Ermitteln und Steuern Azure SQL Datenbank in Microsoft Purview
In diesem Artikel wird der Prozess zum Registrieren einer Azure SQL Datenbankquelle in Microsoft Purview beschrieben. Sie enthält Anweisungen zum Authentifizieren und Interagieren mit der SQL-Datenbank.
Unterstützte Funktionen
Metadatenextraktion | Vollständiger Scan | Inkrementelle Überprüfung | Bereichsbezogene Überprüfung | Klassifizierung | Bezeichnen | Zugriffsrichtlinie | Herkunft | Datenfreigabe | Live-Ansicht |
---|---|---|---|---|---|---|---|---|---|
Ja | Ja | Ja | Ja | Ja | Ja | Ja (Vorschau) | Ja (Vorschau) | Nein | Ja |
Wenn Sie Azure SQL Datenbank überprüfen, unterstützt Microsoft Purview das Extrahieren technischer Metadaten aus diesen Quellen:
- Server
- Datenbank
- Schemata
- Tabellen, einschließlich Spalten
- Ansichten, einschließlich Spalten (mit aktivierter Herkunftsextraktion im Rahmen der Überprüfung)
- Gespeicherte Prozeduren (mit aktivierter Herkunftsextraktion)
- Ausführungen gespeicherter Prozeduren (mit aktivierter Herkunftsextraktion)
Wenn Sie eine Überprüfung einrichten, können Sie sie nach angabe des Datenbanknamens weiter festlegen, indem Sie nach Bedarf Tabellen und Sichten auswählen.
Bekannte Einschränkungen
- Für gespeicherte Prozeduren: Herkunftsextraktion:
- Die Überprüfung der Herkunftsextrahierung gespeicherter Prozeduren (SP) wird derzeit nicht unterstützt, wenn Ihr logischer Server in Azure den öffentlichen Zugriff deaktiviert oder Azure-Diensten den Zugriff darauf nicht zulässt.
- Die Sp-Herkunftsextrahierung wird derzeit nicht unterstützt, wenn Ihr Microsoft Purview-Konto den öffentlichen Zugriff deaktiviert.
- Die Überprüfung der SP-Herkunftsextrahierung ist standardmäßig alle sechs Stunden geplant. Die Häufigkeit kann nicht geändert werden.
- Die Herkunft wird nur erfasst, wenn die Ausführung der gespeicherten Prozedur Daten von einer Tabelle in eine andere überträgt. Für temporäre Tabellen wird dies nicht unterstützt.
- Die Herkunftsextraktion wird für Funktionen oder Trigger nicht unterstützt.
- Beachten Sie, dass aufgrund der folgenden Einschränkungen derzeit doppelte Ressourcen im Katalog angezeigt werden können, wenn Sie solche Szenarien haben.
- Die Objektnamen in Ressourcen und vollqualifizierte Namen folgen dem Fall, der in Anweisungen für gespeicherte Prozeduren verwendet wird, die möglicherweise nicht mit dem Objektfall in der ursprünglichen Datenquelle übereinstimmen.
- Wenn in gespeicherten Prozeduren auf SQL-Sichten verwiesen wird, werden sie derzeit als SQL-Tabellen erfasst.
Hinweis
Die Herkunft wird auch unterstützt, wenn Azure SQL Tabellen oder Sichten als Quelle/Senke in Azure Data Factory Kopier- und Datenfluss-Aktivitäten verwendet werden.
Voraussetzungen
Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.
Ein aktives Microsoft Purview-Konto.
Berechtigungen für Datenquellenadministrator und Datenleser, damit Sie eine Quelle registrieren und im Microsoft Purview-Governanceportal verwalten können. Weitere Informationen finden Sie unter Zugriffssteuerung im Microsoft Purview-Governanceportal.
Registrieren der Datenquelle
Vor dem Scannen ist es wichtig, die Datenquelle in Microsoft Purview zu registrieren:
Öffnen Sie das Microsoft Purview-Governanceportal wie folgt:
- Navigieren Sie direkt zu https://web.purview.azure.com Ihrem Microsoft Purview-Konto, und wählen Sie es aus.
- Öffnen Sie die Azure-Portal, suchen Sie nach dem Microsoft Purview-Konto, und wählen Sie es aus. Wählen Sie die Schaltfläche Microsoft Purview-Governanceportal aus.
