Tutorial: Problembehandlung bei Microsoft Purview-Richtlinien für SQL-Datenquellen

In diesem Tutorial erfahren Sie, wie Sie SQL-Befehle ausgeben, um die Microsoft Purview-Richtlinien zu überprüfen, die an die SQL-instance übermittelt wurden, wo sie erzwungen werden. Außerdem erfahren Sie, wie Sie einen Download der Richtlinien in die SQL-instance erzwingen. Diese Befehle werden nur zur Problembehandlung verwendet und sind während des normalen Betriebs von Microsoft Purview-Richtlinien nicht erforderlich. Diese Befehle erfordern eine höhere Berechtigungsstufe im SQL-instance.

Weitere Informationen zu Microsoft Purview-Richtlinien finden Sie in den Konzeptleitfäden im Abschnitt Nächste Schritte .

Voraussetzungen

• Ein Azure-Abonnement. Wenn Sie noch kein Abonnement besitzen, erstellen Sie ein kostenloses Abonnement.
• Ein Microsoft Purview-Konto. Wenn Sie noch kein Konto besitzen, finden Sie weitere Informationen in der Schnellstartanleitung zum Erstellen eines Microsoft Purview-Kontos.
• Registrieren sie eine Datenquelle, aktivieren Sie die Datenrichtlinienerzwingung, und erstellen Sie eine Richtlinie. Verwenden Sie dazu einen der Microsoft Purview-Richtlinienleitfäden. Um den Beispielen in diesem Tutorial zu folgen, können Sie eine DevOps-Richtlinie für Azure SQL-Datenbank erstellen.

Testen der Richtlinie

Nachdem Sie eine Richtlinie erstellt haben, sollten die Microsoft Entra Prinzipale, auf die im Betreff der Richtlinie verwiesen wird, eine Verbindung mit jeder Datenbank auf dem Server herstellen können, auf dem die Richtlinien veröffentlicht werden.

Erzwingen des Richtliniendownloads

Es ist möglich, einen sofortigen Download der neuesten veröffentlichten Richtlinien in die aktuelle SQL-Datenbank zu erzwingen, indem Sie den folgenden Befehl ausführen. Die minimale Berechtigung, die zum Ausführen der Mitgliedschaft in der ##MS_ServerStateManager###-serverrolle erforderlich ist.

-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload

Analysieren des Status der heruntergeladenen Richtlinie aus SQL

Die folgenden DMVs können verwendet werden, um zu analysieren, welche Richtlinien heruntergeladen wurden und derzeit Microsoft Entra Prinzipalen zugewiesen sind. Die minimale Berechtigung, die zum Ausführen erforderlich ist, ist VIEW DATABASE SECURITY STATE – oder zugewiesene Aktionsgruppe SQL-Sicherheitsprüfer.

-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions

-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles

-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions

-- Lists all Azure AD principals that were given connect permissions  
SELECT * FROM sys.dm_server_external_policy_principals

-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members

-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions

Nächste Schritte

Konzeptleitfäden für Microsoft Purview-Zugriffsrichtlinien:

• DevOps-Richtlinien
• Self-Service-Zugriffsrichtlinien
• Richtlinien für Datenbesitzer