次の方法で共有


Microsoft Purview で Azure Arc 対応SQL Serverに接続して管理する

この記事では、Azure Arc 対応SQL Server インスタンスを登録する方法について説明します。 また、Microsoft Purview で Azure Arc 対応SQL Serverを認証して操作する方法についても説明します。 Microsoft Purview の詳細については、 入門記事を参照してください。

サポートされている機能

メタデータ抽出 フル スキャン 増分スキャン スコープスキャン 分類 ラベル付け アクセス ポリシー 系統 データ共有 ライブ ビュー
はい はい (プレビュー) はい (プレビュー) はい (プレビュー) はい (プレビュー) いいえ はい 狹** いいえ いいえ

** データセットがAzure Data Factoryコピー アクティビティでソース/シンクとして使用される場合は、系列がサポートされます。

サポートされているSQL Serverバージョンは 2012 以降です。 SQL Server Express LocalDB はサポートされていません。

Azure Arc 対応のSQL Serverをスキャンする場合、Microsoft Purview では次の技術メタデータの抽出がサポートされます。

  • Instances
  • Databases
  • Schemas
  • 列を含むテーブル
  • 列を含むビュー

スキャンを設定するときは、データベース名を指定して 1 つのデータベースをスキャンするように選択できます。 必要に応じてテーブルとビューを選択することで、スキャンの範囲をさらに広げることもできます。 データベース名を指定しないと、Azure Arc 対応SQL Server インスタンス全体がスキャンされます。

前提条件

ネットワーク

Microsoft Purview インスタンスですべてのパブリック ネットワーク アクセスが無効になっている場合、Arc-Enabled SQL Server にアクセスするには、Microsoft Purview インスタンスに接続されている仮想ネットワークに仮想マシンを追加する必要があります。

登録

このセクションでは、Microsoft Purview ガバナンス ポータルを使用して、Azure Arc 対応SQL Server インスタンスを Microsoft Purview に登録する方法について説明します。

登録の認証

セルフホステッド統合ランタイムを使用して Azure Arc 対応SQL Serverをスキャンするための認証を設定するには、次の 2 つの方法があります。

  • SQL Server 認証
  • Windows 認証 - Kubernetes SHIR ではサポートされていません。

SQL Server展開の認証を構成するには:

  1. SQL Server Management Studio (SSMS) で、[サーバーのプロパティ] に移動し、左側のウィンドウで [セキュリティ] を選択します。

  2. [ サーバー認証] で、次の手順を実行します

    • [Windows 認証] で、[Windows 認証モード] または [SQL Server と Windows 認証モード] を選択します。
    • SQL Server認証の場合は、[SQL Serverと Windows 認証モード] を選択します。

    認証モードを選択するためのオプションを含む、サーバー プロパティ ウィンドウの [セキュリティ] ページを示すスクリーンショット。

サーバー認証を変更するには、SQL Server インスタンスとSQL Server エージェントを再起動する必要があります。 SSMS で、SQL Server インスタンスに移動し、右クリックオプション ウィンドウで [再起動] を選択します。

新しいログインとユーザーを作成する

新しいログインとユーザーを作成してSQL Server インスタンスをスキャンする場合は、次の手順を使用します。

sys.databasesがマスター データベースにあるため、アカウントはマスター データベースにアクセスできる必要があります。 Microsoft Purview スキャナーは、サーバー上のすべての SQL データベースを検索するために、 sys.databases を列挙する必要があります。

注:

このコードを使用して、次のすべての手順を実行できます。

  1. SSMS に移動し、サーバーに接続し、左側のウィンドウで [ セキュリティ ] を選択します。

  2. [ ログイン] を選択して長押し (または右クリック) し、[ 新しいログイン] を選択します。 Windows 認証が適用されている場合は、[Windows 認証] を選択します。 SQL Server認証が適用されている場合は、[SQL Server認証] を選択します。

    新しいログインとユーザーを作成するための選択を示すスクリーンショット。

  3. 左側のウィンドウで [ サーバー ロール ] を選択し、パブリック ロールが割り当てられていることを確認します。

  4. 左側のウィンドウで [ ユーザー マッピング ] を選択し、マップ内のすべてのデータベースを選択し、 db_datareader データベース ロールを選択します。

    ユーザー マッピングを示すスクリーンショット。

  5. [ OK] を選択 して保存します。

  6. 認証SQL Server適用される場合は、新しいログインを作成したらすぐにパスワードを変更する必要があります。

    1. 作成したユーザーを長押し (または右クリック) し、[ プロパティ] を選択します。
    2. 新しいパスワードを入力して確認します。
    3. [ 古いパスワードを指定 する] チェック ボックスをオンにし、古いパスワードを入力します。
    4. [OK] を選択します。

    パスワードを変更するための選択を示すスクリーンショット。

SQL Server ログイン パスワードをキー コンテナーに格納し、Microsoft Purview で資格情報を作成する

  1. Azure portalでキー コンテナーに移動します。 [設定>Secrets] を選択します

  2. [ + 生成/インポート] を選択します。 [名前][値] に、SQL Server ログインのパスワードを入力します。

  3. [作成] を選択します。

  4. キー コンテナーがまだ Microsoft Purview に接続されていない場合は、 新しいキー コンテナー接続を作成します

  5. ユーザー名とパスワードを使用してスキャンを設定して、新しい資格情報を作成します。

    新しい資格情報を作成するときは、必ず適切な認証方法を選択してください。 Windows 認証が適用されている場合は、[Windows 認証] を選択します。 SQL Server認証が適用されている場合は、[SQL Server認証] を選択します。

登録手順

  1. Microsoft Purview アカウントに移動します。

  2. 左側のウィンドウの [ ソースとスキャン ] で、[ 統合ランタイム] を選択します。 セルフホステッド統合ランタイムが設定されていることを確認します。 設定されていない場合は、手順に従って、オンプレミスネットワークにアクセスできるオンプレミスまたは Azure 仮想マシンでスキャンするための セルフホステッド統合ランタイムを作成 します。

  3. 左側のウィンドウで [ データ マップ ] を選択します。

  4. [登録] を選択します。

  5. [Azure Arc 対応SQL Server] を選択し、[続行] を選択します

    SQL データ ソースの選択を示すスクリーンショット。

  6. フレンドリ名を指定します。これは、サーバーを識別するために使用できる短い名前です。 サーバー エンドポイントも指定します。

  7. [ 完了] を選択 してデータ ソースを登録します。

スキャン

Azure Arc 対応のSQL Server インスタンスをスキャンして、資産を自動的に識別し、データを分類するには、次の手順に従います。 一般的なスキャンの詳細については、「 Microsoft Purview でのスキャンとインジェスト」を参照してください。

新しいスキャンを作成して実行するには:

  1. Microsoft Purview ガバナンス ポータルで、左側のウィンドウの [データ マップ] タブを選択します。

  2. 登録した Azure Arc 対応SQL Server ソースを選択します。

  3. [ 新しいスキャン] を選択します。

  4. 資格情報を選択してデータ ソースに接続します。 資格情報はグループ化され、認証方法の下に一覧表示されます。

    スキャンの資格情報の選択を示すスクリーンショット。

  5. スキャンの範囲を特定のテーブルに設定するには、一覧で適切な項目を選択します。

    スキャンをスコープするための選択された資産を示すスクリーンショット。

  6. スキャン ルール セットを選択します。 システムの既定値、既存のカスタム ルール セット、または新しいルール セットのインライン作成のいずれかを選択できます。

    スキャン ルール セットの選択を示すスクリーンショット。

  7. スキャン トリガーを選択します。 スケジュールを設定することも、スキャンを 1 回実行することもできます。

    定期的なスキャン トリガーの設定を示すスクリーンショット。

  8. スキャンを確認し、[保存して 実行] を選択します。

スキャンとスキャンの実行を表示する

既存のスキャンを表示するには:

  1. Microsoft Purview ポータルに移動します。 左側のウィンドウで、[ データ マップ] を選択します。
  2. データ ソースを選択します。 [最近のスキャン] で、そのデータ ソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。
  3. 表示する結果を含むスキャンを選択します。 このウィンドウには、以前のすべてのスキャン実行と、各スキャン実行の状態とメトリックが表示されます。
  4. 実行 ID を選択して、スキャン実行の詳細をチェックします

スキャンを管理する

スキャンを編集、取り消し、または削除するには:

  1. Microsoft Purview ポータルに移動します。 左側のウィンドウで、[ データ マップ] を選択します。

  2. データ ソースを選択します。 [最近のスキャン] で、そのデータ ソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。

