Microsoft Purview DevOps ポリシーの作成、一覧表示、更新、削除
DevOps ポリシー は、Microsoft Purview アクセス ポリシーの一種です。 これらを使用して、Microsoft Purview のデータ 使用管理 に登録されているデータ ソースのシステム メタデータへのアクセスを管理できます。
DevOps ポリシーは、Microsoft Purview ガバナンス ポータルから直接構成できます。 保存されると、データ ソースによって自動的に発行され、適用されます。 Microsoft Purview ポリシーは、Azure Active Directory (Azure AD) プリンシパルのアクセスのみを管理します。
このガイドでは、SQL パフォーマンス モニター ロールと SQL Security Auditor ロールの DevOps ポリシー アクションを使用して、データベース システム メタデータへのアクセスをプロビジョニングするための Microsoft Purview の構成手順について説明します。 DevOps ポリシーを作成、一覧表示、更新、削除する方法を示します。
前提条件
アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成します。
新しいまたは既存の Microsoft Purview アカウント。 このクイック スタート ガイドに従って作成します。
構成
Microsoft Purview ポリシー ポータルでポリシーを作成する前に、これらのポリシーを適用できるようにデータ ソースを構成する必要があります。
- ソースのポリシー固有の前提条件に従います。 Microsoft Purview でサポートされているデータ ソースの表を確認し、アクセス ポリシーが使用可能なソースの [アクセス ポリシー] 列のリンクを選択します。 「アクセス ポリシー」および「前提条件」セクションに記載されている手順に従います。
- Microsoft Purview でデータ ソースを登録します。 リソースの ソース ページ の [前提条件] セクションと [登録] セクションに従います。
- データ ソースの登録で [ データ使用管理 ] トグルをオンにします。 この手順に必要な追加のアクセス許可など、詳細については、「 Microsoft Purview ソースでデータ使用管理を有効にする」を参照してください。
新しい DevOps ポリシーを作成する
DevOps ポリシーを作成するには、まず、ルート コレクション レベルで Microsoft Purview ポリシー作成者ロールがあることを確認します。 このガイドの「Microsoft Purview ロールの割り当ての管理」のセクションを確認してください。 その後、次の手順に従います。
Microsoft Purview ガバナンス ポータルにサインインします。
左側のウィンドウで、[ データ ポリシー] を選択します。 次に、[ DevOps ポリシー] を選択します。
[ 新しいポリシー ] ボタンを選択します。
ポリシーの詳細パネルが開きます。
[ データ ソースの種類] で、データ ソースを選択します。 [ データ ソース名] で、一覧表示されているデータ ソースのいずれかを選択します。 次に、[ 選択 ] をクリックして [ 新しいポリシー ] ウィンドウに戻ります。
パフォーマンス監視またはセキュリティ監査の 2 つのロールのいずれかを選択します。 次に、[ 件名の追加と削除 ] を選択して、[ 件名 ] パネルを開きます。
[ サブジェクトの選択 ] ボックスに、Azure AD プリンシパル (ユーザー、グループ、またはサービス プリンシパル) の名前を入力します。 Microsoft 365 グループはサポートされていますが、グループ メンバーシップの更新は、Azure AD に反映されるまでに最大 1 時間かかります。 問題が発生するまで件名を追加または削除し、[保存] を選択 します。
[ 保存] を 選択してポリシーを保存します。 ポリシーは自動的に発行されます。 適用は、5 分以内にデータ ソースから開始されます。
DevOps ポリシーを一覧表示する
DevOps ポリシーを一覧表示するには、まず、ルート コレクション レベルで次のいずれかの Microsoft Purview ロールがあることを確認します。ポリシー作成者、データ ソース 管理、データ キュレーター、またはデータ 閲覧者。 このガイドの「Microsoft Purview ロールの割り当ての管理」のセクションを確認してください。 その後、次の手順に従います。
Microsoft Purview ガバナンス ポータルにサインインします。
左側のウィンドウで、[ データ ポリシー] を選択します。 次に、[ DevOps ポリシー] を選択します。
[ DevOps ポリシー] ウィンドウには、作成されたすべてのポリシーが一覧表示されます。
DevOps ポリシーを更新する
DevOps ポリシーを更新するには、まず、ルート コレクション レベルで Microsoft Purview ポリシー作成者ロールがあることを確認します。 このガイドの「Microsoft Purview ロールの割り当ての管理」のセクションを確認してください。 その後、次の手順に従います。
Microsoft Purview ガバナンス ポータルにサインインします。
左側のウィンドウで、[ データ ポリシー] を選択します。 次に、[ DevOps ポリシー] を選択します。
[ DevOps ポリシー] ウィンドウで、データ リソース パスからポリシーを選択して、いずれかのポリシーのポリシーの詳細を開きます。
ポリシーの詳細については、ウィンドウで [ 編集] を選択します。
変更を加え、[保存] を選択 します。
DevOps ポリシーを削除する
DevOps ポリシーを削除するには、まず、ルート コレクション レベルで Microsoft Purview ポリシー作成者ロールがあることを確認します。 このガイドの「Microsoft Purview ロールの割り当ての管理」のセクションを確認してください。 その後、次の手順に従います。
Microsoft Purview ガバナンス ポータルにサインインします。
左側のウィンドウで、[ データ ポリシー] を選択します。 次に、[ DevOps ポリシー] を選択します。
いずれかのポリシーのチェック ボックスをオンにし、[削除] を選択 します。
DevOps ポリシーをテストする
ポリシーを作成した後、サブジェクトとして選択した Azure AD ユーザーは、ポリシーのスコープ内のデータ ソースに接続できるようになりました。 テストするには、SQL Server Management Studio (SSMS) または任意の SQL クライアントを使用し、一部の動的管理ビュー (DMV) と動的管理機能 (DMF) のクエリを実行します。 次のセクションでは、いくつかの例を示します。 その他の例については、「 Microsoft Purview DevOps ポリシーで実行できる内容」の一般的な DMV と DMF のマッピングに関するページを参照してください。
