Freigeben über


Self-Service-Richtlinien für Azure SQL-Datenbank (Vorschau)

Wichtig

Dieses Feature ist derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.

Mit Self-Service-Richtlinien können Sie den Zugriff von Microsoft Purview auf Datenquellen verwalten, die für die Erzwingung von Datenrichtlinien registriert wurden.

In dieser Schrittanleitung wird beschrieben, wie Self-Service-Richtlinien in Microsoft Purview erstellt werden, um den Zugriff auf Azure SQL-Datenbank zu ermöglichen. Die folgenden Aktionen sind derzeit aktiviert: Tabellen lesen und Ansichten lesen.

Achtung

Die Besitzverkettung muss vorhanden sein, damit die Option für Azure SQL Datenbanksichten verwendet werden kann.

Voraussetzungen

Regionsunterstützung

Alle Microsoft Purview-Regionen werden unterstützt.

Die Erzwingung von Microsoft Purview-Richtlinien ist nur in den folgenden Regionen für Azure SQL-Datenbank verfügbar:

Öffentliche Cloud:

  • USA (Osten)
  • USA, Osten2
  • USA (Süden, Mitte)
  • USA (Westen, Mitte)
  • USA, Westen3
  • Kanada, Mitte
  • Brasilien Süd
  • Westeuropa
  • Nordeuropa
  • Frankreich, Mitte
  • Vereinigtes Königreich (Süden)
  • Süd-Afrika Nord
  • Indien, Mitte
  • Asien, Südosten
  • Ostasien
  • Australien (Osten)

Sovereign Clouds:

  • USGov Virginia
  • China, Norden 3

Konfigurieren des Azure SQL Database instance für Richtlinien aus Microsoft Purview

Damit der logische Server, der Azure SQL Database zugeordnet ist, Richtlinien von Microsoft Purview berücksichtigt, müssen Sie einen Microsoft Entra-Administrator konfigurieren. Navigieren Sie im Azure-Portal zum logischen Server, auf dem die Azure SQL Database instance gehostet wird. Wählen Sie im seitlichen Menü Microsoft Entra ID aus. Legen Sie einen Administratornamen auf einen beliebigen Microsoft Entra Benutzer oder gruppe fest, den Sie bevorzugen, und wählen Sie dann Speichern aus.

Wählen Sie dann im seitlichen Menü Identität aus. Legen Sie unter Systemseitig zugewiesene verwaltete Identität die status auf Ein fest, und wählen Sie dann Speichern aus.

Screenshot: Zuweisung einer systemseitig zugewiesenen verwalteten Identität zu einem logischen Server, der Azure SQL Datenbank zugeordnet ist

Microsoft Purview-Konfiguration

Registrieren der Datenquelle in Microsoft Purview

Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.

Hinweis

Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.

Konfigurieren von Berechtigungen zum Aktivieren der Datenrichtlinienerzwingung für die Datenquelle

Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datenrichtlinienerzwingung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Erzwingung von Datenrichtlinien zu aktivieren, müssen Sie sowohl über bestimmte Identitäts- und Zugriffsverwaltungsberechtigungen (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:

  • Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:

    • IAM-Besitzer
    • Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator

    Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.

    Screenshot: Abschnitt im Azure-Portal zum Hinzufügen einer Rollenzuweisung

    Hinweis

    Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Microsoft Entra Benutzer, Gruppen und Dienstprinzipale die ROLLE IAM-Besitzer für die Ressource besitzen oder erben.

  • Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.

    Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.

    Screenshot: Auswahl zum Zuweisen der Rolle

Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien

Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:

  • Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
  • Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.

Wenn Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie problemlos Microsoft Entra Benutzer oder Gruppen durchsuchen möchten, können Sie außerdem davon profitieren, dass Sie die Berechtigung Verzeichnisleseberechtigte in Microsoft Entra ID erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.

Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien

Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.

Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.

Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview

Nachdem eine Ressource für die Erzwingung von Datenrichtlinien aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.

Hinweis

Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.

Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.

Registrieren der Datenquellen in Microsoft Purview

Die Azure SQL Datenbankressourcen müssen zuerst bei Microsoft Purview registriert werden, um später Zugriffsrichtlinien zu definieren. Sie können die folgenden Anleitungen befolgen:

Registrieren und Überprüfen Azure SQL Db

Nachdem Sie Ihre Ressourcen registriert haben, müssen Sie die Erzwingung von Datenrichtlinien aktivieren. Die Erzwingung von Datenrichtlinien kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen delegiert wird, um den Zugriff auf die Datenquellen zu verwalten. Gehen Sie die sicheren Methoden im Zusammenhang mit der Erzwingung von Datenrichtlinien in diesem Leitfaden durch:

Aktivieren der Erzwingung von Datenrichtlinien

Sobald für Ihre Datenquelle der Umschalter Datenrichtlinienerzwingungaktiviert ist, sieht sie wie in dieser Abbildung aus. Dadurch können die Zugriffsrichtlinien mit der angegebenen SQL Server-Instanz und allen enthaltenen Datenbanken verwendet werden.

Screenshot: Registrieren einer Datenquelle für eine Richtlinie

Erstellen einer Self-Service-Datenzugriffsanforderung

  1. Um eine Datenressource zu finden, verwenden Sie die Such- oder Suchfunktion von Microsoft Purview.

    Screenshot des Microsoft Purview-Governanceportals mit hervorgehobener Suchleiste und Schaltflächen zum Durchsuchen.

  2. Wählen Sie das Medienobjekt aus, um zu den Ressourcendetails zu wechseln.

  3. Wählen Sie Zugriff anfordern aus.

    Screenshot der Übersichtsseite einer Datenressource mit hervorgehobener Schaltfläche

    Hinweis

    Wenn diese Option nicht verfügbar ist, wurde entweder kein Self-Service-Zugriffsworkflow erstellt oder der Sammlung, in der die Ressource registriert ist, nicht zugewiesen. Wenden Sie sich an den Sammlungsadministrator, Datenquellenadministrator oder Workflowadministrator Ihrer Sammlung, um weitere Informationen zu erfahren. Informationen zum Erstellen eines Self-Service-Zugriffsworkflows finden Sie in unserer Dokumentation zum Workflow für den Self-Service-Zugriff.

  4. Das Fenster Zugriff anfordern wird geöffnet. Sie können Kommentare dazu bereitstellen, warum der Datenzugriff angefordert wird.

  5. Wählen Sie Senden aus, um den Self-Service-Datenzugriffsworkflow auszulösen.

    Hinweis

    Wenn Sie den Zugriff im Namen eines anderen Benutzers anfordern möchten, aktivieren Sie das Kontrollkästchen Für eine andere Person anfordern , und füllen Sie die E-Mail-ID dieses Benutzers aus.

    Screenshot der Übersichtsseite einer Datenressource mit überlagerten Fenster

    Hinweis

    Ein Anforderungszugriff auf die Ressourcengruppe sendet die Datenzugriffsanforderung für den Ordner eine Ebene nach oben, der alle diese Ressourcensatzdateien enthält.

  6. Datenbesitzer werden über Ihre Anfrage benachrichtigt und genehmigen oder ablehnen die Anforderung.

Wichtig

  • Veröffentlichen ist ein Hintergrundvorgang. Es kann bis zu 5 Minuten dauern, bis die Änderungen in dieser Datenquelle widerzuspiegeln sind.
  • Zum Ändern einer Richtlinie ist kein neuer Veröffentlichungsvorgang erforderlich. Die Änderungen werden mit dem nächsten Pull übernommen.

Anzeigen einer Self-Service-Richtlinie

Um die von Ihnen erstellten Richtlinien anzuzeigen, folgen Sie dem Artikel, um die Self-Service-Richtlinien anzuzeigen.

Testen der Richtlinie

Die Microsoft Entra Konto, Gruppe, MSI oder SPN, für die die Self-Service-Richtlinien erstellt wurden, sollten nun in der Lage sein, eine Verbindung mit der Datenbank auf dem Server herzustellen und eine Auswahlabfrage für die angeforderte Tabelle oder Sicht auszuführen.

Erzwingen des Richtliniendownloads

Es ist möglich, einen sofortigen Download der neuesten veröffentlichten Richtlinien in die aktuelle SQL-Datenbank zu erzwingen, indem Sie den folgenden Befehl ausführen. Die mindestens erforderliche Berechtigung zum Ausführen des Befehls ist die Mitgliedschaft in der ##MS_ServerStateManager##-server-Rolle.

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

Analysieren des Status der heruntergeladenen Richtlinie aus SQL

Die folgenden DMVs können verwendet werden, um zu analysieren, welche Richtlinien heruntergeladen wurden und derzeit Microsoft Entra Konten zugewiesen sind. Die minimale Berechtigung, die zum Ausführen erforderlich ist, ist VIEW DATABASE SECURITY STATE – oder zugewiesene Aktionsgruppe SQL-Sicherheitsprüfer.


-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

Weitere Informationen

Zuordnung von Richtlinienaktionen

Dieser Abschnitt enthält eine Referenz dazu, wie Aktionen in Microsoft Purview-Datenrichtlinien bestimmten Aktionen in Azure SQL-Datenbank zugeordnet werden.

Microsoft Purview-Richtlinienaktion Datenquellenspezifische Aktionen
Lesen Microsoft.Sql/sqlservers/Connect
Microsoft.Sql/sqlservers/databases/Connect
Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows
Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows

Nächste Schritte

Sehen Sie sich Blog, Demo und zugehörige Anleitungen an