Teilen über


Ermitteln und Steuern Azure SQL Datenbank in Microsoft Purview

In diesem Artikel wird der Prozess zum Registrieren einer Azure SQL Datenbankquelle in Microsoft Purview beschrieben. Sie enthält Anweisungen zum Authentifizieren und Interagieren mit der SQL-Datenbank.

Unterstützte Funktionen

Metadatenextraktion Vollständiger Scan Inkrementelle Überprüfung Bereichsbezogene Überprüfung Klassifizierung Bezeichnen Zugriffsrichtlinie Linie Datenfreigabe Liveansicht
Ja Ja Ja Ja Ja Ja Ja Ja (Vorschau) Nein Ja

Hinweis

Die Datenherkunftsextraktion wird derzeit nur für Ausführungen gespeicherter Prozeduren unterstützt. Die Herkunft wird auch unterstützt, wenn Azure SQL Tabellen oder Sichten als Quelle/Senke in Azure Data Factory Kopier- und Datenfluss-Aktivitäten verwendet werden.

Wenn Sie Azure SQL Datenbank überprüfen, unterstützt Microsoft Purview das Extrahieren technischer Metadaten aus diesen Quellen:

  • Server
  • Datenbank
  • Schemata
  • Tabellen, einschließlich Spalten
  • Ansichten, einschließlich Spalten
  • Gespeicherte Prozeduren (mit aktivierter Herkunftsextraktion)
  • Ausführungen gespeicherter Prozeduren (mit aktivierter Herkunftsextraktion)

Wenn Sie eine Überprüfung einrichten, können Sie sie nach angabe des Datenbanknamens weiter festlegen, indem Sie nach Bedarf Tabellen und Sichten auswählen.

Bekannte Einschränkungen

  • Microsoft Purview unterstützt maximal 800 Spalten auf der Schemaregisterkarte. Wenn mehr als 800 Spalten vorhanden sind, zeigt Microsoft Purview Additional-Columns-Truncated an.
  • Für den Scan der Herkunftsextraktion:
    • Die Überprüfung der Herkunftsextraktion wird derzeit nicht unterstützt, wenn Ihr logischer Server in Azure den öffentlichen Zugriff deaktiviert oder Azure-Diensten den Zugriff nicht zulässt.
    • Die Überprüfung der Herkunftsextraktion ist standardmäßig alle sechs Stunden geplant. Die Häufigkeit kann nicht geändert werden.
    • Die Herkunft wird nur erfasst, wenn die Ausführung der gespeicherten Prozedur Daten von einer Tabelle in eine andere überträgt. Für temporäre Tabellen wird dies nicht unterstützt.
    • Die Herkunftsextraktion wird für Funktionen oder Trigger nicht unterstützt.
    • Beachten Sie, dass aufgrund der folgenden Einschränkungen derzeit möglicherweise doppelte Ressourcen im Katalog angezeigt werden, wenn Sie solche Szenarien haben.
      • Die Objektnamen in Objekten und vollqualifizierte Namen folgen dem Fall, der in Anweisungen für gespeicherte Prozeduren verwendet wird, die möglicherweise nicht mit dem Objektfall in der ursprünglichen Datenquelle übereinstimmen.
      • Wenn in gespeicherten Prozeduren auf SQL-Sichten verwiesen wird, werden sie derzeit als SQL-Tabellen erfasst.

Voraussetzungen

Registrieren der Datenquelle

Vor dem Scannen ist es wichtig, die Datenquelle in Microsoft Purview zu registrieren:

  1. Öffnen Sie das Microsoft Purview-Governanceportal wie folgt:

  2. Navigieren Sie zu Data Map.

    Screenshot: Bereich zum Öffnen eines Microsoft Purview-Governanceportals

  3. Erstellen Sie die Sammlungshierarchie , indem Sie zu Sammlungen wechseln und dann Sammlung hinzufügen auswählen. Weisen Sie den einzelnen Untersammlungen nach Bedarf Berechtigungen zu.

