Découvrir et gouverner Azure SQL Database dans Microsoft Purview

Cet article décrit le processus d’inscription d’une source de base de données Azure SQL dans Microsoft Purview. Il inclut des instructions pour l’authentification et l’interaction avec la base de données SQL.

Fonctionnalités prises en charge

Extraction de métadonnées	Analyse complète	Analyse incrémentielle	Analyse délimitée	Classification	Étiquetage	Stratégie d’accès	Lignée	Partage de données	Affichage en direct
Oui	Oui	Oui	Oui	Oui	Oui	Oui	Oui (préversion)	Non	Oui

Remarque

L’extraction de traçabilité des données est actuellement prise en charge uniquement pour les exécutions de procédures stockées. La traçabilité est également prise en charge si Azure SQL tables ou vues sont utilisées comme source/récepteur dans Azure Data Factory activités de copie et de Data Flow.

Lorsque vous analysez Azure SQL Database, Microsoft Purview prend en charge l’extraction de métadonnées techniques à partir de ces sources :

• Serveur
• Database
• Schémas
• Tables, y compris les colonnes
• Vues, y compris les colonnes
• Procédures stockées (avec extraction de traçabilité activée)
• Exécutions de procédures stockées (avec extraction de traçabilité activée)

Lorsque vous configurez une analyse, vous pouvez l’étendre davantage après avoir fourni le nom de la base de données en sélectionnant les tables et les vues en fonction des besoins.

Limitations connues

• Microsoft Purview prend en charge un maximum de 800 colonnes sous l’onglet schéma. S’il y a plus de 800 colonnes, Microsoft Purview affiche Colonnes supplémentaires tronquées.
• Pour l’analyse d’extraction de traçabilité :
  • L’analyse de l’extraction de traçabilité n’est actuellement pas prise en charge si votre serveur logique dans Azure désactive l’accès public ou n’autorise pas les services Azure à y accéder.
  • L’analyse d’extraction de traçabilité est planifiée pour s’exécuter toutes les six heures par défaut. La fréquence ne peut pas être modifiée.
  • La traçabilité est capturée uniquement lorsque l’exécution de la procédure stockée transfère des données d’une table à une autre. Et il n’est pas pris en charge pour les tables temporaires.
  • L’extraction de traçabilité n’est pas prise en charge pour les fonctions ou les déclencheurs.
  • Notez qu’en raison des limitations suivantes, vous pouvez actuellement voir des ressources en double dans le catalogue si vous avez de tels scénarios.
    • Les noms d’objets dans les ressources et les noms complets suivent le cas utilisé dans les instructions de procédure stockée, qui peut ne pas s’aligner sur la casse de l’objet dans la source de données d’origine.
    • Lorsque les vues SQL sont référencées dans des procédures stockées, elles sont actuellement capturées en tant que tables SQL.

Configuration requise

• Un compte Azure avec un abonnement actif. Créez un compte gratuitement.

• Un compte Microsoft Purview actif.

• Autorisations Administrateur de source de données et Lecteur de données, afin que vous puissiez inscrire une source et la gérer dans le portail de gouvernance Microsoft Purview. Pour plus d’informations, consultez Contrôle d’accès dans le portail de gouvernance Microsoft Purview.

Inscrire la source de données

Avant d’analyser, il est important d’inscrire la source de données dans Microsoft Purview :

1. Ouvrez le portail de gouvernance Microsoft Purview en :

   • Accédez directement à https://web.purview.azure.com votre compte Microsoft Purview et sélectionnez-les.
   • Ouverture du Portail Azure, recherchez et sélectionnez le compte Microsoft Purview. Sélectionnez le bouton Portail de gouvernance Microsoft Purview .

2. Accédez à Data Map.

   

3. Créez la hiérarchie de collection en accédant à Collections , puis en sélectionnant Ajouter une collection. Attribuez des autorisations à des sous-collections individuelles en fonction des besoins.

   

4. Accédez à la collection appropriée sous Sources, puis sélectionnez l’icône Inscrire pour inscrire une nouvelle base de données SQL.

   

5. Sélectionnez la source de données Azure SQL Base de données, puis sélectionnez Continuer.

6. Pour Nom, fournissez un nom approprié pour la source de données. Sélectionnez les noms appropriés pour Abonnement Azure, Nom du serveur et Sélectionner une collection, puis sélectionnez Appliquer.

   

7. Vérifiez que la base de données SQL apparaît sous la collection sélectionnée.

   

Mettre à jour les paramètres du pare-feu

Si un pare-feu est activé sur votre serveur de base de données, vous devez mettre à jour le pare-feu pour autoriser l’accès de l’une des manières suivantes :

• Autorisez les connexions Azure via le pare-feu. Il s’agit d’une option simple pour acheminer le trafic via la mise en réseau Azure, sans avoir à gérer les machines virtuelles.
• Installez un runtime d’intégration auto-hébergé sur une machine de votre réseau et accordez-lui l’accès via le pare-feu. Si vous disposez d’un réseau virtuel privé configuré dans Azure ou si un autre réseau fermé est configuré, l’utilisation d’un runtime d’intégration auto-hébergé sur une machine au sein de ce réseau vous permet de gérer entièrement le flux de trafic et d’utiliser votre réseau existant.
• Utilisez un réseau virtuel managé. La configuration d’un réseau virtuel managé avec votre compte Microsoft Purview vous permet de vous connecter à Azure SQL à l’aide du runtime d’intégration Azure dans un réseau fermé.

Pour plus d’informations sur le pare-feu, consultez la documentation sur le pare-feu de base de données Azure SQL.

Autoriser les connexions Azure

L’activation des connexions Azure permet à Microsoft Purview de se connecter au serveur sans que vous mettez à jour le pare-feu lui-même.

1. Accédez à votre compte de base de données.
2. Dans la page Vue d’ensemble , sélectionnez le nom du serveur.
3. SélectionnezPare-feu desécurité> et réseaux virtuels.
4. Pour Autoriser les services et ressources Azure à accéder à ce serveur, sélectionnez Oui.

Pour plus d’informations sur l’autorisation des connexions à partir d’Azure, consultez le guide pratique.

Installer un runtime d’intégration auto-hébergé

Vous pouvez installer un runtime d’intégration auto-hébergé sur un ordinateur pour vous connecter à une ressource dans un réseau privé :

1. Créez et installez un runtime d’intégration auto-hébergé sur un ordinateur personnel ou sur un ordinateur à l’intérieur du même réseau virtuel que votre serveur de base de données.
2. Vérifiez la configuration réseau de votre serveur de base de données pour vérifier qu’un point de terminaison privé est accessible à la machine qui contient le runtime d’intégration auto-hébergé. Ajoutez l’adresse IP de l’ordinateur s’il n’y a pas encore accès.
3. Si votre serveur logique se trouve derrière un point de terminaison privé ou dans un réseau virtuel, vous pouvez utiliser un point de terminaison privé d’ingestion pour garantir l’isolation réseau de bout en bout.

Configurer l’authentification pour une analyse

Pour analyser votre source de données, vous devez configurer une méthode d’authentification dans Azure SQL Database.

Importante

Si vous utilisez un runtime d’intégration auto-hébergé pour vous connecter à votre ressource, les identités managées affectées par le système et affectées par l’utilisateur ne fonctionnent pas. Vous devez utiliser l’authentification du principal de service ou l’authentification SQL.

Microsoft Purview prend en charge les options suivantes :

• Identité managée affectée par le système (SAMI) (recommandé). Il s’agit d’une identité directement associée à votre compte Microsoft Purview. Il vous permet de vous authentifier directement auprès d’autres ressources Azure sans avoir à gérer un utilisateur ou un ensemble d’informations d’identification.

  Le SAMI est créé lors de la création de votre ressource Microsoft Purview. Il est géré par Azure et utilise le nom de votre compte Microsoft Purview. Actuellement, la SAMI ne peut pas être utilisée avec un runtime d’intégration auto-hébergé pour Azure SQL.