さらにトラブルシューティングが必要な場合は、このガイドの 「次の手順 」セクションを参照してください。
SQL パフォーマンス モニター アクセスをテストする
SQL パフォーマンス モニター ロールのポリシーのサブジェクトを指定した場合は、次のコマンドを発行できます。
-- Returns I/O statistics for data and log files
SELECT * FROM sys.dm_io_virtual_file_stats(DB_ID(N'testdb'), 2)
-- Waits encountered by threads that executed. Used to diagnose performance issues
SELECT wait_type, wait_time_ms FROM sys.dm_os_wait_stats
SQL セキュリティ監査者のアクセスをテストする
SQL セキュリティ監査者ロールのポリシーのサブジェクトを指定した場合は、SSMS または任意の SQL クライアントから次のコマンドを発行できます。
-- Returns the current state of the audit
SELECT * FROM sys.dm_server_audit_status
-- Returns information about the encryption state of a database and its associated database encryption keys
SELECT * FROM sys.dm_database_encryption_keys
ユーザー データにアクセスできないようにする
次のコマンドを使用して、いずれかのデータベース内のテーブルにアクセスしてみてください。
-- Test access to user data
SELECT * FROM [databaseName].schemaName.tableName
テスト対象の Azure AD プリンシパルは拒否する必要があります。つまり、データはインサイダーの脅威から保護されます。
ロール定義の詳細
次の表は、Microsoft Purview データ ポリシー ロールを SQL データ ソース内の特定のアクションにマップします。
| Microsoft Purview ポリシー ロール | データ ソースのアクション |
|---|---|
| SQL パフォーマンス モニター | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabasePerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerPerformanceState/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/SystemViewsAndFunctions/ServerGeneralMetadata/Rows/Select | |
| Microsoft.Sql/Sqlservers/Databases/DBCCs/ViewDatabasePerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/DBCCs/ViewServerPerformanceState/Execute | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/Databases/ExtendedEventSessions/Target/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Create | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Options/Alter | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Events/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Enable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/State/Disable | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Drop | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Add | |
| Microsoft.Sql/Sqlservers/ExtendedEventSessions/Target/Drop | |
| SQL セキュリティ監査人 | Microsoft.Sql/Sqlservers/Connect |
| Microsoft.Sql/Sqlservers/Databases/Connect | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityState/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityState/rows/select | |
| Microsoft.Sql/sqlservers/SystemViewsAndFunctions/ServerSecurityMetadata/rows/select | |
| Microsoft.Sql/Sqlservers/Databases/SystemViewsAndFunctions/DatabaseSecurityMetadata/rows/select | |
次の手順
次のブログ、ビデオ、および関連記事を確認してください。
- ブログ: Azure SQL Database の Microsoft Purview DevOps ポリシーが一般公開されました
- ブログ: SQL の正常性、パフォーマンス、およびセキュリティ情報へのアクセスを管理するための安価なソリューション
- ブログ: Microsoft Purview DevOps ポリシーにより、IT 運用の大規模なアクセス プロビジョニングが有効になります
- ブログ: Microsoft Purview DevOps ポリシー API がパブリックになりました
- ビデオ: ポリシーの前提条件: [データ使用管理] オプション
- ビデオ: DevOps ポリシーの概要
- ビデオ: DevOps ポリシーの詳細
- 記事: Microsoft Purview DevOps ポリシーの概念ガイド
- 記事: Azure Arc 対応SQL Serverの Microsoft Purview DevOps ポリシー
- 記事: Azure SQL Database の Microsoft Purview DevOps ポリシー
- 記事: リソース グループまたはサブスクリプション全体に対する Microsoft Purview DevOps ポリシー
- 記事: SQL データ ソースの Microsoft Purview ポリシーのトラブルシューティング
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示