Effettuare il provisioning dell'accesso a interi gruppi di risorse o sottoscrizioni usando i criteri di proprietario dei dati di Microsoft Purview (anteprima)

Importante

Al momento questa funzionalità è disponibile in anteprima. Le Condizioni aggiuntive per l'uso per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano alle funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.

I criteri di proprietario dei dati sono un tipo di criteri di accesso di Microsoft Purview. Consentono di gestire l'accesso ai dati utente nelle origini registrate per La gestione dell'uso dei dati in Microsoft Purview. Questi criteri possono essere creati direttamente nel portale di governance di Microsoft Purview e, dopo la pubblicazione, vengono applicati dall'origine dati.

In questa guida viene illustrato come registrare un intero gruppo di risorse o una sottoscrizione e quindi creare un singolo criterio che gestirà l'accesso a tutte le origini dati in tale gruppo di risorse o sottoscrizione. Questo singolo criterio coprirà tutte le origini dati esistenti e tutte le origini dati create in seguito.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Un account Microsoft Purview nuovo o esistente. Seguire questa guida di avvio rapido per crearne una.

Solo queste origini dati sono abilitate per i criteri di accesso nel gruppo di risorse o nella sottoscrizione. Seguire la sezione Prerequisiti specifica per le origini dati in queste guide:

• Criteri del proprietario dei dati in un account di archiviazione di Azure
• Criteri di proprietario dei dati in un database Azure SQL(*)
• Criteri di proprietario dei dati in un SQL Server(*) abilitato per Azure Arc(*)

(*) L'azione Modifica non è attualmente supportata per le origini dati di tipo SQL.

Configurazione di Microsoft Purview

Registrare l'origine dati in Microsoft Purview

Prima di creare un criterio in Microsoft Purview per una risorsa dati, è necessario registrare tale risorsa dati in Microsoft Purview Studio. Le istruzioni relative alla registrazione della risorsa dati sono disponibili più avanti in questa guida.

Nota

I criteri di Microsoft Purview si basano sul percorso arm della risorsa dati. Se una risorsa dati viene spostata in un nuovo gruppo di risorse o sottoscrizione, sarà necessario deregistrarla e quindi registrarla di nuovo in Microsoft Purview.

Configurare le autorizzazioni per abilitare la gestione dell'uso dei dati nell'origine dati

Dopo aver registrato una risorsa, ma prima di poter creare un criterio in Microsoft Purview per tale risorsa, è necessario configurare le autorizzazioni. È necessario un set di autorizzazioni per abilitare la gestione dell'uso dei dati. Questo vale per le origini dati, i gruppi di risorse o le sottoscrizioni. Per abilitare la gestione dell'uso dei dati, è necessario disporre di privilegi specifici di Gestione identità e accesso (IAM) per la risorsa, nonché di privilegi Microsoft Purview specifici:

• È necessario disporre di una delle combinazioni di ruoli IAM seguenti nel percorso di Azure Resource Manager della risorsa o in qualsiasi altro elemento padre, ovvero usando l'ereditarietà delle autorizzazioni IAM:

  • Proprietario di IAM
  • Collaboratore IAM e Amministratore accesso utente di IAM

  Per configurare le autorizzazioni del controllo degli accessi in base al ruolo di Azure, seguire questa guida. Lo screenshot seguente mostra come accedere alla sezione Controllo di accesso nel portale di Azure per la risorsa dati per aggiungere un'assegnazione di ruolo.

  

  Nota

  Il ruolo proprietario di IAM per una risorsa dati può essere ereditato da un gruppo di risorse padre, una sottoscrizione o un gruppo di gestione della sottoscrizione. Controllare quali utenti, gruppi ed entità servizio di Azure AD contengono o ereditano il ruolo proprietario di IAM per la risorsa.

• È anche necessario avere il ruolo di amministratore dell'origine dati di Microsoft Purview per la raccolta o una raccolta padre (se l'ereditarietà è abilitata). Per altre informazioni, vedere la guida sulla gestione delle assegnazioni di ruolo di Microsoft Purview.

  Lo screenshot seguente mostra come assegnare il ruolo di amministratore dell'origine dati a livello di raccolta radice.

  

Configurare le autorizzazioni di Microsoft Purview per creare, aggiornare o eliminare i criteri di accesso

Per creare, aggiornare o eliminare criteri, è necessario ottenere il ruolo Autore criteri in Microsoft Purview a livello di raccolta radice:

• Il ruolo Autore criteri può creare, aggiornare ed eliminare i criteri DevOps e Proprietario dati.
• Il ruolo Autore criteri può eliminare i criteri di accesso self-service.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Il ruolo di autore dei criteri deve essere configurato a livello di raccolta radice.

Inoltre, per eseguire facilmente ricerche in utenti o gruppi di Azure AD durante la creazione o l'aggiornamento dell'oggetto di un criterio, è possibile ottenere l'autorizzazione Lettori di directory in Azure AD. Si tratta di un'autorizzazione comune per gli utenti in un tenant di Azure. Senza l'autorizzazione Lettore di directory, l'autore dei criteri dovrà digitare il nome utente o il messaggio di posta elettronica completo per tutte le entità incluse nell'oggetto di un criterio dati.

Configurare le autorizzazioni di Microsoft Purview per la pubblicazione dei criteri proprietario dei dati

I criteri del proprietario dei dati consentono controlli e saldi se si assegnano i ruoli di autore dei criteri di Microsoft Purview e amministratore dell'origine dati a persone diverse nell'organizzazione. Prima che i criteri di proprietario dei dati abbiano effetto, una seconda persona (amministratore dell'origine dati) deve esaminarlo e approvarlo in modo esplicito pubblicandolo. Questo non si applica ai criteri di accesso self-service o DevOps perché la pubblicazione è automatica quando tali criteri vengono creati o aggiornati.

Per pubblicare un criterio proprietario dei dati, è necessario ottenere il ruolo di amministratore dell'origine dati in Microsoft Purview a livello di raccolta radice.

Per altre informazioni sulla gestione delle assegnazioni di ruolo di Microsoft Purview, vedere Creare e gestire raccolte nel Microsoft Purview Data Map.

Nota

Per pubblicare i criteri proprietario dei dati, il ruolo di amministratore dell'origine dati deve essere configurato a livello di raccolta radice.

Delegare la responsabilità del provisioning dell'accesso ai ruoli in Microsoft Purview

Dopo aver abilitato una risorsa per la gestione dell'uso dei dati, qualsiasi utente di Microsoft Purview con il ruolo Autore criteri a livello di raccolta radice può effettuare il provisioning dell'accesso a tale origine dati da Microsoft Purview.

Nota

Qualsiasi amministratore della raccolta radice di Microsoft Purview può assegnare nuovi utenti ai ruoli di autore dei criteri radice. Qualsiasi amministratore della raccolta può assegnare nuovi utenti a un ruolo di amministratore dell'origine dati nella raccolta. Ridurre al minimo e controllare attentamente gli utenti che detengono i ruoli amministratore della raccolta Di Microsoft Purview, Amministratore origine dati o Autore criteri .

Se viene eliminato un account Microsoft Purview con criteri pubblicati, tali criteri smetteranno di essere applicati entro un periodo di tempo che dipende dall'origine dati specifica. Questa modifica può avere implicazioni sia sulla sicurezza che sulla disponibilità dell'accesso ai dati. I ruoli Collaboratore e Proprietario in IAM possono eliminare gli account Microsoft Purview. È possibile controllare queste autorizzazioni passando alla sezione Controllo di accesso (IAM) per l'account Microsoft Purview e selezionando Assegnazioni di ruolo. È anche possibile usare un blocco per impedire l'eliminazione dell'account Microsoft Purview tramite blocchi Resource Manager.

Registrare la sottoscrizione o il gruppo di risorse per Gestione utilizzo dati

La sottoscrizione o il gruppo di risorse deve essere registrato con Microsoft Purview prima di poter creare criteri di accesso. Per registrare la sottoscrizione o il gruppo di risorse, seguire le sezioni Prerequisiti e Registrazione di questa guida:

• Registrare più origini in Microsoft Purview

Dopo aver registrato le risorse, sarà necessario abilitare Gestione utilizzo dati. Gestione utilizzo dati richiede determinate autorizzazioni e può influire sulla sicurezza dei dati, in quanto delega a determinati ruoli di Microsoft Purview per gestire l'accesso alle origini dati. Seguire le procedure di sicurezza relative alla gestione dell'uso dei dati in questa guida: Come abilitare la gestione dell'uso dei dati

Alla fine, la risorsa avrà l'interruttore Gestione utilizzo datiabilitato, come illustrato nello screenshot:

Creare e pubblicare criteri di proprietario dei dati

Eseguire i passaggi descritti nelle sezioni Creare un nuovo criterio e Pubblicare un criterionell'esercitazione sulla creazione di criteri per il proprietario dei dati. Il risultato sarà un criterio proprietario dei dati simile all'esempio illustrato nell'immagine: un criterio che fornisce al gruppo di sicurezza sg-Financel'accesso alla modifica del gruppo di risorse finance-rg. Usare la casella Origine dati nell'esperienza utente criteri.

Importante

• Publish è un'operazione in background. Ad esempio, gli account di Archiviazione di Azure possono richiedere fino a 2 ore per riflettere le modifiche.
• La modifica di un criterio non richiede una nuova operazione di pubblicazione. Le modifiche verranno prelevate con il pull successivo.

Annullare la pubblicazione di un criterio di proprietario dei dati

Seguire questo collegamento per la procedura per annullare la pubblicazione di un criterio di proprietario dei dati in Microsoft Purview.

Aggiornare o eliminare i criteri di proprietario dei dati

Seguire questo collegamento per i passaggi per aggiornare o eliminare i criteri di proprietario dei dati in Microsoft Purview.

Informazioni aggiuntive

• La creazione di criteri a livello di sottoscrizione o di gruppo di risorse consentirà agli soggetti di accedere ai contenitori del sistema di archiviazione di Azure, ad esempio $logs. Se questa operazione non è desiderata, eseguire prima l'analisi dell'origine dati e quindi creare criteri con granularità più fine per ognuno, ovvero a livello di contenitore o sotto-contenitore.

Limiti

Il limite per i criteri di Microsoft Purview che possono essere applicati dagli account di archiviazione è di 100 MB per sottoscrizione, che equivale approssimativamente a 5000 criteri.

Passaggi successivi

Controllare blog, demo ed esercitazioni correlate:

• Doc: Concetti per i criteri di proprietario dei dati di Microsoft Purview
• Blog: La governance a livello di gruppo di risorse può ridurre significativamente l'impegno
• Video: Demo dei criteri di accesso del proprietario dei dati per Archiviazione di Azure
• Blog: Concedere agli utenti l'accesso agli asset di dati nell'organizzazione tramite l'API