教學課程：針對 SQL 數據源Microsoft Purview 原則進行疑難解答

注意事項

Microsoft Purview 資料目錄 (傳統) 和數據健康情況深入解析 (傳統) 不再採用新客戶，而這些先前為 Azure Purview 的服務現在處於客戶支援模式。

在本教學課程中，您將瞭解如何發出 SQL 命令，以檢查已與 SQL 實例通訊的Microsoft Purview 原則，這些原則會在其中強制執行。 您也將瞭解如何強制將原則下載到 SQL 實例。 這些命令僅用於疑難解答，而且在 Microsoft Purview 原則的正常運作期間不需要。 這些命令需要更高層級的 SQL 實例許可權。

如需 Microsoft Purview 原則的詳細資訊，請參閱 後續步驟 一節中所列的概念指南。

必要條件

• Azure 訂用帳戶。 如果您還沒有訂用帳戶，請 建立免費訂用帳戶。
• Microsoft Purview 帳戶。 如果您沒有帳戶，請參閱 建立 Microsoft Purview 帳戶的快速入門。
• 註冊數據源、啟用 數據原則強制執行，以及建立原則。 若要這樣做，請使用其中一個 Microsoft Purview 原則指南。 若要遵循本教學課程中的範例，您可以建立 Azure SQL Database 的 DevOps 原則。

測試原則

建立原則之後，原則主旨中參考的 Microsoft Entra 主體應該能夠連線到伺服器中發行原則的任何資料庫。

強制原則下載

您可以執行下列命令，強制立即將最新發佈的原則下載到目前的SQL資料庫。 執行它所需的最低許可權是 ##MS_ServerStateManager##-server 角色中的成員資格。

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

分析從 SQL 下載的原則狀態

下列 DMV 可用來分析哪些原則已下載，且目前已指派給 Microsoft Entra 主體。 執行它們所需的最低許可權是 VIEW DATABASE SECURITY STATE - 或指派的動作群組 SQL 安全性稽核員。

-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

後續步驟

Microsoft Purview 存取原則的概念指南：

• DevOps 原則
• 自助式存取原則
• 資料擁有者原則