使用 Microsoft Purview 保護原則來保護 SQL 資料庫中的敏感數據

✅適用於：Microsoft Fabric 中的 SQL 資料庫

Microsoft Purview 是一系列資料控管、風險和合規性解決方案，可協助貴組織控管、保護及管理整個資料資產。 除了其他優點外，Microsoft Purview 可讓您使用敏感度標籤SQL資料庫專案，並定義保護原則，以根據敏感度卷標控制存取權。

本文說明Microsoft Purview 保護原則如何與 Microsoft Fabric 中 SQL 資料庫中的 Microsoft Fabric 訪問控制 和 SQL 訪問控制 搭配運作。

如需 Microsoft Fabric Microsoft Purview 功能的一般資訊，包括 SQL Database，請參閱相關內容中所列的文章。

保護原則在 SQL 資料庫中的運作方式

Microsoft Fabric 的每個保護原則都會與敏感度標籤相關聯。 保護原則可透過兩個訪問控制控制具有相關聯標籤標的專案存取：

• 允許使用者保留讀取存取 權 - 啟用時，允許指定的使用者（或屬於指定群組的使用者）在已標記的專案上保留讀取項目許可權，如果指定的使用者已經有許可權。 已移除指定使用者對專案的任何其他許可權。 在 SQL 資料庫中，用戶必須具備讀取項目許可權，才能連線到資料庫。 因此，如果未在此訪問控制中指定使用者，使用者就無法連線到資料庫。

• 允許使用者保留完整控制 - 啟用時，允許指定的使用者（或屬於指定群組的使用者）在已標記的專案上保留完整控制，或者他們可能擁有的任何其他許可權。 對於 SQL 資料庫專案，此控制項可讓使用者保留寫入項目許可權，這表示使用者會保留資料庫內的完整系統管理存取權。 如果未在此訪問控制中指定使用者，則會從使用者有效地移除寫入項目許可權。 此控制件不會影響資料庫中使用者的 SQL 原生權限 - 如需詳細資訊，請參閱 範例 4 和 限制。

範例

本節中的範例會共用下列組態：

• 組織具有名為 Production 的 Microsoft Fabric 工作區。
• 工作區包含名為 Sales 的 SQL 資料庫專案，其具有機密敏感度標籤。
• 在 Microsoft Purview 中，有一個適用於 Microsoft Fabric 的保護原則。 原則與機密敏感度標籤相關聯。

範例 1

• 用戶是生產工作區參與者角色的成員。
• [允許使用者保留讀取存取控制] 已啟用，但不包含使用者。
• [允許使用者保留完全控制存取控制] 已停用/非使用中。

原則會移除使用者的讀取項目許可權，因此使用者無法連線到 Sales 資料庫。 因此，用戶無法讀取或存取資料庫中的任何數據。

範例 2

• 使用者具有 Sales 資料庫的讀取項目許可權。
• 用戶是資料庫中db_owner SQL 原生資料庫層級角色的成員。
• [允許使用者保留讀取存取控制] 已啟用，但不包含使用者。
• [允許使用者保留完全控制存取控制] 已停用/非使用中。

原則會移除使用者的讀取項目許可權，因此使用者無法連線到 Sales 資料庫，而不論使用者的 SQL 原生許可權（透過使用者成員資格授與資料庫db_owner角色的成員資格）。 因此，用戶無法讀取或存取資料庫中的任何數據。

範例 3

• 用戶是生產工作區參與者角色的成員。
• 用戶沒有在資料庫中授與 SQL 原生許可權。
• [允許使用者保留讀取存取控制] 已啟用，其中包含使用者。
• [允許使用者保留完全控制存取控制] 已啟用，但不包含使用者。

身為參與者角色的成員，用戶一開始擁有 Sales 資料庫的所有許可權，包括 Read、ReadData 和 Write。 允許用戶在原則中保留讀取訪問控制，可讓使用者保留讀取和 ReadData 許可權，不過允許使用者保留完全控制訪問控制會移除使用者的寫入許可權。 因此，使用者可以連線到資料庫並讀取數據，但使用者會鬆散資料庫的系統管理存取權，包括寫入/編輯數據的能力。

範例 4

• 使用者具有 Sales 資料庫的讀取項目許可權。
• 用戶是資料庫中db_owner SQL 原生資料庫層級角色的成員。
• [允許使用者保留讀取存取控制] 已啟用，其中包含使用者。
• [允許使用者保留完全控制存取控制] 已啟用，但不包含使用者。

允許用戶在原則中保留讀取訪問控制，可讓使用者保留讀取許可權。 由於使用者一開始沒有完全控制存取權（寫入項目許可權）， [允許使用者保留完全控制 訪問控制] 對在 Microsoft Fabric 中授與的使用者許可權沒有任何影響。 [允許使用者保留完全控制存取控制] 不會影響使用者在資料庫中的 SQL 原生許可權。 身為db_owner角色的成員，用戶會繼續擁有資料庫的系統管理存取權。 請參閱限制。

限制

• 允許使用者在 Microsoft Purview 保護原則中保留完全控制訪問控制，不會影響資料庫內的使用者 SQL 原生許可權。

相關內容

• 使用 Microsoft Purview 來治理 Microsoft Fabric
• Microsoft Fabric 中的資訊保護
• Microsoft Fabric 中的保護原則（預覽版）
• 建立和管理 Fabric 的保護原則 （預覽）
• Microsoft Fabric 中 SQL 資料庫中的授權