Tutorial: Solución de problemas de directivas de Microsoft Purview para orígenes de datos SQL

En este tutorial, aprenderá a emitir comandos SQL para inspeccionar las directivas de Microsoft Purview que se han comunicado a la instancia de SQL, donde se aplicarán. También aprenderá a forzar una descarga de las directivas a la instancia de SQL. Estos comandos solo se usan para solucionar problemas y no son necesarios durante el funcionamiento normal de las directivas de Microsoft Purview. Estos comandos requieren un mayor nivel de privilegios en la instancia de SQL.

Para obtener más información sobre las directivas de Microsoft Purview, consulte las guías de concepto que se enumeran en la sección Pasos siguientes .

Requisitos previos

• Una suscripción de Azure. Si aún no tiene una, cree una suscripción gratuita.
• Una cuenta de Microsoft Purview. Si no tiene ninguna, consulte el inicio rápido para crear una cuenta de Microsoft Purview.
• Registre un origen de datos, habilite la aplicación de directivas de datos y cree una directiva. Para ello, use una de las guías de directivas de Microsoft Purview. Para seguir los ejemplos de este tutorial, puede crear una directiva de DevOps para Azure SQL Database.

Prueba de la directiva

Una vez creada una directiva, las entidades de seguridad de Microsoft Entra a las que se hace referencia en el asunto de la directiva deben poder conectarse a cualquier base de datos del servidor en el que se publican las directivas.

Forzar descarga de directivas

Es posible forzar una descarga inmediata de las directivas publicadas más recientes en la base de datos SQL actual mediante la ejecución del siguiente comando. El permiso mínimo necesario para ejecutar su pertenencia al rol ##MS_ServerStateManager##-server.

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

Análisis del estado de la directiva descargado de SQL

Las siguientes DMV se pueden usar para analizar qué directivas se han descargado y están asignadas actualmente a Microsoft Entra entidades de seguridad. El permiso mínimo necesario para ejecutarlos es VIEW DATABASE SECURITY STATE o el auditor de seguridad SQL del grupo de acciones asignado.

-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

Pasos siguientes

Guías de concepto para directivas de acceso de Microsoft Purview:

• Directivas de DevOps
• Directivas de acceso a autoservicio
• Directivas del propietario de los datos