閱讀英文

共用方式為

建立、列出、更新和刪除 Microsoft Purview DevOps 原則

  • 發行項

注意

Microsoft Purview 資料目錄 (傳統) 和數據健康情況深入解析 (傳統) 不再採用新客戶,而這些服務先前是 Azure Purview,現在處於客戶支援模式。

DevOps 原則 是一種Microsoft Purview 存取原則。 您可以使用它們來管理已在 Purview 中註冊數據原則 強制 執行之數據源的系統元數據存取Microsoft。

您可以直接從 Microsoft Purview 治理入口網站設定 DevOps 原則。 儲存之後,數據源會自動發佈並強制執行它們。 Microsoft Purview 原則只會管理 Microsoft Entra 主體的存取權。

本指南涵蓋 Microsoft Purview 中的設定步驟,以使用 SQL 效能監視器 和 SQL 安全性稽核員角色的 DevOps 原則動作來布建資料庫系統元數據的存取權。 它會示範如何建立、列出、更新和刪除DevOps原則。

必要條件

組態

在您於 Microsoft Purview 原則入口網站中撰寫原則之前,您必須先設定數據源,以便它們可以強制執行這些原則:

  1. 請遵循來源的任何原則特定必要條件。 檢查 Purview 支援的數據源Microsoft表 ,並選取 [ 存取 原則] 資料行中可用存取原則的來源連結。 請遵循和一節中所列的任何步驟。
  2. 在 Microsoft Purview 中註冊數據源。 請遵循資源 來源頁面 的和區段。
  3. 在數據源註冊中開啟 [ 數據原則強制執行 ] 切換。 如需詳細資訊,包括此步驟所需的其他許可權,請參閱在 您的 Microsoft Purview 來源上啟用數據原則強制執行

建立新的DevOps原則

若要建立 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中的管理 Microsoft Purview 角色指派一節。 然後,遵循下列步驟:

  1. 登入 Microsoft Purview 治理入口網站

  2. 在左窗格中,選取 [ 數據原則]。 然後選 取 [DevOps 原則]

  3. 選取 [ 新增原則] 按鈕。

    顯示建立新 SQL DevOps 原則按鈕的螢幕快照。

    原則詳細數據面板隨即開啟。

  4. 針對 [數據源類型],選取數據源。 在 [數據源名稱] 下,選取其中一個列出的數據源。 然後按下 [選取 ] 傳回 [ 新增原則 ] 窗格。

    顯示用於選取原則數據源之面板的螢幕快照。

  5. 選取效 能監視安全性稽核這兩個角色的其中一個。 然後選取 [新增/移除主體 ] 以開啟 [ 主旨] 面板。

    在 [選取主體] 方塊中,輸入 Microsoft Entra 主體的名稱 (使用者、群組或服務主體) 。 Microsoft支援 365 個群組,但群組成員資格的更新最多需要一小時的時間才會反映在 Microsoft Entra ID 中。 繼續新增或移除主題,直到您滿意為止,然後選取 [ 儲存]

    顯示原則的角色和主旨選取項目的螢幕快照。

  6. 取 [儲存 ] 以儲存原則。 原則會自動發佈。 強制執行會在五分鐘內從數據源開始。

列出DevOps原則

若要列出 DevOps 原則,請先確定您在根集合層級具有下列其中一個 Microsoft Purview 角色:原則作者、數據源 管理員、數據編者或數據讀取者。 請參閱 本指南中的管理 Microsoft Purview 角色指派一節。 然後,遵循下列步驟:

  1. 登入 Microsoft Purview 治理入口網站

  2. 在左窗格中,選取 [ 數據原則]。 然後選 取 [DevOps 原則]

    [ DevOps 原則 ] 窗格會列出任何已建立的原則。

    顯示開啟 SQL DevOps 原則清單之選取項目的螢幕快照。

更新DevOps原則

若要更新 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中的管理 Microsoft Purview 角色指派一節。 然後,遵循下列步驟:

  1. 登入 Microsoft Purview 治理入口網站

  2. 在左窗格中,選取 [ 數據原則]。 然後選 取 [DevOps 原則]

  3. 在 [ DevOps 原則 ] 窗格中,從其中一個原則的數據資源路徑中選取原則詳細數據,以開啟原則詳細數據。

    顯示開啟 SQL DevOps 原則之選取項目的螢幕快照。

  4. 在原則詳細數據的窗格上,選取 [ 編輯]

  5. 進行變更,然後選取 [ 儲存]

刪除 DevOps 原則

若要刪除 DevOps 原則,請先確定您在根集合層級具有 Microsoft Purview 原則作者角色。 請參閱 本指南中的管理 Microsoft Purview 角色指派一節。 然後,遵循下列步驟:

  1. 登入 Microsoft Purview 治理入口網站

  2. 在左窗格中,選取 [ 數據原則]。 然後選 取 [DevOps 原則]

  3. 選取其中一個原則的複選框,然後選取 [ 刪除]

    顯示刪除 SQL DevOps 原則之選取項目的螢幕快照。

測試 DevOps 原則

建立原則之後,您選取為主體的任何 Microsoft Entra 用戶現在都可以連線到原則範圍內的數據源。 若要測試,請使用 SQL Server Management Studio (SSMS) 或任何 SQL 用戶端,並嘗試查詢 DMV (DMV) 和動態管理功能 (DMFs) 的一些動態管理檢視。 下列各節列出一些範例。 如需更多範例,請參閱 Microsoft Purview DevOps 原則可以完成的動作?中熱門 DMV 和 DMF 的對應。

如果您需要更多疑難解答,請參閱本指南中的 後續步驟 一節。

測試 SQL 效能監視器 存取

如果您提供 SQL 效能監視器 角色的原則主體,您可以發出下列命令:

-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats

顯示 SQL 效能監視器 測試的螢幕快照。

測試 SQL 安全性稽核員存取權

如果您提供 SQL 安全性稽核員角色的原則主體,您可以從 SSMS 或任何 SQL 用戶端發出下列命令:

-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys

確定沒有用戶數據的存取權

嘗試使用下列命令存取其中一個資料庫中的數據表:

-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName

您要測試的 Microsoft Entra 主體應該遭到拒絕,這表示數據會受到保護,免於遭受內部威脅。

顯示存取用戶數據測試的螢幕快照。

角色定義詳細數據

下表Microsoft Purview 數據原則角色對應至 SQL 數據源中的特定動作。

Microsoft Purview 原則角色 數據源中的動作
SQL 效能監視器 Microsoft.Sql/Sqlservers/Connect
Microsoft.Sql/Sqlservers/Databases/Connect
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select
Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute
Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop
SQL 安全性稽核員 Microsoft.Sql/Sqlservers/Connect
Microsoft.Sql/Sqlservers/Databases/Connect
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select

後續步驟

請查看下列部落格、影片和相關文章: