d’écran montrant les détails permettant de fournir des autorisations de compte de stockage au principal de service

Création de l’analyse

  1. Ouvrez votre compte Microsoft Purview et sélectionnez le portail de gouvernance Ouvrir Microsoft Purview

  2. Accédez à Data Map -->Sources pour afficher la hiérarchie de collection

  3. Sélectionnez l’icône Nouvelle analyse sous la source de données Blob Azure inscrite précédemment

    Capture d’écran montrant l’écran de création d’une nouvelle analyse

  4. Choisissez le runtime d’intégration Azure si votre source est accessible publiquement, un runtime d’intégration de réseau virtuel managé si vous utilisez un réseau virtuel managé ou un runtime d’intégration auto-hébergé si votre source se trouve dans un réseau virtuel privé. Pour plus d’informations sur le runtime d’intégration à utiliser, consultez l’article Choisir la configuration du runtime d’intégration appropriée.

Si vous utilisez une identité managée affectée par le système ou l’utilisateur

Fournissez un Nom pour l’analyse, sélectionnez les comptes Microsoft Purview SAMI ou UAMI sous Informations d’identification, choisissez la collection appropriée pour l’analyse, puis sélectionnez Tester la connexion. Sur une connexion réussie, sélectionnez Continuer

Capture d’écran montrant l’option d’identité managée pour exécuter l’analyse

Si vous utilisez une clé de compte

Fournissez un nom pour l’analyse, sélectionnez le runtime d’intégration Azure ou votre runtime d’intégration Self-Hosted en fonction de votre configuration, choisissez le regroupement approprié pour l’analyse, puis sélectionnez Méthode d’authentification comme Clé de compte , puis sélectionnez Créer

Capture d’écran montrant l’option Clé de compte pour l’analyse

Si vous utilisez un principal de service

  1. Fournissez un nom pour l’analyse, sélectionnez le runtime d’intégration Azure ou votre runtime d’intégration Self-Hosted en fonction de votre configuration, choisissez le regroupement approprié pour l’analyse, puis sélectionnez + Nouveau sous Informations d’identification

    Capture d’écran montrant l’option permettant au principal de service d’activer l’analyse

  2. Sélectionnez la connexion de coffre de clés appropriée et le nom du secret utilisé lors de la création du principal de service. L’ID du principal de service est l’ID d’application (client) copié précédemment.

    Capture d’écran montrant l’option de principal de service

  3. Sélectionnez Tester la connexion. Sur une connexion réussie, sélectionnez Continuer

Étendue et exécution de l’analyse

  1. Vous pouvez étendre votre analyse à des dossiers et sous-dossiers spécifiques en choisissant les éléments appropriés dans la liste.

    Définir l’étendue de votre analyse

  2. Sélectionnez ensuite un ensemble de règles d’analyse. Vous pouvez choisir entre le système par défaut et les ensembles de règles personnalisés existants ou créer un nouvel ensemble de règles inline.

    Ensemble de règles d’analyse

  3. Si vous créez un ensemble de règles d’analyse, sélectionnez les types de fichiers à inclure dans la règle d’analyse.

    Types de fichiers de l’ensemble de règles d’analyse

  4. Vous pouvez sélectionner les règles de classification à inclure dans la règle d’analyse

    Règles de classification de l’ensemble de règles d’analyse

    Sélection de l’ensemble de règles d’analyse

  5. Choisissez votre déclencheur d’analyse. Vous pouvez configurer une planification ou exécuter l’analyse une seule fois.

    déclencheur d’analyse

  6. Passez en revue votre analyse et sélectionnez Enregistrer et exécuter.

    analyse de révision

Affichage de l’analyse

  1. Accédez à la source de données dans la collection et sélectionnez Afficher les détails pour case activée le status de l’analyse

    afficher l’analyse

  2. Les détails de l’analyse indiquent la progression de l’analyse dans le status Dernière exécution et le nombre de ressources analysées et classifiées

    afficher les détails de l’analyse

  3. La dernière status d’exécution est mise à jour sur En cours, puis terminée une fois l’analyse terminée.

    afficher l’analyse en cours

    afficher l’analyse terminée

Gestion de l’analyse

Les analyses peuvent être gérées ou réexécuter à l’achèvement

  1. Sélectionnez le nom de l’analyse pour gérer l’analyse

    gérer l’analyse

  2. Vous pouvez réexécuter l’analyse , modifier l’analyse, supprimer l’analyse

    gérer les options d’analyse

  3. Vous pouvez réexécuter une analyse incrémentielle ou une analyse complète .

    analyse complète ou incrémentielle

Partage des données

Partage de données Microsoft Purview (préversion) permet le partage de données sur place du compte de stockage Blob Azure vers le compte de stockage Blob Azure. Cette section fournit des détails sur les exigences spécifiques pour le partage et la réception de données sur place entre les comptes de stockage Blob Azure. Consultez Comment partager des données et Comment recevoir un partage pour obtenir des guides pas à pas sur l’utilisation du partage de données.

Comptes de stockage pris en charge pour le partage de données sur place

Les comptes de stockage suivants sont pris en charge pour le partage de données sur place :

  • Régions : Canada Centre, Canada Est, Royaume-Uni Sud, Royaume-Uni Ouest, Australie Est, Japon Est, Corée Sud et Afrique du Sud Nord
  • Options de redondance : LRS, GRS, RA-GRS
  • Niveaux : Chaud, Froid

Utilisez uniquement des comptes de stockage sans charge de travail de production pour la préversion.

Remarque

Les comptes de stockage source et cible doivent se trouver dans la même région. Ils n’ont pas besoin d’être dans la même région que le compte Microsoft Purview.

Autorisations de compte de stockage requises pour partager des données

Pour ajouter ou mettre à jour une ressource de compte de stockage dans un partage, vous avez besoin de l’une des autorisations suivantes :

  • Microsoft.Authorization/roleAssignments/write : cette autorisation est disponible dans le rôle Propriétaire .
  • Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/ : cette autorisation est disponible dans le rôle Propriétaire des données du stockage Blob .

Autorisations de compte de stockage requises pour recevoir des données partagées

Pour mapper une ressource de compte de stockage dans un partage reçu, vous avez besoin de l’une des autorisations suivantes :

  • Microsoft.Storage/storageAccounts/write : cette autorisation est disponible dans le rôle Contributeur et Propriétaire .
  • Microsoft.Storage/storageAccounts/blobServices/containers/write : cette autorisation est disponible dans le rôle Contributeur, Propriétaire, Contributeur aux données Blob du stockage et Propriétaire des données Blob du stockage .

Mettre à jour les données partagées dans le compte de stockage source

Mises à jour que vous effectuez dans les fichiers partagés ou les données du dossier partagé à partir du compte de stockage source seront mis à la disposition du destinataire dans le compte de stockage cible en quasi-temps réel. Lorsque vous supprimez un sous-dossier ou des fichiers dans le dossier partagé, ils disparaissent pour le destinataire. Pour supprimer le dossier partagé, le fichier ou les dossiers parents ou conteneurs, vous devez d’abord révoquer l’accès à tous vos partages à partir du compte de stockage source.

Accéder aux données partagées dans le compte de stockage cible

Le compte de stockage cible permet au destinataire d’accéder aux données partagées en lecture seule en quasi-temps réel. Vous pouvez connecter des outils d’analyse tels que Synapse Workspace et Databricks aux données partagées pour effectuer des analyses. Le coût d’accès aux données partagées est facturé au compte de stockage cible.

Limite de service

Le compte de stockage source peut prendre en charge jusqu’à 20 cibles et le compte de stockage cible peut prendre en charge jusqu’à 100 sources. Si vous avez besoin d’une augmentation de la limite, contactez le support technique.

Politiques

Les types de stratégies suivants sont pris en charge sur cette ressource de données à partir de Microsoft Purview :

  • Stratégies de propriétaire de données : ensemble d’instructions de stratégie qui vous permettent d’accorder aux utilisateurs et aux groupes l’accès aux sources de données.
  • Stratégies d’accès en libre-service : stratégie qui permet aux utilisateurs de demander l’accès aux sources de données inscrites auprès de Microsoft Purview.
  • Stratégies de protection : refuse l’accès aux données marquées d’étiquettes de confidentialité à tous les utilisateurs, à l’exception de ceux spécifiés par la stratégie.

Conditions préalables de la stratégie d’accès sur les comptes de stockage Azure

Prise en charge des régions

  • Toutes les régions Microsoft Purview sont prises en charge.
  • Les comptes de stockage dans les régions suivantes sont pris en charge sans nécessiter de configuration supplémentaire. Toutefois, les comptes de stockage redondant interzone (ZRS) ne sont pas pris en charge.
    • Centre de l’Australie
    • Australie Est
    • Australie Sud-Est
    • Sud du Brésil
    • Canada Centre
    • Canada Est
    • Centre de l’Inde
    • USA Centre
    • Asie Est
    • USA Est 2
    • USA Est
    • France Centre
    • Centre Ouest de l’Allemagne
    • Japon Est
    • Japon Ouest
    • Corée du Sud
    • USA Centre Nord
    • Europe Nord
    • Norvège Est
    • Pologne Centre
    • Qatar Centre
    • USA Centre Sud
    • Nord de l’Afrique du Sud
    • Asie Sud-Est
    • Inde Sud
    • Suède Centre
    • Suisse Nord
    • USA Centre Ouest
    • Europe Ouest
    • USA Ouest
    • USA Ouest 2
    • USA Ouest 3
    • UAE Nord
    • Sud du Royaume-Uni
    • Ouest du Royaume-Uni
  • Les comptes de stockage dans d’autres régions du cloud public sont pris en charge après la définition de l’indicateur de fonctionnalité AllowPurviewPolicyEnforcement, comme indiqué dans la section suivante. Les comptes de stockage ZRS nouvellement créés sont pris en charge, s’ils sont créés après la définition de l’indicateur de fonctionnalité AllowPurviewPolicyEnforcement.

Si nécessaire, vous pouvez créer un compte de stockage en suivant ce guide.

Configurer l’abonnement dans lequel réside le compte de stockage Azure pour les stratégies de Microsoft Purview

Cette étape n’est nécessaire que dans certaines régions (voir la section précédente). Pour permettre à Microsoft Purview de gérer les stratégies d’un ou de plusieurs comptes de stockage Azure, exécutez les commandes PowerShell suivantes dans l’abonnement dans lequel vous allez déployer votre compte stockage Azure. Ces commandes PowerShell permettent à Microsoft Purview de gérer les stratégies sur tous les comptes de stockage Azure de cet abonnement.

Si vous exécutez ces commandes localement, veillez à exécuter PowerShell en tant qu’administrateur. Vous pouvez également utiliser le Cloud Shell Azure dans le Portail Azure : https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Si la sortie de la dernière commande indique RegistrationState comme Inscrit, votre abonnement est activé pour les stratégies d’accès. Si la sortie est En cours d’inscription, attendez au moins 10 minutes, puis réessayez la commande. Ne continuez pas, sauf si RegistrationState s’affiche comme Enregistré.

Configurer le compte Microsoft Purview pour les stratégies

Inscrire la source de données dans Microsoft Purview

Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.

Remarque

Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.

Configurer les autorisations pour activer l’application de la stratégie de données sur la source de données

Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer l’application de la stratégie de données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer l’application de la stratégie de données, vous devez disposer de privilèges IAM (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :

  • Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :

    • Propriétaire IAM
    • Contributeur IAM et Administrateur de l’accès utilisateur IAM

    Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.

    Capture d’écran montrant la section dans le Portail Azure pour ajouter une attribution de rôle.

    Remarque

    Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels Microsoft Entra utilisateurs, groupes et principaux de service détiennent ou héritent du rôle Propriétaire IAM pour la ressource.

  • Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.

    La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.

    Capture d’écran montrant les sélections pour l’attribution du rôle d’administrateur de source de données au niveau de la collection racine.

Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès

Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :

  • Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
  • Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.

En outre, pour rechercher facilement Microsoft Entra utilisateurs ou groupes lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez bénéficier grandement de l’obtention de l’autorisation Lecteurs d’annuaire dans Microsoft Entra ID. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.

Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données

Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.

Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.

Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview

Une fois qu’une ressource a été activée pour l’application de la stratégie de données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.

Remarque

Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .

Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.

Inscrire la source de données dans Microsoft Purview pour l’application de la stratégie de données

La ressource Stockage Azure doit d’abord être inscrite auprès de Microsoft Purview avant de pouvoir créer des stratégies d’accès. Pour inscrire votre ressource, suivez les sections Prérequis et Inscription de ce guide :

Une fois que vous avez inscrit la source de données, vous devez activer l’application de la stratégie de données. Il s’agit d’une condition préalable avant de pouvoir créer des stratégies sur la source de données. L’application de la stratégie de données peut avoir un impact sur la sécurité de vos données, car elle délègue à certains rôles Microsoft Purview gérant l’accès aux sources de données. Passez en revue les pratiques sécurisées liées à l’application de la stratégie de données dans ce guide : Comment activer l’application de la stratégie de données

Une fois que l’option Application de la stratégie de données est définie sur Activé dans votre source de données, elle ressemble à cette capture d’écran : Capture d’écran montrant comment inscrire une source de données pour la stratégie avec l’option Application de la stratégie de données définie pour activer

Créer une stratégie

Pour créer une stratégie d’accès pour Stockage Blob Azure, suivez ce guide : Provisionner l’accès en lecture/modification sur un seul compte de stockage.

Pour créer des stratégies qui couvrent toutes les sources de données à l’intérieur d’un groupe de ressources ou d’un abonnement Azure, vous pouvez vous reporter à cette section.

Stratégie de protection

Les stratégies de contrôle d’accès de protection (stratégies de protection) permettent aux organisations de protéger automatiquement les données sensibles entre les sources de données. Microsoft Purview analyse déjà les ressources de données et identifie les éléments de données sensibles, et cette nouvelle fonctionnalité vous permet de restreindre automatiquement l’accès à ces données à l’aide d’étiquettes de confidentialité de Protection des données Microsoft Purview.

Suivez cette documentation pour créer une stratégie de protection : Comment créer une stratégie de Protection des données Microsoft Purview.

Étapes suivantes

Suivez les guides ci-dessous pour en savoir plus sur Microsoft Purview et vos données.