Se connecter à un Azure SQL Managed Instance et le gérer dans Microsoft Purview

Cet article explique comment s’inscrire et Azure SQL Managed Instance, ainsi que comment s’authentifier et interagir avec les Azure SQL Managed Instance dans Microsoft Purview. Pour plus d’informations sur Microsoft Purview, consultez l’article d’introduction.

Fonctionnalités prises en charge

Extraction de métadonnées	Analyse complète	Analyse incrémentielle	Analyse délimitée	Classification	Étiquetage	Stratégie d’accès	Lignée	Partage de données	Affichage en direct
Oui	Oui	Oui	Oui	Oui	Oui	Oui (préversion)	Limitée**	Non	Non

** La traçabilité est prise en charge si le jeu de données est utilisé comme source/récepteur dans Data Factory activité Copy

Conditions préalables

• Un compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Un compte Microsoft Purview actif.

• Vous devez être administrateur de source de données et lecteur de données pour inscrire une source et la gérer dans le portail de gouvernance Microsoft Purview. Pour plus d’informations, consultez notre page Autorisations Microsoft Purview .

• Configurer un point de terminaison public dans Azure SQL Managed Instance

  Remarque

  Nous prenons désormais en charge l’analyse Azure SQL Managed Instances via la connexion privée à l’aide de points de terminaison privés d’ingestion Microsoft Purview et d’une machine virtuelle runtime d’intégration auto-hébergée. Pour plus d’informations sur les prérequis, consultez Se connecter à microsoft Purview et analyser les sources de données de manière privée et sécurisée

Inscrire

Cette section explique comment inscrire un Azure SQL Managed Instance dans Microsoft Purview à l’aide du portail de gouvernance Microsoft Purview.

Authentification pour l’inscription

Si vous devez créer une authentification, vous devez autoriser l’accès à la base de données à SQL Database SQL Managed Instance. Microsoft Purview prend en charge trois méthodes d’authentification :

• Identité managée affectée par le système ou l’utilisateur
• Service Principal
• Authentification SQL

Identité managée affectée par le système ou l’utilisateur à inscrire

Vous pouvez utiliser votre identité managée affectée par le système (SAMI) Microsoft Purview ou une identité managée affectée par l’utilisateur (UAMI) pour vous authentifier. Les deux options vous permettent d’attribuer l’authentification directement à Microsoft Purview, comme vous le feriez pour tout autre utilisateur, groupe ou principal de service. L’identité managée affectée par le système Microsoft Purview est créée automatiquement lorsque le compte est créé et porte le même nom que votre compte Microsoft Purview. Une identité managée affectée par l’utilisateur est une ressource qui peut être créée indépendamment. Pour en créer une, vous pouvez suivre notre guide d’identité managée affectée par l’utilisateur.

Vous pouvez trouver votre ID d’objet d’identité managée dans le Portail Azure en procédant comme suit :

Pour l’identité managée affectée par le système du compte Microsoft Purview :

1. Ouvrez le Portail Azure et accédez à votre compte Microsoft Purview.
2. Sélectionnez l’onglet Propriétés dans le menu de gauche.
3. Sélectionnez la valeur ID d’objet Identité managée et copiez-la.

Pour l’identité managée affectée par l’utilisateur (préversion) :

1. Ouvrez le Portail Azure et accédez à votre compte Microsoft Purview.
2. Sélectionnez l’onglet Identités managées dans le menu de gauche.
3. Sélectionnez les identités managées affectées par l’utilisateur, puis sélectionnez l’identité prévue pour afficher les détails.
4. L’ID d’objet (principal) s’affiche dans la section Essentiel de la vue d’ensemble.

L’une ou l’autre identité managée a besoin d’une autorisation pour obtenir des métadonnées pour la base de données, les schémas et les tables, et pour interroger les tables pour la classification.

• Créer un utilisateur Azure AD dans Azure SQL Managed Instance en suivant les conditions préalables et le tutoriel sur Créer des utilisateurs autonomes mappés à des identités Azure AD
• Attribuez db_datareader l’autorisation à l’identité.

Principal de service à inscrire

Plusieurs étapes permettent à Microsoft Purview d’utiliser le principal de service pour analyser votre Azure SQL Managed Instance.

Créer ou utiliser un principal de service existant

Pour utiliser un principal de service, vous pouvez utiliser un principal de service existant ou en créer un nouveau. Si vous envisagez d’utiliser un principal de service existant, passez à l’étape suivante. Si vous devez créer un principal de service, procédez comme suit :

1. Accédez au portail Azure.
2. Sélectionnez Azure Active Directory dans le menu gauche.
3. Sélectionner les inscriptions d’applications.
4. Sélectionnez + Nouvelle inscription d’application.
5. Entrez un nom pour l’application (le nom du principal de service).
6. Sélectionnez Comptes dans cet annuaire organisationnel uniquement.
7. Pour URI de redirection, sélectionnez Web et entrez l’URL souhaitée. il n’est pas nécessaire d’être réel ou de travailler.
8. Sélectionnez ensuite Inscrire.

