Ermitteln und Steuern Azure SQL Datenbank in Microsoft Purview

In diesem Artikel wird der Prozess zum Registrieren einer Azure SQL Datenbankquelle in Microsoft Purview beschrieben. Sie enthält Anweisungen zum Authentifizieren und Interagieren mit der SQL-Datenbank.

Unterstützte Funktionen

Metadatenextraktion	Vollständiger Scan	Inkrementelle Überprüfung	Bereichsbezogene Überprüfung	Klassifizierung	Bezeichnen	Zugriffsrichtlinie	Linie	Datenfreigabe	Liveansicht
Ja	Ja	Ja	Ja	Ja	Ja	Ja	Ja (Vorschau)	Nein	Ja

Hinweis

Die Datenherkunftsextraktion wird derzeit nur für Ausführungen gespeicherter Prozeduren unterstützt. Die Herkunft wird auch unterstützt, wenn Azure SQL Tabellen oder Sichten als Quelle/Senke in Azure Data Factory Kopier- und Datenfluss-Aktivitäten verwendet werden.

Wenn Sie Azure SQL Datenbank überprüfen, unterstützt Microsoft Purview das Extrahieren technischer Metadaten aus diesen Quellen:

• Server
• Datenbank
• Schemata
• Tabellen, einschließlich Spalten
• Ansichten, einschließlich Spalten
• Gespeicherte Prozeduren (mit aktivierter Herkunftsextraktion)
• Ausführungen gespeicherter Prozeduren (mit aktivierter Herkunftsextraktion)

Wenn Sie eine Überprüfung einrichten, können Sie sie nach angabe des Datenbanknamens weiter festlegen, indem Sie nach Bedarf Tabellen und Sichten auswählen.

Bekannte Einschränkungen

• Microsoft Purview unterstützt maximal 800 Spalten auf der Schemaregisterkarte. Wenn mehr als 800 Spalten vorhanden sind, zeigt Microsoft Purview Additional-Columns-Truncated an.
• Für den Scan der Herkunftsextraktion:
  • Die Überprüfung der Herkunftsextraktion wird derzeit nicht unterstützt, wenn Ihr logischer Server in Azure den öffentlichen Zugriff deaktiviert oder Azure-Diensten den Zugriff nicht zulässt.
  • Die Überprüfung der Herkunftsextraktion ist standardmäßig alle sechs Stunden geplant. Die Häufigkeit kann nicht geändert werden.
  • Die Herkunft wird nur erfasst, wenn die Ausführung der gespeicherten Prozedur Daten von einer Tabelle in eine andere überträgt. Für temporäre Tabellen wird dies nicht unterstützt.
  • Die Herkunftsextraktion wird für Funktionen oder Trigger nicht unterstützt.
  • Beachten Sie, dass aufgrund der folgenden Einschränkungen derzeit möglicherweise doppelte Ressourcen im Katalog angezeigt werden, wenn Sie solche Szenarien haben.
    • Die Objektnamen in Objekten und vollqualifizierte Namen folgen dem Fall, der in Anweisungen für gespeicherte Prozeduren verwendet wird, die möglicherweise nicht mit dem Objektfall in der ursprünglichen Datenquelle übereinstimmen.
    • Wenn in gespeicherten Prozeduren auf SQL-Sichten verwiesen wird, werden sie derzeit als SQL-Tabellen erfasst.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Ein aktives Microsoft Purview-Konto.

• Berechtigungen für Datenquellenadministrator und Datenleser, damit Sie eine Quelle registrieren und im Microsoft Purview-Governanceportal verwalten können. Weitere Informationen finden Sie unter Zugriffssteuerung im Microsoft Purview-Governanceportal.

Registrieren der Datenquelle

Vor dem Scannen ist es wichtig, die Datenquelle in Microsoft Purview zu registrieren:

1. Öffnen Sie das Microsoft Purview-Governanceportal wie folgt:

   • Navigieren Sie direkt zu https://web.purview.azure.com Ihrem Microsoft Purview-Konto, und wählen Sie es aus.
   • Öffnen Sie die Azure-Portal, suchen Sie nach dem Microsoft Purview-Konto, und wählen Sie es aus. Wählen Sie die Schaltfläche Microsoft Purview-Governanceportal aus.

2. Navigieren Sie zu Data Map.

   

3. Erstellen Sie die Sammlungshierarchie , indem Sie zu Sammlungen wechseln und dann Sammlung hinzufügen auswählen. Weisen Sie den einzelnen Untersammlungen nach Bedarf Berechtigungen zu.

   

4. Wechseln Sie unter Quellen zur entsprechenden Sammlung, und wählen Sie dann das Symbol Registrieren aus, um eine neue SQL-Datenbank zu registrieren.