  Pour plus d’informations, consultez vue d’ensemble des identités managées.

• Identité managée affectée par l’utilisateur (UAMI) (préversion). À l’instar d’une SAMI, une interface utilisateur est une ressource d’informations d’identification qui permet à Microsoft Purview de s’authentifier auprès d’Azure Active Directory (Azure AD).

  L’interface utilisateur est gérée par les utilisateurs dans Azure, plutôt que par Azure lui-même, ce qui vous donne plus de contrôle sur la sécurité. Actuellement, l’interface utilisateur ne peut pas être utilisée avec un runtime d’intégration auto-hébergé pour Azure SQL.

  Pour plus d’informations, consultez le guide des identités managées affectées par l’utilisateur.

• Principal de service. Un principal de service est une application qui peut se voir attribuer des autorisations comme n’importe quel autre groupe ou utilisateur, sans être directement associée à une personne. L’authentification pour les principaux de service ayant une date d’expiration, elle peut être utile pour les projets temporaires.

  Pour plus d’informations, consultez la documentation du principal de service.

• Authentification SQL. Connectez-vous à la base de données SQL avec un nom d’utilisateur et un mot de passe. Pour plus d’informations, consultez la documentation sur l’authentification SQL.

  Si vous devez créer une connexion, suivez ce guide pour interroger une base de données SQL. Utilisez ce guide pour créer une connexion à l’aide de T-SQL.

  Remarque

  Veillez à sélectionner l’option Base de données Azure SQL sur la page.

Pour connaître les étapes d’authentification auprès de votre base de données SQL, sélectionnez la méthode d’authentification choisie dans les onglets suivants.

Authentification SQL

Remarque

Seule la connexion du principal au niveau du serveur (créée par le processus d’approvisionnement) ou les membres du loginmanager rôle de base de données dans la base de données master peuvent créer de nouvelles connexions. Le compte Microsoft Purview doit être en mesure d’analyser les ressources environ 15 minutes après avoir atteint les autorisations.

1. Vous avez besoin d’une connexion SQL avec au moins db_datareader des autorisations pour pouvoir accéder aux informations dont Microsoft Purview a besoin pour analyser la base de données. Vous pouvez suivre les instructions de CREATE LOGIN pour créer une connexion pour Azure SQL Database. Enregistrez le nom d’utilisateur et le mot de passe pour les étapes suivantes.

2. Accédez à votre coffre de clés dans le Portail Azure.

3. Sélectionnez Paramètres>Secrets, puis + Générer/Importer.

   

4. Pour Nom et Valeur, utilisez le nom d’utilisateur et le mot de passe (respectivement) de votre base de données SQL.

5. Sélectionnez Créer.

6. Si votre coffre de clés n’est pas encore connecté à Microsoft Purview, créez une connexion au coffre de clés.

7. Créez des informations d’identification à l’aide de la clé pour configurer votre analyse.

   

   

Identité gérée

Importante

Si vous utilisez un runtime d’intégration auto-hébergé pour vous connecter à votre ressource, les identités managées affectées par le système et affectées par l’utilisateur ne fonctionnent pas. Vous devez utiliser l’authentification SQL ou l’authentification du principal de service.

Configurer l’authentification Azure AD dans le compte de base de données

L’identité managée a besoin d’une autorisation pour obtenir des métadonnées pour la base de données, les schémas et les tables. Il doit également être autorisé à interroger les tables à échantillonner pour la classification.

1. Si ce n’est déjà fait, configurez l’authentification Azure AD avec Azure SQL.

2. Créez un utilisateur Azure AD dans Azure SQL Database avec l’identité managée exacte de Microsoft Purview. Suivez les étapes décrites dans Créer l’utilisateur du principal de service dans Azure SQL Database.