Navigieren Sie zu Data Map.
Erstellen Sie die Sammlungshierarchie , indem Sie zu Sammlungen wechseln und dann Sammlung hinzufügen auswählen. Weisen Sie den einzelnen Untersammlungen nach Bedarf Berechtigungen zu.
Wechseln Sie unter Quellen zur entsprechenden Sammlung, und wählen Sie dann das Symbol Registrieren aus, um eine neue SQL-Datenbank zu registrieren.
Wählen Sie die Azure SQL Datenbankdatenquelle und dann Weiter aus.
Geben Sie für Name einen geeigneten Namen für die Datenquelle an. Wählen Sie relevante Namen für Azure-Abonnement, Servername und Sammlung auswählen aus, und wählen Sie dann Übernehmen aus.
Vergewissern Sie sich, dass die SQL-Datenbank unter der ausgewählten Sammlung angezeigt wird.
Aktualisieren der Firewalleinstellungen
Wenn auf Ihrem Datenbankserver eine Firewall aktiviert ist, müssen Sie die Firewall aktualisieren, um den Zugriff auf eine der folgenden Arten zuzulassen:
- Lassen Sie Azure-Verbindungen über die Firewall zu. Dies ist eine einfache Option zum Weiterleiten von Datenverkehr über Azure-Netzwerke, ohne virtuelle Computer verwalten zu müssen.
- Installieren Sie eine selbstgehostete Integration Runtime auf einem Computer in Ihrem Netzwerk, und gewähren Sie ihr Zugriff über die Firewall. Wenn Sie ein privates virtuelles Netzwerk in Azure eingerichtet oder ein anderes geschlossenes Netzwerk eingerichtet haben, können Sie mithilfe einer selbstgehosteten Integration Runtime auf einem Computer innerhalb dieses Netzwerks den Datenverkehrsfluss vollständig verwalten und Ihr vorhandenes Netzwerk nutzen.
- Verwenden Sie ein verwaltetes virtuelles Netzwerk. Wenn Sie ein verwaltetes virtuelles Netzwerk mit Ihrem Microsoft Purview-Konto einrichten, können Sie mithilfe der Azure Integration Runtime in einem geschlossenen Netzwerk eine Verbindung mit Azure SQL herstellen.
Weitere Informationen zur Firewall finden Sie in der Dokumentation zur Azure SQL-Datenbankfirewall.
Azure-Verbindungen zulassen
Wenn Sie Azure-Verbindungen aktivieren, kann Microsoft Purview eine Verbindung mit dem Server herstellen, ohne dass Sie die Firewall selbst aktualisieren müssen.
- Wechseln Sie zu Ihrem Datenbankkonto.
- Wählen Sie auf der Seite Übersicht den Servernamen aus.
- Wählen Sie Sicherheitsnetzwerk>aus.
- Wählen Sie für Azure-Dienste und -Ressourcen den Zugriff auf diesen Server erlauben die Option Ja aus.
Weitere Informationen zum Zulassen von Verbindungen aus Azure finden Sie in der Anleitung.
Installieren einer selbstgehosteten Integration Runtime
Sie können eine selbstgehostete Integration Runtime auf einem Computer installieren, um eine Verbindung mit einer Ressource in einem privaten Netzwerk herzustellen:
- Auswählen der richtigen Integration Runtime für Ihr Szenario
- Erstellen und installieren Sie Ihre Integration Runtime:
- So verwenden Sie eine selbstgehostete Integration Runtime:Befolgen Sie den Artikel zum Erstellen und Konfigurieren einer selbstgehosteten Integration Runtime.
- So verwenden Sie eine von Kubernetes unterstützte selbstgehostete Integration Runtime:Befolgen Sie den Artikel zum Erstellen und Konfigurieren einer von Kubernetes unterstützten Integration Runtime.
- Überprüfen Sie die Netzwerkkonfiguration Ihres Datenbankservers, um sicherzustellen, dass der Computer, der die selbstgehostete Integration Runtime enthält, auf einen privaten Endpunkt zugreifen kann. Fügen Sie die IP-Adresse des Computers hinzu, wenn er noch keinen Zugriff hat.
