Partilhar via


Conectar-se e gerenciar uma Instância Gerenciada de SQL do Azure no Microsoft Purview

Este artigo descreve como registrar e a Instância Gerenciada de SQL do Azure, bem como como autenticar e interagir com a Instância Gerenciada de SQL do Azure no Microsoft Purview. Para obter mais informações sobre o Microsoft Purview, leia o artigo introdutório.

Recursos compatíveis

Extração de metadados Verificação Completa Verificação Incremental Verificação em escopo Classificação Rotulamento Política de Acesso Linhagem Compartilhamento de dados Exibição ao vivo
Sim Sim Sim Sim Sim Sim Sim (versão prévia) Limitado** Não Não

** Há suporte para linhagem se o conjunto de dados for usado como uma origem/coletor na atividade Cópia do Data Factory

Pré-requisitos

Registrar

Esta seção descreve como registrar uma Instância Gerenciada de SQL do Azure no Microsoft Purview usando o portal de governança do Microsoft Purview.

Autenticação para registro

Se você precisar criar uma nova autenticação, precisará autorizar o acesso do banco de dados a Banco de Dados SQL Instância Gerenciada de SQL. Há três métodos de autenticação que o Microsoft Purview oferece suporte hoje:

Identidade gerenciada atribuída pelo sistema ou pelo usuário para registrar

Você pode usar a SAMI (identidade gerenciada atribuída pelo sistema) do Microsoft Purview ou uma UAMI ( identidade gerenciada atribuída pelo usuário ) para autenticar. Ambas as opções permitem atribuir autenticação diretamente ao Microsoft Purview, como faria para qualquer outro usuário, grupo ou entidade de serviço. A identidade gerenciada atribuída pelo sistema do Microsoft Purview é criada automaticamente quando a conta é criada e tem o mesmo nome da sua conta do Microsoft Purview. Uma identidade gerenciada atribuída pelo usuário é um recurso que pode ser criado de forma independente. Para criar um, você pode seguir nosso guia de identidade gerenciada atribuído pelo usuário.

Você pode encontrar sua ID de objeto de identidade gerenciada no portal do Azure seguindo estas etapas:

Para a identidade gerenciada atribuída pelo sistema da conta do Microsoft Purview:

  1. Abra o portal do Azure e navegue até sua conta do Microsoft Purview.
  2. Selecione a guia Propriedades no menu do lado esquerdo.
  3. Selecione o valor da ID do objeto de identidade gerenciada e copie-o.

Para identidade gerenciada atribuída pelo usuário (versão prévia):

  1. Abra o portal do Azure e navegue até sua conta do Microsoft Purview.
  2. Selecione a guia Identidades gerenciadas no menu do lado esquerdo
  3. Selecione as identidades gerenciadas atribuídas pelo usuário, selecione a identidade pretendida para exibir os detalhes.
  4. A ID do objeto (principal) é exibida na seção essencial de visão geral.

Qualquer identidade gerenciada precisará de permissão para obter metadados para o banco de dados, esquemas e tabelas e consultar as tabelas para classificação.

Entidade de Serviço para registrar

Há várias etapas para permitir que o Microsoft Purview use a entidade de serviço para examinar sua Instância Gerenciada de SQL do Azure.

Criar ou usar uma entidade de serviço existente

Para usar uma entidade de serviço, você pode usar uma existente ou criar uma nova. Se você vai usar uma entidade de serviço existente, pule para a próxima etapa. Se você precisar criar uma nova Entidade de Serviço, siga estas etapas:

  1. Navegue no portal Azure.
  2. Selecione Azure Active Directory no menu do lado esquerdo.
  3. Selecione Registros de aplicativos.
  4. Selecione + Novo registro de aplicativo.
  5. Insira um nome para o aplicativo (o nome da entidade de serviço).
  6. Selecione Contas somente neste diretório organizacional.
  7. Para URI de redirecionamento, selecione Web e insira qualquer URL desejada; não precisa ser real nem trabalhar.
  8. Selecione Registrar.

Configurar Azure AD autenticação na conta de banco de dados

A entidade de serviço deve ter permissão para obter metadados para o banco de dados, esquemas e tabelas. Ele também deve ser capaz de consultar as tabelas para exemplo para classificação.

Adicionar a entidade de serviço ao cofre de chaves e à credencial do Microsoft Purview

É necessário obter a ID e o segredo do aplicativo da entidade de serviço:

  1. Navegue até sua Entidade de Serviço no portal do Azure
  2. Copie os valores da ID do aplicativo (cliente) da Visão geral e do segredo do cliente dos segredos certificados&.
  3. Navegue até o cofre de chaves
  4. Selecionar Segredos de Configurações >
  5. Selecione + Gerar/Importar e insira o Nome de sua escolha e Valor como o segredo do cliente da entidade de serviço
  6. Selecione Criar para concluir
  7. Se o cofre de chaves ainda não estiver conectado ao Microsoft Purview, você precisará criar uma nova conexão do cofre de chaves
  8. Por fim, crie uma nova credencial usando a Entidade de Serviço para configurar a verificação.

Autenticação SQL a ser registrada

Observação

Somente o logon principal no nível do servidor (criado pelo processo de provisionamento) ou os loginmanager membros da função de banco de dados no banco de dados master podem criar novos logons. Leva cerca de 15 minutos após a concessão da permissão, a conta do Microsoft Purview deve ter as permissões apropriadas para poder examinar os recursos.

Você pode seguir as instruções no CREATE LOGIN para criar um logon para a Instância Gerenciada de SQL do Azure se não tiver esse logon disponível. Você precisará de nome de usuário e senha para as próximas etapas.

  1. Navegue até o cofre de chaves no portal do Azure
  2. Selecionar Segredos de Configurações >
  3. Selecione + Gerar/Importar e insira o Nome e o Valor como a senha de sua Instância Gerenciada de SQL do Azure
  4. Selecione Criar para concluir
  5. Se o cofre de chaves ainda não estiver conectado ao Microsoft Purview, você precisará criar uma nova conexão do cofre de chaves
  6. Por fim, crie uma nova credencial usando o nome de usuário e a senha para configurar a verificação.

Etapas para se registrar

  1. Abra o portal de governança do Microsoft Purview por:

  2. Navegue até o Mapa de Dados.

  3. Selecionar Registrar

  4. Selecione Instância Gerenciada de SQL do Azure e continue.

  5. Selecione Na assinatura do Azure, selecione a assinatura apropriada na caixa suspensa assinatura do Azure e o servidor apropriado na caixa suspensa Nome do servidor .

  6. Forneça o nome de domínio e o número da portatotalmente qualificados do ponto de extremidade público. Em seguida, selecione Registrar para registrar a fonte de dados.

    Captura de tela da tela de fontes de registro, com Nome, assinatura, nome do servidor e ponto de extremidade preenchidos.

    Por exemplo: foobar.public.123.database.windows.net,3342

Examinar

Siga as etapas abaixo para examinar uma Instância Gerenciada de SQL do Azure para identificar automaticamente ativos e classificar seus dados. Para obter mais informações sobre a verificação em geral, consulte nossa introdução a exames e ingestão.

Criar e executar a verificação

Para criar e executar uma nova verificação, conclua as seguintes etapas:

  1. Selecione a guia Mapa de Dados no painel esquerdo no portal de governança do Microsoft Purview.

  2. Selecione a origem da Instância Gerenciada de SQL do Azure que você registrou.

  3. Selecionar Nova verificação

  4. Selecione a credencial para se conectar à fonte de dados.

    Captura de tela da nova janela de verificação, com o MSI do Purview selecionado como a credencial, mas uma entidade de serviço ou autenticação SQL também disponível.

  5. Você pode escopo sua verificação para tabelas específicas escolhendo os itens apropriados na lista.

    Captura de tela do escopo da janela de verificação, com um subconjunto de tabelas selecionadas para verificação.

  6. Em seguida, selecione um conjunto de regras de verificação. Você pode escolher entre o padrão do sistema, os conjuntos de regras personalizados existentes ou criar um novo conjunto de regras embutido.

    Captura de tela da janela de conjunto de regras de verificação, com o conjunto de regras de verificação padrão do sistema selecionado.

  7. Escolha o gatilho de verificação. Você pode configurar uma agenda ou executar a verificação uma vez.

    Captura de tela da janela de gatilho de verificação definida, com a guia recorrente selecionada.

  8. Examine a verificação e selecione Salvar e executar.

Se você estiver tendo problemas para se conectar à fonte de dados ou executar a verificação, verifique nosso guia de solução de problemas para verificações e conexões.

Exibir suas verificações e verificar execuções

Para exibir as verificações existentes:

  1. Acesse o portal de governança do Microsoft Purview. No painel esquerdo, selecione Mapa de dados.
  2. Selecione a fonte de dados. Você pode exibir uma lista de verificações existentes nessa fonte de dados em Verificações recentes ou exibir todas as verificações na guia Verificações .
  3. Selecione a verificação que tem resultados que você deseja exibir. O painel mostra todas as execuções de verificação anteriores, juntamente com as status e métricas para cada execução de verificação.
  4. Selecione a ID de execução para marcar os detalhes da execução de verificação.

Gerenciar suas verificações

Para editar, cancelar ou excluir uma verificação:

  1. Acesse o portal de governança do Microsoft Purview. No painel esquerdo, selecione Mapa de Dados.

  2. Selecione a fonte de dados. Você pode exibir uma lista de verificações existentes nessa fonte de dados em Verificações recentes ou exibir todas as verificações na guia Verificações .

  3. Selecione a verificação que você deseja gerenciar. Você poderá:

    • Edite a verificação selecionando Editar verificação.
    • Cancele uma verificação em andamento selecionando Cancelar execução de verificação.
    • Exclua sua verificação selecionando Excluir verificação.

Observação

  • A exclusão da verificação não exclui os ativos de catálogo criados de verificações anteriores.
  • O ativo não será mais atualizado com alterações de esquema se sua tabela de origem tiver sido alterada e você examinar novamente a tabela de origem depois de editar a descrição na guia Esquema do Microsoft Purview.

Configurar políticas de acesso

Os seguintes tipos de políticas do Microsoft Purview têm suporte neste recurso de dados:

Pré-requisitos da política de acesso no SQL MI do Azure

  • Crie um novo MI SQL do Azure ou use um existente em uma das regiões disponíveis atualmente para esse recurso. Você pode seguir este guia para criar um NOVO SQL MI do Azure.

Suporte à região

Todas as regiões do Microsoft Purview têm suporte.

A aplicação das políticas do Microsoft Purview só está disponível nas seguintes regiões para o SQL MI do Azure:

Nuvem pública:

  • Leste dos EUA
  • Leste dos EUA2
  • Centro-Sul dos EUA
  • Centro-Oeste dos EUA
  • Oeste dos EUA3
  • Canadá Central
  • Sul do Brasil
  • Europa Ocidental
  • Norte da Europa
  • França Central
  • Sul do Reino Unido
  • Norte da África do Sul
  • Índia Central
  • Sudeste da Ásia
  • Leste da Ásia
  • Leste da Austrália

Configuração do SQL MI do Azure

Esta seção explica como você pode configurar o Azure SQL MI para honrar as políticas do Microsoft Purview. Verifique primeiro se o SQL MI do Azure está configurado para ponto de extremidade público ou privado. Este guia explica como fazer isso.

Configuração para o ponto de extremidade público do SQL MI

Se o SQL MI do Azure estiver configurado para o ponto de extremidade público, siga estas etapas

  • Configure um Microsoft Entra Administração. No portal do Azure, navegue até o MI SQL do Azure e navegue até Microsoft Entra no menu lateral (anteriormente chamado de administrador do Active Directory). Defina um Administração nome e selecione Salvar. Confira captura de tela:

    A captura de tela mostra como atribuir Microsoft Entra Administração no SQL MI do Azure.

  • Em seguida, navegue até Identidade no menu lateral. Em Sistema atribuído identidade gerenciada marcar status para Ativado e, em seguida, selecione Salvar. Confira captura de tela:

    A captura de tela mostra como atribuir identidade gerenciada do sistema ao SQL MI do Azure.

Configuração do ponto de extremidade privado do SQL MI

Se o SQL MI do Azure estiver configurado para usar o ponto de extremidade privado, execute as mesmas etapas descritas na configuração do ponto de extremidade público e, além disso, faça o seguinte:

  • Navegue até o NSG (Grupo de Segurança de Rede) associado ao SEU SQL MI do Azure.

