開始使用保護原則 (預覽)

保護訪問控制原則 (保護原則) 可讓組織自動保護跨數據源的敏感數據。 Microsoft Purview 已經掃描數據資產並識別敏感數據元素，而這項新功能可讓您使用 Microsoft Purview 資訊保護 的敏感度標籤自動限制該數據的存取。

保護原則可確保企業系統管理員必須授權敏感度類型的數據存取權。 啟用這些原則之後，只要使用 Microsoft Purview 資訊保護 偵測到敏感性資訊，就會自動強制執行訪問控制。

支援的動作

• 限制標籤數據資產的存取權，讓您選取的使用者和群組只能存取它們。
• 在 Microsoft Purview 資訊保護解決方案中的敏感度標籤上設定的動作。

支援的資料來源

• Azure 來源：
  • Azure SQL 資料庫
  • Azure Blob 記憶體*
  • Azure Data Lake Storage Gen2*
• Microsoft Fabric

注意事項

*Azure 記憶體來源目前處於閘道預覽狀態。 若要註冊， 請遵循此連結。

提示

本文涵蓋所有保護原則的一般步驟。 可用的數據來源文章涵蓋特定專案，例如這些數據源的可用區域、限制和特定功能。

必要條件

• Microsoft 365 E5 授權。 如需所需特定授權的相關信息，請參閱 有關敏感度標籤的這項資訊。 Microsoft 365 E5 從您的環境瀏覽這裡，即可為您的租使用者取得試用版授權。

Azure 來源

1. 設定使用者和許可權。

2. 在 Microsoft Purview 中啟用進階資源集：

   1. 讓身為根集合之數據編者或數據讀取器的使用者登入 Microsoft Purview 入口網站，然後開啟 [ 設定] 功能表。

   2. 在 [ 帳戶] 頁面下，尋找 [ 進階資源集] ，並將切換開關設定為 [ 開啟]。

      

3. 建立或擴充敏感度標籤，從 Microsoft Purview 資訊保護 到數據對應資產。

   注意事項

   建立標籤之後，請務必一併發佈標籤。

4. 註冊來源 - 註冊您喜歡的任何來源：

   1. Azure SQL Database
   2. Azure Blob 儲存體
   3. Azure Data Lake Storage Gen2

   注意事項

   若要繼續，您必須是 Azure 記憶體來源註冊所在集合中 的數據源管理員 。

5. 啟用數據原則強制執行

   1. 移至新的 Microsoft 入口網站。

   2. 選取左側選單中的 [數據對應 ] 索引標籤。

   3. 選取左側選單中的 [ 數據源 ] 索引標籤。

   4. 選取您要啟用 數據原則強制執行的來源。

   5. 將 [數據原則強制執行 ] 切換為 [ 開啟]，如下圖所示。

      

