Condividi tramite


Creare, elencare, aggiornare ed eliminare i criteri di Microsoft Purview DevOps

I criteri DevOps sono un tipo di criteri di accesso di Microsoft Purview. È possibile usarli per gestire l'accesso ai metadati di sistema nelle origini dati registrate per l'applicazione dei criteri di dati in Microsoft Purview.

È possibile configurare i criteri DevOps direttamente dal portale di governance di Microsoft Purview. Dopo il salvataggio, vengono pubblicati automaticamente e quindi applicati dall'origine dati. I criteri di Microsoft Purview gestiscono solo l'accesso per le entità Microsoft Entra.

Questa guida illustra i passaggi di configurazione in Microsoft Purview per effettuare il provisioning dell'accesso ai metadati del sistema di database usando le azioni dei criteri DevOps per i ruoli sql Monitor prestazioni e revisore della sicurezza SQL. Illustra come creare, elencare, aggiornare ed eliminare criteri DevOps.

Prerequisiti

Configurazione

Prima di creare criteri nel portale dei criteri di Microsoft Purview, è necessario configurare le origini dati in modo che possano applicare tali criteri:

  1. Seguire i prerequisiti specifici dei criteri per l'origine. Controllare la tabella delle origini dati supportate da Microsoft Purview e selezionare il collegamento nella colonna Criteri di accesso per le origini in cui sono disponibili i criteri di accesso. Seguire i passaggi elencati nelle sezioni "Criteri di accesso" e "Prerequisiti".
  2. Registrare l'origine dati in Microsoft Purview. Seguire le sezioni "Prerequisiti" e "Registra" delle pagine di origine per le risorse.
  3. Attivare l'interruttore Imposizione criteri dati nella registrazione dell'origine dati. Per altre informazioni, incluse le autorizzazioni aggiuntive necessarie per questo passaggio, vedere Abilitare l'applicazione dei criteri di dati nelle origini Microsoft Purview.

Creare un nuovo criterio DevOps

Per creare un criterio DevOps, assicurarsi innanzitutto di avere il ruolo Microsoft Purview Policy Author a livello di raccolta radice. Vedere la sezione relativa alla gestione delle assegnazioni di ruolo di Microsoft Purview in questa guida. Quindi seguire la procedura seguente:

  1. Accedere al portale di governance di Microsoft Purview.

  2. Nel riquadro sinistro selezionare Criteri dati. Selezionare quindi Criteri DevOps.

  3. Selezionare il pulsante Nuovo criterio .

    Screenshot che mostra il pulsante per la creazione di un nuovo criterio SQL DevOps.

    Verrà visualizzato il pannello dei dettagli dei criteri.

  4. In Tipo di origine dati selezionare un'origine dati. In Nome origine dati selezionare una delle origini dati elencate. Fare quindi clic su Seleziona per tornare al riquadro Nuovo criterio .

    Screenshot che mostra il pannello per la selezione dell'origine dati di un criterio.

  5. Selezionare uno dei due ruoli, Monitoraggio delle prestazioni o Controllo della sicurezza. Selezionare quindi Aggiungi/rimuovi oggetti per aprire il pannello Oggetto .

    Nella casella Seleziona oggetti immettere il nome di un'entità Microsoft Entra (utente, gruppo o entità servizio). I gruppi di Microsoft 365 sono supportati, ma gli aggiornamenti all'appartenenza ai gruppi richiedono fino a un'ora per essere riportati in Microsoft Entra ID. Continuare ad aggiungere o rimuovere oggetti fino a quando non si è soddisfatti e quindi selezionare Salva.

    Screenshot che mostra la selezione di ruoli e argomenti per un criterio.

  6. Selezionare Salva per salvare i criteri. I criteri vengono pubblicati automaticamente. L'imposizione viene avviata dall'origine dati entro cinque minuti.

Elencare i criteri DevOps

Per elencare i criteri DevOps, assicurarsi innanzitutto di avere uno dei ruoli di Microsoft Purview seguenti a livello di raccolta radice: Autore criteri, Amministrazione origine dati, Curatore dati o Lettore dati. Vedere la sezione relativa alla gestione delle assegnazioni di ruolo di Microsoft Purview in questa guida. Quindi seguire la procedura seguente:

  1. Accedere al portale di governance di Microsoft Purview.

  2. Nel riquadro sinistro selezionare Criteri dati. Selezionare quindi Criteri DevOps.

    Nel riquadro Criteri DevOps sono elencati tutti i criteri creati.

