Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:
SQL Server
O Data Discovery & Classification adiciona recursos para descobrir, classificar, rotular e relatar os dados confidenciais nos seus bancos de dados. Isso pode ser feito via T-SQL ou usando o SQL Server Management Studio (SSMS). Descobrir e classificar seus dados mais confidenciais (comerciais, financeiros, de saúde, etc.) pode desempenhar um papel fundamental na sua estatura de proteção de informações organizacionais. Pode servir de infraestrutura para:
- Ajudar a cumprir as normas de privacidade de dados.
- Monitorização do acesso a bases de dados/colunas que contenham dados altamente sensíveis.
Observação
A Descoberta de Dados e a Classificação têm suporte para o SQL Server 2012 e posterior e podem ser usadas com o SSMS 17.5 ou posterior. Para o Banco de Dados SQL do Azure, consulte Descoberta de Dados do Banco de Dados SQL do Azure & Classificação.
Visão geral
A Descoberta de Dados e a Classificação formam um novo paradigma de proteção de informações para o Banco de Dados SQL, a Instância Gerenciada SQL e a Sinapse do Azure, com o objetivo de proteger os dados e não apenas o banco de dados. Atualmente suporta as seguintes capacidades:
- Descoberta e recomendações - O mecanismo de classificação verifica seu banco de dados e identifica colunas contendo dados potencialmente confidenciais. Em seguida, ele fornece uma maneira fácil de revisar e aplicar as recomendações de classificação apropriadas, bem como classificar manualmente as colunas.
- Rotulagem - Os rótulos de classificação de sensibilidade podem ser associados persistentemente às colunas.
- Visibilidade - O estado de classificação do banco de dados pode ser visualizado em um relatório detalhado que pode ser impresso ou exportado para ser usado para fins de conformidade e auditoria.
Descobrindo, classificando e rotulando colunas confidenciais
A seção a seguir descreve as etapas para descobrir, classificar e rotular colunas contendo dados confidenciais em seu banco de dados, bem como exibir o estado atual de classificação do banco de dados e exportar relatórios.
A classificação inclui dois atributos de metadados:
- Rótulos - Os principais atributos de classificação, usados para definir o nível de sensibilidade dos dados armazenados na coluna.
- Tipos de informações - Fornece mais granularidade no tipo de dados armazenados na coluna.
Para classificar seu banco de dados SQL Server:
No SQL Server Management Studio (SSMS), conecte-se ao SQL Server.
No Pesquisador de Objetos do SSMS, selecione o banco de dados que deseja classificar e escolha Tarefas>,Descoberta de Dados e Classificação,>Classificação, Dados....
O mecanismo de classificação verifica seu banco de dados em busca de colunas (com base apenas em nomes de colunas) que contenham dados potencialmente confidenciais e fornece uma lista de classificações de colunas recomendadas:
Para visualizar a lista de classificações de coluna recomendadas, selecione a caixa de notificação de recomendações na parte superior ou o painel de recomendações na parte inferior da janela:
Reveja a lista de recomendações:
Para aceitar uma recomendação para uma coluna específica, marque a caixa de seleção na coluna esquerda da linha relevante. Você também pode marcar todas as recomendações como aceitas marcando a caixa de seleção no cabeçalho da tabela de recomendações.
Também pode alterar o tipo de informação recomendada e o rótulo de sensibilidade utilizando as caixas suspensas.
Para aplicar as recomendações selecionadas, selecione o botão Salvar recomendações selecionadas .
Observação
O mecanismo de recomendação, que faz a descoberta automática de dados e fornece recomendações de coluna confidenciais, é desabilitado quando o modo de política de Proteção de Informações do Microsoft Purview é usado.
Para exibir as colunas classificadas, selecione o esquema apropriado e a tabela correspondente na lista suspensa e, em seguida, selecione Carregar colunas.
Você também pode classificar manualmente as colunas como uma alternativa ou, além disso, à classificação baseada em recomendações:
Selecione Adicionar classificação no menu superior da janela.
Na janela de contexto que se abre, introduza o nome da coluna que pretende classificar, o tipo de informação e a etiqueta de sensibilidade. O esquema e a tabela são selecionados com base nas entradas na página principal.
Se desejar adicionar classificação a todas as colunas não classificadas de uma tabela específica numa única tentativa, selecione Todos os Não Classificados na lista suspensa Coluna da página Adicionar Classificação.
Para concluir sua classificação e rotular (marcar) persistentemente as colunas do banco de dados com os novos metadados de classificação, selecione o botão Salvar no menu superior da janela.