6. 掃描來源 - 註冊您已註冊的任何來源。

   1. Azure SQL Database
   2. Azure Blob 儲存體
   3. Azure Data Lake Storage Gen2

   注意事項

   掃描後至少等候 24 小時。

Microsoft Fabric

請參閱 網狀架構保護原則概觀一文。

Azure 來源和 Amazon S3 的用戶和許可權

您需要數種類型的使用者，而且您必須為這些使用者設定對應的角色和權限：

1. Microsoft Purview 資訊保護 管理員 - 管理 資訊保護 解決方案的廣泛許可權：檢閱/建立/更新/刪除保護原則、敏感度標籤和標籤/自動套用卷標原則，以及所有分類器類型。 他們也應該擁有數據總管、活動總管、Microsoft Purview 資訊保護 深入解析和報表的完整存取權。
   • 使用者需要來自內建角色群組 「資訊保護」 內的角色，以及數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器的新角色。 完整權限為：
     • 資訊保護 讀取器
     • 數據對應讀取器
     • 深入解析讀者
     • 來源讀取器
     • 掃描讀取器
     • 資訊保護 系統管理員
     • 資訊保護 分析師
     • 信息保護保護保護
     • 數據分類清單查看器
     • 數據分類內容查看器
     • Microsoft Purview 評估系統管理員
   • 選項 1 - 建議：
     1. 在 [Microsoft Purview 角色群組] 面板中，搜尋 資訊保護。
     2. 選取 資訊保護 角色群組，然後選取 [複製]。
     3. 將其命名為：「預覽 - 資訊保護」，然後選取 [建立複本]。
     4. 選取 [預覽 - 資訊保護]，然後選取 [編輯]。
     5. 在 [ 角色] 頁面上， [ + 選擇角色 ] 並搜尋 「讀取器」。
     6. 選取這四個角色：數據對應讀取器、深入解析讀取器、掃描讀取器、來源讀取器。
     7. 將 Microsoft Purview 資訊保護 系統管理員測試用戶帳戶新增至這個新的複製群組，並完成精靈。
   • 選項 2- 使用內建群組 (提供比所需更多的許可權)
     1. 在 資訊保護、數據資產深入解析讀者、數據源管理員的內建群組內，放置新的 Microsoft Purview 資訊保護 系統管理員測試用戶帳戶。
2. 數據擁有者/管理員 - 此使用者會在 Azure 和 Amazon S3 來源的 Microsoft Purview 中啟用您的數據原則強制執行來源。

建立保護原則

現在，您已檢查 必要條件，並備妥Microsoft Purview 實例和來源以取得保護原則 ，並在您最近的掃描之後等候至少 24 小時，請遵循下列步驟來建立您的保護原則：

1. 根據您使用的入口網站，流覽至下列其中一個位置：

   • 登入 Microsoft Purview 入口網站>資訊保護 卡>原則

     如果未顯示 資訊保護 解決方案卡片，請選取 [檢視所有解決方案]，然後從 [數據安全性] 區段選取 [資訊保護]。

   • 登入 Microsoft Purview 合規性入口網站>Solutions>資訊保護>原則

2. 選 取 [保護原則]。

   

3. 選 取 [+ 新增保護原則]。

4. 提供名稱和描述，然後選取 [ 下一步]。

5. 選 取 [+ 新增敏感度標籤 ] 以新增敏感度標籤以偵測原則，然後選取您想要套用原則的所有標籤。

6. 選 取 [新增 ]，然後選取 [ 下一步]。

7. 選取您要套用原則的來源。

   1. 針對 [網狀架構來源]，僅選取 [網狀架構]，然後選取 [ 下一步]。 (如需詳細資訊，請參閱 Fabric 檔)
   2. 針對 Azure 來源，您可以選取多個來源，然後選取 [ 編輯 ] 按鈕來管理您所選取的每個範圍。

8. 根據您的來源，選取頂端的 [ + 包含 ] 按鈕，最多可新增10個範圍清單的資源。 原則將會套用至您選取的所有資源。

   注意事項

   目前最多支援 10 個資源，而且必須在 [ 編輯 ] 下選取這些資源才能啟用。

9. 選取 [新增 ]，然後在來源清單完成時選取 [ 完成 ]。

10. 根據您的來源，選取您想要建立的保護原則類型。

    1. 針對 Fabric 來源，請遵循 Fabric 檔的保護原則。
    2. 針對其他來源，根據標籤選取 不會 拒絕存取的使用者。 除了您在此處新增的使用者和群組以外，組織中的每個人都會被拒絕存取標記的專案。

11. 選取 [下一步]。

12. 選擇是否立即開啟原則，然後選取 [ 下一步]。

13. 選取 [提交]。

14. 選取 [完成]。

15. 您現在應該會在保護原則清單中看到新的原則。 選取它以確認所有詳細數據都正確無誤。

管理保護原則

若要編輯或刪除現有的保護原則，請遵循下列步驟：

1. 開啟 Microsoft Purview 入口網站。

2. 開啟 資訊保護解決方案。

3. 選取 [ 原則] 下拉式清單，然後選取 [ 保護原則]。

   

4. 選取您想要管理的原則。

5. 若要變更任何詳細數據，請選取 [ 編輯原則 ] 按鈕。

6. 若要刪除原則，請選取 [ 刪除原則 ] 按鈕。