    Screenshot: Auswahl zum Zuweisen von Zugriffssteuerungsberechtigungen zur Sammlungshierarchie

  4. Wechseln Sie unter Quellen zur entsprechenden Sammlung, und wählen Sie dann das Symbol Registrieren aus, um eine neue SQL-Datenbank zu registrieren.

    Screenshot: Sammlung, die zum Registrieren der Datenquelle verwendet wird

  5. Wählen Sie die Azure SQL Datenbankdatenquelle und dann Weiter aus.

  6. Geben Sie für Name einen geeigneten Namen für die Datenquelle an. Wählen Sie relevante Namen für Azure-Abonnement, Servername und Sammlung auswählen aus, und wählen Sie dann Übernehmen aus.

    Screenshot: Eingegebene Details zum Registrieren einer Datenquelle

  7. Vergewissern Sie sich, dass die SQL-Datenbank unter der ausgewählten Sammlung angezeigt wird.

    Screenshot: Datenquelle, die einer Sammlung zugeordnet ist, um die Überprüfung zu initiieren

Aktualisieren der Firewalleinstellungen

Wenn auf Ihrem Datenbankserver eine Firewall aktiviert ist, müssen Sie die Firewall aktualisieren, um den Zugriff auf eine der folgenden Arten zuzulassen:

Weitere Informationen zur Firewall finden Sie in der Dokumentation zur Azure SQL-Datenbankfirewall.

Azure-Verbindungen zulassen

Wenn Sie Azure-Verbindungen aktivieren, kann Microsoft Purview eine Verbindung mit dem Server herstellen, ohne dass Sie die Firewall selbst aktualisieren müssen.

  1. Wechseln Sie zu Ihrem Datenbankkonto.
  2. Wählen Sie auf der Seite Übersicht den Servernamen aus.
  3. Wählen Sie Sicherheitsfirewalls>und virtuelle Netzwerke aus.
  4. Wählen Sie für Azure-Dienste und -Ressourcen den Zugriff auf diesen Server erlauben die Option Ja aus.

Screenshot: Auswahl im Azure-Portal zum Zulassen von Azure-Verbindungen mit einem Server

Weitere Informationen zum Zulassen von Verbindungen aus Azure finden Sie in der Anleitung.

Installieren einer selbstgehosteten Integration Runtime

Sie können eine selbstgehostete Integration Runtime auf einem Computer installieren, um eine Verbindung mit einer Ressource in einem privaten Netzwerk herzustellen:

  1. Erstellen und installieren Sie eine selbstgehostete Integration Runtime auf einem persönlichen Computer oder auf einem Computer im selben virtuellen Netzwerk wie Ihr Datenbankserver.
  2. Überprüfen Sie die Netzwerkkonfiguration Ihres Datenbankservers, um sicherzustellen, dass der Computer, der die selbstgehostete Integration Runtime enthält, auf einen privaten Endpunkt zugreifen kann. Fügen Sie die IP-Adresse des Computers hinzu, wenn er noch keinen Zugriff hat.
  3. Wenn sich Ihr logischer Server hinter einem privaten Endpunkt oder in einem virtuellen Netzwerk befindet, können Sie einen privaten Erfassungsendpunkt verwenden, um die End-to-End-Netzwerkisolation sicherzustellen.

Konfigurieren der Authentifizierung für eine Überprüfung

Um Ihre Datenquelle zu überprüfen, müssen Sie eine Authentifizierungsmethode in Azure SQL-Datenbank konfigurieren.

Wichtig

Wenn Sie eine selbstgehostete Integration Runtime verwenden, um eine Verbindung mit Ihrer Ressource herzustellen, funktionieren systemseitig und benutzerseitig zugewiesene verwaltete Identitäten nicht. Sie müssen die Dienstprinzipalauthentifizierung oder die SQL-Authentifizierung verwenden.

Microsoft Purview unterstützt die folgenden Optionen:

  • Systemseitig zugewiesene verwaltete Identität (SAMI) (empfohlen). Dies ist eine Identität, die direkt Ihrem Microsoft Purview-Konto zugeordnet ist. Es ermöglicht Ihnen, sich direkt bei anderen Azure-Ressourcen zu authentifizieren, ohne einen Benutzer oder Anmeldeinformationssatz verwalten zu müssen.

    Das SAMI wird erstellt, wenn Ihre Microsoft Purview-Ressource erstellt wird. Es wird von Azure verwaltet und verwendet den Namen Ihres Microsoft Purview-Kontos. Das SAMI kann derzeit nicht mit einer selbstgehosteten Integration Runtime für Azure SQL verwendet werden.

    Weitere Informationen finden Sie in der Übersicht über verwaltete Identitäten.

  • Benutzerseitig zugewiesene verwaltete Identität (User-Assigned Managed Identity, UAMI) (Vorschau) Ähnlich wie ein SAMI ist eine UAMI eine Anmeldeinformationsressource, die es Microsoft Purview ermöglicht, sich bei Azure Active Directory (Azure AD) zu authentifizieren.

    Die UAMI wird von Benutzern in Azure und nicht von Azure selbst verwaltet, wodurch Sie mehr Kontrolle über die Sicherheit erhalten. Das UAMI kann derzeit nicht mit einer selbstgehosteten Integration Runtime für Azure SQL verwendet werden.

    Weitere Informationen finden Sie im Leitfaden für benutzerseitig zugewiesene verwaltete Identitäten.

  • Dienstprinzipal. Ein Dienstprinzipal ist eine Anwendung, der Berechtigungen wie jeder anderen Gruppe oder jedem anderen Benutzer zugewiesen werden können, ohne einer Person direkt zugeordnet zu werden. Die Authentifizierung für Dienstprinzipale hat ein Ablaufdatum, sodass sie für temporäre Projekte nützlich sein kann.

    Weitere Informationen finden Sie in der Dokumentation zum Dienstprinzipal.

  • SQL-Authentifizierung. Stellen Sie mit einem Benutzernamen und Kennwort eine Verbindung mit der SQL-Datenbank her. Weitere Informationen finden Sie in der Dokumentation zur SQL-Authentifizierung.

    Wenn Sie eine Anmeldung erstellen müssen, befolgen Sie diese Anleitung, um eine SQL-Datenbank abzufragen. Verwenden Sie diesen Leitfaden, um eine Anmeldung mithilfe von T-SQL zu erstellen.

    Hinweis

    Stellen Sie sicher, dass Sie auf der Seite die Option Azure SQL Datenbank auswählen.

Um die Schritte zur Authentifizierung bei Ihrer SQL-Datenbank auszuführen, wählen Sie auf den folgenden Registerkarten die ausgewählte Authentifizierungsmethode aus.

Hinweis

Nur die Prinzipalanmeldung auf Serverebene (die durch den Bereitstellungsprozess erstellt wurde) oder Mitglieder der loginmanager Datenbankrolle in der master Datenbank können neue Anmeldungen erstellen. Das Microsoft Purview-Konto sollte die Ressourcen etwa 15 Minuten nach dem Abrufen von Berechtigungen überprüfen können.

  1. Sie benötigen eine SQL-Anmeldung mit mindestens db_datareader Berechtigungen, um auf die Informationen zugreifen zu können, die Microsoft Purview zum Überprüfen der Datenbank benötigt. Sie können die Anweisungen unter CREATE LOGIN befolgen, um eine Anmeldung für Azure SQL Database zu erstellen. Speichern Sie den Benutzernamen und das Kennwort für die nächsten Schritte.

  2. Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.

  3. Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.

    Screenshot: Schlüsseltresoroption zum Generieren eines Geheimnisses

  4. Verwenden Sie für Name und Wert den Benutzernamen bzw. das Kennwort aus Ihrer SQL-Datenbank.

  5. Wählen Sie Erstellen aus.

  6. Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, erstellen Sie eine neue Key Vault-Verbindung.

  7. Erstellen Sie neue Anmeldeinformationen , indem Sie den Schlüssel verwenden, um Ihre Überprüfung einzurichten.

    Screenshot: Schlüsseltresoroption zum Einrichten von Anmeldeinformationen

    Screenshot: Schlüsseltresoroption zum Erstellen eines Geheimnisses

Erstellen der Überprüfung

  1. Öffnen Sie Ihr Microsoft Purview-Konto, und wählen Sie Microsoft Purview-Governanceportal öffnen aus.

  2. Wechseln Sie zu Data map>Sources (Datenquellen), um die Sammlungshierarchie anzuzeigen.

  3. Wählen Sie das Symbol Neuer Scan unter der SQL-Datenbank aus, die Sie zuvor registriert haben.

    Screenshot: Bereich zum Erstellen einer neuen Überprüfung

Weitere Informationen zur Datenherkunft in Azure SQL-Datenbank finden Sie im Abschnitt Extrahieren der Herkunft (Vorschau) dieses Artikels.

Wählen Sie für Überprüfungsschritte ihre Authentifizierungsmethode auf den folgenden Registerkarten aus.

  1. Geben Sie unter Name einen Namen für die Überprüfung an.

  2. Wählen Sie für Datenbankauswahlmethode die Option Manuell eingeben aus.

  3. Geben Sie für Datenbankname und Anmeldeinformationen die Werte ein, die Sie zuvor erstellt haben.

    Screenshot: Datenbank- und Anmeldeinformationsinformationen für die SQL-Authentifizierungsoption zum Ausführen einer Überprüfung

  4. Wählen Sie für Verbindung auswählen die entsprechende Sammlung für die Überprüfung aus.

  5. Wählen Sie Verbindung testen aus, um die Verbindung zu überprüfen. Nachdem die Verbindung erfolgreich hergestellt wurde, wählen Sie Weiter aus.

Bereich und Ausführen der Überprüfung

  1. Sie können die Überprüfung auf bestimmte Datenbankobjekte festlegen, indem Sie die entsprechenden Elemente in der Liste auswählen.

    Screenshot: Optionen zum Eingrenzen einer Überprüfung

  2. Wählen Sie einen Überprüfungsregelsatz aus. Sie können den Systemstandard verwenden, aus vorhandenen benutzerdefinierten Regelsätzen auswählen oder einen neuen Regelsatz inline erstellen. Wählen Sie Weiter aus, wenn Sie fertig sind.

    Screenshot: Optionen zum Auswählen eines Überprüfungsregelsatzes

    Wenn Sie Neuer Überprüfungsregelsatz auswählen, wird ein Bereich geöffnet, in dem Sie den Quelltyp, den Namen des Regelsatzes und eine Beschreibung eingeben können. Wählen Sie Weiter aus, wenn Sie fertig sind.

    Screenshot: Informationen zum Erstellen eines neuen Überprüfungsregelsatzes

    Wählen Sie für Klassifizierungsregeln auswählen die Klassifizierungsregeln aus, die Sie in den Überprüfungsregelsatz einschließen möchten, und wählen Sie dann Erstellen aus.

    Screenshot: Liste der Klassifizierungsregeln für einen Überprüfungsregelsatz

    Der neue Überprüfungsregelsatz wird dann in der Liste der verfügbaren Regelsätze angezeigt.

    Screenshot: Auswahl eines neuen Überprüfungsregelsatzes

  3. Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.

  4. Überprüfen Sie Ihre Überprüfung, und wählen Sie dann Speichern und ausführen aus.

Anzeigen einer Überprüfung

Um die status einer Überprüfung zu überprüfen, wechseln Sie zur Datenquelle in der Sammlung, und wählen Sie dann Details anzeigen aus.