- Wenn sich Ihr logischer Server hinter einem privaten Endpunkt oder in einem virtuellen Netzwerk befindet, können Sie einen privaten Erfassungsendpunkt verwenden, um die End-to-End-Netzwerkisolation sicherzustellen.
Konfigurieren der Authentifizierung für eine Überprüfung
Um Ihre Datenquelle zu überprüfen, müssen Sie eine Authentifizierungsmethode in Azure SQL-Datenbank konfigurieren.
Wichtig
Wenn Sie eine selbstgehostete Integration Runtime verwenden, um eine Verbindung mit Ihrer Ressource herzustellen, funktionieren systemseitig und benutzerseitig zugewiesene verwaltete Identitäten nicht. Sie müssen die Dienstprinzipalauthentifizierung oder die SQL-Authentifizierung verwenden.
Microsoft Purview unterstützt die folgenden Optionen:
Systemseitig zugewiesene verwaltete Identität (SAMI) (empfohlen). Dies ist eine Identität, die direkt Ihrem Microsoft Purview-Konto zugeordnet ist. Es ermöglicht Ihnen, sich direkt bei anderen Azure-Ressourcen zu authentifizieren, ohne einen Benutzer oder Anmeldeinformationssatz verwalten zu müssen.
Das SAMI wird erstellt, wenn Ihre Microsoft Purview-Ressource erstellt wird. Es wird von Azure verwaltet und verwendet den Namen Ihres Microsoft Purview-Kontos. Das SAMI kann derzeit nicht mit einer selbstgehosteten Integration Runtime für Azure SQL verwendet werden.
Weitere Informationen finden Sie in der Übersicht über verwaltete Identitäten.
Benutzerseitig zugewiesene verwaltete Identität (User-Assigned Managed Identity, UAMI) (Vorschau) Ähnlich wie ein SAMI ist eine UAMI eine Anmeldeinformationsressource, die es Microsoft Purview ermöglicht, sich bei Microsoft Entra ID zu authentifizieren.
Die UAMI wird von Benutzern in Azure und nicht von Azure selbst verwaltet, wodurch Sie mehr Kontrolle über die Sicherheit erhalten. Das UAMI kann derzeit nicht mit einer selbstgehosteten Integration Runtime für Azure SQL verwendet werden.
Weitere Informationen finden Sie im Leitfaden für benutzerseitig zugewiesene verwaltete Identitäten.
Dienstprinzipal. Ein Dienstprinzipal ist eine Anwendung, der Berechtigungen wie jeder anderen Gruppe oder jedem anderen Benutzer zugewiesen werden können, ohne einer Person direkt zugeordnet zu werden. Die Authentifizierung für Dienstprinzipale hat ein Ablaufdatum, sodass sie für temporäre Projekte nützlich sein kann.
Weitere Informationen finden Sie in der Dokumentation zum Dienstprinzipal.
SQL-Authentifizierung. Stellen Sie mit einem Benutzernamen und Kennwort eine Verbindung mit der SQL-Datenbank her. Weitere Informationen finden Sie in der Dokumentation zur SQL-Authentifizierung.
Wenn Sie eine Anmeldung erstellen müssen, befolgen Sie diese Anleitung, um eine SQL-Datenbank abzufragen. Verwenden Sie diesen Leitfaden, um eine Anmeldung mithilfe von T-SQL zu erstellen.
Hinweis
Stellen Sie sicher, dass Sie auf der Seite die Option Azure SQL Datenbank auswählen.
Um die Schritte zur Authentifizierung bei Ihrer SQL-Datenbank auszuführen, wählen Sie auf den folgenden Registerkarten die ausgewählte Authentifizierungsmethode aus.
Hinweis
Nur die Prinzipalanmeldung auf Serverebene (die durch den Bereitstellungsprozess erstellt wurde) oder Mitglieder der loginmanager
Datenbankrolle in der master Datenbank können neue Anmeldungen erstellen. Das Microsoft Purview-Konto sollte die Ressourcen etwa 15 Minuten nach dem Abrufen von Berechtigungen überprüfen können.
Sie benötigen eine SQL-Anmeldung mit mindestens
db_datareader
Berechtigungen, um auf die Informationen zugreifen zu können, die Microsoft Purview zum Überprüfen der Datenbank benötigt. Sie können die Anweisungen unter CREATE LOGIN befolgen, um eine Anmeldung für Azure SQL Database zu erstellen. Speichern Sie den Benutzernamen und das Kennwort für die nächsten Schritte.Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.
Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.
Verwenden Sie für Name und Wert den Benutzernamen bzw. das Kennwort aus Ihrer SQL-Datenbank.
Wählen Sie Erstellen aus.
Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, erstellen Sie eine neue Key Vault-Verbindung.
Erstellen Sie neue Anmeldeinformationen , indem Sie den Schlüssel verwenden, um Ihre Überprüfung einzurichten.
Erstellen der Überprüfung
Öffnen Sie Ihr Microsoft Purview-Konto, und wählen Sie Microsoft Purview-Governanceportal öffnen aus.
Wechseln Sie zu Data map>Sources (Datenquellen), um die Sammlungshierarchie anzuzeigen.
Wählen Sie das Symbol Neuer Scan unter der SQL-Datenbank aus, die Sie zuvor registriert haben.
Weitere Informationen zur Datenherkunft gespeicherter Prozeduren in Azure SQL-Datenbank finden Sie im Abschnitt Extrahieren der Herkunft (Vorschau) dieses Artikels.
Wählen Sie für Überprüfungsschritte ihre Authentifizierungsmethode auf den folgenden Registerkarten aus.
Geben Sie unter Name einen Namen für die Überprüfung an.
Wählen Sie für Datenbankauswahlmethode die Option Manuell eingeben aus.
Geben Sie für Datenbankname und Anmeldeinformationen die Werte ein, die Sie zuvor erstellt haben.
Wählen Sie für Verbindung auswählen die entsprechende Sammlung für die Überprüfung aus.
Wählen Sie Verbindung testen aus, um die Verbindung zu überprüfen. Nachdem die Verbindung erfolgreich hergestellt wurde, wählen Sie Weiter aus.
Bereich und Ausführen der Überprüfung
Sie können die Überprüfung auf bestimmte Datenbankobjekte festlegen, indem Sie die entsprechenden Elemente in der Liste auswählen.
Wählen Sie einen Überprüfungsregelsatz aus. Sie können den Systemstandard verwenden, aus vorhandenen benutzerdefinierten Regelsätzen auswählen oder einen neuen Regelsatz inline erstellen. Wählen Sie Weiter aus, wenn Sie fertig sind.
Wenn Sie Neuer Überprüfungsregelsatz auswählen, wird ein Bereich geöffnet, in dem Sie den Quelltyp, den Namen des Regelsatzes und eine Beschreibung eingeben können. Wählen Sie Weiter aus, wenn Sie fertig sind.
Wählen Sie für Klassifizierungsregeln auswählen die Klassifizierungsregeln aus, die Sie in den Überprüfungsregelsatz einschließen möchten, und wählen Sie dann Erstellen aus.
Der neue Überprüfungsregelsatz wird dann in der Liste der verfügbaren Regelsätze angezeigt.
Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.
Überprüfen Sie Ihre Überprüfung, und wählen Sie dann Speichern und ausführen aus.
Anzeigen einer Überprüfung
Um die status einer Überprüfung zu überprüfen, wechseln Sie zur Datenquelle in der Sammlung, und wählen Sie dann Details anzeigen aus.
Die Überprüfungsdetails geben den Fortschritt der Überprüfung in Letzte Ausführung status sowie die Anzahl der gescannten und klassifizierten Ressourcen an. Letzte Ausführung status wird in In Bearbeitung und dann auf Abgeschlossen aktualisiert, nachdem die gesamte Überprüfung erfolgreich ausgeführt wurde.
Verwalten einer Überprüfung
Nachdem Sie eine Überprüfung ausgeführt haben, können Sie ihn mithilfe des Ausführungsverlaufs verwalten:
Wählen Sie unter Letzte Überprüfungen eine Überprüfung aus.
Im Ausführungsverlauf haben Sie Optionen, um die Überprüfung erneut auszuführen, sie zu bearbeiten oder zu löschen.
Wenn Sie Überprüfung jetzt ausführen auswählen, um die Überprüfung erneut auszuführen, können Sie entweder Inkrementelle Überprüfung oder Vollständige Überprüfung auswählen.
