在 Microsoft Purview 中连接和管理已启用 Azure Arc 的SQL Server
本文介绍如何注册已启用 Azure Arc 的 SQL Server 实例。 它还演示如何在 Microsoft Purview 中对已启用 Azure Arc 的SQL Server进行身份验证和交互。 有关 Microsoft Purview 的详细信息,请阅读 介绍性文章。
支持的功能
| 元数据提取 | 完整扫描 | 增量扫描 | 作用域扫描 | 分类 | 标记 | 访问策略 | 血统 | 数据共享 | 实时视图 |
|---|---|---|---|---|---|---|---|---|---|
| 是 | 是 (预览) | 是 (预览) | 是 (预览) | 是 (预览) | 否 | 是 | 有限** | 否 | 否 |
** 如果数据集用作Azure 数据工厂复制活动的源/接收器,则支持世系。
支持的SQL Server版本为 2012 及更高版本。 不支持 SQL Server Express LocalDB。
扫描已启用 Azure Arc 的SQL Server时,Microsoft Purview 支持提取以下技术元数据:
- 实例
- Databases
- Schemas
- 表,包括列
- 视图,包括列
设置扫描时,可以选择指定数据库名称以扫描一个数据库。 可以通过根据需要选择表和视图来进一步限定扫描范围。 如果未提供数据库名称,将扫描整个已启用 Azure Arc 的 SQL Server 实例。
先决条件
具有活动订阅的 Azure 帐户。 免费创建帐户。
有效的 Microsoft Purview 帐户。
数据源管理员和数据读取者权限,用于在 Microsoft Purview 治理门户中注册和管理源。 有关详细信息 ,请参阅 Microsoft Purview 治理门户中的访问控制 。
最新的 自承载集成运行时。 有关详细信息,请参阅 创建和管理自承载集成运行时。
注册
本部分介绍如何使用 Microsoft Purview 治理门户在 Microsoft Purview 中注册已启用 Azure Arc 的 SQL Server 实例。
用于注册的身份验证
可通过两种方法设置身份验证以使用自承载集成运行时扫描已启用 Azure Arc 的SQL Server:
- Windows 身份验证
- SQL Server 身份验证
若要为SQL Server部署配置身份验证,请执行以下操作:
在“SQL Server Management Studio (SSMS) ”中,转到“服务器属性”,然后在左侧窗格中选择“安全性”。
在 “服务器身份验证”下:
- 对于Windows 身份验证,请选择“Windows 身份验证模式”或“SQL Server”和“Windows 身份验证模式”。
- 对于SQL Server身份验证,请选择“SQL Server和 Windows 身份验证模式”。
更改服务器身份验证需要重启 SQL Server 实例并SQL Server 代理。 在 SSMS 中,转到 SQL Server 实例,然后在右键单击选项窗格中选择“重启”。
创建新的登录名和用户
如果要创建新的登录名和用户来扫描 SQL Server 实例,请使用以下步骤。
帐户必须有权访问 master 数据库,因为 sys.databases 位于 master 数据库中。 Microsoft Purview 扫描程序需要枚举 sys.databases 才能查找服务器上的所有 SQL 数据库。
注意
可以使用 此代码运行以下所有步骤。
转到 SSMS,连接到服务器,然后在左窗格中选择“ 安全性 ”。
选择并按住 (或右键单击“) 登录名”,然后选择“ 新建登录名”。 如果应用了Windows 身份验证,请选择“Windows 身份验证”。 如果应用了SQL Server身份验证,请选择“SQL Server身份验证”。
在左窗格中选择“ 服务器角色” ,并确保分配了公共角色。
在左窗格中选择“ 用户映射 ”,选择映射中的所有数据库,然后选择 db_datareader 数据库角色。
选择 “确定” 进行保存。
如果应用SQL Server身份验证,则必须在创建新登录名后立即更改密码:
- 选择并按住 (,或右键单击) 创建的用户,然后选择 “属性”。
- 输入新密码并确认。
- 选中“ 指定旧密码 ”复选框,然后输入旧密码。
- 选择“确定”。
将SQL Server登录密码存储在密钥保管库中,并在 Microsoft Purview 中创建凭据
转到Azure 门户中的密钥保管库。 选择 “设置>机密”。
