Поделиться через


Обнаружение и управление базой данных Azure SQL в Microsoft Purview

В этой статье описывается процесс регистрации источника базы данных Azure SQL в Microsoft Purview. Он содержит инструкции по проверке подлинности и взаимодействию с базой данных SQL.

Поддерживаемые возможности

Извлечение метаданных Полная проверка Добавочное сканирование Сканирование с заданной областью Классификация Присвоение подписей Политика доступа Lineage Общий доступ к данным Интерактивное представление
Да Да Да Да Да Да Да (предварительная версия) Да (предварительная версия) Нет Да

При сканировании базы данных Azure SQL Microsoft Purview поддерживает извлечение технических метаданных из следующих источников:

  • Сервер
  • База данных
  • Схемы
  • Таблицы, включая столбцы
  • Представления, включая столбцы (с включенным извлечением происхождения в рамках сканирования)
  • Хранимые процедуры (с включенным извлечением происхождения)
  • Запуски хранимых процедур (с включенным извлечением происхождения)

При настройке проверки ее можно дополнительно область после указания имени базы данных, выбрав таблицы и представления по мере необходимости.

Известные ограничения

  • Для извлечения происхождения данных хранимых процедур:
    • Проверка извлечения происхождения хранимых процедур (SP) в настоящее время не поддерживается, если логический сервер в Azure отключает общий доступ или не разрешает службам Azure доступ к нему.
    • Проверка извлечения происхождения sp в настоящее время не поддерживается, если учетная запись Microsoft Purview отключает общий доступ.
    • Проверка извлечения происхождения sp по умолчанию выполняется каждые шесть часов. Частоту изменить нельзя.
    • Данные о происхождении записываются только в том случае, если выполнение хранимой процедуры передает данные из одной таблицы в другую. И это не поддерживается для временных таблиц.
    • Извлечение происхождения не поддерживается для функций или триггеров.
    • Обратите внимание, что из-за следующих ограничений в настоящее время в каталоге могут отображаться дублирующиеся ресурсы, если у вас есть такие сценарии.
      • Имена объектов в ресурсах и полные имена соответствуют регистру, используемому в инструкциях хранимых процедур, которые могут не соответствовать регистру объекта в исходном источнике данных.
      • Когда на представления SQL ссылаются в хранимых процедурах, они в настоящее время записываются в виде таблиц SQL.

Примечание.

Происхождение данных также поддерживается, если Azure SQL таблицы или представления используются в качестве источника или приемника в действиях Фабрика данных Azure копирования и Поток данных.

Предварительные условия

Регистрация источника данных

Перед сканированием важно зарегистрировать источник данных в Microsoft Purview:

  1. Откройте портал управления Microsoft Purview, выполнив следующие действия.

  2. Перейдите к схеме данных.

    Снимок экрана: область для открытия портала управления Microsoft Purview.

  3. Создайте иерархию коллекций , выбрав Коллекции и выбрав Добавить коллекцию. При необходимости назначьте разрешения отдельным вложенным коллекциям.

    Снимок экрана: выбор для назначения разрешений на управление доступом иерархии коллекций.

  4. Перейдите к соответствующей коллекции в разделе Источники и щелкните значок Зарегистрировать , чтобы зарегистрировать новую базу данных SQL.

    Снимок экрана: коллекция, используемая для регистрации источника данных.

  5. Выберите источник данных базы данных Azure SQL и нажмите кнопку Продолжить.

  6. В поле Имя укажите подходящее имя для источника данных. Выберите соответствующие имена для подписки Azure, имени сервера и выберите коллекцию, а затем нажмите кнопку Применить.

    Снимок экрана: сведения, введенные для регистрации источника данных.

  7. Убедитесь, что база данных SQL отображается в выбранной коллекции.

    Снимок экрана: источник данных, сопоставленный с коллекцией для запуска сканирования.

Обновление параметров брандмауэра

Если на сервере базы данных включен брандмауэр, необходимо обновить брандмауэр, чтобы разрешить доступ одним из следующих способов:

Дополнительные сведения о брандмауэре см. в документации по брандмауэру базы данных Azure SQL.

Разрешить подключения Azure

Включение подключений Azure позволит Microsoft Purview подключаться к серверу без необходимости обновлять сам брандмауэр.

