Azure Portal で SQL Database 動的データ マスクを使用する

適用対象:Azure SQL Database

この記事では、Azure Portal で動的データ マスクを実装する方法を示します。 Azure SQL Database コマンドレットまたは REST API を使って動的データ マスクを実装することもできます。

注意

この機能は、ポータルを使用して SQL Managed Instance に設定することはできません (PowerShell または REST API を使用してください)。 詳細については、「 Dynamic Data Masking」を参照してください。

動的データ マスクを有効にする

1. Azure portal (https://portal.azure.com) を起動します。

2. Azure portal のデータベース リソースに移動します。

3. [セキュリティ]セクションの[動的データ マスク]ウィンドウを選択します。

   

4. 動的データ マスク構成ページには、推奨エンジンがマスク対象として推奨したデータベース列がいくつか表示される場合があります。 推奨を受け入れるには、1 つまたは複数の列の [マスクの追加] をクリックします。その列の既定タイプに基づきマスクが作成されます。 マスク機能を変更できます。その場合、マスク ルールをクリックし、マスク フィールド形式を別の形式に変更します。 必ず [保存] をクリックして設定を保存します。

   

5. データベースの列にマスクを追加するには、 [動的データ マスク] 構成ページの一番上にある [マスクの追加] をクリックし、 [マスク ルールの追加] 構成ページを開きます。

   

6. [スキーマ] 、 [テーブル] 、 [列] を選択し、マスクする指定のフィールドを定義します。

7. 機密データのマスク カテゴリの一覧からマスク方法を選択します。

   

8. データ マスク ルール ページの [追加] をクリックして、動的データ マスク ポリシーのマスク ルールのセットを更新します。

9. Microsoft Entra ID (旧称 Azure Active Directory) の SQL 認証されたユーザーまたは認証された ID を入力します。この ID はマスキングから除外され、マスキングされていない機密データにアクセスできます。 ユーザーをセミコロンで区切った一覧にします。 管理者特権を持つユーザーは常にマスクされていない元のデータにアクセスできます。

   

   ヒント

   アプリケーションの特権を持つユーザーに対してアプリケーション レイヤーがデリケートなデータを表示できるようにするには、アプリケーションストアでデータベースの照会に使用される SQL ユーザーまたは Microsoft Entra の ID を追加します。 デリケートなデータの公開を最小限に抑えるには、この一覧に含める特権ユーザーの数を最小限にすることを強くお勧めします。

10. データ マスク構成ページの [保存] をクリックして、新しいまたは更新されたマスク ポリシーを保存します。

次のステップ

• 動的データ マスクの概要については、「動的データ マスク」をご覧ください。
• Azure SQL Database コマンドレットまたは REST API を使って動的データ マスクを実装することもできます。