Découvrir et gouverner Azure SQL Database dans Microsoft Purview
Cet article décrit le processus d’inscription d’une source de base de données Azure SQL dans Microsoft Purview. Il inclut des instructions pour l’authentification et l’interaction avec la base de données SQL.
Fonctionnalités prises en charge
Extraction de métadonnées | Analyse complète | Analyse incrémentielle | Analyse délimitée | Classification | Étiquetage | Stratégie d’accès | Traçabilité | Partage de données | Affichage en direct |
---|---|---|---|---|---|---|---|---|---|
Oui | Oui | Oui | Oui | Oui | Oui | Oui (préversion) | Oui (préversion) | Non | Oui |
Lorsque vous analysez Azure SQL Database, Microsoft Purview prend en charge l’extraction de métadonnées techniques à partir de ces sources :
- Serveur
- Database
- Schémas
- Tables, y compris les colonnes
- Vues, y compris les colonnes (avec l’extraction de traçabilité activée, dans le cadre de l’analyse)
- Procédures stockées (avec extraction de traçabilité activée)
- Exécutions de procédures stockées (avec extraction de traçabilité activée)
Lorsque vous configurez une analyse, vous pouvez l’étendre davantage après avoir fourni le nom de la base de données en sélectionnant les tables et les vues en fonction des besoins.
Limitations connues
- Pour l’extraction de traçabilité des procédures stockées :
- L’analyse de l’extraction de traçabilité des procédures stockées (SP) n’est actuellement pas prise en charge si votre serveur logique dans Azure désactive l’accès public ou n’autorise pas les services Azure à y accéder.
- L’analyse de l’extraction de traçabilité du fournisseur de services n’est actuellement pas prise en charge si votre compte Microsoft Purview désactive l’accès public.
- L’analyse de l’extraction de traçabilité du fournisseur de services est planifiée pour s’exécuter toutes les six heures par défaut. La fréquence ne peut pas être modifiée.
- La traçabilité est capturée uniquement lorsque l’exécution de la procédure stockée transfère des données d’une table à une autre. Et il n’est pas pris en charge pour les tables temporaires.
- L’extraction de traçabilité n’est pas prise en charge pour les fonctions ou les déclencheurs.
- Notez qu’en raison des limitations suivantes, vous pouvez actuellement voir des ressources en double dans le catalogue si vous avez de tels scénarios.
- Les noms d’objets dans les ressources et les noms complets suivent la casse utilisée dans les instructions de procédure stockée, qui peut ne pas s’aligner sur la casse de l’objet dans la source de données d’origine.
- Lorsque les vues SQL sont référencées dans des procédures stockées, elles sont actuellement capturées en tant que tables SQL.
Remarque
La traçabilité est également prise en charge si Azure SQL tables ou vues sont utilisées comme source/récepteur dans Azure Data Factory activités de copie et de Data Flow.
Configuration requise
Un compte Azure avec un abonnement actif. Créez un compte gratuitement.
Un compte Microsoft Purview actif.
Autorisations Administrateur de source de données et Lecteur de données, afin que vous puissiez inscrire une source et la gérer dans le portail de gouvernance Microsoft Purview. Pour plus d’informations, consultez Contrôle d’accès dans le portail de gouvernance Microsoft Purview.
Inscrire la source de données
Avant d’analyser, il est important d’inscrire la source de données dans Microsoft Purview :
Ouvrez le portail de gouvernance Microsoft Purview en :
- Accédez directement à https://web.purview.azure.com votre compte Microsoft Purview et sélectionnez-les.
- Ouverture du Portail Azure, recherchez et sélectionnez le compte Microsoft Purview. Sélectionnez le bouton Portail de gouvernance Microsoft Purview .
Accédez à Data Map.
Créez la hiérarchie de collection en accédant à Collections , puis en sélectionnant Ajouter une collection. Attribuez des autorisations à des sous-collections individuelles en fonction des besoins.
Accédez à la collection appropriée sous Sources, puis sélectionnez l’icône Inscrire pour inscrire une nouvelle base de données SQL.
Sélectionnez la source de données Azure SQL Base de données, puis sélectionnez Continuer.
Pour Nom, fournissez un nom approprié pour la source de données. Sélectionnez les noms appropriés pour Abonnement Azure, Nom du serveur et Sélectionner une collection, puis sélectionnez Appliquer.
Vérifiez que la base de données SQL apparaît sous la collection sélectionnée.
Mettre à jour les paramètres du pare-feu
Si un pare-feu est activé sur votre serveur de base de données, vous devez mettre à jour le pare-feu pour autoriser l’accès de l’une des manières suivantes :
- Autorisez les connexions Azure via le pare-feu. Il s’agit d’une option simple pour acheminer le trafic via la mise en réseau Azure, sans avoir à gérer les machines virtuelles.
- Installez un runtime d’intégration auto-hébergé sur une machine de votre réseau et accordez-lui l’accès via le pare-feu. Si vous disposez d’un réseau virtuel privé configuré dans Azure ou si un autre réseau fermé est configuré, l’utilisation d’un runtime d’intégration auto-hébergé sur une machine au sein de ce réseau vous permet de gérer entièrement le flux de trafic et d’utiliser votre réseau existant.
- Utilisez un réseau virtuel managé. La configuration d’un réseau virtuel managé avec votre compte Microsoft Purview vous permet de vous connecter à Azure SQL à l’aide du runtime d’intégration Azure dans un réseau fermé.
Pour plus d’informations sur le pare-feu, consultez la documentation sur le pare-feu de base de données Azure SQL.
Autoriser les connexions Azure
L’activation des connexions Azure permet à Microsoft Purview de se connecter au serveur sans que vous mettez à jour le pare-feu lui-même.
- Accédez à votre compte de base de données.
- Dans la page Vue d’ensemble , sélectionnez le nom du serveur.
- SélectionnezMise en réseaude sécurité>.
- Pour Autoriser les services et ressources Azure à accéder à ce serveur, sélectionnez Oui.
Pour plus d’informations sur l’autorisation des connexions à partir d’Azure, consultez le guide pratique.
Installer un runtime d’intégration auto-hébergé
Vous pouvez installer un runtime d’intégration auto-hébergé sur un ordinateur pour vous connecter à une ressource dans un réseau privé :
- Choisir le runtime d’intégration approprié pour votre scénario
- Créez et installez votre runtime d’intégration :
- Pour utiliser un runtime d’intégration auto-hébergé :suivez l’article pour créer et configurer un runtime d’intégration auto-hébergé.
- Pour utiliser un runtime d’intégration auto-hébergé pris en charge par Kubernetes :suivez l’article pour créer et configurer un runtime d’intégration pris en charge par Kubernetes.
- Vérifiez la configuration réseau de votre serveur de base de données pour vérifier qu’un point de terminaison privé est accessible à la machine qui contient le runtime d’intégration auto-hébergé. Ajoutez l’adresse IP de l’ordinateur s’il n’y a pas encore accès.
- Si votre serveur logique se trouve derrière un point de terminaison privé ou dans un réseau virtuel, vous pouvez utiliser un point de terminaison privé d’ingestion pour garantir l’isolation réseau de bout en bout.
Configurer l’authentification pour une analyse
Pour analyser votre source de données, vous devez configurer une méthode d’authentification dans Azure SQL Database.
Importante
Si vous utilisez un runtime d’intégration auto-hébergé pour vous connecter à votre ressource, les identités managées affectées par le système et affectées par l’utilisateur ne fonctionnent pas. Vous devez utiliser l’authentification du principal de service ou l’authentification SQL.
Microsoft Purview prend en charge les options suivantes :
Identité managée affectée par le système (SAMI) (recommandé). Il s’agit d’une identité directement associée à votre compte Microsoft Purview. Il vous permet de vous authentifier directement auprès d’autres ressources Azure sans avoir à gérer un utilisateur ou un ensemble d’informations d’identification.
Le SAMI est créé lors de la création de votre ressource Microsoft Purview. Il est géré par Azure et utilise le nom de votre compte Microsoft Purview. Actuellement, la SAMI ne peut pas être utilisée avec un runtime d’intégration auto-hébergé pour Azure SQL.
Pour plus d’informations, consultez vue d’ensemble des identités managées.
Identité managée affectée par l’utilisateur (UAMI) (préversion). À l’instar d’une SAMI, une interface utilisateur est une ressource d’informations d’identification qui permet à Microsoft Purview de s’authentifier auprès de Microsoft Entra ID.
L’interface utilisateur est gérée par les utilisateurs dans Azure, plutôt que par Azure lui-même, ce qui vous donne plus de contrôle sur la sécurité. Actuellement, l’interface utilisateur ne peut pas être utilisée avec un runtime d’intégration auto-hébergé pour Azure SQL.
Pour plus d’informations, consultez le guide des identités managées affectées par l’utilisateur.
Principal de service. Un principal de service est une application qui peut se voir attribuer des autorisations comme n’importe quel autre groupe ou utilisateur, sans être directement associée à une personne. L’authentification pour les principaux de service ayant une date d’expiration, elle peut être utile pour les projets temporaires.
Pour plus d’informations, consultez la documentation du principal de service.
Authentification SQL. Connectez-vous à la base de données SQL avec un nom d’utilisateur et un mot de passe. Pour plus d’informations, consultez la documentation sur l’authentification SQL.
Si vous devez créer une connexion, suivez ce guide pour interroger une base de données SQL. Utilisez ce guide pour créer une connexion à l’aide de T-SQL.
Remarque
Veillez à sélectionner l’option Base de données Azure SQL sur la page.
Pour connaître les étapes d’authentification auprès de votre base de données SQL, sélectionnez la méthode d’authentification choisie dans les onglets suivants.
Remarque
Seule la connexion du principal au niveau du serveur (créée par le processus d’approvisionnement) ou les membres du loginmanager
rôle de base de données dans la base de données master peuvent créer de nouvelles connexions. Le compte Microsoft Purview doit être en mesure d’analyser les ressources environ 15 minutes après avoir atteint les autorisations.
Vous avez besoin d’une connexion SQL avec au moins
db_datareader
des autorisations pour pouvoir accéder aux informations dont Microsoft Purview a besoin pour analyser la base de données. Vous pouvez suivre les instructions de CREATE LOGIN pour créer une connexion pour Azure SQL Database. Enregistrez le nom d’utilisateur et le mot de passe pour les étapes suivantes.Accédez à votre coffre de clés dans le Portail Azure.
Sélectionnez Paramètres>Secrets, puis + Générer/Importer.
Pour Nom et Valeur, utilisez le nom d’utilisateur et le mot de passe (respectivement) de votre base de données SQL.
Sélectionnez Créer.
Si votre coffre de clés n’est pas encore connecté à Microsoft Purview, créez une connexion au coffre de clés.
Créez des informations d’identification à l’aide de la clé pour configurer votre analyse.
Créer l’analyse
Ouvrez votre compte Microsoft Purview et sélectionnez Ouvrir le portail de gouvernance Microsoft Purview.
Accédez à Data Map>Sources pour afficher la hiérarchie de la collection.
Sélectionnez l’icône Nouvelle analyse sous la base de données SQL que vous avez inscrite précédemment.
Pour en savoir plus sur la traçabilité des données de procédure stockée dans Azure SQL Database, consultez la section Extraire la traçabilité (préversion) de cet article.
Pour les étapes d’analyse, sélectionnez votre méthode d’authentification dans les onglets suivants.
Pour Nom, fournissez un nom pour l’analyse.
Pour Méthode de sélection de base de données, sélectionnez Entrer manuellement.
Pour Nom de la base de données et Informations d’identification, entrez les valeurs que vous avez créées précédemment.
Pour Sélectionner une connexion, choisissez la collection appropriée pour l’analyse.
Sélectionnez Tester la connexion pour valider la connexion. Une fois la connexion établie, sélectionnez Continuer.
Étendue et exécution de l’analyse
Vous pouvez limiter votre analyse à des objets de base de données spécifiques en choisissant les éléments appropriés dans la liste.
Sélectionnez un ensemble de règles d’analyse. Vous pouvez utiliser la valeur système par défaut, choisir parmi des ensembles de règles personnalisés existants ou créer un nouvel ensemble de règles inline. Sélectionnez Continuer lorsque vous avez terminé.
Si vous sélectionnez Nouvel ensemble de règles d’analyse, un volet s’ouvre pour vous permettre d’entrer le type de source, le nom de l’ensemble de règles et une description. Sélectionnez Continuer lorsque vous avez terminé.
Pour Sélectionner des règles de classification, choisissez les règles de classification que vous souhaitez inclure dans l’ensemble de règles d’analyse, puis sélectionnez Créer.
Le nouvel ensemble de règles d’analyse apparaît alors dans la liste des ensembles de règles disponibles.
Choisissez votre déclencheur d’analyse. Vous pouvez configurer une planification ou exécuter l’analyse une seule fois.
Passez en revue votre analyse, puis sélectionnez Enregistrer et exécuter.
Afficher une analyse
Pour case activée la status d’une analyse, accédez à la source de données dans la collection, puis sélectionnez Afficher les détails.
Les détails de l’analyse indiquent la progression de l’analyse dans Dernière exécution status, ainsi que le nombre de ressources analysées et classifiées. La dernière exécution status est mise à jour vers En cours, puis Terminée une fois l’analyse complète exécutée correctement.
Gérer une analyse
Après avoir exécuté une analyse, vous pouvez utiliser l’historique des exécutions pour la gérer :
Sous Analyses récentes, sélectionnez une analyse.
Dans l’historique des exécutions, vous avez des options pour réexécuter l’analyse, la modifier ou la supprimer.
Si vous sélectionnez Exécuter l’analyse maintenant pour réexécuter l’analyse, vous pouvez choisir Analyse incrémentielle ou Analyse complète.
Résoudre les problèmes d’analyse
Si vous rencontrez des problèmes d’analyse, suivez ces conseils :
- Vérifiez que vous avez suivi toutes les conditions préalables.
- Vérifiez le réseau en confirmant le pare-feu, les connexions Azure ou les paramètres du runtime d’intégration .
- Vérifiez que l’authentification est correctement configurée.
Pour plus d’informations, consultez Résoudre les problèmes de connexion dans Microsoft Purview.
Configurer des stratégies
Les types de stratégies Microsoft Purview suivants sont pris en charge sur cette ressource de données :
- Stratégies de propriétaire de données : ensemble d’instructions de stratégie qui vous permettent d’accorder aux utilisateurs et aux groupes l’accès aux sources de données.
- Stratégies en libre-service : stratégie qui permet aux utilisateurs de demander l’accès aux sources de données inscrites auprès de Microsoft Purview.
- Stratégies de protection : refuse l’accès aux données marquées d’étiquettes de confidentialité à tous les utilisateurs, à l’exception de ceux spécifiés par la stratégie.
- Stratégies DevOps : accorde l’accès aux métadonnées du système de base de données sur plusieurs sources. Ils simplifient l’approvisionnement des accès pour le personnel chargé des opérations informatiques et de l’audit de sécurité. Ils accordent uniquement l’accès et ne refusent pas l’accès.
Conditions préalables à la stratégie d’accès sur Azure SQL Database
- Créez un instance de base de données Azure SQL ou utilisez-en un existant dans l’une des régions actuellement disponibles pour cette fonctionnalité. Vous pouvez suivre ce guide pour créer un Azure SQL Database instance.
Prise en charge des régions
Toutes les régions Microsoft Purview sont prises en charge.
L’application des stratégies Microsoft Purview est disponible uniquement dans les régions suivantes pour Azure SQL Database :
Cloud public :
- USA Est
- USA Est2
- USA Centre Sud
- USA Centre Ouest
- USA Ouest3
- Canada Centre
- Sud du Brésil
- Europe Ouest
- Europe Nord
- France Centre
- Sud du Royaume-Uni
- Nord de l’Afrique du Sud
- Centre de l’Inde
- Asie Du Sud-Est
- Asie Est
- Australie Est
Clouds souverains :
- USGov
- Chine Nord 3
Configurer le instance de base de données Azure SQL pour les stratégies à partir de Microsoft Purview
Pour que le serveur logique associé à Azure SQL Database respecte les stratégies de Microsoft Purview, vous devez configurer un administrateur Microsoft Entra. Dans le Portail Azure, accédez au serveur logique qui héberge le Azure SQL Database instance. Dans le menu latéral, sélectionnez Microsoft Entra ID. Définissez un nom d’administrateur sur n’importe quel utilisateur ou groupe Microsoft Entra de votre choix, puis sélectionnez Enregistrer.
Ensuite, dans le menu latéral, sélectionnez Identité. Sous Identité managée affectée par le système, définissez le status sur Activé, puis sélectionnez Enregistrer.
Configurer le compte Microsoft Purview pour les stratégies
Inscrire la source de données dans Microsoft Purview
Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.
Remarque
Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.
Configurer les autorisations pour activer l’application de la stratégie de données sur la source de données
Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer l’application de la stratégie de données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer l’application de la stratégie de données, vous devez disposer de privilèges IAM (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :
Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :
- Propriétaire IAM
- Contributeur IAM et Administrateur de l’accès utilisateur IAM
Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.
Remarque
Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels Microsoft Entra utilisateurs, groupes et principaux de service détiennent ou héritent du rôle Propriétaire IAM pour la ressource.
Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.
La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.
Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès
Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :
- Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
- Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.
Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.
Remarque
Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.
En outre, pour rechercher facilement Microsoft Entra utilisateurs ou groupes lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez bénéficier grandement de l’obtention de l’autorisation Lecteurs d’annuaire dans Microsoft Entra ID. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.
Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données
Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.
Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.
Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.
Remarque
Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.
Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview
Une fois qu’une ressource a été activée pour l’application de la stratégie de données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.
Remarque
Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .
Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.
Inscrire la source de données et activer l’application de la stratégie de données
La ressource de base de données Azure SQL doit être inscrite auprès de Microsoft Purview avant de pouvoir créer des stratégies d’accès. Pour inscrire vos ressources, suivez les sections « Prérequis » et « Inscrire la source de données » dans Activer l’application de la stratégie de données sur vos sources Microsoft Purview.
Après avoir inscrit la source de données, vous devez activer l’application de la stratégie de données. Il s’agit d’un prérequis avant de pouvoir créer des stratégies sur la source de données. L’application de la stratégie de données peut affecter la sécurité de vos données, car elle délègue à certains rôles Microsoft Purview qui gèrent l’accès aux sources de données. Suivez les pratiques de sécurité dans Activer l’application de la stratégie de données sur vos sources Microsoft Purview.
Une fois que l’option d’application de la stratégie de données est définie sur Activé pour votre source de données, elle ressemble à cette capture d’écran :
Revenez à la Portail Azure pour Azure SQL Database afin de vérifier qu’elle est désormais régie par Microsoft Purview :
Connectez-vous au Portail Azure via ce lien
Sélectionnez le serveur Azure SQL que vous souhaitez configurer.
Accédez à Microsoft Entra ID dans le volet gauche.
Faites défiler jusqu’à Stratégies d’accès Microsoft Purview.
Sélectionnez le bouton Pour vérifier la gouvernance Microsoft Purview. Patientez pendant le traitement de la demande. Cela peut prendre quelques minutes.
Vérifiez que l’état de gouvernance De Microsoft Purview affiche
Governed
. Notez que l’activation de l’application de la stratégie de données dans Microsoft Purview peut prendre quelques minutes pour que les status correctes soient reflétées.
Remarque
Si vous désactivez l’application de la stratégie de données pour cette source de données Azure SQL base de données, la mise à jour automatique Not Governed
de l’état de gouvernance Microsoft Purview peut prendre jusqu’à 24 heures. Cette opération peut être accélérée en sélectionnant Vérifier la gouvernance Microsoft Purview. Avant d’activer l’application de la stratégie de données pour la source de données dans un autre compte Microsoft Purview, vérifiez que l’état de gouvernance Purview s’affiche sous la forme Not Governed
. Répétez ensuite les étapes ci-dessus avec le nouveau compte Microsoft Purview.
Créer une stratégie d’accès
Pour créer une stratégie d’accès pour Azure SQL Database, suivez ces guides :
- Approvisionner l’accès aux informations d’intégrité du système, de performances et d’audit dans Azure SQL Database. Utilisez ce guide pour appliquer une stratégie DevOps sur une base de données SQL unique.
- Provisionner l’accès en lecture/modification sur une base de données Azure SQL unique. Utilisez ce guide pour provisionner l’accès sur un seul compte de base de données SQL dans votre abonnement.
- Stratégies d’accès en libre-service pour Azure SQL Database. Utilisez ce guide pour permettre aux consommateurs de données de demander l’accès aux ressources de données à l’aide d’un workflow libre-service.
Pour créer des stratégies qui couvrent toutes les sources de données à l’intérieur d’un groupe de ressources ou d’un abonnement Azure, consultez Découvrir et régir plusieurs sources Azure dans Microsoft Purview.
#Protection stratégie
Les stratégies de contrôle d’accès de protection (stratégies de protection) permettent aux organisations de protéger automatiquement les données sensibles entre les sources de données. Microsoft Purview analyse déjà les ressources de données et identifie les éléments de données sensibles, et cette nouvelle fonctionnalité vous permet de restreindre automatiquement l’accès à ces données à l’aide d’étiquettes de confidentialité de Protection des données Microsoft Purview.
Suivez cette documentation pour créer une stratégie de protection : Comment créer une stratégie de Protection des données Microsoft Purview.
Extraire la traçabilité (préversion)
Microsoft Purview prend en charge la traçabilité des vues et des procédures stockées à partir de Azure SQL Database. Bien que la traçabilité des vues soit prise en charge dans le cadre de l’analyse, vous devez activer le bouton bascule Extraction de traçabilité pour extraire la traçabilité des procédures stockées lorsque vous configurez une analyse.
Remarque
La traçabilité n’est actuellement pas prise en charge à l’aide d’un runtime d’intégration auto-hébergé ou d’un runtime de réseau virtuel managé et d’un point de terminaison privé Azure SQL. Vous devez autoriser les services Azure à accéder au serveur sous les paramètres réseau de votre base de données Azure SQL, et votre compte Microsoft Purview doit autoriser l’accès public. En savoir plus sur les limitations connues de l’analyse d’extraction de traçabilité.
Traçabilité des vues de base de données SQL
À compter du 30/06/24, l’analyse des métadonnées de base de données SQL inclut l’extraction de traçabilité pour les vues. Seules les nouvelles analyses incluent l’extraction de traçabilité des vues. La traçabilité est extraite à tous les niveaux d’analyse (L1/L2/L3). Dans le cas d’une analyse incrémentielle, quelles que soient les métadonnées analysées dans le cadre de l’analyse incrémentielle, la traçabilité statique correspondante pour les tables/vues est extraite.
Conditions préalables à la configuration d’une analyse avec l’extraction de traçabilité du fournisseur de services
Suivez les étapes de la section Configurer l’authentification pour une analyse de cet article pour autoriser Microsoft Purview à analyser votre base de données SQL.
Connectez-vous à Azure SQL Database avec votre compte Microsoft Entra et attribuez
db_owner
des autorisations à l’identité managée Microsoft Purview.Remarque
Les autorisations « db_owner » sont nécessaires, car la traçabilité est basée sur les sessions XEvent. Microsoft Purview a donc besoin de l’autorisation de gérer les sessions XEvent dans SQL.
Utilisez l’exemple de syntaxe SQL suivant pour créer un utilisateur et accorder une autorisation. Remplacez par
<purview-account>
le nom de votre compte.Create user <purview-account> FROM EXTERNAL PROVIDER GO EXEC sp_addrolemember 'db_owner', <purview-account> GO
Exécutez la commande suivante sur votre base de données SQL pour créer une clé master :
Create master key Go
Vérifiez que l’option Autoriser les services et ressources Azure à accéder à ce serveur est activée sous mise en réseau/pare-feu pour votre ressource Azure SQL.
Créer une analyse avec l’extraction de traçabilité activée
Dans le volet de configuration d’une analyse, activez le bouton bascule Activer l’extraction de traçabilité .
Sélectionnez votre méthode d’authentification en suivant les étapes décrites dans la section Créer l’analyse de cet article.
Une fois l’analyse configurée, un nouveau type d’analyse appelé Extraction de traçabilité exécute des analyses incrémentielles toutes les six heures pour extraire la traçabilité de Azure SQL Database. La traçabilité est extraite en fonction des exécutions de procédure stockée dans la base de données SQL.
Rechercher Azure SQL ressources de base de données et afficher la traçabilité du runtime
Vous pouvez parcourir le Catalogue unifié ou rechercher dans le Catalogue unifié pour afficher les détails des ressources pour Azure SQL Database. Les étapes suivantes décrivent comment afficher les détails de traçabilité du runtime :
Accédez à l’onglet Traçabilité de la ressource. Le cas échéant, la traçabilité des ressources s’affiche ici.
Le cas échéant, vous pouvez explorer davantage pour voir la traçabilité au niveau de l’instruction SQL dans une procédure stockée, ainsi que la traçabilité au niveau de la colonne. Lorsque vous utilisez des Integration Runtime auto-hébergés pour l’analyse, la récupération des informations d’exploration de traçabilité pendant l’analyse est prise en charge depuis la version 5.25.8374.1.
Pour plus d’informations sur les scénarios de traçabilité de base de données Azure SQL pris en charge, reportez-vous à la section Fonctionnalités prises en charge de cet article. Pour plus d’informations sur la traçabilité en général, consultez Traçabilité des données dans Microsoft Purview et Catalogue unifié Microsoft Purview guide de l’utilisateur de traçabilité.
Accédez à la ressource de procédure stockée. Sous l’onglet Propriétés , accédez à Ressources associées pour obtenir les détails d’exécution les plus récents des procédures stockées.
Sélectionnez le lien hypertexte de procédure stockée en regard de Exécutions pour afficher la vue d’ensemble de l’exécution de procédure stockée Azure SQL. Accédez à l’onglet Propriétés pour voir les informations d’exécution améliorées de la procédure stockée, telles que executedTime, rowCount et Client Connection.
Résoudre les problèmes d’extraction de traçabilité pour les procédures stockées
Les conseils suivants peuvent vous aider à résoudre les problèmes liés à la traçabilité :
- Si aucune traçabilité n’est capturée après une exécution réussie de l’extraction de traçabilité, il est possible qu’aucune procédure stockée n’ait été exécutée au moins une fois depuis que vous avez configuré l’analyse.
- La traçabilité est capturée pour les exécutions de procédure stockée qui se produisent après la configuration d’une analyse réussie. La traçabilité des exécutions de procédure stockée passées n’est pas capturée.
- Si votre base de données traite des charges de travail lourdes avec un grand nombre d’exécutions de procédures stockées, l’extraction de traçabilité filtre uniquement les exécutions les plus récentes. La procédure stockée s’exécute au début de la fenêtre de six heures, ou les instances d’exécution qui créent une charge de requête importante ne seront pas extraites. Contactez le support technique si vous ne disposez pas d’une traçabilité dans les exécutions de procédure stockée.
- Si une procédure stockée contient des instructions drop ou create, elles ne sont actuellement pas capturées dans la traçabilité
Étapes suivantes
Pour en savoir plus sur Microsoft Purview et vos données, utilisez ces guides :
- Concepts pour les stratégies de propriétaire de données Microsoft Purview
- Concepts pour les stratégies Microsoft Purview DevOps
- Comprendre l’application Aperçu d’infrastructure de données Microsoft Purview
- guide d’utilisation de la traçabilité Catalogue unifié Microsoft Purview
- Rechercher dans le Catalogue unifié Microsoft Purview