البرنامج التعليمي: الوصول إلى إدارة الحسابات بواسطة مالك البيانات إلى مجموعات بيانات تخزين Azure (معاينة)

  • مقالة
  • قراءة خلال 8 دقائق

هام

هذه الميزة موجودة حاليا في المعاينة. تتضمن شروط الاستخدام التكميلية لمعاينات Microsoft Azure شروطاً قانونية إضافية تنطبق على دوال Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من البنود التي لم تُصدر بعد في التوفر العام.

تسمح لك النهج في Microsoft Purview بتمكين الوصول إلى مصادر البيانات التي تم تسجيلها في مجموعة. يصف هذا البرنامج التعليمي كيف يمكن لمالك البيانات استخدام Microsoft Purview لتمكين الوصول إلى مجموعات البيانات في Azure Storage من خلال Microsoft Purview.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • إعداد بيئة Azure الخاصة بك
  • تكوين الأذونات للسماح ل Microsoft Purview بالاتصال بمواردك
  • تسجيل مورد تخزين Azure لإدارة استخدام البيانات
  • إنشاء نهج لمجموعة الموارد أو الاشتراك ونشره

المتطلبات الأساسية

تمكين فرض نهج الوصول لحساب Azure Storage

لتمكين Microsoft Purview من إدارة النهج لحساب واحد أو أكثر من حسابات Azure Storage، قم بتنفيذ أوامر PowerShell التالية في الاشتراك حيث ستقوم بنشر حساب Azure Storage الخاص بك. ستمكن أوامر PowerShell هذه Microsoft Purview من إدارة النهج على جميع حسابات Azure Storage التي تم إنشاؤها حديثا في هذا الاشتراك.

إذا كنت تقوم بتنفيذ هذه الأوامر محليا، فتأكد من تشغيل PowerShell كمسؤول. بدلا من ذلك، يمكنك استخدام Azure Cloud Shell في مدخل Azure : https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

إذا أظهر إخراج الأمر الأخير RegistrationState على أنه مسجل، فسيتم تمكين اشتراكك لسياسات الوصول. إذا كان الإخراج قيد التسجيل، فانتظر 10 دقائق على الأقل، ثم أعد محاولة الأمر. لا تستمر ما لم تظهر دولة التسجيل على أنها مسجلة.

هام

تتوفر ميزة نهج الوصول فقط على حسابات تخزين Azure الجديدة . يجب أن تفي حسابات التخزين بالمتطلبات التالية لفرض نهج الوصول المنشورة من Microsoft Purview.

  • إصدارات >حساب التخزين = 81.x.x.
  • تم إنشاؤه في الاشتراك بعد تسجيل الميزة AllowPurviewPolicyEnforce.

إنشاء حساب تخزين Azure جديد

بعد تمكين نهج الوصول أعلاه، قم بإنشاء حساب (حسابات) تخزين Azure جديد في إحدى المناطق المدرجة أدناه. يمكنك اتباع هذا الدليل لإنشاء واحد.

حاليا، لا يمكن فرض نهج الوصول إلى Microsoft Purview إلا في مناطق تخزين Azure التالية:

  • فرنسا الوسطى
  • كندا الوسطى
  • شرق الولايات المتحدة
  • منطقة شرق الولايات المتحدة 2
  • جنوب وسط الولايات المتحدة
  • غرب الولايات المتحدة
  • غرب الولايات المتحدة 2
  • شمال أوروبا
  • غرب أوروبا
  • جنوب المملكة المتحدة
  • جنوب شرق آسيا
  • شرق أستراليا

تهيئة

تسجيل Microsoft Purview كموفر موارد في اشتراكات أخرى

قم بتنفيذ هذه الخطوة فقط إذا كانت مصادر البيانات وحساب Microsoft Purview في اشتراكات مختلفة. سجل Microsoft Purview كموفر موارد في كل اشتراك توجد فيه مصادر البيانات باتباع هذا الدليل: تسجيل موفر الموارد.

موفر موارد Microsoft Purview هو:

Microsoft.Purview

تكوين الأذونات لإجراءات إدارة النهج

يناقش هذا القسم الأذونات اللازمة ل:

  • إتاحة مورد بيانات لإدارة استخدام البيانات. هذه الخطوة مطلوبة قبل أن يمكن إنشاء نهج في Microsoft Purview لهذا المورد.
  • قم بتأليف النهج ونشرها في Microsoft Purview.

هام

حاليا، يجب تكوين أدوار Microsoft Purview المتعلقة بعمليات النهج على مستوى مجموعة الجذر وليس على مستوى المجموعة الفرعية.

