Mengaktifkan Manajemen Penggunaan Data di sumber Microsoft Purview Anda
Penting
Fitur ini sedang dalam Pratinjau. Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure mencakup ketentuan hukum yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Manajemen Penggunaan Data (DUM) adalah opsi dalam pendaftaran sumber data di Microsoft Purview. Opsi ini memungkinkan Microsoft Purview mengelola akses data untuk sumber daya Anda. Konsep tingkat tinggi adalah bahwa pemilik data memungkinkan sumber daya datanya tersedia untuk kebijakan akses dengan mengaktifkan DUM.
Saat ini, pemilik data dapat mengaktifkan DUM pada sumber daya data untuk jenis kebijakan akses ini:
- Kebijakan akses pemilik data - kebijakan akses yang ditulis melalui pengalaman kebijakan data Microsoft Purview.
- Kebijakan akses layanan mandiri - kebijakan akses yang dibuat secara otomatis oleh Microsoft Purview setelah permintaan akses layanan mandiri disetujui.
Agar dapat membuat kebijakan data apa pun pada sumber daya, DUM harus terlebih dahulu diaktifkan pada sumber daya tersebut. Artikel ini akan menjelaskan cara mengaktifkan DUM pada sumber daya Anda di Microsoft Purview.
Penting
Karena Manajemen Penggunaan Data secara langsung memengaruhi akses ke data Anda, itu secara langsung memengaruhi keamanan data Anda. Tinjau pertimbangan tambahan dan praktik terbaik di bawah ini sebelum mengaktifkan DUM di lingkungan Anda.
Prasyarat
Daftarkan Microsoft Purview sebagai penyedia sumber daya di langganan lain
Jalankan langkah ini hanya jika sumber data dan akun Microsoft Purview berada dalam langganan yang berbeda. Daftarkan Microsoft Purview sebagai penyedia sumber daya di setiap langganan tempat sumber data berada dengan mengikuti panduan ini: Daftarkan penyedia sumber daya.
Penyedia sumber daya Microsoft Purview adalah:
Microsoft.Purview
Mengonfigurasi izin untuk tindakan manajemen kebijakan
Bagian ini membahas izin yang diperlukan untuk:
- Membuat sumber daya data tersedia untuk Manajemen Penggunaan Data. Langkah ini diperlukan sebelum kebijakan dapat dibuat di Microsoft Purview untuk sumber daya tersebut.
- Menulis dan mempublikasikan kebijakan dalam Microsoft Purview.
Penting
Saat ini, peran Microsoft Purview yang terkait dengan operasi kebijakan harus dikonfigurasi di tingkat koleksi akar.
Izin untuk membuat sumber daya data tersedia untuk Manajemen Penggunaan Data
Untuk mengaktifkan pengalih Manajemen Penggunaan Data (DUM) untuk sumber data, grup sumber daya, atau langganan, pengguna yang sama harus memiliki hak istimewa IAM tertentu pada sumber daya dan hak istimewa Microsoft Purview tertentu.
Pengguna harus memiliki salah satu kombinasi peran IAM berikut pada jalur ARM sumber daya atau induknya (menggunakan pewarisan).
- Pemilik IAM
- Baik Kontributor IAM + Administrator Akses Pengguna IAM
Ikuti panduan ini untuk mengonfigurasi izin peran Azure RBAC. Cuplikan layar berikut menunjukkan cara mengakses bagian Access Control dalam pengalaman portal Azure untuk sumber daya data guna menambahkan penetapan peran:
- Selain itu, pengguna yang sama harus memiliki peran administrator sumber data (DSA) Microsoft Purview di tingkat pengumpulan akar. Lihat panduan tentang mengelola Microsoft Purview penetapan peran. Cuplikan layar berikut menunjukkan cara menetapkan Admin Sumber Data di tingkat koleksi akar:
Izin untuk penulisan dan penerbitan kebijakan
Izin berikut diperlukan dalam Microsoft Purview di tingkat pengumpulan akar:
- Peran penulis kebijakan dapat membuat atau mengedit kebijakan.
- Peran administrator sumber data dapat mempublikasikan kebijakan.
Periksa bagian tentang mengelola penetapan peran Microsoft Purview dalam panduan ini.
Catatan
Masalah yang diketahui terkait dengan izin
- Selain peran Pembuat kebijakan Microsoft Purview, pengguna mungkin memerlukan izin Pembaca Direktori pada Azure Active Directory untuk membuat kebijakan pemilik data. Ini adalah izin umum untuk pengguna di penyewa Azure. Anda bisa memeriksa izin untuk Pembaca Direktori Azure AD
Delegasi tanggung jawab kontrol akses untuk Microsoft Purview
Peringatan
- Peran Pemilik IAM untuk sumber data dapat diwarisi dari grup sumber daya induk, langganan, atau Grup Manajemen langganan.
- Setelah sumber daya diaktifkan untuk Pengelolaan Penggunaan Data, setiap set akar Microsoft Purview pembuat kebijakan akan dapat membuat kebijakan akses terhadapnya, dan setiap koleksi-akar Microsoft Purview Admin sumber data akan dapat memublikasikan kebijakan tersebut pada kapan saja setelahnya.
- Setiap root Microsoft Purview Admin Koleksi dapat menetapkan peran baru koleksi-akar Admin Sumber Data dan Penulis kebijakan.
- Jika akun Microsoft Purview dihapus, kebijakan apa pun yang diterbitkan akan berhenti diberlakukan dalam jumlah waktu yang bergantung dengan sumber data tertentu. Tindakan ini dapat berdampak pada ketersediaan keamanan dan akses data.
Dengan mengingat peringatan ini, berikut adalah beberapa praktik terbaik yang disarankan untuk izin:
- Minimalkan jumlah orang yang memegang peran Admin Koleksi root Microsoft Purview, Admin Sumber Data root, atau root Penulis kebijakan.
- Untuk memastikan pemeriksaan dan keseimbangan, tetapkan peran Microsoft Purview Penulis kebijakan dan Admin sumber data kepada orang yang berbeda dalam organisasi. Dengan ini, sebelum kebijakan data berlaku, orang kedua (Admin sumber data) harus meninjaunya dan secara eksplisit menyetujuinya dengan memublikasikannya.
- Akun Microsoft Purview dapat dihapus oleh peran Kontributor dan Pemilik di IAM. Anda dapat memeriksa izin ini dengan membuka bagian Kontrol akses (IAM) untuk akun Microsoft Purview Anda dan memilih Penetapan Peran. Anda juga dapat menempatkan kunci untuk mencegah akun Microsoft Purview dihapus melalui kunci ARM.
Mengaktifkan Manajemen Penggunaan Data
Untuk mengaktifkan Manajemen Penggunaan Data untuk sumber daya, sumber daya harus terlebih dahulu didaftarkan di Microsoft Purview. Untuk mendaftarkan sumber daya, ikuti bagian Prasyarat dan Daftar darihalaman sumber untuk sumber daya Anda.
Setelah sumber daya Anda terdaftar, ikuti langkah-langkah lainnya untuk mengaktifkan sumber daya individual untuk Manajemen Penggunaan Data.
Pilih tab Peta data di menu sebelah kiri.
Pilih tab Sumber di menu sebelah kiri.
Pilih sumber tempat Anda ingin mengaktifkan Manajemen Penggunaan Data.
Di bagian atas halaman sumber, pilih Edit sumber.
Atur tombol Manajemen Penggunaan Data ke Diaktifkan, seperti yang ditunjukkan pada gambar di bawah ini.
Menonaktifkan Manajemen Penggunaan Data
Untuk menonaktifkan Manajemen Penggunaan Data untuk sumber, grup sumber daya, atau langganan, pengguna harus menjadi Pemilik IAM sumber daya atau admin sumber data Microsoft Purview. Setelah Anda memiliki izin tersebut, ikuti langkah-langkah berikut:
Pilih tab Peta data di menu sebelah kiri.
Pilih tab Sumber di menu sebelah kiri.
Pilih sumber yang ingin Anda nonaktifkan Manajemen Penggunaan Datanya.
Di bagian atas halaman sumber, pilih Edit sumber.
Atur tombol Manajemen Penggunaan Data ke Dinonaktifkan.
Pertimbangan tambahan yang terkait dengan Manajemen Penggunaan Data
- Pastikan Anda menuliskan Nama yang Anda gunakan saat mendaftar di Microsoft Purview. Anda akan membutuhkannya saat menerbitkan kebijakan. Praktik yang disarankan adalah membuat nama terdaftar sama persis dengan nama titik akhir.
- Untuk menonaktifkan sumber untuk Manajemen Penggunaan Data, hapus terlebih dahulu agar tidak terikat (yaitu diterbitkan) dalam kebijakan apa pun.
- Meskipun pengguna harus memiliki Pemilik sumber data dan admin sumber data Microsoft Purview untuk mengaktifkan sumber untuk Manajemen Penggunaan Data, salah satu peran tersebut dapat menonaktifkannya secara independen.
- Pastikan Anda menuliskan Nama yang Anda gunakan saat mendaftar di Microsoft Purview. Anda akan membutuhkannya saat menerbitkan kebijakan. Praktik yang disarankan adalah membuat nama terdaftar sama persis dengan nama titik akhir.
- Untuk menonaktifkan sumber untuk Manajemen Penggunaan Data, hapus terlebih dahulu agar tidak terikat (yaitu, diterbitkan) dalam kebijakan apa pun.
- Meskipun pengguna harus memiliki Pemilik sumber data dan admin sumber data Microsoft Purview untuk mengaktifkan sumber untuk Manajemen Penggunaan Data, salah satu peran tersebut dapat menonaktifkannya secara independen.
- Menonaktifkan Manajemen Penggunaan Data untuk langganan juga akan menonaktifkannya untuk semua aset yang terdaftar dalam langganan tersebut.
Peringatan
Masalah umum terkait pendaftaran sumber
- Memindahkan sumber data ke grup sumber daya atau langganan yang berbeda belum didukung. Jika ingin melakukannya, batalkan pendaftaran sumber data di Microsoft Purview sebelum memindahkannya lalu daftarkan lagi setelah itu terjadi.
- Setelah langganan dinonaktifkan untuk Manajemen Penggunaan Data , aset yang mendasar yang diaktifkan untuk Manajemen Penggunaan Data akan dinonaktifkan, yang merupakan perilaku yang tepat. Namun, pernyataan kebijakan berdasarkan aset tersebut masih akan diizinkan setelah itu.
Praktik terbaik Manajemen Penggunaan Data
- Kami sangat mendorong pendaftaran sumber data untuk Manajemen Penggunaan Data dan mengelola semua kebijakan akses terkait dalam satu akun Microsoft Purview.
- Jika Anda memiliki beberapa akun Microsoft Purview, ketahuilah bahwa semua sumber data milik langganan harus didaftarkan untuk Manajemen Penggunaan Data dalam satu akun Microsoft Purview. Akun Microsoft Purview tersebut dapat berada di langganan apa pun di penyewa. Pengalih Manajemen Penggunaan Data akan menjadi abu-abu ketika ada konfigurasi yang tidak valid. Beberapa contoh konfigurasi yang valid dan tidak valid mengikuti diagram di bawah ini:
- Kasus 1 menunjukkan konfigurasi yang valid di mana akun Storage terdaftar di akun Microsoft Purview dalam langganan yang sama.
- Kasus 2 menunjukkan konfigurasi yang valid di mana akun Storage terdaftar di akun Microsoft Purview dalam langganan yang berbeda.
- Kasus 3 menunjukkan konfigurasi yang tidak valid yang muncul karena Storage akun S3SA1 dan S3SA2 keduanya milik Langganan 3, tetapi didaftarkan ke akun Microsoft Purview yang berbeda. Dalam hal ini, pengalih Manajemen Penggunaan Data hanya akan diaktifkan di akun Microsoft Purview yang memenangkan dan mendaftarkan sumber data dalam langganan tersebut terlebih dahulu. Tombol kemudian akan berwarna abu-abu untuk sumber data lainnya.
- Jika pengalih Manajemen Penggunaan Data berwarna abu-abu dan tidak dapat diaktifkan, arahkan mouse ke atasnya untuk mengetahui nama akun Microsoft Purview yang telah mendaftarkan sumber daya data terlebih dahulu.
