Bereitstellen des Zugriffs auf Systemmetadaten in Azure SQL Managed Instance mithilfe von Microsoft Purview DevOps-Richtlinien

Hinweis

Microsoft Purview Data Catalog (klassisch) und Data Health Insights (klassisch) übernehmen keine neuen Kunden mehr, und diese Dienste, bisher Azure Purview, befinden sich jetzt im Kundensupportmodus.

DevOps-Richtlinien sind eine Art von Microsoft Purview-Zugriffsrichtlinien. Sie ermöglichen es Ihnen, den Zugriff auf Systemmetadaten für Datenquellen zu verwalten, die für die Erzwingung von Datenrichtlinien in Microsoft Purview registriert wurden. Diese Richtlinien werden direkt über das Microsoft Purview-Governanceportal konfiguriert und nach dem Speichern automatisch veröffentlicht und dann von der Datenquelle erzwungen. Microsoft Purview-Richtlinien verwalten nur den Zugriff für Microsoft Entra Prinzipale.

In dieser Schrittanleitung erfahren Sie, wie Sie Azure SQL Managed Instance konfigurieren, um in Microsoft Purview erstellte Richtlinien zu erzwingen. Es werden die Konfigurationsschritte für Azure SQL MI und die schritte in Microsoft Purview zum Bereitstellen des Zugriffs auf Azure SQL MI-Systemmetadaten (DMVs und DMFs) mithilfe der DevOps-Richtlinienaktionen SQL-Leistungsüberwachung oder SQL-Sicherheitsüberwachung behandelt.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Ein neues oder vorhandenes Microsoft Purview-Konto. Befolgen Sie diese Schnellstartanleitung, um eine zu erstellen.

• Erstellen Sie eine neue Azure SQL MI, oder verwenden Sie eine vorhandene in einer der derzeit verfügbaren Regionen für dieses Feature. Sie können diese Anleitung befolgen, um eine neue Azure SQL MI zu erstellen.

Regionsunterstützung

Alle Microsoft Purview-Regionen werden unterstützt.

Die Durchsetzung von Microsoft Purview-Richtlinien ist nur in den folgenden Regionen für Azure SQL MI verfügbar:

Öffentliche Cloud:

• USA (Osten)
• USA, Osten2
• USA (Süden, Mitte)
• USA (Westen, Mitte)
• USA, Westen3
• Kanada, Mitte
• Brasilien Süd
• Westeuropa
• Nordeuropa
• Frankreich, Mitte
• Vereinigtes Königreich (Süden)
• Süd-Afrika Nord
• Indien, Mitte
• Asien, Südosten
• Ostasien
• Australien (Osten)

Azure SQL MI-Konfiguration

In diesem Abschnitt wird erläutert, wie Sie Azure SQL MI einrichten können, um Richtlinien von Microsoft Purview zu berücksichtigen. Überprüfen Sie zunächst, ob Azure SQL MI für einen öffentlichen oder privaten Endpunkt konfiguriert ist. In diesem Leitfaden wird erläutert, wie Dies geschieht.

Konfiguration für den öffentlichen SQL MI-Endpunkt

Wenn Azure SQL MI für einen öffentlichen Endpunkt konfiguriert ist, führen Sie die folgenden Schritte aus:

• Konfigurieren Sie eine Microsoft Entra Admin. Navigieren Sie in Azure-Portal zum Azure SQL MI, und navigieren Sie dann im seitlichen Menü zu Microsoft Entra ID (ehemals Active Directory-Administrator genannt). Legen Sie einen Admin Namen fest, und wählen Sie dann Speichern aus.

• Navigieren Sie dann im seitlichen Menü zu Identität. Überprüfen Sie unter Systemseitig zugewiesene verwaltete Identität status auf Ein, und wählen Sie dann Speichern aus. Siehe Screenshot:

  

Konfiguration für den privaten SQL MI-Endpunkt

Wenn Azure SQL MI für die Verwendung eines privaten Endpunkts konfiguriert ist, führen Sie die gleichen Schritte aus, die in der Konfiguration für den öffentlichen Endpunkt beschrieben sind, und führen Sie außerdem die folgenden Schritte aus:

• Navigieren Sie zu der Netzwerksicherheitsgruppe (NSG), die Ihrer Azure SQL MI zugeordnet ist.

• Fügen Sie eine Sicherheitsregel für ausgehenden Datenverkehr wie im folgenden Screenshot hinzu. Destination = Service Tag, Destination service tag = MicrosoftPurviewPolicyDistribution, Service = HTTPS, Action = Allow. Stellen Sie außerdem sicher, dass die Priorität dieser Regel niedriger ist als die für die deny_all_outbound Regel.

  

Microsoft Purview-Konfiguration

Registrieren der Datenquelle in Microsoft Purview

Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.

Hinweis

Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.

Konfigurieren von Berechtigungen zum Aktivieren der Datenrichtlinienerzwingung für die Datenquelle

Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datenrichtlinienerzwingung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Erzwingung von Datenrichtlinien zu aktivieren, müssen Sie sowohl über bestimmte Identitäts- und Zugriffsverwaltungsberechtigungen (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:

• Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:

  • IAM-Besitzer
  • Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator

  Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.

  

  Hinweis

  Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Microsoft Entra Benutzer, Gruppen und Dienstprinzipale die ROLLE IAM-Besitzer für die Ressource besitzen oder erben.

• Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.

  Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.

  

Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien

Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:

• Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
• Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.

Wenn Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie problemlos Microsoft Entra Benutzer oder Gruppen durchsuchen möchten, können Sie außerdem davon profitieren, dass Sie die Berechtigung Verzeichnisleseberechtigte in Microsoft Entra ID erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.

Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien

Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.

Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.

Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview

Nachdem eine Ressource für die Erzwingung von Datenrichtlinien aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.

Hinweis

Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.

Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.

Registrieren der Datenquellen in Microsoft Purview

Die Azure SQL Managed Instance Datenquelle muss zuerst bei Microsoft Purview registriert werden, bevor Sie Zugriffsrichtlinien erstellen können. Sie können den Abschnitten "Voraussetzungen" und "Datenquelle registrieren" in diesem Leitfaden folgen: Registrieren und Überprüfen Azure SQL MI.

Nachdem Sie Ihre Ressourcen registriert haben, müssen Sie die Erzwingung von Datenrichtlinien (früher Datennutzungsverwaltung) aktivieren. Die Erzwingung von Datenrichtlinien erfordert bestimmte Berechtigungen und kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen die Möglichkeit delegiert, den Zugriff auf Datenquellen zu verwalten. Gehen Sie die sicheren Methoden im Zusammenhang mit der Erzwingung von Datenrichtlinien in diesem Leitfaden durch: Aktivieren der Richtlinienerzwingung

Sobald für Ihre Datenquelle der Umschalter Datenrichtlinienerzwingungaktiviert ist, sieht dies wie in diesem Screenshot aus. Dadurch können die Zugriffsrichtlinien mit der angegebenen Datenquelle verwendet werden.

Kehren Sie zum Azure-Portal für Azure SQL Datenbank zurück, um zu überprüfen, ob sie jetzt von Microsoft Purview gesteuert wird:

1. Melden Sie sich über diesen Link beim Azure-Portal an.

2. Wählen Sie den Azure SQL Server aus, den Sie konfigurieren möchten.

3. Wechseln Sie im linken Bereich zu Microsoft Entra ID.

4. Scrollen Sie nach unten zu Microsoft Purview-Zugriffsrichtlinien.

5. Wählen Sie die Schaltfläche "Nach Microsoft Purview-Governance suchen" aus. Warten Sie, während die Anforderung verarbeitet wird. Dies kann einige Minuten dauern.

   

6. Vergewissern Sie sich, dass im Microsoft Purview-Governancestatus angezeigt wird Governed. Beachten Sie, dass es einige Minuten dauern kann, nachdem Sie die Erzwingung von Datenrichtlinien in Microsoft Purview aktiviert haben, bis die richtige status widergespiegelt wird.

Hinweis

Wenn Sie die Erzwingung von Datenrichtlinien für diese Azure SQL Datenbank-Datenquelle deaktivieren, kann es bis zu 24 Stunden dauern, bis der Microsoft Purview-Governancestatus automatisch auf Not Governedaktualisiert wird. Dies kann beschleunigt werden, indem Sie Auf Microsoft Purview-Governance überprüfen auswählen. Bevor Sie die Erzwingung von Datenrichtlinien für die Datenquelle in einem anderen Microsoft Purview-Konto aktivieren, stellen Sie sicher, dass der Purview-Governancestatus als Not Governedangezeigt wird. Wiederholen Sie dann die oben genannten Schritte mit dem neuen Microsoft Purview-Konto.

Erstellen einer neuen DevOps-Richtlinie

Folgen Sie diesem Link, um die Schritte zum Erstellen einer neuen DevOps-Richtlinie in Microsoft Purview anzuzeigen.

Auflisten von DevOps-Richtlinien

Folgen Sie diesem Link, um die Schritte zum Auflisten von DevOps-Richtlinien in Microsoft Purview anzuzeigen.

Aktualisieren einer DevOps-Richtlinie

Folgen Sie diesem Link, um die Schritte zum Aktualisieren einer DevOps-Richtlinien in Microsoft Purview zu erfahren.

Löschen einer DevOps-Richtlinie

Folgen Sie diesem Link, um die Schritte zum Löschen von DevOps-Richtlinien in Microsoft Purview anzuzeigen.

Wichtig

DevOps-Richtlinien werden automatisch veröffentlicht, und Es kann bis zu fünf Minuten dauern, bis Änderungen von der Datenquelle erzwungen werden.

Testen der DevOps-Richtlinie

Erfahren Sie, wie Sie die erstellte Richtlinie testen.

Rollendefinitionsdetails

Weitere Informationen finden Sie unter Zuordnung der DevOps-Rolle zu Datenquellenaktionen.

Nächste Schritte

Sehen Sie sich verwandte Videos, Blogs und Dokumente an.