連線並管理 Microsoft Purview 中的 Azure SQL 受控執行個體

本文概述如何註冊和 Azure SQL 受控執行個體，以及如何在 Microsoft Purview 中驗證 Azure SQL 受控執行個體並與之互動。 如需 Microsoft Purview 的詳細資訊，請閱讀簡介 文章。

支援的功能

掃描功能

中繼資料擷取	完整掃描	增量掃描	範圍掃描
是	是	是	是

其他功能

如需 分類、 敏感度標籤、 原則、 資料譜系和 即時檢視，請參閱 支援的功能清單。

必要條件

• 具有作用中訂用帳戶的 Azure 帳戶。 免費創建一個帳戶。

• 作用中的 Microsoft Purview 帳戶。

• 您必須是資料來源系統管理員和資料讀取者，才能在 Microsoft Purview 治理入口網站中註冊來源並加以管理。 如需詳細資訊，請參閱我們的 Microsoft Purview 許可權頁面 。

• 在 Azure SQL 受控執行個體中設定公用端點

  注意事項

  我們現在支援使用 Microsoft Purview 擷取私人端點和自我裝載整合執行階段 VM ，透過私人連線掃描 Azure SQL 受控執行個體。 如需必要條件的詳細資訊，請參閱 連線到 Microsoft Purview 並以私密且安全地掃描數據源

登錄

本節說明如何使用 Microsoft Purview 治理入口網站在 Microsoft Purview 中註冊 Azure SQL 受控執行個體。

註冊驗證

如果您需要建立新的驗證，則需要授權資料庫存取SQL Database SQL 受管理執行個體。 Microsoft Purview 目前支援三種驗證方法：

• 系統或使用者指派的受控識別
• 服務主體
• SQL 驗證

系統或使用者指派的受控識別要註冊

注意事項

如果您使用私人端點連線到 Microsoft Purview，則不支援受控識別。

您可以使用 Microsoft Purview 系統指派的受控識別 (SAMI) ，或 使用者指派的受控識別 (UAMI) 來進行驗證。 這兩個選項都可讓您將驗證直接指派給 Microsoft Purview，就像您指派任何其他使用者、群組或服務主體一樣。 建立帳戶時，會自動建立 Microsoft Purview 系統指派的受控識別，而且名稱與您的 Microsoft Purview 帳戶相同。 使用者指派的受控識別是可獨立建立的資源。 若要建立一個，您可以遵循我們的 使用者指派的受控識別指南。

您可以遵循下列步驟，在 Azure 入口網站 中找到您的受控識別物件識別碼：

針對 Microsoft Purview 帳戶的系統指派受控識別：

1. 開啟 Azure 入口網站，然後流覽至您的 Microsoft Purview 帳戶。
2. 選取左側功能表上的 [屬性] 索引標籤。
3. 選取 受控識別物件識別碼 值並複製它。

針對使用者指派的受控識別 (預覽) ：

1. 開啟 Azure 入口網站，然後流覽至您的 Microsoft Purview 帳戶。
2. 選取左側功能表上的 [受控識別] 索引標籤
3. 選取使用者指派的受控識別，選取預期的身分識別以檢視詳細數據。
4. 物件 (主體) ID 會顯示在概觀基本區段中。

任一受控識別都需要許可權，才能取得資料庫、結構描述和資料表的中繼資料，以及查詢資料表以進行分類。

• 遵循建立對應至 Microsoft Entra 身分識別的自主使用者上的必要條件和教學課程，在 Azure SQL 受控執行個體中建立 Microsoft Entra 使用者
• 將權限指派 db_datareader 給身分。