  1. Перейдите к учетной записи базы данных.
  2. На странице Обзор выберите имя сервера.
  3. Выберите Безопасность>сети.
  4. Для параметра Разрешить службам и ресурсам Azure доступ к этому серверу выберите Да.

Снимок экрана: выбор в портал Azure для разрешения подключений Azure к серверу.

Дополнительные сведения о том, как разрешить подключения из Azure, см. в этом руководстве.

Установка локальной среды выполнения интеграции

Вы можете установить локальную среду выполнения интеграции на компьютере для подключения к ресурсу в частной сети:

  1. Выберите подходящую среду выполнения интеграции для вашего сценария
  2. Создайте и установите среду выполнения интеграции:
  3. Проверьте сетевую конфигурацию сервера базы данных, чтобы убедиться, что для компьютера, содержащего локальную среду выполнения интеграции, доступна частная конечная точка. Добавьте IP-адрес компьютера, если у него еще нет доступа.
  4. Если логический сервер находится за частной конечной точкой или в виртуальной сети, можно использовать частную конечную точку приема , чтобы обеспечить сквозную сетевую изоляцию.

Настройка проверки подлинности для сканирования

Чтобы проверить источник данных, необходимо настроить метод проверки подлинности в Azure SQL Database.

Важно!

Если вы используете локальную среду выполнения интеграции для подключения к ресурсу, управляемые удостоверения, назначаемые системой и пользователем, не будут работать. Необходимо использовать проверку подлинности субъекта-службы или проверку подлинности SQL.

Microsoft Purview поддерживает следующие параметры:

  • Управляемое удостоверение, назначаемое системой (SAMI) (рекомендуется). Это удостоверение, связанное непосредственно с вашей учетной записью Microsoft Purview. Это позволяет выполнять проверку подлинности непосредственно с другими ресурсами Azure без необходимости управлять переходом между пользователем или набором учетных данных.

    SAMI создается при создании ресурса Microsoft Purview. Он управляется Azure и использует имя вашей учетной записи Microsoft Purview. Сейчас SAMI не может использоваться с локальной средой выполнения интеграции для Azure SQL.

    Дополнительные сведения см. в статье Общие сведения об управляемом удостоверении.

  • Назначаемое пользователем управляемое удостоверение (UAMI) (предварительная версия). Как и SAMI, UAMI — это ресурс учетных данных, который позволяет Microsoft Purview проходить проверку подлинности Microsoft Entra ID.

    UAMI управляется пользователями в Azure, а не самой Azure, что обеспечивает больший контроль над безопасностью. Сейчас UAMI нельзя использовать с локальной средой выполнения интеграции для Azure SQL.

    Дополнительные сведения см. в руководстве по управляемым удостоверениям, назначаемых пользователем.

  • Субъект-служба. Субъект-служба — это приложение, которому могут быть назначены разрешения, как и любой другой группе или пользователю, без непосредственной связи с пользователем. Проверка подлинности для субъектов-служб имеет дату окончания срока действия, поэтому она может быть полезна для временных проектов.

    Дополнительные сведения см. в документации по субъекту-службе.

  • Проверка подлинности SQL. Подключитесь к базе данных SQL с помощью имени пользователя и пароля. Дополнительные сведения см. в документации по проверке подлинности SQL.

    Если вам нужно создать имя входа, выполните инструкции из этого руководства, чтобы запросить базу данных SQL. Используйте это руководство, чтобы создать имя входа с помощью T-SQL.

    Примечание.

    Обязательно выберите параметр Azure SQL База данных на странице.

Чтобы выполнить проверку подлинности в базе данных SQL, выберите выбранный метод проверки подлинности на следующих вкладках.

Примечание.

Только имя входа субъекта уровня сервера (созданное в процессе подготовки) или члены loginmanager роли базы данных в master базе данных могут создавать новые имена входа. Учетная запись Microsoft Purview сможет сканировать ресурсы примерно через 15 минут после получения разрешений.

  1. Для доступа к сведениям, необходимым Microsoft Purview для сканирования базы данных, требуется имя входа SQL с по крайней мере db_datareader разрешениями. Чтобы создать вход для Azure SQL Database, выполните инструкции в разделе CREATE LOGIN. Сохраните имя пользователя и пароль для следующих действий.

  2. Перейдите в хранилище ключей в портал Azure.