أذونات لإتاحة مورد بيانات لإدارة استخدام البيانات

لتمكين تبديل إدارة استخدام البيانات (DUM) لمصدر بيانات أو مجموعة موارد أو اشتراك، يحتاج المستخدم نفسه إلى الحصول على امتيازات IAM معينة على المورد وامتيازات Microsoft Purview معينة.

  1. يحتاج المستخدم إلى الحصول على أي من مجموعات أدوار IAM التالية على المورد:

    • مالك IAM
    • كل من مساهم IAM + مسؤول وصول مستخدم IAM

    اتبع هذا الدليل لتكوين أذونات دور Azure RBAC.

  2. بالإضافة إلى ذلك، يحتاج المستخدم نفسه إلى الحصول على دور مسؤول مصدر بيانات Microsoft Purview (DSA) على مستوى مجموعة الجذر. راجع الدليل الخاص بإدارة تعيينات أدوار Microsoft Purview.

أذونات تأليف السياسة ونشرها

الأذونات التالية مطلوبة في Microsoft Purview على مستوى مجموعة الجذر:

  • يمكن لدور مؤلفي السياسة إنشاء السياسات أو تحريرها.
  • يمكن لدور مسؤول مصدر البيانات نشر نهج.

راجع القسم الخاص بإدارة تعيينات أدوار Microsoft Purview في هذا الدليل.

تحذير

المشكلات المعروفة المتعلقة بالأذونات

  • بالإضافة إلى دور مؤلفي نهج Microsoft Purview، يحتاج المستخدم إلى إذن "قارئ الدليل " في Azure Active Directory لإنشاء نهج مالك البيانات. مزيد من المعلومات حول أذونات قارئ دليل Azure AD

تفويض مسؤولية التحكم في الوصول إلى Microsoft Purview

تحذير

  • يمكن توريث دور مالك IAM لمصدر بيانات من مجموعة الموارد الرئيسية أو الاشتراك أو مجموعة إدارة الاشتراك.
  • بمجرد تمكين مورد لإدارة استخدام البيانات، سيتمكن أي مؤلف نهج لجمع الجذر في Microsoft Purview من إنشاء نهج وصول ضده، وسيتمكن أي مسؤول مصدر بيانات لجمع الجذر في Microsoft Purview من نشر هذه النهج في أي وقت بعد ذلك.
  • أي يمكن لمسؤول مجموعة الجذر في Microsoft Purview تعيين أدوار جديدةلمسؤول مصدر البياناتومؤلف النهج لمجموعة الجذر.

مع وضع هذه التحذيرات في الاعتبار، إليك بعض أفضل الممارسات المقترحة للأذونات:

  • تقليل عدد الأشخاص الذين يشغلون أدوار " مجموعة الجذر في Microsoft Purview" أو "مسؤول مصدر البيانات الجذر" أو " مؤلف نهج الجذر".
  • لضمان التحقق والتوازن، قم بتعيين أدوار مؤلف نهج Microsoft Purview ومسؤول مصدر البيانات لأشخاص مختلفين في المؤسسة. باستخدام هذا، قبل أن تصبح سياسة البيانات سارية المفعول، يجب على شخص ثان ( مسؤول مصدر البيانات) مراجعتها والموافقة عليها صراحة عن طريق نشرها.

تسجيل مصادر البيانات في Microsoft Purview لإدارة استخدام البيانات

يجب تسجيل حساب تخزين Azure الخاص بك في Microsoft Purview لتحديد نهج الوصول لاحقا، وأثناء التسجيل سنقوم بتمكين إدارة استخدام البيانات. إدارة استخدام البيانات هي ميزة متوفرة في Microsoft Purview تسمح للمستخدمين بإدارة الوصول إلى مورد من داخل Microsoft Purview. يتيح لك ذلك إضفاء الطابع المركزي على اكتشاف البيانات وإدارة الوصول إليها ، ولكنها ميزة تؤثر بشكل مباشر على أمان بياناتك.

تحذير

قبل تمكين إدارة استخدام البيانات لأي من مواردك، اقرأ مقالة إدارة استخدام البيانات.

تتضمن هذه المقالة أفضل ممارسات إدارة استخدام البيانات لمساعدتك في ضمان أمان معلوماتك.

لتسجيل المورد الخاص بك وتمكين إدارة استخدام البيانات، اتبع الخطوات التالية:

ملاحظة

يجب أن تكون مالكا للاشتراك أو مجموعة الموارد حتى تتمكن من إضافة هوية مدارة على مورد Azure.

  1. من مدخل Azure، ابحث عن حساب تخزين Azure Blob الذي ترغب في تسجيله.

    Screenshot that shows the storage account

  2. حدد التحكم في الوصول (IAM) في شريط التنقل الأيمن، ثم حدد + إضافة -->إضافة تعيين دور.

    Screenshot that shows the access control for the storage account

  3. قم بتعيين الدور إلى قارئ بيانات التخزين Blob وأدخل اسم حساب Microsoft Purview ضمن المربع تحديد إدخال. ثم حدد حفظ لإعطاء تعيين الدور هذا إلى حساب Microsoft Purview الخاص بك.

    Screenshot that shows the details to assign permissions for the Microsoft Purview account

  4. إذا كان لديك جدار حماية ممكن في حساب "التخزين"، فاتبع الخطوات التالية أيضا:

    1. انتقل إلى حساب Azure Storage الخاص بك في مدخل Azure.

    2. انتقل إلى الأمان + الشبكات الشبكية.NET >

    3. اختر الشبكات المحددة ضمن السماح بالوصول من.

    4. في قسم الاستثناءات، حدد السماح خدمات Microsoft الموثوق بهم بالوصول إلى حساب التخزين هذا وحدد حفظ.

      Screenshot that shows the exceptions to allow trusted Microsoft services to access the storage account.

  5. بمجرد إعداد المصادقة لحساب التخزين الخاص بك، انتقل إلى مدخل إدارة Microsoft Purview.

  6. حدد خريطة البيانات في القائمة اليمنى.

    Screenshot that shows the far left menu in the Microsoft Purview governance portal open with Data Map highlighted.

  7. اختر ⁧تسجيل⁧.

    Screenshot that shows the Microsoft Purview governance portal Data Map sources, with the register button highlighted at the top.

  8. في تسجيل المصادر، حدد Azure Blob Storage.

    Screenshot that shows the tile for Azure Multiple on the screen for registering multiple sources.

  9. حدد ⁦⁩Continue⁦⁩.

  10. على شاشة تسجيل المصادر (Azure)، قم بما يلي:

    1. في المربع الاسم ، أدخل اسما مألوفا سيتم إدراج مصدر البيانات به في الكتالوج.

    2. في مربعات القائمة المنسدلة الاشتراك، حدد الاشتراك الذي يوجد به حساب التخزين الخاص بك. ثم حدد حساب التخزين ضمن اسم حساب التخزين. في تحديد مجموعة ، حدد المجموعة التي تريد تسجيل حساب Azure Storage فيها.

      Screenshot that shows the boxes for selecting a storage account.

    3. في المربع تحديد مجموعة ، حدد مجموعة أو أنشئ مجموعة جديدة (اختياري).

    4. اضبط مفتاح التبديل " إدارة استخدام البيانات " على "ممكن"، كما هو موضح في الصورة أدناه.

      Screenshot that shows Data Use Management toggle set to active on the registered resource page.

      تلميح

      إذا كان تبديل "إدارة استخدام البيانات" باللون الرمادي ولم يكن من الممكن تحديده:

      1. تأكد من اتباع جميع المتطلبات الأساسية لتمكين إدارة استخدام البيانات عبر مواردك.
      2. تأكد من أنك حددت حساب تخزين ليتم تسجيله.
      3. قد يكون هذا المورد مسجلا بالفعل في حساب Microsoft Purview آخر. مرر مؤشر الماوس فوقه لمعرفة اسم حساب Microsoft Purview الذي قام بتسجيل مورد البيانات.أولا. يمكن لحساب Microsoft Purview واحد فقط تسجيل مورد لإدارة استخدام البيانات في الوقت المحدد.

    5. حدد تسجيل لتسجيل مجموعة الموارد أو الاشتراك في Microsoft Purview مع تمكين إدارة استخدام البيانات.

تلميح

لمزيد من المعلومات حول إدارة استخدام البيانات، بما في ذلك أفضل الممارسات أو المشكلات المعروفة، راجع مقالة إدارة استخدام البيانات.

إنشاء سياسة مالك البيانات

  1. سجل الدخول إلى مدخل إدارة Microsoft Purview.

  2. انتقل إلى ميزة سياسة البيانات باستخدام اللوحة الموجودة على الجانب الأيسر. ثم حدد سياسات البيانات.

  3. حدد الزر نهج جديد في صفحة السياسة.

    Data owner can access the Policy functionality in Microsoft Purview when it wants to create policies.

  4. ستظهر صفحة السياسة الجديدة. أدخل اسم السياسة ووصفها.

  5. لإضافة بيانات نهج إلى النهج الجديد، حدد الزر بيان نهج جديد . سيؤدي ذلك إلى ظهور منشئ بيان السياسة.

    Data owner can create a new policy statement.

  6. حدد زر التأثيرواختر السماح من القائمة المنسدلة.

  7. حدد زر الإجراء واختر قراءة أو تعديل من القائمة المنسدلة.

  8. حدد الزر "موارد البيانات" لإظهار النافذة لإدخال معلومات موارد البيانات ، والتي سيتم فتحها على اليمين.

  9. ضمن لوحة موارد البيانات ، قم بأحد أمرين اعتمادا على دقة السياسة:

    • لإنشاء بيان نهج عام يغطي مصدر بيانات بالكامل أو مجموعة موارد أو اشتراكا تم تسجيله مسبقا، استخدم المربع مصادر البيانات وحدد نوعه.
    • لإنشاء سياسة دقيقة، استخدم مربع الأصول بدلا من ذلك. أدخل نوع مصدر البياناتواسم مصدر بيانات مسجل مسبقا وممسوح ضوئيا. انظر المثال في الصورة.

    Screenshot showing the policy editor, with Data Resources selected, and Data source Type highlighted in the data resources menu.

  10. حدد الزر متابعة وقم بعرض التسلسل الهرمي لتحديد كائن البيانات والأساسي (على سبيل المثال: المجلد أو الملف أو ما إلى ذلك). حدد تكراري لتطبيق النهج من تلك النقطة في التدرج الهرمي وصولا إلى أي كائنات بيانات تابعة. ثم حدد الزر إضافة . سيعيدك هذا إلى محرر السياسة.

    Screenshot showing the Select asset menu, and the Add button highlighted.

  11. حدد الزر الموضوعات وأدخل هوية الموضوع كأصل أو مجموعة أو MSI. ثم حدد الزر موافق. سيعيدك هذا إلى محرر السياسة

    Screenshot showing the Subject menu, with a subject select from the search and the OK button highlighted at the bottom.

  12. كرر الخطوات من #5 إلى #11 لإدخال أي بيانات سياسة أخرى.

  13. حدد الزر حفظ لحفظ السياسة.

    Screenshot showing a sample data owner policy giving access to an Azure Storage account.

نشر سياسة مالك البيانات

  1. سجل الدخول إلى مدخل إدارة Microsoft Purview.

  2. انتقل إلى ميزة سياسة البيانات باستخدام اللوحة الموجودة على الجانب الأيسر. ثم حدد سياسات البيانات.

    Screenshot showing the Microsoft Purview governance portal with the leftmost menu open, Policy Management highlighted, and Data Policies selected on the next page.

  3. ستقدم مدخل النهج قائمة بالنهج الموجودة في Microsoft Purview. حدد موقع السياسة التي تحتاج إلى نشر. حدد الزر نشر في الزاوية العلوية اليسرى من الصفحة.

    Screenshot showing the policy editing menu with the Publish button highlighted in the top right of the page.

  4. يتم عرض قائمة بمصادر البيانات. يمكنك إدخال اسم لتصفية القائمة. ثم حدد كل مصدر بيانات حيث سيتم نشر هذا النهج ثم حدد الزر نشر .

    Screenshot showing with Policy publish menu with a data resource selected and the publish button highlighted.

هام

  • النشر هو عملية خلفية. قد يستغرق الأمر ما يصل إلى 2 ساعة حتى تنعكس التغييرات في حساب (حسابات) التخزين.

تنظيف الموارد

لحذف نهج في Microsoft Purview، اتبع الخطوات التالية:

  1. سجل الدخول إلى مدخل إدارة Microsoft Purview.

  2. انتقل إلى ميزة سياسة البيانات باستخدام اللوحة الموجودة على الجانب الأيسر. ثم حدد سياسات البيانات.

    Screenshot showing the leftmost menu open, Policy Management highlighted, and Data Policies selected on the next page.

  3. ستقدم مدخل النهج قائمة بالنهج الموجودة في Microsoft Purview. حدد السياسة التي تحتاج إلى تحديث.

  4. ستظهر صفحة تفاصيل السياسة، بما في ذلك خيارات التحرير والحذف. حدد الزر تحرير ، الذي يعرض منشئ بيان السياسة. الآن ، يمكن تحديث أي أجزاء من البيانات في هذه السياسة. لحذف السياسة، استخدم الزر حذف .

    Screenshot showing an open policy with the Edit button highlighted in the top menu on the page.

الخطوات التالية

تحقق من العرض التوضيحي والبرامج التعليمية ذات الصلة:

عرض توضيحي لنهج الوصول ل Azure Storageمفاهيم لنهج مالك بيانات Microsoft Purviewتمكيننهج مالك بيانات Microsoft Purview على كافة مصادر البيانات في اشتراك أو مجموعة موارد