在 Microsoft Purview 中連線及管理已啟用 Azure Arc 的 SQL Server

本文說明如何註冊已啟用 Azure Arc 的 SQL Server 實例。 它也會示範如何在 Microsoft Purview 中驗證已啟用 Azure Arc 的 SQL Server 並與之互動。 如需 Microsoft Purview 的詳細資訊，請閱讀 簡介文章。

支援的功能

元數據擷取	完整掃描	增量掃描	限域掃描	分類	加標籤	存取原則	譜系	資料共用	即時檢視
是	是 (預覽)	是 (預覽)	是 (預覽)	是 (預覽)	否	是	有限**	否	否

** 如果資料集做為 Azure Data Factory 複製活動中的來源/接收器，則支援譜系。

支援的 SQL Server 版本為 2012 和更新版本。 SQL Server Express 不支援LocalDB。

當您掃描已啟用 Azure Arc 的 SQL Server 時，Microsoft Purview 支援擷取下列技術元數據：

• 執行個體
• 資料庫
• Schemas
• 數據表，包括數據行
• 檢視，包括數據行

當您設定掃描時，可以選擇指定要掃描一個資料庫的資料庫名稱。 您可以視需要選取數據表和檢視，進一步界定掃描的範圍。 如果您未提供資料庫名稱，則會掃描整個已啟用 Azure Arc 的 SQL Server 實例。

必要條件

• 具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• 作用 中Microsoft Purview 帳戶。

• 數據源系統管理員和數據讀取者許可權，可在 Microsoft Purview 治理入口網站中註冊來源及進行管理。 如需詳細資訊，請參閱 Microsoft Purview 治理入口網站中的訪問控制 。

• 為您的案例設定正確的整合運行時間：

  • 若要使用自我裝載整合運行時間：請遵循文章來建立和設定自我裝載整合運行時間。
  • 若要使用 kubernetes 支援的自我裝載整合運行時間：請遵循文章來建立和設定 kubernetes 支援的整合運行時間。 僅 (SQL 驗證。)

網路功能

如果您Microsoft Purview 實例已停用所有公用網路存取，若要存取您的 Arc-Enabled SQL Server，則必須將虛擬機新增至連線到您Microsoft Purview 實例的虛擬網路。

登錄

本節說明如何使用 Microsoft Purview 治理入口網站，在 Microsoft Purview 中註冊已啟用 Azure Arc 的 SQL Server 實例。

註冊的驗證

有兩種方式可以設定驗證，以使用自我裝載整合運行時間掃描已啟用 Azure Arc 的 SQL Server：

• SQL Server 驗證
• Windows 驗證 - Kubernetes SHIR 不支援。

若要設定 SQL Server 部署的驗證：

1. 在 [SQL Server Management Studio (SSMS) 中，移至 [伺服器屬性]，然後選取左窗格上的 [安全性]。

2. 在 [伺服器驗證] 下：

   • 針對 [Windows 驗證]，請選取 [Windows 驗證模式] 或 [SQL Server] 和 [Windows 驗證模式]。
   • 如需 SQL Server 驗證，請選取 [SQL Server] 和 [Windows 驗證模式]。

   

變更伺服器驗證時，您必須重新啟動 SQL Server 實例並 SQL Server Agent。 在 SSMS 中，移至 SQL Server 實例，然後在右鍵按單擊選項窗格上選取 [重新啟動]。

建立新的登入和使用者

如果您想要建立新的登入，並讓用戶掃描 SQL Server 實例，請使用下列步驟。

帳戶必須具有 master 資料庫的存取權，因為 sys.databases 位於 master 資料庫中。 Microsoft Purview 掃描器必須列 sys.databases 舉才能尋找伺服器上的所有 SQL 資料庫。

注意事項

您可以使用 此程式碼來執行下列所有步驟。

1. 移至 [SSMS]，連線到伺服器，然後選取左窗格上的 [ 安全 性]。

2. 選取並按住 (，或以滑鼠右鍵按兩下 [) 登入]，然後選取 [ 新增登入]。 如果套用 Windows 驗證，請選取 [Windows 驗證]。 如果套用 SQL Server 驗證，請選取 [SQL Server 驗證]。

   

3. 選取左窗格中的 [ 伺服器角色 ]，並確定已指派公用角色。

4. 選取左窗格上的 [ 用戶 對應]，選取對應中的所有資料庫，然後選 取db_datareader 資料庫角色。

   

5. 選取 [確定 ] 以儲存。

6. 如果套用 SQL Server 驗證，您必須在建立新的登入時立即變更密碼：

   1. 選取並按住 (，或以滑鼠右鍵按兩下) 您建立的使用者，然後選取 [ 屬性]。
   2. 輸入新的密碼並加以確認。
   3. 選取 [ 指定舊密碼] 複選框，然後輸入舊密碼。
   4. 選取 [確定]。