要註冊的服務主體

有數個步驟可讓 Microsoft Purview 使用服務主體來掃描您的 Azure SQL 受控執行個體。

建立或使用現有的服務主體

若要使用服務主體，您可以使用現有的服務主體或建立新的服務主體。 如果您要使用現有的服務主體，請跳至下一個步驟。 如果您必須建立新的服務主體，請遵循下列步驟：

1. 瀏覽至 Azure 入口網站。
2. 從左側功能表中選取 [Microsoft Entra ID]。
3. 選取 [應用程式註冊]。
4. 選取 [+ 新增應用程式註冊]。
5. 輸入 應用程式 的名稱 (服務主體名稱) 。
6. 選取 [僅限此組織目錄中的帳戶]。
7. 針對 [重新導向 URI]，選取 [Web ] 並輸入您想要的任何 URL;它不一定是真實的或有效的。
8. 然後選取 [註冊]。

在資料庫帳戶中設定 Microsoft Entra 驗證

服務主體必須具有取得資料庫、結構描述和資料表中繼資料的許可權。 它也必須能夠查詢要取樣的資料表以進行分類。

• 使用 Azure SQL 設定和管理 Microsoft Entra 驗證
• 遵循建立對應至 Microsoft Entra 身分識別的自主使用者上的必要條件和教學課程，在 Azure SQL 受控執行個體中建立 Microsoft Entra 使用者
• 將權限指派 db_datareader 給身分。

將服務主體新增至金鑰保存庫和 Microsoft Purview 的認證

必須取得服務主體的應用程式識別碼和秘密：

1. 流覽至 Azure 入口網站中的服務主體
2. 從「概觀」複製應用程式 (用戶端) 識別碼，並從「憑證」複製「用戶端密碼」& 密碼。
3. 流覽至您的金鑰保存庫
4. 選取 設定 > 密碼
5. 選取 [+ 產生/匯入]，然後輸入您選擇的 [名稱] 和 [值] 作為服務主體的用戶端密碼
6. 選取 [ 建立 ] 以完成
7. 如果您的金鑰保存庫尚未連線到 Microsoft Purview，您必須 建立新的金鑰保存庫連線
8. 最後，使用服務主體建立 新的認證 來設定掃描。

要註冊的 SQL 驗證

注意事項

只有布建程序) 或 master 資料庫中資料庫角色成員 loginmanager 所建立的伺服器層級主體登入 (才能建立新的登入。 授與許可權之後大約需要 15 分鐘 ，Microsoft Purview 帳戶應該具有適當的許可權，才能掃描資源 () 。

如果您沒有可用的此登入，您可以遵循 CREATE LOGIN 中的指示來建立 Azure SQL 受控執行個體的登入。 您需要 使用者名稱 和 密碼 才能執行後續步驟。

1. 在 Azure 入口網站 中流覽至金鑰保存庫
2. 選取 設定 > 密碼
3. 選取 [+ 產生/匯入]，然後輸入 [名稱] 和 [值] 作為 Azure SQL 受控執行個體的密碼
4. 選取 [ 建立 ] 以完成
5. 如果您的金鑰保存庫尚未連線到 Microsoft Purview，您必須 建立新的金鑰保存庫連線
6. 最後，使用使用者名稱和密碼建立新憑證來設定掃描。

註冊步驟

1. 透過下列方式開啟 Microsoft Purview 治理入口網站：

   • 直接 https://web.purview.azure.com 流覽並選取您的 Microsoft Purview 帳戶。
   • 開啟 Azure 入口網站，搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站] 按鈕。

2. 導覽至 資料對應。

3. 選擇 註冊

4. 選取 [Azure SQL 受控執行個體]，然後選取 [繼續]。

5. 選取 [ 從 Azure 訂用帳戶]，從 [Azure 訂用帳戶 ] 下拉式方塊中選取適當的訂用帳戶，並從 [ 伺服器名稱 ] 下拉式方塊中選取適當的伺服器。

6. 提供 公用端點完整網域名稱 和 連接埠號碼。 然後選取 [註冊] 以註冊資料來源。

   

   比如： foobar.public.123.database.windows.net,3342

掃描

請遵循下列步驟掃描 Azure SQL 受控執行個體，以自動識別資產並分類您的資料。 如需一般掃描的詳細資訊，請參閱我們的 掃描和擷取簡介。

建立並執行掃描

若要建立並執行新的掃描，請完成下列步驟：

1. 選取 Microsoft Purview 治理入口網站左窗格中的 [ 資料對應 ] 索引標籤。

2. 選取您註冊的 Azure SQL 受控執行個體來源。

3. 選取 [ 新增掃描]

4. 如果您的來源可公開存取，請選擇 Azure 整合執行階段，如果使用受控虛擬網路，請選擇 受控虛擬網路整合執行階段 ，如果您的來源位於私人虛擬網路中，請選擇標準或 Kubernetes 支援的自我裝載整合執行階段。 如需要使用的整合執行階段的詳細資訊，請參閱 選擇正確的整合執行階段設定一文。

5. 選取要連線至資料來源的認證。

   

6. 您可以透過在清單中選擇適當的項目來將掃描範圍限定為特定表格。

   

7. 然後選取掃描規則集。 您可以在系統預設值、現有自訂規則集之間進行選擇，或內嵌建立新的規則集。

   

8. 選擇您的掃描觸發器。 您可以設定排程或執行掃描一次。

   

9. 檢閱您的掃描，然後選取儲存並執行。

如果您在連線到資料來源或執行掃描時遇到問題，請參閱掃描 和連線的疑難排解指南。

檢視掃描和掃描執行

若要檢視現有掃描：

1. 移至 Microsoft Purview 入口網站。 在左窗格中，選取 資料對應。
2. 選取資料來源。 您可以在 「最近掃描」下檢視該資料來源上現有的掃描清單，也可以在 「掃描」 標籤上檢視所有掃描。
3. 選取具有您要檢視結果的掃描。 窗格會顯示所有先前的掃描執行，以及每個掃描執行的狀態和度量。
4. 選取執行 ID 以檢查 掃描執行詳細資料。

管理您的掃描

若要編輯、取消或刪除掃描：

1. 移至 Microsoft Purview 入口網站。 在左窗格中，選取 資料對應。

2. 選取資料來源。 您可以在 「最近掃描」下檢視該資料來源上現有的掃描清單，也可以在 「掃描」 標籤上檢視所有掃描。

3. 選取您要管理的掃描。 然後您可以：

   • 選取編輯 掃描，以編輯掃描。
   • 選取 [取消掃描執行] 來取消進行中的掃描。
   • 選取 [刪除掃描] 來刪除掃描。

注意事項

• 刪除掃描不會刪除從先前掃描建立的型錄資產。

設定存取原則

此數據資源支援下列類型的 Microsoft Purview 原則：

• DevOps 原則

Azure SQL MI 上的存取原則必要條件

• 建立新的 Azure SQL MI，或在目前可用的其中一個區域中使用現有的 MI 此功能。 您可以遵循本指南來建立新的 Azure SQL MI。

區域支援

支援所有 Microsoft Purview 區域 。

Microsoft Purview 原則的強制執行僅適用於下列 Azure SQL MI 區域：

公有雲：

• 美國東部
• 美國東部2
• 美國中南部
• 美國中西部
• 美國西部3
• 加拿大中部
• 巴西南部
• 西歐
• 北歐
• 法國中部
• 英國南部
• 南非北部
• 印度中部
• 東南亞
• 東亞
• 澳大利亞東部

Azure SQL MI 設定

本節說明如何設定 Azure SQL MI 以接受來自 Microsoft Purview 的原則。 請先檢查 Azure SQL MI 是否已針對公用或私人端點進行設定。 本指南說明如何執行此操作。

SQL MI 公用端點的設定

如果針對公用端點設定 Azure SQL MI，請遵循下列步驟：

• 設定Microsoft Entra 管理員。在Azure 入口網站中，導覽至Azure SQL MI，然後導覽至側邊功能表上的 Microsoft Entra ID (先前稱為 Active Directory 管理) 。 設定管理員名稱，然後選取儲存。

• 然後導航到側邊菜單上的身份。 在 [系統指派的受控識別] 底下，將狀態檢查為 [開啟]，然後選取 [儲存]。 看截圖：

  

SQL MI 私人端點的設定

如果 Azure SQL MI 設定為使用私人端點，請執行公用端點設定中所述的相同步驟，此外，請執行下列動作：

• 流覽至 [網路安全性群組] ( 與您的 Azure SQL MI 相關聯的 NSG) 。

• 新增輸出安全性規則，類似下列螢幕擷取畫面中的規則。 目的地 = 服務標籤、目的地服務標籤 = MicrosoftPurviewPolicyDistribution、服務 = HTTPS、動作 = 允許。 也請確定此規則的優先順序低於 deny_all_outbound 規則的優先順序。

  

設定原則的 Microsoft Purview 帳戶

在 Microsoft Purview 中註冊資料來源

在 Microsoft Purview 中為資料資源建立原則之前，您必須在 Microsoft Purview Studio 中註冊該資料資源。 您將在本指南稍後找到與註冊資料資源相關的指示。

注意事項

Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶，則必須取消註冊，然後在 Microsoft Purview 中重新註冊。

設定許可權以在資料來源上啟用資料原則強制執行

註冊資源之後，在 Microsoft Purview 中為該資源建立原則之前，您必須設定許可權。 需要一組許可權，才能啟用 資料原則強制執行。 這適用於資料來源、資源群組或訂用帳戶。 若要啟用 資料原則強制執行， 您必須同時具有 資源的特定身分識別和存取管理 (IAM) 許可權，以及特定的 Microsoft Purview 許可權：

• 您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合，或其任何父項 (，也就是使用 IAM 許可繼承) ：

  • IAM 擁有者
  • IAM 參與者和 IAM 使用者存取管理員

  若要設定 Azure 角色型存取控制 (RBAC) 許可權，請遵循 本指南。 下列螢幕擷取畫面顯示如何存取 Azure 入口網站中的 [存取控制] 區段，讓資料資源新增角色指派。

  

  注意事項

  資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體持有或正在繼承資源的 IAM 擁有者角色。

• 如果您) 已啟用繼承，您也必須具有集合的 Microsoft Purview 數據源系統管理員 角色，或父集合 (。 如需詳細資訊，請參閱 管理 Microsoft Purview 角色指派的指南。

  下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。

  

設定 Microsoft Purview 許可權以建立、更新或刪除存取原則

若要建立、更新或刪除原則，您必須在根集合層級取得 Microsoft Purview 中的原則作者角色：

• 原則作者角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
• 原則作者角色可以刪除自助式存取原則。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱 在 Microsoft Purview 資料對應中建立和管理集合。

注意事項

原則作者角色必須在根集合層級設定。

此外，若要在建立或更新原則主旨時輕鬆搜尋 Microsoft Entra 使用者或群組，您可以從取得 Microsoft Entra ID 中的目錄讀取者權限中獲益匪淺。 這是 Azure 租用戶中使用者的通用許可權。 如果沒有目錄讀取者權限，原則作者必須輸入資料原則主旨中包含的所有主體的完整使用者名稱或電子郵件。

設定 Microsoft Purview 許可權以發佈資料擁有者原則

如果您將 Microsoft Purview 原則作者 和 資料來源系統管理員 角色指派給組織中的不同人員，則資料擁有者原則允許檢查和平衡。 在資料擁有者原則生效之前，第二個人員 (資料來源管理員) 必須檢閱它，並透過發佈來明確核准它。 這不適用於 DevOps 或自助式存取原則，因為建立或更新這些原則時會自動發佈這些原則。

若要發佈資料擁有者原則，您必須在根集合層級的 Microsoft Purview 中取得資料來源系統管理員角色。

如需管理 Microsoft Purview 角色指派的詳細資訊，請參閱 在 Microsoft Purview 資料對應中建立和管理集合。

注意事項

若要發佈資料擁有者原則，必須在根集合層級設定資料來源系統管理員角色。

將存取布建責任委派給 Microsoft Purview 中的角色

啟用資源以強制 執行資料原則之後，任何在根集合層級具有 原則作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。

注意事項

任何 Microsoft Purview 根 集合系統管理員 都可以將新使用者指派給根 原則 撰寫者角色。 任何 集合管理員 都可以將新使用者指派給集合下的 資料來源管理員 角色。 將持有 Microsoft Purview 集合系統管理員、 數據源系統管理員或 原則作者 角色的使用者最小化並仔細審查。

如果刪除具有已發佈原則的 Microsoft Purview 帳戶，這類原則將會在取決於特定資料來源的時間量內停止強制執行。 此變更可能會對安全性和資料存取可用性產生影響。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以移至 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段，然後選取 [角色指派] 來檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除 Microsoft Purview 帳戶。

在 Microsoft Purview 中註冊資料來源

您必須先向 Microsoft Purview 註冊 Azure SQL 受控執行個體資料來源，才能建立存取原則。 您可以遵循本指南中的「必要條件」和「註冊資料來源」一節：

註冊並掃描 Azure SQL MI

註冊資源之後，您必須啟用資料原則強制執行 (先前的資料使用管理) 。 數據原則強制執行需要特定許可權，而且可能會影響數據的安全性，因為它會委派給特定 Microsoft Purview 角色管理數據源存取權的能力。 在本指南中瞭解與資料原則強制執行相關的安全實務：如何啟用資料原則強制執行

一旦您的資料來源具有 [已啟用資料原則強制執行] 切換，它看起來會像此螢幕擷取畫面所示。 這可讓存取原則與指定的資料來源搭配使用

返回 Azure SQL 資料庫的 Azure 入口網站，以確認它現在受 Microsoft Purview 控管：

1. 透過此連結登入 Azure 入口網站。

2. 選取您要設定的 Azure SQL Server。

3. 移至左窗格中的 Microsoft Entra ID。

4. 向下捲動至 Microsoft Purview 存取原則。

5. 選取按鈕以 檢查 Microsoft Purview 治理。 等待處理請求，這可能需要幾分鐘的時間。

   

6. 確認 Microsoft Purview 治理狀態顯示 [ 已受控管]。 請注意，在 Microsoft Purview 中啟用數據原則強制執行之後，可能需要幾分鐘的時間才能反映正確的狀態。

注意事項

如果您在 Microsoft Purview 中停用此 Azure SQL 資料庫數據源的數據原則強制執行，請選取 [檢查 Microsoft Purview 治理]，以將 Microsoft Purview 治理狀態更新為 [未受控管]。 每次變更 Microsoft Purview 中現有或新存取原則的資料原則強制執行狀態時，都必須針對受影響的資料來源執行此步驟。 在另一個 Microsoft Purview 帳戶中啟用數據 源的數據原則強制執行 之前，請確定 Purview 控管狀態顯示為 [ 未受控管]。 然後使用新的 Microsoft Purview 帳戶重複上述步驟。

建立原則

若要建立 Azure SQL MI 的存取原則，請遵循下列指南：

• 若要在單一 Azure SQL MI 上建立 DevOps 原則，請參閱在 Azure SQL MI 中佈建系統健康情況、效能和稽核資訊的存取權。
• 若要建立涵蓋資源群組或 Azure 訂用帳戶內所有資料來源的原則，請參閱 在 Microsoft Purview 中探索和管理多個 Azure 來源。

後續步驟

現在您已註冊來源，請遵循下列指南，以深入瞭解 Microsoft Purview 和您的數據。

• Microsoft Purview DevOps 原則的概念
• Microsoft Purview 中的資料資產深入解析
• Microsoft Purview 中的譜系
• 搜尋整合式目錄