Implementieren von Microsoft Purview

  • 15 Minuten

Microsoft Purview ist ein Dienst für einheitliche Datengovernance, mit dem Sie Ihre lokalen, Multicloud- und SaaS-Daten (Software-as-a-Service) verwalten und steuern können. Erstellen Sie eine ganzheitliche, aktuelle Übersicht über Ihre Datenlandschaft – mit automatisierter Datenermittlung, Klassifizierung vertraulicher Daten und vollständigen Informationen zur Datenherkunft. Ermöglichen Sie Datenkurator*innen das Verwalten und Schützen Ihres Datenbestands. Unterstützen Sie Datenbenutzer*innen bei der Suche nach nützlichen, verlässlichen Daten.

Funktionsweise

Microsoft Purview automatisiert die Datenermittlung, indem es Datenscans und -klassifizierungen als Dienst für Ressourcen in Ihren gesamten Datenressourcen bereitstellt. Metadaten und Beschreibungen der gefundenen Datenbestände werden in eine ganzheitliche Karte Ihres Datenbestands integriert. Darüber hinaus gibt es zweckorientierte Apps, die Umgebungen für die Datenermittlung, eine Zugriffsverwaltung und Einblicke in Ihre Datenlandschaft erstellen.

Screenshot einer hochrangigen Architektur von Microsoft Purview, die zeigt, wie Multicloud- und lokale Quellen in Microsoft Purview integriert werden, sowie die Apps von Microsoft Purview.

Unterstützte Funktionen

Das Verständnis des Standorts und der Verschiebung vertraulicher Daten in der gesamten Datendomäne ist eines der Hauptfeatures von Microsoft Purview für Azure SQL-Datenbank.

Erstellen einer einheitlichen Übersicht der Daten in der gesamten Datendomäne

Microsoft Purview hilft Ihnen, die Grundlage für eine effektive Datenverwaltung zu legen, einschließlich der folgenden Funktionen:

  • Automatisieren und Verwalten von Hybridressourcenmetadaten
  • Klassifizieren von Daten mithilfe integrierter und benutzerdefinierter Klassifizierungen und Vertraulichkeitsbezeichnungen für den Informationsschutz
  • Gewährleisten einer einheitlichen Kennzeichnung vertraulicher Daten in SQL Server, Azure, Microsoft 365 und Power BI
  • Einfaches Integrieren aller Ihrer Datensysteme mithilfe von Apache Atlas-APIs

Screenshot der einheitlichen Zuordnung von Daten in der gesamten Datendomäne in Microsoft Purview.

Einfaches Auffinden von Daten

Erleichtern Sie das Auffinden von Daten mithilfe vertrauter geschäftlicher und technischer Suchbegriffe, einschließlich der folgenden Funktionen:

  • Stellen Sie mit Microsoft Purview Data Catalog einen optimalen Geschäftswert für die Daten Ihrer Benutzer sicher.
  • Eliminieren Sie den Bedarf an Datenwörterbüchern in Excel mit einem geschäftlichen Wörterbuch auf Unternehmensebene.
  • Gewinnen Sie durch eine interaktive Visualisierung der Datenherkunft Erkenntnissen zum Ursprung Ihrer Daten.
  • Stellen Sie Datenwissenschaftlern, Entwicklern und Analysten die Daten zur Verfügung, die sie für BI, Analyse, KI und maschinelles Lernen benötigen.

Screenshot der Suchleiste mit Ressourcenvorschlägen basierend auf dem angegebenen Begriff.

Abrufen einer Übersicht der vertrauliche Daten

Microsoft Purview bietet mit Data Insights (derzeit in der Vorschau) einen umfassenden Überblick über Ihre Datenverwaltungsvorgänge, einschließlich der folgenden Funktionen:

  • Zeigen Sie Ihre gesamte Datendomäne und deren Verteilung nach Ressourcendimensionen an, z. B. nach Quellentyp, Klassifizierung und Dateigröße.
  • Erhalten Sie Statusaktualisierungen über die Anzahl von bestandenen, fehlgeschlagenen oder abgebrochenen Überprüfungen.
  • Gewinnen Sie wichtige Erkenntnisse, um Glossarbegriffe für bessere Suchergebnisse hinzuzufügen oder umzuverteilen.

