Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der grundlegenden Strategie und Architektur schaffen Sie von Anfang an starke Governance- und Sicherheitspraktiken. Durch diesen Ansatz wird sichergestellt, dass Daten aus allen Ecken der Organisation in Ihre einheitliche Plattform fließen und dabei stets gut verwaltet, konform und sicher bleiben. Recommendation: Legen Sie Microsoft Purview als Datensatzsystem für Datengovernance und Sicherheit fest, damit Ihre Organisation einheitliche Richtlinien, Verantwortlichkeiten und Compliance im gesamten Datenbestand anwenden kann (siehe Abbildung 1). Um diese Empfehlung anzuwenden, verwenden Sie diesen Artikel als Checkliste:
Abbildung 1. Die Rolle von Microsoft Purview bei der Daten-Governance und bei Sicherheitsbaselines.
1. Basisplan für die Datensichtbarkeit
Data-Governance beginnt mit einem klaren Überblick über alle Ihre Daten-Assets in Ihrer gesamten Infrastruktur. Recommendation: Richten Sie einen konsistenten Sichtbarkeitsgrundwert mit Microsoft Purview ein, bevor Daten OneLake eingeben. Dieser Ansatz trägt dazu bei, dass Governanceentscheidungen auf allen Plattformen und Teams konsistent bleiben. Verwenden Sie die folgende Checkliste, um diese Empfehlung anzuwenden:
1.1. Erstellen eines Datenkatalogs
Ein zentralisierter Datenkatalog bietet Entscheidungsträgern ein einziges Datensatzsystem, um zu verstehen, welche Daten vorhanden sind, wo sie sich befinden und wer sie besitzt. Recommendation: Verwenden Sie Microsoft Purview Unified Catalog als autoritatives Inventar für alle Unternehmensdatenressourcen. Verwenden Sie die folgende Checkliste, um diese Empfehlung anzuwenden:
Verwenden Sie Governancedomänen. Organisieren Sie den vereinheitlichten Katalog mithilfe von Purview-Governance-Domänen, die mit vorhandenen Datendomänen übereinstimmen. Sammlungen, Rollen und Berechtigungen sollten diese Grenzen widerspiegeln, sodass jede Datendomäne über Autorität in ihrem Bereich verfügt. Der Einheitliche Katalog beginnt leer, aber da Datenquellen registriert und gescannt werden, wird er zu einer genauen Karte des Nachlasses. Das Frühzeitige Festlegen von Domänen bringt Klarheit, da der Katalog erweitert wird.
Füllen Sie das Glossar auf. Sobald die Struktur steht, erstellen Sie ein gemeinsames Glossar, das die wichtigsten Begriffe der Organisation festhält. Begriffe wie "Kunde", "Produkt", "Mitarbeiter" und "Standort" und "Measures wie Umsatz" oder "Headcount" variieren häufig je nach Abteilung, es sei denn, es wurde harmonisiert. Dokumentieren Sie diese Definitionen als Glossarbegriffe im einheitlichen Katalog, und zeigen Sie sie im Glossar von Purview an. Kommunizieren Sie sie allgemein, um Mehrdeutigkeit zu vermeiden. Diese Klarheit unterstützt konsistente KI-, Analyse- und Berichterstellungsmethoden in allen Teams.
1.2. Datenquellen zuordnen
Die Purview Data Map bietet Einblicke in Datenressourcen, ohne Daten zu kopieren oder Sicherheitssteuerelemente auf Quellebene zu ersetzen. Empfehlung: Melden Sie sich an und scannen Sie alle relevanten Datensysteme, um die Datenkarte aufzufüllen. Verwenden Sie die folgende Checkliste, um diese Empfehlung anzuwenden:
Erstellen Sie die Purview-Architektur. Verwenden Sie Purview-Sammlungen und Datenkarten-Domänen, um Berechtigungen und Governance an die Anforderungen Ihrer Datendomänen anzupassen. Diese Konstrukte definieren Grenzen für die Zugriffssteuerung, die Richtlinienverwaltung und die operative Verantwortung. Befolgen Sie bewährte Methoden für die Purview-Domänen- und Sammlungsarchitektur.
Richten Sie "Purview" für Microsoft 365 Daten ein. Purview verfügt über eine native Integration in Microsoft 365-Daten (z. B. SharePoint, OneDrive, Exchange, Teams). Stellen Sie sicher, dass Sie auch Inhalte in Microsoft 365 steuern. Wenn Sie Microsoft 365 Dokumente und Nachrichten in OneLake übertragen oder anderweitig in Analysen verwenden, werden alle Bezeichnungen oder Klassifizierungen von Microsoft 365 übertragen. In Purview können Sie Vertraulichkeitsbezeichnungen und Aufbewahrungsbezeichnungen sehen, die Sie in der Microsoft 365 Umgebung angewendet haben. Weitere Informationen finden Sie in Microsoft Purview Setupanleitungen.
Scannen Sie Microsoft Fabric OneLake. Fabric OneLake wird nicht automatisch in der Purview-Datenzuordnung enthalten. Sie müssen sie explizit registrieren und scannen. Das Scannen von OneLake ermöglicht die Metadatenermittlung, die Herkunftsnachverfolgung und die Katalogisierung von Fabric-Assets in Purview. Weitere Informationen finden Sie unter Microsoft Fabric registrieren und scannen.
1.3. Scannen von Cloud-, SaaS- und lokalen Daten
Connectorbasiertes Scannen ist für Daten erforderlich, die in Azure Services, Microsoft Dataverse, lokalen Systemen und anderen Clouds (AWS, Google Cloud, Oracle) gespeichert sind. Sie müssen registrieren und unterstützte Datenquellen in der Datenkarte überprüfen. Empfehlung: Befolgen Sie die bewährten Methoden zum Scannen von Purview. Wählen Sie aus, ob Quellsysteme gescannt oder nur die Microsoft Fabric OneLake-Ebene überprüft werden sollen. Diese Entscheidung hängt von den Sichtbarkeitsanforderungen, Complianceanforderungen, betriebstechnischem Aufwand und der Rolle ab, die jedes System in Analysen und Berichten spielt. Um diese Empfehlung anzuwenden, überprüfen Sie die folgenden Optionen:
Option 1: Quellsysteme scannen. Das Scannen von Betriebssystemen wie Azure-Datenbanken oder AWS S3 liefert eine lückenlose Datenherkunft vom System of Record. Diese Informationen sind für regulierte oder unternehmenskritische Daten wichtig, bei denen vollständige Provenienz Audits und Compliance unterstützt. Sie bietet den deutlichsten Einblick in vorgelagerte Änderungen, führt jedoch zu Komplexität. Connectorkonfiguration, Anmeldeinformationen und Planung erfordern Aufmerksamkeit, und einige Quellen erfordern, dass Sie die richtige Integrationslaufzeit auswählen.
Option 2: Scannen Sie nur die Fabric-Schicht. Wenn keine tiefgehende Visibility in vorgelagerte Systeme erforderlich ist, vereinfacht das Scannen nur der Fabric-Ebene das Governance-Modell. Die Datenherkunft beginnt, sobald Daten in Fabric gelangen. Dieser Ansatz reduziert die Integrationsarbeit. Es eignet sich am besten für Daten, bei denen upstream-Systeme gut geregelt sind oder wenn Complianceverpflichtungen keine vollständige Lineage erfordern. Weitere Informationen finden Sie unter Fabric in Microsoft Purview.