Problembehandlung bei der Überprüfung
Wenn Sie Probleme mit dem Scannen haben, probieren Sie die folgenden Tipps aus:
- Vergewissern Sie sich, dass Sie alle Voraussetzungen erfüllt haben.
- Überprüfen Sie das Netzwerk, indem Sie die Einstellungen für Firewall, Azure-Verbindungen oder Integration Runtime bestätigen.
- Vergewissern Sie sich, dass die Authentifizierung ordnungsgemäß eingerichtet ist.
Weitere Informationen finden Sie unter Problembehandlung für Ihre Verbindungen in Microsoft Purview.
Einrichten von Richtlinien
Die folgenden Arten von Microsoft Purview-Richtlinien werden für diese Datenressource unterstützt:
- Datenbesitzerrichtlinien : Eine Reihe von Richtlinienanweisungen, mit denen Sie Benutzern und Gruppen Zugriff auf Datenquellen gewähren können.
- Self-Service-Richtlinien : Richtlinie, mit der Benutzer Zugriff auf Datenquellen anfordern können, die bei Microsoft Purview registriert sind.
- Schutzrichtlinien : Verweigert allen Benutzern mit Ausnahme der von der Richtlinie angegebenen Benutzer den Zugriff auf Daten, die mit Vertraulichkeitsbezeichnungen gekennzeichnet sind.
- DevOps-Richtlinien : Gewährt Zugriff auf Datenbanksystemmetadaten über mehrere Quellen hinweg. Sie vereinfachen die Zugriffsbereitstellung für IT-Betriebs- und Sicherheitsüberwachungspersonal. Sie gewähren nur Zugriff und verweigern den Zugriff nicht.
Voraussetzungen für Zugriffsrichtlinien für Azure SQL-Datenbank
- Erstellen Sie eine neue Azure SQL Database instance in einer der derzeit verfügbaren Regionen für dieses Feature, oder verwenden Sie eine vorhandene Datenbank. Sie können diese Anleitung befolgen, um eine Azure SQL Database instance zu erstellen.
Regionsunterstützung
Alle Microsoft Purview-Regionen werden unterstützt.
Die Erzwingung von Microsoft Purview-Richtlinien ist nur in den folgenden Regionen für Azure SQL-Datenbank verfügbar:
Öffentliche Cloud:
- USA (Osten)
- USA, Osten2
- USA (Süden, Mitte)
- USA (Westen, Mitte)
- USA, Westen3
- Kanada, Mitte
- Brasilien Süd
- Westeuropa
- Nordeuropa
- Frankreich, Mitte
- Vereinigtes Königreich (Süden)
- Süd-Afrika Nord
- Indien, Mitte
- Asien, Südosten
- Ostasien
- Australien (Osten)
Sovereign Clouds:
- USGov Virginia
- China, Norden 3
Konfigurieren des Azure SQL Database instance für Richtlinien aus Microsoft Purview
Damit der logische Server, der Azure SQL Database zugeordnet ist, Richtlinien von Microsoft Purview berücksichtigt, müssen Sie einen Microsoft Entra-Administrator konfigurieren. Navigieren Sie im Azure-Portal zum logischen Server, auf dem die Azure SQL Database instance gehostet wird. Wählen Sie im seitlichen Menü Microsoft Entra ID aus. Legen Sie einen Administratornamen auf einen beliebigen Microsoft Entra Benutzer oder gruppe fest, den Sie bevorzugen, und wählen Sie dann Speichern aus.
Wählen Sie dann im seitlichen Menü Identität aus. Legen Sie unter Systemseitig zugewiesene verwaltete Identität die status auf Ein fest, und wählen Sie dann Speichern aus.
Konfigurieren des Microsoft Purview-Kontos für Richtlinien
Registrieren der Datenquelle in Microsoft Purview
Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.
Hinweis
Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.
Konfigurieren von Berechtigungen zum Aktivieren der Datenrichtlinienerzwingung für die Datenquelle
Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datenrichtlinienerzwingung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Erzwingung von Datenrichtlinien zu aktivieren, müssen Sie sowohl über bestimmte Identitäts- und Zugriffsverwaltungsberechtigungen (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:
Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:
- IAM-Besitzer
- Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator
Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.
Hinweis
Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Microsoft Entra Benutzer, Gruppen und Dienstprinzipale die ROLLE IAM-Besitzer für die Ressource besitzen oder erben.
Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.
Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.
Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien
Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:
- Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
- Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.
Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.
Hinweis
Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.
Wenn Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie problemlos Microsoft Entra Benutzer oder Gruppen durchsuchen möchten, können Sie außerdem davon profitieren, dass Sie die Berechtigung Verzeichnisleseberechtigte in Microsoft Entra ID erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.
Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien
Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.
Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.
Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.
Hinweis
Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.
Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview
Nachdem eine Ressource für die Erzwingung von Datenrichtlinien aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.
Hinweis
Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.
Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.
Registrieren der Datenquelle und Aktivieren der Datenrichtlinienerzwingung
Die Azure SQL Database-Ressource muss bei Microsoft Purview registriert werden, bevor Sie Zugriffsrichtlinien erstellen können. Um Ihre Ressourcen zu registrieren, folgen Sie den Abschnitten "Voraussetzungen" und "Datenquelle registrieren" unter Aktivieren der Erzwingung von Datenrichtlinien für Ihre Microsoft Purview-Quellen.
Nachdem Sie die Datenquelle registriert haben, müssen Sie die Datenrichtlinienerzwingung aktivieren. Dies ist eine Voraussetzung, bevor Sie Richtlinien für die Datenquelle erstellen können. Die Durchsetzung von Datenrichtlinien kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen delegiert wird, die den Zugriff auf die Datenquellen verwalten. Gehen Sie die Sicherheitsmethoden unter Aktivieren der Erzwingung von Datenrichtlinien für Ihre Microsoft Purview-Quellen durch.
Nachdem für Ihre Datenquelle die Option Datenrichtlinienerzwingung auf Aktiviert festgelegt ist, sieht sie wie im folgenden Screenshot aus:
Kehren Sie zum Azure-Portal für Azure SQL Datenbank zurück, um zu überprüfen, ob sie jetzt von Microsoft Purview gesteuert wird:
Melden Sie sich über diesen Link beim Azure-Portal an.
Wählen Sie den Azure SQL Server aus, den Sie konfigurieren möchten.
Wechseln Sie im linken Bereich zu Microsoft Entra ID.
Scrollen Sie nach unten zu Microsoft Purview-Zugriffsrichtlinien.
Wählen Sie die Schaltfläche "Nach Microsoft Purview-Governance suchen" aus. Warten Sie, während die Anforderung verarbeitet wird. Dies kann einige Minuten dauern.
Vergewissern Sie sich, dass im Microsoft Purview-Governancestatus angezeigt wird
Governed
. Beachten Sie, dass es einige Minuten dauern kann, nachdem Sie die Erzwingung von Datenrichtlinien in Microsoft Purview aktiviert haben, bis die richtige status widergespiegelt wird.
Hinweis
Wenn Sie die Erzwingung von Datenrichtlinien für diese Azure SQL Datenbank-Datenquelle deaktivieren, kann es bis zu 24 Stunden dauern, bis der Microsoft Purview-Governancestatus automatisch auf Not Governed
aktualisiert wird. Dies kann beschleunigt werden, indem Sie Auf Microsoft Purview-Governance überprüfen auswählen. Bevor Sie die Erzwingung von Datenrichtlinien für die Datenquelle in einem anderen Microsoft Purview-Konto aktivieren, stellen Sie sicher, dass der Purview-Governancestatus als Not Governed
angezeigt wird. Wiederholen Sie dann die oben genannten Schritte mit dem neuen Microsoft Purview-Konto.
Erstellen einer Zugriffsrichtlinie
Befolgen Sie die folgenden Anleitungen, um eine Zugriffsrichtlinie für Azure SQL-Datenbank zu erstellen:
- Bereitstellen des Zugriffs auf Systemintegritäts-, Leistungs- und Überwachungsinformationen in Azure SQL-Datenbank. Verwenden Sie diesen Leitfaden, um eine DevOps-Richtlinie auf eine einzelne SQL-Datenbank anzuwenden.
- Bereitstellen des Lese-/Änderungszugriffs für eine einzelne Azure SQL-Datenbank. Verwenden Sie diesen Leitfaden, um den Zugriff auf ein einzelnes SQL-Datenbankkonto in Ihrem Abonnement bereitzustellen.
- Self-Service-Zugriffsrichtlinien für Azure SQL-Datenbank. Verwenden Sie diesen Leitfaden, um Datenconsumern das Anfordern des Zugriffs auf Datenressourcen mithilfe eines Self-Service-Workflows zu ermöglichen.
Informationen zum Erstellen von Richtlinien, die alle Datenquellen innerhalb einer Ressourcengruppe oder eines Azure-Abonnements abdecken, finden Sie unter Ermitteln und Steuern mehrerer Azure-Quellen in Microsoft Purview.
#Protection-Richtlinie
Mithilfe von Zugriffssteuerungsrichtlinien (Schutzrichtlinien) können Organisationen vertrauliche Daten automatisch datenquellenübergreifend schützen. Microsoft Purview scannt bereits Datenressourcen und identifiziert vertrauliche Datenelemente. Mit diesem neuen Feature können Sie den Zugriff auf diese Daten mithilfe von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection automatisch einschränken.
Befolgen Sie diese Dokumentation, um eine Schutzrichtlinie zu erstellen: Erstellen einer Microsoft Purview Information Protection Richtlinie.
Extrahieren der Herkunft (Vorschau)
Microsoft Purview unterstützt die Herkunft für Sichten und gespeicherte Prozeduren aus Azure SQL-Datenbank. Während die Datenherkunft für Ansichten im Rahmen der Überprüfung unterstützt wird, müssen Sie die Umschaltfläche Herkunftsextraktion aktivieren, um die Herkunftsherkunft gespeicherter Prozeduren zu extrahieren, wenn Sie eine Überprüfung einrichten.
Hinweis
Die Herkunft wird derzeit bei Verwendung einer selbstgehosteten Integration Runtime oder einer verwalteten VNET-Runtime und eines Azure SQL privaten Endpunkts nicht unterstützt. Sie müssen Azure-Dienste für den Zugriff auf den Server unter den Netzwerkeinstellungen für Ihre Azure SQL-Datenbank aktivieren, und Ihr Microsoft Purview-Konto muss den öffentlichen Zugriff zulassen. Erfahren Sie mehr über die bekannten Einschränkungen bei der Überprüfung der Herkunftsextraktion.
Herkunft für SQL-Datenbanksichten
Ab dem 30.06.24 umfasst die SQL DB-Metadatenüberprüfung die Herkunftsextraktion für Sichten. Nur neue Scans enthalten die Extraktion der Ansichtsherkunft. Die Herkunft wird auf allen Scanebenen (L1/L2/L3) extrahiert. Bei einer inkrementellen Überprüfung wird unabhängig davon, welche Metadaten im Rahmen der inkrementellen Überprüfung gescannt werden, die entsprechende statische Herkunft für Tabellen/Sichten extrahiert.
Voraussetzungen für das Einrichten einer Überprüfung mit SP-Herkunftsextraktion
Führen Sie die Schritte im Abschnitt Konfigurieren der Authentifizierung für eine Überprüfung dieses Artikels aus, um Microsoft Purview zum Überprüfen Ihrer SQL-Datenbank zu autorisieren.
Melden Sie sich mit Ihrem Microsoft Entra-Konto bei Azure SQL Database an, und weisen Sie
db_owner
der verwalteten Microsoft Purview-Identität Berechtigungen zu.Hinweis
Die Berechtigungen "db_owner" sind erforderlich, da die Herkunft auf XEvent-Sitzungen basiert. Daher benötigt Microsoft Purview die Berechtigung zum Verwalten der XEvent-Sitzungen in SQL.
Verwenden Sie die folgende SQL-Beispielsyntax, um einen Benutzer zu erstellen und die Berechtigung zu erteilen. Ersetzen Sie durch
<purview-account>
Ihren Kontonamen.Create user <purview-account> FROM EXTERNAL PROVIDER GO EXEC sp_addrolemember 'db_owner', <purview-account> GO
Führen Sie den folgenden Befehl für Ihre SQL-Datenbank aus, um einen master Schlüssel zu erstellen:
Create master key Go
Stellen Sie sicher, dass Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben unter Netzwerk/Firewall für Ihre Azure SQL Ressource aktiviert ist.
Erstellen einer Überprüfung mit aktivierter Herkunftsextraktion
Aktivieren Sie im Bereich zum Einrichten einer Überprüfung die Umschaltfläche Herkunftsextraktion aktivieren .
Wählen Sie Ihre Authentifizierungsmethode aus, indem Sie die Schritte im Abschnitt Erstellen der Überprüfung dieses Artikels ausführen.
Nachdem Sie die Überprüfung erfolgreich eingerichtet haben, führt ein neuer Überprüfungstyp namens Herkunftsextraktionalle sechs Stunden inkrementelle Überprüfungen aus, um die Herkunft aus Azure SQL Datenbank zu extrahieren. Die Herkunft wird basierend auf den in der SQL-Datenbank ausgeführten gespeicherten Prozeduren extrahiert.
Suchen Azure SQL Datenbankressourcen und Anzeigen der Laufzeitherkunft
Sie können die Unified Catalog durchsuchen oder die Unified Catalog durchsuchen, um Ressourcendetails für Azure SQL-Datenbank anzuzeigen. In den folgenden Schritten wird beschrieben, wie Details zur Laufzeitherkunft angezeigt werden:
Wechseln Sie zur Registerkarte Herkunft für das Medienobjekt. Falls zutreffend, wird hier die Ressourcenherkunft angezeigt.
Falls zutreffend, können Sie weitere Drilldowns ausführen, um die Herkunft auf SQL-Anweisungsebene innerhalb einer gespeicherten Prozedur zusammen mit der Herkunft auf Spaltenebene anzuzeigen. Wenn Sie selbstgehostete Integration Runtime für die Überprüfung verwenden, wird das Abrufen der Herkunfts-Drilldowninformationen während der Überprüfung seit Version 5.25.8374.1 unterstützt.
Informationen zu unterstützten Azure SQL Datenbankherkunftsszenarien finden Sie im Abschnitt Unterstützte Funktionen dieses Artikels. Weitere Informationen zur Herkunft im Allgemeinen finden Sie unter Datenherkunft in Microsoft Purview und Microsoft Purview Unified Catalog Benutzerhandbuch für die Herkunft.
Wechseln Sie zum Asset der gespeicherten Prozedur. Wechseln Sie auf der Registerkarte Eigenschaften zu Verwandte Ressourcen , um die neuesten Ausführungsdetails der gespeicherten Prozeduren abzurufen.
Wählen Sie den Link gespeicherte Prozedur neben Ausführungen aus, um die Azure SQL Übersicht über die Ausführung der gespeicherten Prozedur anzuzeigen. Wechseln Sie zur Registerkarte Eigenschaften , um erweiterte Laufzeitinformationen aus der gespeicherten Prozedur anzuzeigen, z. B. "executedTime", "rowCount" und "Client connection".
Problembehandlung bei der Herkunftsextraktion für gespeicherte Prozeduren
Die folgenden Tipps können Ihnen helfen, Probleme im Zusammenhang mit der Herkunft zu lösen:
- Wenn nach einer erfolgreichen Ausführung der Herkunftsextraktion keine Herkunft erfasst wird, ist es möglich, dass seit der Einrichtung der Überprüfung keine gespeicherten Prozeduren mindestens einmal ausgeführt wurden.
- Die Herkunft wird für Ausführungen gespeicherter Prozeduren erfasst, die nach dem Einrichten einer erfolgreichen Überprüfung erfolgen. Die Herkunft aus früheren Ausführungen gespeicherter Prozeduren wird nicht erfasst.
- Wenn Ihre Datenbank große Workloads mit vielen Ausführungen gespeicherter Prozeduren verarbeitet, filtert die Herkunftsextraktion nur die neuesten Ausführungen. Gespeicherte Prozeduren werden früh im Sechs-Stunden-Fenster ausgeführt, oder die Ausführungsinstanzen, die eine hohe Abfragelast erzeugen, werden nicht extrahiert. Wenden Sie sich an den Support, wenn ihnen die Herkunft in allen Ausführungen gespeicherter Prozeduren fehlt.
- Wenn eine gespeicherte Prozedur Drop- oder Create-Anweisungen enthält, werden sie derzeit nicht in der Datenherkunft erfasst.
Nächste Schritte
Weitere Informationen zu Microsoft Purview und Ihren Daten finden Sie in den folgenden Leitfäden: