Creare, elencare, aggiornare ed eliminare i criteri di Microsoft Purview DevOps
I criteri DevOps sono un tipo di criteri di accesso di Microsoft Purview. È possibile usarli per gestire l'accesso ai metadati di sistema nelle origini dati registrate per l'applicazione dei criteri di dati in Microsoft Purview.
È possibile configurare i criteri DevOps direttamente dal portale di governance di Microsoft Purview. Dopo il salvataggio, vengono pubblicati automaticamente e quindi applicati dall'origine dati. I criteri di Microsoft Purview gestiscono solo l'accesso per le entità Microsoft Entra.
Questa guida illustra i passaggi di configurazione in Microsoft Purview per effettuare il provisioning dell'accesso ai metadati del sistema di database usando le azioni dei criteri DevOps per i ruoli sql Monitor prestazioni e revisore della sicurezza SQL. Illustra come creare, elencare, aggiornare ed eliminare criteri DevOps.
Prerequisiti
Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Un account Microsoft Purview nuovo o esistente. Seguire questa guida di avvio rapido per crearne una.
Configurazione
Prima di creare criteri nel portale dei criteri di Microsoft Purview, è necessario configurare le origini dati in modo che possano applicare tali criteri:
- Seguire i prerequisiti specifici dei criteri per l'origine. Controllare la tabella delle origini dati supportate da Microsoft Purview e selezionare il collegamento nella colonna Criteri di accesso per le origini in cui sono disponibili i criteri di accesso. Seguire i passaggi elencati nelle sezioni "Criteri di accesso" e "Prerequisiti".
- Registrare l'origine dati in Microsoft Purview. Seguire le sezioni "Prerequisiti" e "Registra" delle pagine di origine per le risorse.
- Attivare l'interruttore Imposizione criteri dati nella registrazione dell'origine dati. Per altre informazioni, incluse le autorizzazioni aggiuntive necessarie per questo passaggio, vedere Abilitare l'applicazione dei criteri di dati nelle origini Microsoft Purview.
Creare un nuovo criterio DevOps
Per creare un criterio DevOps, assicurarsi innanzitutto di avere il ruolo Microsoft Purview Policy Author a livello di raccolta radice. Vedere la sezione relativa alla gestione delle assegnazioni di ruolo di Microsoft Purview in questa guida. Quindi seguire la procedura seguente:
Accedere al portale di governance di Microsoft Purview.
Nel riquadro sinistro selezionare Criteri dati. Selezionare quindi Criteri DevOps.
Selezionare il pulsante Nuovo criterio .
Verrà visualizzato il pannello dei dettagli dei criteri.
In Tipo di origine dati selezionare un'origine dati. In Nome origine dati selezionare una delle origini dati elencate. Fare quindi clic su Seleziona per tornare al riquadro Nuovo criterio .
Selezionare uno dei due ruoli, Monitoraggio delle prestazioni o Controllo della sicurezza. Selezionare quindi Aggiungi/rimuovi oggetti per aprire il pannello Oggetto .
Nella casella Seleziona oggetti immettere il nome di un'entità Microsoft Entra (utente, gruppo o entità servizio). I gruppi di Microsoft 365 sono supportati, ma gli aggiornamenti all'appartenenza ai gruppi richiedono fino a un'ora per essere riportati in Microsoft Entra ID. Continuare ad aggiungere o rimuovere oggetti fino a quando non si è soddisfatti e quindi selezionare Salva.
Selezionare Salva per salvare i criteri. I criteri vengono pubblicati automaticamente. L'imposizione viene avviata dall'origine dati entro cinque minuti.
Elencare i criteri DevOps
Per elencare i criteri DevOps, assicurarsi innanzitutto di avere uno dei ruoli di Microsoft Purview seguenti a livello di raccolta radice: Autore criteri, Amministrazione origine dati, Curatore dati o Lettore dati. Vedere la sezione relativa alla gestione delle assegnazioni di ruolo di Microsoft Purview in questa guida. Quindi seguire la procedura seguente:
Accedere al portale di governance di Microsoft Purview.
Nel riquadro sinistro selezionare Criteri dati. Selezionare quindi Criteri DevOps.
Nel riquadro Criteri DevOps sono elencati tutti i criteri creati.
Aggiornare un criterio DevOps
Per aggiornare un criterio DevOps, assicurarsi innanzitutto di avere il ruolo Microsoft Purview Policy Author a livello di raccolta radice. Vedere la sezione relativa alla gestione delle assegnazioni di ruolo di Microsoft Purview in questa guida. Quindi seguire la procedura seguente:
Accedere al portale di governance di Microsoft Purview.
Nel riquadro sinistro selezionare Criteri dati. Selezionare quindi Criteri DevOps.
Nel riquadro Criteri DevOps aprire i dettagli dei criteri per uno dei criteri selezionandolo dal percorso della risorsa dati.
Nel riquadro per i dettagli dei criteri selezionare Modifica.
Apportare le modifiche e quindi selezionare Salva.
Eliminare un criterio DevOps
Per eliminare un criterio DevOps, assicurarsi innanzitutto di avere il ruolo Microsoft Purview Policy Author a livello di raccolta radice. Vedere la sezione relativa alla gestione delle assegnazioni di ruolo di Microsoft Purview in questa guida. Quindi seguire la procedura seguente:
Accedere al portale di governance di Microsoft Purview.
Nel riquadro sinistro selezionare Criteri dati. Selezionare quindi Criteri DevOps.
Selezionare la casella di controllo per uno dei criteri e quindi selezionare Elimina.
Testare i criteri DevOps
Dopo aver creato un criterio, uno qualsiasi dei Microsoft Entra utenti selezionati come soggetti può ora connettersi alle origini dati nell'ambito dei criteri. Per testare, usare SQL Server Management Studio (SSMS) o qualsiasi client SQL e provare a eseguire query su alcune viste a gestione dinamica (DMV) e funzioni a gestione dinamica (DMV). Nelle sezioni seguenti sono elencati alcuni esempi. Per altri esempi, vedere il mapping di DMV e DMV più diffusi in Cosa è possibile eseguire con i criteri DevOps di Microsoft Purview?.
Se è necessaria una maggiore risoluzione dei problemi, vedere la sezione Passaggi successivi in questa guida.
Testare l'accesso a SQL Monitor prestazioni
Se sono stati specificati gli argomenti dei criteri per il ruolo sql Monitor prestazioni, è possibile eseguire i comandi seguenti:
-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats
Testare l'accesso del revisore della sicurezza SQL
Se sono stati specificati gli argomenti dei criteri per il ruolo Revisore della sicurezza SQL, è possibile eseguire i comandi seguenti da SSMS o da qualsiasi client SQL:
-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys
Assicurarsi che non sia possibile accedere ai dati utente
Provare ad accedere a una tabella in uno dei database usando il comando seguente:
-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName
L'entità di Microsoft Entra con cui si sta testando deve essere negata, ovvero i dati sono protetti da minacce Insider.
Dettagli della definizione del ruolo
Nella tabella seguente i ruoli dei criteri dati di Microsoft Purview vengono mappati a azioni specifiche nelle origini dati SQL.
| Ruolo dei criteri di Microsoft Purview | Azioni nelle origini dati |
|---|---|
| SQL Monitor prestazioni | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop | |
| Revisore della sicurezza SQL | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select | |
Passaggi successivi
Controllare i blog, i video e gli articoli correlati seguenti:
- Blog: I criteri di Microsoft Purview DevOps per Azure SQL database sono ora disponibili a livello generale
- Blog: Soluzione economica per la gestione dell'accesso alle informazioni di integrità, prestazioni e sicurezza di SQL
- Blog: I criteri DevOps di Microsoft Purview abilitano il provisioning di accesso su larga scala per le operazioni IT
- Blog: L'API dei criteri DevOps di Microsoft Purview è ora pubblica
- Video: Prerequisito per i criteri: opzione "Imposizione dei criteri di dati"
- Video: Panoramica rapida dei criteri DevOps
- Video: Approfondimento per i criteri DevOps
- Articolo: Guida al concetto di criteri DevOps di Microsoft Purview
- Articolo: Criteri di Microsoft Purview DevOps in SQL Server abilitati per Azure Arc
- Articolo: Microsoft Purview DevOps policies on Azure SQL Database
- Articolo: Criteri di Microsoft Purview DevOps per interi gruppi di risorse o sottoscrizioni
- Articolo: Risolvere i problemi relativi ai criteri di Microsoft Purview per le origini dati SQL