   

5. Wählen Sie die Azure SQL Datenbankdatenquelle und dann Weiter aus.

6. Geben Sie für Name einen geeigneten Namen für die Datenquelle an. Wählen Sie relevante Namen für Azure-Abonnement, Servername und Sammlung auswählen aus, und wählen Sie dann Übernehmen aus.

   

7. Vergewissern Sie sich, dass die SQL-Datenbank unter der ausgewählten Sammlung angezeigt wird.

   

Aktualisieren der Firewalleinstellungen

Wenn auf Ihrem Datenbankserver eine Firewall aktiviert ist, müssen Sie die Firewall aktualisieren, um den Zugriff auf eine der folgenden Arten zuzulassen:

• Lassen Sie Azure-Verbindungen über die Firewall zu. Dies ist eine einfache Option zum Weiterleiten von Datenverkehr über Azure-Netzwerke, ohne virtuelle Computer verwalten zu müssen.
• Installieren Sie eine selbstgehostete Integration Runtime auf einem Computer in Ihrem Netzwerk, und gewähren Sie ihr Zugriff über die Firewall. Wenn Sie ein privates virtuelles Netzwerk in Azure eingerichtet oder ein anderes geschlossenes Netzwerk eingerichtet haben, können Sie mithilfe einer selbstgehosteten Integration Runtime auf einem Computer innerhalb dieses Netzwerks den Datenverkehrsfluss vollständig verwalten und Ihr vorhandenes Netzwerk nutzen.
• Verwenden Sie ein verwaltetes virtuelles Netzwerk. Wenn Sie ein verwaltetes virtuelles Netzwerk mit Ihrem Microsoft Purview-Konto einrichten, können Sie mithilfe der Azure Integration Runtime in einem geschlossenen Netzwerk eine Verbindung mit Azure SQL herstellen.

Weitere Informationen zur Firewall finden Sie in der Dokumentation zur Azure SQL-Datenbankfirewall.

Azure-Verbindungen zulassen

Wenn Sie Azure-Verbindungen aktivieren, kann Microsoft Purview eine Verbindung mit dem Server herstellen, ohne dass Sie die Firewall selbst aktualisieren müssen.

1. Wechseln Sie zu Ihrem Datenbankkonto.
2. Wählen Sie auf der Seite Übersicht den Servernamen aus.
3. Wählen Sie Sicherheitsfirewalls>und virtuelle Netzwerke aus.
4. Wählen Sie für Azure-Dienste und -Ressourcen den Zugriff auf diesen Server erlauben die Option Ja aus.

Weitere Informationen zum Zulassen von Verbindungen aus Azure finden Sie in der Anleitung.

Installieren einer selbstgehosteten Integration Runtime

Sie können eine selbstgehostete Integration Runtime auf einem Computer installieren, um eine Verbindung mit einer Ressource in einem privaten Netzwerk herzustellen:

1. Erstellen und installieren Sie eine selbstgehostete Integration Runtime auf einem persönlichen Computer oder auf einem Computer im selben virtuellen Netzwerk wie Ihr Datenbankserver.
2. Überprüfen Sie die Netzwerkkonfiguration Ihres Datenbankservers, um sicherzustellen, dass der Computer, der die selbstgehostete Integration Runtime enthält, auf einen privaten Endpunkt zugreifen kann. Fügen Sie die IP-Adresse des Computers hinzu, wenn er noch keinen Zugriff hat.
3. Wenn sich Ihr logischer Server hinter einem privaten Endpunkt oder in einem virtuellen Netzwerk befindet, können Sie einen privaten Erfassungsendpunkt verwenden, um die End-to-End-Netzwerkisolation sicherzustellen.

Konfigurieren der Authentifizierung für eine Überprüfung

Um Ihre Datenquelle zu überprüfen, müssen Sie eine Authentifizierungsmethode in Azure SQL-Datenbank konfigurieren.

Wichtig

Wenn Sie eine selbstgehostete Integration Runtime verwenden, um eine Verbindung mit Ihrer Ressource herzustellen, funktionieren systemseitig und benutzerseitig zugewiesene verwaltete Identitäten nicht. Sie müssen die Dienstprinzipalauthentifizierung oder die SQL-Authentifizierung verwenden.

Microsoft Purview unterstützt die folgenden Optionen:

• Systemseitig zugewiesene verwaltete Identität (SAMI) (empfohlen). Dies ist eine Identität, die direkt Ihrem Microsoft Purview-Konto zugeordnet ist. Es ermöglicht Ihnen, sich direkt bei anderen Azure-Ressourcen zu authentifizieren, ohne einen Benutzer oder Anmeldeinformationssatz verwalten zu müssen.

  Das SAMI wird erstellt, wenn Ihre Microsoft Purview-Ressource erstellt wird. Es wird von Azure verwaltet und verwendet den Namen Ihres Microsoft Purview-Kontos. Das SAMI kann derzeit nicht mit einer selbstgehosteten Integration Runtime für Azure SQL verwendet werden.

  Weitere Informationen finden Sie in der Übersicht über verwaltete Identitäten.

• Benutzerseitig zugewiesene verwaltete Identität (User-Assigned Managed Identity, UAMI) (Vorschau) Ähnlich wie ein SAMI ist eine UAMI eine Anmeldeinformationsressource, die es Microsoft Purview ermöglicht, sich bei Azure Active Directory (Azure AD) zu authentifizieren.

  Die UAMI wird von Benutzern in Azure und nicht von Azure selbst verwaltet, wodurch Sie mehr Kontrolle über die Sicherheit erhalten. Das UAMI kann derzeit nicht mit einer selbstgehosteten Integration Runtime für Azure SQL verwendet werden.

  Weitere Informationen finden Sie im Leitfaden für benutzerseitig zugewiesene verwaltete Identitäten.

• Dienstprinzipal. Ein Dienstprinzipal ist eine Anwendung, der Berechtigungen wie jeder anderen Gruppe oder jedem anderen Benutzer zugewiesen werden können, ohne einer Person direkt zugeordnet zu werden. Die Authentifizierung für Dienstprinzipale hat ein Ablaufdatum, sodass sie für temporäre Projekte nützlich sein kann.

  Weitere Informationen finden Sie in der Dokumentation zum Dienstprinzipal.

• SQL-Authentifizierung. Stellen Sie mit einem Benutzernamen und Kennwort eine Verbindung mit der SQL-Datenbank her. Weitere Informationen finden Sie in der Dokumentation zur SQL-Authentifizierung.

  Wenn Sie eine Anmeldung erstellen müssen, befolgen Sie diese Anleitung, um eine SQL-Datenbank abzufragen. Verwenden Sie diesen Leitfaden, um eine Anmeldung mithilfe von T-SQL zu erstellen.

  Hinweis

  Stellen Sie sicher, dass Sie auf der Seite die Option Azure SQL Datenbank auswählen.

Um die Schritte zur Authentifizierung bei Ihrer SQL-Datenbank auszuführen, wählen Sie auf den folgenden Registerkarten die ausgewählte Authentifizierungsmethode aus.

SQL-Authentifizierung

Hinweis

Nur die Prinzipalanmeldung auf Serverebene (die durch den Bereitstellungsprozess erstellt wurde) oder Mitglieder der loginmanager Datenbankrolle in der master Datenbank können neue Anmeldungen erstellen. Das Microsoft Purview-Konto sollte die Ressourcen etwa 15 Minuten nach dem Abrufen von Berechtigungen überprüfen können.

1. Sie benötigen eine SQL-Anmeldung mit mindestens db_datareader Berechtigungen, um auf die Informationen zugreifen zu können, die Microsoft Purview zum Überprüfen der Datenbank benötigt. Sie können die Anweisungen unter CREATE LOGIN befolgen, um eine Anmeldung für Azure SQL Database zu erstellen. Speichern Sie den Benutzernamen und das Kennwort für die nächsten Schritte.

2. Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.

3. Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.

   

4. Verwenden Sie für Name und Wert den Benutzernamen bzw. das Kennwort aus Ihrer SQL-Datenbank.

5. Wählen Sie Erstellen aus.

6. Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, erstellen Sie eine neue Key Vault-Verbindung.

7. Erstellen Sie neue Anmeldeinformationen , indem Sie den Schlüssel verwenden, um Ihre Überprüfung einzurichten.

   

   

Verwaltete Identität

Wichtig

Wenn Sie eine selbstgehostete Integration Runtime verwenden, um eine Verbindung mit Ihrer Ressource herzustellen, funktionieren systemseitig und benutzerseitig zugewiesene verwaltete Identitäten nicht. Sie müssen die SQL-Authentifizierung oder die Dienstprinzipalauthentifizierung verwenden.

Konfigurieren der Azure AD-Authentifizierung im Datenbankkonto

Die verwaltete Identität benötigt die Berechtigung zum Abrufen von Metadaten für die Datenbank, Schemas und Tabellen. Es muss auch autorisiert sein, die Tabellen für die Klassifizierung abzufragen.

1. Falls noch nicht geschehen, konfigurieren Sie die Azure AD-Authentifizierung mit Azure SQL.

2. Erstellen Sie einen Azure AD-Benutzer in Azure SQL Database mit der genauen verwalteten Identität aus Microsoft Purview. Führen Sie die Schritte unter Erstellen des Dienstprinzipalbenutzers in Azure SQL-Datenbank aus.

