Esercitazione: Risolvere i problemi relativi ai criteri di Microsoft Purview per le origini dati SQL

Questa esercitazione illustra come eseguire comandi SQL per esaminare i criteri di Microsoft Purview comunicati all'istanza di SQL, in cui verranno applicati. Si apprenderà anche come forzare il download dei criteri nell'istanza di SQL. Questi comandi vengono usati solo per la risoluzione dei problemi e non sono necessari durante il normale funzionamento dei criteri di Microsoft Purview. Questi comandi richiedono un livello superiore di privilegi nell'istanza di SQL.

Per altre informazioni sui criteri di Microsoft Purview, vedere le guide ai concetti elencate nella sezione Passaggi successivi .

Prerequisiti

• Una sottoscrizione di Azure. Se non è già disponibile, creare una sottoscrizione gratuita.
• Un account Microsoft Purview. Se non è disponibile, vedere la guida introduttiva per la creazione di un account Microsoft Purview.
• Registrare un'origine dati, abilitare l'imposizione dei criteri di dati e creare un criterio. A tale scopo, usare una delle guide ai criteri di Microsoft Purview. Per seguire gli esempi di questa esercitazione, è possibile creare un criterio DevOps per Azure SQL Database.

Testare i criteri

Dopo aver creato un criterio, le entità Microsoft Entra a cui si fa riferimento nell'oggetto del criterio devono essere in grado di connettersi a qualsiasi database nel server a cui vengono pubblicati i criteri.

Forzare il download dei criteri

È possibile forzare il download immediato dei criteri pubblicati più recenti nel database SQL corrente eseguendo il comando seguente. L'autorizzazione minima necessaria per eseguire l'appartenenza al ruolo ##MS_ServerStateManager##-server.

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

Analizzare lo stato dei criteri scaricati da SQL

Le DMV seguenti possono essere usate per analizzare quali criteri sono stati scaricati e sono attualmente assegnati a Microsoft Entra entità. L'autorizzazione minima necessaria per eseguirli è VIEW DATABASE SECURITY STATE o il revisore della sicurezza SQL del gruppo di azioni assegnato.

-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

Passaggi successivi

Guide ai concetti per i criteri di accesso di Microsoft Purview:

• Criteri DevOps
• Criteri di accesso self-service
• Criteri del proprietario dei dati