教學課程:針對 SQL 資料來源的 Microsoft Purview 原則進行疑難排解
在本教學課程中,您將瞭解如何發出 SQL 命令,以檢查已與 SQL 實例通訊的 Microsoft Purview 原則,以強制執行這些原則。 您也將瞭解如何強制將原則下載到 SQL 實例。 這些命令僅用於疑難排解,且在 Microsoft Purview 原則的正常運作期間不需要。 這些命令需要更高層級的 SQL 實例許可權。
如需 Microsoft Purview 原則的詳細資訊,請參閱 後續步驟 一節中所列的概念指南。
必要條件
- Azure 訂用帳戶。 如果您還沒有訂用帳戶,請 建立免費訂用帳戶。
- Microsoft Purview 帳戶。 如果您沒有帳戶,請參閱 建立 Microsoft Purview 帳戶的快速入門。
- 註冊資料來源、啟 用資料使用管理,以及建立原則。 若要這樣做,請使用其中一個 Microsoft Purview 原則指南。 若要遵循本教學課程中的範例,您可以建立適用于 Azure SQL Database 的 DevOps 原則。
測試原則
建立原則之後,原則主旨中所參考的 Azure AD 主體應該能夠連線到發佈原則之伺服器中的任何資料庫。
強制原則下載
您可以執行下列命令,強制立即將最新發佈的原則下載到目前的 SQL 資料庫。 執行它所需的最低許可權是 ##MS_ServerStateManager##-server 角色的成員資格。
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
分析從 SQL 下載的原則狀態
下列 DMV 可用來分析哪些原則已下載,且目前已指派給 Azure AD 主體。 執行它們所需的最低許可權是 VIEW DATABASE SECURITY STATE - 或指派的動作群組 SQL 安全性稽核員。
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
後續步驟
Microsoft Purview 存取原則的概念指南:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應