Microsoft Purview DevOps ポリシーを使用して、Azure SQL Database のシステム メタデータへのアクセスをプロビジョニングする

  • [アーティクル]

DevOps ポリシー は、Microsoft Purview アクセス ポリシーの一種です。 これにより、Microsoft Purview のデータ 使用管理 に登録されているデータ ソースのシステム メタデータへのアクセスを管理できます。 これらのポリシーは Microsoft Purview ガバナンス ポータルから直接構成され、保存された後、データ ソースによって自動的に発行され、適用されます。 Microsoft Purview ポリシーは、Azure AD プリンシパルのアクセスのみを管理します。

このハウツー ガイドでは、Microsoft Purview で作成されたポリシー Azure SQL適用するようにデータベースを構成する方法について説明します。 データベースをAzure SQLするための構成手順と、DevOps ポリシー アクション SQL パフォーマンス監視または SQL セキュリティ監査を使用して、Azure SQL Database システム メタデータ (DMV と DMF) へのアクセスをプロビジョニングするための Microsoft Purview の構成手順について説明します。

前提条件

リージョンのサポート

すべての Microsoft Purview リージョンがサポートされています。

Microsoft Purview ポリシーの適用は、Azure SQL Database の次のリージョンでのみ使用できます。

パブリック クラウド:

  • 米国東部
  • 米国東部 2
  • 米国中央南部
  • 米国中央西部
  • 米国西部 3
  • カナダ中部
  • ブラジル南部
  • 西ヨーロッパ
  • 北ヨーロッパ
  • フランス中部
  • 英国南部
  • 南アフリカ北部
  • インド中部
  • 東南アジア
  • 東アジア
  • オーストラリア東部

ソブリン クラウド:

  • USGov バージニア
  • 中国北部 3

Microsoft Purview からのポリシーの Azure SQL Database インスタンスを構成する

Azure SQL Database に関連付けられている論理サーバーが Microsoft Purview のポリシーを受け入れるには、Azure Active Directory 管理者を構成する必要があります。Azure portalで、Azure SQL Database インスタンスをホストする論理サーバーに移動します。 サイド メニューで、[ Azure Active Directory] を選択します。 管理者名を任意の Azure Active Directory ユーザーまたはグループに設定し、[保存] を選択 します

Azure SQL Database に関連付けられている論理サーバーへの Active Directory 管理者の割り当てを示すスクリーンショット。

次に、サイド メニューで [ ID] を選択します。 [ システム割り当てマネージド ID] で、状態を [オン] にし、[保存] を選択 します

Azure SQL Database に関連付けられている論理サーバーへのシステム割り当てマネージド ID の割り当てを示すスクリーンショット。

Microsoft Purview 構成

Microsoft Purview でデータ ソースを登録する

データ リソースのポリシーを Microsoft Purview で作成するには、そのデータ リソースを Microsoft Purview Studio に登録する必要があります。 データ リソースの登録に関連する手順については、このガイドの後半で説明します。

注:

Microsoft Purview ポリシーは、データ リソース ARM パスに依存します。 データ リソースを新しいリソース グループまたはサブスクリプションに移動する場合は、登録を解除してから、Microsoft Purview に再登録する必要があります。

データ ソースでデータ使用管理を有効にするアクセス許可を構成する

リソースが登録されたら、そのリソースのポリシーを Microsoft Purview で作成する前に、アクセス許可を構成する必要があります。 データ使用管理を有効にするには、一連のアクセス許可が必要です。 これは、データ ソース、リソース グループ、またはサブスクリプションに適用されます。 データ使用管理を有効にするには、リソースに対する特定の ID とアクセス管理 (IAM) 権限と、特定の Microsoft Purview 権限の両方が必要です。

  • リソースの Azure Resource Manager パスまたはその親 (つまり、IAM アクセス許可の継承を使用) には、次のいずれかの IAM ロールの組み合わせが必要です。