选择“ + 生成/导入”。 对于“名称”和“值”,输入SQL Server登录名的密码。
选择“创建”。
如果密钥保管库尚未连接到 Microsoft Purview, 请创建新的密钥保管库连接。
使用用户名和密码创建新的凭据来设置扫描。
创建新凭据时,请务必选择正确的身份验证方法。 如果应用了Windows 身份验证,请选择“Windows 身份验证”。 如果应用了SQL Server身份验证,请选择“SQL Server身份验证”。
注册步骤
转到 Microsoft Purview 帐户。
在左窗格 的“源和扫描 ”下,选择“ 集成运行时”。 确保已设置自承载集成运行时。 如果未设置, 请按照以下步骤创建自承载集成运行时 ,以便在有权访问本地网络的本地或 Azure 虚拟机上进行扫描。
在左窗格中选择“ 数据映射 ”。
选择“注册”。
选择“已启用 Azure Arc SQL Server”,然后选择“继续”。
提供一个友好名称,该名称是可用于标识服务器的短名称。 另请提供服务器终结点。
选择“ 完成 ”以注册数据源。
扫描
使用以下步骤扫描已启用 Azure Arc 的SQL Server实例,以自动标识资产并对数据进行分类。 有关一般扫描的详细信息,请参阅 Microsoft Purview 中的扫描和引入。
若要创建并运行新扫描,请执行以下操作:
在 Microsoft Purview 治理门户中,选择左窗格中的“ 数据映射 ”选项卡。
选择已注册的已启用 Azure Arc SQL Server源。
选择“ 新建扫描”。
选择要连接到数据源的凭据。 凭据在身份验证方法下分组并列出。
可以通过在列表中选择相应的项,将扫描范围限定为特定表。
选择扫描规则集。 可以在系统默认值、现有自定义规则集或内联创建新规则集之间进行选择。
选择扫描触发器。 可以设置计划或运行扫描一次。
查看扫描,然后选择“ 保存并运行”。
查看扫描和扫描运行
查看现有扫描:
- 转到 Microsoft Purview 治理门户。 在左窗格中,选择“ 数据映射”。
- 选择数据源。 可以在“最近扫描”下查看该数据源上的现有 扫描列表,也可以在“扫描”选项卡上查看所有 扫描 。
- 选择要查看的结果的扫描。 窗格显示之前的所有扫描运行,以及每个扫描运行的状态和指标。
- 选择运行 ID 以检查扫描运行详细信息。
管理扫描
若要编辑、取消或删除扫描,请执行以下操作:
转到 Microsoft Purview 治理门户。 在左窗格中,选择“ 数据映射”。
选择数据源。 可以在“最近扫描”下查看该数据源上的现有 扫描列表,也可以在“扫描”选项卡上查看所有 扫描 。
选择要管理的扫描。 然后,可以:
- 通过选择“编辑扫描 ”来编辑扫描。
- 选择“取消扫描运行”, 取消正在进行的扫描。
- 通过选择“删除扫描” 来删除扫描。
注意
- 删除扫描不会删除从以前的扫描创建的目录资产。
- 如果源表已更改,并且你在 Microsoft Purview 的“ 架构 ”选项卡上编辑说明后重新扫描源表,则资产将不再使用架构更改进行更新。
访问策略
支持的策略
Microsoft Purview 的此数据资源支持以下类型的策略:
已启用 Azure Arc 的SQL Server上的访问策略先决条件
- 获取SQL Server本地版本 2022 并安装它。 Windows 和 Linux 均支持 2022 或更高版本。 可以试用免费的开发人员版。
- 配置权限,然后在用于将 SQL Server 实例载入 Azure Arc 的订阅中注册资源提供程序列表。
- 完成先决条件并使用 Azure Arc 载入 SQL Server 实例。此处提供了 Windows SQL Server的简单配置。 此处提供了 Linux SQL Server的备用配置。
- 在 SQL Server 中启用 Azure Active Directory 身份验证。 对于更简单的设置,请完成本文中概述的先决条件和过程。
- 请记住 授予应用程序权限并授予管理员同意
- 需要为 SQL Server 实例配置 Azure AD 管理员,但不需要设置其他 Azure AD 登录名或用户。 你将使用 Microsoft Purview 策略向这些用户授予访问权限。
区域支持
策略强制在所有 Microsoft Purview 区域中均可用,但以下区域除外:
- 美国西部 2
- 东亚
- US Gov 弗吉尼亚州
- 中国北部 3
已启用 Azure Arc SQL Server的安全注意事项
- 服务器管理员可以关闭 Microsoft Purview 策略强制实施。
- 通过 Azure Arc 管理员和服务器管理员权限,可以更改服务器的 Azure 资源管理器路径。 由于 Microsoft Purview 中的映射使用资源管理器路径,因此可能会导致策略强制实施错误。
- SQL Server管理员 (数据库管理员) 可以获取服务器管理员的强大功能,并且可以篡改 Microsoft Purview 中的缓存策略。
- 建议的配置是为每个 SQL Server 实例创建单独的应用注册。 此配置可防止第二个SQL Server实例读取适用于第一个SQL Server实例的策略,以防第二个SQL Server实例中的恶意管理员篡改资源管理器路径。
验证先决条件
通过此链接登录到Azure 门户
导航到左窗格中的 SQL 服务器 。 你将在 Azure Arc 上看到SQL Server实例的列表。
选择要配置的SQL Server实例。
转到左窗格中的 “Azure Active Directory ”。
确保使用管理员登录名配置 Azure Active Directory 身份验证。 如果没有,请参阅本指南中的访问策略先决条件部分。
确保已向 SQL Server提供证书,以便向 Azure 进行身份验证。 如果没有,请参阅本指南中的访问策略先决条件部分。
确保已输入应用注册,以在 SQL Server 与 Azure AD 之间创建信任关系。 如果没有,请参阅本指南中的访问策略先决条件部分。
如果进行了任何更改,请选择“ 保存 ”按钮以保存配置,并等待操作成功完成。 这可能需要几分钟时间。 “已成功保存”消息将显示在页面顶部的绿色背景中。 可能需要向上滚动才能看到它。
为策略配置 Microsoft Purview 帐户
在 Microsoft Purview 中注册数据源
在 Microsoft Purview 中为数据资源创建策略之前,必须在 Microsoft Purview Studio 中注册该数据资源。 本指南稍后会介绍与注册数据资源相关的说明。
注意
Microsoft Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要取消注册,然后在 Microsoft Purview 中再次注册。
配置权限以在数据源上启用数据使用管理
注册资源后,但在 Microsoft Purview 中为该资源创建策略之前,必须配置权限。 需要一组权限才能启用 数据使用管理。 这适用于数据源、资源组或订阅。 若要启用 数据使用管理,必须 对 资源具有特定的标识和访问管理 (IAM) 特权,以及特定的 Microsoft Purview 特权:
必须在资源的 Azure 资源管理器 路径上使用以下 IAM 角色组合之一,或者 (的任何父角色组合之一,即使用 IAM 权限继承) :
- IAM 所有者
- IAM 参与者和 IAM 用户访问管理员
若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照 本指南操作。 以下屏幕截图显示了如何访问数据资源Azure 门户中的“访问控制”部分以添加角色分配。
注意
数据资源的 IAM 所有者 角色可以从父资源组、订阅或订阅管理组继承。 检查哪些 Azure AD 用户、组和服务主体持有或正在继承资源的 IAM 所有者 角色。
如果启用继承) ,还需要具有集合或父集合的 Microsoft Purview 数据源管理员 角色 (。 有关详细信息,请参阅 有关管理 Microsoft Purview 角色分配的指南。
以下屏幕截图显示了如何在根集合级别分配 数据源管理员 角色。
配置 Microsoft Purview 权限以创建、更新或删除访问策略
若要创建、更新或删除策略,需要在 Microsoft Purview 中获取根集合级别的策略作者角色:
- 策略作者角色可以创建、更新和删除 DevOps 和数据所有者策略。
- 策略作者角色可以删除自助服务访问策略。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
必须在根集合级别配置策略作者角色。
此外,若要在创建或更新策略的主题时轻松搜索 Azure AD 用户或组,可以从获取 Azure AD 中的 “目录读取者” 权限中获益匪浅。 这是 Azure 租户中的用户的常见权限。 如果没有目录读取者权限,策略作者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件。
配置 Microsoft Purview 权限以发布数据所有者策略
如果将 Microsoft Purview 策略作者 和 数据源管理员 角色分配给组织中的不同人员,则数据所有者策略允许进行检查和平衡。 在数据所有者策略生效之前, (数据源管理员) 的第二个人必须对其进行查看并通过发布来显式批准该策略。 这不适用于 DevOps 或自助访问策略,因为创建或更新这些策略时,这些策略会自动发布。
若要发布数据所有者策略,需要获取 Microsoft Purview 中根集合级别的数据源管理员角色。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
若要发布数据所有者策略,必须在根集合级别配置数据源管理员角色。
将访问预配责任委托给 Microsoft Purview 中的角色
为资源启用 数据使用管理后,任何在根集合级别具有 策略作者 角色的 Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。
注意
任何 Microsoft Purview 根 集合管理员可以 将新用户分配到根 策略作者 角色。 任何 集合管理员可以 将新用户分配到集合下的 数据源管理员 角色。 最小化并仔细审查拥有 Microsoft Purview 集合管理员、 数据源管理员或 策略作者 角色的用户。
如果删除了具有已发布策略的 Microsoft Purview 帐户,这些策略将在依赖于特定数据源的一段时间内停止强制实施。 此更改可能会影响安全性和数据访问可用性。 IAM 中的“参与者”和“所有者”角色可以删除 Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的“访问控制 (IAM) ”部分并选择“角色分配”来检查这些权限。 还可以使用锁来防止通过资源管理器锁删除 Microsoft Purview 帐户。
注册数据源并启用数据使用管理
必须先将已启用 Azure Arc 的SQL Server数据源注册到 Microsoft Purview,然后才能创建策略:
登录到 Microsoft Purview Studio。
转到左窗格上的 “数据映射 ”,选择“ 源”,然后选择“ 注册”。 在搜索框中输入 Azure Arc,然后选择 Azure Arc 上的SQL Server。然后选择“继续”。
对于 “名称”,输入此注册的名称。 最佳做法是使注册的名称与下一步中的服务器名称相同。
选择 Azure 订阅、服务器名称和服务器终结点的值。
对于 “选择集合”,请选择要放入此注册的集合。
启用 数据使用管理。 数据使用管理 需要某些权限,并且可能会影响数据的安全性,因为它委托给某些 Microsoft Purview 角色来管理对数据源的访问。 浏览本指南中与 数据使用管理 相关的安全做法: 在 Microsoft Purview 源上启用数据使用管理。
选择“ 注册” 或 “应用”。
在已启用 Azure Arc 的SQL Server中启用策略
本部分介绍在 Azure Arc 上配置SQL Server以使用 Microsoft Purview 的步骤。 在 Microsoft Purview 帐户中为此数据源启用 “数据使用管理 ”选项后,执行这些步骤。
通过此链接登录到Azure 门户
导航到左窗格中的 SQL 服务器 。 你将在 Azure Arc 上看到SQL Server实例的列表。
选择要配置的SQL Server实例。
转到左窗格中的 “Azure Active Directory ”。
向下滚动到 Microsoft Purview 访问策略。
选择“ 检查 Microsoft Purview 治理”按钮。 等待处理请求。 发生这种情况时,此消息将显示在页面顶部。 可能需要向上滚动才能看到它。
在页面底部,确认 Microsoft Purview 治理状态显示
Governed。 请注意, 最多可能需要 30 分钟 才能反映正确的状态。 继续执行浏览器刷新,直到发生这种情况。
确认 Microsoft Purview 终结点指向注册此数据源并启用“数据使用管理”的 Microsoft Purview 帐户
创建策略
若要为已启用 Azure Arc 的SQL Server创建访问策略,请按照以下指南操作:
若要创建涵盖资源组或 Azure 订阅内所有数据源的策略,请参阅 在 Microsoft Purview 中发现和管理多个 Azure 源。
后续步骤
注册源后,请使用以下指南详细了解 Microsoft Purview 和数据:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