    Screenshot che mostra le selezioni per l'apertura di un elenco di criteri SQL DevOps.

Aggiornare un criterio DevOps

Per aggiornare un criterio DevOps, assicurarsi innanzitutto di avere il ruolo Microsoft Purview Policy Author a livello di raccolta radice. Vedere la sezione relativa alla gestione delle assegnazioni di ruolo di Microsoft Purview in questa guida. Quindi seguire la procedura seguente:

  1. Accedere al portale di governance di Microsoft Purview.

  2. Nel riquadro sinistro selezionare Criteri dati. Selezionare quindi Criteri DevOps.

  3. Nel riquadro Criteri DevOps aprire i dettagli dei criteri per uno dei criteri selezionandolo dal percorso della risorsa dati.

    Screenshot che mostra le selezioni per aprire i criteri di SQL DevOps.

  4. Nel riquadro per i dettagli dei criteri selezionare Modifica.

  5. Apportare le modifiche e quindi selezionare Salva.

Eliminare un criterio DevOps

Per eliminare un criterio DevOps, assicurarsi innanzitutto di avere il ruolo Microsoft Purview Policy Author a livello di raccolta radice. Vedere la sezione relativa alla gestione delle assegnazioni di ruolo di Microsoft Purview in questa guida. Quindi seguire la procedura seguente:

  1. Accedere al portale di governance di Microsoft Purview.

  2. Nel riquadro sinistro selezionare Criteri dati. Selezionare quindi Criteri DevOps.

  3. Selezionare la casella di controllo per uno dei criteri e quindi selezionare Elimina.

    Screenshot che mostra le selezioni per l'eliminazione di un criterio SQL DevOps.

Testare i criteri DevOps

Dopo aver creato un criterio, uno qualsiasi dei Microsoft Entra utenti selezionati come soggetti può ora connettersi alle origini dati nell'ambito dei criteri. Per testare, usare SQL Server Management Studio (SSMS) o qualsiasi client SQL e provare a eseguire query su alcune viste a gestione dinamica (DMV) e funzioni a gestione dinamica (DMV). Nelle sezioni seguenti sono elencati alcuni esempi. Per altri esempi, vedere il mapping di DMV e DMV più diffusi in Cosa è possibile eseguire con i criteri DevOps di Microsoft Purview?.

Se è necessaria una maggiore risoluzione dei problemi, vedere la sezione Passaggi successivi in questa guida.

Testare l'accesso a SQL Monitor prestazioni

Se sono stati specificati gli argomenti dei criteri per il ruolo sql Monitor prestazioni, è possibile eseguire i comandi seguenti:

-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats

Screenshot che mostra un test per SQL Monitor prestazioni.

Testare l'accesso del revisore della sicurezza SQL

Se sono stati specificati gli argomenti dei criteri per il ruolo Revisore della sicurezza SQL, è possibile eseguire i comandi seguenti da SSMS o da qualsiasi client SQL:

-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys

Assicurarsi che non sia possibile accedere ai dati utente

Provare ad accedere a una tabella in uno dei database usando il comando seguente:

-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName

L'entità di Microsoft Entra con cui si sta testando deve essere negata, ovvero i dati sono protetti da minacce Insider.

Screenshot che mostra un test per accedere ai dati utente.

Dettagli della definizione del ruolo

Nella tabella seguente i ruoli dei criteri dati di Microsoft Purview vengono mappati a azioni specifiche nelle origini dati SQL.

Ruolo dei criteri di Microsoft Purview Azioni nelle origini dati
SQL Monitor prestazioni Microsoft.Sql/Sqlservers/Connect
Microsoft.Sql/Sqlservers/Databases/Connect
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select
Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select
Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute
Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add
Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable
Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add
Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop
Revisore della sicurezza SQL Microsoft.Sql/Sqlservers/Connect
Microsoft.Sql/Sqlservers/Databases/Connect
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select
Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select
Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select

Passaggi successivi

Controllare i blog, i video e gli articoli correlati seguenti: