注意事項
Microsoft Purview 資料目錄 (傳統) 和 Data Health Insights (傳統) 不再接受新客戶,而且這些服務 (先前為 Azure Purview) 現在處於客戶支援模式。
DevOps 原則 是 Microsoft Purview 存取原則的一種類型。 它們可讓您管理已在 Microsoft Purview 中註冊為 資料原則強制執行 之資料來源上系統中繼資料的存取權。 這些原則是直接從 Microsoft Purview 治理入口網站設定,儲存之後,會自動發佈,然後由數據源強制執行。 Microsoft Purview 原則只會管理 Microsoft Entra 主體的存取權。
本操作指南說明如何設定 Azure SQL 資料庫,以強制執行在 Microsoft Purview 中建立的原則。 它涵蓋 Azure SQL 資料庫的設定步驟,以及 Microsoft Purview 中的設定步驟,以使用 DevOps 原則動作 SQL 效能監視或 SQL 安全性稽核,) 布建 DMV 和 DMF (Azure SQL資料庫系統中繼資料的存取權。
必要條件
具有作用中訂用帳戶的 Azure 帳戶。 免費創建一個帳戶。
新的或現有的 Microsoft Purview 帳戶。 請遵循此快速入門指南來建立一個。
- 在目前可用的其中一個區域中建立新的 Azure SQL 資料庫執行個體,或使用現有的執行個體。 您可以遵循本指南來建立 Azure SQL 資料庫執行個體。
區域支援
支援所有 Microsoft Purview 區域 。
強制執行 Microsoft Purview 原則僅適用於 Azure SQL 資料庫的下列區域:
公有雲:
- 美國東部
- 美國東部2
- 美國中南部
- 美國中西部
- 美國西部3
- 加拿大中部
- 巴西南部
- 西歐
- 北歐
- 法國中部
- 英國南部
- 南非北部
- 印度中部
- 東南亞
- 東亞
- 澳大利亞東部
主權雲:
- USGov 維吉尼亞州
- 華北3
設定 Azure SQL 資料庫執行個體,以取得來自 Microsoft Purview 的原則
若要讓與 Azure SQL 資料庫相關聯的邏輯伺服器接受來自 Microsoft Purview 的原則,您必須設定 Microsoft Entra 系統管理員。在 Azure 入口網站 中,移至裝載 Azure SQL 資料庫執行個體的邏輯伺服器。 在側邊功能表上,選取 [Microsoft Entra ID]。 將系統管理員名稱設定為您偏好的任何 Microsoft Entra 使用者或群組,然後選取 [儲存]。
然後,在側邊功能表上,選取 [身分識別]。 在系統指派的受控識別下,將狀態轉換成 [開啟],然後選取 [儲存]。
Microsoft Purview 設定
在 Microsoft Purview 中註冊資料來源
在 Microsoft Purview 中為資料資源建立原則之前,您必須在 Microsoft Purview Studio 中註冊該資料資源。 您將在本指南稍後找到與註冊資料資源相關的指示。
注意事項
Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後在 Microsoft Purview 中重新註冊。
設定許可權以在資料來源上啟用資料原則強制執行
註冊資源之後,在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟用 資料原則強制執行。 這適用於資料來源、資源群組或訂用帳戶。 若要啟用 資料原則強制執行, 您必須同時具有 資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合,或其任何父項 (,也就是使用 IAM 許可繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取管理員
若要設定 Azure 角色型存取控制 (RBAC) 許可權,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取 Azure 入口網站中的 [存取控制] 區段,讓資料資源新增角色指派。
注意事項
資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體持有或正在繼承資源的 IAM 擁有者角色。
如果您) 已啟用繼承,您也必須具有集合的 Microsoft Purview 數據源系統管理員 角色,或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南。
下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:
- 原則作者角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
- 原則作者角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱 在 Microsoft Purview 資料對應中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主旨時輕鬆搜尋 Microsoft Entra 使用者或群組,您可以從取得 Microsoft Entra ID 中的目錄讀取者權限中獲益匪淺。 這是 Azure 租用戶中使用者的通用許可權。 如果沒有目錄讀取者權限,原則作者必須輸入資料原則主旨中包含的所有主體的完整使用者名稱或電子郵件。
設定 Microsoft Purview 許可權以發佈資料擁有者原則
如果您將 Microsoft Purview 原則作者 和 資料來源系統管理員 角色指派給組織中的不同人員,則資料擁有者原則允許檢查和平衡。 在資料擁有者原則生效之前,第二個人員 (資料來源管理員) 必須檢閱它,並透過發佈來明確核准它。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時會自動發佈這些原則。
若要發佈資料擁有者原則,您必須在根集合層級的 Microsoft Purview 中取得資料來源系統管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱 在 Microsoft Purview 資料對應中建立和管理集合。
注意事項
若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資源以強制 執行資料原則之後,任何在根集合層級具有 原則作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。
注意事項
任何 Microsoft Purview 根 集合系統管理員 都可以將新使用者指派給根 原則 撰寫者角色。 任何 集合管理員 都可以將新使用者指派給集合下的 資料來源管理員 角色。 將持有 Microsoft Purview 集合系統管理員、 數據源系統管理員或 原則作者 角色的使用者最小化並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則將會在取決於特定資料來源的時間量內停止強制執行。 此變更可能會對安全性和資料存取可用性產生影響。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以移至 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段,然後選取 [角色指派] 來檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除 Microsoft Purview 帳戶。
在 Microsoft Purview 中註冊資料來源
Azure SQL 資料庫資料來源必須先向 Microsoft Purview 註冊,才能建立存取原則。 您可以遵循以下指南:
註冊資源之後,您必須啟用資料原則強制執行。 數據原則強制執行需要特定許可權,而且可能會影響數據的安全性,因為它會委派給特定 Microsoft Purview 角色管理數據源存取權的能力。 請參閱本指南中與資料原則強制執行相關的安全實務: 如何啟用資料原則強制執行
一旦您的資料來源具有 [已啟用資料原則強制執行] 切換,它看起來就像這個螢幕擷取畫面一樣。 這可讓存取原則與指定的資料來源搭配使用。
返回 Azure SQL 資料庫的 Azure 入口網站,以確認它現在受 Microsoft Purview 控管:
透過此連結登入 Azure 入口網站。
選取您要設定的 Azure SQL Server。
移至左窗格中的 Microsoft Entra ID。
向下捲動至 Microsoft Purview 存取原則。
選取按鈕以 檢查 Microsoft Purview 治理。 等待處理請求,這可能需要幾分鐘的時間。
確認 Microsoft Purview 治理狀態顯示 [ 已受控管]。 請注意,在 Microsoft Purview 中啟用數據原則強制執行之後,可能需要幾分鐘的時間才能反映正確的狀態。
注意事項
如果您在 Microsoft Purview 中停用此 Azure SQL 資料庫數據源的數據原則強制執行,請選取 [檢查 Microsoft Purview 治理],以將 Microsoft Purview 治理狀態更新為 [未受控管]。 每次變更 Microsoft Purview 中現有或新存取原則的資料原則強制執行狀態時,都必須針對受影響的資料來源執行此步驟。 在另一個 Microsoft Purview 帳戶中啟用數據 源的數據原則強制執行 之前,請確定 Purview 控管狀態顯示為 [ 未受控管]。 然後使用新的 Microsoft Purview 帳戶重複上述步驟。
建立新的 DevOps 原則
請遵循此連結,以取得 在 Microsoft Purview 中建立新 DevOps 原則的步驟。
列出 DevOps 原則
請遵循此連結,以取得在 Microsoft Purview 中列出 DevOps 原則的步驟。
更新 DevOps 原則
請遵循此連結,以取得 在 Microsoft Purview 中更新 DevOps 原則的步驟。
刪除 DevOps 原則
請遵循此連結,以 取得在 Microsoft Purview 中刪除 DevOps 原則的步驟。
重要事項
DevOps 原則會自動發佈,資料來源最多可能需要 5 分鐘 才能強制執行變更。
測試 DevOps 原則
請參閱如何 測試您建立的原則。
角色定義詳細資料
後續步驟
請參閱 相關影片、部落格和文件。