共用方式為


資料探索與分類

適用於:Azure SQL 資料庫 Azure SQL 受控執行個體 Azure Synapse Analytics

資料探索與分類內建於 Azure SQL 資料庫、Azure SQL 受控執行個體和 Azure Synapse Analytics 中。 其提供在資料庫中探索、分類、標記及報告敏感性資料的基本功能。

您最具敏感性的資料可能包括商務、財務、醫療保健或個人資訊。 它可以作為以下的基礎結構:

  • 有助於符合資料隱私權標準和法規合規性需求。
  • 各種安全性案例,例如監視 (稽核) 對敏感性資料的存取。
  • 對包含高度敏感性資料的資料庫進行存取控制並強化安全性。

注意

如需 SQL Server 內部部署的相關資訊,請參閱 SQL 資料探索與分類

提示

使用 Microsoft Purview 資訊保護原則的標籤型存取保護現在處於預覽狀態。 如需詳細資訊,請參閱<使用 Microsoft Purview 資訊保護原則啟用敏感性資料的存取控制 (公開預覽)>。

什麼是資料探索與分類?

資料探索與分類目前支援下列功能:

  • 探索與建議:分類引擎會掃描您的資料庫,並識別包含潛在敏感性資料的資料行。 然後,其會提供簡單的方式,讓您透過 Azure 入口網站來檢閱和套用建議的分類。

  • 標記:您可以持續地將敏感度分類標籤套用到資料行,方法是使用已新增至 SQL Server 資料庫引擎的新中繼資料屬性。 此中繼資料接著可以用於敏感度型稽核案例。

  • 查詢結果集敏感度:基於稽核目的,系統會即時計算查詢結果集的敏感度。

  • 可見性:您可以在 Azure 入口網站的詳細儀表板中檢視資料庫分類狀態。 此外,您也可以下載 Excel 格式的報告,以用於合規性和稽核用途,以及其他需求。

針對機密資料行進行探索、分類與設定標籤

本節描述下列動作的步驟:

  • 探索、分類及標記包含資料庫中敏感性資料的資料行。
  • 檢視資料庫目前的分類狀態並匯出報告。

分類包含兩個中繼資料屬性:

  • 標籤:主分類屬性,用來定義資料行中所儲存資料的敏感度等級。
  • 資訊類型:其為屬性,可提供有關資料行中所儲存資料類型的更細微資訊。

資訊保護原則

Azure SQL 在資料分類中同時提供 SQL 資訊保護原則與 Microsoft 資訊保護原則,您可以根據您的需求選擇這兩個原則的其中一個。

資訊保護原則類型的螢幕擷取畫面。

SQL 資訊保護原則

資料探索與分類隨附一組內建的敏感度標籤與資訊類型,其探索邏輯是 SQL 邏輯伺服器的原生邏輯。 您可以繼續使用預設原則檔案中可用的保護標籤,也可以自訂此分類法。 您可以定義專門針對您環境所建構的類別排名。

定義及自訂您的類別分類法

您可以針對整個 Azure 組織,在一個中央位置定義和自訂分類法。 該位置是在 適用於雲端的 Microsoft Defender 中,作為安全性原則的一部分。 只有具備組織根管理群組系統管理權限的人可以執行此工作。

作為原則管理的一部分,您可以定義自訂標籤、對其進行排名,並將其與一組選取的資訊類型建立關聯。 您也可以新增自己的自訂資訊類型,並使用字串模式進行設定。 這些模式會新增至探索邏輯,以在您的資料庫中識別此類型的資料。

如需詳細資訊,請參閱在適用於雲端的 Microsoft Defender 中自訂 SQL 資訊保護原則 (預覽)

在定義了整個組織的原則之後,您可以使用自訂的原則繼續分類個別的資料庫。

在 SQL 資訊保護原則模式中分類資料庫

注意

下列範例使用 Azure SQL 資料庫,但您應該選取要設定資料探索與分類的適當產品。

  1. 前往 Azure 入口網站

  2. 在 Azure SQL 資料庫窗格中,移至 [安全性] 標題下的 [資料探索與分類]。 [概觀] 索引標籤包含資料庫目前分類狀態的摘要。 摘要包含所有已分類資料行的詳細清單,您也可以篩選這些資料行,只顯示特定的結構描述部分、資訊類型及標籤。 如果您尚未分類任何資料行,請跳至步驟 4

    概觀

  3. 若要下載 Excel 格式的報告,請在窗格的上方功能表中選取 [匯出]。

  4. 若要開始分類您的資料,請選取 [資料探索與分類] 頁面上的 [分類] 索引標籤。

    分類引擎會掃描您資料庫中是否有資料行包含潛在敏感度資料,並提供建議的資料行分類清單。

  5. 檢視並套用分類建議:

    • 若要檢視建議的資料行分類清單,請選取窗格底部的建議面板。

    • 若要接受特定資料行的建議,請選取相關資料列左側資料行中的核取方塊。 若要將所有建議標示為 [已接受],請選取建議表格標頭中最左邊的核取方塊。

    • 若要套用選取的建議,請選取 [接受選取的建議]。

    分類建議

注意

使用 Microsoft Purview 資訊保護原則模式時,會停用執行自動資料探索並提供敏感性資料行建議的建議引擎。

  1. 您也可以手動分類資料行,作為替代方法或新增至建議型分類:

    1. 選取窗格頂端功能表中的 [新增分類]。

    2. 在開啟的內容視窗中,選取您想要分類的結構描述、資料表和資料行,以及資訊類型和敏感度標籤。

    3. 選取內容視窗底部的 [新增分類]。

    手動新增分類

  2. 若要完成您的分類,並使用新的分類中繼資料持續標示 (標記) 資料庫資料行,請選取 [分類] 頁面中的 [儲存]。

Microsoft Purview 資訊保護原則

注意

Microsoft 資訊保護 (MIP) 已重新命名為 Microsoft Purview 資訊保護。 "MIP" 和「Microsoft Purview 資訊保護」這兩個詞彙在本文件中經常互換使用,但指的是相同的概念。

Microsoft Purview 資訊保護標籤提供簡單且統一的方式,讓使用者在不同的 Microsoft 應用程式中統一分類敏感性資料。 您可以在 Microsoft Purview 合規性入口網站建立及管理 MIP 敏感度標籤。 若要了解如何在 Microsoft Purview 合規性入口網站內建立及發佈 MIP 敏感度標籤,請參閱<建立及發佈敏感度標籤>。

切換至 Microsoft Purview 資訊保護原則的先決條件

  • 在 Azure SQL 資料庫中設定/變更資訊保護原則會為租用戶下的所有資料庫設定個別的資訊保護原則。 使用者或角色必須具有全租用戶安全性管理員權限,才能將資訊保護原則從 SQL 資訊保護原則變更為 MIP 原則,反之亦然。
  • 使用者或角色具有全租用戶的安全性管理員權限,可在租用戶根管理群組層級套用原則。 如需詳細資訊,請參閱授與全租用戶權限給自己Azure 入口網站需要租用戶層級的「安全性系統管理員」權限螢幕擷取畫面。
  • 您的租用戶具有作用中 Microsoft 365 訂閱,且您已針對目前使用者發佈標籤。 如需詳細資訊,請參閱建立及設定敏感度標籤及其原則

在 Microsoft Purview 資訊保護原則模式中分類資料庫

  1. 移至 Azure 入口網站

  2. 巡覽至 Azure SQL 資料庫中的資料庫

  3. 在資料庫窗格中,移至 [安全性] 標題下的 [資料探索與分類]。

  4. 若要選取 [Microsoft Information Protection policy] \(Microsoft 資訊保護原則\),請選取 [概觀] 索引標籤,然後選取 [設定]。

  5. 在 [資訊保護原則] 選項中選取 [Microsoft Information Protection policy] \(Microsoft 資訊保護原則\),然後選取 [儲存]。

    選取 Azure SQL Database 的 [Microsoft 資訊保護原則] 螢幕擷取畫面。

  6. 若您移至 [分類] 索引標籤,或選取 [新增分類],您現在會看到 Microsoft 365 敏感度標籤出現在 [敏感度標籤] 下拉式清單中。

    [敏感度標籤] 下拉式清單的螢幕擷取畫面。

    [分類] 索引標籤中 [敏感度標籤] 螢幕擷取畫面。

  • 在 MIP 原則模式中,資訊類型為 [n/a],且自動資料探索與建議保持停用狀態。

  • 若使用與目前作用中中原則不同的資訊保護原則來分類資料行,則已分類的資料行可能會出現警告圖示。 例如,若資料行先前使用 SQL 資訊保護原則來分類標籤,而現在您處於 Microsoft 資訊保護原則模式。 您就會看到該特定資料行的警告圖示。 此警告圖示不會指出任何問題,但僅用於資訊用途。

    分類資料行中因不同資訊保護原則而顯示的警告螢幕擷取畫面。

使用 Microsoft Purview 資訊保護原則啟用敏感性資料的存取控制 (公開預覽)

Azure SQL 資料庫支援對包含敏感性資料的資料行實施存取控制,這些敏感性資料已使用 Microsoft Purview 資訊保護存取原則使用 Microsoft Purview 資訊保護 (MIP) 敏感度標籤進行標記。

Purview 中的存取原則可讓組織保護其資料來源中的敏感性資料。 它們可讓企業安全性/合規性系統管理員等角色設定及強制執行資料庫中敏感性資料的存取控制動作,確保未經授權的使用者無法存取特定敏感度標籤的敏感性資料。 Purview 存取原則會在 Azure SQL 資料庫的資料行層級細微性強制執行,從而保護敏感性資料,而不會封鎖對資料庫資料表中非敏感性資料資料行的存取。

若要設定並強制執行 Purview 存取原則,使用者必須具備有效的 Microsoft 365 授權,而且資料庫必須在 Purview 資料對應中註冊並掃描,如此一來,Purview 就會將 MIP 敏感度指標指派給包含敏感性資料的資料庫資料行。 指派敏感度標籤之後,使用者可以設定 Purview 存取原則,對具有特定敏感度標籤的資料庫資料行強制執行拒絕動作,將這些資料行中的敏感性資料存取限制為只允許的使用者或使用者群組。