3. Attribuez l’autorisation appropriée (par exemple : db_datareader) à l’identité. Voici un exemple de syntaxe SQL pour créer l’utilisateur et accorder l’autorisation :

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   Remarque

   La [Username] valeur est votre nom d’identité managée à partir de Microsoft Purview. Vous pouvez en savoir plus sur les rôles de base de données fixe et leurs fonctionnalités.

Configurer l’authentification du portail

Il est important de donner à l’identité managée affectée par le système ou à l’identité managée affectée par l’utilisateur de votre compte Microsoft Purview l’autorisation d’analyser la base de données SQL. Vous pouvez ajouter le SAMI ou l’interface utilisateur utilisateur au niveau de l’abonnement, du groupe de ressources ou de la ressource, en fonction de l’étendue de l’analyse.

Remarque

Pour ajouter une identité managée sur une ressource Azure, vous devez être propriétaire de l’abonnement.

1. Dans le Portail Azure, recherchez l’abonnement, le groupe de ressources ou la ressource (par exemple, une base de données SQL) que le catalogue doit analyser.

2. Sélectionnez Contrôle d’accès (IAM) dans le menu de gauche, puis + Ajouter>Ajouter une attribution de rôle.

   

3. Définissez Rôle sur Lecteur. Dans la zone Sélectionner , entrez le nom de votre compte Microsoft Purview ou uAMI. Sélectionnez ensuite Enregistrer pour attribuer cette attribution de rôle à votre compte Microsoft Purview.

   

Principal de service

Créer un principal de service

Si vous n’avez pas de principal de service, vous pouvez suivre le guide du principal de service pour en créer un.

Remarque

Pour créer un principal de service, vous devez inscrire une application dans votre locataire Azure AD. Si vous n’avez pas l’accès requis, votre administrateur général Azure AD ou votre administrateur d’application peut effectuer cette opération.

Accorder au principal de service l’accès à votre base de données SQL

Le principal de service a besoin d’une autorisation pour obtenir les métadonnées de la base de données, des schémas et des tables. Il doit également être autorisé à interroger les tables à échantillonner pour la classification.

1. Si ce n’est déjà fait, configurez l’authentification Azure AD avec Azure SQL.

2. Créez un utilisateur Azure AD dans Azure SQL Database avec votre principal de service. Suivez les étapes décrites dans Créer l’utilisateur du principal de service dans Azure SQL Database.

3. Attribuez l’autorisation appropriée (par exemple : db_datareader) à l’identité. Voici un exemple de syntaxe SQL pour créer l’utilisateur et accorder l’autorisation :

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   Remarque

   La [Username] valeur est le nom de votre propre principal de service. Vous pouvez en savoir plus sur les rôles de base de données fixe et leurs fonctionnalités.

Créer les informations d’identification

1. Accédez à votre coffre de clés dans le Portail Azure.

2. Sélectionnez Paramètres>Secrets, puis + Générer/Importer.

   

3. Pour Nom, donnez au secret le nom de votre choix.

4. Pour Valeur, utilisez la valeur secrète du principal de service. Si vous avez déjà créé un secret pour votre principal de service, vous pouvez trouver sa valeur dans Informations d’identification du client sur la page de présentation de votre secret.

   Si vous devez créer un secret, vous pouvez suivre les étapes décrites dans le guide du principal de service.

   

5. Sélectionnez Créer pour créer le secret.

6. Si votre coffre de clés n’est pas encore connecté à Microsoft Purview, créez une connexion au coffre de clés.

7. Créez des informations d’identification.

   

8. Pour ID de principal de service, utilisez l’ID d’application (client) de votre principal de service.

   

9. Pour Nom du secret, utilisez le nom du secret que vous avez créé dans les étapes précédentes.

   

Créer l’analyse

1. Ouvrez votre compte Microsoft Purview et sélectionnez Ouvrir le portail de gouvernance Microsoft Purview.

2. Accédez à Data Map>Sources pour afficher la hiérarchie de la collection.

3. Sélectionnez l’icône Nouvelle analyse sous la base de données SQL que vous avez inscrite précédemment.

   

Pour en savoir plus sur la traçabilité des données dans Azure SQL Database, consultez la section Extraire la traçabilité (préversion) de cet article.

Pour les étapes d’analyse, sélectionnez votre méthode d’authentification dans les onglets suivants.

Authentification SQL

1. Pour Nom, fournissez un nom pour l’analyse.

2. Pour Méthode de sélection de base de données, sélectionnez Entrer manuellement.

3. Pour Nom de la base de données et Informations d’identification, entrez les valeurs que vous avez créées précédemment.

   

4. Pour Sélectionner une connexion, choisissez la collection appropriée pour l’analyse.

5. Sélectionnez Tester la connexion pour valider la connexion. Une fois la connexion établie, sélectionnez Continuer.

Identité gérée

1. Pour Nom, fournissez un nom pour l’analyse.

2. Sélectionnez SAMI ou UAMI sous Informations d’identification, puis choisissez la collection appropriée pour l’analyse.

   

3. Sélectionnez Tester la connexion. Une fois la connexion établie, sélectionnez Continuer.

   

Principal de service

1. Pour Nom, fournissez un nom pour l’analyse.

2. Choisissez la collection appropriée pour l’analyse, puis sélectionnez les informations d’identification que vous avez créées précédemment sous Informations d’identification.

   

3. Sélectionnez Tester la connexion. Une fois la connexion établie, sélectionnez Continuer.

Étendue et exécution de l’analyse

1. Vous pouvez limiter votre analyse à des objets de base de données spécifiques en choisissant les éléments appropriés dans la liste.

   

2. Sélectionnez un ensemble de règles d’analyse. Vous pouvez utiliser la valeur système par défaut, choisir parmi des ensembles de règles personnalisés existants ou créer un nouvel ensemble de règles inline. Sélectionnez Continuer lorsque vous avez terminé.

   

   Si vous sélectionnez Nouvel ensemble de règles d’analyse, un volet s’ouvre pour vous permettre d’entrer le type de source, le nom de l’ensemble de règles et une description. Sélectionnez Continuer lorsque vous avez terminé.

   

   Pour Sélectionner des règles de classification, choisissez les règles de classification que vous souhaitez inclure dans l’ensemble de règles d’analyse, puis sélectionnez Créer.

   

   Le nouvel ensemble de règles d’analyse apparaît alors dans la liste des ensembles de règles disponibles.

   

3. Choisissez votre déclencheur d’analyse. Vous pouvez configurer une planification ou exécuter l’analyse une seule fois.

4. Passez en revue votre analyse, puis sélectionnez Enregistrer et exécuter.

Afficher une analyse

Pour case activée la status d’une analyse, accédez à la source de données dans la collection, puis sélectionnez Afficher les détails.

Les détails de l’analyse indiquent la progression de l’analyse dans Dernière exécution status, ainsi que le nombre de ressources analysées et classifiées. La dernière exécution status est mise à jour vers En cours, puis Terminée une fois l’analyse complète exécutée correctement.

Gérer une analyse

Après avoir exécuté une analyse, vous pouvez utiliser l’historique des exécutions pour la gérer :

1. Sous Analyses récentes, sélectionnez une analyse.

   

2. Dans l’historique des exécutions, vous avez des options pour réexécuter l’analyse, la modifier ou la supprimer.

   

   Si vous sélectionnez Exécuter l’analyse maintenant pour réexécuter l’analyse, vous pouvez choisir Analyse incrémentielle ou Analyse complète.

   

Résoudre les problèmes d’analyse

Si vous rencontrez des problèmes d’analyse, suivez ces conseils :

• Vérifiez que vous avez suivi toutes les conditions préalables.
• Vérifiez le réseau en confirmant le pare-feu, les connexions Azure ou les paramètres du runtime d’intégration .
• Vérifiez que l’authentification est correctement configurée.

Pour plus d’informations, consultez Résoudre les problèmes de connexion dans Microsoft Purview.

