Tutorial: Problembehandlung bei Microsoft Purview-Richtlinien für SQL-Datenquellen
In diesem Tutorial erfahren Sie, wie Sie SQL-Befehle ausgeben, um die Microsoft Purview-Richtlinien zu überprüfen, die an die SQL-instance übermittelt wurden, wo sie erzwungen werden. Außerdem erfahren Sie, wie Sie einen Download der Richtlinien in die SQL-instance erzwingen. Diese Befehle werden nur zur Problembehandlung verwendet und sind während des normalen Betriebs von Microsoft Purview-Richtlinien nicht erforderlich. Diese Befehle erfordern eine höhere Berechtigungsstufe im SQL-instance.
Weitere Informationen zu Microsoft Purview-Richtlinien finden Sie in den Konzeptleitfäden im Abschnitt Nächste Schritte .
Voraussetzungen
- Ein Azure-Abonnement. Wenn Sie noch kein Abonnement besitzen, erstellen Sie ein kostenloses Abonnement.
- Ein Microsoft Purview-Konto. Wenn Sie noch kein Konto besitzen, finden Sie weitere Informationen in der Schnellstartanleitung zum Erstellen eines Microsoft Purview-Kontos.
- Registrieren Sie eine Datenquelle, aktivieren Sie die Verwaltung der Datennutzung, und erstellen Sie eine Richtlinie. Verwenden Sie dazu einen der Microsoft Purview-Richtlinienleitfäden. Um den Beispielen in diesem Tutorial zu folgen, können Sie eine DevOps-Richtlinie für Azure SQL-Datenbank erstellen.
Testen der Richtlinie
Nachdem Sie eine Richtlinie erstellt haben, sollten die Azure AD-Prinzipale, auf die im Betreff der Richtlinie verwiesen wird, eine Verbindung mit jeder Datenbank auf dem Server herstellen können, auf dem die Richtlinien veröffentlicht werden.
Erzwingen des Richtliniendownloads
Es ist möglich, einen sofortigen Download der neuesten veröffentlichten Richtlinien in die aktuelle SQL-Datenbank zu erzwingen, indem Sie den folgenden Befehl ausführen. Die minimale Berechtigung, die zum Ausführen erforderlich ist, ist die Mitgliedschaft in der ##MS_ServerStateManager###-server-Rolle.
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
Analysieren des Status der heruntergeladenen Richtlinie aus SQL
Die folgenden DMVs können verwendet werden, um zu analysieren, welche Richtlinien heruntergeladen wurden und derzeit Azure AD-Prinzipalen zugewiesen sind. Die minimale Berechtigung, die zum Ausführen erforderlich ist, ist VIEW DATABASE SECURITY STATE – oder zugewiesene Aktionsgruppe SQL-Sicherheitsprüfer.
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
Nächste Schritte
Konzeptleitfäden für Microsoft Purview-Zugriffsrichtlinien:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für