Para gerar um relatório com um resumo completo do estado de classificação do banco de dados, selecione Exibir relatório no menu superior da janela. (Você também pode gerar um relatório usando o SSMS. Selecione o banco de dados onde deseja gerar o relatório e escolha Tarefas>,Descoberta de Dados e Classificação>,Gerar Relatório...)
Classifique seu banco de dados usando a Política de Proteção de Informações do Microsoft Purview
Observação
A Proteção de Informações da Microsoft (abreviada como MIP) foi rebatizada como Proteção de Informações do Microsoft Purview. Ambos os termos MIP e Microsoft Purview Information Protection são frequentemente usados indistintamente neste documento, mas ambos se referem ao mesmo conceito.
Os rótulos do Microsoft Purview Information Protection fornecem uma maneira simples e uniforme para seus usuários classificarem dados confidenciais no SQL Server. Os rótulos de sensibilidade MIP são criados e gerenciados no centro de conformidade do Microsoft 365 [rebatizado como portal de conformidade Microsoft Purview]. Para saber como criar e publicar rótulos sensíveis a MIP no Portal de Conformidade do Microsoft Purview, consulte o artigo Rótulos de sensibilidade da Proteção de Informações da Microsoft.
Agora você pode usar o SSMS para classificar dados na origem (SQL Server) usando rótulos de Proteção de Informações do Microsoft Purview, que são usados no Power BI, Office e outros produtos da Microsoft. Esses rótulos de sensibilidade são aplicados no nível da coluna em um banco de dados, da mesma forma que a política de Proteção de Informações SQL.
Os conjuntos de dados ou relatórios do Power BI que se conectam a dados rotulados como confidenciais em fontes de dados com suporte podem herdar esses rótulos automaticamente, para que os dados permaneçam classificados quando trazidos para o Power BI e exportados para aplicativos downstream. A disponibilidade da política de MIP no SSMS permite que você obtenha uma solução completa de classificação em toda a empresa.
Etapas para configurar a política de proteção de informações do Microsoft Purview
No SQL Server Management Studio (SSMS), conecte-se ao SQL Server.
No Pesquisador de Objetos do SSMS, selecione o banco de dados que você deseja classificar e selecione Tarefas>Descoberta de dados e classificação>Definir a Política de Proteção de Informações da Microsoft
Será exibida uma janela de autenticação para o Microsoft 365 definir a Política de Proteção de Informações da Microsoft. Selecione Entrar e insira ou selecione uma credencial de usuário válida para autenticar seu locatário do Microsoft 365.
Se a autenticação for bem-sucedida, você verá uma janela pop-up com o status como Sucesso.
Opcional - Se pretender iniciar sessão em qualquer uma das nuvens soberanas da Microsoft para se autenticar no Microsoft 365, aceda a> de >> Azure Services >Azure Cloud e altere o Nome para a nuvem soberana relevante da Microsoft.
Na janela Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados que você deseja classificar e escolha Tarefas>,Descoberta de Dados e Classificação,>Classificar Dados. Agora você pode adicionar nova classificação usando rótulos de sensibilidade MIP definidos em seu locatário do Microsoft 365 e usar esses rótulos para classificar colunas no SQL Server.
A descoberta e recomendação automáticas de dados são desabilitadas no modo de Política de Proteção de Informações da Microsoft. Atualmente, está disponível apenas no modo de Política de Proteção de Informações SQL.
Para redefinir a Política de Proteção de Informações para padrão ou a Proteção de Informações SQL, vá para o Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados e escolha Tarefas>Descoberta de Dados e Classificação>Redefinir Política de Proteção de Informações para Padrão. Isso aplicará a política padrão ou de Proteção de Informações SQL e você poderá classificar os dados usando rótulos de sensibilidade SQL em vez de rótulos MIP.
Para habilitar a Política de Proteção de Informações a partir de um arquivo JSON personalizado, vá para o Pesquisador de Objetos do SSMS, clique com o botão direito do mouse no banco de dados e escolha Tarefa>Descoberta de Dados e Classificação>Definir Arquivo de Política de Proteção de Informações.
Observação
Um ícone de aviso indica que a coluna foi classificada anteriormente usando uma Política de Proteção de Informações diferente do modo de política selecionado no momento. Por exemplo, se você estiver atualmente no modo de Proteção de Informações da Microsoft e uma das colunas tiver sido classificada anteriormente usando a Política de Proteção de Informações SQL ou a Política de Proteção de Informações de um arquivo de diretiva personalizado, você verá um ícone de aviso nessa coluna. Você pode decidir se deseja alterar a classificação da coluna para qualquer um dos rótulos de sensibilidade disponíveis no modo de política atual ou deixá-la como está.