1.4. Anwenden von Vertraulichkeitskennzeichnungen
Vertraulichkeitsbezeichnungen sind ein grundlegendes Tool zum Klassifizieren und Schützen von Daten. In Microsoft Purview gibt es in der Regel zwei Arten von Vertraulichkeitsbezeichnungen:
Nur Metadatenbeschriftungen: Diese Bezeichnungen sind Metadatentags im Purview-Katalog. Wenn Sie z. B. eine Azure SQL Tabelle als "Vertraulich" im Katalog bezeichnen, ohne dass sich dies auf das Quellsystem direkt auswirkt. Diese Bezeichnungen helfen beim Nachverfolgen und Verwalten der Datenempfindlichkeit in Purview für Objekte außerhalb von Microsoft 365/Fabric.
Schutzetiketten: Diese Bezeichnungen markieren nicht nur Daten mit einer Klassifizierung wie "Vertraulich", sondern erzwingen auch den Schutz. Sie können Verschlüsselung oder eingeschränkten Zugriff auf Dateien und E-Mails erzwingen. Nutzen Sie diese Bezeichnungen intensiv in Microsoft 365 und erweitern Sie sie nun auch auf Fabric.
Beide tragen zu einem konsistenten Governancemodell bei, und Klarheit über ihren Zweck trägt dazu bei, den richtigen Bezeichnungstyp an das richtige Szenario auszurichten. Recommendation: Wenden Sie eine einheitliche Vertraulichkeitskennzeichnungsstrategie für Microsoft 365, Fabric und die Purview-Datenkarte an. Verwenden Sie die folgende Checkliste, um diese Empfehlung anzuwenden:
Definieren Sie eine Vertraulichkeitslabel-Taxonomie. Definieren Sie ein Organisationsbezeichnungsschema. Ein allgemeines Schema ist Nicht-geschäftlich, Öffentlich, Allgemein, Vertraulich und Streng Vertraulich. Stellen Sie sicher, dass jeder versteht, was jede Bezeichnung bedeutet und welche Arten von Daten unter jede Kategorie fallen. Holen Sie sich die Zustimmung für diese Taxonomie von Compliance- und Geschäftsinteressenten. Siehe Erste Schritte mit Vertraulichkeitskennzeichnungen.
Kennzeichnung von Microsoft 365 Daten (Schutzbezeichnung). Stellen Sie sicher, dass Microsoft 365 Informationen mithilfe von Microsoft Purview Information Protection gekennzeichnet sind. Diese Bezeichnungen legen Sicherheitskontrollen fest (Verschlüsselung, eingeschränkter Zugriff). Sie bleiben mit den Daten verknüpft, wenn sie in OneLake importiert oder über andere Tools freigegeben werden. Bewährte Methoden: Viele Organisationen richten Richtlinien für die automatische Bezeichnung ein, um vertrauliche Informationen wie Kreditkartennummern oder persönliche Daten zu erkennen und automatisch eine Bezeichnung anzuwenden. Siehe automatische Anwendung von Vertraulichkeitsbezeichnungen für die Microsoft 365 Daten.
Kennzeichnen von Microsoft Fabric-Daten (Schutzkennzeichnung). Microsoft Fabric unterstützt geschützte Vertraulichkeitsbezeichnungen für eigene Ressourcen, z. B. Tabellen in einem Lakehouse und in Power BI. Konfigurieren Sie Standard-Bezeichnungsrichtlinien in Fabric, sodass neue Daten in OneLake bereits ab der Erstellung entsprechend gekennzeichnet werden. So könnten Sie beispielsweise angeben, dass jedes neue Dataset in bestimmten Arbeitsbereichen standardmäßig als intern oder vertraulich bezeichnet wird, es sei denn, es wurde geändert. Durch diesen Ansatz wird sichergestellt, dass keine Daten ohne Klassifizierung in den See eingegeben werden. Passen Sie diese Standardwerte für Bereiche an, die vertrauliche Daten behandeln. Siehe Govern Fabric.
Einträge in der Purview Data Map kennzeichnen (nur-Metadaten-Etikett). Wenden Sie für Datenquellen, die in Purview gescannt werden (z. B. einen Amazon S3-Bucket oder eine lokale Datenbank), Metadatenbeschriftungen in der Purview Data Map an. Obwohl diese Bezeichnungen die Daten an der Quelle nicht verschlüsseln oder einschränken, informieren sie Benutzer und Systeme darüber, dass die Daten vertraulich sind. Sie können auch andere Governanceworkflows auslösen. Alles in Ihrem Katalog sollte über eine Vertraulichkeitsbezeichnung verfügen. Siehe Verwenden von Richtlinien für die automatische Bezeichnung, um Datenressourcen zu erkennen und diese ausschließlich auf Metadaten basierende Vertraulichkeitsbezeichnungen automatisch anzuwenden.
1.5. Erfassen Sie die Datenherkunft
Die Datenlinie bietet Einblicke in die Datenverschiebung und -änderungen über Systeme hinweg. Empfehlung: Aktivieren Sie automatisierte Linien, sofern verfügbar, und schließen Sie Lücken bei Bedarf manuell. Best Practices: Verwenden Sie Microsoft Purview, um die Erfassung der Linien für viele Ressourcen zu automatisieren. Wenn die Automatisierung nicht verfügbar ist, fügen Sie die Linie manuell in Purview hinzu, um Lücken zu füllen. Siehe Manuelle Einrichtung der Datenherkunft. Konfigurieren Sie die Datenlinie in Purview für Fabric und nach Bedarf für Azure Databricks.
2. Datenbestandscompliance-Basisplan
Compliance definiert die gesetzlichen, behördlichen und internen Verpflichtungen, die für Daten auf allen Plattformen gelten. Entscheidungsträger müssen diese Verpflichtungen verstehen, bevor Sie Kontrollen erzwingen. Durch diesen Ansatz wird sichergestellt, dass Governanceaktionen über Microsoft Fabric hinweg und über die breitere Datenstruktur hinweg defensibel und auditierbar bleiben. Recommendation: Definieren Sie Complianceanforderungen zentral, und überwachen Sie die Ausrichtung kontinuierlich mithilfe von Microsoft Purview. Entscheidungen zur Datengovernance sollten in Microsoft 365, Azure, anderen Clouds und lokalen Systemen konsistent bleiben. Verwenden Sie die folgende Checkliste, um diese Empfehlung anzuwenden:
Definieren Sie Ihre Complianceanforderungen. Die Complianceanforderungen variieren je nach Branche, Region und Arbeitsauslastung. Das Governancemodell muss sie widerspiegeln, bevor Sie schutz- oder technische Kontrollen anwenden. Ermitteln Sie, welche regulatorischen Rahmenbedingungen oder Branchenstandards für Ihre Organisation relevant sind. Best practices: Verwenden Sie die Microsoft Purview Regulierungsvorlagen und Bewertungen. Sie stellen Standards wie HIPAA und HITECH, PCI DSS v4.0, Sarbanes-Oxley Act und ISO 27001 dar. Überprüfen Sie diese Vorlagen, um zu verstehen, welche Regeln für Microsoft 365, Azure, AWS und Google Cloud gelten. Diese Vorlagen bieten eine Prüfliste mit Steuerelementen und Methoden, die Sie eingerichtet haben sollten. Verwenden Sie die Bewertungen und Empfehlungen des Compliance-Managers, um Ihren aktuellen Stand zu messen, Lücken zu identifizieren und zu priorisieren, was zuerst zu behandeln ist.
Überwachen sie die Datenkonformität. Nachdem Sie die Compliancevorlagen von Purview eingerichtet haben, überprüfen Sie regelmäßig die Compliancebewertung und -berichte. Purview bewertet automatisch Aspekte der Compliance für Microsoft 365-Daten und Daten in Azure, AWS und Google Cloud. Es werden Probleme und vorgeschlagene Maßnahmen zur Verbesserung der Compliance hervorgehoben. Richten Sie Warnungen für alle kritischen Compliancerichtlinienverletzungen ein. Bewährte Methoden: Wenn Purview vertrauliche Daten an einem nicht genehmigten Speicherort findet oder wenn eine Aufbewahrungsrichtlinie verletzt wird, benachrichtigen Sie die verantwortlichen Teams sofort, damit sie Maßnahmen ergreifen können. Regelmäßige Überwachung und inkrementelle Verbesserungen stellen sicher, dass Sie nicht von Audits oder Vorfällen abgefangen werden.
Konfigurieren sie Microsoft 365 Datenaufbewahrung. Entscheiden Sie, wie lange verschiedene Datentypen beibehalten werden sollen und wann sie gelöscht oder archiviert werden sollen. Mehrdeutigkeit bei der Aufbewahrung kann entweder dazu führen, dass Daten zu lange aufbewahrt werden (dem Risiko von Complianceverletzungen oder unnötigen Speicherkosten) oder zu früh gelöscht werden (wodurch wertvolle Verläufe verloren gehen). Best Practices: Verwenden Sie die Datenlebenszyklusverwaltung von Microsoft Purview für Microsoft 365 Data zum Festlegen von Aufbewahrungs- oder Löschrichtlinien für E-Mails, Dokumente und Teams-Nachrichten.
Konfigurieren sie Azure Datenaufbewahrung. Azure Dienste erfordern dienstspezifische Aufbewahrungs- und Sicherungskonfigurationen. Best practices: Konfigurieren der Sicherungsaufbewahrung für Dienste wie Azure SQL, Cosmos DB und MySQL. Verwenden Sie Azure Storage lifecycle management rules zum Archivieren oder Löschen von Daten. Referenzdienstleitfaden für Azure SQL-Datenbank, Cosmos DB und MySQL.
Konfigurieren Sie die lokale und andere Cloud-Datenaufbewahrung. Daten außerhalb von Microsoft-Plattformen erfordern weiterhin konforme Lebenszyklus-Steuerelemente. Um nicht verwaltetes Compliancerisiko zu vermeiden, wenden Sie absichtliche Aufbewahrungsstrategien auf alle nicht Azure und lokalen Datenquellen an. Bewährte Methoden: Verwenden Sie Azure Backup oder Drittanbieterlösungen, um lokale, AWS- und Google Cloud-Daten aufzubewahren. Befolgen Sie die Anleitungen zur Sicherung von Cloud- und lokalen Workloads in der Cloud. Falls erforderlich, laden Sie Daten manuell in den Azure-Speicher hoch und archivieren Sie den Blob.
3. Datenbestandssicherheitsgrundwerte
Ein konsistenter Sicherheitsgrundwert stellt sicher, dass vertrauliche Daten über Microsoft 365, Microsoft Fabric, Azure Dienste und KI-Workloads geschützt bleiben. Empfehlung: Definieren und erzwingen Sie einen einzelnen Sicherheitsstatus über die gesamte Datenstruktur hinweg, sodass Klassifizierung, Schutz und Durchsetzung einheitlich in großem Umfang funktionieren. Verwenden Sie die folgende Checkliste, um diese Empfehlung anzuwenden.
Klassifizieren vertraulicher Daten.Klassifizierer vertraulicher Daten in Microsoft Purview regulierte und unternehmenskritische Daten identifizieren, sodass Die Schutzsteuerelemente automatisch und einheitlich in allen Diensten agieren können.
Option 1: Automatisierte Musterabgleichung. Verwenden Sie Musterabgleichsmechanismen, z. B. typen vertraulicher Informationen, Dokumentfingerabdrücke und genaue Datenvergleiche, wenn die regulatorische Ausrichtung das primäre Ziel ist und die Datentypen standarddefinitionen entsprechen.
Option 2. Trainierbare Klassifizierungsmerkmale. Fügen Sie trainierbare Klassifizierer zu den automatisierten Musterabgleichsfunktionen hinzu, wenn geschäftsspezifische Daten risiken, dass der Standardmusterabgleich nicht erkannt wird, z. B. Geschäftsgeheimnisse oder proprietäre Forschungen. Kompromiss: Trainierbare Klassifikatoren erhöhen die Abdeckung, erfordern jedoch Governance, damit sie im Laufe der Zeit präzise bleiben.
Anwenden von Data Loss Prevention (DLP). Konfigurieren Sie DLP-Richtlinien in Microsoft Purview, um Datenverluste vertraulicher Daten durch alltägliche Aktionen zu verhindern. Richten Sie DLP sowohl für Microsoft 365 (um E-Mails, Office-Dokumente und Teams-Chats abzudecken) als auch für Microsoft Fabric ein. Eine DLP-Richtlinie kann verhindern, dass ein Benutzer eine Datei extern freigibt, wenn sie vertrauliche Daten wie persönliche Kundendaten oder Integritätsinformationen enthält. In Fabric kann DLP verhindern, dass Analysten ein Dataset oder einen Bericht freigeben, der vertrauliche Daten enthält. Ausführliche Konfiguration finden Sie in den Anleitungen für Microsoft 365 Apps, Copilot und Microsoft Fabric. Entscheidungsleitfaden:
Nur Überwachen (Überwachungsmodus): Beginnen Sie mit DLP im 'Nur Überwachen'-Modus, wenn Sie besorgt sind, den Arbeitsablauf zu stören. Dadurch können Sie das Verhalten der Richtlinien beobachten und feinabstimmen, doch Daten könnten weiterhin offengelegt sein, da die Durchsetzung noch nicht aktiv ist.
Blockieren oder Einschränken: Wechseln Zum Blockieren oder Einschränken des Modus, wenn Datenlecks schwerwiegende Auswirkungen haben und Ihre Erkennungsregeln zuverlässig sind. Einige legitime Aktionen können anfänglich blockiert werden und erfordern Ausnahmebehandlung und Richtlinienanpassungen.
Schützen sie Daten in Azure Diensten. Microsoft Purview katalogisiert und kennzeichnet Daten in Azure-Diensten, ersetzt aber keine nativen Sicherheitskontrollen für diese Dienste. Best practices: Wenden Sie Sicherheitskontrollen auf Dienstebene an, z. B. Netzwerkisolation und Microsoft Defender Abdeckung für Azure SQL-Datenbank, Azure Cosmos DB und Azure Storage. Richten Sie diese Steuerelemente mit Purview-Klassifizierungen aus, sodass die Überwachung und Warnung die Vertraulichkeit von Daten und Geschäftsrisiken widerspiegeln.
Schützen Sie Daten, die von KI-Apps verwendet werden. KI-Anwendungen führen neue Datenexpositionspfade ein, die eine explizite Ausrichtung mit Unternehmensdatengovernance und Sicherheitsrichtlinien erfordern. Microsoft Purview integriert sich mit Microsoft Foundry und anderen KI-Plattformen, um dieses Steuerelement bereitzustellen.
Bewährte Methoden:
- Verwenden Sie Microsoft Purview Datensicherheitstatus-Management (DSPM). Sie bietet zentrale Sichtbarkeit und Schutz für KI-bezogene Datenrisiken. Informationen zur Onboarding- und Governance-Automatisierung von DSPM für KI finden Sie unter Data Agent Governance and Security Accelerator.
- Verwenden Sie Purview-APIs und KI-spezifische Sicherheitsfeatures, um Vertraulichkeitskontext an KI-Workflows zu übergeben, sodass Anwendungen Maskierungs- oder Antworteinschränkungen anwenden können, wenn erforderlich. Siehe Microsoft Purview und AI und Purview mit Foundry.
- Richten Sie Prüfpunkte für KI-Szenarien mit hohem Einfluss ein, um zu bestätigen, dass der Datenzugriff mit Governancestandards übereinstimmt.