在 Microsoft Purview 中探索和管理Azure SQL資料庫
本文概述在 Microsoft Purview 中註冊Azure SQL資料庫來源的程式。 其中包含驗證 SQL 資料庫並與之互動的指示。
支援的功能
| 中繼資料擷取 | 完整掃描 | 增量掃描 | 限域掃描 | 分類 | 加標籤 | 存取原則 | 血統 | 資料共用 | 即時檢視 |
|---|---|---|---|---|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 | 是 | 是 | 是 (預覽) | 否 | 是 |
注意事項
資料譜系擷取目前僅支援預存程式執行。 如果Azure SQL資料表或檢視表做為Azure Data Factory複製和資料流程活動中的來源/接收器,也支援譜系。
當您掃描Azure SQL資料庫時,Microsoft Purview 支援從這些來源擷取技術中繼資料:
- 伺服器
- Database
- Schemas
- 資料表,包括資料行
- 檢視,包括資料行
- 啟用歷程 (擷取的預存程式)
- 預存程式會在啟用歷程擷取 ()
當您設定掃描時,您可以視需要選取資料表和檢視,在提供資料庫名稱之後進一步設定範圍。
已知限制
- Microsoft Purview 在架構索引標籤上最多支援 800 個數據行。如果有超過 800 個數據行,Microsoft Purview 會顯示 Additional-Columns-Truncated。
- 針對 譜系擷取掃描:
- 如果您在 Azure 中的邏輯伺服器停用公用存取或不允許 Azure 服務存取,目前不支援譜系擷取掃描。
- 根據預設,譜系擷取掃描會排定每六小時執行一次。 無法變更頻率。
- 只有在預存程式執行將資料從一個資料表傳輸到另一個資料表時,才會擷取譜系。 臨時表不支援此功能。
- 函式或觸發程式不支援譜系擷取。
- 請注意,由於下列限制,如果您有這類案例,目前可能會在目錄中看到重複的資產。
- 資產和完整名稱中的物件名稱會遵循預存程式語句中使用的案例,這可能與原始資料來源中的物件案例不一致。
- 當預存程式中參考 SQL 檢視時,它們目前會擷取為 SQL 資料表。
必要條件
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
使用中的 Microsoft Purview 帳戶。
資料來源管理員和資料讀取者許可權,因此您可以在 Microsoft Purview 治理入口網站中註冊來源並加以管理。 如需詳細資訊,請參 閱 Microsoft Purview 治理入口網站中的存取控制。
註冊資料來源
掃描之前,請務必在 Microsoft Purview 中註冊資料來源:
透過下列方式開啟 Microsoft Purview 治理入口網站:
- 直接流覽並 https://web.purview.azure.com 選取您的 Microsoft Purview 帳戶。
- 開啟Azure 入口網站,搜尋並選取 Microsoft Purview 帳戶。 選取 [ Microsoft Purview 治理入口網站] 按鈕。
流覽至 資料對應。
移至[集合],然後選取 [新增集合],以建立集合階層。 視需要將許可權指派給個別子集合。
移至 [來源] 底下的適當集合,然後選取 [ 註冊 ] 圖示以註冊新的 SQL 資料庫。
選取 [Azure SQL 資料庫資料來源],然後選取 [繼續]。
針對 [名稱],提供適用于資料來源的名稱。 選取 [Azure 訂用帳戶]、[ 伺服器名稱] 和 [ 選取集合] 的相關名稱,然後選取 [ 套用]。
確認 SQL 資料庫出現在選取的集合下方。
更新防火牆設定
如果您的資料庫伺服器已啟用防火牆,您必須更新防火牆,以允許下列其中一種方式進行存取:
- 允許 Azure 連線通過防火牆。 這是直接透過 Azure 網路路由傳送流量的選項,而不需要管理虛擬機器。
- 在網路中的電腦上安裝自我裝載整合執行時間,並透過防火牆提供存取權。 如果您已在 Azure 內設定私人虛擬網路,或已設定任何其他已關閉的網路,則在該網路內的電腦上使用自我裝載整合執行時間,可讓您完全管理流量,並利用現有的網路。
- 使用受控虛擬網路。 使用 Microsoft Purview 帳戶設定受控虛擬網路,可讓您在已關閉的網路中使用 Azure 整合執行時間連線到Azure SQL。
如需防火牆的詳細資訊,請參閱 Azure SQL 資料庫防火牆檔。
允許 Azure 連線
啟用 Azure 連線可讓 Microsoft Purview 連線到伺服器,而不需要您更新防火牆本身。
- 移至您的資料庫帳戶。
- 在 [ 概觀] 頁面上,選取伺服器名稱。
- 選取 [安全>性防火牆和虛擬網路]。
- 針對 [允許 Azure 服務和資源存取此伺服器],選取 [ 是]。
如需允許從 Azure 內部連線的詳細資訊,請參閱 操作指南。
安裝自我裝載整合執行時間
您可以在電腦上安裝自我裝載整合執行時間,以與私人網路中的資源連線:
- 在個人電腦或與資料庫伺服器位於相同虛擬網路內的電腦上,建立並安裝自我裝載整合執行時間。
- 檢查資料庫伺服器的網路設定,確認包含自我裝載整合執行時間的電腦可存取私人端點。 如果電腦還沒有存取權,請新增其 IP 位址。
- 如果您的邏輯伺服器位於私人端點後方或虛擬網路中,您可以使用擷 取私人端點 來確保端對端網路隔離。
設定掃描的驗證
若要掃描您的資料來源,您必須在 Azure SQL Database 中設定驗證方法。
重要事項
如果您使用 自我裝載整合執行時間 來連線到您的資源,系統指派和使用者指派的受控識別將無法運作。 您需要使用服務主體驗證或 SQL 驗證。
Microsoft Purview 支援下列選項:
系統指派的受控識別 (SAMI) (建議的) 。 這是直接與 Microsoft Purview 帳戶相關聯的身分識別。 它可讓您直接向其他 Azure 資源進行驗證,而不需要管理使用者或認證集。
SAMI 會在建立 Microsoft Purview 資源時建立。 它是由 Azure 管理,並使用 Microsoft Purview 帳戶的名稱。 SAMI 目前無法與自我裝載整合執行時間搭配使用,Azure SQL。
如需詳細資訊,請參閱 受控識別概觀。
使用者指派的受控識別 (UAMI) (預覽) 。 類似于 SAMI,UAMI 是一種認證資源,可讓 Microsoft Purview 針對 Azure Active Directory (Azure AD) 進行驗證。
UAMI 是由 Azure 中的使用者管理,而不是由 Azure 本身管理,這可讓您更充分掌控安全性。 UAMI 目前無法與自我裝載整合執行時間搭配使用,Azure SQL。
如需詳細資訊,請參閱 使用者指派的受控識別指南。
服務主體。 服務主體是一種應用程式,可以像任何其他群組或使用者一樣獲指派許可權,而不需要直接與人員相關聯。 服務主體的驗證有到期日,因此對暫存專案很有用。
如需詳細資訊,請參閱 服務主體檔。
SQL 驗證。 使用使用者名稱和密碼連線到 SQL 資料庫。 如需詳細資訊,請參閱 SQL 驗證檔。
如果您需要建立登入,請遵循 本指南來查詢 SQL 資料庫。 使用 本指南來使用 T-SQL 建立登入。
注意事項
請務必選取頁面上的[Azure SQL 資料庫] 選項。
如需使用 SQL 資料庫進行驗證的步驟,請從下列索引標籤中選取您選擇的驗證方法。
注意事項
只有布建程式) 或 master 資料庫中資料庫角色成員 loginmanager 所建立的伺服器層級主體登入 (才能建立新的登入。 Microsoft Purview 帳戶應該能夠在取得許可權約 15 分鐘後掃描資源。
您需要至少
db_datareader具有許可權的 SQL 登入,才能存取 Microsoft Purview 掃描資料庫所需的資訊。 您可以遵循CREATE LOGIN中的指示來建立 Azure SQL Database 的登入。 儲存使用者名稱和密碼以供後續步驟使用。移至Azure 入口網站中的金鑰保存庫。
選取> [設定秘密],然後選取[+ 產生/匯入]。
針對 [名稱 ] 和 [ 值],請使用使用者名稱和密碼 (分別從您的 SQL 資料庫) 。
選取 [建立]。
如果您的金鑰保存庫尚未連線到 Microsoft Purview, 請建立新的金鑰保存庫連線。
使用金鑰來設定掃描,以建立新的認證。
建立掃描
開啟您的 Microsoft Purview 帳戶,然後選取 [開啟 Microsoft Purview 治理入口網站]。
移至[資料對應>來源]以檢視集合階層。
選取您稍早註冊的 SQL 資料庫底下的 [新增掃描 ] 圖示。
若要深入瞭解 Azure SQL 資料庫中的資料譜系,請參閱本文的擷取歷程 (預覽) 一節。
如需掃描步驟,請從下列索引標籤中選取您的驗證方法。
針對 [名稱],提供掃描的名稱。
針對 [資料庫選取方法],選取 [手動輸入]。
針對 [資料庫名稱 ] 和 [ 認證],輸入您稍早建立的值。
針對 [選取連接],選擇掃描的適當集合。
選 取 [測試連線 ] 以驗證連線。 連線成功之後,選取 [ 繼續]。
設定範圍並執行掃描
您可以挑選清單中的適當專案,將掃描範圍設定為特定的資料庫物件。
選取掃描規則集。 您可以使用系統預設值、從現有的自訂規則集中選擇,或建立內嵌的新規則集。 完成後,請選取 [ 繼續 ]。