   

將您的 SQL Server 登入密碼儲存在密鑰保存庫中，並在 Microsoft Purview 中建立認證

1. 移至 Azure 入口網站 中的金鑰保存庫。 選取> [設定秘密]。

2. 選 取 [+ 產生/匯入]。 針對 [名稱] 和 [值]，輸入您 SQL Server 登入的密碼。

3. 選取 [建立]。

4. 如果您的金鑰保存庫尚未連線到 Microsoft Purview，請 建立新的金鑰保存庫連線。

5. 使用使用者名稱和密碼來設定掃描，以建立新的認證。

   當您建立新的認證時，請務必選取正確的驗證方法。 如果套用 Windows 驗證，請選取 [Windows 驗證]。 如果套用 SQL Server 驗證，請選取 [SQL Server 驗證]。

註冊步驟

1. 移至您的 Microsoft Purview 帳戶。

2. 在左窗格的 [來源和掃描 ] 底下，選取 [ 整合運行時間]。 請確定已設定自我裝載整合運行時間。 如果未設定， 請遵循步驟來建立自我裝載整合運行時間 ，以便在可存取內部部署網路的內部部署或 Azure 虛擬機上進行掃描。

3. 選取左窗格上的 [數據對應 ]。

4. 選取 [登錄]。

5. 選取 [已啟用 Azure Arc 的 SQL Server]，然後選取 [繼續]。

   

6. 提供易記名稱，這是可用來識別伺服器的簡短名稱。 同時提供伺服器端點。

7. 選 取 [完成 ] 以註冊數據源。

掃描

使用下列步驟掃描已啟用 Azure Arc 的 SQL Server 實例，以自動識別資產並分類您的數據。 如需一般掃描的詳細資訊，請參閱 Microsoft Purview 中的掃描和擷取。

若要建立並執行新的掃描：

1. 在 Microsoft Purview 治理入口網站中，選取左窗格上的 [ 數據對應 ] 索引標籤。

2. 選取您註冊的已啟用 Azure Arc SQL Server 來源。

3. 選取 [新增掃描]。

4. 選取要連線到數據源的認證。 認證會分組，並列在驗證方法之下。

   

5. 您可以選擇清單中的適當專案，將掃描範圍設定為特定資料表。

   

6. 選取掃描規則集。 您可以選擇系統預設值、現有的自訂規則集，或建立內嵌的新規則集。

   

7. 選擇掃描觸發程式。 您可以設定排程或執行掃描一次。

   

8. 檢閱您的掃描，然後選取 [ 儲存並執行]。

檢視掃描和掃描執行

若要檢視現有的掃描：

1. 移至 Microsoft Purview 入口網站。 在左窗格中，選取 [ 數據對應]。
2. 選取數據源。 您可以在 [最近掃描] 底下檢視該數據源上現有 掃描的清單，也可以在 [掃描] 索引 卷標上 檢視所有掃描。
3. 選取具有您想要檢視結果的掃描。 此窗格會顯示所有先前的掃描執行，以及每個掃描執行的狀態和計量。
4. 選取執行標識碼以檢查 掃描執行詳細數據。

管理您的掃描

若要編輯、取消或刪除掃描：

1. 移至 Microsoft Purview 入口網站。 在左窗格中，選取 [ 數據對應]。

2. 選取數據源。 您可以在 [最近掃描] 底下檢視該數據源上現有 掃描的清單，也可以在 [掃描] 索引 卷標上 檢視所有掃描。

3. 選取您要管理的掃描。 然後您可以：

   • 選取 [編輯掃描 ]，以編輯掃描。
   • 選取 [ 取消掃描執行]，以取消進行中的掃描。
   • 選取 [ 刪除掃描]，以刪除掃描。

注意事項

• 刪除掃描並不會刪除從先前掃描建立的類別目錄資產。

存取原則

支持的原則

此資料資源支援下列類型的原則，Microsoft Purview：

• DevOps 原則
• 數據擁有者原則 (預覽)

啟用 Azure Arc 的存取原則必要條件 SQL Server

• 取得 SQL Server 內部部署版本 2022 並加以安裝。 Windows 和 Linux 都支援 2022 版或更新版本。 您可以試用免費的 Developer Edition。
• 設定您的許可權，然後在您將用來將 SQL Server 實例上線至 Azure Arc 的訂用帳戶中註冊資源提供者清單。
• 完成必要條件，並使用 Azure Arc 將 SQL Server 實例上線。Windows SQL Server 的簡單設定在這裡。 以下是Linux SQL Server的替代組態。
• 在 SQL Server 中啟用 Microsoft Entra 驗證。 如需更簡單的設定，請完成本文所述的必要條件和程式。
• 請記得 授與應用程式許可權並授與管理員同意
• 您需要為 SQL Server 實例設定 Microsoft Entra 系統管理員，但不需要設定其他 Microsoft Entra 登入或使用者。 您將使用 Microsoft Purview 原則來授與這些使用者的存取權。

區域支援

數據原則強制執行適用於所有Microsoft Purview 區域，但下列專案除外：

• 美國西部 2
• 東亞
• US Gov 維吉尼亞州
• 中國北部 3

已啟用 Azure Arc 的 SQL Server 的安全性考慮

• 伺服器管理員可以關閉 Microsoft Purview 原則強制執行。
• Azure Arc 系統管理員和伺服器管理員許可權可讓您變更伺服器的 Azure Resource Manager 路徑。 因為 Microsoft Purview 中的對應使用 Resource Manager 路徑，所以可能會導致錯誤的原則強制執行。
• SQL Server 系統管理員 (資料庫系統管理員) 可以取得伺服器管理員的功能，而且可以竄改來自 Microsoft Purview 的快取原則。
• 建議的設定是為每個 SQL Server 實例建立個別的應用程式註冊。 此設定可防止第二個 SQL Server 實例讀取適用於第一個 SQL Server 實例的原則，以防第二個 SQL Server 實例中的 rogue 系統管理員竄改 Resource Manager 路徑。

確認必要條件

1. 透過此連結登入 Azure 入口網站

2. 流覽至左窗格上的 SQL Server 。 您會在 Azure Arc 上看到 SQL Server 實體的清單。

3. 選取您要設定的 SQL Server 實例。

4. 移至左窗格上的 [Microsoft Entra ID]。

5. 確定已使用系統管理員登入設定 Microsoft Entra 驗證。 如果沒有，請參閱本指南中的存取原則必要條件一節。

6. 請確定已提供憑證給 ，以便 SQL Server 向 Azure 進行驗證。 如果沒有，請參閱本指南中的存取原則必要條件一節。

7. 請確定已輸入應用程式註冊，以建立 SQL Server 與 Microsoft Entra ID 之間的信任關係。 如果沒有，請參閱本指南中的存取原則必要條件一節。

8. 如果您進行任何變更，請選取 [ 儲存 ] 按鈕以儲存組態，並等候作業順利完成。 這可能需要幾分鐘的時間。 「已 成功儲存」 訊息會以綠色背景顯示在頁面頂端。 您可能需要向上捲動才能看到它。

設定原則的 Microsoft Purview 帳戶

在 Purview Microsoft註冊數據源

您必須先在 Purview Studio 中註冊該數據 Microsoft資源，才能在 Microsoft Purview 中為數據資源建立原則。 您稍後會在本指南中找到與註冊數據資源相關的指示。

注意事項

Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果數據資源移至新的資源群組或訂用帳戶，則必須取消註冊，然後在 Microsoft Purview 中重新註冊。

設定許可權以在數據源上啟用數據原則強制執行

註冊資源之後，但在該資源的 Purview Microsoft 建立原則之前，您必須設定許可權。 需要一組許可權，才能強制 執行數據原則。 這適用於數據源、資源群組或訂用帳戶。 若要啟用 數據原則強制執行，您必須 具有 資源的特定身分識別和存取管理 (IAM) 許可權，以及特定Microsoft許可權：

• 您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合，或 (任何父系，也就是使用 IAM 許可權繼承) ：

  • IAM 擁有者
  • IAM 參與者和 IAM 使用者存取系統管理員

  若要 (RBAC) 許可權設定 Azure 角色型訪問控制，請遵循 本指南。 下列螢幕快照顯示如何存取數據資源 Azure 入口網站 中的 [存取控制] 區段，以新增角色指派。

  

  注意事項

  數據資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者角色。

• 如果已啟用繼承) ，您也必須擁有集合的 Microsoft Purview 數據源 管理員角色或父集合 (。 如需詳細資訊，請參閱 管理 purview 角色指派Microsoft指南。

  下列螢幕快照顯示如何在根集合層級指派 數據源系統管理員 角色。

  

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則，您必須在根集合層級的 Microsoft Purview 中取得原則作者角色：

• 原則 作者 角色可以建立、更新和刪除DevOps和數據擁有者原則。
• 原則 作者 角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱在 Microsoft Purview 資料對應 中建立和管理集合。

注意事項

原則作者角色必須在根集合層級設定。

此外，若要在建立或更新原則主體時輕鬆地搜尋 Microsoft Entra 使用者或群組，您可以從取得 Microsoft Entra ID 中的目錄讀取者許可權獲益。 這是 Azure 租用戶中用戶的常見許可權。 如果沒有目錄讀取者許可權，原則作者就必須輸入數據原則主體中所包含之所有主體的完整用戶名稱或電子郵件。