Gerenciar a política de proteção de informações com o SSMS
Pode gerir a Política de Proteção da Informação utilizando a versão mais recente do SQL Server Management Studio:
No SQL Server Management Studio (SSMS), conecte-se ao SQL Server.
No Pesquisador de Objetos do SSMS, selecione um dos seus bancos de dados e escolha Tarefas,Descoberta e Classificação de >.
As seguintes opções de menu permitem que você gerencie a Política de Proteção de Informações:
Definir Política de Proteção de Informações da Microsoft: define a Política de Proteção de Informações como Política de Proteção de Informações do Microsoft Purview.
Definir arquivo de política de proteção de informações: usa a política de proteção de informações SQL conforme definido no arquivo JSON selecionado. (Consulte o arquivo de política de proteção de informações padrão)
Política de Proteção de Informações de Exportação: exporta a Política de Proteção de Informações para um arquivo JSON.
Redefinir a Política de Proteção de Informações: redefine a Política de Proteção de Informações para a Política de Proteção de Informações SQL padrão.
Importante
O arquivo de política de proteção de informações não é armazenado no SQL Server. O SSMS usa uma Política de Proteção de Informações padrão. Se uma Política de Proteção de Informações personalizada falhar, o SSMS não poderá usar a política padrão. A classificação de dados falha. Para resolver, clique em Redefinir Política de Proteção de Informações para usar a política padrão e reativar a classificação de dados.
Acesso aos metadados de classificação
O SQL Server 2019 apresenta a sys.sensitivity_classifications exibição do catálogo do sistema. Esta vista devolve tipos de informação e etiquetas de sensibilidade.
Em instâncias do SQL Server 2019, consulte sys.sensitivity_classifications para revisar todas as colunas classificadas com suas classificações correspondentes. Por exemplo:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
label,
rank,
rank_desc
FROM sys.sensitivity_classifications sc
JOIN sys.objects O
ON sc.major_id = O.object_id
JOIN sys.columns C
ON sc.major_id = C.object_id AND sc.minor_id = C.column_id
Antes do SQL Server 2019, os metadados de classificação para tipos de informações e rótulos de confidencialidade estavam nas seguintes Propriedades Estendidas:
sys_information_type_namesys_sensitivity_label_name
Para instâncias do SQL Server 2017 e anteriores, o exemplo a seguir retorna todas as colunas classificadas com suas classificações correspondentes:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
sensitivity_label
FROM
(
SELECT
IT.major_id,
IT.minor_id,
IT.information_type,
L.sensitivity_label
FROM
(
SELECT
major_id,
minor_id,
value AS information_type
FROM sys.extended_properties
WHERE NAME = 'sys_information_type_name'
) IT
FULL OUTER JOIN
(
SELECT
major_id,
minor_id,
value AS sensitivity_label
FROM sys.extended_properties
WHERE NAME = 'sys_sensitivity_label_name'
) L
ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
) EP
JOIN sys.objects O
ON EP.major_id = O.object_id
JOIN sys.columns C
ON EP.major_id = C.object_id AND EP.minor_id = C.column_id
Permissões
Em instâncias do SQL Server 2019, visualizar a classificação requer a permissão VIEW ANY SENSITIVITY CLASSIFICATION. Para obter mais informações, consulte Configuração de visibilidade de metadados.
Antes do SQL Server 2019, os metadados podem ser acessados usando a exibição sys.extended_propertiesdo catálogo Propriedades Estendidas.
O gerenciamento da classificação requer a permissão ALTER ANY SENSITIVITY CLASSIFICATION. A CLASSIFICAÇÃO DE SENSIBILIDADE ALTER ANY está implícita pela permissão de banco de dados ALTER, ou pela permissão do servidor CONTROL SERVER.
Gerir classificações
- T-SQL
- PowerShell Cmdlet
Você pode usar o T-SQL para adicionar ou remover classificações de coluna e também recuperar todas as classificações para todo o banco de dados.
- Adicionar/atualizar a classificação de uma ou mais colunas: ADICIONAR CLASSIFICAÇÃO DE SENSIBILIDADE
- Remova a classificação de uma ou mais colunas: CLASSIFICAÇÃO DE SENSIBILIDADE À QUEDA
Próximos passos
Para o Banco de Dados SQL do Azure, consulte Descoberta de Dados do Banco de Dados SQL do Azure & Classificação.
Considere proteger suas colunas confidenciais aplicando mecanismos de segurança no nível da coluna:
- Mascaramento dinâmico de dados para ofuscar colunas confidenciais em uso.
- Always Encrypted para cifrar colunas confidenciais em descanso.