    • IAM 所有者
    • IAM 共同作成者と IAM ユーザー アクセス管理者の両方

    Azure ロールベースのアクセス制御 (RBAC) アクセス許可を構成するには、 このガイドに従います。 次のスクリーンショットは、データ リソースのAzure portalの [Access Control] セクションにアクセスしてロールの割り当てを追加する方法を示しています。

    ロールの割り当てを追加するためのAzure portalのセクションを示すスクリーンショット。

    注:

    データ リソースの IAM 所有者 ロールは、親リソース グループ、サブスクリプション、またはサブスクリプション管理グループから継承できます。 リソースの IAM 所有者 ロールを保持または継承している Azure AD ユーザー、グループ、およびサービス プリンシパルを確認します。

  • また、コレクションまたは親コレクションの Microsoft Purview データ ソース管理者 ロールも必要です (継承が有効な場合)。 詳細については、 Microsoft Purview ロールの割り当ての管理に関するガイドを参照してください。

    次のスクリーンショットは、ルート コレクション レベルで データ ソース管理者 ロールを割り当てる方法を示しています。

    ルート コレクション レベルでデータ ソース管理者ロールを割り当てるための選択を示すスクリーンショット。

アクセス ポリシーを作成、更新、または削除するように Microsoft Purview アクセス許可を構成する

ポリシーを作成、更新、または削除するには、ルート コレクション レベルで Microsoft Purview でポリシー作成者ロールを取得する必要があります。

  • ポリシー作成者ロールは、DevOps ポリシーとデータ所有者ポリシーを作成、更新、削除できます。
  • ポリシー作成者ロールは、セルフサービス アクセス ポリシーを削除できます。

Microsoft Purview ロールの割り当ての管理の詳細については、Microsoft Purview データ マップでのコレクションの作成と管理に関するページを参照してください。

注:

ポリシー作成者ロールは、ルート コレクション レベルで構成する必要があります。

さらに、ポリシーの件名を作成または更新するときに Azure AD ユーザーまたはグループを簡単に検索するには、Azure AD で [ディレクトリ閲覧者 ] アクセス許可を取得することで大きなメリットを得ることができます。 これは、Azure テナント内のユーザーに共通のアクセス許可です。 ディレクトリ閲覧者のアクセス許可がない場合、ポリシー作成者は、データ ポリシーの件名に含まれるすべてのプリンシパルの完全なユーザー名または電子メールを入力する必要があります。

データ所有者ポリシーを発行するための Microsoft Purview アクセス許可を構成する

データ所有者ポリシーを使用すると、Microsoft Purview ポリシーの作成者データ ソース管理者ロールをorganization内の別のユーザーに割り当てる場合、チェックと残高が許可されます。 データ所有者ポリシーが有効になる前に、2 人目のユーザー (データ ソース管理者) がそれを確認し、公開して明示的に承認する必要があります。 これは、DevOps またはセルフサービス アクセス ポリシーには適用されません。公開は、それらのポリシーが作成または更新されるときに自動的に行われます。

データ所有者ポリシーを発行するには、ルート コレクション レベルで Microsoft Purview でデータ ソース管理者ロールを取得する必要があります。

Microsoft Purview ロールの割り当ての管理の詳細については、Microsoft Purview データ マップでのコレクションの作成と管理に関するページを参照してください。

注:

データ所有者ポリシーを発行するには、ルート コレクション レベルでデータ ソース管理者ロールを構成する必要があります。

Microsoft Purview のロールにアクセス プロビジョニングの責任を委任する

リソースでデータ使用管理が有効になった後、ルート コレクション レベルでポリシー作成者ロールを持つ Microsoft Purview ユーザーは、Microsoft Purview からそのデータ ソースへのアクセスをプロビジョニングできます。

注:

Microsoft Purview ルート コレクション管理者 は、ルート ポリシー作成者 ロールに新しいユーザーを割り当てることができます。 コレクション管理者は、コレクションの下のデータ ソース管理者ロールに新しいユーザーを割り当てることができます。 Microsoft Purview コレクション管理者データ ソース管理者、または ポリシー作成者 ロールを保持するユーザーを最小限に抑え、慎重に確認します。

発行されたポリシーを持つ Microsoft Purview アカウントが削除されると、特定のデータ ソースに依存する時間内にそのようなポリシーが適用されなくなります。 この変更は、セキュリティとデータ アクセスの可用性の両方に影響を与える可能性があります。 IAM の共同作成者ロールと所有者ロールは、Microsoft Purview アカウントを削除できます。 これらのアクセス許可をチェックするには、Microsoft Purview アカウントの [アクセス制御 (IAM)] セクションに移動し、[ロールの割り当て] を選択します。 ロックを使用して、Resource Manager ロックによって Microsoft Purview アカウントが削除されないようにすることもできます。

Microsoft Purview でデータ ソースを登録する

アクセス ポリシーを作成する前に、Azure SQL Database データ ソースを最初に Microsoft Purview に登録する必要があります。 次のガイドに従うことができます。

データベースの登録とスキャンAzure SQL

リソースを登録したら、データ使用管理を有効にする必要があります。 データ使用管理には特定のアクセス許可が必要であり、データ ソースへのアクセスを管理する機能を特定の Microsoft Purview ロールに委任するため、データのセキュリティに影響を与える可能性があります。 このガイドの「データ使用管理」に関連するセキュリティで保護されたプラクティスに関するページを参照してください。データ使用管理を有効にする方法

データ ソースの [ データの使用管理 ] トグル が [有効] になると、このスクリーンショットのようになります。 これにより、特定のデータ ソースでアクセス ポリシーを使用できるようになります。

スクリーンショットは、ポリシーのデータ ソースを登録する方法を示しています。

Azure SQL Database のAzure portalに戻り、Microsoft Purview によって管理されていることを確認します。

  1. このリンクを使用してAzure portalにサインインします

  2. 構成するAzure SQLサーバーを選択します。

  3. 左側のウィンドウで [Azure Active Directory ] に移動します。

  4. [Microsoft Purview アクセス ポリシー] まで下にスクロールします。

  5. [ Microsoft Purview ガバナンスの確認] ボタンを選択します。 要求が処理されるまで待ちます。 これには、数分かかる場合があります。

    Azure SQLが Microsoft Purview によって管理されていることを示すスクリーンショット。

  6. Microsoft Purview ガバナンスの状態に が表示 Governedされていることを確認します。 正しい状態が反映されるまでに、Microsoft Purview でデータ使用管理を有効にしてから数分かかる場合があることに注意してください。

注:

この Azure SQL Database データ ソースのデータ使用管理を無効にした場合、Microsoft Purview ガバナンスの状態が に自動的Not Governedに更新されるまでに最大で 24 時間かかる場合があります。 これを高速化するには、[ Microsoft Purview ガバナンスの確認] を選択します。 別の Microsoft Purview アカウントでデータ ソースのデータ 使用管理 を有効にする前に、Purview ガバナンスの状態が として Not Governed表示されていることを確認します。 次に、新しい Microsoft Purview アカウントで上記の手順を繰り返します。

新しい DevOps ポリシーを作成する

Microsoft Purview で新しい DevOps ポリシーを作成する手順については、こちらのリンクを参照してください。

DevOps ポリシーを一覧表示する

Microsoft Purview で DevOps ポリシーを一覧表示する手順については、こちらのリンクを参照してください。

DevOps ポリシーを更新する

Microsoft Purview で DevOps ポリシーを更新する手順については、こちらのリンクを参照してください。

DevOps ポリシーを削除する

Microsoft Purview で DevOps ポリシーを削除する手順については、こちらのリンクを参照してください。

重要

DevOps ポリシーは自動発行され、変更がデータ ソースによって適用されるまでに最大 5 分 かかる場合があります。

DevOps ポリシーをテストする

作成したポリシーをテストする方法を確認する

ロール定義の詳細

DevOps ロールとデータ ソース アクションのマッピングを確認する

次の手順

関連するビデオ、ブログ、ドキュメントを参照する