Descobrir e governar a Base de Dados SQL do Azure no Microsoft Purview

Este artigo descreve o processo para registar uma origem de base de dados SQL do Azure no Microsoft Purview. Inclui instruções para autenticar e interagir com a base de dados SQL.

Recursos compatíveis

Extração de Metadados	Verificação Completa	Análise Incremental	Análise de Âmbito	Classificação	Rotulamento	Política de Acesso	Linhagem	Compartilhamento de Dados	Modo de exibição ao vivo
Sim	Sim	Sim	Sim	Sim	Sim	Sim (pré-visualização)	Sim (pré-visualização)	Não	Sim

Ao analisar SQL do Azure Base de Dados, o Microsoft Purview suporta a extração de metadados técnicos destas origens:

• Servidor
• Banco de dados
• Esquemas
• Tabelas, incluindo colunas
• Vistas, incluindo colunas (com extração de linhagem ativada, como parte da análise)
• Procedimentos armazenados (com extração de linhagem ativada)
• Execuções de procedimentos armazenados (com extração de linhagem ativada)

Quando estiver a configurar uma análise, pode definir um âmbito adicional após fornecer o nome da base de dados ao selecionar tabelas e vistas conforme necessário.

Limitações conhecidas

• Para extração de linhagem de procedimentos armazenados:
  • A análise de extração de linhagem de Procedimentos Armazenados (SP) não é atualmente suportada se o servidor lógico no Azure desativar o acesso público ou não permitir que os serviços do Azure acedam ao mesmo.
  • A análise de extração de linhagem SP não é atualmente suportada se a sua conta do Microsoft Purview desativar o acesso público.
  • A análise de extração de linhagem SP está agendada para ser executada a cada seis horas por predefinição. Não é possível alterar a frequência.
  • A linhagem só é capturada quando a execução do procedimento armazenado transfere dados de uma tabela para outra. E não é suportado para tabelas temporárias.
  • A extração de linhagem não é suportada para funções ou acionadores.
  • Tenha em atenção que, devido às seguintes limitações, atualmente, poderá ver recursos duplicados no catálogo se tiver esses cenários.
    • Os nomes de objetos em recursos e nomes completamente qualificados seguem as maiúsculas e minúsculas utilizadas em instruções de procedimento armazenadas, que podem não estar alinhadas com as maiúsculas e minúsculas do objeto na origem de dados original.
    • Quando as vistas SQL são referenciadas em procedimentos armazenados, são atualmente capturadas como tabelas SQL.

Observação

A linhagem também é suportada se SQL do Azure tabelas ou vistas forem utilizadas como origem/sink em atividades de Cópia e Fluxo de Dados Azure Data Factory.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Uma conta ativa do Microsoft Purview.

• Permissões de Administrador de Origem de Dados e Leitor de Dados, para que possa registar uma origem e geri-la no portal de governação do Microsoft Purview. Para obter detalhes, veja Controlo de acesso no portal de governação do Microsoft Purview.

Registar a origem de dados

Antes de analisar, é importante registar a origem de dados no Microsoft Purview:

1. Abra o portal de governação do Microsoft Purview ao:

   • Navegue diretamente para https://web.purview.azure.com e selecione a sua conta do Microsoft Purview.
   • Abrir o portal do Azure, procurar e selecionar a conta do Microsoft Purview. Selecione o botão portal de governação do Microsoft Purview .

2. Navegue para o Mapa de Dados.

   

3. Crie a hierarquia de coleções acedendo a Coleções e, em seguida, selecionando Adicionar uma coleção. Atribua permissões a subcoleções individuais, conforme necessário.

   

4. Aceda à coleção adequada em Origens e, em seguida, selecione o ícone Registar para registar uma nova base de dados SQL.

   

5. Selecione a origem de dados SQL do Azure Base de dados e, em seguida, selecione Continuar.

6. Para Nome, forneça um nome adequado para a origem de dados. Selecione os nomes relevantes para a subscrição do Azure, Nome do servidor e Selecione uma coleção e, em seguida, selecione Aplicar.

   

7. Confirme que a base de dados SQL aparece na coleção selecionada.

   

Atualizar as definições da firewall

Se o servidor de bases de dados tiver uma firewall ativada, terá de atualizar a firewall para permitir o acesso de uma das seguintes formas:

• Permitir ligações do Azure através da firewall. Esta é uma opção simples para encaminhar o tráfego através da rede do Azure, sem ter de gerir máquinas virtuais.
• Instale um runtime de integração autoalojado num computador na sua rede e dê-lhe acesso através da firewall. Se tiver uma rede virtual privada configurada no Azure ou tiver qualquer outra rede fechada configurada, utilizar um runtime de integração autoalojado num computador nessa rede irá permitir-lhe gerir totalmente o fluxo de tráfego e utilizar a rede existente.
• Utilize uma rede virtual gerida. Configurar uma rede virtual gerida com a sua conta do Microsoft Purview irá permitir-lhe ligar-se a SQL do Azure através do runtime de integração do Azure numa rede fechada.

Para obter mais informações sobre a firewall, veja a documentação da firewall da Base de Dados do SQL do Azure.

Permitir ligações do Azure

Ativar as ligações do Azure permitirá que o Microsoft Purview se ligue ao servidor sem precisar que atualize a própria firewall.

1. Aceda à sua conta de base de dados.
2. Na página Descrição geral , selecione o nome do servidor.
3. SelecioneRede deSegurança>.
4. Em Permitir que os serviços e recursos do Azure acedam a este servidor, selecione Sim.

Para obter mais informações sobre como permitir ligações a partir do Azure, veja o guia de procedimentos.

Instalar um runtime de integração autoalojado

Pode instalar um runtime de integração autoalojado num computador para ligar a um recurso numa rede privada:

1. Escolha o runtime de integração certo para o seu cenário
2. Crie e instale o runtime de integração:
   • Para utilizar um runtime de integração autoalojado:siga o artigo para criar e configurar um runtime de integração autoalojado.
   • Para utilizar um runtime de integração autoalojado suportado pelo kubernetes:siga o artigo para criar e configurar um runtime de integração suportado pelo kubernetes.
3. Verifique a configuração de rede do servidor de bases de dados para confirmar que um ponto final privado está acessível para o computador que contém o runtime de integração autoalojado. Adicione o endereço IP do computador se ainda não tiver acesso.
4. Se o servidor lógico estiver protegido por um ponto final privado ou numa rede virtual, pode utilizar um ponto final privado de ingestão para garantir o isolamento de rede ponto a ponto.

Configurar a autenticação para uma análise

Para analisar a origem de dados, tem de configurar um método de autenticação na Base de Dados SQL do Azure.

Importante

Se estiver a utilizar um runtime de integração autoalojado para ligar ao recurso, as identidades geridas atribuídas pelo sistema e atribuídas pelo utilizador não funcionarão. Tem de utilizar a autenticação do principal de serviço ou a autenticação SQL.

O Microsoft Purview suporta as seguintes opções:

• Identidade gerida atribuída pelo sistema (SAMI) (recomendado). Esta é uma identidade que está associada diretamente à sua conta do Microsoft Purview. Permite-lhe autenticar-se diretamente com outros recursos do Azure sem ter de gerir um conjunto de credenciais ou um utilizador intermédia.

  O SAMI é criado quando o recurso do Microsoft Purview é criado. É gerido pelo Azure e utiliza o nome da sua conta do Microsoft Purview. Atualmente, o SAMI não pode ser utilizado com um runtime de integração autoalojado para SQL do Azure.

  Para obter mais informações, veja a descrição geral da identidade gerida.

• Identidade gerida atribuída pelo utilizador (IU) (pré-visualização). Semelhante a um SAMI, uma UAMI é um recurso de credenciais que permite ao Microsoft Purview autenticar-se em Microsoft Entra ID.

  A UAMI é gerida pelos utilizadores no Azure e não pelo próprio Azure, o que lhe dá mais controlo sobre a segurança. Atualmente, a UAMI não pode ser utilizada com um runtime de integração autoalojado para SQL do Azure.

  Para obter mais informações, veja o guia para identidades geridas atribuídas pelo utilizador.

• Principal de serviço. Um principal de serviço é uma aplicação que pode ser atribuída permissões como qualquer outro grupo ou utilizador, sem ser associado diretamente a uma pessoa. A autenticação para principais de serviço tem uma data de expiração, pelo que pode ser útil para projetos temporários.

  Para obter mais informações, veja a documentação do principal de serviço.

• Autenticação do SQL. Ligue-se à base de dados SQL com um nome de utilizador e palavra-passe. Para obter mais informações, veja a documentação de autenticação SQL.

  Se precisar de criar um início de sessão, siga este guia para consultar uma base de dados SQL. Utilize este guia para criar um início de sessão com o T-SQL.

  Observação

  Certifique-se de que seleciona a opção SQL do Azure Base de Dados na página.