  3. Выберите Параметры Секреты>, а затем — + Создание и импорт.

    Снимок экрана: параметр хранилища ключей для создания секрета.

  4. В полях Имя и Значение используйте имя пользователя и пароль (соответственно) из базы данных SQL.

  5. Нажмите Создать.

  6. Если хранилище ключей еще не подключено к Microsoft Purview, создайте новое подключение к хранилищу ключей.

  7. Создайте новые учетные данные с помощью ключа для настройки проверки.

    Снимок экрана: параметр хранилища ключей для настройки учетных данных.

    Снимок экрана: параметр хранилища ключей для создания секрета.

Создание сканирования

  1. Откройте учетную запись Microsoft Purview и выберите Открыть портал управления Microsoft Purview.

  2. Перейдите в разделИсточникикарты> данных, чтобы просмотреть иерархию коллекций.

  3. Щелкните значок Создать сканирование в базе данных SQL, зарегистрированной ранее.

    Снимок экрана: панель для создания новой проверки.

Дополнительные сведения о происхождении данных хранимых процедур в базе данных Azure SQL см. в разделе Извлечение происхождения данных (предварительная версия) этой статьи.

Чтобы выполнить сканирование, выберите метод проверки подлинности на следующих вкладках.

  1. В поле Имя укажите имя проверки.

  2. Для параметра Метод выбора базы данных выберите Ввод вручную.

  3. В полях Имя базы данных и Учетные данные введите значения, созданные ранее.

    Снимок экрана: сведения о базе данных и учетных данных для параметра проверки подлинности SQL для запуска проверки.

  4. В поле Выберите подключение выберите соответствующую коллекцию для сканирования.

  5. Выберите Проверить подключение , чтобы проверить подключение. После успешного подключения нажмите кнопку Продолжить.

Определение области и запуск сканирования

  1. Вы можете область сканирование для определенных объектов базы данных, выбрав соответствующие элементы в списке.

    Снимок экрана: параметры для определения области сканирования.

  2. Выберите набор правил сканирования. Вы можете использовать системное значение по умолчанию, выбрать один из существующих настраиваемых наборов правил или создать новый встроенный набор правил. По завершении нажмите кнопку Продолжить .

    Снимок экрана: параметры выбора набора правил проверки.

    Если выбрать Новый набор правил проверки, откроется панель, в которую можно ввести тип источника, имя набора правил и описание. По завершении нажмите кнопку Продолжить .

    Снимок экрана: сведения о создании нового набора правил проверки.

    В поле Выбор правил классификации выберите правила классификации, которые нужно включить в набор правил сканирования, а затем нажмите кнопку Создать.

    Снимок экрана: список правил классификации для набора правил сканирования.

    Новый набор правил проверки появится в списке доступных наборов правил.

    Снимок экрана: выбор нового набора правил проверки.

  3. Выберите триггер сканирования. Вы можете настроить расписание или запустить проверку один раз.

  4. Просмотрите проверку и выберите Сохранить и запустить.

Просмотр сканирования

Чтобы проверка состояние сканирования, перейдите к источнику данных в коллекции и выберите Просмотреть сведения.

Снимок экрана: кнопка для просмотра сведений о сканировании.

Сведения о проверке указывают ход проверки в разделе Состояние последнего выполнения, а также количество отсканированных и классифицированных ресурсов. Состояние последнего выполнения обновляется на Выполняется , а затем завершается после успешного выполнения всей проверки.

Снимок экрана: состояние завершения последнего запуска проверки.

Управление сканированием

После выполнения проверки можно использовать журнал выполнения для управления:

  1. В разделе Последние проверки выберите сканирование.

    Снимок экрана: выбор недавно завершенной проверки.

  2. В журнале выполнения есть параметры для повторного выполнения проверки, ее редактирования или удаления.

    Снимок экрана: параметры запуска, редактирования и удаления сканирования.

    Если выбрать команду Запустить проверку сейчас , чтобы повторно запустить проверку, можно выбрать добавочную проверку или Полную проверку.

    Снимок экрана: параметры для полного или добавочного сканирования.

Устранение неполадок при проверке

Если у вас возникли проблемы со сканированием, воспользуйтесь следующими советами:

Дополнительные сведения см. в статье Устранение неполадок с подключениями в Microsoft Purview.

Настройка политик

В этом ресурсе данных поддерживаются следующие типы политик Microsoft Purview:

  • Политики владельца данных — это набор инструкций политики, которые позволяют предоставлять пользователям и группам доступ к источникам данных.
  • Политики самообслуживания — политика, которая позволяет пользователям запрашивать доступ к источникам данных, зарегистрированным в Microsoft Purview.
  • Политики защиты — запрещает доступ к данным, помеченным метками конфиденциальности, для всех пользователей, кроме указанных политикой.
  • Политики DevOps предоставляют доступ к метаданным системы базы данных в нескольких источниках. Они упрощают подготовку доступа для ИТ-операций и персонала по аудиту безопасности. Они только предоставляют доступ и не запрещают доступ.

Предварительные требования политики доступа к базе данных Azure SQL

Поддержка регионов

Поддерживаются все регионы Microsoft Purview .

Применение политик Microsoft Purview доступно только в следующих регионах для Azure SQL Базы данных:

Общедоступное облако:

  • Восточная часть США
  • Восточная часть США2
  • Центрально-южная часть США
  • Центрально-западная часть США
  • Западная часть США3
  • Центральная Канада
  • Южная Бразилия
  • Западная Европа
  • Северная Европа
  • Центральная Франция
  • Южная часть Соединенного Королевства
  • Северная часть Южной Африки
  • Центральная Индия
  • Юго-Восточная Азия
  • Восточная Азия
  • Восток Австралии

Национальные облака:

  • USGov Вирджиния
  • Северный Китай 3

Настройка экземпляра базы данных Azure SQL для политик из Microsoft Purview

Чтобы логический сервер, связанный с базой данных Azure SQL, учитывал политики Из Microsoft Purview, необходимо настроить администратора Microsoft Entra. В портал Azure перейдите к логическому серверу, на котором размещается экземпляр базы данных Azure SQL. В боковом меню выберите Microsoft Entra ID. Задайте имя администратора для любого пользователя или группы Microsoft Entra, а затем нажмите кнопку Сохранить.

Затем в боковом меню выберите Удостоверение. В разделе Управляемое удостоверение, назначаемое системой, включите состояние в положение Вкл., а затем нажмите кнопку Сохранить.

Снимок экрана: назначение управляемого удостоверения, назначаемого системой, логическому серверу, связанному с базой данных Azure SQL.

Настройка учетной записи Microsoft Purview для политик

Регистрация источника данных в Microsoft Purview

Прежде чем можно будет создать политику в Microsoft Purview для ресурса данных, необходимо зарегистрировать этот ресурс данных в Microsoft Purview Studio. Инструкции, связанные с регистрацией ресурса данных, см. далее в этом руководстве.

Примечание.

Политики Microsoft Purview зависят от пути ARM к ресурсу данных. Если ресурс данных перемещен в новую группу ресурсов или подписку, его необходимо будет зарегистрировать, а затем снова зарегистрировать в Microsoft Purview.

Настройка разрешений для включения принудительного применения политики данных в источнике данных

После регистрации ресурса, но перед созданием политики в Microsoft Purview для этого ресурса необходимо настроить разрешения. Для включения принудительного применения политики данных требуется набор разрешений. Это относится к источникам данных, группам ресурсов или подпискам. Чтобы включить принудительное применение политики данных, необходимо иметь определенные права управления удостоверениями и доступом (IAM) в ресурсе, а также определенные привилегии Microsoft Purview:

  • Необходимо иметь одно из следующих сочетаний ролей IAM в пути Resource Manager ресурса Azure или любой его родительский элемент (т. е. с использованием наследования разрешений IAM):

    • Владелец IAM
    • Участник IAM и администратор доступа пользователей IAM

    Чтобы настроить разрешения управления доступом на основе ролей Azure (RBAC), следуйте этому руководству. На следующем снимке экрана показано, как получить доступ к разделу контроль доступа в портал Azure для ресурса данных, чтобы добавить назначение роли.

    Снимок экрана: раздел в портал Azure для добавления назначения ролей.

    Примечание.

    Роль владельца IAM для ресурса данных может быть унаследована от родительской группы ресурсов, подписки или группы управления подпиской. Проверьте, какие Microsoft Entra пользователи, группы и субъекты-службы удерживают или наследуют роль владельца IAM для ресурса.

  • Кроме того, вам потребуется роль администратора источника данных Microsoft Purview для коллекции или родительской коллекции (если включено наследование). Дополнительные сведения см. в руководстве по управлению назначениями ролей Microsoft Purview.

    На следующем снимок экрана показано, как назначить роль администратора источника данных на корневом уровне коллекции.

    Снимок экрана, на котором показаны выборы для назначения роли администратора источника данных на корневом уровне коллекции.

Настройка разрешений Microsoft Purview для создания, обновления и удаления политик доступа

Чтобы создать, обновить или удалить политики, необходимо получить роль автора политики в Microsoft Purview на уровне корневой коллекции:

  • Роль "Автор политики" может создавать, обновлять и удалять политики DevOps и владельца данных.
  • Роль "Автор политики" может удалять политики самостоятельного доступа.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Роль автора политики должна быть настроена на уровне корневой коллекции.

Кроме того, для упрощения поиска Microsoft Entra пользователей или групп при создании или обновлении темы политики вы можете получить разрешение читателей каталогов в Microsoft Entra ID. Это общее разрешение для пользователей в клиенте Azure. Без разрешения читателя каталога автору политики потребуется ввести полное имя пользователя или адрес электронной почты для всех субъектов, включенных в субъект политики данных.

Настройка разрешений Microsoft Purview для публикации политик владельца данных

Политики владельца данных позволяют выполнять проверки и противовесы, если вы назначаете роли автора политики Microsoft Purview и администратора источника данных разным сотрудникам в организации. Прежде чем политика владельца данных вступит в силу, второй пользователь (администратор источника данных) должен проверить ее и явно утвердить, опубликовав ее. Это не относится к DevOps или политикам самостоятельного доступа, так как публикация для них выполняется автоматически при создании или обновлении этих политик.

Чтобы опубликовать политику владельца данных, необходимо получить роль администратора источника данных в Microsoft Purview на уровне корневой коллекции.

Дополнительные сведения об управлении назначениями ролей Microsoft Purview см. в статье Создание коллекций и управление ими в Схема данных Microsoft Purview.

Примечание.

Чтобы опубликовать политики владельца данных, роль администратора источника данных должна быть настроена на уровне корневой коллекции.

Делегирование ответственности за подготовку доступа ролям в Microsoft Purview

После включения для ресурса принудительного применения политики данных любой пользователь Microsoft Purview с ролью автора политики на корневом уровне коллекции может подготовить доступ к источнику данных из Microsoft Purview.

Примечание.

Любой администратор корневой коллекции Microsoft Purview может назначать новых пользователей ролям авторов корневой политики . Любой администратор коллекции может назначить новых пользователей роли администратора источника данных в коллекции. Сведите к минимуму и тщательно изучите пользователей, у которых есть роли администратора коллекции Microsoft Purview, администратора источника данных или автора политики .

Если учетная запись Microsoft Purview с опубликованными политиками удалена, такие политики перестают применяться в течение определенного времени, зависящее от конкретного источника данных. Это изменение может повлиять как на безопасность, так и на доступность доступа к данным. Роли "Участник" и "Владелец" в IAM могут удалять учетные записи Microsoft Purview. Эти разрешения можно проверка, перейдя в раздел Управление доступом (IAM) учетной записи Microsoft Purview и выбрав Назначения ролей. Вы также можете использовать блокировку, чтобы предотвратить удаление учетной записи Microsoft Purview с помощью Resource Manager блокировки.

Регистрация источника данных и включение принудительного применения политики данных

Перед созданием политик доступа ресурс базы данных Azure SQL необходимо зарегистрировать в Microsoft Purview. Чтобы зарегистрировать ресурсы, следуйте инструкциям в разделах "Предварительные требования" и "Регистрация источника данных" статьи Включение принудительного применения политики данных в источниках Microsoft Purview.

После регистрации источника данных необходимо включить принудительное применение политики данных. Это необходимое условие, прежде чем можно будет создавать политики в источнике данных. Принудительное применение политики данных может повлиять на безопасность данных, так как оно делегирует определенным ролям Microsoft Purview, которые управляют доступом к источникам данных. Ознакомьтесь с рекомендациями по обеспечению безопасности, приведенными в статье Включение применения политики данных в источниках Microsoft Purview.

Если для источника данных для параметра Принудительное применение политики данныхзадано значение Включено, он будет выглядеть следующим образом:

Снимок экрана: панель регистрации источника данных для политики, включая области для имени, имени сервера и принудительного применения политики данных.

Вернитесь к портал Azure базы данных Azure SQL, чтобы убедиться, что она теперь регулируется Microsoft Purview:

  1. Войдите в портал Azure по этой ссылке

  2. Выберите сервер Azure SQL, который требуется настроить.

  3. Перейдите к Microsoft Entra ID на левой панели.

  4. Прокрутите вниз до раздела Политики доступа Microsoft Purview.

  5. Нажмите кнопку Проверить наличие системы управления Microsoft Purview. Подождите, пока запрос будет обработан. Это может занять несколько минут.

    Снимок экрана: Azure SQL управляется Microsoft Purview.

  6. Убедитесь, что в поле Состояние управления Microsoft Purview отображается значение Governed. Обратите внимание, что после включения принудительного применения политики данных в Microsoft Purview для отображения правильного состояния может потребоваться несколько минут.

Примечание.

Если отключить принудительное применение политики данных для этого источника данных Azure SQL базы данных, для автоматического Not Governedобновления состояния управления Microsoft Purview до может потребоваться до 24 часов. Это можно ускорить, выбрав Проверить для Системы управления Microsoft Purview. Перед включением принудительного применения политики данных для источника данных в другой учетной записи Microsoft Purview убедитесь, что состояние управления Purview отображается как Not Governed. Затем повторите описанные выше действия с новой учетной записью Microsoft Purview.

Создать политику доступа

Чтобы создать политику доступа для базы данных Azure SQL, выполните следующие руководства.

Сведения о создании политик, охватывающих все источники данных в группе ресурсов или подписке Azure, см. в статье Обнаружение и управление несколькими источниками Azure в Microsoft Purview.

политика #Protection

Политики управления доступом (политики защиты) позволяют организациям автоматически защищать конфиденциальные данные в разных источниках данных. Microsoft Purview уже сканирует ресурсы данных и определяет элементы конфиденциальных данных, и эта новая функция позволяет автоматически ограничивать доступ к этим данным с помощью меток конфиденциальности из Защита информации Microsoft Purview.

Следуйте этой документации, чтобы создать политику защиты: Создание политики Защита информации Microsoft Purview.

Извлечение происхождения (предварительная версия)

Microsoft Purview поддерживает происхождение данных для представлений и хранимых процедур из базы данных Azure SQL. Хотя происхождение данных для представлений поддерживается в рамках сканирования, при настройке сканирования необходимо включить переключатель Извлечение происхождения данных, чтобы извлечь данные о происхождении хранимой процедуры.

Примечание.

В настоящее время происхождение данных не поддерживается с помощью локальной среды выполнения интеграции или управляемой среды выполнения виртуальной сети и частной конечной точки Azure SQL. Необходимо включить доступ служб Azure к серверу в параметрах сети для базы данных Azure SQL, а учетная запись Microsoft Purview должна разрешить общий доступ. Дополнительные сведения об известных ограничениях при сканировании извлечения происхождения.

Происхождение данных для представлений базы данных SQL

Начиная с 30.06.24, проверка метаданных базы данных SQL будет включать извлечение происхождения для представлений. Только новые проверки будут включать извлечение происхождения в представлении. Происхождение извлекается на всех уровнях сканирования (L1/L2/L3). В случае добавочного сканирования, какие бы метаданные не сканировались в рамках добавочного сканирования, будет извлечена соответствующая статическая происхождение для таблиц и представлений.

Снимок экрана, на котором показаны сведения о происхождении данных для представлений базы данных SQL.

Предварительные требования для настройки сканирования с извлечением происхождения в sp

  1. Выполните действия, описанные в разделе Настройка проверки подлинности для проверки этой статьи, чтобы разрешить Microsoft Purview сканировать базу данных SQL.

  2. Войдите в базу данных Azure SQL с помощью учетной записи Microsoft Entra и назначьте db_owner разрешения управляемому удостоверению Microsoft Purview.

    Примечание.

    Разрешения "db_owner" необходимы, так как происхождение происхождения основано на сеансах XEvent. Таким образом, Microsoft Purview требуется разрешение на управление сеансами XEvent в SQL.

    Используйте следующий пример синтаксиса SQL, чтобы создать пользователя и предоставить разрешение. Замените <purview-account> именем учетной записи.

    Create user <purview-account> FROM EXTERNAL PROVIDER
    GO
    EXEC sp_addrolemember 'db_owner', <purview-account> 
    GO
    
  3. Выполните следующую команду в базе данных SQL, чтобы создать ключ master:

    Create master key
    Go
    
  4. Убедитесь, что параметр Разрешить службам и ресурсам Azure доступ к этому серверу включен в сети или брандмауэре для ресурса Azure SQL.

Создание сканирования с включенным извлечением происхождения

  1. На панели настройки проверки включите переключатель Включить извлечение происхождения .

    Снимок экрана: панель для создания нового сканирования с включенным извлечением происхождения.

  2. Выберите метод проверки подлинности, выполнив действия, описанные в разделе Создание сканирования этой статьи.

  3. После успешной настройки проверки новый тип сканирования с именем Извлечение происхождения будет выполнять добавочное сканирование каждые шесть часов для извлечения происхождения данных из базы данных Azure SQL. Происхождение извлекается на основе выполнения хранимой процедуры в базе данных SQL.

    Снимок экрана: экран, на котором выполняется извлечение происхождения каждые шесть часов.

Поиск ресурсов базы данных Azure SQL и просмотр происхождения данных среды выполнения

Вы можете просмотреть каталог данных или выполнить поиск в каталоге данных, чтобы просмотреть сведения об активе для Azure SQL Базы данных. Ниже описано, как просмотреть сведения о происхождении данных среды выполнения.

  1. Перейдите на вкладку Происхождение ресурса. Если применимо, здесь отображается происхождение ресурса.

    Снимок экрана: сведения о происхождении данных из хранимых процедур.

    Если применимо, вы можете дополнительно детализировать данные, чтобы просмотреть происхождение на уровне инструкции SQL в хранимой процедуре, а также происхождение на уровне столбца. При использовании локальной Integration Runtime для сканирования получение сведений о происхождении во время сканирования поддерживается с версии 5.25.8374.1.

    Снимок экрана: детализация происхождения хранимой процедуры.

    Сведения о поддерживаемых сценариях происхождения Azure SQL базы данных см. в разделе Поддерживаемые возможности этой статьи. Дополнительные сведения о происхождении данных в целом см. в разделе Происхождение данных в Microsoft Purview и Каталог данных Microsoft Purview руководство пользователя по происхождению данных.

  2. Перейдите к ресурсу хранимой процедуры. На вкладке Свойства перейдите в раздел Связанные ресурсы , чтобы получить последние сведения о выполнении хранимых процедур.

    Снимок экрана: сведения о выполнении для свойств хранимой процедуры.

  3. Щелкните гиперссылку хранимой процедуры рядом с элементом Запуски, чтобы просмотреть общие сведения о выполнении Azure SQL хранимой процедуры. Перейдите на вкладку Свойства , чтобы просмотреть расширенные сведения о среде выполнения из хранимой процедуры, такие как executedTime, rowCount и Client Connection.

    Снимок экрана, на котором показаны свойства выполнения для хранимой процедуры.

Устранение неполадок с извлечением происхождения для хранимых процедур

Следующие советы помогут вам решить проблемы, связанные с происхождением.

  • Если после успешного выполнения извлечения происхождения данных не фиксируется, возможно, никакие хранимые процедуры не выполнялись хотя бы один раз с момента настройки проверки.
  • Данные о происхождении записываются для выполнения хранимых процедур, которые происходят после успешной настройки проверки. Происхождение данных из предыдущих запусков хранимых процедур не фиксируется.
  • Если база данных обрабатывает большие рабочие нагрузки с большим количеством выполнения хранимых процедур, извлечение происхождения будет фильтровать только самые последние запуски. Хранимая процедура, выполняемая в начале шестичасового периода, или экземпляры запуска, создающие большую нагрузку на запрос, не будут извлечены. Обратитесь в службу поддержки, если отсутствуют данные о происхождении данных при выполнении хранимых процедур.
  • Если хранимая процедура содержит инструкции drop или create, они в настоящее время не записываются в происхождение данных.

Дальнейшие действия

Дополнительные сведения о Microsoft Purview и ваших данных см. в следующих руководствах: