Tutorial: Resolver problemas de políticas do Microsoft Purview para origens de dados SQL

Neste tutorial, vai aprender como emitir comandos SQL para inspecionar as políticas do Microsoft Purview que foram comunicadas à instância do SQL, onde serão impostas. Também irá aprender a forçar a transferência das políticas para a instância do SQL. Estes comandos são utilizados apenas para resolução de problemas e não são necessários durante o funcionamento normal das políticas do Microsoft Purview. Estes comandos requerem um nível mais elevado de privilégios na instância do SQL.

Para obter mais informações sobre as políticas do Microsoft Purview, consulte os guias de conceito listados na secção Passos seguintes.

Pré-requisitos

• Uma assinatura do Azure. Se ainda não tiver uma, crie uma subscrição gratuita.
• Uma conta do Microsoft Purview. Se não tiver uma, consulte o início rápido para criar uma conta do Microsoft Purview.
• Registe uma origem de dados, ative a imposição da política de dados e crie uma política. Para tal, utilize um dos guias de política do Microsoft Purview. Para acompanhar os exemplos neste tutorial, pode criar uma política de DevOps para SQL do Azure Base de Dados.

Testar a política

Depois de criar uma política, os Microsoft Entra principais referenciados no Assunto da política devem conseguir ligar-se a qualquer base de dados no servidor ao qual as políticas são publicadas.

Forçar transferência de política

É possível forçar uma transferência imediata das políticas publicadas mais recentes para a base de dados SQL atual ao executar o seguinte comando. A permissão mínima necessária para executar a associação à função ##MS_ServerStateManager##-server.

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

Analisar o estado da política transferida do SQL

As DMVs seguintes podem ser utilizadas para analisar que políticas foram transferidas e estão atualmente atribuídas a Microsoft Entra principais. A permissão mínima necessária para executá-las é VER ESTADO DE SEGURANÇA DA BASE DE DADOS ou Auditor de Segurança do SQL do Grupo de Ações atribuído.

-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

Próximas etapas

Guias de conceito para políticas de acesso do Microsoft Purview:

• Políticas de DevOps
• Políticas de acesso por autoatendimento
• Políticas do proprietário de dados