Para obter os passos para autenticar com a base de dados SQL, selecione o método de autenticação escolhido nos seguintes separadores.

Autenticação do SQL

Observação

Apenas o início de sessão principal ao nível do servidor (criado pelo processo de aprovisionamento) ou os loginmanager membros da função de base de dados na base de dados master podem criar novos inícios de sessão. A conta do Microsoft Purview deverá conseguir analisar os recursos cerca de 15 minutos depois de obter permissões.

1. Precisa de um início de sessão do SQL com, pelo menos db_datareader , permissões para poder aceder às informações de que o Microsoft Purview precisa para analisar a base de dados. Pode seguir as instruções em CREATE LOGIN para criar um início de sessão para a Base de Dados do SQL do Azure. Guarde o nome de utilizador e a palavra-passe para os passos seguintes.

2. Aceda ao cofre de chaves no portal do Azure.

3. Selecione Definições Segredos> e, em seguida, selecione + Gerar/Importar.

   

4. Para Nome e Valor, utilize o nome de utilizador e a palavra-passe (respetivamente) da base de dados SQL.

5. Selecione Criar.

6. Se o cofre de chaves ainda não estiver ligado ao Microsoft Purview, crie uma nova ligação ao cofre de chaves.

7. Crie uma nova credencial com a chave para configurar a análise.

   

   

Identidade gerenciada

Importante

Se estiver a utilizar um runtime de integração autoalojado para ligar ao recurso, as identidades geridas atribuídas pelo sistema e atribuídas pelo utilizador não funcionarão. Tem de utilizar a autenticação SQL ou a autenticação do principal de serviço.

Configurar a autenticação Microsoft Entra na conta da base de dados

A identidade gerida precisa de permissão para obter metadados para a base de dados, esquemas e tabelas. Também tem de estar autorizado a consultar as tabelas para exemplo para classificação.

1. Se ainda não o fez, configure Microsoft Entra autenticação com SQL do Azure.

2. Crie um utilizador Microsoft Entra na Base de Dados SQL do Azure com a identidade gerida exata do Microsoft Purview. Siga os passos em Criar o utilizador principal de serviço na Base de Dados do SQL do Azure.

3. Atribua a permissão adequada (por exemplo: db_datareader) à identidade. Eis a sintaxe SQL de exemplo para criar o utilizador e conceder permissão:

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   Observação

   O [Username] valor é o nome da identidade gerida do Microsoft Purview. Pode ler mais sobre as funções de base de dados fixa e as respetivas capacidades.

Configurar a autenticação do portal

É importante dar permissão à identidade gerida atribuída pelo sistema ou à identidade gerida atribuída pelo utilizador da sua conta do Microsoft Purview para analisar a base de dados SQL. Pode adicionar o SAMI ou uAMI ao nível da subscrição, do grupo de recursos ou do recurso, consoante a amplitude da análise.

Observação

Para adicionar uma identidade gerida num recurso do Azure, tem de ser um proprietário da subscrição.

1. No portal do Azure, localize a subscrição, o grupo de recursos ou o recurso (por exemplo, uma base de dados SQL) que o catálogo deve analisar.

2. Selecione Controlo de acesso (IAM) no menu esquerdo e, em seguida, selecione + Adicionar>atribuição de função.

   

3. Defina Função como Leitor. Na caixa Selecionar , introduza o nome da sua conta do Microsoft Purview ou UAMI. Em seguida, selecione Guardar para atribuir esta função à sua conta do Microsoft Purview.

   

Entidade de serviço

Criar um novo principal de serviço

Se não tiver um principal de serviço, pode seguir o guia do principal de serviço para criar um.

Observação

Para criar um principal de serviço, tem de registar uma aplicação no seu inquilino Microsoft Entra. Se não tiver o acesso necessário, o administrador da aplicação Microsoft Entra pode efetuar esta operação.

Conceder ao principal de serviço acesso à base de dados SQL

O principal de serviço precisa de permissão para obter metadados para a base de dados, esquemas e tabelas. Também tem de estar autorizado a consultar as tabelas para exemplo para classificação.

1. Se ainda não o fez, configure Microsoft Entra autenticação com SQL do Azure.

2. Crie um utilizador Microsoft Entra na Base de Dados do SQL do Azure com o principal de serviço. Siga os passos em Criar o utilizador principal de serviço na Base de Dados do SQL do Azure.

3. Atribua a permissão adequada (por exemplo: db_datareader) à identidade. Eis a sintaxe SQL de exemplo para criar o utilizador e conceder permissão:

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   Observação

   O [Username] valor é o nome do seu próprio principal de serviço. Pode ler mais sobre as funções de base de dados fixa e as respetivas capacidades.

Criar a credencial

1. Aceda ao cofre de chaves no portal do Azure.

2. Selecione Definições Segredos> e, em seguida, selecione + Gerar/Importar.

   

3. Em Nome, atribua ao segredo um nome à sua escolha.

4. Em Valor, utilize o valor secreto do principal de serviço. Se já tiver criado um segredo para o principal de serviço, pode encontrar o respetivo valor nas Credenciais de cliente na página de descrição geral do segredo.

   Se precisar de criar um segredo, pode seguir os passos no guia do principal de serviço.

   

5. Selecione Criar para criar o segredo.

6. Se o cofre de chaves ainda não estiver ligado ao Microsoft Purview, crie uma nova ligação ao cofre de chaves.

7. Crie uma nova credencial.

   

8. Para o ID do Principal de Serviço, utilize o ID da aplicação (cliente) do principal de serviço.

   

9. Em Nome do segredo, utilize o nome do segredo que criou nos passos anteriores.

   

Criar a análise

1. Abra a sua conta do Microsoft Purview e selecione Abrir o portal de governação do Microsoft Purview.

2. Aceda aOrigens do mapa> de dados para ver a hierarquia de coleções.

3. Selecione o ícone Nova Análise na base de dados SQL que registou anteriormente.

   

Para saber mais sobre a linhagem de dados do procedimento armazenado na Base de Dados do SQL do Azure, veja a secção Extrair linhagem (pré-visualização) deste artigo.

Para os passos de análise, selecione o método de autenticação nos seguintes separadores.

Autenticação do SQL

1. Em Nome, indique um nome para a análise.

2. Para Método de seleção da base de dados, selecione Enter manualmente.

3. Em Nome da base de dados e Credencial, introduza os valores que criou anteriormente.

   

4. Em Selecionar uma ligação, selecione a coleção adequada para a análise.

5. Selecione Testar ligação para validar a ligação. Depois de a ligação ter sido concluída com êxito, selecione Continuar.

Identidade gerenciada

1. Em Nome, indique um nome para a análise.

2. Selecione SAMI ou UAMI em Credencial e escolha a coleção adequada para a análise.

   

3. Selecione Testar ligação. Depois de a ligação ter sido concluída com êxito, selecione Continuar.

   

Entidade de serviço

1. Em Nome, indique um nome para a análise.

2. Escolha a coleção adequada para a análise e selecione a credencial que criou anteriormente em Credencial.

   

3. Selecione Testar ligação. Depois de a ligação ter sido concluída com êxito, selecione Continuar.

Âmbito e executar a análise

1. Pode definir o âmbito da análise para objetos de base de dados específicos ao selecionar os itens adequados na lista.

   

2. Selecione um conjunto de regras de análise. Pode utilizar a predefinição do sistema, escolher entre conjuntos de regras personalizadas existentes ou criar um novo conjunto de regras inline. Selecione Continuar quando terminar.

   

   Se selecionar Novo conjunto de regras de análise, é aberto um painel para que possa introduzir o tipo de origem, o nome do conjunto de regras e uma descrição. Selecione Continuar quando terminar.

   

   Em Selecionar regras de classificação, selecione as regras de classificação que pretende incluir no conjunto de regras de análise e, em seguida, selecione Criar.

   

   O novo conjunto de regras de análise é então apresentado na lista de conjuntos de regras disponíveis.

   

3. Escolha o acionador de análise. Pode configurar uma agenda ou executar a análise uma vez.

4. Reveja a análise e, em seguida, selecione Guardar e executar.

Ver uma análise

Para marcar a status de uma análise, aceda à origem de dados na coleção e, em seguida, selecione Ver detalhes.

Os detalhes da análise indicam o progresso da análise em Última execução status, juntamente com o número de recursos analisados e classificados. A última execução status é atualizada para Em curso e, em seguida, Concluída depois de toda a análise ter sido executada com êxito.

Gerir uma análise

Depois de executar uma análise, pode utilizar o histórico de execuções para a gerir:

1. Em Análises recentes, selecione uma análise.

   

2. No histórico de execuções, tem opções para executar novamente a análise, editá-la ou eliminá-la.

   

   Se selecionar Executar análise agora para voltar a executar a análise, pode escolher Análise incremental ou Análise completa.

   

Resolução de problemas de análise

Se tiver problemas com a análise, experimente estas sugestões:

• Confirme que seguiu todos os pré-requisitos.
• Verifique a rede ao confirmar a firewall, as ligações do Azure ou as definições do runtime de integração .
• Confirme que a autenticação está configurada corretamente.

Para obter mais informações, veja Resolver problemas de ligações no Microsoft Purview.

Configurar políticas

Os seguintes tipos de políticas do Microsoft Purview são suportados neste recurso de dados:

• Políticas de proprietário de dados – um conjunto de declarações de políticas que lhe permitem conceder aos utilizadores e grupos acesso a origens de dados.
• Políticas self-service – política que permite aos utilizadores pedir acesso a origens de dados registadas no Microsoft Purview.
• Políticas de proteção – nega o acesso a dados etiquetados com etiquetas de confidencialidade a todos os utilizadores, exceto os especificados pela política.
• Políticas de DevOps – concede acesso a metadados do sistema de bases de dados em várias origens. Simplificam o aprovisionamento de acesso para operações de TI e pessoal de auditoria de segurança. Só concedem acesso e não negam o acesso.

Pré-requisitos da política de acesso na Base de Dados do SQL do Azure

• Crie uma nova instância da Base de Dados SQL do Azure ou utilize uma existente numa das regiões atualmente disponíveis para esta funcionalidade. Pode seguir este guia para criar uma instância da Base de Dados SQL do Azure.

Suporte de região

Todas as regiões do Microsoft Purview são suportadas.

A imposição das políticas do Microsoft Purview só está disponível nas seguintes regiões para SQL do Azure Base de Dados:

Cloud pública:

• Leste dos EUA
• E.U.A. Leste2
• Centro-Sul dos EUA
• Centro-Oeste dos EUA
• E.U.A. Oeste3
• Canadá Central
• Sul do Brasil
• Europa Ocidental
• Norte da Europa
• França Central
• Sul do Reino Unido
• Norte da África do Sul
• Índia Central
• Sudeste Asiático
• Leste da Ásia
• Leste da Austrália

Clouds soberanas:

• USGov Virginia
• China Norte 3

Configurar a instância da Base de Dados SQL do Azure para políticas do Microsoft Purview

Para que o servidor lógico associado à Base de Dados do SQL do Azure honre as políticas do Microsoft Purview, tem de configurar um administrador Microsoft Entra. No portal do Azure, aceda ao servidor lógico que aloja a instância da Base de Dados SQL do Azure. No menu lateral, selecione Microsoft Entra ID. Defina um nome de administrador para qualquer Microsoft Entra utilizador ou grupo que preferir e, em seguida, selecione Guardar.

Em seguida, no menu lateral, selecione Identidade. Em Identidade gerida atribuída pelo sistema, mude o status para Ativado e, em seguida, selecione Guardar.

Configurar a conta do Microsoft Purview para políticas

Registar a origem de dados no Microsoft Purview

Antes de uma política poder ser criada no Microsoft Purview para um recurso de dados, tem de registar esse recurso de dados no Microsoft Purview Studio. Encontrará as instruções relacionadas com o registo do recurso de dados mais adiante neste guia.

Observação

As políticas do Microsoft Purview dependem do caminho arm do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou subscrição, terá de ser desativado e registado novamente no Microsoft Purview.

Configurar permissões para ativar a imposição de políticas de dados na origem de dados

Assim que um recurso for registado, mas antes de poder criar uma política no Microsoft Purview para esse recurso, tem de configurar as permissões. É necessário um conjunto de permissões para ativar a imposição da política de dados. Isto aplica-se a origens de dados, grupos de recursos ou subscrições. Para ativar a imposição da política de dados, tem de ter privilégios específicos de Gestão de Identidades e Acessos (IAM) no recurso, bem como privilégios específicos do Microsoft Purview:

• Tem de ter uma das seguintes combinações de funções IAM no caminho de Resource Manager do Azure do recurso ou qualquer elemento principal do mesmo (ou seja, através da herança de permissões IAM):

  • Proprietário do IAM
  • Contribuidor de IAM e Administrador de Acesso de Utilizador do IAM

  Para configurar permissões de controlo de acesso baseado em funções (RBAC) do Azure, siga este guia. A seguinte captura de ecrã mostra como aceder à secção Controle de Acesso no portal do Azure para o recurso de dados adicionar uma atribuição de função.

  

  Observação

  A função Proprietário de IAM para um recurso de dados pode ser herdada de um grupo de recursos principal, de uma subscrição ou de um grupo de gestão de subscrições. Verifique que Microsoft Entra utilizadores, grupos e principais de serviço têm ou estão a herdar a função Proprietário do IAM do recurso.

• Também tem de ter a função de administrador da origem de dados do Microsoft Purview para a coleção ou uma coleção principal (se a herança estiver ativada). Para obter mais informações, veja o guia sobre como gerir atribuições de funções do Microsoft Purview.

  A captura de ecrã seguinte mostra como atribuir a função de administrador da Origem de dados ao nível da coleção de raiz.

  

Configurar permissões do Microsoft Purview para criar, atualizar ou eliminar políticas de acesso

Para criar, atualizar ou eliminar políticas, tem de obter a função de Autor de políticas no Microsoft Purview ao nível da coleção de raiz:

• A função de autor da Política pode criar, atualizar e eliminar políticas de DevOps e Proprietário de Dados.
• A função de autor da Política pode eliminar políticas de acesso self-service.

Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.

Observação

A função de autor da política tem de ser configurada ao nível da coleção de raiz.

Além disso, para procurar facilmente Microsoft Entra utilizadores ou grupos ao criar ou atualizar o assunto de uma política, pode beneficiar bastante da obtenção da permissão Leitores de Diretórios no Microsoft Entra ID. Esta é uma permissão comum para utilizadores num inquilino do Azure. Sem a permissão Leitor de Diretórios, o Autor da Política terá de escrever o nome de utilizador ou e-mail completo para todos os principais incluídos no assunto de uma política de dados.

Configurar permissões do Microsoft Purview para publicar políticas de Proprietário de Dados

As políticas de Proprietário de Dados permitem verificações e saldos se atribuir o autor da Política do Microsoft Purview e as funções de administrador da origem de dados a diferentes pessoas na organização. Antes de uma política de Proprietário de dados ter efeito, uma segunda pessoa (administrador da origem de dados) tem de revê-la e aprová-la explicitamente ao publicá-la. Isto não se aplica às políticas de acesso DevOps ou Self-service, uma vez que a publicação é automática para as mesmas quando essas políticas são criadas ou atualizadas.

Para publicar uma política de Proprietário de dados, tem de obter a função de Administrador da origem de dados no Microsoft Purview ao nível da coleção de raiz.

Para obter mais informações sobre como gerir atribuições de funções do Microsoft Purview, consulte Criar e gerir coleções no Mapa de Dados do Microsoft Purview.

Observação

Para publicar políticas de Proprietário de dados, a função de administrador da origem de dados tem de ser configurada ao nível da coleção de raiz.

Delegar a responsabilidade de aprovisionamento de acesso a funções no Microsoft Purview

Depois de um recurso ter sido ativado para a imposição da política de dados, qualquer utilizador do Microsoft Purview com a função de Autor de políticas ao nível da coleção de raiz pode aprovisionar o acesso a essa origem de dados a partir do Microsoft Purview.

Observação

Qualquer administrador da Coleção de raiz do Microsoft Purview pode atribuir novos utilizadores às funções de autor da Política de raiz. Qualquer administrador da Coleção pode atribuir novos utilizadores a uma função de administrador de Origem de dados na coleção. Minimize e analise cuidadosamente os utilizadores que detêm funções de administrador da Coleção do Microsoft Purview, Administrador da origem de dados ou Autor de políticas .

Se uma conta do Microsoft Purview com políticas publicadas for eliminada, essas políticas deixarão de ser impostas num período de tempo que dependa da origem de dados específica. Esta alteração pode ter implicações na disponibilidade de acesso a dados e segurança. As funções Contribuidor e Proprietário no IAM podem eliminar contas do Microsoft Purview. Pode marcar estas permissões ao aceder à secção Controlo de acesso (IAM) da sua conta do Microsoft Purview e selecionar Atribuições de Funções. Também pode utilizar um bloqueio para impedir que a conta do Microsoft Purview seja eliminada através de bloqueios de Resource Manager.

Registar a origem de dados e ativar a imposição da política de dados

O recurso da Base de Dados SQL do Azure tem de ser registado no Microsoft Purview antes de poder criar políticas de acesso. Para registar os seus recursos, siga as secções "Pré-requisitos" e "Registar a origem de dados" em Ativar a imposição da política de dados nas origens do Microsoft Purview.

Depois de registar a origem de dados, tem de ativar a Imposição da política de dados. Este é um pré-requisito antes de poder criar políticas na origem de dados. A imposição da política de dados pode afetar a segurança dos seus dados, uma vez que delega a determinadas funções do Microsoft Purview que gerem o acesso às origens de dados. Veja as práticas de segurança em Ativar a imposição da política de dados nas suas origens do Microsoft Purview.

Depois de a origem de dados ter a opção Imposição da política de dados definida como Ativada, terá o seguinte aspeto:

Regresse ao portal do Azure da Base de Dados do SQL do Azure para verificar se está agora regido pelo Microsoft Purview:

1. Inicie sessão no portal do Azure através desta ligação

2. Selecione o servidor SQL do Azure que pretende configurar.

3. Aceda a Microsoft Entra ID no painel esquerdo.

4. Desloque-se para baixo até às políticas de acesso do Microsoft Purview.

5. Selecione o botão para Procurar Governação do Microsoft Purview. Aguarde enquanto o pedido é processado. Pode demorar alguns minutos.

   

6. Confirme que o Estado de Governação do Microsoft Purview mostra Governed. Tenha em atenção que poderá demorar alguns minutos após ativar a imposição da política de dados no Microsoft Purview para que a status correta seja refletida.

Observação

Se desativar a Imposição da política de dados para este SQL do Azure origem de dados da Base de Dados, poderá demorar até 24 horas para que o Estado de Governação do Microsoft Purview seja atualizado automaticamente para Not Governedo . Isto pode ser acelerado ao selecionar Verificar Governação do Microsoft Purview. Antes de ativar a Imposição da política de dados para a origem de dados noutra conta do Microsoft Purview, certifique-se de que o Estado de Governação do Purview é apresentado como Not Governed. Em seguida, repita os passos acima com a nova conta do Microsoft Purview.

Criar uma política de acesso

Para criar uma política de acesso para SQL do Azure Base de Dados, siga estes guias:

• Aprovisionar o acesso às informações de estado de funcionamento, desempenho e auditoria do sistema na Base de Dados do SQL do Azure. Utilize este guia para aplicar uma política de DevOps numa única base de dados SQL.
• Aprovisionar o acesso de leitura/modificação numa única Base de Dados SQL do Azure. Utilize este guia para aprovisionar o acesso numa única conta de base de dados SQL na sua subscrição.
• Políticas de acesso self-service para a Base de Dados SQL do Azure. Utilize este guia para permitir que os consumidores de dados peçam acesso a recursos de dados através de um fluxo de trabalho self-service.

Para criar políticas que abrangem todas as origens de dados dentro de um grupo de recursos ou subscrição do Azure, veja Detetar e governar várias origens do Azure no Microsoft Purview.

política de #Protection

As políticas de controlo de acesso à proteção (políticas de proteção) permitem que as organizações protejam automaticamente dados confidenciais entre origens de dados. O Microsoft Purview já analisa recursos de dados e identifica elementos de dados confidenciais e esta nova funcionalidade permite-lhe restringir automaticamente o acesso a esses dados através de etiquetas de confidencialidade de Proteção de Informações do Microsoft Purview.

Siga esta documentação para criar uma política de proteção: Como criar uma política de Proteção de Informações do Microsoft Purview.

Extrair linhagem (pré-visualização)

O Microsoft Purview suporta linhagem para vistas e procedimentos armazenados da Base de Dados SQL do Azure. Embora a linhagem das vistas seja suportada como parte da análise, terá de ativar o botão de alternar Extração de linhagem para extrair a linhagem do procedimento armazenado quando estiver a configurar uma análise.

Observação

Atualmente, a linhagem não é suportada com um runtime de integração autoalojado ou runtime de VNET gerido e um ponto final privado SQL do Azure. Tem de ativar os serviços do Azure para aceder ao servidor nas definições de rede da base de dados do SQL do Azure e a sua conta do Microsoft Purview tem de permitir o acesso público. Saiba mais sobre as limitações conhecidas na análise de extração de linhagem.

Linhagem para vistas da BD SQL

A partir de 30/06/24, a análise de metadados da BD SQL incluirá a extração de linhagem para vistas. Apenas as novas análises incluirão a extração de linhagem de vistas. A linhagem é extraída em todos os níveis de análise (L1/L2/L3). No caso de uma análise incremental, quaisquer metadados que sejam analisados como parte da análise incremental, a linhagem estática correspondente para tabelas/vistas será extraída.

Pré-requisitos para configurar uma análise com extração de linhagem SP

1. Siga os passos na secção Configurar a autenticação para uma análise deste artigo para autorizar o Microsoft Purview a analisar a base de dados SQL.

2. Inicie sessão na Base de Dados SQL do Azure com a sua conta Microsoft Entra e atribua db_owner permissões à identidade gerida do Microsoft Purview.

   Observação

   As permissões "db_owner" são necessárias porque a linhagem é baseada em sessões XEvent. Assim, o Microsoft Purview precisa da permissão para gerir as sessões XEvent no SQL.

   Utilize a sintaxe SQL de exemplo seguinte para criar um utilizador e conceder permissão. Substitua pelo <purview-account> nome da sua conta.

   Create user <purview-account> FROM EXTERNAL PROVIDER
   GO
   EXEC sp_addrolemember 'db_owner', <purview-account> 
   GO
   

3. Execute o seguinte comando na base de dados SQL para criar uma chave de master:

   Create master key
   Go
   

4. Certifique-se de que Permitir que os serviços e recursos do Azure acedam a este servidor está ativado em rede/firewall para o recurso SQL do Azure.

Criar uma análise com a extração de linhagem ativada

1. No painel para configurar uma análise, ative o seletor Ativar extração de linhagem .

   

2. Selecione o método de autenticação ao seguir os passos na secção Criar a análise deste artigo.

3. Depois de configurar a análise com êxito, um novo tipo de análise denominado Extração de linhagem executará análises incrementais a cada seis horas para extrair linhagem da Base de Dados SQL do Azure. A linhagem é extraída com base no procedimento armazenado executado na base de dados SQL.

   

Procurar SQL do Azure recursos da Base de Dados e ver a linhagem do runtime

Pode navegar pelo catálogo de dados ou procurar no catálogo de dados para ver os detalhes dos recursos da Base de Dados do SQL do Azure. Os passos seguintes descrevem como ver os detalhes da linhagem de runtime:

1. Aceda ao separador Linhagem do elemento. Quando aplicável, a linhagem de recursos é apresentada aqui.

   

   Quando aplicável, pode desagregar ainda mais para ver a linhagem ao nível da instrução SQL num procedimento armazenado, juntamente com a linhagem ao nível da coluna. Ao utilizar Integration Runtime Autoalojado para análise, a obtenção das informações de desagregação de linhagem durante a análise é suportada desde a versão 5.25.8374.1.

   

   Para obter informações sobre os cenários de linhagem suportados SQL do Azure Base de Dados, veja a secção Capacidades suportadas deste artigo. Para obter mais informações sobre a linhagem em geral, veja Guia do utilizador da linhagem de dados no Microsoft Purview e Catálogo de Dados do Microsoft Purview linhagem.

2. Aceda ao recurso de procedimento armazenado. No separador Propriedades , aceda a Recursos relacionados para obter os detalhes de execução mais recentes dos procedimentos armazenados.

   

3. Selecione a hiperligação de procedimento armazenado junto a Execuções para ver o SQL do Azure Descrição geral da Execução de Procedimentos Armazenados. Aceda ao separador Propriedades para ver informações de runtime melhoradas do procedimento armazenado, como executedTime, rowCount e Ligação de Cliente.

   

Resolver problemas de extração de linhagem para Procedimentos Armazenados

As sugestões seguintes podem ajudá-lo a resolver problemas relacionados com a linhagem:

• Se nenhuma linhagem for capturada após uma execução de extração de Linhagem bem-sucedida, é possível que nenhum procedimento armazenado tenha sido executado pelo menos uma vez desde que configurou a análise.
• A linhagem é capturada para execuções de procedimentos armazenados que ocorrem após a configuração de uma análise com êxito. A linhagem de execuções de procedimentos armazenados anteriores não é capturada.
• Se a base de dados estiver a processar cargas de trabalho pesadas com muitas execuções de procedimentos armazenados, a extração de linhagem filtrará apenas as execuções mais recentes. O procedimento armazenado é executado no início da janela de seis horas ou as instâncias de execução que criam uma carga de consulta pesada não serão extraídas. Contacte o suporte se falta a linhagem de qualquer execução de procedimento armazenado.
• Se um procedimento armazenado contiver instruções de remoção ou criação, estas não são atualmente capturadas na linhagem

Próximas etapas

Para saber mais sobre o Microsoft Purview e os seus dados, utilize estes guias:

• Conceitos para políticas de proprietário de Dados do Microsoft Purview
• Conceitos para políticas de DevOps do Microsoft Purview
• Compreender a aplicação Insights do Patrimônio de Dados do Microsoft Purview
• guia do utilizador da linhagem Catálogo de Dados do Microsoft Purview
• Procurar no Catálogo de Dados do Microsoft Purview