探索及控管 Microsoft Purview 中的 Azure SQL 資料庫

本文概述在 Microsoft Purview 中註冊 Azure SQL 資料庫來源的程式。 它包括驗證 SQL 資料庫並與之互動的指示。

支援的功能

掃描功能

中繼資料擷取	完整掃描	增量掃描	範圍掃描
是	是	是	是

當您掃描 Azure SQL 資料庫時，Microsoft Purview 支援從下列來源擷取技術中繼資料：

• 伺服器
• Database
• Schemas
• 表格 （包括資料行）
• 檢視，包括已啟用譜系擷取的直欄 (，作為掃描) 的一部分
• 已啟用譜系擷取的預存程序 () *
• 預存程序在啟用譜系擷取的情況下 (執行) *

當您設定掃描時，您可以視需要選取表格和視圖，在提供資料庫名稱之後進一步設定範圍。

* 預存程序譜系擷取掃描有一些限制。 如需詳細資訊，請參閱本頁上的已知限制區段。

其他功能

如需 分類、 敏感度標籤、 原則、 資料譜系和 即時檢視，請參閱 支援的功能清單。

已知限制

對於 預存程序 (SP) 譜系擷取：

• 如果您在 Azure 中的邏輯伺服器停用公用存取，或不允許 Azure 服務存取它，則不支援 SP 譜系擷取掃描。

• 如果您的預存程序包含 INSERT 或 DROP 查詢，則目前不支援 SP 譜系擷取掃描。

• 如果您的 Microsoft Purview 帳戶停用公用存取，則不支援 SP 譜系擷取掃描。

  • 預設情況下，SP 沿襲擷取掃描排定為每六小時執行一次。 頻率無法變更。
  • 只有在預存程序執行將資料從一個資料表傳輸到另一個資料表時，才會擷取譜系。 而且暫存資料表不支援它。
  • 函數或觸發程式不支援譜系擷取。
  • 由於下列限制，如果您有以下案例，您可能會在目錄中看到重複的資產：
    • 資產中的物件名稱和完整名稱會遵循預存程序陳述式中使用的大小/小文字，這可能與原始資料來源中的物件大小/小時/小寫不一致。
    • 在預存程序中參考 SQL 檢視時，目前會擷取為 SQL 資料表。

對於掃描的資產：

• 對於完整掃描，DECIMAL 會顯示為 SQL 資產內容的資料類型，而不是 INT 和 NUMERIC 資料類型。 如果欄位長度為 MAX，則會顯示為零 (0) 。

• 對於 nchar 資料類型，直欄長度會顯示在字元計數中。

注意事項

如果 Azure SQL 資料表或檢視用作 Azure Data Factory 複製和資料流程活動中的來源/接收，也支援譜系。

必要條件

• 具有作用中訂用帳戶的 Azure 帳戶。 免費創建一個帳戶。

• 作用中的 Microsoft Purview 帳戶。

• 資料來源系統管理員和資料讀取者許可權，因此您可以在 Microsoft Purview 治理入口網站中註冊來源並管理它。 如需詳細資訊，請參閱 Microsoft Purview 治理入口網站中的存取控制。

註冊資料來源

掃描之前，請務必在 Microsoft Purview 中註冊資料來源：

1. 透過下列方式開啟 Microsoft Purview 治理入口網站：

   • 直接 https://web.purview.azure.com 流覽並選取您的 Microsoft Purview 帳戶。
   • 開啟 Azure 入口網站，搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站] 按鈕。

2. 導覽至 資料對應。

   

3. 移至 [集合]，然後選取 [新增集合]，以建立集合階層。 視需要將權限指派給個別子集合。

   

4. 移至 [來源] 底下的適當集合，然後選取 [註冊] 圖示以註冊新的 SQL 資料庫。

   

5. 選取 Azure SQL 資料庫資料來源，然後選取 [繼續]。

6. 針對 Name （名稱），提供資料來源的適當名稱。 選取 Azure 訂用帳戶、伺服器名稱和 [選取集合] 的相關名稱，然後選取 [套用]。

   

7. 確認 SQL 資料庫出現在選取的集合下。

   

更新防火牆設定

如果您的資料庫伺服器已啟用防火牆，則需要更新防火牆，以允許以下列其中一種方式進行存取：

• 允許透過防火牆的 Azure 連線。 這是透過 Azure 網路路由流量的簡單選項，而不需要管理虛擬機器。
• 在網路中的電腦上安裝自我裝載整合執行階段，並透過防火牆授與其存取權。 如果您在 Azure 內設定了私人虛擬網路，或已設定任何其他封閉的網路，則在該網路內的機器上使用自我裝載整合執行階段，可讓您完全管理流量並利用現有的網路。
• 使用受控虛擬網路。 使用 Microsoft Purview 帳戶設定受控虛擬網路，可讓您在封閉式網路中使用 Azure SQL 整合執行階段連線到 Azure SQL。

如需防火牆的詳細資訊，請參閱 Azure SQL 資料庫防火牆檔。

允許 Azure 連線

啟用 Azure 連線可讓 Microsoft Purview 連線到伺服器，而不需要您更新防火牆本身。

1. 移至您的資料庫帳戶。
2. 在 [ 概觀 ] 頁面上，選取伺服器名稱。
3. 選取 [安全性>網路]。
4. 針對 [允許 Azure 服務和資源存取此伺服器]，選取 [ 是]。

如需允許來自 Azure 內部連線的詳細資訊，請參閱 操作指南。

安裝自我裝載整合執行階段

您可以在電腦上安裝自我裝載整合執行階段，以連線到私人網路中的資源：

1. 為您的案例選擇正確的整合執行階段
2. 建立並安裝您的整合執行階段：
   • 若要使用自我裝載整合執行階段：請遵循文章來建立和設定自我裝載整合執行階段。
   • 若要使用 Kubernetes 支援的自我裝載整合執行階段：請遵循文章來建立和設定 Kubernetes 支援的整合執行階段。
3. 檢查資料庫伺服器的網路設定，以確認包含自我裝載整合執行階段的機器可以存取私人端點。 如果機器尚未具有存取權，請新增機器的 IP 位址。
4. 如果您的邏輯伺服器位於私人端點後方或虛擬網路中，您可以使用 擷取私人端點 來確保端對端網路隔離。

設定掃描的鑑別

若要掃描資料來源，您必須在 Azure SQL 資料庫中設定驗證方法。

重要事項

如果您使用 自我裝載整合執行階段 來連線到您的資源，系統指派和使用者指派的受控識別將無法運作。 您必須使用服務主體驗證或 SQL 驗證。

Microsoft Purview 支援下列選項：

• 系統指派的受控識別 (SAMI) (建議的) 。 這是與您的 Microsoft Purview 帳戶直接相關聯的身分識別。 它可讓您直接向其他 Azure 資源進行驗證，而不需要管理中間使用者或認證集。

  建立 Microsoft Purview 資源時，會建立 SAMI。 SAMI 是由 Azure 管理，並使用您的 Microsoft Purview 帳戶名稱。 SAMI 目前無法與 Azure SQL 的自我裝載整合執行階段搭配使用。

  如需詳細資訊，請參閱 受控識別概觀。

• 使用者指派的受控識別 (UAMI) (預覽) 。 與 SAMI 類似，UAMI 是認證資源，可讓 Microsoft Purview 針對 Microsoft Entra ID 進行驗證。

  UAMI 是由 Azure 中的使用者管理，而不是由 Azure 本身管理，這可讓您更詳細地控制安全性。 UAMI 目前無法與 Azure SQL 的自我裝載整合執行階段搭配使用。

  如需詳細資訊，請參閱 使用者指派的受控識別指南。

• 服務主體。 服務主體是一種應用程式，可以像任何其他群組或使用者一樣獲指派權限，而不需要直接與人員相關聯。 服務主體的驗證具有到期日，因此對於暫存專案很有用。

  如需詳細資訊，請參閱 服務主體檔。

• SQL 驗證。 使用使用者名稱和密碼連線到 SQL 資料庫。 如需詳細資訊，請參閱 SQL 驗證文件。

  如果您需要建立登入，請依照 本指南查詢 SQL 資料庫。 使用 本指南，使用 T-SQL 建立登入。

  注意事項

  請務必在頁面上選取 [Azure SQL 資料庫] 選項。

如需使用 SQL 資料庫進行驗證的步驟，請從下列索引標籤中選取您選擇的驗證方法。

SQL 驗證

注意事項

只有布建程序) 或 master 資料庫中資料庫角色成員 loginmanager 所建立的伺服器層級主體登入 (才能建立新的登入。 Microsoft Purview 帳戶應該能夠在取得許可權後大約 15 分鐘掃描資源。

1. 您必須至少具有許可權的 db_datareader SQL 登入，才能存取 Microsoft Purview 掃描資料庫所需的資訊。 您可以遵循 CREATE LOGIN 中的指示，建立 Azure SQL 資料庫的登入。 儲存使用者名稱和密碼以供後續步驟使用。

2. 移至 Azure 入口網站 中的金鑰保存庫。

3. 選取 [ 設定>密碼]，然後選取 [+ 產生/匯入]。

   

4. 針對 [ 名稱 ] 和 [值]，分別使用從 SQL 資料庫) 的使用者名稱和密碼 (。

5. 選取 [建立]。

6. 如果您的金鑰保存庫尚未連線到 Microsoft Purview，請 建立新的金鑰保存庫連線。

7. 使用金鑰來設定掃描，以建立新的認證。

   

   

受控識別

重要事項

如果您使用 自我裝載整合執行階段 來連線到您的資源，系統指派和使用者指派的受控識別將無法運作。 您必須使用 SQL 驗證或服務主體驗證。

在資料庫帳戶中設定 Microsoft Entra 驗證

受控識別需要許可權，才能取得資料庫、結構描述和資料表的中繼資料。 它也必須獲得授權，才能查詢要取樣的資料表以進行分類。

1. 如果您尚未設定，請使用 Azure SQL 設定 Microsoft Entra 驗證。

2. 在資料庫中建立Microsoft Entra使用者Azure SQL並具有來自 Microsoft Purview 的確切受控識別。 請遵循在 Azure SQL 資料庫中建立服務主體使用者中的步驟。

3. 指派適當的許可權 (例如： db_datareader) 給身分識別。 以下是建立使用者並授予權限的範例 SQL 語法：

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   注意事項

   值 [Username] 是來自 Microsoft Purview 的受控識別名稱。 您可以 深入瞭解固定資料庫角色及其功能。

設定入口網站驗證

請務必將 Microsoft Purview 帳戶的系統指派受控識別或 使用者指派的受控識別 授與掃描 SQL 資料庫的許可權。 您可以在訂用帳戶、資源群組或資源層級新增 SAMI 或 UAMI，視掃描的廣度而定。

注意事項

若要在 Azure 資源上新增受控識別，您必須是訂用帳戶的擁有者。

1. 從Azure 入口網站中，尋找訂用帳戶、資源群組或資源 (，例如目錄應該掃描的 SQL 資料庫) 。

2. 選取左側功能表上的 [存取控制 (IAM) ]，然後選取 [+ 新增>] 新增角色指派。

   

3. 將 角色設定 為 讀者。 在 [ 選取] 方塊中，輸入您的 Microsoft Purview 帳戶名稱或 UAMI。 然後，選取 [儲存] ，將此角色指派授與您的 Microsoft Purview 帳戶。

   

