Bereitstellen des Lesezugriffs auf Azure Arc-fähige SQL Server 2022 mithilfe von Microsoft Purview-Datenbesitzerrichtlinien (Vorschau)
Wichtig
Dieses Feature ist derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Datenbesitzerrichtlinien sind eine Art von Microsoft Purview-Zugriffsrichtlinien. Sie ermöglichen es Ihnen, den Zugriff auf Benutzerdaten in Quellen zu verwalten, die für die Erzwingung von Datenrichtlinien in Microsoft Purview registriert wurden. Diese Richtlinien können direkt im Microsoft Purview-Governanceportal erstellt werden und werden nach der Veröffentlichung von der Datenquelle erzwungen.
In diesem Leitfaden wird beschrieben, wie ein Datenbesitzer Erstellungsrichtlinien in Microsoft Purview delegieren kann, um den Zugriff auf azure Arc-fähige SQL Server zu ermöglichen. Die folgenden Aktionen sind derzeit aktiviert: Lesen. Diese Aktion wird nur für Richtlinien auf Serverebene unterstützt. Ändern wird zu diesem Zeitpunkt nicht unterstützt.
Voraussetzungen
Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.
Ein neues oder vorhandenes Microsoft Purview-Konto. Befolgen Sie diese Schnellstartanleitung, um eine zu erstellen.
- Rufen Sie SQL Server lokale Version 2022 ab, und installieren Sie sie. Versionen 2022 oder neuere Versionen werden sowohl unter Windows als auch unter Linux unterstützt. Sie können die kostenlose Developer Edition ausprobieren.
- Konfigurieren Sie Ihre Berechtigungen, und registrieren Sie dann eine Liste der Ressourcenanbieter in dem Abonnement, das Sie für das Onboarding der SQL Server instance in Azure Arc verwenden.
- Erfüllen Sie die Voraussetzungen, und integrieren Sie die SQL Server instance mit Azure Arc. Eine einfache Konfiguration für Windows SQL Server finden Sie hier. Eine alternative Konfiguration für Linux SQL Server finden Sie hier.
- Aktivieren Sie Microsoft Entra Authentifizierung in SQL Server. Führen Sie für eine einfachere Einrichtung die in diesem Artikelbeschriebenen Voraussetzungen und den Prozess aus.
- Denken Sie daran, Anwendungsberechtigungen zu erteilen und die Administratoreinwilligung zu erteilen.
- Sie müssen einen Microsoft Entra Administrator für die SQL Server instance konfigurieren, aber es ist nicht erforderlich, andere Microsoft Entra Anmeldungen oder Benutzer einzurichten. Sie gewähren diesen Benutzern Zugriff mithilfe von Microsoft Purview-Richtlinien.
Regionsunterstützung
Die Erzwingung von Datenrichtlinien ist in allen Microsoft Purview-Regionen verfügbar, außer:
- USA, Westen2
- Ostasien
- US Gov Virginia
- China, Norden 3
Sicherheitsüberlegungen für azure Arc-fähige SQL Server
- Der Serveradministrator kann die Microsoft Purview-Richtlinienerzwingung deaktivieren.
- Azure Arc-Administrator- und Serveradministratorberechtigungen bieten die Möglichkeit, den Azure Resource Manager Pfad des Servers zu ändern. Da Zuordnungen in Microsoft Purview Resource Manager Pfade verwenden, kann dies zu falschen Richtlinienerzwingungen führen.
- Ein SQL Server-Administrator (Datenbankadministrator) kann die Leistungsfähigkeit eines Serveradministrators erlangen und die zwischengespeicherten Richtlinien von Microsoft Purview manipulieren.
- Die empfohlene Konfiguration besteht darin, für jede SQL Server-instance eine separate App-Registrierung zu erstellen. Diese Konfiguration verhindert, dass der zweite SQL Server instance die Richtlinien für den ersten SQL Server instance liest, falls ein nicht autorisierter Administrator im zweiten SQL Server instance den Resource Manager Pfad manipuliert.
Überprüfen der Voraussetzungen
Melden Sie sich über diesen Link beim Azure-Portal an.
Navigieren Sie im linken Bereich zu SQL Server . Es wird eine Liste der SQL Server-Instanzen in Azure Arc angezeigt.
Wählen Sie die SQL Server instance aus, die Sie konfigurieren möchten.
Wechseln Sie im linken Bereich zu Microsoft Entra ID.
Stellen Sie sicher, dass Microsoft Entra-Authentifizierung mit einer Administratoranmeldung konfiguriert ist. Wenn dies nicht der Fall ist, lesen Sie den Abschnitt Voraussetzungen für Zugriffsrichtlinien in diesem Leitfaden.
Stellen Sie sicher, dass ein Zertifikat für bereitgestellt wurde, damit SQL Server sich bei Azure authentifizieren können. Wenn dies nicht der Fall ist, lesen Sie den Abschnitt Voraussetzungen für Zugriffsrichtlinien in diesem Leitfaden.
Stellen Sie sicher, dass eine App-Registrierung eingegeben wurde, um eine Vertrauensstellung zwischen SQL Server und Microsoft Entra ID zu erstellen. Wenn dies nicht der Fall ist, lesen Sie den Abschnitt Voraussetzungen für Zugriffsrichtlinien in diesem Leitfaden.
Wenn Sie Änderungen vorgenommen haben, wählen Sie die Schaltfläche Speichern aus, um die Konfiguration zu speichern und zu warten, bis der Vorgang erfolgreich abgeschlossen wurde. Dies kann einige Minuten dauern. Die Meldung "Saved successfully" (Erfolgreich gespeichert) wird oben auf der Seite in grünem Hintergrund angezeigt. Möglicherweise müssen Sie einen Bildlauf nach oben ausführen, um es anzuzeigen.
Microsoft Purview-Konfiguration
Registrieren der Datenquelle in Microsoft Purview
Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.
Hinweis
Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.
Konfigurieren von Berechtigungen zum Aktivieren der Datenrichtlinienerzwingung für die Datenquelle
Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datenrichtlinienerzwingung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Erzwingung von Datenrichtlinien zu aktivieren, müssen Sie sowohl über bestimmte Identitäts- und Zugriffsverwaltungsberechtigungen (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:
Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:
- IAM-Besitzer
- Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator
Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.
Hinweis
Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Microsoft Entra Benutzer, Gruppen und Dienstprinzipale die ROLLE IAM-Besitzer für die Ressource besitzen oder erben.
Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.
Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.
Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien
Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:
- Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
- Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.
Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.
Hinweis
Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.
Wenn Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie problemlos Microsoft Entra Benutzer oder Gruppen durchsuchen möchten, können Sie außerdem davon profitieren, dass Sie die Berechtigung Verzeichnisleseberechtigte in Microsoft Entra ID erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.
Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien
Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.
Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.
Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.
Hinweis
Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.
Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview
Nachdem eine Ressource für die Erzwingung von Datenrichtlinien aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.
Hinweis
Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.
Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.
Registrieren von Datenquellen in Microsoft Purview
Registrieren Sie jede Datenquelle bei Microsoft Purview, um später Zugriffsrichtlinien zu definieren.
Melden Sie sich bei Microsoft Purview Studio an.
Navigieren Sie im linken Bereich zum Feature Data Map , wählen Sie Quellen und dann Registrieren aus. Geben Sie "Azure Arc" in das Suchfeld ein, und wählen Sie SQL Server in Azure Arc aus. Wählen Sie dann Weiter aus.
Geben Sie einen Namen für diese Registrierung ein. Es empfiehlt sich, den Namen der Registrierung im nächsten Schritt mit dem Servernamen zu identisch zu machen.
Wählen Sie ein Azure-Abonnement, einen Servernamen und einen Serverendpunkt aus.
Wählen Sie eine Sammlung aus, in der diese Registrierung abgelegt werden soll.
Aktivieren Sie die Erzwingung von Datenrichtlinien. Die Erzwingung von Datenrichtlinien erfordert bestimmte Berechtigungen und kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen delegiert wird, um den Zugriff auf die Datenquellen zu verwalten. Gehen Sie die sicheren Methoden im Zusammenhang mit der Erzwingung von Datenrichtlinien in diesem Leitfaden durch: Aktivieren der Datenrichtlinienerzwingung
Wählen Sie unten Registrieren oder Übernehmen aus.
Sobald für Ihre Datenquelle der Umschalter Datenrichtlinienerzwingungaktiviert ist, sieht sie wie in dieser Abbildung aus.
Aktivieren von Richtlinien in azure Arc-fähigen SQL Server
In diesem Abschnitt werden die Schritte zum Konfigurieren von SQL Server in Azure Arc für die Verwendung von Microsoft Purview beschrieben. Führen Sie diese Schritte aus, nachdem Sie die Option Datenrichtlinienerzwingung für diese Datenquelle im Microsoft Purview-Konto aktiviert haben.
Melden Sie sich über diesen Link beim Azure-Portal an.
Navigieren Sie im linken Bereich zu SQL Server . Es wird eine Liste der SQL Server-Instanzen in Azure Arc angezeigt.
Wählen Sie die SQL Server instance aus, die Sie konfigurieren möchten.
Wechseln Sie im linken Bereich zu Microsoft Entra ID.
Scrollen Sie nach unten zu Microsoft Purview-Zugriffsrichtlinien.
Wählen Sie die Schaltfläche "Nach Microsoft Purview-Governance suchen" aus. Warten Sie, während die Anforderung verarbeitet wird. In diesem Fall wird diese Meldung oben auf der Seite angezeigt. Möglicherweise müssen Sie einen Bildlauf nach oben ausführen, um es anzuzeigen.