如果您選取 [新增掃描規則集],則會開啟窗格,讓您可以輸入來源類型、規則集的名稱和描述。 完成後,請選取 [ 繼續 ]。
針對 [選取分類規則],選擇要包含在掃描規則集中的分類規則,然後選取 [ 建立]。
然後,新的掃描規則集會出現在可用的規則集清單中。
選擇掃描觸發程式。 您可以設定排程或執行掃描一次。
檢閱您的掃描,然後選取 [ 儲存並執行]。
檢視掃描
若要檢查掃描的狀態,請移至集合中的資料來源,然後選取 [ 檢視詳細資料]。
掃描詳細資料會以上次 執行狀態指出掃描的進度,以及掃描和分類的資產數目。 上次執行狀態 會更新為 [ 進行中] ,然後在整個掃描成功 執行 之後完成。
管理掃描
執行掃描之後,您可以使用執行歷程記錄來管理它:
在 [ 最近的掃描] 下,選取掃描。
在執行歷程記錄中,您可以選擇再次執行掃描、編輯掃描或刪除掃描。
如果您選取 [ 立即執行掃描 ] 以重新執行掃描,則可以選擇 [ 增量掃描 ] 或 [ 完整掃描]。
掃描疑難排解
如果您有掃描問題,請嘗試下列秘訣:
如需詳細資訊,請檢閱 針對 Microsoft Purview 中的連線進行疑難排解。
設定存取原則
此資料資源支援下列類型的 Microsoft Purview 原則:
Azure SQL資料庫上的存取原則必要條件
- 在這項功能的其中一個目前可用區域中,建立新的Azure SQL資料庫實例,或使用現有的實例。 您可以遵循本指南來建立Azure SQL資料庫實例。
區域支援
支援所有 Microsoft Purview 區域 。
Microsoft Purview 原則的強制執行僅適用于Azure SQL資料庫的下欄區域:
公用雲端:
- 美國東部
- 美國東部 2
- 美國中南部
- 美國中西部
- 美國西部3
- 加拿大中部
- 巴西南部
- 西歐
- 北歐
- 法國中部
- 英國南部
- 南非北部
- 印度中部
- 東南亞
- 東亞
- 澳大利亞東部
主權雲端:
- USGov 維吉尼亞州
- 中國北部 3
針對來自 Microsoft Purview 的原則設定Azure SQL資料庫實例
若要讓與 Azure SQL Database 相關聯的邏輯伺服器接受來自 Microsoft Purview 的原則,您必須設定 Azure Active Directory 系統管理員。在Azure 入口網站中,移至裝載 Azure SQL Database 實例的邏輯伺服器。 在側邊功能表上,選取 [Azure Active Directory]。 將系統管理員名稱設定為您偏好的任何 Azure Active Directory 使用者或群組,然後選取 [ 儲存]。
然後,在側邊功能表上,選取 [ 身分識別]。 在 [系統指派的受控識別] 下,將狀態開 啟,然後選取 [ 儲存]。
設定原則的 Microsoft Purview 帳戶
在 Microsoft Purview 中註冊資料來源
您必須先在 Microsoft Purview Studio 中註冊該資料資源,才能在 Microsoft Purview 中建立資料資源的原則。 您稍後會在本指南中找到與註冊資料資源相關的指示。
注意事項
Microsoft Purview 原則依賴資料資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後再次在 Microsoft Purview 中註冊。
設定許可權以啟用資料來源的資料使用管理
註冊資源之後,但在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟 用資料使用管理。 這適用于資料來源、資源群組或訂用帳戶。 若要啟 用資料使用管理,您必須 同時 擁有資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取系統管理員
若要 (RBAC) 許可權設定 Azure 角色型存取控制,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取資料資源Azure 入口網站中的 [存取控制] 區段,以新增角色指派。
注意事項
資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Azure AD 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者 角色。
如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 資料來源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南。
下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:
- 原則 作者 角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
- 原則 作者 角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主體時輕鬆搜尋 Azure AD 使用者或群組,您可以從取得 Azure AD 中的目錄讀 取者許可權中獲益。 這是 Azure 租使用者中使用者的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入資料原則主體中所包含之所有主體的完整使用者名稱或電子郵件。
設定發佈資料擁有者原則的 Microsoft Purview 許可權
如果您將 Microsoft Purview 原則 作者 和 資料來源系統管理員 角色指派給組織中的不同人員,資料擁有者原則允許檢查和平衡。 資料擁有者原則生效之前, (資料來源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。
若要發佈資料擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的資料來源管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合。
注意事項
若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資料 使用管理的資源之後,任何在根集合層級具有原則 作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。
注意事項
任何 Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的資料 源系統管理員 角色。 將擔任 Microsoft Purview 集合系統管理員、 資料來源系統管理員或原則 作者 角色的使用者降到最低並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則會在相依于特定資料來源的一段時間內停止強制執行。 這項變更可能會影響安全性和資料存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶 的 [存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過Resource Manager鎖定刪除 Microsoft Purview 帳戶。
註冊資料來源並啟用資料使用管理
Azure SQL資料庫資源必須先向 Microsoft Purview 註冊,才能建立存取原則。 若要註冊您的資源,請遵循 本檔中的和一節。
註冊資料來源之後,您必須啟 用資料使用管理。 這是您在資料來源上建立原則之前的必要條件。 資料使用管理 可能會影響資料的安全性,因為它會委派給管理資料來源存取權的特定 Microsoft Purview 角色。 請流覽在 Microsoft Purview 來源上啟用資料使用管理中的安全性做法。
當您的資料來源將 [ 資料使用管理 ] 選項設定為 [ 已啟用] 之後,它看起來會像下列螢幕擷取畫面:
返回 Azure SQL Database 的Azure 入口網站,以確認它現在受到 Microsoft Purview 的控管:
透過此連結登入Azure 入口網站
選取您要設定的Azure SQL伺服器。
移至左窗格中的 [Azure Active Directory ]。
向下捲動至 Microsoft Purview 存取原則。
選取 [ 檢查 Microsoft Purview 控管]按鈕。 處理要求時等候。 這可能需要幾分鐘的時間。
確認 Microsoft Purview 治理狀態顯示
Governed。 請注意,在 Microsoft Purview 中啟用資料使用管理以反映正確的狀態之後,可能需要幾分鐘的時間。
注意事項
如果您停用此Azure SQL資料庫資料來源的資料使用管理,可能需要 24 小時的時間,Microsoft Purview 控管狀態才會自動更新為 Not Governed 。 選取 [檢查 Microsoft Purview 控管] 即可加速此功能。 啟用另一個 Microsoft Purview 帳戶中資料來源的資料 使用管理 之前,請確定 Purview 治理狀態顯示為 Not Governed 。 然後使用新的 Microsoft Purview 帳戶重複上述步驟。
建立原則
若要建立 Azure SQL 資料庫的存取原則,請遵循下列指南:
- 在 Azure SQL 資料庫中布建系統健康情況、效能和稽核資訊的存取權。 使用本指南在單一 SQL 資料庫上套用 DevOps 原則。
- 在單一Azure SQL資料庫上布建讀取/修改存取權。 使用本指南來布建訂用帳戶中單一 SQL 資料庫帳戶的存取權。
- Azure SQL資料庫的自助式存取原則。 使用本指南可讓資料取用者使用自助式工作流程來要求資料資產的存取權。
若要建立涵蓋資源群組或 Azure 訂用帳戶內所有資料來源的原則,請參閱 在 Microsoft Purview 中探索及控管多個 Azure 來源。
擷取歷程 (預覽)
注意事項
目前不支援使用自我裝載整合執行時間或受控 VNET 執行時間和Azure SQL私人端點的譜系。 您必須啟用 Azure 服務,才能在Azure SQL資料庫的網路設定下存取伺服器。 深入瞭解 譜系擷取掃描中的已知限制。
Microsoft Purview 支援來自 Azure SQL Database 的譜系。 當您設定掃描時,會開啟 [譜系擷取 ] 切換以擷取譜系。
設定歷程擷取掃描的必要條件
請遵循本文設定 掃描驗證一 節中的步驟,授權 Microsoft Purview 掃描您的 SQL 資料庫。
使用您的 Azure AD 帳戶登入 Azure SQL Database,並將許可權指派給
db_ownerMicrosoft Purview 受控識別。注意事項
需要 'db_owner' 許可權,因為譜系是以 XEvent 會話為基礎。 因此,Microsoft Purview 需要在 SQL 中管理 XEvent 會話的許可權。
使用下列範例 SQL 語法來建立使用者並授與許可權。 將 取代
<purview-account>為您的帳戶名稱。Create user <purview-account> FROM EXTERNAL PROVIDER GO EXEC sp_addrolemember 'db_owner', <purview-account> GO在 SQL 資料庫上執行下列命令,以建立主要金鑰:
Create master key Go請確定已在您Azure SQL資源的網路/防火牆下啟用 [允許 Azure 服務和資源存取此伺服器]。
建立已開啟歷程擷取的掃描
在設定掃描的窗格上,開啟 [ 啟用譜系擷取 ] 切換。
依照本文的 建立掃描 一節中的步驟,選取您的驗證方法。
成功設定掃描之後,稱為「譜系擷取」的新掃描類型會每隔六小時執行一次增量掃描,以從Azure SQL資料庫擷取譜系。 系統會根據 SQL 資料庫中執行的預存程式來擷取譜系。
搜尋Azure SQL資料庫資產並檢視執行時間譜系
您可以流覽資料目錄或搜尋資料目錄,以檢視Azure SQL資料庫的資產詳細資料。 下列步驟說明如何檢視執行時間譜系詳細資料:
移至資產的 [譜系] 索 引標籤。 適用時,資產譜系會出現在此處。
適用時,您可以進一步向下切入以查看預存程式內 SQL 語句層級的譜系,以及資料行層級譜系。 使用自我裝載Integration Runtime進行掃描時,自 5.25.8374.1 版起,支援在掃描期間擷取歷程向下鑽研資訊。
如需支援Azure SQL資料庫譜系案例的相關資訊,請參閱本文支援的功能一節。 如需一般譜系的詳細資訊,請參閱Microsoft Purview 中的資料譜系和Microsoft Purview 資料目錄譜系使用者指南。
移至預存程式資產。 在 [ 屬性] 索引 標籤上,移至 [相關資產 ] 以取得預存程式的最新執行詳細資料。
選取 [執行] 旁的預存程式超連結,以查看Azure SQL預存程式執行概觀。 移至 [ 屬性] 索 引標籤,以查看預存程式的增強執行時間資訊,例如 executedTime、 rowCount和 用戶端連線。
針對譜系擷取進行疑難排解
下列秘訣可協助您解決與譜系相關的問題:
- 如果在成功執行 譜系擷取 之後未擷取任何譜系,則自您設定掃描之後,可能沒有任何預存程式至少執行過一次。
- 系統會擷取在成功設定掃描之後發生的預存程式執行歷程。 不會擷取來自過去預存程式執行的譜系。
- 如果您的資料庫正在處理大量預存程式執行的繁重工作負載,譜系擷取只會篩選最新的執行。 預存程式會在六小時期間提早執行,否則不會擷取產生大量查詢負載的執行實例。 如果您遺漏任何預存程式執行的歷程,請連絡支援人員。
- 如果預存套裝程式含 drop 或 create 語句,則目前不會在譜系中擷取這些語句
後續步驟
若要深入瞭解 Microsoft Purview 和您的資料,請使用下列指南: