本文概述在 Microsoft Purview 中註冊 Azure SQL 資料庫來源的程式。 其中包含驗證 SQL 資料庫並與之互動的指示。
當您掃描 Azure SQL 資料庫時,Microsoft Purview 支援從這些來源擷取技術元資料:
當您設定掃描時,您可以視需要選取資料表和檢視,在提供資料庫名稱之後進一步設定範圍。
* 預存程式譜系擷取掃描有一些限制。 如需詳細資訊,請參閱此頁面上的已知限制一節。
如 需分類、 敏感度標籤、 原則、 數據譜系和 即時檢視,請參閱 支援的功能清單。
針對 預存程式 (SP) 歷程擷取:
如果您在 Azure 中的邏輯伺服器停用公用存取或不允許 Azure 服務存取,則不支援 SP 譜系擷取掃描。
如果您的預存程式包含 INSERT 或 DROP 查詢,目前不支援 SP 譜系擷取掃描。
如果您的 Microsoft Purview 帳戶停用公用存取,則不支援 SP 譜系擷取掃描。
針對掃描的資產:
對於完整掃描,DECIMAL 會顯示為 SQL 資產屬性的數據類型,而不是 INT 數據類型。
針對 NCHAR 資料類型,數據行長度會以位元組顯示,而不是以字元計數顯示。
注意
如果 Azure SQL 數據表或檢視表在 Azure Data Factory 複製和數據流活動中作為來源/接收器,也支援譜系。
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
數據源管理員和數據讀取者許可權,因此您可以在 Microsoft Purview 控管入口網站中註冊來源並加以管理。 如需詳細資訊,請參閱 Microsoft Purview 治理入口網站中的訪問控制。
掃描之前,請務必在 Purview Microsoft註冊數據源:
開啟 Microsoft Purview 治理入口網站,方法如下:
流覽至 數據對應。
移至 [集合],然後選取 [新增集合],以建立集合階層。 視需要將許可權指派給個別子集合。
移至 [來源] 底下的適當集合,然後選取 [ 註冊 ] 圖示以註冊新的 SQL 資料庫。
選取 [Azure SQL 資料庫數據源],然後選取 [繼續]。
針對 [名稱],提供適用於數據源的名稱。 選取 [Azure 訂用帳戶]、[ 伺服器名稱] 和 [ 選取集合] 的相關名稱,然後選取 [ 套用]。
確認 SQL 資料庫出現在選取的集合下方。
如果您的資料庫伺服器已啟用防火牆,您必須更新防火牆,以允許下列其中一種方式進行存取:
如需防火牆的詳細資訊,請參閱 Azure SQL 資料庫防火牆檔。
啟用 Azure 連線可讓 Microsoft Purview 連線到伺服器,而不需要您更新防火牆本身。
如需允許從 Azure 內部連線的詳細資訊,請參閱 作指南。
您可以在電腦上安裝自我載整合執行時間,以與專用網中的資源連線:
若要掃描您的數據源,您必須在 Azure SQL Database 中設定驗證方法。
重要
如果您使用 自我裝載整合運行時間 來連線到您的資源,系統指派和使用者指派的受控識別將無法運作。 您需要使用服務主體驗證或 SQL 驗證。
Microsoft Purview 支援下列選項:
系統指派的受控識別 (SAMI) (建議的) 。 這是直接與Microsoft Purview 帳戶相關聯的身分識別。 它可讓您直接向其他 Azure 資源進行驗證,而不需要管理使用者或認證集。
SAMI 會在建立Microsoft Purview 資源時建立。 SAMI 由 Azure 管理,並使用您Microsoft Purview 帳戶的名稱。 SAMI 目前無法與自我裝載整合運行時間搭配使用,Azure SQL。
如需詳細資訊,請參閱 受控識別概觀。
使用者指派的受控識別 (UAMI) (預覽) 。 與 SAMI 類似,UAMI 是一種認證資源,可讓 Microsoft Purview 對 Microsoft Entra ID 進行驗證。
UAMI 是由 Azure 中的使用者管理,而不是由 Azure 本身管理,這可讓您更充分掌控安全性。 UAMI 目前無法與自我裝載整合運行時間搭配使用,Azure SQL。
如需詳細資訊,請參閱 使用者指派的受控識別指南。
服務主體。 服務主體是一種應用程式,可以像任何其他群組或使用者一樣獲指派許可權,而不需要直接與人員相關聯。 服務主體的驗證有到期日,因此對暫存專案很有用。
如需詳細資訊,請參閱 服務主體檔。
SQL 驗證。 使用使用者名稱和密碼連線到 SQL 資料庫。 如需詳細資訊,請參閱 SQL 驗證檔。
如果您需要建立登入,請遵循 本指南來查詢 SQL 資料庫。 使用 本指南來使用 T-SQL 建立登入。
注意
請務必選取頁面上的 [Azure SQL 資料庫] 選項。
如需使用 SQL 資料庫進行驗證的步驟,請從下列索引標籤中選取您選擇的驗證方法。
注意
只有布建程式) 或 master 資料庫中資料庫角色成員 loginmanager 所建立的伺服器層級主體登入 (才能建立新的登入。 Microsoft Purview 帳戶應該能夠在取得許可權約 15 分鐘後掃描資源。
您需要至少 db_datareader 具有許可權的 SQL 登入,才能存取 Purview Microsoft掃描資料庫所需的資訊。 您可以遵循 CREATE LOGIN 中的指示來建立 Azure SQL Database 的登入。 儲存使用者名稱和密碼以供後續步驟使用。
移至 Azure 入口網站 中的金鑰保存庫。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
針對 [名稱 ] 和 [ 值],請使用使用者名稱和密碼 (分別從您的 SQL 資料庫) 。
選取 [建立]。
如果您的金鑰保存庫尚未連線到 Microsoft Purview,請 建立新的金鑰保存庫連線。
使用金鑰來設定掃描,以建立新的認證。
開啟您的 Microsoft Purview 帳戶,然後選 取 [開啟Microsoft Purview 治理入口網站]。
移至 [數據對應>來源] 以檢視集合階層。
選取您稍早註冊的 SQL 資料庫底下的 [新增掃描 ] 圖示。
若要深入瞭解 Azure SQL 資料庫中的預存程序數據譜系,請參閱本文的擷取歷程 (預覽) 一節。
如需掃描步驟,請從下列索引標籤中選取您的驗證方法。
針對 [名稱],提供掃描的名稱。
針對 [資料庫選取方法],選取 [手動輸入]。
針對 [資料庫名稱 ] 和 [ 認證],輸入您稍早建立的值。
針對 [選取連接],選擇掃描的適當集合。
選 取 [測試連線 ] 以驗證連線。 線上成功之後,選取 [ 繼續]。
您可以選擇清單中的適當專案,將掃描範圍設定為特定的資料庫物件。
選取掃描規則集。 您可以使用系統預設值、從現有的自訂規則集中選擇,或建立內嵌的新規則集。 完成後,請選取 [ 繼續 ]。
如果您選取 [新增掃描規則集],則會開啟窗格,讓您可以輸入來源類型、規則集的名稱和描述。 完成後,請選取 [ 繼續 ]。
針對 [選取分類規則],選擇要包含在掃描規則集中的分類規則,然後選取 [ 建立]。
然後,新的掃描規則集會出現在可用的規則集清單中。
選擇掃描觸發程式。 您可以設定排程或執行掃描一次。
檢閱您的掃描,然後選取 [ 儲存並執行]。
若要檢查掃描的狀態,請移至集合中的數據源,然後選取 [ 檢視詳細數據]。
掃描詳細數據會以上次 執行狀態指出掃描的進度,以及掃描和分類的資產數目。 上次執行狀態 會更新為 [ 進行中] ,然後在整個掃描成功 執行 之後完成。
執行掃描之後,您可以使用執行歷程記錄來管理它:
在 [ 最近的掃描] 下,選取掃描。
在執行歷程記錄中,您可以選擇再次執行掃描、編輯掃描或刪除掃描。
如果您選取 [ 立即執行掃描 ] 以重新執行掃描,則可以選擇 [ 增量掃描 ] 或 [ 完整掃描]。
如果您有掃描問題,請嘗試下列秘訣:
如需詳細資訊,請檢閱 在 Microsoft Purview 中針對連線進行疑難解答。
此資料資源支援下列類型的 Microsoft Purview 原則:
支援所有 Microsoft Purview 區域 。
Microsoft Purview 原則的強制執行僅適用於 Azure SQL 資料庫的下列區域:
公用雲端:
主權雲端:
若要讓與 Azure SQL Database 相關聯的邏輯伺服器接受 Microsoft Purview 的原則,您必須設定 Microsoft Entra 系統管理員。在 Azure 入口網站 中,移至裝載 Azure SQL Database 實例的邏輯伺服器。 在側邊功能表上,選取 [Microsoft Entra ID]。 將系統管理員名稱設定為您偏好的任何 Microsoft Entra 使用者或群組,然後選取 [儲存]。
然後,在側邊功能表上,選取 [ 身分識別]。 在 [系統指派的受控識別] 下,將狀態開 啟,然後選取 [ 儲存]。
您必須先在 Purview Studio 中註冊該數據 Microsoft資源,才能在 Microsoft Purview 中為數據資源建立原則。 您稍後會在本指南中找到與註冊數據資源相關的指示。
注意
Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果數據資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後在 Microsoft Purview 中重新註冊。
註冊資源之後,但在該資源的 Purview Microsoft 建立原則之前,您必須設定許可權。 需要一組許可權,才能強制 執行數據原則。 這適用於數據源、資源群組或訂用帳戶。 若要啟用 數據原則強制執行,您必須 具有 資源的特定身分識別和存取管理 (IAM) 許可權,以及特定Microsoft許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合,或是使用 IAM 許可權繼承 (的任何父系) :
若要 (RBAC) 許可權設定 Azure 角色型訪問控制,請遵循 本指南。 下列螢幕快照顯示如何存取數據資源 Azure 入口網站 中的 [存取控制] 區段,以新增角色指派。
注意
數據資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體保留或繼承資源的 IAM 擁有者角色。
如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 數據源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 purview 角色指派Microsoft指南。
下列螢幕快照顯示如何在根集合層級指派 數據源系統管理員 角色。
若要建立、更新或刪除原則,您必須在根集合層級的 Microsoft Purview 中取得原則作者角色:
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在 Microsoft Purview 資料對應 中建立和管理集合。
注意
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主體時輕鬆地搜尋 Microsoft Entra 使用者或群組,您可以從取得 Microsoft Entra ID 中的目錄讀取者許可權獲益。 這是 Azure 租用戶中用戶的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入數據原則主體中所包含之所有主體的完整用戶名稱或電子郵件。
如果您將 Microsoft Purview 原則 作者 和 數據源系統管理員 角色指派給組織中的不同人員,數據擁有者原則允許檢查和平衡。 數據擁有者原則生效之前, (數據源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。
若要發佈數據擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的數據源管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在 Microsoft Purview 資料對應 中建立和管理集合。
注意
若要發佈數據擁有者原則,必須在根集合層級設定數據源系統管理員角色。
啟用資源以 強制執行數據原則之後,在根集合層級具有原則 作者 角色的任何 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該數據源的存取權。
注意
任何Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的數據 源系統管理員 角色。 將擔任 Purview 集合系統管理員、 數據源管理員或原則 作者 角色Microsoft使用者最小化並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則將會在相依於特定數據源的一段時間內停止強制執行。 這項變更可能會影響安全性和數據存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除Microsoft Purview 帳戶。
Azure SQL 資料庫資源必須先向 Microsoft Purview 註冊,才能建立存取原則。 若要註冊您的資源,請遵循在您的 Microsoft Purview 來源上啟用數據原則強制執行中的和一節。
註冊數據源之後,您必須啟用 數據原則強制執行。 這是您在數據源上建立原則之前的必要條件。 數據原則強制執行 可能會影響數據的安全性,因為它會委派給管理數據源存取權的特定Microsoft Purview 角色。 請流覽在 您的 Microsoft Purview 來源上啟用數據原則強制執行中的安全性做法。
數據來源將 [ 數據原則強制執行 ] 選項設定為 [ 已啟用] 之後,看起來會像下列螢幕快照:
返回 Azure SQL Database 的 Azure 入口網站,以確認它現在受到 Microsoft Purview 的控管:
透過此連結登入 Azure 入口網站。
選取您要設定的 Azure SQL 伺服器。
移至左窗格上的 [Microsoft Entra ID]。
向下捲動以 Microsoft Purview 存取原則。
選取 [ 檢查 Microsoft Purview Governance] 按鈕。 處理要求時等候,這可能需要幾分鐘的時間。
確認 Microsoft Purview 治理狀態顯示 [已治理]。 請注意,在 Purview Microsoft啟用數據原則強制執行之後,可能需要幾分鐘的時間,才會反映正確的狀態。
注意
如果您在 Microsoft Purview 中停用此 Azure SQL 資料庫數據源的數據原則強制執行,請選取 [檢查Microsoft Purview 控管],以將 [Microsoft Purview 控管狀態] 更新為 [未控管]。 每次在 Purview 中針對現有或新的存取原則變更數據原則強制狀態時,就必須針對受影響的數據源完成此步驟Microsoft。 在另一個 Microsoft Purview 帳戶中啟用數據源的數據 原則強制執行 之前,請確定 Purview 治理狀態顯示為 [未受控]。 然後使用新的 Microsoft Purview 帳戶重複上述步驟。
若要建立 Azure SQL 資料庫的存取原則,請遵循下列指南:
若要建立涵蓋資源群組或 Azure 訂用帳戶內所有數據源的原則,請參閱 在 Microsoft Purview 中探索及控管多個 Azure 來源。
保護訪問控制原則 (保護原則) 可讓組織自動保護跨數據源的敏感數據。 Microsoft Purview 已經掃描數據資產並識別敏感數據元素,而且這項功能可讓您使用 Microsoft Purview 資訊保護 的敏感度標籤自動限制該數據的存取。 瞭解如何 建立保護原則。
Microsoft Purview 支援從 Azure SQL Database 檢視和預存程式的譜系。 雖然在掃描過程中支持檢視的譜系,但您必須在設定掃描時開啟 [譜系擷取 ] 切換以擷取預存程式譜系。
注意
不支援使用自我裝載整合運行時間或受控 VNET 運行時間,以及 Azure SQL 私人端點。 您必須啟用 Azure 服務,才能在 Azure SQL 資料庫的網路設定下存取伺服器,而您的 Microsoft Purview 帳戶必須允許公用存取。 深入瞭解譜系擷取掃描中的已知限制。
SQL DB 元數據掃描包含檢視的譜系擷取。 只有新的掃描包含檢視譜系擷取。 譜系會在所有掃描層級擷取, (L1/L2/L3) 。 如果是累加式掃描,任何在增量掃描過程中掃描的元數據,都會擷取數據表/檢視的對應靜態譜系。
請遵循本文設定 掃描驗證一 節中的步驟,授權 Microsoft Purview 掃描您的 SQL 資料庫。
使用 Microsoft Entra 帳戶登入 Azure SQL Database,並將許可權指派給 db_owner Microsoft Purview 受控識別。
注意
需要 『db_owner』 許可權,因為譜系是以 XEvent 會話為基礎。 因此Microsoft Purview 需要在 SQL 中管理 XEvent 會話的許可權。
使用下列範例 SQL 語法來建立使用者並授與許可權。 將取代 <purview-account> 為您的帳戶名稱。
Create user <purview-account> FROM EXTERNAL PROVIDER
GO
EXEC sp_addrolemember 'db_owner', <purview-account>
GO
在 SQL 資料庫上執行下列命令,以建立主要金鑰:
Create master key
Go
請確定已在 Azure SQL 資源的網路/防火牆下啟用 [允許 Azure 服務和資源存取此伺服器]。
在設定掃描的窗格上,開啟 [ 啟用譜系擷取 ] 切換。
依照本文的 建立掃描 一節中的步驟,選取您的驗證方法。
成功設定掃描之後,稱為「譜系擷取」的新掃描類型會每隔六小時執行一次增量掃描,以從 Azure SQL 資料庫擷取譜系。 系統會根據 SQL 資料庫中執行的預存程式來擷取譜系。
您可以流覽 整合式目錄 或搜尋 整合式目錄,以檢視 Azure SQL Database 的資產詳細數據。 下列步驟說明如何檢視運行時間譜系詳細數據:
移至資產的 [譜系] 索 引標籤。 適用時,資產譜系會出現在此處。
適用時,您可以進一步向下切入以查看預存程式內 SQL 語句層級的譜系,以及數據行層級譜系。 使用自我裝載 Integration Runtime 進行掃描時,自 5.25.8374.1 版起,支援在掃描期間擷取歷程向下鑽研資訊。
如需支援 Azure SQL 資料庫譜系案例的相關信息,請參閱本文支援的功能一節。 如需一般譜系的詳細資訊,請 參閱 Microsoft Purview 中的數據譜 系和 Microsoft Purview 譜系使用者指南。
移至預存程序資產。 在 [ 屬性] 索引 標籤上,移至 [相關資產 ] 以取得預存程式的最新執行詳細數據。
選取 [執行] 旁的預存程式超連結,以查看 Azure SQL 預存程序執行概觀。 移至 [ 屬性] 索 引標籤,以查看預存程式的增強運行時間資訊,例如 executedTime、 rowCount 和 用戶端連線。
下列秘訣可協助您解決與譜系相關的問題:
若要深入瞭解 Microsoft Purview 和您的數據,請使用下列指南:
文件
在 Microsoft Purview 資料對應 中建立和管理掃描的認證
瞭解在 Microsoft Purview 資料對應 中建立和管理認證的步驟。
針對 Microsoft Purview 資料對應 中的掃描和連線進行疑難解答
本文說明在 Microsoft Purview 資料對應 中針對掃描和來源連線進行疑難解答的步驟。
本指南說明如何連線到 Microsoft Purview 中的內部部署 SQL Server 實例,並使用 Microsoft Purview 的功能來掃描和管理您的內部部署 SQL Server 來源。
訓練
學習路徑
Use advance techniques in canvas apps to perform custom updates and optimization - Training
Use advance techniques in canvas apps to perform custom updates and optimization
認證
Microsoft Certified: Azure Database Administrator Associate - Certifications
使用 Microsoft PaaS 關聯式資料庫供應項目管理用於雲端、內部部署和混合關聯式資料庫的 SQL Server 資料庫基礎結構。