Partager via


Découvrir et gouverner Azure SQL Database dans Microsoft Purview

Cet article décrit le processus d’inscription d’une source de base de données Azure SQL dans Microsoft Purview. Il inclut des instructions pour l’authentification et l’interaction avec la base de données SQL.

Fonctionnalités prises en charge

Extraction de métadonnées Analyse complète Analyse incrémentielle Analyse délimitée Classification Étiquetage Stratégie d’accès Lignée Partage de données Affichage en direct
Oui Oui Oui Oui Oui Oui Oui Oui (préversion) Non Oui

Remarque

L’extraction de traçabilité des données est actuellement prise en charge uniquement pour les exécutions de procédures stockées. La traçabilité est également prise en charge si Azure SQL tables ou vues sont utilisées comme source/récepteur dans Azure Data Factory activités de copie et de Data Flow.

Lorsque vous analysez Azure SQL Database, Microsoft Purview prend en charge l’extraction de métadonnées techniques à partir de ces sources :

  • Serveur
  • Database
  • Schémas
  • Tables, y compris les colonnes
  • Vues, y compris les colonnes
  • Procédures stockées (avec extraction de traçabilité activée)
  • Exécutions de procédures stockées (avec extraction de traçabilité activée)

Lorsque vous configurez une analyse, vous pouvez l’étendre davantage après avoir fourni le nom de la base de données en sélectionnant les tables et les vues en fonction des besoins.

Limitations connues

  • Microsoft Purview prend en charge un maximum de 800 colonnes sous l’onglet schéma. S’il y a plus de 800 colonnes, Microsoft Purview affiche Colonnes supplémentaires tronquées.
  • Pour l’analyse d’extraction de traçabilité :
    • L’analyse de l’extraction de traçabilité n’est actuellement pas prise en charge si votre serveur logique dans Azure désactive l’accès public ou n’autorise pas les services Azure à y accéder.
    • L’analyse d’extraction de traçabilité est planifiée pour s’exécuter toutes les six heures par défaut. La fréquence ne peut pas être modifiée.
    • La traçabilité est capturée uniquement lorsque l’exécution de la procédure stockée transfère des données d’une table à une autre. Et il n’est pas pris en charge pour les tables temporaires.
    • L’extraction de traçabilité n’est pas prise en charge pour les fonctions ou les déclencheurs.
    • Notez qu’en raison des limitations suivantes, vous pouvez actuellement voir des ressources en double dans le catalogue si vous avez de tels scénarios.
      • Les noms d’objets dans les ressources et les noms complets suivent le cas utilisé dans les instructions de procédure stockée, qui peut ne pas s’aligner sur la casse de l’objet dans la source de données d’origine.
      • Lorsque les vues SQL sont référencées dans des procédures stockées, elles sont actuellement capturées en tant que tables SQL.

Configuration requise

Inscrire la source de données

Avant d’analyser, il est important d’inscrire la source de données dans Microsoft Purview :

  1. Ouvrez le portail de gouvernance Microsoft Purview en :

  2. Accédez à Data Map.

    Capture d’écran montrant la zone d’ouverture d’un portail de gouvernance Microsoft Purview.

  3. Créez la hiérarchie de collection en accédant à Collections , puis en sélectionnant Ajouter une collection. Attribuez des autorisations à des sous-collections individuelles en fonction des besoins.

    Capture d’écran montrant les sélections permettant d’attribuer des autorisations de contrôle d’accès à la hiérarchie de collection.

  4. Accédez à la collection appropriée sous Sources, puis sélectionnez l’icône Inscrire pour inscrire une nouvelle base de données SQL.

    Capture d’écran montrant la collection utilisée pour inscrire la source de données.

  5. Sélectionnez la source de données Azure SQL Base de données, puis sélectionnez Continuer.

  6. Pour Nom, fournissez un nom approprié pour la source de données. Sélectionnez les noms appropriés pour Abonnement Azure, Nom du serveur et Sélectionner une collection, puis sélectionnez Appliquer.

    Capture d’écran montrant les détails entrés pour inscrire une source de données.

  7. Vérifiez que la base de données SQL apparaît sous la collection sélectionnée.

    Capture d’écran montrant une source de données mappée à une collection pour lancer l’analyse.

Mettre à jour les paramètres du pare-feu

Si un pare-feu est activé sur votre serveur de base de données, vous devez mettre à jour le pare-feu pour autoriser l’accès de l’une des manières suivantes :

Pour plus d’informations sur le pare-feu, consultez la documentation sur le pare-feu de base de données Azure SQL.

Autoriser les connexions Azure

L’activation des connexions Azure permet à Microsoft Purview de se connecter au serveur sans que vous mettez à jour le pare-feu lui-même.

  1. Accédez à votre compte de base de données.
  2. Dans la page Vue d’ensemble , sélectionnez le nom du serveur.
  3. SélectionnezPare-feu desécurité> et réseaux virtuels.
  4. Pour Autoriser les services et ressources Azure à accéder à ce serveur, sélectionnez Oui.

Capture d’écran montrant les sélections dans le Portail Azure pour autoriser les connexions Azure à un serveur.

Pour plus d’informations sur l’autorisation des connexions à partir d’Azure, consultez le guide pratique.

Installer un runtime d’intégration auto-hébergé

Vous pouvez installer un runtime d’intégration auto-hébergé sur un ordinateur pour vous connecter à une ressource dans un réseau privé :

  1. Créez et installez un runtime d’intégration auto-hébergé sur un ordinateur personnel ou sur un ordinateur à l’intérieur du même réseau virtuel que votre serveur de base de données.
  2. Vérifiez la configuration réseau de votre serveur de base de données pour vérifier qu’un point de terminaison privé est accessible à la machine qui contient le runtime d’intégration auto-hébergé. Ajoutez l’adresse IP de l’ordinateur s’il n’y a pas encore accès.
  3. Si votre serveur logique se trouve derrière un point de terminaison privé ou dans un réseau virtuel, vous pouvez utiliser un point de terminaison privé d’ingestion pour garantir l’isolation réseau de bout en bout.

Configurer l’authentification pour une analyse

Pour analyser votre source de données, vous devez configurer une méthode d’authentification dans Azure SQL Database.

Importante

Si vous utilisez un runtime d’intégration auto-hébergé pour vous connecter à votre ressource, les identités managées affectées par le système et affectées par l’utilisateur ne fonctionnent pas. Vous devez utiliser l’authentification du principal de service ou l’authentification SQL.

Microsoft Purview prend en charge les options suivantes :

  • Identité managée affectée par le système (SAMI) (recommandé). Il s’agit d’une identité directement associée à votre compte Microsoft Purview. Il vous permet de vous authentifier directement auprès d’autres ressources Azure sans avoir à gérer un utilisateur ou un ensemble d’informations d’identification.

    Le SAMI est créé lors de la création de votre ressource Microsoft Purview. Il est géré par Azure et utilise le nom de votre compte Microsoft Purview. Actuellement, la SAMI ne peut pas être utilisée avec un runtime d’intégration auto-hébergé pour Azure SQL.

    Pour plus d’informations, consultez vue d’ensemble des identités managées.

  • Identité managée affectée par l’utilisateur (UAMI) (préversion). À l’instar d’une SAMI, une interface utilisateur est une ressource d’informations d’identification qui permet à Microsoft Purview de s’authentifier auprès d’Azure Active Directory (Azure AD).

    L’interface utilisateur est gérée par les utilisateurs dans Azure, plutôt que par Azure lui-même, ce qui vous donne plus de contrôle sur la sécurité. Actuellement, l’interface utilisateur ne peut pas être utilisée avec un runtime d’intégration auto-hébergé pour Azure SQL.

    Pour plus d’informations, consultez le guide des identités managées affectées par l’utilisateur.

  • Principal de service. Un principal de service est une application qui peut se voir attribuer des autorisations comme n’importe quel autre groupe ou utilisateur, sans être directement associée à une personne. L’authentification pour les principaux de service ayant une date d’expiration, elle peut être utile pour les projets temporaires.

    Pour plus d’informations, consultez la documentation du principal de service.

  • Authentification SQL. Connectez-vous à la base de données SQL avec un nom d’utilisateur et un mot de passe. Pour plus d’informations, consultez la documentation sur l’authentification SQL.

    Si vous devez créer une connexion, suivez ce guide pour interroger une base de données SQL. Utilisez ce guide pour créer une connexion à l’aide de T-SQL.

    Remarque

    Veillez à sélectionner l’option Base de données Azure SQL sur la page.

Pour connaître les étapes d’authentification auprès de votre base de données SQL, sélectionnez la méthode d’authentification choisie dans les onglets suivants.

Remarque

Seule la connexion du principal au niveau du serveur (créée par le processus d’approvisionnement) ou les membres du loginmanager rôle de base de données dans la base de données master peuvent créer de nouvelles connexions. Le compte Microsoft Purview doit être en mesure d’analyser les ressources environ 15 minutes après avoir atteint les autorisations.

  1. Vous avez besoin d’une connexion SQL avec au moins db_datareader des autorisations pour pouvoir accéder aux informations dont Microsoft Purview a besoin pour analyser la base de données. Vous pouvez suivre les instructions de CREATE LOGIN pour créer une connexion pour Azure SQL Database. Enregistrez le nom d’utilisateur et le mot de passe pour les étapes suivantes.

  2. Accédez à votre coffre de clés dans le Portail Azure.

  3. Sélectionnez Paramètres>Secrets, puis + Générer/Importer.

    Capture d’écran montrant l’option de coffre de clés pour générer un secret.

  4. Pour Nom et Valeur, utilisez le nom d’utilisateur et le mot de passe (respectivement) de votre base de données SQL.

  5. Sélectionnez Créer.

  6. Si votre coffre de clés n’est pas encore connecté à Microsoft Purview, créez une connexion au coffre de clés.

  7. Créez des informations d’identification à l’aide de la clé pour configurer votre analyse.

    Capture d’écran montrant l’option de coffre de clés pour configurer les informations d’identification.

    Capture d’écran montrant l’option de coffre de clés pour créer un secret.

Créer l’analyse

  1. Ouvrez votre compte Microsoft Purview et sélectionnez Ouvrir le portail de gouvernance Microsoft Purview.

  2. Accédez à Data Map>Sources pour afficher la hiérarchie de la collection.

  3. Sélectionnez l’icône Nouvelle analyse sous la base de données SQL que vous avez inscrite précédemment.

    Capture d’écran montrant le volet de création d’une nouvelle analyse.

Pour en savoir plus sur la traçabilité des données dans Azure SQL Database, consultez la section Extraire la traçabilité (préversion) de cet article.

Pour les étapes d’analyse, sélectionnez votre méthode d’authentification dans les onglets suivants.

  1. Pour Nom, fournissez un nom pour l’analyse.

  2. Pour Méthode de sélection de base de données, sélectionnez Entrer manuellement.

  3. Pour Nom de la base de données et Informations d’identification, entrez les valeurs que vous avez créées précédemment.

    Capture d’écran montrant des informations d’identification et de base de données pour l’option d’authentification SQL pour exécuter une analyse.

  4. Pour Sélectionner une connexion, choisissez la collection appropriée pour l’analyse.

  5. Sélectionnez Tester la connexion pour valider la connexion. Une fois la connexion établie, sélectionnez Continuer.

Étendue et exécution de l’analyse

  1. Vous pouvez limiter votre analyse à des objets de base de données spécifiques en choisissant les éléments appropriés dans la liste.

    Capture d’écran montrant les options d’étendue d’une analyse.

  2. Sélectionnez un ensemble de règles d’analyse. Vous pouvez utiliser la valeur système par défaut, choisir parmi des ensembles de règles personnalisés existants ou créer un nouvel ensemble de règles inline. Sélectionnez Continuer lorsque vous avez terminé.

    Capture d’écran montrant les options de sélection d’un ensemble de règles d’analyse.

    Si vous sélectionnez Nouvel ensemble de règles d’analyse, un volet s’ouvre pour vous permettre d’entrer le type de source, le nom de l’ensemble de règles et une description. Sélectionnez Continuer lorsque vous avez terminé.

    Capture d’écran montrant des informations pour la création d’un nouvel ensemble de règles d’analyse.

    Pour Sélectionner des règles de classification, choisissez les règles de classification que vous souhaitez inclure dans l’ensemble de règles d’analyse, puis sélectionnez Créer.

    Capture d’écran montrant une liste de règles de classification pour un ensemble de règles d’analyse.

    Le nouvel ensemble de règles d’analyse apparaît alors dans la liste des ensembles de règles disponibles.

    Capture d’écran montrant la sélection d’un nouvel ensemble de règles d’analyse.

  3. Choisissez votre déclencheur d’analyse. Vous pouvez configurer une planification ou exécuter l’analyse une seule fois.

  4. Passez en revue votre analyse, puis sélectionnez Enregistrer et exécuter.

Afficher une analyse

Pour case activée la status d’une analyse, accédez à la source de données dans la collection, puis sélectionnez Afficher les détails.

Capture d’écran montrant le bouton permettant d’afficher les détails d’une analyse.

Les détails de l’analyse indiquent la progression de l’analyse dans Dernière exécution status, ainsi que le nombre de ressources analysées et classifiées. La dernière exécution status est mise à jour vers En cours, puis Terminée une fois l’analyse complète exécutée correctement.

Capture d’écran montrant un status terminé pour la dernière exécution de l’analyse.

Gérer une analyse

Après avoir exécuté une analyse, vous pouvez utiliser l’historique des exécutions pour la gérer :

  1. Sous Analyses récentes, sélectionnez une analyse.

    Capture d’écran montrant la sélection d’une analyse récemment terminée.

  2. Dans l’historique des exécutions, vous avez des options pour réexécuter l’analyse, la modifier ou la supprimer.

    Capture d’écran montrant les options d’exécution, de modification et de suppression d’une analyse.

    Si vous sélectionnez Exécuter l’analyse maintenant pour réexécuter l’analyse, vous pouvez choisir Analyse incrémentielle ou Analyse complète.

    Capture d’écran montrant les options d’analyse complète ou incrémentielle.

Résoudre les problèmes d’analyse

Si vous rencontrez des problèmes d’analyse, suivez ces conseils :

Pour plus d’informations, consultez Résoudre les problèmes de connexion dans Microsoft Purview.

Configurer des stratégies d’accès

Les types de stratégies Microsoft Purview suivants sont pris en charge sur cette ressource de données :

Conditions préalables à la stratégie d’accès sur Azure SQL Database

Prise en charge des régions

Toutes les régions Microsoft Purview sont prises en charge.

L’application des stratégies Microsoft Purview est disponible uniquement dans les régions suivantes pour Azure SQL Database :

Cloud public :

  • USA Est
  • USA Est2
  • USA Centre Sud
  • USA Centre Ouest
  • USA Ouest3
  • Canada Centre
  • Brésil Sud
  • Europe Ouest
  • Europe Nord
  • France Centre
  • Sud du Royaume-Uni
  • Afrique du Sud Nord
  • Inde Centre
  • Asie Du Sud-Est
  • Asie Est
  • Australie Est

Clouds souverains :

  • USGov Virginie
  • Chine Nord 3

Configurer le instance de base de données Azure SQL pour les stratégies à partir de Microsoft Purview

Pour que le serveur logique associé à Azure SQL Database respecte les stratégies de Microsoft Purview, vous devez configurer un administrateur Azure Active Directory. Dans le Portail Azure, accédez au serveur logique qui héberge le Azure SQL Database instance. Dans le menu latéral, sélectionnez Azure Active Directory. Définissez un nom d’administrateur sur n’importe quel utilisateur ou groupe Azure Active Directory que vous préférez, puis sélectionnez Enregistrer.

Capture d’écran montrant l’affectation d’un administrateur Active Directory à un serveur logique associé à Azure SQL Database.

Ensuite, dans le menu latéral, sélectionnez Identité. Sous Identité managée affectée par le système, définissez le status sur Activé, puis sélectionnez Enregistrer.

Capture d’écran montrant l’affectation d’une identité managée affectée par le système à un serveur logique associé à Azure SQL Database.

Configurer le compte Microsoft Purview pour les stratégies

Inscrire la source de données dans Microsoft Purview

Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.

Remarque

Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.

Configurer les autorisations pour activer la gestion de l’utilisation des données sur la source de données

Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer la gestion de l’utilisation des données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer la gestion de l’utilisation des données, vous devez disposer de privilèges iam (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :

  • Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :

    • Propriétaire IAM
    • Contributeur IAM et Administrateur de l’accès utilisateur IAM

    Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.

    Capture d’écran montrant la section dans le Portail Azure pour ajouter une attribution de rôle.

    Remarque

    Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels utilisateurs, groupes et principaux de service Azure AD détiennent ou héritent du rôle Propriétaire IAM pour la ressource.

  • Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.

    La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.

    Capture d’écran montrant les sélections pour l’attribution du rôle d’administrateur de source de données au niveau de la collection racine.

Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès

Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :

  • Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
  • Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.

En outre, pour rechercher facilement des utilisateurs ou des groupes Azure AD lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez grandement tirer parti de l’obtention de l’autorisation Lecteurs d’annuaire dans Azure AD. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.

Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données

Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.

Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.

Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview

Une fois qu’une ressource a été activée pour la gestion de l’utilisation des données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.

Remarque

Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .

Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.

Inscrire la source de données et activer la gestion de l’utilisation des données

La ressource de base de données Azure SQL doit être inscrite auprès de Microsoft Purview avant de pouvoir créer des stratégies d’accès. Pour inscrire vos ressources, suivez les sections « Prérequis » et « Inscrire la source de données » de ce document.

Après avoir inscrit la source de données, vous devez activer la gestion de l’utilisation des données. Il s’agit d’un prérequis avant de pouvoir créer des stratégies sur la source de données. La gestion de l’utilisation des données peut affecter la sécurité de vos données, car elle délègue à certains rôles Microsoft Purview qui gèrent l’accès aux sources de données. Suivez les pratiques de sécurité dans Activer la gestion de l’utilisation des données sur vos sources Microsoft Purview.

Une fois que l’option de gestion de l’utilisation des données est définie sur Activé pour votre source de données, elle ressemble à cette capture d’écran :

Capture d’écran montrant le panneau d’inscription d’une source de données pour une stratégie, y compris les zones pour le nom, le nom du serveur et la gestion de l’utilisation des données.

Revenez à la Portail Azure pour Azure SQL Database afin de vérifier qu’elle est désormais régie par Microsoft Purview :

  1. Connectez-vous au Portail Azure via ce lien

  2. Sélectionnez le serveur Azure SQL que vous souhaitez configurer.

  3. Accédez à Azure Active Directory dans le volet gauche.

  4. Faites défiler jusqu’à Stratégies d’accès Microsoft Purview.

  5. Sélectionnez le bouton Pour vérifier la gouvernance Microsoft Purview. Patientez pendant le traitement de la demande. Cela peut prendre quelques minutes.

    Capture d’écran montrant Azure SQL est régi par Microsoft Purview.

  6. Vérifiez que l’état de gouvernance De Microsoft Purview affiche Governed. Notez que l’activation de la gestion de l’utilisation des données dans Microsoft Purview peut prendre quelques minutes pour que les status appropriées soient reflétées.

Remarque

Si vous désactivez la gestion de l’utilisation des données pour cette source de données de base de données Azure SQL, la mise à jour automatique Not Governedde l’état de gouvernance Microsoft Purview peut prendre jusqu’à 24 heures. Cette opération peut être accélérée en sélectionnant Vérifier la gouvernance Microsoft Purview. Avant d’activer la gestion de l’utilisation des données pour la source de données dans un autre compte Microsoft Purview, vérifiez que l’état de gouvernance Purview s’affiche sous la forme Not Governed. Répétez ensuite les étapes ci-dessus avec le nouveau compte Microsoft Purview.

Créer une stratégie

Pour créer une stratégie d’accès pour Azure SQL Database, suivez ces guides :

Pour créer des stratégies qui couvrent toutes les sources de données à l’intérieur d’un groupe de ressources ou d’un abonnement Azure, consultez Découvrir et régir plusieurs sources Azure dans Microsoft Purview.

Extraire la traçabilité (préversion)

Remarque

La traçabilité n’est actuellement pas prise en charge à l’aide d’un runtime d’intégration auto-hébergé ou d’un runtime de réseau virtuel managé et d’un point de terminaison privé Azure SQL. Vous devez autoriser les services Azure à accéder au serveur sous les paramètres réseau de votre base de données Azure SQL. En savoir plus sur les limitations connues dans l’analyse d’extraction de traçabilité.

Microsoft Purview prend en charge la traçabilité à partir de Azure SQL Database. Lorsque vous configurez une analyse, vous activez le bouton bascule Extraction de traçabilité pour extraire la traçabilité.

Conditions préalables à la configuration d’une analyse avec extraction de traçabilité

  1. Suivez les étapes de la section Configurer l’authentification pour une analyse de cet article pour autoriser Microsoft Purview à analyser votre base de données SQL.

  2. Connectez-vous à Azure SQL Database avec votre compte Azure AD et attribuez db_owner des autorisations à l’identité managée Microsoft Purview.

    Remarque

    Les autorisations « db_owner » sont nécessaires, car la traçabilité est basée sur les sessions XEvent. Microsoft Purview a donc besoin de l’autorisation de gérer les sessions XEvent dans SQL.

    Utilisez l’exemple de syntaxe SQL suivant pour créer un utilisateur et accorder une autorisation. Remplacez par <purview-account> le nom de votre compte.

    Create user <purview-account> FROM EXTERNAL PROVIDER
    GO
    EXEC sp_addrolemember 'db_owner', <purview-account> 
    GO
    
  3. Exécutez la commande suivante sur votre base de données SQL pour créer une clé master :

    Create master key
    Go
    
  4. Vérifiez que l’option Autoriser les services et ressources Azure à accéder à ce serveur est activée sous mise en réseau/pare-feu pour votre ressource Azure SQL.

Créer une analyse avec l’extraction de traçabilité activée

  1. Dans le volet de configuration d’une analyse, activez le bouton bascule Activer l’extraction de traçabilité .

    Capture d’écran montrant le volet de création d’une nouvelle analyse, avec l’extraction de traçabilité activée.

  2. Sélectionnez votre méthode d’authentification en suivant les étapes décrites dans la section Créer l’analyse de cet article.

  3. Une fois l’analyse configurée, un nouveau type d’analyse appelé Extraction de traçabilité exécute des analyses incrémentielles toutes les six heures pour extraire la traçabilité de Azure SQL Database. La traçabilité est extraite en fonction des exécutions de procédure stockée dans la base de données SQL.

    Capture d’écran montrant l’écran qui exécute l’extraction de traçabilité toutes les six heures.

Rechercher Azure SQL ressources de base de données et afficher la traçabilité du runtime

Vous pouvez parcourir le catalogue de données ou effectuer une recherche dans le catalogue de données pour afficher les détails des ressources pour Azure SQL Database. Les étapes suivantes décrivent comment afficher les détails de traçabilité du runtime :

  1. Accédez à l’onglet Traçabilité de la ressource. Le cas échéant, la traçabilité des ressources s’affiche ici.

    Capture d’écran montrant les détails de traçabilité des procédures stockées.

    Le cas échéant, vous pouvez explorer davantage pour voir la traçabilité au niveau de l’instruction SQL dans une procédure stockée, ainsi que la traçabilité au niveau de la colonne. Lorsque vous utilisez des Integration Runtime auto-hébergés pour l’analyse, la récupération des informations d’exploration de traçabilité pendant l’analyse est prise en charge depuis la version 5.25.8374.1.

    Capture d’écran montrant l’exploration de la traçabilité des procédures stockées.

    Pour plus d’informations sur les scénarios de traçabilité de base de données Azure SQL pris en charge, reportez-vous à la section Fonctionnalités prises en charge de cet article. Pour plus d’informations sur la traçabilité en général, consultez Traçabilité des données dans Microsoft Purview et Catalogue de données Microsoft Purview guide de l’utilisateur de traçabilité.

  2. Accédez à la ressource de procédure stockée. Sous l’onglet Propriétés , accédez à Ressources associées pour obtenir les détails d’exécution les plus récents des procédures stockées.

    Capture d’écran montrant les détails de l’exécution pour les propriétés de procédure stockée.

  3. Sélectionnez le lien hypertexte de procédure stockée en regard de Exécutions pour afficher la vue d’ensemble de l’exécution de procédure stockée Azure SQL. Accédez à l’onglet Propriétés pour voir les informations d’exécution améliorées de la procédure stockée, telles que executedTime, rowCount et Client Connection.

    Capture d’écran montrant les propriétés d’exécution d’une procédure stockée.

Résoudre les problèmes d’extraction de traçabilité

Les conseils suivants peuvent vous aider à résoudre les problèmes liés à la traçabilité :

  • Si aucune traçabilité n’est capturée après une exécution réussie de l’extraction de traçabilité, il est possible qu’aucune procédure stockée n’ait été exécutée au moins une fois depuis que vous avez configuré l’analyse.
  • La traçabilité est capturée pour les exécutions de procédure stockée qui se produisent après la configuration d’une analyse réussie. La traçabilité des exécutions de procédure stockée passées n’est pas capturée.
  • Si votre base de données traite des charges de travail lourdes avec un grand nombre d’exécutions de procédures stockées, l’extraction de traçabilité filtre uniquement les exécutions les plus récentes. La procédure stockée s’exécute au début de la fenêtre de six heures, ou les instances d’exécution qui créent une charge de requête importante ne seront pas extraites. Contactez le support technique si vous ne disposez pas d’une traçabilité dans les exécutions de procédure stockée.
  • Si une procédure stockée contient des instructions drop ou create, elles ne sont actuellement pas capturées dans la traçabilité

Prochaines étapes

Pour en savoir plus sur Microsoft Purview et vos données, utilisez ces guides :