Screenshot: Schaltfläche zum Anzeigen von Details einer Überprüfung

Die Überprüfungsdetails geben den Fortschritt der Überprüfung in Letzte Ausführung status sowie die Anzahl der gescannten und klassifizierten Ressourcen an. Letzte Ausführung status wird in In Bearbeitung und dann auf Abgeschlossen aktualisiert, nachdem die gesamte Überprüfung erfolgreich ausgeführt wurde.

Screenshot: abgeschlossene status für die letzte Überprüfungsausführung

Verwalten einer Überprüfung

Nachdem Sie eine Überprüfung ausgeführt haben, können Sie ihn mithilfe des Ausführungsverlaufs verwalten:

  1. Wählen Sie unter Letzte Überprüfungen eine Überprüfung aus.

    Screenshot: Auswahl einer kürzlich abgeschlossenen Überprüfung

  2. Im Ausführungsverlauf haben Sie Optionen, um die Überprüfung erneut auszuführen, sie zu bearbeiten oder zu löschen.

    Screenshot: Optionen zum Ausführen, Bearbeiten und Löschen einer Überprüfung

    Wenn Sie Überprüfung jetzt ausführen auswählen, um die Überprüfung erneut auszuführen, können Sie entweder Inkrementelle Überprüfung oder Vollständige Überprüfung auswählen.

    Screenshot: Optionen für die vollständige oder inkrementelle Überprüfung

Problembehandlung bei der Überprüfung

Wenn Sie Probleme mit dem Scannen haben, probieren Sie die folgenden Tipps aus:

Weitere Informationen finden Sie unter Problembehandlung für Ihre Verbindungen in Microsoft Purview.

Einrichten von Zugriffsrichtlinien

Die folgenden Arten von Microsoft Purview-Richtlinien werden für diese Datenressource unterstützt:

Voraussetzungen für Zugriffsrichtlinien für Azure SQL-Datenbank

Regionsunterstützung

Alle Microsoft Purview-Regionen werden unterstützt.

Die Erzwingung von Microsoft Purview-Richtlinien ist nur in den folgenden Regionen für Azure SQL-Datenbank verfügbar:

Öffentliche Cloud:

  • USA (Osten)
  • USA, Osten2
  • USA (Süden, Mitte)
  • USA (Westen, Mitte)
  • USA, Westen3
  • Kanada, Mitte
  • Brasilien, Süden
  • Westeuropa
  • Nordeuropa
  • Frankreich, Mitte
  • Vereinigtes Königreich (Süden)
  • Südafrika, Norden
  • Indien, Mitte
  • Südostasien
  • Ostasien
  • Australien (Osten)

Sovereign Clouds:

  • USGov Virginia
  • China, Norden 3

Konfigurieren des Azure SQL Database instance für Richtlinien aus Microsoft Purview

Damit der mit Azure SQL Database verknüpfte logische Server Richtlinien von Microsoft Purview berücksichtigt, müssen Sie einen Azure Active Directory-Administrator konfigurieren. Navigieren Sie im Azure-Portal zum logischen Server, auf dem die Azure SQL Database instance gehostet wird. Wählen Sie im seitlichen Menü Azure Active Directory aus. Legen Sie einen Administratornamen auf einen beliebigen Azure Active Directory-Benutzer oder eine beliebige Gruppe fest, und wählen Sie dann Speichern aus.

Screenshot: Zuweisung eines Active Directory-Administrators zu einem logischen Server, der Azure SQL Datenbank zugeordnet ist

Wählen Sie dann im seitlichen Menü Identität aus. Legen Sie unter Systemseitig zugewiesene verwaltete Identität die status auf Ein fest, und wählen Sie dann Speichern aus.

Screenshot: Zuweisung einer systemseitig zugewiesenen verwalteten Identität zu einem logischen Server, der Azure SQL Datenbank zugeordnet ist

Konfigurieren des Microsoft Purview-Kontos für Richtlinien

Registrieren der Datenquelle in Microsoft Purview

Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.

Hinweis

Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.

Konfigurieren von Berechtigungen zum Aktivieren der Verwaltung der Datennutzung für die Datenquelle

Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datennutzungsverwaltung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Verwaltung der Datennutzung zu aktivieren, müssen Sie sowohl über bestimmte Berechtigungen für die Identitäts- und Zugriffsverwaltung (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:

  • Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:

    • IAM-Besitzer
    • Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator

    Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.

    Screenshot: Abschnitt im Azure-Portal zum Hinzufügen einer Rollenzuweisung

    Hinweis

    Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Azure AD-Benutzer, -Gruppen und -Dienstprinzipale die Rolle IAM-Besitzer für die Ressource besitzen oder erben.

  • Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.

    Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.

    Screenshot: Auswahl zum Zuweisen der Rolle

Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien

Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:

  • Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
  • Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.

Darüber hinaus können Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie sehr gut durch Azure AD-Benutzer oder -Gruppen suchen, indem Sie die Berechtigung Verzeichnisleseberechtigte in Azure AD erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.

Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien

Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.

Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.

Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview

Nachdem eine Ressource für die Verwaltung der Datennutzung aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.

Hinweis

Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.

Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.

Registrieren der Datenquelle und Aktivieren der Verwaltung der Datennutzung

Die Azure SQL Database-Ressource muss bei Microsoft Purview registriert werden, bevor Sie Zugriffsrichtlinien erstellen können. Um Ihre Ressourcen zu registrieren, folgen Sie den Abschnitten "Voraussetzungen" und "Datenquelle registrieren" in diesem Dokument.

Nachdem Sie die Datenquelle registriert haben, müssen Sie die Verwaltung der Datennutzung aktivieren. Dies ist eine Voraussetzung, bevor Sie Richtlinien für die Datenquelle erstellen können. Die Verwaltung der Datennutzung kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen delegiert wird, die den Zugriff auf die Datenquellen verwalten. Gehen Sie die Sicherheitsmethoden unter Aktivieren der Datennutzungsverwaltung für Ihre Microsoft Purview-Quellen durch.

Nachdem für Ihre Datenquelle die Option Datennutzungsverwaltung auf Aktiviert festgelegt ist, sieht sie wie im folgenden Screenshot aus:

Screenshot des Bereichs zum Registrieren einer Datenquelle für eine Richtlinie, einschließlich Der Bereiche für Name, Servername und Datennutzungsverwaltung.

Kehren Sie zum Azure-Portal für Azure SQL-Datenbank zurück, um zu überprüfen, ob sie jetzt von Microsoft Purview gesteuert wird:

  1. Melden Sie sich über diesen Link beim Azure-Portal an.

  2. Wählen Sie den Azure SQL Server aus, den Sie konfigurieren möchten.

  3. Wechseln Sie im linken Bereich zu Azure Active Directory .

  4. Scrollen Sie nach unten zu Microsoft Purview-Zugriffsrichtlinien.

  5. Wählen Sie die Schaltfläche "Nach Microsoft Purview-Governance suchen" aus. Warten Sie, während die Anforderung verarbeitet wird. Es kann ein paar Minuten dauern.

    Screenshot: Azure SQL von Microsoft Purview gesteuert wird.

  6. Vergewissern Sie sich, dass im Microsoft Purview-Governancestatus angezeigt wird Governed. Beachten Sie, dass es einige Minuten dauern kann, nachdem Sie die Verwaltung der Datennutzung in Microsoft Purview aktiviert haben, bis die richtige status widergespiegelt wird.

Hinweis

Wenn Sie die Verwaltung der Datennutzung für diese Azure SQL Datenbank-Datenquelle deaktivieren, kann es bis zu 24 Stunden dauern, bis der Microsoft Purview-Governancestatus automatisch auf Not Governedaktualisiert wird. Dies kann beschleunigt werden, indem Sie Auf Microsoft Purview-Governance überprüfen auswählen. Bevor Sie die Verwaltung der Datennutzung für die Datenquelle in einem anderen Microsoft Purview-Konto aktivieren, stellen Sie sicher, dass der Purview-Governancestatus als Not Governedangezeigt wird. Wiederholen Sie dann die oben genannten Schritte mit dem neuen Microsoft Purview-Konto.

Richtlinie erstellen

Befolgen Sie die folgenden Anleitungen, um eine Zugriffsrichtlinie für Azure SQL-Datenbank zu erstellen:

Informationen zum Erstellen von Richtlinien, die alle Datenquellen innerhalb einer Ressourcengruppe oder eines Azure-Abonnements abdecken, finden Sie unter Ermitteln und Steuern mehrerer Azure-Quellen in Microsoft Purview.

Extrahieren der Herkunft (Vorschau)

Hinweis

Die Herkunft wird derzeit bei Verwendung einer selbstgehosteten Integration Runtime oder einer verwalteten VNET-Runtime und eines Azure SQL privaten Endpunkts nicht unterstützt. Sie müssen Azure-Dienste aktivieren, um unter den Netzwerkeinstellungen für Ihre Azure SQL-Datenbank auf den Server zuzugreifen. Erfahren Sie mehr über die bekannten Einschränkungen bei der Überprüfung der Herkunftsextraktion.

Microsoft Purview unterstützt die Herkunft aus Azure SQL-Datenbank. Wenn Sie eine Überprüfung einrichten, aktivieren Sie die Umschaltfläche Herkunftsextraktion , um die Herkunft zu extrahieren.

Voraussetzungen für das Einrichten einer Überprüfung mit Herkunftsextraktion

  1. Führen Sie die Schritte im Abschnitt Konfigurieren der Authentifizierung für eine Überprüfung dieses Artikels aus, um Microsoft Purview zum Überprüfen Ihrer SQL-Datenbank zu autorisieren.

  2. Melden Sie sich mit Ihrem Azure AD-Konto bei Azure SQL Database an, und weisen Sie db_owner der verwalteten Microsoft Purview-Identität Berechtigungen zu.

    Hinweis

    Die Berechtigungen "db_owner" sind erforderlich, da die Herkunft auf XEvent-Sitzungen basiert. Daher benötigt Microsoft Purview die Berechtigung zum Verwalten der XEvent-Sitzungen in SQL.

    Verwenden Sie die folgende SQL-Beispielsyntax, um einen Benutzer zu erstellen und die Berechtigung zu erteilen. Ersetzen Sie durch <purview-account> Ihren Kontonamen.

    Create user <purview-account> FROM EXTERNAL PROVIDER
    GO
    EXEC sp_addrolemember 'db_owner', <purview-account> 
    GO
    
  3. Führen Sie den folgenden Befehl für Ihre SQL-Datenbank aus, um einen master Schlüssel zu erstellen:

    Create master key
    Go
    
  4. Stellen Sie sicher, dass Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben unter Netzwerk/Firewall für Ihre Azure SQL Ressource aktiviert ist.

Erstellen einer Überprüfung mit aktivierter Herkunftsextraktion

  1. Aktivieren Sie im Bereich zum Einrichten einer Überprüfung die Umschaltfläche Herkunftsextraktion aktivieren .

    Screenshot: Bereich zum Erstellen einer neuen Überprüfung mit aktivierter Herkunftsextraktion

  2. Wählen Sie Ihre Authentifizierungsmethode aus, indem Sie die Schritte im Abschnitt Erstellen der Überprüfung dieses Artikels ausführen.

  3. Nachdem Sie die Überprüfung erfolgreich eingerichtet haben, führt ein neuer Überprüfungstyp namens Herkunftsextraktionalle sechs Stunden inkrementelle Überprüfungen aus, um die Herkunft aus Azure SQL Datenbank zu extrahieren. Die Herkunft wird basierend auf den in der SQL-Datenbank ausgeführten gespeicherten Prozeduren extrahiert.

    Screenshot: Bildschirm, auf dem alle sechs Stunden die Herkunftsextraktion ausgeführt wird

Suchen Azure SQL Datenbankressourcen und Anzeigen der Laufzeitherkunft

Sie können den Datenkatalog durchsuchen oder den Datenkatalog durchsuchen, um Ressourcendetails für Azure SQL-Datenbank anzuzeigen. In den folgenden Schritten wird beschrieben, wie Details zur Laufzeitherkunft angezeigt werden:

  1. Wechseln Sie zur Registerkarte Herkunft für das Medienobjekt. Falls zutreffend, wird hier die Ressourcenherkunft angezeigt.

    Screenshot: Herkunftsdetails aus gespeicherten Prozeduren

    Falls zutreffend, können Sie weitere Drilldowns ausführen, um die Herkunft auf SQL-Anweisungsebene innerhalb einer gespeicherten Prozedur zusammen mit der Herkunft auf Spaltenebene anzuzeigen. Wenn Sie selbstgehostete Integration Runtime für die Überprüfung verwenden, wird das Abrufen der Herkunfts-Drilldowninformationen während der Überprüfung seit Version 5.25.8374.1 unterstützt.

    Screenshot: Drilldown für die Herkunft gespeicherter Prozeduren

    Informationen zu unterstützten Azure SQL Datenbankherkunftsszenarien finden Sie im Abschnitt Unterstützte Funktionen dieses Artikels. Weitere Informationen zur Herkunft im Allgemeinen finden Sie unter Datenherkunft in Microsoft Purview und Microsoft Purview Data Catalog Benutzerhandbuch.

  2. Wechseln Sie zum Asset der gespeicherten Prozedur. Wechseln Sie auf der Registerkarte Eigenschaften zu Verwandte Ressourcen , um die neuesten Ausführungsdetails der gespeicherten Prozeduren abzurufen.

    Screenshot: Ausführungsdetails für Eigenschaften der gespeicherten Prozedur

  3. Wählen Sie den Link gespeicherte Prozedur neben Ausführungen aus, um die Azure SQL Übersicht über die Ausführung der gespeicherten Prozedur anzuzeigen. Wechseln Sie zur Registerkarte Eigenschaften , um erweiterte Laufzeitinformationen aus der gespeicherten Prozedur anzuzeigen, z. B. "executedTime", "rowCount" und "Client connection".

    Screenshot: Ausführungseigenschaften für eine gespeicherte Prozedur

Problembehandlung bei der Herkunftsextraktion

Die folgenden Tipps können Ihnen helfen, Probleme im Zusammenhang mit der Herkunft zu lösen:

  • Wenn nach einer erfolgreichen Ausführung der Herkunftsextraktion keine Herkunft erfasst wird, ist es möglich, dass seit der Einrichtung der Überprüfung keine gespeicherten Prozeduren mindestens einmal ausgeführt wurden.
  • Die Herkunft wird für Ausführungen gespeicherter Prozeduren erfasst, die nach dem Einrichten einer erfolgreichen Überprüfung erfolgen. Die Herkunft aus früheren Ausführungen gespeicherter Prozeduren wird nicht erfasst.
  • Wenn Ihre Datenbank große Workloads mit vielen Ausführungen gespeicherter Prozeduren verarbeitet, filtert die Herkunftsextraktion nur die neuesten Ausführungen. Gespeicherte Prozeduren werden früh im Sechs-Stunden-Fenster ausgeführt, oder die Ausführungsinstanzen, die eine hohe Abfragelast erzeugen, werden nicht extrahiert. Wenden Sie sich an den Support, wenn ihnen die Herkunft in allen Ausführungen gespeicherter Prozeduren fehlt.
  • Wenn eine gespeicherte Prozedur Drop- oder Create-Anweisungen enthält, werden sie derzeit nicht in der Herkunft erfasst.

Nächste Schritte

Weitere Informationen zu Microsoft Purview und Ihren Daten finden Sie in den folgenden Leitfäden: