Esercitazione: Accedere al provisioning da parte del proprietario dei dati ai set di dati di Archiviazione di Azure (anteprima)

Importante

Al momento questa funzionalità è disponibile in anteprima. Le Condizioni aggiuntive per l'uso per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano alle funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

I criteri in Microsoft Purview consentono di abilitare l'accesso alle origini dati registrate in una raccolta. Questa esercitazione descrive come un proprietario dei dati può usare Microsoft Purview per abilitare l'accesso ai set di dati in Archiviazione di Azure tramite Microsoft Purview.

In questa esercitazione si apprenderà come:

• Preparare l'ambiente Azure
• Configurare le autorizzazioni per consentire a Microsoft Purview di connettersi alle risorse
• Registrare la risorsa di Archiviazione di Azure per La gestione dell'uso dei dati
• Creare e pubblicare criteri per il gruppo di risorse o la sottoscrizione

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Un account Microsoft Purview nuovo o esistente. Seguire questa guida di avvio rapido per crearne una.

Supporto dell'area

• Sono supportate tutte le aree di Microsoft Purview .
• Gli account di archiviazione nelle aree seguenti sono supportati senza la necessità di una configurazione aggiuntiva. Tuttavia, gli account di archiviazione con ridondanza della zona non sono supportati.
  • Stati Uniti orientali
  • Stati Uniti orientali2
  • Stati Uniti centro-meridionali
  • Stati Uniti occidentali2
  • Canada centrale
  • Europa settentrionale
  • Europa occidentale
  • Francia centrale
  • Regno Unito meridionale
  • Asia sudorientale
  • Australia orientale
• Gli account di archiviazione in altre aree del cloud pubblico sono supportati dopo l'impostazione del flag di funzionalità AllowPurviewPolicyEnforcement, come descritto nella sezione successiva. Gli account di archiviazione ZRS appena creati sono supportati, se creati dopo aver impostato il flag di funzionalità AllowPurviewPolicyEnforcement.

Se necessario, è possibile creare un nuovo account di archiviazione seguendo questa guida.

Configurare la sottoscrizione in cui risiede l'account di archiviazione di Azure per i criteri di Microsoft Purview

Questo passaggio è necessario solo in determinate aree (vedere la sezione precedente). Per consentire a Microsoft Purview di gestire i criteri per uno o più account di Archiviazione di Azure, eseguire i comandi di PowerShell seguenti nella sottoscrizione in cui si distribuirà l'account di archiviazione di Azure. Questi comandi di PowerShell consentiranno a Microsoft Purview di gestire i criteri in tutti gli account di Archiviazione di Azure in tale sottoscrizione.

Se si eseguono questi comandi in locale, assicurarsi di eseguire PowerShell come amministratore. In alternativa, è possibile usare il Cloud Shell di Azure nel portale di Azure: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Se l'output dell'ultimo comando mostra RegistrationState come Registrato, la sottoscrizione è abilitata per i criteri di accesso. Se l'output è Registrazione, attendere almeno 10 minuti e quindi ripetere il comando. Non continuare a meno che RegistrationState non venga visualizzato come Registrato.

Configurazione

Registrare l'origine dati in Microsoft Purview

Prima di creare un criterio in Microsoft Purview per una risorsa dati, è necessario registrare tale risorsa dati in Microsoft Purview Studio. Le istruzioni relative alla registrazione della risorsa dati sono disponibili più avanti in questa guida.

Nota

I criteri di Microsoft Purview si basano sul percorso arm della risorsa dati. Se una risorsa dati viene spostata in un nuovo gruppo di risorse o sottoscrizione, sarà necessario deregistrarla e quindi registrarla di nuovo in Microsoft Purview.

Configurare le autorizzazioni per abilitare la gestione dell'uso dei dati nell'origine dati

Dopo aver registrato una risorsa, ma prima di poter creare un criterio in Microsoft Purview per tale risorsa, è necessario configurare le autorizzazioni. È necessario un set di autorizzazioni per abilitare la gestione dell'uso dei dati. Questo vale per le origini dati, i gruppi di risorse o le sottoscrizioni. Per abilitare la gestione dell'uso dei dati, è necessario disporre di privilegi specifici di Gestione identità e accesso (IAM) per la risorsa, nonché di privilegi Microsoft Purview specifici:

• È necessario disporre di una delle combinazioni di ruoli IAM seguenti nel percorso di Azure Resource Manager della risorsa o in qualsiasi altro elemento padre, ovvero usando l'ereditarietà delle autorizzazioni IAM:

  • Proprietario di IAM
  • Collaboratore IAM e Amministratore accesso utente di IAM

  Per configurare le autorizzazioni del controllo degli accessi in base al ruolo di Azure, seguire questa guida. Lo screenshot seguente mostra come accedere alla sezione Controllo di accesso nel portale di Azure per la risorsa dati per aggiungere un'assegnazione di ruolo.