Vergewissern Sie sich unten auf der Seite, dass im Microsoft Purview-Governancestatus angezeigt wird
Governed
. Beachten Sie, dass es bis zu 30 Minuten dauern kann, bis die richtige status widerzuspiegeln ist. Fahren Sie mit einer Browseraktualisierung fort, bis dies geschieht.Vergewissern Sie sich, dass der Microsoft Purview-Endpunkt auf das Microsoft Purview-Konto verweist, in dem Sie diese Datenquelle registriert und die Erzwingung der Datenrichtlinie aktiviert haben.
Erstellen und Veröffentlichen einer Datenbesitzerrichtlinie
Führen Sie die Schritte in den Abschnitten Erstellen einer neuen Richtlinie und Veröffentlichen einer Richtlinie des Tutorials zum Erstellen von Datenbesitzerrichtlinien aus. Das Ergebnis ist eine Datenbesitzerrichtlinie ähnlich wie im Beispiel:
Beispiel: Leserichtlinie. Diese Richtlinie weist die Microsoft Entra Prinzipal "sg-Finance" der SQL-Datenleseraktion im Bereich von SQL Server DESKTOP-xxx zu. Diese Richtlinie wurde auch auf diesem Server veröffentlicht. Beachten Sie, dass Richtlinien im Zusammenhang mit dieser Aktion unterhalb der Serverebene nicht unterstützt werden.
Hinweis
- Da die Überprüfung für diese Datenquelle derzeit nicht verfügbar ist, können Datenleserichtlinien nur auf Serverebene erstellt werden. Verwenden Sie das Feld Datenquellen anstelle des Felds Medienobjekt, wenn Sie die Datenressourcen erstellen, die Teil der Richtlinie sind.
- Es gibt ein bekanntes Problem mit SQL Server Management Studio, das verhindert, dass mit der rechten Maustaste auf eine Tabelle geklickt und die Option "Top 1000 Zeilen auswählen" ausgewählt wird.
Wichtig
- Veröffentlichen ist ein Hintergrundvorgang. Es kann bis zu 5 Minuten dauern, bis die Änderungen in dieser Datenquelle widerzuspiegeln sind.
- Zum Ändern einer Richtlinie ist kein neuer Veröffentlichungsvorgang erforderlich. Die Änderungen werden mit dem nächsten Pull übernommen.
Aufheben der Veröffentlichung einer Datenbesitzerrichtlinie
Folgen Sie diesem Link, um die Veröffentlichung einer Datenbesitzerrichtlinie in Microsoft Purview aufzuheben.
Aktualisieren oder Löschen einer Datenbesitzerrichtlinie
Folgen Sie diesem Link, um die Schritte zum Aktualisieren oder Löschen einer Datenbesitzerrichtlinie in Microsoft Purview anzuzeigen.
Testen der Richtlinie
Nachdem die Richtlinie veröffentlicht und der Datenquelle mitgeteilt wurde, sollte jeder der Microsoft Entra Benutzer im Betreff eine Verbindung herstellen und eine Abfrage ausführen können, die auf die Ressourcen abzielt, auf die die Richtlinie Zugriff gewährt hat. Verwenden Sie zum Testen SSMS oder einen beliebigen SQL-Client, und versuchen Sie, eine Abfrage auszuführen. Versuchen Sie beispielsweise, auf eine SQL-Tabelle zuzugreifen, für die Sie Lesezugriff gewährt haben.
Wenn Sie eine zusätzliche Problembehandlung benötigen, lesen Sie den Abschnitt Nächste Schritte in diesem Leitfaden.
Rollendefinitionsdetails
Dieser Abschnitt enthält einen Verweis darauf, wie relevante Microsoft Purview-Datenrichtlinienrollen bestimmten Aktionen in SQL-Datenquellen zugeordnet werden.
Microsoft Purview-Richtlinienrollendefinition | Datenquellenspezifische Aktionen |
---|---|
Lesen | Microsoft.Sql/sqlservers/Connect |
Microsoft.Sql/sqlservers/databases/Connect | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Tables/Rows | |
Microsoft.Sql/Sqlservers/Databases/Schemas/Views/Rows | |
Nächste Schritte
Sehen Sie sich Blog, Demo und zugehörige Anleitungen an
- Dokumentation: Konzepte für Microsoft Purview-Datenbesitzerrichtlinien
- Dokumentation: Microsoft Purview-Datenbesitzerrichtlinien für alle Datenquellen in einem Abonnement oder einer Ressourcengruppe
- Dokumentation: Microsoft Purview-Datenbesitzerrichtlinien für eine Azure SQL-Datenbank
- Dokumentation: Problembehandlung bei Microsoft Purview-Richtlinien für SQL-Datenquellen
- Blog: Gewähren des Zugriffs auf Datenressourcen in Ihrem Unternehmen über die API