Tutorial: Solución de problemas de directivas de Microsoft Purview para orígenes de datos SQL
En este tutorial, aprenderá a emitir comandos SQL para inspeccionar las directivas de Microsoft Purview que se han comunicado a la instancia de SQL, donde se aplicarán. También aprenderá a forzar una descarga de las directivas a la instancia de SQL. Estos comandos solo se usan para solucionar problemas y no son necesarios durante el funcionamiento normal de las directivas de Microsoft Purview. Estos comandos requieren un mayor nivel de privilegios en la instancia de SQL.
Para obtener más información sobre las directivas de Microsoft Purview, consulte las guías de concepto que se enumeran en la sección Pasos siguientes .
Requisitos previos
- Una suscripción de Azure. Si aún no tiene una, cree una suscripción gratuita.
- Una cuenta de Microsoft Purview. Si no tiene ninguna, consulte el inicio rápido para crear una cuenta de Microsoft Purview.
- Registre un origen de datos, habilite la administración de uso de datos y cree una directiva. Para ello, use una de las guías de directivas de Microsoft Purview. Para seguir los ejemplos de este tutorial, puede crear una directiva de DevOps para Azure SQL Database.
Prueba de la directiva
Una vez creada una directiva, las entidades de seguridad de Azure AD a las que se hace referencia en el asunto de la directiva deben poder conectarse a cualquier base de datos del servidor en el que se publican las directivas.
Forzar descarga de directivas
Es posible forzar una descarga inmediata de las directivas publicadas más recientes en la base de datos SQL actual mediante la ejecución del siguiente comando. El permiso mínimo necesario para ejecutarlo es la pertenencia al rol ##MS_ServerStateManager##-server.
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
Análisis del estado de la directiva descargado de SQL
Las siguientes DMV se pueden usar para analizar qué directivas se han descargado y están asignadas actualmente a las entidades de seguridad de Azure AD. El permiso mínimo necesario para ejecutarlos es VIEW DATABASE SECURITY STATE o el auditor de seguridad SQL del grupo de acciones asignado.
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
Siguientes pasos
Guías de concepto para directivas de acceso de Microsoft Purview:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de