  • Adicione uma regra de segurança de saída semelhante à da captura de tela a seguir. Destino = Marca de Serviço, marca de serviço de destino = MicrosoftPurviewPolicyDistribution, Service = HTTPS, Action = Allow. Verifique também que a prioridade dessa regra é menor do que a da regra deny_all_outbound .

    Captura de tela mostra como configurar a regra de segurança de saída para o Purview

Configurar a conta do Microsoft Purview para políticas

Registrar a fonte de dados no Microsoft Purview

Antes que uma política possa ser criada no Microsoft Purview para um recurso de dados, você deve registrar esse recurso de dados no Microsoft Purview Studio. Você encontrará as instruções relacionadas ao registro do recurso de dados posteriormente neste guia.

Observação

As políticas do Microsoft Purview dependem do caminho do ARM do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou assinatura, ele precisará ser des registrado e registrado novamente no Microsoft Purview.

Configurar permissões para habilitar o gerenciamento de uso de dados na fonte de dados

Depois que um recurso é registrado, mas antes que uma política possa ser criada no Microsoft Purview para esse recurso, você deve configurar permissões. Um conjunto de permissões é necessário para habilitar o gerenciamento de uso de dados. Isso se aplica a fontes de dados, grupos de recursos ou assinaturas. Para habilitar o gerenciamento de uso de dados, você deve ter privilégios específicos de IAM (Gerenciamento de Identidade e Acesso) no recurso, bem como privilégios específicos do Microsoft Purview:

  • Você deve ter uma das seguintes combinações de função IAM no caminho do Azure Resource Manager do recurso ou qualquer pai dele (ou seja, usando a herança de permissão IAM):

    • Proprietário do IAM
    • Colaborador do IAM e Administrador de Acesso de Usuário do IAM

    Para configurar permissões de RBAC (controle de acesso baseado em função) do Azure, siga este guia. A captura de tela a seguir mostra como acessar a seção Controle de Acesso no portal do Azure para o recurso de dados para adicionar uma atribuição de função.

    Captura de tela que mostra a seção no portal do Azure para adicionar uma atribuição de função.

    Observação

    A função Proprietário do IAM para um recurso de dados pode ser herdada de um grupo de recursos pai, uma assinatura ou um grupo de gerenciamento de assinatura. Verifique qual Azure AD usuários, grupos e entidades de serviço detêm ou estão herdando a função Proprietário do IAM para o recurso.

  • Você também precisa ter a função de administrador de fonte de dados do Microsoft Purview para a coleção ou uma coleção pai (se a herança estiver habilitada). Para obter mais informações, consulte o guia sobre como gerenciar atribuições de função do Microsoft Purview.

    A captura de tela a seguir mostra como atribuir a função de administrador de fonte de dados no nível da coleção raiz.

    Captura de tela que mostra seleções para atribuir a função de administrador de fonte de dados no nível da coleção raiz.

Configurar permissões do Microsoft Purview para criar, atualizar ou excluir políticas de acesso

Para criar, atualizar ou excluir políticas, você precisa obter a função de autor de política no Microsoft Purview no nível da coleção raiz:

  • A função autor da política pode criar, atualizar e excluir políticas de DevOps e Proprietário de Dados.
  • A função de autor da política pode excluir políticas de acesso por autoatendimento.

Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.

Observação

A função de autor de política deve ser configurada no nível da coleção raiz.

Além disso, para pesquisar facilmente Azure AD usuários ou grupos ao criar ou atualizar o assunto de uma política, você pode se beneficiar muito de obter a permissão Leitores do Diretório em Azure AD. Essa é uma permissão comum para usuários em um locatário do Azure. Sem a permissão Leitor de Diretório, o Autor da Política terá que digitar o nome de usuário ou o email completo para todas as entidades incluídas no assunto de uma política de dados.

Configurar permissões do Microsoft Purview para publicar políticas do Proprietário de Dados

As políticas de Proprietário de Dados permitem verificações e saldos se você atribuir o autor da Política do Microsoft Purview e funções de administrador de fonte de dados a diferentes pessoas na organização. Antes que uma política de proprietário de dados entre em vigor, uma segunda pessoa (administrador de fonte de dados) deve revisá-la e aprová-la explicitamente publicando-a. Isso não se aplica às políticas de acesso de DevOps ou autoatendimento, pois a publicação é automática para elas quando essas políticas são criadas ou atualizadas.