Screenshot der Microsoft Purview-Klassifizierungs-Insights-Seite mit verschiedenen Klassifizierungsdiagrammen.

Voraussetzungen

Stellen Sie vor der Verwendung von Microsoft Purview sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Sie können mit einem Entwicklungs- oder Produktionsabonnement auf Microsoft Azure zugreifen.
  • Sie können Azure-Ressourcen erstellen, einschließlich Microsoft Purview.
  • Sie haben Zugriff auf Datenquellen wie Azure Data Lake Storage oder Azure SQL in Test-, Entwicklungs- oder Produktionsumgebungen.
    • Für Data Lake Storage wird die Rolle Leser benötigt.
    • Für Azure SQL muss die Identität Tabellen abfragen können, um Stichproben von Klassifizierungen zu erhalten.
  • Sie haben Zugriff auf Microsoft Defender für Cloud oder können mit Defender für Cloudadministratoren zusammenarbeiten, um Daten zu beschriften.
  • Sie haben ein aktives Microsoft Purview-Konto.
  • Sie müssen ein Datenquellenadministrator und Datenleser sein, um eine Quelle zu registrieren und im Microsoft Purview-Governanceportal zu verwalten.

Sicherheitsüberlegungen

Sehen wir uns einige wichtige Sicherheitsfunktionen beim Überprüfen einer SQL-Datenbank mit Microsoft Purview an.

Firewalleinstellungen

Wenn ihr Datenbankserver eine Firewall aktiviert hat, müssen Sie die Firewall aktualisieren, um den Zugriff auf eine von zwei Arten zu ermöglichen:

  • Zulassen von Azure-Verbindungen über die Firewall: Eine unkomplizierte Option, um den Datenverkehr durch das Azure-Netzwerk zu leiten, ohne VMs verwalten zu müssen.

  • Installieren einer selbstgehosteten Integration Runtime: Installieren Sie eine selbstgehostete Integration Runtime auf einem Computer in Ihrem Netzwerk, und ermöglichen Sie ihr den Zugriff über die Firewall. Wenn Sie ein privates virtuelles Netzwerk in Azure oder ein anderes geschlossenes Netzwerk mit einer selbstgehosteten Integration Runtime auf einem Computer in diesem Netzwerk eingerichtet haben, können Sie den Datenverkehrsfluss vollständig verwalten und Ihr vorhandenes Netzwerk nutzen.

  • Verwenden eines verwalteten virtuellen Netzwerks: Sie können die Azure Integration Runtime in einem geschlossenen Netzwerk verwenden, indem Sie ein verwaltetes virtuelles Netzwerk mit Ihrem Microsoft Purview-Konto einrichten, um eine Verbindung mit Azure SQL herzustellen.

Authentifizierung

Um Ihre Datenquelle zu scannen, müssen Sie eine Authentifizierungsmethode in der Azure SQL-Datenbank konfigurieren. Die folgenden Authentifizierungsoptionen werden beim Vorbereiten einer Überprüfung unterstützt:

  • Systemseitig zugewiesene verwaltete Identität (empfohlen): Hierbei handelt es sich um eine Identität, die direkt mit Ihrem Microsoft Purview-Konto verknüpft ist und die es Ihnen ermöglicht, sich direkt bei anderen Azure-Ressourcen zu authentifizieren, ohne dass Sie einen Zwischenbenutzer oder einen Satz Anmeldeinformationen verwalten müssen. Die systemseitig zugewiesene verwaltete Identität wird erstellt, wenn Ihre Microsoft Purview-Ressource erstellt, von Azure verwaltet und der Name Ihres Microsoft Purview-Kontos verwendet wird. Die systemseitig zugewiesene verwaltete Identität kann derzeit nicht mit einer selbstgehosteten Integration Runtime für Azure SQL verwendet werden.

  • Benutzerseitig zugewiesene verwaltete Identität (Vorschau): Ähnlich wie eine systemseitig zugewiesene verwaltete Identität ist eine benutzerseitig zugewiesene verwaltete Identität eine Anmeldeinformationsressource, mit der sich Microsoft Purview gegenüber Microsoft Entra ID authentifizieren kann. Die Benutzerzuweisung wird von Benutzenden und nicht von Azure verwaltet, sodass Sie mehr Kontrolle über die Sicherheit erhalten. Die benutzerseitig zugewiesene verwaltete Identität kann derzeit nicht mit einer selbstgehosteten Integration Runtime für Azure SQL verwendet werden. Weitere Informationen finden Sie im Leitfaden für benutzerseitig zugewiesene verwaltete Identitäten.

  • Dienstprinzipal: Ein Dienstprinzipal ist eine Anwendung, der wie jeder anderen Gruppe bzw. wie jedem anderen Benutzer Berechtigungen zugewiesen werden können, ohne direkt einer Person zugeordnet zu werden. Deren Authentifizierung weist ein Ablaufdatum auf und kann daher für temporäre Projekte nützlich sein.

  • SQL Authentifizierung: Die Verbindung mit der SQL-Datenbank wird mit einem Benutzernamen und einem Kennwort hergestellt.

Hinweis

Wenn Sie eine selbst gehostete Integrationslaufzeit verwenden, um eine Verbindung mit Ihrer Ressource herzustellen, funktionieren vom System zugewiesene und vom Benutzer zugewiesene verwaltete Identitäten nicht. Sie müssen die Dienstprinzipalauthentifizierung oder die SQL-Authentifizierung verwenden.

Registrieren und Scannen der SQL-Datenbank mithilfe von Microsoft Purview

In diesem Abschnitt können Sie die Azure SQL-Datenbankdatenquelle registrieren und einen Scan einrichten.

Registrieren der Datenquelle

Sie müssen die Datenquelle in Microsoft Purview registrieren, bevor Sie eine Überprüfung einrichten.

  1. Öffnen Sie Ihr Microsoft Purview-Konto, und wählen Sie Microsoft Purview-Governanceportal öffnen aus.

    Screenshot vom Öffnen des Microsoft Purview-Governanceportals.

  2. Wählen Sie im linken Bereich Data Map>Sammlungen aus, um die Seite für die Sammlungsverwaltung zu öffnen. Erstellen Sie die Sammlungshierarchie mithilfe des Menüs "Sammlungen ", und weisen Sie bei Bedarf Berechtigungen für einzelne Untersammlungen zu.

    Screenshot des Sammlungsmenüs zur Zuweisung von Zugriffskontrollberechtigungen für die Sammlungshierarchie.

  3. Navigieren Sie zur geeigneten Sammlung im Menü Quellen, und wählen Sie Registrieren aus, um eine neue SQL-Datenbank zu registrieren.

    Screenshot der Sammlung zum Registrieren der Datenquelle.

  4. Wählen Sie die Azure SQL-Datenbank-Datenquelle aus, und klicken Sie dann auf Weiter.

    Screenshot der Auswahl der Datenquelle.

  5. Geben Sie einen Namen für die Datenquelle an, wählen Sie ein Azure-Abonnement und den Namen des SQL-Datenbank-Servers aus, und klicken Sie dann auf Anwenden.

    Screenshot Der Details, die eingegeben werden müssen, um die Datenquelle zu registrieren.

  6. Die Azure SQL-Datenbank wird unter der ausgewählten Sammlung angezeigt.

    Screenshot der Datenquelle, die der Sammlung zugeordnet ist, um die Überprüfung zu initiieren.

Einen Scan erstellen

Führen Sie die folgenden Schritte aus, um eine Überprüfung zu erstellen und einzurichten:

  1. Öffnen Sie Ihr Microsoft Purview-Konto, und wählen Sie Microsoft Purview-Governanceportal öffnen aus.

    Screenshot vom Öffnen des Microsoft Purview-Governanceportals.

  2. Wählen Sie das Symbol Datenzuordnung und dann Quellen aus, um die Sammlungshierarchie anzuzeigen.

    Screenshot der Seite „Quellen“ im Abschnitt „Datenzuordnung“.

  3. Wählen Sie unterhalb der zuvor registrierten Azure SQL-Datenbank das Symbol Neue Überprüfung aus.

    Screenshot des Bildschirms zum Erstellen eines neuen Scans.

  4. Geben Sie einen Namen für die Überprüfung an, wählen Sie für die Eigenschaft Datenbankauswahlmethode die Option Manuell eingeben aus, geben Sie den Datenbanknamen ein, und wählen Sie die Anmeldeinformationen aus. Wählen Sie die passende Sammlung für die Überprüfung aus, und klicken Sie auf Verbindung testen, um die Verbindung zu überprüfen. Wenn die Verbindung erfolgreich ist, wählen Sie Weiter aus.

    Screenshot der SQL-Authentifizierungsoption für Scans.

Bereich für einen Scan festlegen und ausführen

Führen Sie die folgenden Schritte aus, um den Bereich festzulegen und die Überprüfung durchzuführen:

  1. Sie können den Bereich für Ihre Scans auf bestimmte Datenbanken festlegen, indem Sie die entsprechenden Elemente in der Liste auswählen.

    Screenshot der Datenbankobjektliste bei der Bereichsdefinition für einen Scan.

  2. Wählen Sie einen Überprüfungsregelsatz aus. Sie können zwischen der Standardeinstellung des Systems, den vorhandenen benutzerdefinierten Regelsätzen und der Inlineerstellung eines neuen Regelsatzes wählen.

    Screenshot der Seite zum Auswählen eines Scanregelsatzes.

  3. Wählen Sie Neuer Überprüfungsregelsatz aus, und geben Sie einen Namen für den neuen Überprüfungsregelsatz an.

    Screenshot der Seite mit dem neuen Scanregelsatz.

  4. Sie können dann die Klassifizierungsregeln auswählen, die in die Überprüfungsregel aufgenommen werden sollen. Klicken Sie anschließend auf Erstellen.

    Screenshot der Klassifizierungsregeln für die Überprüfungsregelsatz für Microsoft Purview.

  5. Der erstelle Überprüfungsregelsatz wird auf der Seite Überprüfungsregelsatz auswählen angezeigt.

    Screenshot der Auswahl des Scanregelsatzes für Microsoft Purview.

  6. Konfigurieren Sie auf der Seite Überprüfungstrigger festlegen den gewünschten Trigger für die Überprüfung. Wählen Sie Weiter aus.

    Screenshot der Option

  7. Sehen Sie sich Ihre Überprüfung noch einmal an, und wählen Sie dann Speichern und ausführen aus.

    Screenshot der Überprüfungsseite für Microsoft Purview.

Datenherkunft

Im Allgemeinen stellt die Datenherkunft den Weg dar, auf dem sich die Daten im Laufe der Zeit von ihrem Ursprung bis zu ihrer aktuellen Position im Datenbestand bewegen. Zu den vielen Einsatzmöglichkeiten gehören die Problembehandlung, das Identifizieren der Grundursache in Datenpipelines und das Debuggen.

Microsoft Purview Data Catalog kann mit anderen Datenspeicher-, Verarbeitungs- und Analyseplattformen verbunden werden, um Informationen zur Herkunft zu sammeln. Infolgedessen enthält der Katalog eine generische, szenariospezifische Herkunftsfunktion.

Microsoft Purview unterstützt die Datenherkunft aus Azure SQL-Datenbank. Sie können beim Einrichten einer Überprüfung die Umschaltfläche „Herkunftsextraktion“ aktivieren, um Herkunftsinformationen zu extrahieren.

Voraussetzungen für das Einrichten des Scans mit der Extraktion der Herkunft

  1. Befolgen Sie die Schritte im Abschnitt zur Authentifizierung für eine Überprüfung unter Verwendung einer verwalteten Identität, um Microsoft Purview die Überprüfung Ihrer Azure SQL-Datenbank-Instanz zu gestatten.

  2. Melden Sie sich mit einem Microsoft Entra-Konto bei Azure SQL-Datenbank an, und weisen Sie der verwalteten Purview-Identität die geeignete Berechtigung zu (zum Beispiel: db_owner). Verwenden Sie die folgende SQL-Beispielsyntax, um einen Benutzer zu erstellen und Berechtigungen zu erteilen, indem Sie purview-account durch Ihren Kontonamen ersetzen.

    CREATE user <purview-account> FROM EXTERNAL PROVIDER
GO
EXEC sp_addrolemember 'db_owner', <purview-account> 
GO

  3. Führen Sie den folgenden Befehl für Ihre Azure SQL-Datenbank-Instanz aus, um einen Hauptschlüssel zu erstellen.

    CREATE MASTER KEY
GO

Einrichten einer Überprüfung mit aktivierter Umschaltfläche „Herkunftsextraktion“

  1. Aktivieren Sie die Umschalttaste für die Extraktion von Herkunft auf dem Überprüfungsbildschirm.

    Screenshot des Bildschirms zum Erstellen eines neuen Scans mit Herkunftsextraktion.

  2. Wählen Sie Ihre Authentifizierungsmethode aus, indem Sie die im Abschnitt „Überprüfung“ beschriebenen Schritte ausführen.

  3. Nachdem der Scan erfolgreich aus dem vorherigen Schritt eingerichtet wurde, führt ein neuer Scantyp namens "Lineage Extraction" alle 6 Stunden inkrementelle Scans aus, um die Linien aus der Azure SQL-Datenbank zu extrahieren. Die Herkunft wird basierend auf den tatsächlichen gespeicherten Prozeduren extrahiert, die in der Azure SQL-Datenbank-Instanz ausgeführt werden.

Durchsuchen von Azure SQL-Datenbank-Ressourcen und Anzeigen der Runtime-Herkunft

Mit den folgenden Schritten können Sie den Datenkatalog durchsuchen, um Ressourcendetails für Azure SQL-Datenbank anzuzeigen:

  1. Wechseln Sie zur Registerkarte „Ressource“ -> „Herkunft“. Dort können Sie wenn vorhanden die Ressourcenherkunft anzeigen. Lesen Sie den Abschnitt „Unterstützte Funktionen“, um mehr über die unterstützten Herkunftsszenarios für Azure SQL-Datenbank zu erfahren. Weitere Informationen zur Datenherkunft im Allgemeinen finden Sie im Benutzerleitfaden zur Datenherkunft.

    Screenshot des Bildschirms mit der Herkunft gespeicherter Prozeduren.

  2. Wechseln Sie zu „Ressource mit gespeicherter Prozedur“ -> „Eigenschaften“ -> „Zugehörige Ressourcen“, um die neuesten Details zur Ausführung von gespeicherten Prozeduren anzuzeigen.

    Screenshot des Bildschirms mit Eigenschaften gespeicherter Prozeduren mit den Ausführungen.

  3. Wählen Sie den Link für gespeicherte Prozeduren neben „Ausführungen“ aus, um die Übersicht über die Ausführung einer gespeicherten Azure SQL-Prozedur anzuzeigen. Wechseln Sie zur Registerkarte „Eigenschaften“, um die erweiterten Laufzeitinformationen aus den gespeicherten Prozeduren anzuzeigen. Beispiel: executedTime, rowcount, Clientverbindung usw.

    Screenshot des Bildschirms mit Ausführungseigenschaften gespeicherter Prozeduren.