3. Weisen Sie der Identität die richtige Berechtigung (z. B db_datareader. ) zu. Hier sehen Sie eine SQL-Beispielsyntax zum Erstellen des Benutzers und Erteilen der Berechtigung:

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   Hinweis

   Der [Username] Wert ist der Name Ihrer verwalteten Identität aus Microsoft Purview. Weitere Informationen zu festen Datenbankrollen und deren Funktionen finden Sie hier.

Konfigurieren der Portalauthentifizierung

Es ist wichtig, der systemseitig oder benutzerseitig zugewiesenen verwalteten Identität Ihres Microsoft Purview-Kontos die Berechtigung zum Überprüfen der SQL-Datenbank zu erteilen. Sie können das SAMI oder UAMI je nach Umfang der Überprüfung auf Abonnement-, Ressourcengruppen- oder Ressourcenebene hinzufügen.

Hinweis

Um einer Azure-Ressource eine verwaltete Identität hinzuzufügen, müssen Sie Besitzer des Abonnements sein.

1. Suchen Sie im Azure-Portal nach dem Abonnement, der Ressourcengruppe oder der Ressource (z. B. einer SQL-Datenbank), die vom Katalog überprüft werden soll.

2. Wählen Sie im linken Menü Zugriffssteuerung (IAM) und dann + HinzufügenRollenzuweisung hinzufügen> aus.

   

3. Legen Sie Rolle auf Leser fest. Geben Sie im Feld Auswählen den Namen Ihres Microsoft Purview-Kontos oder UAMI ein. Wählen Sie dann Speichern aus, um diese Rollenzuweisung an Ihr Microsoft Purview-Konto zu erteilen.

   

Dienstprinzipal

Erstellen eines neuen Dienstprinzipals

Wenn Sie nicht über einen Dienstprinzipal verfügen, können Sie die Anleitung zum Erstellen eines Dienstprinzipals befolgen.

Hinweis

Um einen Dienstprinzipal zu erstellen, müssen Sie eine Anwendung in Ihrem Azure AD-Mandanten registrieren. Wenn Sie nicht über den erforderlichen Zugriff verfügen, kann Ihr globaler Azure AD-Administrator oder Anwendungsadministrator diesen Vorgang ausführen.

Gewähren des Zugriffs auf Ihre SQL-Datenbank für den Dienstprinzipal

Der Dienstprinzipal benötigt die Berechtigung zum Abrufen von Metadaten für die Datenbank, Schemas und Tabellen. Es muss auch autorisiert sein, die Tabellen für die Klassifizierung abzufragen.

1. Falls noch nicht geschehen, konfigurieren Sie die Azure AD-Authentifizierung mit Azure SQL.

2. Erstellen Sie einen Azure AD-Benutzer in Azure SQL Database mit Ihrem Dienstprinzipal. Führen Sie die Schritte unter Erstellen des Dienstprinzipalbenutzers in Azure SQL-Datenbank aus.

3. Weisen Sie der Identität die richtige Berechtigung (z. B db_datareader. ) zu. Hier sehen Sie eine SQL-Beispielsyntax zum Erstellen des Benutzers und Erteilen der Berechtigung:

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   Hinweis

   Der [Username] Wert ist der Name Ihres eigenen Dienstprinzipals. Weitere Informationen zu festen Datenbankrollen und deren Funktionen finden Sie hier.

Erstellen der Anmeldeinformationen

1. Wechseln Sie im Azure-Portal zu Ihrem Schlüsseltresor.

2. Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.

   

3. Geben Sie für Name dem Geheimnis einen Namen Ihrer Wahl.

4. Verwenden Sie für Value den Geheimniswert des Dienstprinzipals. Wenn Sie bereits ein Geheimnis für Ihren Dienstprinzipal erstellt haben, finden Sie seinen Wert unter Clientanmeldeinformationen auf der Übersichtsseite Ihres Geheimnisses.

   Wenn Sie ein Geheimnis erstellen müssen, können Sie die Schritte im Dienstprinzipalleitfaden ausführen.

   

5. Wählen Sie Erstellen aus, um das Geheimnis zu erstellen.

6. Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, erstellen Sie eine neue Key Vault-Verbindung.

7. Erstellen Sie neue Anmeldeinformationen.

   

8. Verwenden Sie für Dienstprinzipal-ID die Anwendungs-ID (Client) Ihres Dienstprinzipals.

   

9. Verwenden Sie für Geheimnisname den Namen des Geheimnisses, das Sie in den vorherigen Schritten erstellt haben.

   

Erstellen der Überprüfung

1. Öffnen Sie Ihr Microsoft Purview-Konto, und wählen Sie Microsoft Purview-Governanceportal öffnen aus.

2. Wechseln Sie zu Data map>Sources (Datenquellen), um die Sammlungshierarchie anzuzeigen.

3. Wählen Sie das Symbol Neuer Scan unter der SQL-Datenbank aus, die Sie zuvor registriert haben.

   

Weitere Informationen zur Datenherkunft in Azure SQL-Datenbank finden Sie im Abschnitt Extrahieren der Herkunft (Vorschau) dieses Artikels.

Wählen Sie für Überprüfungsschritte ihre Authentifizierungsmethode auf den folgenden Registerkarten aus.

SQL-Authentifizierung

1. Geben Sie unter Name einen Namen für die Überprüfung an.

2. Wählen Sie für Datenbankauswahlmethode die Option Manuell eingeben aus.

3. Geben Sie für Datenbankname und Anmeldeinformationen die Werte ein, die Sie zuvor erstellt haben.

   

4. Wählen Sie für Verbindung auswählen die entsprechende Sammlung für die Überprüfung aus.

5. Wählen Sie Verbindung testen aus, um die Verbindung zu überprüfen. Nachdem die Verbindung erfolgreich hergestellt wurde, wählen Sie Weiter aus.

Verwaltete Identität

1. Geben Sie unter Name einen Namen für die Überprüfung an.

2. Wählen Sie unter Anmeldeinformationen das SAMI oder UAMI aus, und wählen Sie die entsprechende Sammlung für die Überprüfung aus.

   

3. Wählen Sie Verbindung testen aus. Nachdem die Verbindung erfolgreich hergestellt wurde, wählen Sie Weiter aus.

   

Dienstprinzipal

1. Geben Sie unter Name einen Namen für die Überprüfung an.

2. Wählen Sie die entsprechende Sammlung für die Überprüfung aus, und wählen Sie die zuvor erstellten Anmeldeinformationen unter Anmeldeinformationen aus.

   

3. Wählen Sie Verbindung testen aus. Nachdem die Verbindung erfolgreich hergestellt wurde, wählen Sie Weiter aus.

Bereich und Ausführen der Überprüfung

1. Sie können die Überprüfung auf bestimmte Datenbankobjekte festlegen, indem Sie die entsprechenden Elemente in der Liste auswählen.

   

2. Wählen Sie einen Überprüfungsregelsatz aus. Sie können den Systemstandard verwenden, aus vorhandenen benutzerdefinierten Regelsätzen auswählen oder einen neuen Regelsatz inline erstellen. Wählen Sie Weiter aus, wenn Sie fertig sind.

   

   Wenn Sie Neuer Überprüfungsregelsatz auswählen, wird ein Bereich geöffnet, in dem Sie den Quelltyp, den Namen des Regelsatzes und eine Beschreibung eingeben können. Wählen Sie Weiter aus, wenn Sie fertig sind.

   

   Wählen Sie für Klassifizierungsregeln auswählen die Klassifizierungsregeln aus, die Sie in den Überprüfungsregelsatz einschließen möchten, und wählen Sie dann Erstellen aus.

   

   Der neue Überprüfungsregelsatz wird dann in der Liste der verfügbaren Regelsätze angezeigt.

   

3. Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.

4. Überprüfen Sie Ihre Überprüfung, und wählen Sie dann Speichern und ausführen aus.

Anzeigen einer Überprüfung

Um die status einer Überprüfung zu überprüfen, wechseln Sie zur Datenquelle in der Sammlung, und wählen Sie dann Details anzeigen aus.

Die Überprüfungsdetails geben den Fortschritt der Überprüfung in Letzte Ausführung status sowie die Anzahl der gescannten und klassifizierten Ressourcen an. Letzte Ausführung status wird in In Bearbeitung und dann auf Abgeschlossen aktualisiert, nachdem die gesamte Überprüfung erfolgreich ausgeführt wurde.

Verwalten einer Überprüfung

Nachdem Sie eine Überprüfung ausgeführt haben, können Sie ihn mithilfe des Ausführungsverlaufs verwalten:

1. Wählen Sie unter Letzte Überprüfungen eine Überprüfung aus.

   

2. Im Ausführungsverlauf haben Sie Optionen, um die Überprüfung erneut auszuführen, sie zu bearbeiten oder zu löschen.

   

   Wenn Sie Überprüfung jetzt ausführen auswählen, um die Überprüfung erneut auszuführen, können Sie entweder Inkrementelle Überprüfung oder Vollständige Überprüfung auswählen.

   

Problembehandlung bei der Überprüfung

Wenn Sie Probleme mit dem Scannen haben, probieren Sie die folgenden Tipps aus:

• Vergewissern Sie sich, dass Sie alle Voraussetzungen erfüllt haben.
• Überprüfen Sie das Netzwerk, indem Sie die Einstellungen für Firewall, Azure-Verbindungen oder Integration Runtime bestätigen.
• Vergewissern Sie sich, dass die Authentifizierung ordnungsgemäß eingerichtet ist.

Weitere Informationen finden Sie unter Problembehandlung für Ihre Verbindungen in Microsoft Purview.

Einrichten von Zugriffsrichtlinien

Die folgenden Arten von Microsoft Purview-Richtlinien werden für diese Datenressource unterstützt:

• DevOps-Richtlinien
• Richtlinien für Datenbesitzer
• Self-Service-Richtlinien

Voraussetzungen für Zugriffsrichtlinien für Azure SQL-Datenbank

• Erstellen Sie eine neue Azure SQL Database instance in einer der derzeit verfügbaren Regionen für dieses Feature, oder verwenden Sie eine vorhandene Datenbank. Sie können diese Anleitung befolgen, um eine Azure SQL Database instance zu erstellen.

Regionsunterstützung

Alle Microsoft Purview-Regionen werden unterstützt.

Die Erzwingung von Microsoft Purview-Richtlinien ist nur in den folgenden Regionen für Azure SQL-Datenbank verfügbar:

Öffentliche Cloud:

• USA (Osten)
• USA, Osten2
• USA (Süden, Mitte)
• USA (Westen, Mitte)
• USA, Westen3
• Kanada, Mitte
• Brasilien, Süden
• Westeuropa
• Nordeuropa
• Frankreich, Mitte
• Vereinigtes Königreich (Süden)
• Südafrika, Norden
• Indien, Mitte
• Südostasien
• Ostasien
• Australien (Osten)

Sovereign Clouds:

• USGov Virginia
• China, Norden 3

Konfigurieren des Azure SQL Database instance für Richtlinien aus Microsoft Purview

Damit der mit Azure SQL Database verknüpfte logische Server Richtlinien von Microsoft Purview berücksichtigt, müssen Sie einen Azure Active Directory-Administrator konfigurieren. Navigieren Sie im Azure-Portal zum logischen Server, auf dem die Azure SQL Database instance gehostet wird. Wählen Sie im seitlichen Menü Azure Active Directory aus. Legen Sie einen Administratornamen auf einen beliebigen Azure Active Directory-Benutzer oder eine beliebige Gruppe fest, und wählen Sie dann Speichern aus.

Wählen Sie dann im seitlichen Menü Identität aus. Legen Sie unter Systemseitig zugewiesene verwaltete Identität die status auf Ein fest, und wählen Sie dann Speichern aus.

Konfigurieren des Microsoft Purview-Kontos für Richtlinien

Registrieren der Datenquelle in Microsoft Purview

Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.

Hinweis

Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.

Konfigurieren von Berechtigungen zum Aktivieren der Verwaltung der Datennutzung für die Datenquelle

Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datennutzungsverwaltung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Verwaltung der Datennutzung zu aktivieren, müssen Sie sowohl über bestimmte Berechtigungen für die Identitäts- und Zugriffsverwaltung (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:

• Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:

  • IAM-Besitzer
  • Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator

  Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.

  

  Hinweis

  Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Azure AD-Benutzer, -Gruppen und -Dienstprinzipale die Rolle IAM-Besitzer für die Ressource besitzen oder erben.

• Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.

  Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.

  

Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien

Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:

• Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
• Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.

Darüber hinaus können Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie sehr gut durch Azure AD-Benutzer oder -Gruppen suchen, indem Sie die Berechtigung Verzeichnisleseberechtigte in Azure AD erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.

Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien

Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.

Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.

Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview

Nachdem eine Ressource für die Verwaltung der Datennutzung aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.

Hinweis

Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.

Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.

Registrieren der Datenquelle und Aktivieren der Verwaltung der Datennutzung

Die Azure SQL Database-Ressource muss bei Microsoft Purview registriert werden, bevor Sie Zugriffsrichtlinien erstellen können. Um Ihre Ressourcen zu registrieren, folgen Sie den Abschnitten "Voraussetzungen" und "Datenquelle registrieren" in diesem Dokument.

Nachdem Sie die Datenquelle registriert haben, müssen Sie die Verwaltung der Datennutzung aktivieren. Dies ist eine Voraussetzung, bevor Sie Richtlinien für die Datenquelle erstellen können. Die Verwaltung der Datennutzung kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen delegiert wird, die den Zugriff auf die Datenquellen verwalten. Gehen Sie die Sicherheitsmethoden unter Aktivieren der Datennutzungsverwaltung für Ihre Microsoft Purview-Quellen durch.

Nachdem für Ihre Datenquelle die Option Datennutzungsverwaltung auf Aktiviert festgelegt ist, sieht sie wie im folgenden Screenshot aus:

Kehren Sie zum Azure-Portal für Azure SQL-Datenbank zurück, um zu überprüfen, ob sie jetzt von Microsoft Purview gesteuert wird:

1. Melden Sie sich über diesen Link beim Azure-Portal an.

2. Wählen Sie den Azure SQL Server aus, den Sie konfigurieren möchten.

3. Wechseln Sie im linken Bereich zu Azure Active Directory .

4. Scrollen Sie nach unten zu Microsoft Purview-Zugriffsrichtlinien.

5. Wählen Sie die Schaltfläche "Nach Microsoft Purview-Governance suchen" aus. Warten Sie, während die Anforderung verarbeitet wird. Es kann ein paar Minuten dauern.

   

6. Vergewissern Sie sich, dass im Microsoft Purview-Governancestatus angezeigt wird Governed. Beachten Sie, dass es einige Minuten dauern kann, nachdem Sie die Verwaltung der Datennutzung in Microsoft Purview aktiviert haben, bis die richtige status widergespiegelt wird.

Hinweis

Wenn Sie die Verwaltung der Datennutzung für diese Azure SQL Datenbank-Datenquelle deaktivieren, kann es bis zu 24 Stunden dauern, bis der Microsoft Purview-Governancestatus automatisch auf Not Governedaktualisiert wird. Dies kann beschleunigt werden, indem Sie Auf Microsoft Purview-Governance überprüfen auswählen. Bevor Sie die Verwaltung der Datennutzung für die Datenquelle in einem anderen Microsoft Purview-Konto aktivieren, stellen Sie sicher, dass der Purview-Governancestatus als Not Governedangezeigt wird. Wiederholen Sie dann die oben genannten Schritte mit dem neuen Microsoft Purview-Konto.

Richtlinie erstellen

Befolgen Sie die folgenden Anleitungen, um eine Zugriffsrichtlinie für Azure SQL-Datenbank zu erstellen:

• Bereitstellen des Zugriffs auf Systemintegritäts-, Leistungs- und Überwachungsinformationen in Azure SQL-Datenbank. Verwenden Sie diesen Leitfaden, um eine DevOps-Richtlinie auf eine einzelne SQL-Datenbank anzuwenden.
• Bereitstellen des Lese-/Änderungszugriffs für eine einzelne Azure SQL-Datenbank. Verwenden Sie diesen Leitfaden, um den Zugriff auf ein einzelnes SQL-Datenbankkonto in Ihrem Abonnement bereitzustellen.
• Self-Service-Zugriffsrichtlinien für Azure SQL-Datenbank. Verwenden Sie diesen Leitfaden, um Datenconsumern das Anfordern des Zugriffs auf Datenressourcen mithilfe eines Self-Service-Workflows zu ermöglichen.

Informationen zum Erstellen von Richtlinien, die alle Datenquellen innerhalb einer Ressourcengruppe oder eines Azure-Abonnements abdecken, finden Sie unter Ermitteln und Steuern mehrerer Azure-Quellen in Microsoft Purview.

Extrahieren der Herkunft (Vorschau)

Hinweis

Die Herkunft wird derzeit bei Verwendung einer selbstgehosteten Integration Runtime oder einer verwalteten VNET-Runtime und eines Azure SQL privaten Endpunkts nicht unterstützt. Sie müssen Azure-Dienste aktivieren, um unter den Netzwerkeinstellungen für Ihre Azure SQL-Datenbank auf den Server zuzugreifen. Erfahren Sie mehr über die bekannten Einschränkungen bei der Überprüfung der Herkunftsextraktion.

Microsoft Purview unterstützt die Herkunft aus Azure SQL-Datenbank. Wenn Sie eine Überprüfung einrichten, aktivieren Sie die Umschaltfläche Herkunftsextraktion , um die Herkunft zu extrahieren.

Voraussetzungen für das Einrichten einer Überprüfung mit Herkunftsextraktion

1. Führen Sie die Schritte im Abschnitt Konfigurieren der Authentifizierung für eine Überprüfung dieses Artikels aus, um Microsoft Purview zum Überprüfen Ihrer SQL-Datenbank zu autorisieren.

2. Melden Sie sich mit Ihrem Azure AD-Konto bei Azure SQL Database an, und weisen Sie db_owner der verwalteten Microsoft Purview-Identität Berechtigungen zu.

   Hinweis

   Die Berechtigungen "db_owner" sind erforderlich, da die Herkunft auf XEvent-Sitzungen basiert. Daher benötigt Microsoft Purview die Berechtigung zum Verwalten der XEvent-Sitzungen in SQL.

   Verwenden Sie die folgende SQL-Beispielsyntax, um einen Benutzer zu erstellen und die Berechtigung zu erteilen. Ersetzen Sie durch <purview-account> Ihren Kontonamen.

   Create user <purview-account> FROM EXTERNAL PROVIDER
   GO
   EXEC sp_addrolemember 'db_owner', <purview-account> 
   GO
   

3. Führen Sie den folgenden Befehl für Ihre SQL-Datenbank aus, um einen master Schlüssel zu erstellen:

   Create master key
   Go
   

4. Stellen Sie sicher, dass Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben unter Netzwerk/Firewall für Ihre Azure SQL Ressource aktiviert ist.

Erstellen einer Überprüfung mit aktivierter Herkunftsextraktion

1. Aktivieren Sie im Bereich zum Einrichten einer Überprüfung die Umschaltfläche Herkunftsextraktion aktivieren .

   

2. Wählen Sie Ihre Authentifizierungsmethode aus, indem Sie die Schritte im Abschnitt Erstellen der Überprüfung dieses Artikels ausführen.

3. Nachdem Sie die Überprüfung erfolgreich eingerichtet haben, führt ein neuer Überprüfungstyp namens Herkunftsextraktionalle sechs Stunden inkrementelle Überprüfungen aus, um die Herkunft aus Azure SQL Datenbank zu extrahieren. Die Herkunft wird basierend auf den in der SQL-Datenbank ausgeführten gespeicherten Prozeduren extrahiert.

   

Suchen Azure SQL Datenbankressourcen und Anzeigen der Laufzeitherkunft

Sie können den Datenkatalog durchsuchen oder den Datenkatalog durchsuchen, um Ressourcendetails für Azure SQL-Datenbank anzuzeigen. In den folgenden Schritten wird beschrieben, wie Details zur Laufzeitherkunft angezeigt werden:

1. Wechseln Sie zur Registerkarte Herkunft für das Medienobjekt. Falls zutreffend, wird hier die Ressourcenherkunft angezeigt.

   

   Falls zutreffend, können Sie weitere Drilldowns ausführen, um die Herkunft auf SQL-Anweisungsebene innerhalb einer gespeicherten Prozedur zusammen mit der Herkunft auf Spaltenebene anzuzeigen. Wenn Sie selbstgehostete Integration Runtime für die Überprüfung verwenden, wird das Abrufen der Herkunfts-Drilldowninformationen während der Überprüfung seit Version 5.25.8374.1 unterstützt.

   

   Informationen zu unterstützten Azure SQL Datenbankherkunftsszenarien finden Sie im Abschnitt Unterstützte Funktionen dieses Artikels. Weitere Informationen zur Herkunft im Allgemeinen finden Sie unter Datenherkunft in Microsoft Purview und Microsoft Purview Data Catalog Benutzerhandbuch.

2. Wechseln Sie zum Asset der gespeicherten Prozedur. Wechseln Sie auf der Registerkarte Eigenschaften zu Verwandte Ressourcen , um die neuesten Ausführungsdetails der gespeicherten Prozeduren abzurufen.

   

3. Wählen Sie den Link gespeicherte Prozedur neben Ausführungen aus, um die Azure SQL Übersicht über die Ausführung der gespeicherten Prozedur anzuzeigen. Wechseln Sie zur Registerkarte Eigenschaften , um erweiterte Laufzeitinformationen aus der gespeicherten Prozedur anzuzeigen, z. B. "executedTime", "rowCount" und "Client connection".

   

Problembehandlung bei der Herkunftsextraktion

Die folgenden Tipps können Ihnen helfen, Probleme im Zusammenhang mit der Herkunft zu lösen:

• Wenn nach einer erfolgreichen Ausführung der Herkunftsextraktion keine Herkunft erfasst wird, ist es möglich, dass seit der Einrichtung der Überprüfung keine gespeicherten Prozeduren mindestens einmal ausgeführt wurden.
• Die Herkunft wird für Ausführungen gespeicherter Prozeduren erfasst, die nach dem Einrichten einer erfolgreichen Überprüfung erfolgen. Die Herkunft aus früheren Ausführungen gespeicherter Prozeduren wird nicht erfasst.
• Wenn Ihre Datenbank große Workloads mit vielen Ausführungen gespeicherter Prozeduren verarbeitet, filtert die Herkunftsextraktion nur die neuesten Ausführungen. Gespeicherte Prozeduren werden früh im Sechs-Stunden-Fenster ausgeführt, oder die Ausführungsinstanzen, die eine hohe Abfragelast erzeugen, werden nicht extrahiert. Wenden Sie sich an den Support, wenn ihnen die Herkunft in allen Ausführungen gespeicherter Prozeduren fehlt.
• Wenn eine gespeicherte Prozedur Drop- oder Create-Anweisungen enthält, werden sie derzeit nicht in der Herkunft erfasst.

Nächste Schritte

Weitere Informationen zu Microsoft Purview und Ihren Daten finden Sie in den folgenden Leitfäden:

• Konzepte für Microsoft Purview-Datenbesitzerrichtlinien
• Konzepte für Microsoft Purview DevOps-Richtlinien
• Grundlegendes zur Microsoft Purview Data Estate Insights-Anwendung
• Microsoft Purview Data Catalog Benutzerhandbuch für die Herkunft
• Durchsuchen des Microsoft Purview Data Catalog