Tutoriel : Résoudre les problèmes liés aux stratégies Microsoft Purview pour les sources de données SQL

Dans ce tutoriel, vous allez découvrir comment émettre des commandes SQL pour inspecter les stratégies Microsoft Purview qui ont été communiquées au instance SQL, où elles seront appliquées. Vous allez également apprendre à forcer le téléchargement des stratégies dans le instance SQL. Ces commandes sont utilisées uniquement pour la résolution des problèmes et ne sont pas nécessaires pendant le fonctionnement normal des stratégies Microsoft Purview. Ces commandes nécessitent un niveau plus élevé de privilèges dans le instance SQL.

Pour plus d’informations sur les stratégies Microsoft Purview, consultez les guides conceptuels répertoriés dans la section Étapes suivantes .

Configuration requise

• Un abonnement Azure. Si vous n’en avez pas encore, créez un abonnement gratuit.
• Un compte Microsoft Purview. Si vous n’en avez pas, consultez le guide de démarrage rapide pour créer un compte Microsoft Purview.
• Inscrivez une source de données, activez l’application de la stratégie de données et créez une stratégie. Pour ce faire, utilisez l’un des guides de stratégie Microsoft Purview. Pour suivre les exemples de ce didacticiel, vous pouvez créer une stratégie DevOps pour Azure SQL Database.

Tester la stratégie

Une fois que vous avez créé une stratégie, les principaux Microsoft Entra référencés dans l’objet de la stratégie doivent pouvoir se connecter à n’importe quelle base de données sur le serveur sur lequel les stratégies sont publiées.

Forcer le téléchargement de la stratégie

Il est possible de forcer le téléchargement immédiat des dernières stratégies publiées dans la base de données SQL actuelle en exécutant la commande suivante. L’autorisation minimale requise pour l’exécuter est l’appartenance au rôle ##MS_ServerStateManager##-serveur.

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

Analyser l’état de stratégie téléchargé à partir de SQL

Les vues de gestion dynamique suivantes peuvent être utilisées pour analyser les stratégies qui ont été téléchargées et qui sont actuellement affectées à Microsoft Entra principaux. L’autorisation minimale requise pour les exécuter est VIEW DATABASE SECURITY STATE ou l’auditeur de sécurité SQL du groupe d’actions affecté.

-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

Étapes suivantes

Guides conceptuels pour les stratégies d’accès Microsoft Purview :

• Stratégies DevOps
• Stratégies d’accès en libre-service
• Stratégies de propriétaire des données