教學課程：針對 SQL 數據源Microsoft Purview 原則進行疑難解答

在本教學課程中，您將瞭解如何發出 SQL 命令，以檢查已與 SQL 實例通訊的Microsoft Purview 原則，這些原則會在其中強制執行。 您也將瞭解如何強制將原則下載到 SQL 實例。 這些命令僅用於疑難解答，而且在 Microsoft Purview 原則的正常運作期間不需要。 這些命令需要更高層級的 SQL 實例許可權。

如需 Microsoft Purview 原則的詳細資訊，請參閱 後續步驟 一節中所列的概念指南。

必要條件

• Azure 訂用帳戶。 如果您還沒有訂用帳戶，請 建立免費訂用帳戶。
• Microsoft Purview 帳戶。 如果您沒有帳戶，請參閱 建立 Microsoft Purview 帳戶的快速入門。
• 註冊數據源、啟用 數據原則強制執行，以及建立原則。 若要這樣做，請使用其中一個 Microsoft Purview 原則指南。 若要遵循本教學課程中的範例，您可以建立 Azure SQL Database 的 DevOps 原則。

測試原則

建立原則之後，原則主旨中參考的 Microsoft Entra 主體應該能夠連線到發佈原則之伺服器中的任何資料庫。

強制原則下載

您可以執行下列命令，強制立即將最新發佈的原則下載到目前的SQL資料庫。 執行它所需的最低許可權是 ##MS_ServerStateManager##-server 角色中的成員資格。

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

分析從 SQL 下載的原則狀態

下列 DMV 可用來分析哪些原則已下載，且目前已指派給 Microsoft Entra 主體。 執行它們所需的最低許可權是 VIEW DATABASE SECURITY STATE - 或指派的動作群組 SQL 安全性稽核員。

-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

後續步驟

Microsoft Purview 存取原則的概念指南：

• DevOps 原則
• 自助式存取原則
• 資料擁有者原則