  

  Nota

  Il ruolo proprietario di IAM per una risorsa dati può essere ereditato da un gruppo di risorse padre, una sottoscrizione o un gruppo di gestione della sottoscrizione. Controllare quali utenti, gruppi ed entità servizio di Azure AD contengono o ereditano il ruolo proprietario di IAM per la risorsa.

• È anche necessario avere il ruolo di amministratore dell'origine dati di Microsoft Purview per la raccolta o una raccolta padre (se l'ereditarietà è abilitata). Per altre informazioni, vedere la guida sulla gestione delle assegnazioni di ruolo di Microsoft Purview.

  Lo screenshot seguente mostra come assegnare il ruolo di amministratore dell'origine dati a livello di raccolta radice.

  

Configurare le autorizzazioni di Microsoft Purview per creare, aggiornare o eliminare i criteri di accesso

Per creare, aggiornare o eliminare criteri, è necessario ottenere il ruolo Autore criteri in Microsoft Purview a livello di raccolta radice:

• Il ruolo Autore criteri può creare, aggiornare ed eliminare i criteri DevOps e Proprietario dati.
• Il ruolo Autore criteri può eliminare i criteri di accesso self-service.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Il ruolo di autore dei criteri deve essere configurato a livello di raccolta radice.

Inoltre, per eseguire facilmente ricerche in utenti o gruppi di Azure AD durante la creazione o l'aggiornamento dell'oggetto di un criterio, è possibile ottenere l'autorizzazione Lettori di directory in Azure AD. Si tratta di un'autorizzazione comune per gli utenti in un tenant di Azure. Senza l'autorizzazione Lettore di directory, l'autore dei criteri dovrà digitare il nome utente o il messaggio di posta elettronica completo per tutte le entità incluse nell'oggetto di un criterio dati.

Configurare le autorizzazioni di Microsoft Purview per la pubblicazione dei criteri proprietario dei dati

I criteri del proprietario dei dati consentono controlli e saldi se si assegnano i ruoli di autore dei criteri di Microsoft Purview e amministratore dell'origine dati a persone diverse nell'organizzazione. Prima che i criteri di proprietario dei dati abbiano effetto, una seconda persona (amministratore dell'origine dati) deve esaminarlo e approvarlo in modo esplicito pubblicandolo. Questo non si applica ai criteri di accesso self-service o DevOps perché la pubblicazione è automatica quando tali criteri vengono creati o aggiornati.

Per pubblicare un criterio proprietario dei dati, è necessario ottenere il ruolo di amministratore dell'origine dati in Microsoft Purview a livello di raccolta radice.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Per pubblicare i criteri proprietario dei dati, il ruolo di amministratore dell'origine dati deve essere configurato a livello di raccolta radice.

Delegare la responsabilità del provisioning dell'accesso ai ruoli in Microsoft Purview

Dopo aver abilitato una risorsa per la gestione dell'uso dei dati, qualsiasi utente di Microsoft Purview con il ruolo Autore criteri a livello di raccolta radice può effettuare il provisioning dell'accesso a tale origine dati da Microsoft Purview.

Nota

Qualsiasi amministratore della raccolta radice di Microsoft Purview può assegnare nuovi utenti ai ruoli di autore dei criteri radice. Qualsiasi amministratore della raccolta può assegnare nuovi utenti a un ruolo di amministratore dell'origine dati nella raccolta. Ridurre al minimo e controllare attentamente gli utenti che detengono i ruoli amministratore della raccolta Di Microsoft Purview, Amministratore origine dati o Autore criteri .

Se viene eliminato un account Microsoft Purview con criteri pubblicati, tali criteri smetteranno di essere applicati entro un periodo di tempo che dipende dall'origine dati specifica. Questa modifica può avere implicazioni sia sulla sicurezza che sulla disponibilità dell'accesso ai dati. I ruoli Collaboratore e Proprietario in IAM possono eliminare gli account Microsoft Purview. È possibile controllare queste autorizzazioni passando alla sezione Controllo di accesso (IAM) per l'account Microsoft Purview e selezionando Assegnazioni di ruolo. È anche possibile usare un blocco per impedire l'eliminazione dell'account Microsoft Purview tramite blocchi Resource Manager.

Registrare le origini dati in Microsoft Purview per la gestione dell'uso dei dati

L'account di archiviazione di Azure deve essere registrato in Microsoft Purview per definire in un secondo momento i criteri di accesso e durante la registrazione verrà abilitata la gestione dell'uso dei dati. Gestione utilizzo dati è una funzionalità disponibile in Microsoft Purview che consente agli utenti di gestire l'accesso a una risorsa da Microsoft Purview. Ciò consente di centralizzare l'individuazione dei dati e la gestione degli accessi, tuttavia si tratta di una funzionalità che influisce direttamente sulla sicurezza dei dati.

Avviso

Prima di abilitare Gestione utilizzo dati per qualsiasi risorsa, leggere l'articolo Gestione utilizzo dati.

Questo articolo include le procedure consigliate per la gestione dell'uso dei dati per garantire la sicurezza delle informazioni.

Per registrare la risorsa e abilitare Gestione utilizzo dati, seguire questa procedura:

Nota

È necessario essere proprietari della sottoscrizione o del gruppo di risorse per poter aggiungere un'identità gestita in una risorsa di Azure.

1. Dal portale di Azure individuare l'account di archiviazione BLOB di Azure che si vuole registrare.

   

2. Selezionare Controllo di accesso (IAM) nel riquadro di spostamento a sinistra e quindi selezionare + Aggiungi -->Aggiungi assegnazione di ruolo.

   

3. Impostare Ruolo su Lettore dati BLOB di archiviazione e immettere il nome dell'account Microsoft Purview nella casella Seleziona input. Selezionare quindi Salva per assegnare questo ruolo all'account Microsoft Purview.

   

4. Se è abilitato un firewall nell'account di archiviazione, seguire questa procedura:

   1. Passare all'account di archiviazione di Azure in portale di Azure.

   2. Passare a Sicurezza e rete>.

   3. Scegliere Reti selezionate in Consenti accesso da.

   4. Nella sezione Eccezioni selezionare Consenti ai servizi Microsoft attendibili di accedere a questo account di archiviazione e selezionare Salva.

      

5. Dopo aver configurato l'autenticazione per l'account di archiviazione, passare al portale di governance di Microsoft Purview.

6. Selezionare Mappa dati nel menu a sinistra.

   

7. Selezionare Registra.

   

8. In Registra origini selezionare Archiviazione BLOB di Azure.

   

9. Selezionare Continua.

10. Nella schermata Registra origini (Azure) eseguire le operazioni seguenti:

    1. Nella casella Nome immettere un nome descrittivo con cui verrà elencata l'origine dati nel catalogo.

    2. Nelle caselle di riepilogo a discesa Sottoscrizione selezionare la sottoscrizione in cui è ospitato l'account di archiviazione. Selezionare quindi l'account di archiviazione in Nome account di archiviazione. In Selezionare una raccolta selezionare la raccolta in cui si vuole registrare l'account di archiviazione di Azure.

       

    3. Nella casella Selezionare una raccolta selezionare una raccolta o crearne una nuova (facoltativa).

    4. Impostare l'interruttore Gestione utilizzo dati su Abilitato, come illustrato nell'immagine seguente.

       

       Consiglio

       Se l'interruttore Gestione utilizzo dati è disattivato e non è possibile selezionarlo:

       1. Verificare di aver seguito tutti i prerequisiti per abilitare Gestione utilizzo dati nelle risorse.
       2. Verificare di aver selezionato un account di archiviazione da registrare.
       3. È possibile che questa risorsa sia già registrata in un altro account Microsoft Purview. Passare il puntatore del mouse su di esso per conoscere il nome dell'account Microsoft Purview che ha registrato la risorsa dati.first. Solo un account Microsoft Purview può registrare una risorsa per Gestione utilizzo dati alla volta.

    5. Selezionare Registra per registrare il gruppo di risorse o la sottoscrizione con Microsoft Purview con Gestione utilizzo dati abilitato.

