チュートリアル: オンプレミスのSQL Serverを登録してスキャンする
Microsoft Purview は、機密データの管理、データ検出の簡素化、適切な使用の確保に役立つデータ ソースに接続するように設計されています。 Microsoft Purview は、マルチクラウドやオンプレミスなど、ランドスケープ全体のソースに接続できます。 このシナリオでは、セルフホステッド統合ランタイムを使用して、オンプレミスの SQL サーバー上のデータに接続します。 次に、Microsoft Purview を使用して、そのデータをスキャンして分類します。
このチュートリアルでは、次の方法について学ぶことができます。
- Microsoft Purview ガバナンス ポータルにサインインします。
- Microsoft Purview でコレクションを作成します。
- セルフホステッド統合ランタイムを作成します。
- 資格情報を Azure Key Vaultに格納します。
- オンプレミスのSQL Serverを Microsoft Purview に登録します。
- SQL Serverをスキャンします。
- データ カタログを参照して、SQL Server内の資産を表示します。
前提条件
- アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成します。
- アクティブな Azure Key Vault。
- Microsoft Purview アカウント。 まだお持ちでない場合は、 クイックスタート ガイドに従って作成できます。
- オンプレミスのSQL Server。
Microsoft Purview ガバナンス ポータルにサインインする
Microsoft Purview と対話するには、 Microsoft Purview ガバナンス ポータルに接続します。 スタジオは次の方法で見つけることができます。
- Microsoft Purview アカウントに https://web.purview.azure.com 直接移動して選択します。
- Azure portalを開き、Microsoft Purview アカウントを検索して選択します。 [Microsoft Purview ガバナンス ポータル] ボタンを選択します。
コレクションを作成する
Microsoft Purview のコレクションは、organizationと検出可能性のために、資産とソースをカスタム階層に整理するために使用されます。 また、Microsoft Purview 全体のアクセスを管理するために使用されるツールでもあります。 このチュートリアルでは、SQL Server ソースとそのすべての資産を格納する 1 つのコレクションを作成します。 このチュートリアルでは、他のユーザーにアクセス許可を割り当てる方法については説明しません。そのため、詳細については、 Microsoft Purview アクセス許可ガイドに従ってください。
アクセス許可のチェック
Microsoft Purview でコレクションを作成および管理するには、Microsoft Purview 内のコレクション 管理である必要があります。 これらのアクセス許可は、Microsoft Purview ガバナンス ポータルでチェックできます。
左側のウィンドウから [ データ マップ > コレクション ] を選択して、コレクション管理ページを開きます。
ルート コレクションを選択します。 ルート コレクションはコレクション リストの最上位のコレクションであり、Microsoft Purview アカウントと同じ名前になります。 次の例では、Microsoft Purview アカウントと呼ばれます。
コレクション ウィンドウで [ ロールの割り当て ] を選択します。
コレクションを作成するには、ロールの割り当てのコレクション管理者リストに含まれている必要があります。 Microsoft Purview アカウントを作成した場合は、ルート コレクションの下にコレクション管理者として既に一覧表示されている必要があります。 アクセス許可がない場合は、コレクション管理者に連絡してアクセス許可を付与する必要があります。
コレクションを作成する
[ + コレクションの追加] を選択します。 ここでも、 コレクションを 管理できるのはコレクション管理者だけです。
右側のパネルで、コレクション名と説明を入力します。 必要に応じて、ユーザーまたはグループをコレクション管理者として新しいコレクションに追加することもできます。
[作成] を選択します。
新しいコレクションの情報がページに反映されます。
セルフホステッド統合ランタイムを作成する
Self-Hosted Integration Runtime (SHIR) は、Microsoft Purview がオンプレミスのデータ ソースに接続するために使用するコンピューティング インフラストラクチャです。 SHIR は、オンプレミスのデータ ソースと同じネットワーク内のマシンにダウンロードされ、インストールされます。
このチュートリアルでは、セルフホステッド統合ランタイムをインストールするマシンがインターネットにネットワーク接続できることを前提としています。 この接続により、SHIR はソースと Microsoft Purview の間で通信できます。 マシンに制限付きファイアウォールがある場合、またはファイアウォールをセキュリティで保護する場合は、 セルフホステッド統合ランタイムのネットワーク要件を確認してください。
Microsoft Purview ガバナンス ポータルのホーム ページで、左側のナビゲーション ウィンドウから [データ マップ ] を選択します。
左側のウィンドウの [ ソース管理 ] で、[ 統合ランタイム] を選択し、[ + 新規] を選択します。
[ 統合ランタイムのセットアップ ] ページ で、[セルフホステッド ] を選択して Self-Hosted IR を作成し、[続行] を選択 します。
IR の名前を入力し、[作成] を選択します。
[Integration Runtime設定] ページで、[手動セットアップ] セクションの手順に従います。 ダウンロード サイトから、オンプレミスのSQL Serverと同じネットワーク内にある VM またはマシンに統合ランタイムをダウンロードする必要があります。 必要なマシンの種類については、 統合ランタイムを管理するためのガイドに従ってください。
認証キーをコピーして貼り付けます。
ローカル Windows マシン上のMicrosoft Integration Runtimeからセルフホステッド統合ランタイムをダウンロードします。 インストーラーを実行します。 5.4.7803.1 や 5.6.7795.1 などのセルフホステッド統合ランタイム バージョンがサポートされています。
[Integration Runtime (セルフホステッド)登録] ページで、先ほど保存した 2 つのキーのいずれかを貼り付けて、[登録] を選択します。
[新しいIntegration Runtime (セルフホステッド) ノード] ページで、[完了] を選択します。
セルフホステッド統合ランタイムが正常に登録されると、次のウィンドウが表示されます。
認証を設定する
オンプレミスの SQL Server の認証を設定するには、次の 2 つの方法があります。
- SQL 認証
- Windows 認証
このチュートリアルには、SQL 認証を使用する手順が含まれています。 Windows 認証を使用したオンプレミスのSQL Serverのスキャンの詳細については、「SQL Server 認証のセットアップ」を参照してください。
SQL 認証
SQL アカウントには 、マスター データベースへのアクセス権が必要です。 これは、 がデータベース内にあるため sys.databases
です。 サーバー上のすべての SQL データベースを検索するには、Microsoft Purview スキャナーを列挙 sys.databases
する必要があります。
新しいログインとユーザーを作成する
新しいログインとユーザーを作成して SQL サーバーをスキャンできるようにする場合は、次の手順に従います。
注:
以下のすべての手順は、 ここで提供されているコードを使用して実行できます。
SQL Server Management Studio (SSMS) に移動し、サーバーに接続し、セキュリティに移動し、ログインを選択して長押し (または右クリック) し、新しいログインを作成します。 必ず [SQL 認証] を選択してください。
左側のナビゲーションで [サーバー ロール] を選択し、パブリック ロールが割り当てられていることを確認します。
左側のナビゲーションで [ユーザー マッピング] を選択し、マップ内のすべてのデータベースを選択し、[データベース ロール: db_datareader] を選択します。
[ OK] を選択 して保存します。
作成したユーザーにもう一度移動します。ユーザーを選択して保持 (または右クリック) し、[ プロパティ] を選択します。 新しいパスワードを入力して確認します。 [古いパスワードを指定する] を選択し、古いパスワードを入力します。 新しいログインを作成したらすぐにパスワードを変更する必要があります。
Key Vault資格情報を作成する
Azure portal内のキー コンテナーに移動します。 [ 設定シークレット] を > 選択します。
[+ 生成/インポート] を選択します
アップロード オプションについては、[ 手動 ] を選択し、シークレットの名前を入力 します 。 値は、SQL Server ログインからのパスワードです。 [有効] が [はい] に設定されていることを確認します。 アクティブ化と有効期限を設定する場合は、今日の日付が 2 つの日付の間にあるか、資格情報を使用できないことを確認します。
[ 作成] を 選択して完了します。
Microsoft Purview ガバナンス ポータルで、左側のメニューの [管理] ページに移動します。
[資格情報] ページ を選択します 。
[資格情報] ページで、[Key Vault接続の管理] を選択します。
[Key Vault接続の管理] ページから [+ 新規] を選択します。
必要な情報を入力し、[ 作成] を選択します。
次の例に示すように、Key Vaultが Microsoft Purview アカウントに正常に関連付けられていることを確認します。
[+ 新規] を選択して、SQL Serverの新しい資格情報を作成します。
必要な情報を入力します。 [認証方法] と、シークレットを選択するKey Vault接続を選択します。
すべての詳細が入力されたら、[ 作成] を選択します。
新しい資格情報がリスト ビューに表示され、使用する準備ができていることを確認します。
SQL Serverを登録する
次の方法で Microsoft Purview ガバナンス ポータルを開きます。
- Microsoft Purview アカウントに https://web.purview.azure.com 直接移動して選択します。
- Azure portalを開き、Microsoft Purview アカウントを検索して選択します。 [Microsoft Purview ガバナンス ポータル] ボタンを選択します。
左側のナビゲーションの [ソースとスキャン] で、[ 統合ランタイム] を選択します。 セルフホステッド統合ランタイムが設定されていることを確認します。 設定されていない場合は、 ここで 説明する手順に従って、オンプレミスネットワークにアクセスできるオンプレミスまたは Azure VM でスキャンするためのセルフホステッド統合ランタイムを作成します。
左側のナビゲーションで [ データ マップ ] を選択します。
[ 登録] を選択します
[SQL Server] を選択し、[続行] を選択します
フレンドリ名とサーバー エンドポイントを指定し、[ 完了 ] を選択してデータ ソースを登録します。 たとえば、SQL Server FQDN が foobar.database.windows.net されている場合は、サーバー エンドポイントとして foobar と入力します。
新しいスキャンを作成して実行するには、次の操作を行います。
Microsoft Purview ガバナンス ポータルの左側のウィンドウで [ データ マップ ] タブを選択します。
登録したSQL Server ソースを選択します。
[新しいスキャン] を選択します
資格情報を選択してデータ ソースに接続します。
スキャンの範囲を特定のテーブルに設定するには、一覧で適切な項目を選択します。
次に、スキャン ルール セットを選択します。 システムの既定値、既存のカスタム ルール セット、または新しいルール セットをインラインで作成することができます。
スキャン トリガーを選択します。 スケジュールを設定することも、スキャンを 1 回実行することもできます。
スキャンを確認し、[ 保存して実行] を選択します。
スキャンとスキャンの実行を表示する
既存のスキャンを表示するには:
- Microsoft Purview ガバナンス ポータルに移動します。 左側のウィンドウで、[ データ マップ] を選択します。
- データ ソースを選択します。 [最近のスキャン] で、そのデータ ソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。
- 表示する結果を含むスキャンを選択します。 このウィンドウには、以前のすべてのスキャン実行と、各スキャン実行の状態とメトリックが表示されます。
- 実行 ID を選択して、スキャン実行の詳細をチェックします。
スキャンを管理する
スキャンを編集、取り消し、または削除するには:
Microsoft Purview ガバナンス ポータルに移動します。 左側のウィンドウで、[ データ マップ] を選択します。
データ ソースを選択します。 [最近のスキャン] で、そのデータ ソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。
管理するスキャンを選択します。 次のことを実行できます。
- [スキャンの編集] を選択して スキャンを編集します。
- [スキャンの実行の取り消し] を選択して、進行中 のスキャンを取り消します。
- [スキャンの削除] を選択して スキャンを削除します。
注:
- スキャンを削除しても、以前のスキャンから作成されたカタログ資産は削除されません。
- ソース テーブルが変更され、Microsoft Purview の [スキーマ] タブで説明を編集した後にソース テーブルを再スキャンした場合、資産は スキーマ の変更で更新されなくなります。
リソースをクリーンアップする
今後もこの Microsoft Purview または SQL ソースを引き続き使用しない場合は、次の手順に従って、統合ランタイム、SQL 資格情報、および purview リソースを削除できます。
Microsoft Purview から SHIR を削除する
Microsoft Purview ガバナンス ポータルのホーム ページで、左側のナビゲーション ウィンドウから [データ マップ] を選択します。
左側のウィンドウの [ ソース管理 ] で、[ 統合ランタイム] を選択します。
統合ランタイムの横にあるチェック ボックスをオンにし、[ 削除 ] ボタンを選択します。
次のウィンドウで [ 確認 ] を選択して、削除を確認します。
ウィンドウは自己更新され、統合ランタイムの下に SHIR が表示されなくなります。
セルフホステッド統合ランタイムをアンインストールする
セルフホステッド統合ランタイムがインストールされているコンピューターにサインインします。
コントロール パネルを開き、[プログラムのアンインストール] で "Microsoft Integration Runtime" を検索します
既存の統合ランタイムをアンインストールします。
重要
次のプロセスで、[はい] を選択します。 アンインストール プロセス中はデータを保持しないでください。
SQL 資格情報を削除する
Azure portalに移動し、Microsoft Purview 資格情報を保存したKey Vault リソースに移動します。
左側のメニューの [設定] で、[シークレット] を選択 します
このチュートリアル用に作成したSQL Server資格情報シークレットを選択します。
[ 削除] を選択します
[ はい] を 選択して、リソースを完全に削除します。
Microsoft Purview アカウントを削除する
このチュートリアルを完了した後に Microsoft Purview アカウントを削除する場合は、次の手順に従います。
Azure portalに移動し、purview アカウントに移動します。
ページの上部にある [ 削除 ] ボタンを選択します。
プロセスが完了すると、Azure portalに通知が表示されます。
次の手順
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示