Configurer l’authentification Azure AD dans le compte de base de données

Le principal de service doit avoir l’autorisation d’obtenir des métadonnées pour la base de données, les schémas et les tables. Il doit également être en mesure d’interroger les tables à échantillonner pour la classification.

• Configurer et gérer l’authentification Azure AD avec Azure SQL
• Créer un utilisateur Azure AD dans Azure SQL Managed Instance en suivant les conditions préalables et le tutoriel sur Créer des utilisateurs autonomes mappés à des identités Azure AD
• Attribuez db_datareader l’autorisation à l’identité.

Ajouter un principal de service au coffre de clés et aux informations d’identification de Microsoft Purview

Il est nécessaire d’obtenir l’ID d’application et le secret du principal de service :

1. Accédez à votre principal de service dans le Portail Azure
2. Copiez les valeurs ID d’application (client) à partir de Vue d’ensemble et Clé secrète client à partir des secrets certificats&.
3. Accédez à votre coffre de clés
4. Sélectionnez Paramètres > Secrets
5. Sélectionnez + Générer/Importer , puis entrez le Nom de votre choix et la Valeur comme clé secrète client de votre principal de service.
6. Sélectionnez Créer pour terminer.
7. Si votre coffre de clés n’est pas encore connecté à Microsoft Purview, vous devez créer une connexion de coffre de clés
8. Enfin, créez des informations d’identification à l’aide du principal de service pour configurer votre analyse.

Authentification SQL à inscrire

Remarque

Seule la connexion du principal au niveau du serveur (créée par le processus d’approvisionnement) ou les membres du loginmanager rôle de base de données dans la base de données master peuvent créer de nouvelles connexions. Cela prend environ 15 minutes après l’octroi de l’autorisation, le compte Microsoft Purview doit disposer des autorisations appropriées pour pouvoir analyser la ou les ressources.

Vous pouvez suivre les instructions de CREATE LOGIN pour créer une connexion pour Azure SQL Managed Instance si cette connexion n’est pas disponible. Vous aurez besoin d’un nom d’utilisateur et d’un mot de passe pour les étapes suivantes.

1. Accédez à votre coffre de clés dans le Portail Azure
2. Sélectionnez Paramètres > Secrets
3. Sélectionnez + Générer/Importer, puis entrez le Nom et la Valeur comme mot de passe de votre Azure SQL Managed Instance
4. Sélectionnez Créer pour terminer.
5. Si votre coffre de clés n’est pas encore connecté à Microsoft Purview, vous devez créer une connexion de coffre de clés
6. Enfin, créez des informations d’identification à l’aide du nom d’utilisateur et du mot de passe pour configurer votre analyse.

Étapes d’inscription

1. Ouvrez le portail de gouvernance Microsoft Purview en :

   • Accédez directement à https://web.purview.azure.com votre compte Microsoft Purview et sélectionnez-les.
   • Ouverture du Portail Azure, recherchez et sélectionnez le compte Microsoft Purview. Sélectionnez le bouton Portail de gouvernance Microsoft Purview .

2. Accédez à Data Map.

3. Sélectionnez Inscrire.

4. Sélectionnez Azure SQL Managed Instance, puis Continuer.

5. Sélectionnez À partir de l’abonnement Azure, sélectionnez l’abonnement approprié dans la zone de liste déroulante Abonnement Azure et le serveur approprié dans la zone de liste déroulante Nom du serveur.

6. Fournissez le nom de domaine complet et le numéro de port du point de terminaison public. Sélectionnez ensuite Inscrire pour inscrire la source de données.

   

   Par exemple : foobar.public.123.database.windows.net,3342

Analyser

Suivez les étapes ci-dessous pour analyser un Azure SQL Managed Instance afin d’identifier automatiquement les ressources et de classifier vos données. Pour plus d’informations sur l’analyse en général, consultez notre présentation des analyses et de l’ingestion.

Créer et exécuter une analyse

Pour créer et exécuter une nouvelle analyse, procédez comme suit :

1. Sélectionnez l’onglet Data Map dans le volet gauche du portail de gouvernance Microsoft Purview.

2. Sélectionnez la source Azure SQL Managed Instance que vous avez inscrite.

3. Sélectionnez Nouvelle analyse

4. Sélectionnez les informations d’identification pour vous connecter à votre source de données.

   

5. Vous pouvez étendre votre analyse à des tables spécifiques en choisissant les éléments appropriés dans la liste.

   

6. Sélectionnez ensuite un ensemble de règles d’analyse. Vous pouvez choisir entre le système par défaut et les ensembles de règles personnalisés existants ou créer un nouvel ensemble de règles inline.

   

7. Choisissez votre déclencheur d’analyse. Vous pouvez configurer une planification ou exécuter l’analyse une seule fois.

   

8. Passez en revue votre analyse et sélectionnez Enregistrer et exécuter.

Si vous rencontrez des difficultés pour vous connecter à votre source de données ou exécuter votre analyse, consultez notre guide de résolution des problèmes pour les analyses et les connexions.

Afficher vos analyses et exécutions d’analyse

Pour afficher les analyses existantes :

1. Accédez au portail de gouvernance Microsoft Purview. Dans le volet gauche, sélectionnez Mappage de données.
2. Sélectionnez la source de données. Vous pouvez afficher une liste des analyses existantes sur cette source de données sous Analyses récentes, ou vous pouvez afficher toutes les analyses sous l’onglet Analyses .
3. Sélectionnez l’analyse qui contient les résultats que vous souhaitez afficher. Le volet affiche toutes les exécutions d’analyse précédentes, ainsi que les status et les métriques pour chaque exécution d’analyse.
4. Sélectionnez l’ID d’exécution pour case activée les détails de l’exécution de l’analyse.

Gérer vos analyses

Pour modifier, annuler ou supprimer une analyse :

1. Accédez au portail de gouvernance Microsoft Purview. Dans le volet gauche, sélectionnez Mappage de données.

2. Sélectionnez la source de données. Vous pouvez afficher une liste des analyses existantes sur cette source de données sous Analyses récentes, ou vous pouvez afficher toutes les analyses sous l’onglet Analyses .

3. Sélectionnez l’analyse que vous souhaitez gérer. Vous pouvez ensuite :

   • Modifiez l’analyse en sélectionnant Modifier l’analyse.
   • Annulez une analyse en cours en sélectionnant Annuler l’exécution de l’analyse.
   • Supprimez votre analyse en sélectionnant Supprimer l’analyse.

Remarque

• La suppression de votre analyse ne supprime pas les ressources de catalogue créées à partir d’analyses précédentes.
• La ressource ne sera plus mise à jour avec des modifications de schéma si votre table source a changé et que vous réexécuterez la table source après avoir modifié la description sous l’onglet Schéma de Microsoft Purview.

Configurer des stratégies d’accès

Les types de stratégies Microsoft Purview suivants sont pris en charge sur cette ressource de données :

• Stratégies DevOps

Conditions préalables à la stratégie d’accès sur Azure SQL MI

• Créez un Azure SQL MI ou utilisez-en un existant dans l’une des régions actuellement disponibles pour cette fonctionnalité. Vous pouvez suivre ce guide pour créer un Azure SQL MI.

Prise en charge des régions

Toutes les régions Microsoft Purview sont prises en charge.

L’application des stratégies Microsoft Purview est disponible uniquement dans les régions suivantes pour Azure SQL MI :

Cloud public :

• USA Est
• USA Est2
• USA Centre Sud
• USA Centre Ouest
• USA Ouest3
• Canada Centre
• Brésil Sud
• Europe Ouest
• Europe Nord
• France Centre
• Sud du Royaume-Uni
• Afrique du Sud Nord
• Inde Centre
• Asie Du Sud-Est
• Asie Est
• Australie Est

Azure SQL configuration mi

Cette section explique comment configurer Azure SQL MI pour honorer les stratégies de Microsoft Purview. Vérifiez d’abord si Azure SQL MI est configuré pour un point de terminaison public ou privé. Ce guide explique comment procéder.

Configuration du point de terminaison public SQL MI

Si Azure SQL mi est configuré pour un point de terminaison public, procédez comme suit

• Configurer un Microsoft Entra Administration. Dans Portail Azure accédez à l’Azure SQL MI, puis accédez à Microsoft Entra dans le menu latéral (anciennement administrateur Active Directory). Définissez un nom Administration, puis sélectionnez Enregistrer. Voir la capture d’écran :

  

• Accédez ensuite à Identité dans le menu latéral. Sous Identité managée affectée par le système case activée status sur Activé, puis sélectionnez Enregistrer. Voir la capture d’écran :

  

Configuration du point de terminaison privé SQL MI

Si Azure SQL mi est configuré pour utiliser un point de terminaison privé, exécutez les mêmes étapes que celles décrites dans la configuration du point de terminaison public, puis procédez comme suit :

• Accédez au groupe de sécurité réseau (NSG) associé à votre Azure SQL MI.

• Ajoutez une règle de sécurité de trafic sortant similaire à celle de la capture d’écran suivante. Destination = Étiquette de service, Balise de service de destination = MicrosoftPurviewPolicyDistribution, Service = HTTPS, Action = Autoriser. Vérifiez également que la priorité de cette règle est inférieure à celle de la règle deny_all_outbound .

  

Configurer le compte Microsoft Purview pour les stratégies

Inscrire la source de données dans Microsoft Purview

Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.

Remarque

Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.

Configurer les autorisations pour activer la gestion de l’utilisation des données sur la source de données

Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer la gestion de l’utilisation des données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer la gestion de l’utilisation des données, vous devez disposer de privilèges iam (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :

• Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :

  • Propriétaire IAM
  • Contributeur IAM et Administrateur de l’accès utilisateur IAM

  Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.

  

  Remarque

  Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels utilisateurs, groupes et principaux de service Azure AD détiennent ou héritent du rôle Propriétaire IAM pour la ressource.

• Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.

  La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.

  

Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès

Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :

• Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
• Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.

En outre, pour rechercher facilement des utilisateurs ou des groupes Azure AD lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez grandement tirer parti de l’obtention de l’autorisation Lecteurs d’annuaire dans Azure AD. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.

Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données

Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.

Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.

Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview

Une fois qu’une ressource a été activée pour la gestion de l’utilisation des données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.

Remarque

Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .

Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.

Inscrire les sources de données dans Microsoft Purview

La source de données Azure SQL Managed Instance doit d’abord être inscrite auprès de Microsoft Purview, avant de pouvoir créer des stratégies d’accès. Vous pouvez suivre les sections « Prérequis » et « Inscrire la source de données » de ce guide :

Inscrire et analyser Azure SQL MI

Une fois que vous avez inscrit vos ressources, vous devez activer l’application de la stratégie (anciennement Gestion de l’utilisation des données). L’application de stratégie nécessite certaines autorisations et peut affecter la sécurité de vos données, car elle délègue à certains rôles Microsoft Purview la possibilité de gérer l’accès aux sources de données. Passez en revue les pratiques sécurisées liées à l’application de la stratégie dans ce guide : Comment activer l’application de stratégie

Une fois que le bouton bascule Application de la stratégie est activé pour votre source de données, il ressemble à cette capture d’écran. Cela permet d’utiliser les stratégies d’accès avec la source de données donnée

Revenez à la Portail Azure pour Azure SQL Database afin de vérifier qu’elle est désormais régie par Microsoft Purview :

1. Connectez-vous au Portail Azure via ce lien

2. Sélectionnez le serveur Azure SQL que vous souhaitez configurer.

3. Accédez à Azure Active Directory dans le volet gauche.

4. Faites défiler jusqu’à Stratégies d’accès Microsoft Purview.

5. Sélectionnez le bouton Pour vérifier la gouvernance Microsoft Purview. Patientez pendant le traitement de la demande. Cela peut prendre quelques minutes.

   

6. Vérifiez que l’état de gouvernance De Microsoft Purview affiche Governed. Notez que l’activation de la gestion de l’utilisation des données dans Microsoft Purview peut prendre quelques minutes pour que les status appropriées soient reflétées.

Remarque

Si vous désactivez la gestion de l’utilisation des données pour cette source de données de base de données Azure SQL, la mise à jour automatique Not Governedde l’état de gouvernance Microsoft Purview peut prendre jusqu’à 24 heures. Cette opération peut être accélérée en sélectionnant Vérifier la gouvernance Microsoft Purview. Avant d’activer la gestion de l’utilisation des données pour la source de données dans un autre compte Microsoft Purview, vérifiez que l’état de gouvernance Purview s’affiche sous la forme Not Governed. Répétez ensuite les étapes ci-dessus avec le nouveau compte Microsoft Purview.

Créer une stratégie

Pour créer des stratégies d’accès pour Azure SQL MI, suivez ces guides :

• Pour créer une stratégie DevOps sur un seul Azure SQL mi, consultez Provisionner l’accès aux informations d’intégrité, de performances et d’audit du système dans Azure SQL MI.
• Pour créer des stratégies qui couvrent toutes les sources de données à l’intérieur d’un groupe de ressources ou d’un abonnement Azure, consultez Découvrir et régir plusieurs sources Azure dans Microsoft Purview.

Prochaines étapes

Maintenant que vous avez inscrit votre source, suivez les guides ci-dessous pour en savoir plus sur Microsoft Purview et vos données.

• Concepts pour les stratégies Microsoft Purview DevOps
• Data Estate Insights dans Microsoft Purview
• Traçabilité dans Microsoft Purview
• Data Catalog de recherche