Para publicar uma política de proprietário de dados, você precisa obter a função de administrador de fonte de dados no Microsoft Purview no nível de coleta raiz.

Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.

Observação

Para publicar políticas de proprietário de dados, a função de administrador de fonte de dados deve ser configurada no nível da coleção raiz.

Delegar a responsabilidade de provisionamento de acesso a funções no Microsoft Purview

Depois que um recurso tiver sido habilitado para o gerenciamento de uso de dados, qualquer usuário do Microsoft Purview com a função de autor de política no nível de coleta raiz pode provisionar o acesso a essa fonte de dados do Microsoft Purview.

Observação

Qualquer administrador do Conjunto raiz do Microsoft Purview pode atribuir novos usuários às funções de autor de política raiz. Qualquer administrador da Coleção pode atribuir novos usuários a uma função de administrador de fonte de dados na coleção. Minimize e examine cuidadosamente os usuários que possuem funções de administrador do Microsoft Purview Collection, administrador de fonte de dados ou autor de política .

Se uma conta do Microsoft Purview com políticas publicadas for excluída, essas políticas deixarão de ser impostas em um período de tempo que depende da fonte de dados específica. Essa alteração pode ter implicações na segurança e na disponibilidade de acesso a dados. As funções Colaborador e Proprietário no IAM podem excluir contas do Microsoft Purview. Você pode marcar essas permissões acessando a seção controle de acesso (IAM) para sua conta do Microsoft Purview e selecionando Atribuições de Função. Você também pode usar um bloqueio para impedir que a conta do Microsoft Purview seja excluída por meio de bloqueios do Resource Manager.

Registrar as fontes de dados no Microsoft Purview

A fonte de dados da Instância Gerenciada de SQL do Azure precisa ser registrada primeiro no Microsoft Purview, antes que você possa criar políticas de acesso. Você pode seguir as seções "Pré-requisitos" e "Registrar a fonte de dados" neste guia:

Registrar e examinar o SQL MI do Azure

Depois de registrar seus recursos, você precisará habilitar a aplicação da política (anteriormente Gerenciamento de Uso de Dados). A aplicação da política precisa de determinadas permissões e pode afetar a segurança de seus dados, pois ela delega a determinadas funções do Microsoft Purview a capacidade de gerenciar o acesso a fontes de dados. Confira as práticas seguras relacionadas à aplicação da política neste guia: Como habilitar a aplicação da política

Depois que a fonte de dados tiver a aplicação da políticahabilitada, ela será semelhante a esta captura de tela. Isso permitirá que as políticas de acesso sejam usadas com a fonte de dados fornecida Captura de tela mostra como habilitar a aplicação da política.

Retorne ao portal do Azure para a Banco de Dados SQL do Azure para verificar se ele agora é regido pelo Microsoft Purview:

  1. Entre no portal do Azure por meio deste link

  2. Selecione o SQL Server do Azure que você deseja configurar.

  3. Acesse o Azure Active Directory no painel esquerdo.

  4. Role para baixo até as políticas de acesso do Microsoft Purview.

  5. Selecione o botão para Verificar a Governança do Microsoft Purview. Aguarde enquanto a solicitação é processada. Pode levar alguns minutos.

    Captura de tela que mostra que o SQL do Azure é regido pelo Microsoft Purview.

  6. Confirme se o Status de Governança do Microsoft Purview mostra Governed. Observe que pode levar alguns minutos depois de habilitar o gerenciamento de uso de dados no Microsoft Purview para que o status correto seja refletido.

Observação

Se você desabilitar o gerenciamento de uso de dados para esta fonte de dados do Azure Banco de Dados SQL, pode levar até 24 horas para que o Status de Governança do Microsoft Purview seja atualizado automaticamente para Not Governed. Isso pode ser acelerado selecionando Verificar a Governança do Microsoft Purview. Antes de habilitar o gerenciamento de uso de dados para a fonte de dados em outra conta do Microsoft Purview, verifique se o Status de Governança do Purview é mostrado como Not Governed. Em seguida, repita as etapas acima com a nova conta do Microsoft Purview.

Criar uma política

Para criar políticas de acesso para o SQL MI do Azure, siga estes guias:

Próximas etapas

Agora que você registrou sua origem, siga os guias a seguir para saber mais sobre o Microsoft Purview e seus dados.