Consiglio

Per altre informazioni sulla gestione dell'uso dei dati, incluse le procedure consigliate o i problemi noti, vedere l'articolo Gestione utilizzo dati.

Creare criteri di proprietario dei dati

1. Accedere al portale di governance di Microsoft Purview.

2. Passare alla funzionalità Criteri dati usando il pannello a sinistra. Selezionare quindi Criteri dati.

3. Selezionare il pulsante Nuovo criterio nella pagina dei criteri.

   

4. Verrà visualizzata la nuova pagina dei criteri. Immettere il nome e la descrizione dei criteri.

5. Per aggiungere istruzioni di criteri al nuovo criterio, selezionare il pulsante Nuova istruzione dei criteri . Verrà visualizzato il generatore di istruzioni dei criteri.

   

6. Selezionare il pulsante Effetto e scegliere Consenti dall'elenco a discesa.

7. Selezionare il pulsante Azione e scegliere Lettura o Modifica dall'elenco a discesa.

8. Selezionare il pulsante Risorse dati per visualizzare la finestra per immettere informazioni sulle risorse dati, che verranno aperte a destra.

9. Nel pannello Risorse dati eseguire una delle due operazioni seguenti a seconda della granularità dei criteri:

   • Per creare un'istruzione di criteri generale che copra un'intera origine dati, un gruppo di risorse o una sottoscrizione registrata in precedenza, usare la casella Origini dati e selezionarne il tipo.
   • Per creare un criterio con granularità fine, usare invece la casella Asset . Immettere il tipo di origine dati e il nome di un'origine dati registrata e analizzata in precedenza. Vedere l'esempio nell'immagine.

   

10. Selezionare il pulsante Continua e attraversare la gerarchia per selezionare e l'oggetto dati sottostante,ad esempio cartella, file e così via. Selezionare Ricorsivo per applicare i criteri da quel punto della gerarchia fino a qualsiasi oggetto dati figlio. Selezionare quindi il pulsante Aggiungi . In questo modo si torna all'editor dei criteri.

    

11. Selezionare il pulsante Soggetti e immettere l'identità dell'oggetto come entità, gruppo o identità del servizio gestito. Selezionare quindi il pulsante OK . In questo modo si torna all'editor dei criteri

    

12. Ripetere i passaggi da 5 a 11 per immettere altre istruzioni sui criteri.

13. Selezionare il pulsante Salva per salvare i criteri.

    

Pubblicare un criterio di proprietario dei dati

1. Accedere al portale di governance di Microsoft Purview.

2. Passare alla funzionalità Criteri dati usando il pannello a sinistra. Selezionare quindi Criteri dati.

   

3. Il portale dei criteri presenterà l'elenco dei criteri esistenti in Microsoft Purview. Individuare i criteri che devono essere pubblicati. Selezionare il pulsante Pubblica nell'angolo superiore destro della pagina.

   

4. Viene visualizzato un elenco di origini dati. È possibile immettere un nome per filtrare l'elenco. Selezionare quindi ogni origine dati in cui pubblicare questo criterio e quindi selezionare il pulsante Pubblica .

   

Importante

• Publish è un'operazione in background. Il riflesso delle modifiche negli account di archiviazione può richiedere fino a 2 ore .

Pulire le risorse

Per eliminare un criterio in Microsoft Purview, seguire questa procedura:

1. Accedere al portale di governance di Microsoft Purview.

2. Passare alla funzionalità Criteri dati usando il pannello a sinistra. Selezionare quindi Criteri dati.

   

3. Il portale dei criteri presenterà l'elenco dei criteri esistenti in Microsoft Purview. Selezionare il criterio che deve essere aggiornato.

4. Verrà visualizzata la pagina dei dettagli dei criteri, incluse le opzioni Modifica ed Eliminazione. Selezionare il pulsante Modifica , che visualizza il generatore di istruzioni dei criteri. È ora possibile aggiornare tutte le parti delle istruzioni in questo criterio. Per eliminare i criteri, usare il pulsante Elimina .

   

Passaggi successivi

Controllare la demo e le esercitazioni correlate:

Demo dei criteri di accesso per i concetti di archiviazione di Azureper i criteri di proprietario dei dati di Microsoft PurviewAbilitare i criteri di proprietario dei dati di Microsoft Purview in tutte le origini dati in una sottoscrizione o in un gruppo di risorse