Configurer des stratégies d’accès

Les types de stratégies Microsoft Purview suivants sont pris en charge sur cette ressource de données :

• Stratégies DevOps
• Stratégies de propriétaire des données
• Stratégies en libre-service

Conditions préalables à la stratégie d’accès sur Azure SQL Database

• Créez un instance de base de données Azure SQL ou utilisez-en un existant dans l’une des régions actuellement disponibles pour cette fonctionnalité. Vous pouvez suivre ce guide pour créer un Azure SQL Database instance.

Prise en charge des régions

Toutes les régions Microsoft Purview sont prises en charge.

L’application des stratégies Microsoft Purview est disponible uniquement dans les régions suivantes pour Azure SQL Database :

Cloud public :

• USA Est
• USA Est2
• USA Centre Sud
• USA Centre Ouest
• USA Ouest3
• Canada Centre
• Brésil Sud
• Europe Ouest
• Europe Nord
• France Centre
• Sud du Royaume-Uni
• Afrique du Sud Nord
• Inde Centre
• Asie Du Sud-Est
• Asie Est
• Australie Est

Clouds souverains :

• USGov Virginie
• Chine Nord 3

Configurer le instance de base de données Azure SQL pour les stratégies à partir de Microsoft Purview

Pour que le serveur logique associé à Azure SQL Database respecte les stratégies de Microsoft Purview, vous devez configurer un administrateur Azure Active Directory. Dans le Portail Azure, accédez au serveur logique qui héberge le Azure SQL Database instance. Dans le menu latéral, sélectionnez Azure Active Directory. Définissez un nom d’administrateur sur n’importe quel utilisateur ou groupe Azure Active Directory que vous préférez, puis sélectionnez Enregistrer.

Ensuite, dans le menu latéral, sélectionnez Identité. Sous Identité managée affectée par le système, définissez le status sur Activé, puis sélectionnez Enregistrer.

Configurer le compte Microsoft Purview pour les stratégies

Inscrire la source de données dans Microsoft Purview

Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.

Remarque

Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.

Configurer les autorisations pour activer la gestion de l’utilisation des données sur la source de données

Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer la gestion de l’utilisation des données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer la gestion de l’utilisation des données, vous devez disposer de privilèges iam (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :

• Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :

  • Propriétaire IAM
  • Contributeur IAM et Administrateur de l’accès utilisateur IAM

  Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.

  

  Remarque

  Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels utilisateurs, groupes et principaux de service Azure AD détiennent ou héritent du rôle Propriétaire IAM pour la ressource.

• Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.

  La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.

  

Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès

Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :

• Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
• Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.

En outre, pour rechercher facilement des utilisateurs ou des groupes Azure AD lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez grandement tirer parti de l’obtention de l’autorisation Lecteurs d’annuaire dans Azure AD. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.

Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données

Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.

Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.

Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview

Une fois qu’une ressource a été activée pour la gestion de l’utilisation des données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.

Remarque

Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .

Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.

Inscrire la source de données et activer la gestion de l’utilisation des données

La ressource de base de données Azure SQL doit être inscrite auprès de Microsoft Purview avant de pouvoir créer des stratégies d’accès. Pour inscrire vos ressources, suivez les sections « Prérequis » et « Inscrire la source de données » de ce document.

Après avoir inscrit la source de données, vous devez activer la gestion de l’utilisation des données. Il s’agit d’un prérequis avant de pouvoir créer des stratégies sur la source de données. La gestion de l’utilisation des données peut affecter la sécurité de vos données, car elle délègue à certains rôles Microsoft Purview qui gèrent l’accès aux sources de données. Suivez les pratiques de sécurité dans Activer la gestion de l’utilisation des données sur vos sources Microsoft Purview.

Une fois que l’option de gestion de l’utilisation des données est définie sur Activé pour votre source de données, elle ressemble à cette capture d’écran :

Revenez à la Portail Azure pour Azure SQL Database afin de vérifier qu’elle est désormais régie par Microsoft Purview :

1. Connectez-vous au Portail Azure via ce lien

2. Sélectionnez le serveur Azure SQL que vous souhaitez configurer.

3. Accédez à Azure Active Directory dans le volet gauche.

4. Faites défiler jusqu’à Stratégies d’accès Microsoft Purview.

5. Sélectionnez le bouton Pour vérifier la gouvernance Microsoft Purview. Patientez pendant le traitement de la demande. Cela peut prendre quelques minutes.

   

6. Vérifiez que l’état de gouvernance De Microsoft Purview affiche Governed. Notez que l’activation de la gestion de l’utilisation des données dans Microsoft Purview peut prendre quelques minutes pour que les status appropriées soient reflétées.

Remarque

Si vous désactivez la gestion de l’utilisation des données pour cette source de données de base de données Azure SQL, la mise à jour automatique Not Governedde l’état de gouvernance Microsoft Purview peut prendre jusqu’à 24 heures. Cette opération peut être accélérée en sélectionnant Vérifier la gouvernance Microsoft Purview. Avant d’activer la gestion de l’utilisation des données pour la source de données dans un autre compte Microsoft Purview, vérifiez que l’état de gouvernance Purview s’affiche sous la forme Not Governed. Répétez ensuite les étapes ci-dessus avec le nouveau compte Microsoft Purview.

Créer une stratégie

Pour créer une stratégie d’accès pour Azure SQL Database, suivez ces guides :

• Approvisionner l’accès aux informations d’intégrité du système, de performances et d’audit dans Azure SQL Database. Utilisez ce guide pour appliquer une stratégie DevOps sur une base de données SQL unique.
• Provisionner l’accès en lecture/modification sur une base de données Azure SQL unique. Utilisez ce guide pour provisionner l’accès sur un seul compte de base de données SQL dans votre abonnement.
• Stratégies d’accès en libre-service pour Azure SQL Database. Utilisez ce guide pour permettre aux consommateurs de données de demander l’accès aux ressources de données à l’aide d’un workflow libre-service.

Pour créer des stratégies qui couvrent toutes les sources de données à l’intérieur d’un groupe de ressources ou d’un abonnement Azure, consultez Découvrir et régir plusieurs sources Azure dans Microsoft Purview.

Extraire la traçabilité (préversion)

Remarque

La traçabilité n’est actuellement pas prise en charge à l’aide d’un runtime d’intégration auto-hébergé ou d’un runtime de réseau virtuel managé et d’un point de terminaison privé Azure SQL. Vous devez autoriser les services Azure à accéder au serveur sous les paramètres réseau de votre base de données Azure SQL. En savoir plus sur les limitations connues dans l’analyse d’extraction de traçabilité.

Microsoft Purview prend en charge la traçabilité à partir de Azure SQL Database. Lorsque vous configurez une analyse, vous activez le bouton bascule Extraction de traçabilité pour extraire la traçabilité.

Conditions préalables à la configuration d’une analyse avec extraction de traçabilité

1. Suivez les étapes de la section Configurer l’authentification pour une analyse de cet article pour autoriser Microsoft Purview à analyser votre base de données SQL.

2. Connectez-vous à Azure SQL Database avec votre compte Azure AD et attribuez db_owner des autorisations à l’identité managée Microsoft Purview.

   Remarque

   Les autorisations « db_owner » sont nécessaires, car la traçabilité est basée sur les sessions XEvent. Microsoft Purview a donc besoin de l’autorisation de gérer les sessions XEvent dans SQL.

   Utilisez l’exemple de syntaxe SQL suivant pour créer un utilisateur et accorder une autorisation. Remplacez par <purview-account> le nom de votre compte.

   Create user <purview-account> FROM EXTERNAL PROVIDER
   GO
   EXEC sp_addrolemember 'db_owner', <purview-account> 
   GO
   

3. Exécutez la commande suivante sur votre base de données SQL pour créer une clé master :

   Create master key
   Go
   

4. Vérifiez que l’option Autoriser les services et ressources Azure à accéder à ce serveur est activée sous mise en réseau/pare-feu pour votre ressource Azure SQL.

Créer une analyse avec l’extraction de traçabilité activée

1. Dans le volet de configuration d’une analyse, activez le bouton bascule Activer l’extraction de traçabilité .

   

2. Sélectionnez votre méthode d’authentification en suivant les étapes décrites dans la section Créer l’analyse de cet article.

3. Une fois l’analyse configurée, un nouveau type d’analyse appelé Extraction de traçabilité exécute des analyses incrémentielles toutes les six heures pour extraire la traçabilité de Azure SQL Database. La traçabilité est extraite en fonction des exécutions de procédure stockée dans la base de données SQL.

   

Rechercher Azure SQL ressources de base de données et afficher la traçabilité du runtime

Vous pouvez parcourir le catalogue de données ou effectuer une recherche dans le catalogue de données pour afficher les détails des ressources pour Azure SQL Database. Les étapes suivantes décrivent comment afficher les détails de traçabilité du runtime :

1. Accédez à l’onglet Traçabilité de la ressource. Le cas échéant, la traçabilité des ressources s’affiche ici.

   

   Le cas échéant, vous pouvez explorer davantage pour voir la traçabilité au niveau de l’instruction SQL dans une procédure stockée, ainsi que la traçabilité au niveau de la colonne. Lorsque vous utilisez des Integration Runtime auto-hébergés pour l’analyse, la récupération des informations d’exploration de traçabilité pendant l’analyse est prise en charge depuis la version 5.25.8374.1.

   

   Pour plus d’informations sur les scénarios de traçabilité de base de données Azure SQL pris en charge, reportez-vous à la section Fonctionnalités prises en charge de cet article. Pour plus d’informations sur la traçabilité en général, consultez Traçabilité des données dans Microsoft Purview et Catalogue de données Microsoft Purview guide de l’utilisateur de traçabilité.

2. Accédez à la ressource de procédure stockée. Sous l’onglet Propriétés , accédez à Ressources associées pour obtenir les détails d’exécution les plus récents des procédures stockées.

   

3. Sélectionnez le lien hypertexte de procédure stockée en regard de Exécutions pour afficher la vue d’ensemble de l’exécution de procédure stockée Azure SQL. Accédez à l’onglet Propriétés pour voir les informations d’exécution améliorées de la procédure stockée, telles que executedTime, rowCount et Client Connection.

   

Résoudre les problèmes d’extraction de traçabilité

Les conseils suivants peuvent vous aider à résoudre les problèmes liés à la traçabilité :

• Si aucune traçabilité n’est capturée après une exécution réussie de l’extraction de traçabilité, il est possible qu’aucune procédure stockée n’ait été exécutée au moins une fois depuis que vous avez configuré l’analyse.
• La traçabilité est capturée pour les exécutions de procédure stockée qui se produisent après la configuration d’une analyse réussie. La traçabilité des exécutions de procédure stockée passées n’est pas capturée.
• Si votre base de données traite des charges de travail lourdes avec un grand nombre d’exécutions de procédures stockées, l’extraction de traçabilité filtre uniquement les exécutions les plus récentes. La procédure stockée s’exécute au début de la fenêtre de six heures, ou les instances d’exécution qui créent une charge de requête importante ne seront pas extraites. Contactez le support technique si vous ne disposez pas d’une traçabilité dans les exécutions de procédure stockée.
• Si une procédure stockée contient des instructions drop ou create, elles ne sont actuellement pas capturées dans la traçabilité

Prochaines étapes

Pour en savoir plus sur Microsoft Purview et vos données, utilisez ces guides :

• Concepts pour les stratégies de propriétaire de données Microsoft Purview
• Concepts pour les stratégies Microsoft Purview DevOps
• Comprendre l’application Aperçu d'infrastructure de données Microsoft Purview
• guide d’utilisation de la traçabilité Catalogue de données Microsoft Purview
• Rechercher dans le Catalogue de données Microsoft Purview