在適用於 Azure SQL 資料庫的 Purview 中設定並啟用存取原則

請遵循下列步驟清單來設定並使用適用於 Azure SQL 資料庫 的 Purview 存取原則:

  1. 請確定您有 Microsoft 365 和 Purview 的必要授權先決條件
  2. 為您的使用者設定角色和權限
  3. 在 Purview 中建立或擴充敏感度標籤至 Azure SQL 資料庫。 也請確定您將敏感度標籤發佈至組織中的必要使用者。
  4. 註冊掃描您的 Azure SQL 資料庫,以自動套用敏感度標籤。
  5. 在適用於 Azure SQL 資料庫的 Purview 中設定並啟用存取控制原則。

在 Purview 中設定並發佈存取原則之後,任何未經授權的使用者嘗試執行 T-SQL 查詢以存取該原則涵蓋範圍內的 SQL 資料庫資料行,都將無法成功。 如果相同的查詢不包含敏感性資料行,查詢會成功。

限制

建立資料庫異地複本或複製時,指派給主資料庫中資料行的敏感度標籤不會自動流向新/次要資料庫,而且 Purview 存取控制原則不會自動套用至新/次要資料庫。 若要在新/次要資料庫上啟用存取控制,請在 Purview 中個別註冊並掃描它。 然後設定各個存取原則,以同時包含新/次要資料庫。

稽核敏感性資料的存取

分類的重要層面是讓您能夠監視敏感性資料的存取。 Azure SQL 稽核已增強,可在稱為 data_sensitivity_information 的稽核記錄中包含新的欄位。 此欄位會記錄查詢所傳回資料的敏感度分類 (標籤)。 以下為範例:

稽核記錄檔

這些是實際可透過敏感度資訊進行稽核的活動:

  • ALTER TABLE ... DROP COLUMN
  • BULK INSERT
  • SELECT
  • 刪除
  • Insert
  • MERGE
  • UPDATE
  • UPDATETEXT
  • WRITETEXT
  • DROP TABLE
  • 備份
  • DBCC CloneDatabase
  • SELECT INTO
  • INSERT INTO EXEC
  • TRUNCATE TABLE
  • DBCC SHOW_STATISTICS
  • sys.dm_db_stats_histogram

使用 sys.fn_get_audit_file,從 Azure 儲存體帳戶中儲存的稽核檔案傳回資訊。

權限

這些內建角色可以讀取資料庫的資料分類:

  • 擁有者
  • 讀者
  • 參與者
  • SQL 安全性管理員
  • 使用者存取管理員

以下是讀取資料庫資料分類的必要動作:

  • Microsoft.Sql/servers/databases/currentSensitivityLabels/*
  • Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

這些內建角色可以修改資料庫的資料分類:

  • 擁有者
  • 參與者
  • SQL 安全性管理員

這是修改資料庫資料分類的必要動作:

  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

深入了解 Azure RBAC 中的角色型權限。

注意

本節中的 Azure SQL 內建角色適用於專用 SQL 集區 (先前稱為 SQL DW),但不適用於 Azure Synapse 工作區內的專用 SQL 集區和其他 SQL 資源。 針對 Azure Synapse 工作區中的 SQL 資源,請使用可用的資料分類動作,視需要建立自訂 Azure 角色以進行標示。 如需 Microsoft.Synapse/workspaces/sqlPools 提供者作業的詳細資訊,請參閱 Microsoft.Synapse

管理分類

您可以使用 T SQL、REST API 或 PowerShell 來管理分類。

使用 T-SQL

您可以使用 T-SQL 來新增或移除資料行分類,以及擷取整個資料庫的所有分類。

注意

當您使用 T-SQL 管理標籤時,系統不會驗證您新增到資料行的標籤是否存在於組織資訊保護原則 (顯示於入口網站建議中的那組標籤)。 因此,這項驗證需由您執行。

如需使用 T-SQL 進行分類的相關資訊,請參閱下列參考:

使用 PowerShell Cmdlet

使用 PowerShell 來管理 Azure SQL 資料庫和 Azure SQL 受控執行個體的分類和建議。

Azure SQL 資料庫的 PowerShell Cmdlet

Azure SQL 受控執行個體的 PowerShell Cmdlet

使用 REST API

您可以使用 REST API,以程式設計方式管理分類和建議。 已發佈的 REST API 支援下列作業:

使用 SQL 驅動程式擷取分類中繼資料

您可以使用下列 SQL 驅動程式來擷取分類中繼資料:

常見問題集 - 進階分類功能

Microsoft Purview 是否會取代 SQL 資料探索與分類,或者 SQL 資料探索與分類是否即將被淘汰? :我們會繼續支援 SQL 資料探索與分類,但也建議您採用 Microsoft Purview,因為其功能更加豐富,可讓您執行進階的分類功能和資料控管。 如果我們決定淘汰任何服務、功能、API 或 SKU,您會事先收到通知,包含移轉或轉換路徑。 請在此深入了解 Microsoft 生命週期原則。

後續步驟