設定 Microsoft Purview 許可權以發佈數據擁有者原則

如果您將 Microsoft Purview 原則 作者 和 數據源系統管理員 角色指派給組織中的不同人員，數據擁有者原則允許檢查和平衡。 數據擁有者原則生效之前， (數據源系統管理員) 必須檢閱該原則，並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則，因為建立或更新這些原則時，會自動發佈這些原則。

若要發佈數據擁有者原則，您必須在根集合層級取得 Microsoft Purview 中的數據源管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱在 Microsoft Purview 資料對應 中建立和管理集合。

注意事項

若要發佈數據擁有者原則，必須在根集合層級設定數據源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資源以 強制執行數據原則之後，在根集合層級具有原則 作者 角色的任何 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該數據源的存取權。

注意事項

任何Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的數據 源系統管理員 角色。 將擔任 Purview 集合系統管理員、 數據源管理員或原則 作者 角色Microsoft使用者最小化並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶，這類原則將會在相依於特定數據源的一段時間內停止強制執行。 這項變更可能會影響安全性和數據存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段，然後選取 [ 角色指派]，以檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除Microsoft Purview 帳戶。

註冊數據源並啟用數據原則強制執行

您必須先向 Purview 註冊已啟用 Azure Arc 的 SQL Server 數據源，才能建立原則Microsoft：

1. 登入 Microsoft Purview Studio。

2. 移至左窗格上的 [ 數據對應 ]，選取 [ 來源]，然後選取 [ 註冊]。 在搜尋方塊中輸入 Azure Arc，然後在 Azure Arc 上選取 [SQL Server]。然後選取 [繼續]。

   

3. 針對 [名稱]，輸入此註冊的名稱。 最佳做法是讓註冊的名稱與下一個步驟中的伺服器名稱相同。

4. 選取 [Azure 訂用帳戶]、[ 伺服器名稱] 和 [ 伺服器端點] 的值。

5. 針對 [選取集合]，選擇要放入此註冊的集合。

6. 啟用 數據原則強制執行。 數據原則強制執行 需要特定許可權，而且可能會影響數據的安全性，因為它會委派給特定Microsoft Purview 角色來管理數據源的存取權。 請流覽本指南中 與數據原則強制執行 相關的安全做法： 在您的 Microsoft Purview 來源上啟用數據原則強制執行。

7. 啟用數據原則強制執行時，如果已設定應用程式註冊，Microsoft Purview 會自動擷取與此已啟用 Azure Arc 的應用程式 SQL Server 相關的應用程式識別符。 返回此畫面，並按下其側邊的 [重新整理] 按鈕以重新整理，以防啟用 Azure Arc 的 SQL Server 與應用程式註冊之間的關聯日後變更。

8. 選 取 [註冊 ] 或 [ 套用]。

在已啟用 Azure Arc 的 SQL Server 中啟用原則

本節說明在 Azure Arc 上設定 SQL Server 以使用 Microsoft Purview 的步驟。 在您於 Microsoft Purview 帳戶中啟用此數據源的數據原則 強制 執行選項之後，請執行這些步驟。

1. 透過此連結登入 Azure 入口網站

2. 流覽至左窗格上的 SQL Server 。 您會在 Azure Arc 上看到 SQL Server 實體的清單。

3. 選取您要設定的 SQL Server 實例。

4. 移至左窗格上的 [Microsoft Entra ID]。

5. 向下捲動以 Microsoft Purview 存取原則。

6. 選取 [ 檢查 Microsoft Purview Governance] 按鈕。 處理要求時等候。 發生這種情況時，此訊息會顯示在頁面頂端。 您可能需要向上捲動才能看到它。

   

7. 在頁面底部，確認 [Microsoft Purview 治理狀態] 會顯示 Governed。 請注意， 最多可能需要 30 分鐘 的時間，才會反映正確的狀態。 繼續執行瀏覽器重新整理，直到發生這種情況為止。

8. 確認 Microsoft Purview 端點指向您註冊此數據源並啟用數據原則強制執行的 Microsoft Purview 帳戶

建立原則

若要為已啟用 Azure Arc 的 SQL Server 建立存取原則，請遵循下列指南：

• 在 2022 SQL Server 中布建系統健康情況、效能和稽核資訊的存取權
• 在單一 SQL Server 2022 上布建讀取/修改存取權

若要建立涵蓋資源群組或 Azure 訂用帳戶內所有數據源的原則，請參閱 在 Microsoft Purview 中探索及控管多個 Azure 來源。

後續步驟

現在您已註冊來源，請使用下列指南來深入瞭解 Microsoft Purview 和您的數據：

• Microsoft Purview 數據擁有者原則的概念
• Microsoft Purview DevOps 原則的概念
• Microsoft Purview 中的數據資產深入解析
• Microsoft Purview 中的譜系
• 搜尋資料目錄