服務主體

建立新的服務主體

如果您沒有服務主體，您可以遵循 服務主體指南 來建立服務主體。

注意事項

若要建立服務主體，您必須在 Microsoft Entra 租使用者中註冊應用程式。 如果您沒有必要的存取權，您的 Microsoft Entra 應用程式系統管理員可以執行此作業。

授與服務主體 SQL 資料庫的存取權

服務主體需要許可權，才能取得資料庫、結構描述和資料表的中繼資料。 它也必須獲得授權，才能查詢要取樣的資料表以進行分類。

1. 如果您尚未設定，請使用 Azure SQL 設定 Microsoft Entra 驗證。

2. 使用您的服務主體在 Azure SQL Database 中建立 Microsoft Entra 使用者。 請遵循在 Azure SQL 資料庫中建立服務主體使用者中的步驟。

3. 指派適當的許可權 (例如： db_datareader) 給身分識別。 以下是建立使用者並授予權限的範例 SQL 語法：

   CREATE USER [Username] FROM EXTERNAL PROVIDER
   GO
   
   EXEC sp_addrolemember 'db_datareader', [Username]
   GO
   

   注意事項

   值 [Username] 是您自己的服務主體名稱。 您可以 深入瞭解固定資料庫角色及其功能。

建立認證

1. 移至 Azure 入口網站 中的金鑰保存庫。

2. 選取 [ 設定>密碼]，然後選取 [+ 產生/匯入]。

   

3. 針對 Name （名稱），為密碼提供您選擇的名稱。

4. 針對 [值]，請使用服務主體的秘密值。 如果您已為服務主體建立密碼，您可以在密碼概觀頁面上的 用戶端認證 中找到其值。

   如果您需要建立秘密，可以遵循 服務主體指南中的步驟。

   

5. 選取 [ 建立] 以建立秘密。

6. 如果您的金鑰保存庫尚未連線到 Microsoft Purview，請 建立新的金鑰保存庫連線。

7. 建立新的認證。

   

8. 針對 服務主體識別碼，請使用服務主體的應用程式 (用戶端) 識別碼。

   

9. 針對 Secret name （秘密名稱），使用您在先前步驟中建立的秘密名稱。

   

建立掃描

1. 開啟您的 Microsoft Purview 帳戶，然後選取 [ 開啟 Microsoft Purview 治理入口網站]。

2. 移至 資料對應>來源 以檢視集合階層。

3. 選取您先前註冊的 SQL 資料庫底下的 [ 新增掃描 ] 圖示。

   

若要深入瞭解 Azure SQL Database 中的預存程序資料譜系，請參閱本文的擷取譜系 (預覽) 一節。

如需掃描步驟，請從下列索引標籤中選取您的驗證方法。

SQL 驗證

1. 針對 [名稱]，提供掃描的名稱。

2. 針對 [資料庫選取方法]，選取 [ 手動輸入]。

3. 針對 Database name （資料庫名稱 ） 和 Credential （認證），輸入您先前建立的值。

   

4. 針對 [選取連線]，選擇適當的掃描集合。

5. 選取 [ 測試連線 ] 以驗證連線。 連線成功之後，請選取 [繼續]。

受控識別

1. 針對 [名稱]，提供掃描的名稱。

2. 選取 [ 認證] 底下的 SAMI 或 UAMI，然後選擇適當的掃描集合。

   

3. 選取 [ 測試連線]。 連線成功之後，請選取 [繼續]。

   

服務主體

1. 針對 [名稱]，提供掃描的名稱。

2. 選擇掃描的適當集合，然後選取您稍早在 [認證] 下建立的認證。

   

3. 選取 [ 測試連線]。 連線成功之後，請選取 [繼續]。

設定範圍並執行掃描

1. 您可以選擇清單中的適當項目，將掃描範圍限定為特定資料庫物件。

   

2. 選取掃描規則集。 您可以使用系統預設值、從現有的自訂規則集中進行選擇，或內嵌建立新的規則集。 完成時選取 [繼續]。

   

   如果您選取 新增掃描規則集，則會開啟窗格，以便您可以輸入來源類型、規則集的名稱和說明。 完成時選取 [繼續]。

   

   針對 [選取分類規則]，選擇您要包含在掃描規則集中的分類規則，然後選取 [建立]。

   

   然後，新的掃描規則集會出現在可用規則集清單中。

   

3. 選擇您的掃描觸發器。 您可以設定排程或執行掃描一次。

4. 檢閱您的掃描，然後選取 [儲存並執行]。

檢視掃描

若要檢查掃描的狀態，請移至集合中的資料來源，然後選取 [ 檢視詳細資料]。

掃描詳細資料會指出處於 上次執行狀態的掃描進度，以及掃描和分類的資產數目。 上次執行狀態 會更新為進行 中 ，然後在整個掃描成功執行後更新為 已完成 。

管理掃描

執行掃描之後，您可以使用執行歷程來管理它：

1. 在 最近的掃描下，選取掃描。

   

2. 在執行歷程記錄中，您可以選擇再次執行掃描、編輯掃描或刪除掃描。

   

   如果您選取 立即執行掃描以 重新執行掃描，則可以選擇 增量掃描 或 完整掃描。

   

疑難排解掃描

如果您在掃描時遇到問題，請嘗試以下提示：

• 確認您遵循所有 先決條件。
• 確認 防火牆、 Azure 連線或 整合執行階段 設定來檢查網路。
• 確認 驗證 已正確設定。

如需詳細資訊，請檢閱 針對 Microsoft Purview 中的連線進行疑難排解。

設定原則

此數據資源支援下列類型的 Microsoft Purview 原則：

• 資料擁有者原則 - 一組原則陳述式，可讓您授與使用者和群組資料來源的存取權。
• 自助式原則 - 允許使用者要求存取註冊至 Microsoft Purview 之資料來源的原則。
• 保護原則 - 拒絕所有使用者存取以敏感度標籤標記的資料，但原則所指定的使用者除外。
• DevOps 原則 - 授與跨多個來源的資料庫系統中繼資料的存取權。 它們簡化了 IT 運營和安全審計人員的訪問配置。 它們只會授與存取權，不會拒絕存取權。

Azure SQL Database 上的存取原則必要條件

• 在目前可用的其中一個區域中建立新的 Azure SQL 資料庫執行個體，或使用現有的執行個體。 您可以遵循本指南來建立 Azure SQL 資料庫執行個體。

區域支援

支援所有 Microsoft Purview 區域 。

強制執行 Microsoft Purview 原則僅適用於 Azure SQL 資料庫的下列區域：

公有雲：

• 美國東部
• 美國東部2
• 美國中南部
• 美國中西部
• 美國西部3
• 加拿大中部
• 巴西南部
• 西歐
• 北歐
• 法國中部
• 英國南部
• 南非北部
• 印度中部
• 東南亞
• 東亞
• 澳大利亞東部

主權雲：

• USGov 維吉尼亞州
• 華北3

設定 Azure SQL 資料庫執行個體，以取得來自 Microsoft Purview 的原則

若要讓與 Azure SQL 資料庫相關聯的邏輯伺服器接受來自 Microsoft Purview 的原則，您必須設定 Microsoft Entra 系統管理員。在 Azure 入口網站 中，移至裝載 Azure SQL 資料庫執行個體的邏輯伺服器。 在側邊功能表上，選取 [Microsoft Entra ID]。 將系統管理員名稱設定為您偏好的任何 Microsoft Entra 使用者或群組，然後選取 [儲存]。

然後，在側邊功能表上，選取 [身分識別]。 在系統指派的受控識別下，將狀態轉換成 [開啟]，然後選取 [儲存]。

設定原則的 Microsoft Purview 帳戶

在 Microsoft Purview 中註冊資料來源

在 Microsoft Purview 中為資料資源建立原則之前，您必須在 Microsoft Purview Studio 中註冊該資料資源。 您將在本指南稍後找到與註冊資料資源相關的指示。

注意事項

Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶，則必須取消註冊，然後在 Microsoft Purview 中重新註冊。

設定許可權以在資料來源上啟用資料原則強制執行

註冊資源之後，在 Microsoft Purview 中為該資源建立原則之前，您必須設定許可權。 需要一組許可權，才能啟用 資料原則強制執行。 這適用於資料來源、資源群組或訂用帳戶。 若要啟用 資料原則強制執行， 您必須同時具有 資源的特定身分識別和存取管理 (IAM) 許可權，以及特定的 Microsoft Purview 許可權：

• 您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合，或其任何父項 (，也就是使用 IAM 許可繼承) ：

  • IAM 擁有者
  • IAM 參與者和 IAM 使用者存取管理員

  若要設定 Azure 角色型存取控制 (RBAC) 許可權，請遵循 本指南。 下列螢幕擷取畫面顯示如何存取 Azure 入口網站中的 [存取控制] 區段，讓資料資源新增角色指派。

  

  注意事項

  資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體持有或正在繼承資源的 IAM 擁有者角色。

• 如果您) 已啟用繼承，您也必須具有集合的 Microsoft Purview 數據源系統管理員 角色，或父集合 (。 如需詳細資訊，請參閱 管理 Microsoft Purview 角色指派的指南。

  下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。

  

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則，您必須在根集合層級取得 Microsoft Purview 中的原則作者角色：

• 原則作者角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
• 原則作者角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱 在 Microsoft Purview 資料對應中建立和管理集合。

注意事項

原則作者角色必須在根集合層級設定。

此外，若要在建立或更新原則主旨時輕鬆搜尋 Microsoft Entra 使用者或群組，您可以從取得 Microsoft Entra ID 中的目錄讀取者權限中獲益匪淺。 這是 Azure 租用戶中使用者的通用許可權。 如果沒有目錄讀取者權限，原則作者必須輸入資料原則主旨中包含的所有主體的完整使用者名稱或電子郵件。

設定 Microsoft Purview 許可權以發佈資料擁有者原則

如果您將 Microsoft Purview 原則作者 和 資料來源系統管理員 角色指派給組織中的不同人員，則資料擁有者原則允許檢查和平衡。 在資料擁有者原則生效之前，第二個人員 (資料來源管理員) 必須檢閱它，並透過發佈來明確核准它。 這不適用於 DevOps 或自助式存取原則，因為建立或更新這些原則時會自動發佈這些原則。

若要發佈資料擁有者原則，您必須在根集合層級的 Microsoft Purview 中取得資料來源系統管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱 在 Microsoft Purview 資料對應中建立和管理集合。

注意事項

若要發佈資料擁有者原則，必須在根集合層級設定資料來源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資源以強制 執行資料原則之後，任何在根集合層級具有 原則作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。

注意事項

任何 Microsoft Purview 根 集合系統管理員 都可以將新使用者指派給根 原則 撰寫者角色。 任何 集合管理員 都可以將新使用者指派給集合下的 資料來源管理員 角色。 將持有 Microsoft Purview 集合系統管理員、 數據源系統管理員或 原則作者 角色的使用者最小化並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶，這類原則將會在取決於特定資料來源的時間量內停止強制執行。 此變更可能會對安全性和資料存取可用性產生影響。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以移至 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段，然後選取 [角色指派] 來檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除 Microsoft Purview 帳戶。

註冊資料來源並啟用資料原則強制執行

您必須先向 Microsoft Purview 註冊 Azure SQL 資料庫 資源，才能建立存取原則。 若要註冊您的資源，請遵循 在 Microsoft Purview 來源上啟用資料原則強制執行中的「必要條件」和「註冊資料來源」一節。

註冊資料來源之後，您必須啟用 資料原則強制執行。 這是您可以在資料來源上建立原則之前的先決條件。 數據原則強制執行 可能會影響數據的安全性，因為它會委派給管理數據源存取的特定 Microsoft Purview 角色。 請瀏覽 在 Microsoft Purview 來源上啟用資料原則強制執行中的安全性做法。

將數據源的 [ 數據原則強制執行 ] 選項設定為 [已啟用] 之後，它看起來會像以下螢幕擷取畫面所示：

返回 Azure SQL 資料庫的 Azure 入口網站，以確認它現在受 Microsoft Purview 控管：

1. 透過此連結登入 Azure 入口網站。

2. 選取您要設定的 Azure SQL Server。

3. 移至左窗格中的 Microsoft Entra ID。

4. 向下捲動至 Microsoft Purview 存取原則。

5. 選取按鈕以 檢查 Microsoft Purview 治理。 等待處理請求，這可能需要幾分鐘的時間。

   

6. 確認 Microsoft Purview 治理狀態顯示 [ 已受控管]。 請注意，在 Microsoft Purview 中啟用數據原則強制執行之後，可能需要幾分鐘的時間才能反映正確的狀態。

注意事項

如果您在 Microsoft Purview 中停用此 Azure SQL 資料庫數據源的數據原則強制執行，請選取 [檢查 Microsoft Purview 治理]，以將 Microsoft Purview 治理狀態更新為 [未受控管]。 每次變更 Microsoft Purview 中現有或新存取原則的資料原則強制執行狀態時，都必須針對受影響的資料來源執行此步驟。 在另一個 Microsoft Purview 帳戶中啟用數據 源的數據原則強制執行 之前，請確定 Purview 控管狀態顯示為 [ 未受控管]。 然後使用新的 Microsoft Purview 帳戶重複上述步驟。

建立存取原則

若要建立 Azure SQL 資料庫的存取原則，請遵循下列指南：

• 佈建 Azure SQL 資料庫中系統健康情況、效能和稽核資訊的存取權。 使用本指南，在單一 SQL 資料庫上套用 DevOps 原則。
• 在單一 Azure SQL 資料庫上佈建讀取/修改存取權。 使用本指南來佈建訂用帳戶中單一 SQL 資料庫帳戶的存取權。
• Azure SQL 資料庫的自助式存取原則。 使用本指南可允許資料取用者使用自助式工作流程來要求存取資料資產。

若要建立涵蓋資源群組或 Azure 訂用帳戶內所有資料來源的原則，請參閱 在 Microsoft Purview 中探索和管理多個 Azure 來源。

保護政策

保護存取控制原則 (保護原則) 使組織能夠跨資料來源自動保護敏感資料。 Microsoft Purview 已掃描數據資產並識別敏感性數據元素，這項功能可讓您使用 Microsoft Purview 資訊保護 的敏感度標籤自動限制對該數據的存取。 瞭解如何 建立保護原則。

擷取譜系 (預覽)

Microsoft Purview 支援 Azure SQL 資料庫 檢視和預存程式的譜系。 雖然檢視的譜系支援作為掃描的一部分，但當您設定掃描時，您必須開啟 譜系擷取 切換，以擷取預存程序譜系。

注意事項

不支援使用自我裝載整合執行階段或受控 VNET 執行階段和 Azure SQL 私人端點來譜系。 您必須啟用 Azure 服務，才能在 Azure SQL 資料庫的網路設定下存取伺服器，而且您的 Microsoft Purview 帳戶必須允許公用存取。 深入瞭解譜系擷取掃描的已知限制。

SQL DB 檢視的譜系

SQL DB 中繼資料掃描包含檢視的譜系擷取。 只有新的掃描才會包含視圖譜系擷取。 在 L1/L2/L3) (所有掃描級別提取譜系。 在增量掃描的情況下，作為增量掃描的一部分掃描的任何中繼資料，都會擷取表格/檢視的對應靜態譜系。

設定具有 SP 譜系擷取的掃描的必要條件

1. 請遵循本文設定 掃描的驗證 一節中的步驟，授權 Microsoft Purview 掃描您的 SQL 資料庫。

2. 使用您的 Microsoft Entra 帳戶登入 Azure SQL 資料庫，並將許可權指派db_owner給 Microsoft Purview 受控識別。

   注意事項

   需要「db_owner」權限，因為譜系是以 XEvent 會話為基礎。 因此，Microsoft Purview 需要在 SQL 中管理 XEvent 會話的許可權。

   使用下列範例 SQL 語法來建立使用者並授與許可權。 替換 <purview-account> 為您的帳戶名稱。

   Create user <purview-account> FROM EXTERNAL PROVIDER
   GO
   EXEC sp_addrolemember 'db_owner', <purview-account> 
   GO
   

3. 在 SQL 資料庫上執行下列命令，以建立主要金鑰：

   Create master key
   Go
   

4. 請確定已在 Azure SQL 資源的網路/防火牆下啟用 [允許 Azure 服務和資源存取此伺服器]。

建立開啟譜系擷取的掃描

1. 在設定掃描的窗格中，開啟啟用 譜系擷取 切換。

   

2. 依照本文「 建立掃描 」一節中的步驟選取您的驗證方法。

3. 成功設定掃描之後，稱為譜系擷取的新掃描類型會每六小時執行累加式掃描，以從 Azure SQL 資料庫擷取譜系。 譜系是根據 SQL 資料庫中執行的預存程序來擷取。

   

搜尋 Azure SQL 資料庫資產並檢視執行階段譜系

您可以瀏覽整合式目錄或搜尋整合式目錄，以檢視 Azure SQL 資料庫的資產詳細資料。 下列步驟說明如何檢視執行階段譜系詳細資料：

1. 移至資產的 譜系 索引標籤。 如果適用，資產譜系會顯示在此處。

   

   如果適用，您可以進一步向下切入，以查看預存程序內 SQL 陳述式層次的譜系，以及直欄層次譜系。 使用自我裝載 Integration Runtime 進行掃描時，從 5.25.8374.1 版開始，支援在掃描期間擷取譜系向下切入資訊。

   

   如需支援的 Azure SQL 資料庫譜系案例的相關資訊，請參閱本文的支援功能一節。 如需一般譜系的詳細資訊，請參閱 Microsoft Purview 中的資料譜系 和 Microsoft Purview 譜系使用者指南。

2. 移至預存程序資產。 在 [屬性] 索引標籤上，移至 [ 相關資產 ] 以取得預存程式的最新執行詳細資料。

   

3. 選取 [執行] 旁的預存程序超連結，以查看 Azure SQL 預存程序執行概觀。 移至 [屬性] 索引標籤，以查看預存程序的增強執行階段資訊，例如 executedTime、 rowCount 和 用戶端連線。

   

疑難排解預存程序的譜系擷取

以下提示可以幫助您解決與血統相關的問題：

• 如果在成功執行 譜系擷取 之後未擷取任何譜系，則自您設定掃描以來，可能沒有儲存程序至少執行一次。
• 系統會針對成功設定掃描之後發生的預存程序執行擷取譜系。 不會擷取過去預存程序執行的譜系。
• 如果您的資料庫正在處理具有大量預存程序執行的繁重工作負載，則譜系擷取只會篩選最近的執行。 預存程序會在六小時時段的早期執行，或不會擷取建立大量查詢負載的執行執行個體。 如果您遺失任何預存程序執行的譜系，請連絡支援人員。
• 如果預存程序包含 drop 或 create 陳述式，則目前不會在譜系中擷取這些陳述式

後續步驟

若要深入瞭解 Microsoft Purview 和您的數據，請使用下列指南：

• Microsoft Purview 資料擁有者原則的概念
• Microsoft Purview DevOps 原則的概念
• 瞭解 Microsoft Purview 資料資產見解應用程式
• Microsoft Purview 譜系使用者指南
• 搜尋 Microsoft Purview 整合式目錄