  3. 管理するスキャンを選択します。 次のことを実行できます。

    • [スキャンの編集] を選択して スキャンを編集します
    • [スキャンの実行の取り消し] を選択して、進行中 のスキャンを取り消します
    • [スキャンの削除] を選択して スキャンを削除します

注:

  • スキャンを削除しても、以前のスキャンから作成されたカタログ資産は削除されません。

アクセス ポリシー

サポートされているポリシー

Microsoft Purview のこのデータ リソースでは、次の種類のポリシーがサポートされています。

Azure Arc 対応SQL Serverでのアクセス ポリシーの前提条件

リージョンのサポート

データ ポリシーの適用は、次を除くすべての Microsoft Purview リージョンで使用できます。

  • 米国西部 2
  • 東アジア
  • US Gov バージニア
  • 中国北部 3

Azure Arc 対応SQL Serverのセキュリティに関する考慮事項

  • サーバー管理者は、Microsoft Purview ポリシーの適用をオフにすることができます。
  • Azure Arc 管理者とサーバー管理者のアクセス許可を使用すると、サーバーの Azure Resource Manager パスを変更できます。 Microsoft Purview のマッピングではResource Managerパスが使用されるため、間違ったポリシーの適用につながる可能性があります。
  • SQL Server管理者 (データベース管理者) は、サーバー管理者の権限を得ることができ、Microsoft Purview からキャッシュされたポリシーを改ざんする可能性があります。
  • 推奨される構成は、SQL サーバー インスタンスごとに個別のアプリ登録を作成することです。 この構成により、2 つ目のSQL Server インスタンスで 2 SQL Server 番目のSQL Server インスタンスの不正な管理者がResource Manager パスを改ざんした場合に備えたポリシーを読み取らないようにします。

前提条件を確認する

  1. このリンクを使用してAzure portalにサインインします

  2. 左側のウィンドウで [SQL サーバー ] に移動します。 Azure Arc 上のSQL Server インスタンスの一覧が表示されます。

  3. 構成するSQL Server インスタンスを選択します。

  4. 左側のウィンドウの [Microsoft Entra ID] に移動します。

  5. Microsoft Entra認証が管理者ログインで構成されていることを確認します。 そうでない場合は、このガイドの「アクセス ポリシーの前提条件」セクションを参照してください。

  6. SQL Serverが Azure に対して認証するために 証明書が に指定されていることを確認します。 そうでない場合は、このガイドの「アクセス ポリシーの前提条件」セクションを参照してください。

  7. アプリの登録が入力されていることを確認して、SQL ServerとMicrosoft Entra IDの間に信頼関係を作成します。 そうでない場合は、このガイドの「アクセス ポリシーの前提条件」セクションを参照してください。

  8. 変更を加えた場合は、[ 保存 ] ボタンを選択して構成を保存し、操作が正常に完了するまで待ちます。 これには数分かかる場合があります。 "正常に保存されました" というメッセージが、ページの上部に緑色の背景で表示されます。 表示するには、上にスクロールする必要がある場合があります。

ポリシーの Microsoft Purview アカウントを構成する

Microsoft Purview でデータ ソースを登録する

データ リソースのポリシーを Microsoft Purview で作成するには、そのデータ リソースを Microsoft Purview Studio に登録する必要があります。 データ リソースの登録に関連する手順については、このガイドの後半で説明します。

注:

Microsoft Purview ポリシーは、データ リソース ARM パスに依存します。 データ リソースを新しいリソース グループまたはサブスクリプションに移動する場合は、登録を解除してから、Microsoft Purview に再登録する必要があります。

データ ソースに対してデータ ポリシーの適用を有効にするアクセス許可を構成する

リソースが登録されたら、そのリソースのポリシーを Microsoft Purview で作成する前に、アクセス許可を構成する必要があります。 データ ポリシーの適用を有効にするには、一連のアクセス許可が必要です。 これは、データ ソース、リソース グループ、またはサブスクリプションに適用されます。 データ ポリシーの適用を有効にするには、リソースに対する特定の ID とアクセス管理 (IAM) 特権と、特定の Microsoft Purview 権限の両方が必要です。

  • リソースの Azure Resource Manager パスまたはその親 (つまり、IAM アクセス許可の継承を使用) には、次のいずれかの IAM ロールの組み合わせが必要です。

    • IAM 所有者
    • IAM 共同作成者と IAM ユーザー アクセス管理者の両方

    Azure ロールベースのアクセス制御 (RBAC) アクセス許可を構成するには、 このガイドに従います。 次のスクリーンショットは、データ リソースのAzure portalの [Access Control] セクションにアクセスしてロールの割り当てを追加する方法を示しています。

    ロールの割り当てを追加するためのAzure portalのセクションを示すスクリーンショット。

    注:

    データ リソースの IAM 所有者 ロールは、親リソース グループ、サブスクリプション、またはサブスクリプション管理グループから継承できます。 ユーザー、グループ、およびサービス プリンシパルがリソースの IAM 所有者ロールを保持しているか、継承しているMicrosoft Entraを確認します。

  • また、コレクションまたは親コレクションの Microsoft Purview データ ソース管理者 ロールも必要です (継承が有効な場合)。 詳細については、 Microsoft Purview ロールの割り当ての管理に関するガイドを参照してください。

    次のスクリーンショットは、ルート コレクション レベルで データ ソース管理者 ロールを割り当てる方法を示しています。

    ルート コレクション レベルでデータ ソース管理者ロールを割り当てるための選択を示すスクリーンショット。

アクセス ポリシーを作成、更新、または削除するように Microsoft Purview アクセス許可を構成する

ポリシーを作成、更新、または削除するには、ルート コレクション レベルで Microsoft Purview でポリシー作成者ロールを取得する必要があります。

  • ポリシー作成者ロールは、DevOps ポリシーとデータ所有者ポリシーを作成、更新、削除できます。
  • ポリシー作成者ロールは、セルフサービス アクセス ポリシーを削除できます。

Microsoft Purview ロールの割り当ての管理の詳細については、Microsoft Purview データ マップでのコレクションの作成と管理に関するページを参照してください。

注:

ポリシー作成者ロールは、ルート コレクション レベルで構成する必要があります。

さらに、ポリシーの件名を作成または更新するときに、Microsoft Entraユーザーまたはグループを簡単に検索するには、Microsoft Entra IDで [ディレクトリ閲覧者] アクセス許可を取得することで大きなメリットを得ることができます。 これは、Azure テナント内のユーザーに共通のアクセス許可です。 ディレクトリ閲覧者のアクセス許可がない場合、ポリシー作成者は、データ ポリシーの件名に含まれるすべてのプリンシパルの完全なユーザー名または電子メールを入力する必要があります。

データ所有者ポリシーを発行するための Microsoft Purview アクセス許可を構成する

データ所有者ポリシーを使用すると、Microsoft Purview ポリシーの作成者データ ソース管理者ロールをorganization内の別のユーザーに割り当てる場合、チェックと残高が許可されます。 データ所有者ポリシーが有効になる前に、2 人目のユーザー (データ ソース管理者) がそれを確認し、公開して明示的に承認する必要があります。 これは、DevOps またはセルフサービス アクセス ポリシーには適用されません。公開は、それらのポリシーが作成または更新されるときに自動的に行われます。

データ所有者ポリシーを発行するには、ルート コレクション レベルで Microsoft Purview でデータ ソース管理者ロールを取得する必要があります。

Microsoft Purview ロールの割り当ての管理の詳細については、Microsoft Purview データ マップでのコレクションの作成と管理に関するページを参照してください。

注:

データ所有者ポリシーを発行するには、ルート コレクション レベルでデータ ソース管理者ロールを構成する必要があります。

Microsoft Purview のロールにアクセス プロビジョニングの責任を委任する

データ ポリシーの適用に対してリソースが有効になった後、ルート コレクション レベルでポリシー作成者ロールを持つ Microsoft Purview ユーザーは、Microsoft Purview からそのデータ ソースへのアクセスをプロビジョニングできます。

注:

Microsoft Purview ルート コレクション管理者 は、ルート ポリシー作成者 ロールに新しいユーザーを割り当てることができます。 コレクション管理者は、コレクションの下のデータ ソース管理者ロールに新しいユーザーを割り当てることができます。 Microsoft Purview コレクション管理者データ ソース管理者、または ポリシー作成者 ロールを保持するユーザーを最小限に抑え、慎重に確認します。

