Créer, répertorier, mettre à jour et supprimer des stratégies Microsoft Purview DevOps
Les stratégies DevOps sont un type de stratégies d’accès Microsoft Purview. Vous pouvez les utiliser pour gérer l’accès aux métadonnées système sur les sources de données qui ont été inscrites pour l’application de la stratégie de données dans Microsoft Purview.
Vous pouvez configurer des stratégies DevOps directement à partir du portail de gouvernance Microsoft Purview. Une fois enregistrés, ils sont automatiquement publiés, puis appliqués par la source de données. Les stratégies Microsoft Purview gèrent uniquement l’accès pour les principaux Microsoft Entra.
Ce guide décrit les étapes de configuration dans Microsoft Purview pour provisionner l’accès aux métadonnées du système de base de données à l’aide des actions de stratégie DevOps pour les rôles SQL Analyseur de performances et Auditeur de sécurité SQL. Il montre comment créer, lister, mettre à jour et supprimer des stratégies DevOps.
Configuration requise
Un compte Azure avec un abonnement actif. Créez un compte gratuitement.
Un compte Microsoft Purview nouveau ou existant. Suivez ce guide de démarrage rapide pour en créer un.
Configuration
Avant de créer des stratégies dans le portail de stratégie Microsoft Purview, vous devez configurer les sources de données afin qu’elles puissent appliquer ces stratégies :
- Suivez les prérequis spécifiques à la stratégie pour votre source. Vérifiez le tableau des sources de données prises en charge par Microsoft Purview et sélectionnez le lien dans la colonne Stratégie d’accès pour les sources où des stratégies d’accès sont disponibles. Suivez les étapes répertoriées dans les sections « Stratégie d’accès » et « Prérequis ».
- Inscrivez la source de données dans Microsoft Purview. Suivez les sections « Prérequis » et « Inscrire » des pages sources de vos ressources.
- Activez le bouton bascule Application de la stratégie de données dans l’inscription de la source de données. Pour plus d’informations, notamment les autorisations supplémentaires dont vous avez besoin pour cette étape, consultez Activer l’application de la stratégie de données sur vos sources Microsoft Purview.
Créer une stratégie DevOps
Pour créer une stratégie DevOps, vérifiez d’abord que vous disposez du rôle Auteur de stratégie Microsoft Purview au niveau de la collection racine. Consultez la section sur la gestion des attributions de rôles Microsoft Purview dans ce guide. Ensuite, procédez comme suit :
Connectez-vous au portail de gouvernance Microsoft Purview.
Dans le volet gauche, sélectionnez Stratégie de données. Sélectionnez ensuite Stratégies DevOps.
Sélectionnez le bouton Nouvelle stratégie .
Le panneau de détails de la stratégie s’ouvre.
Pour Type de source de données, sélectionnez une source de données. Sous Nom de la source de données, sélectionnez l’une des sources de données répertoriées. Cliquez ensuite sur Sélectionner pour revenir au volet Nouvelle stratégie .
Sélectionnez l’un des deux rôles suivants : Analyse des performances ou Audit de sécurité. Sélectionnez ensuite Ajouter/supprimer des sujets pour ouvrir le panneau Objet .
Dans la zone Sélectionner des sujets, entrez le nom d’un principal de Microsoft Entra (utilisateur, groupe ou principal de service). Les groupes Microsoft 365 sont pris en charge, mais les mises à jour de l’appartenance aux groupes prennent jusqu’à une heure pour être reflétées dans Microsoft Entra ID. Continuez à ajouter ou à supprimer des sujets jusqu’à ce que vous soyez satisfait, puis sélectionnez Enregistrer.
Sélectionnez Enregistrer pour enregistrer la stratégie. La stratégie est publiée automatiquement. L’application commence à la source de données dans les cinq minutes.
Répertorier les stratégies DevOps
Pour répertorier les stratégies DevOps, vérifiez d’abord que vous disposez de l’un des rôles Microsoft Purview suivants au niveau de la collection racine : auteur de stratégie, Administration de source de données, conservateur de données ou lecteur de données. Consultez la section sur la gestion des attributions de rôles Microsoft Purview dans ce guide. Ensuite, procédez comme suit :
Connectez-vous au portail de gouvernance Microsoft Purview.
Dans le volet gauche, sélectionnez Stratégie de données. Sélectionnez ensuite Stratégies DevOps.
Le volet Stratégies DevOps répertorie toutes les stratégies qui ont été créées.
Mettre à jour une stratégie DevOps
Pour mettre à jour une stratégie DevOps, vérifiez d’abord que vous disposez du rôle Auteur de stratégie Microsoft Purview au niveau de la collection racine. Consultez la section sur la gestion des attributions de rôles Microsoft Purview dans ce guide. Ensuite, procédez comme suit :
Connectez-vous au portail de gouvernance Microsoft Purview.
Dans le volet gauche, sélectionnez Stratégie de données. Sélectionnez ensuite Stratégies DevOps.
Dans le volet Stratégies DevOps , ouvrez les détails de la stratégie pour l’une des stratégies en la sélectionnant dans son chemin d’accès aux ressources de données.
Dans le volet pour les détails de la stratégie, sélectionnez Modifier.
Apportez vos modifications, puis sélectionnez Enregistrer.
Supprimer une stratégie DevOps
Pour supprimer une stratégie DevOps, vérifiez d’abord que vous disposez du rôle Auteur de stratégie Microsoft Purview au niveau de la collection racine. Consultez la section sur la gestion des attributions de rôles Microsoft Purview dans ce guide. Ensuite, procédez comme suit :
Connectez-vous au portail de gouvernance Microsoft Purview.
Dans le volet gauche, sélectionnez Stratégie de données. Sélectionnez ensuite Stratégies DevOps.
Cochez la case pour l’une des stratégies, puis sélectionnez Supprimer.
Tester la stratégie DevOps
Une fois que vous avez créé une stratégie, l’un des utilisateurs Microsoft Entra que vous avez sélectionnés comme sujets peut désormais se connecter aux sources de données dans l’étendue de la stratégie. Pour tester, utilisez SQL Server Management Studio (SSMS) ou n’importe quel client SQL et essayez d’interroger des vues de gestion dynamique (DMV) et des fonctions de gestion dynamique (DFS). Les sections suivantes répertorient quelques exemples. Pour obtenir d’autres exemples, consultez le mappage des vues de gestion dynamique et des DFS populaires dans Que puis-je accomplir avec les stratégies DevOps Microsoft Purview ?.
Si vous avez besoin de plus de dépannage, consultez la section Étapes suivantes de ce guide.
Tester l’accès Analyseur de performances SQL
Si vous avez fourni les sujets de la stratégie pour le rôle sql Analyseur de performances, vous pouvez émettre les commandes suivantes :
-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats
Tester l’accès de l’auditeur de sécurité SQL
Si vous avez fourni les sujets de la stratégie pour le rôle Auditeur de sécurité SQL, vous pouvez émettre les commandes suivantes à partir de SSMS ou de n’importe quel client SQL :
-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys
Garantir l’absence d’accès aux données utilisateur
Essayez d’accéder à une table dans l’une des bases de données à l’aide de la commande suivante :
-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName
Le principal Microsoft Entra que vous testez doit être refusé, ce qui signifie que les données sont protégées contre les menaces internes.
Détails de la définition de rôle
Le tableau suivant mappe les rôles de stratégie de données Microsoft Purview à des actions spécifiques dans les sources de données SQL.
| Rôle de stratégie Microsoft Purview | Actions dans les sources de données |
|---|---|
| sql Analyseur de performances | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop | |
| Vérificateur de sécurité SQL | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select | |
Étapes suivantes
Consultez les blogs, vidéos et articles connexes suivants :
- Blog : Les stratégies Microsoft Purview DevOps pour Azure SQL Database sont désormais en disponibilité générale
- Blog : Solution peu coûteuse pour gérer l’accès aux informations d’intégrité, de performances et de sécurité SQL
- Blog : Les stratégies Microsoft Purview DevOps permettent l’approvisionnement d’accès à grande échelle pour les opérations informatiques
- Blog : L’API des stratégies DevOps Microsoft Purview est désormais publique
- Vidéo : Prérequis pour les stratégies : l’option « Application de la stratégie de données »
- Vidéo : Vue d’ensemble rapide des stratégies DevOps
- Vidéo : Présentation approfondie des stratégies DevOps
- Article : Guide conceptuel des stratégies DevOps Microsoft Purview
- Article : Stratégies DevOps Microsoft Purview sur les SQL Server avec Azure Arc
- Article : Stratégies DevOps Microsoft Purview sur Azure SQL Database
- Article : Stratégies Microsoft Purview DevOps sur l’ensemble des groupes de ressources ou des abonnements
- Article : Résoudre les problèmes liés aux stratégies Microsoft Purview pour les sources de données SQL