発行されたポリシーを持つ Microsoft Purview アカウントが削除されると、特定のデータ ソースに依存する時間内にそのようなポリシーが適用されなくなります。 この変更は、セキュリティとデータ アクセスの可用性の両方に影響を与える可能性があります。 IAM の共同作成者ロールと所有者ロールは、Microsoft Purview アカウントを削除できます。 これらのアクセス許可をチェックするには、Microsoft Purview アカウントの [アクセス制御 (IAM)] セクションに移動し、[ロールの割り当て] を選択します。 ロックを使用して、Resource Manager ロックによって Microsoft Purview アカウントが削除されないようにすることもできます。

データ ソースを登録し、データ ポリシーの適用を有効にする

ポリシーを作成する前に、Azure Arc 対応SQL Server データ ソースを Microsoft Purview に登録する必要があります。

  1. Microsoft Purview Studio にサインインします。

  2. 左側のウィンドウで [データ マップ ] に移動し、[ ソース] を選択し、[ 登録] を選択します。 検索ボックスに「Azure Arc」と入力し、[Azure Arc でSQL Server] を選択します。次に、[続行] を選択します

    登録するソースの選択を示すスクリーンショット。

  3. [ 名前] に、この登録の名前を入力します。 登録の名前を次の手順でサーバー名と同じにすることをお勧めします。

  4. Azure サブスクリプションサーバー名、およびサーバー エンドポイントの値を選択します

  5. [ コレクションの選択] で、この登録を入れるコレクションを選択します。

  6. [データ ポリシーの適用] を有効にします。 データ ポリシーの適用 には特定のアクセス許可が必要であり、データ ソースへのアクセスを管理するために特定の Microsoft Purview ロールに委任されるため、データのセキュリティに影響する可能性があります。 このガイドの 「MicrosoftPurview ソースでデータ ポリシーの適用を有効にする」で、データ ポリシーの適用に関連するセキュリティで保護されたプラクティスに関するページを参照してください。

  7. データ ポリシーの適用を有効にすると、Microsoft Purview は、構成されている場合、この Azure Arc 対応のSQL Serverに関連するアプリ登録のアプリケーション ID を自動的にキャプチャします。 この画面に戻り、Azure Arc 対応のSQL Serverとアプリ登録の関連付けが今後変更された場合に備えて、その画面の横にある [更新] ボタンを押して更新します。

  8. [ 登録] または [ 適用] を選択します

ポリシーのデータ ソースを登録するための選択を示すスクリーンショット。

Azure Arc 対応SQL Serverでポリシーを有効にする

このセクションでは、Microsoft Purview を使用するように Azure Arc でSQL Serverを構成する手順について説明します。 Microsoft Purview アカウントでこのデータ ソースの [データ ポリシーの適用 ] オプションを有効にした後、次の手順を実行します。

  1. このリンクを使用してAzure portalにサインインします

  2. 左側のウィンドウで [SQL サーバー ] に移動します。 Azure Arc 上のSQL Server インスタンスの一覧が表示されます。

  3. 構成するSQL Server インスタンスを選択します。

  4. 左側のウィンドウの [Microsoft Entra ID] に移動します。

  5. [Microsoft Purview アクセス ポリシー] まで下にスクロールします。

  6. [ Microsoft Purview ガバナンスの確認] ボタンを選択します。 要求が処理されるまで待ちます。 その場合、このメッセージはページの上部に表示されます。 表示するには、上にスクロールする必要がある場合があります。

    Arc-SQL エージェントが要求を処理していることを示すスクリーンショット

  7. ページの下部で、Microsoft Purview ガバナンスの状態に Governedが表示されていることを確認します。 正しい状態が反映されるまで に最大 30 分かかる場合があることに 注意してください。 その場合は、ブラウザーの更新を続行します。

  8. Microsoft Purview エンドポイントが、このデータ ソースを登録し、データ ポリシーの適用を有効にした Microsoft Purview アカウントを指していることを確認します

ポリシーを作成する

Azure Arc 対応SQL Serverのアクセス ポリシーを作成するには、次のガイドに従います。

リソース グループまたは Azure サブスクリプション内のすべてのデータ ソースに対応するポリシーを作成するには、「 Microsoft Purview で複数の Azure ソースを検出して管理する」を参照してください。

次の手順

ソースを登録したので、次のガイドを使用して、Microsoft Purview とデータの詳細を確認します。