Conectar-se e gerenciar SQL Server habilitados para Azure Arc no Microsoft Purview

Este artigo mostra como registrar uma instância de SQL Server habilitada para Azure Arc. Ele também mostra como autenticar e interagir com SQL Server habilitados para Azure Arc no Microsoft Purview. Para obter mais informações sobre o Microsoft Purview, leia o artigo introdutório.

Recursos compatíveis

Extração de metadados Verificação Completa Verificação Incremental Verificação em escopo Classificação Rotulamento Política de Acesso Linhagem Compartilhamento de dados Exibição ao vivo
Sim Sim (versão prévia) Sim (versão prévia) Sim (versão prévia) Sim (versão prévia) Não Sim Limitado** Não Não

** Há suporte para linhagem se o conjunto de dados for usado como uma origem/coletor na atividade de cópia Azure Data Factory.

As versões de SQL Server com suporte são 2012 e posteriores. não há suporte SQL Server Express LocalDB.

Ao examinar SQL Server habilitados para Azure Arc, o Microsoft Purview dá suporte à extração dos seguintes metadados técnicos:

  • Instâncias
  • Bancos de dados
  • Esquemas
  • Tabelas, incluindo as colunas
  • Exibições, incluindo as colunas

Ao configurar uma verificação, você pode optar por especificar o nome do banco de dados para verificar um banco de dados. Você pode escopo adicional da verificação selecionando tabelas e exibições conforme necessário. Toda a instância de SQL Server habilitada para Azure Arc será digitalizada se você não fornecer um nome de banco de dados.

Pré-requisitos

Registrar

Esta seção descreve como registrar uma instância de SQL Server habilitada para Azure Arc no Microsoft Purview usando o portal de governança do Microsoft Purview.

Autenticação para registro

Há duas maneiras de configurar a autenticação para verificar o SQL Server habilitado para Azure Arc com um runtime de integração auto-hospedado:

  • autenticação
  • autenticação SQL Server

Para configurar a autenticação para a implantação do SQL Server:

  1. Em SQL Server Management Studio (SSMS), vá para Propriedades do Servidor e selecione Segurança no painel esquerdo.

  2. Em Autenticação do servidor:

    • Para autenticação do Windows, selecione modo de Autenticação do Windows ou SQL Server e modo de Autenticação do Windows.
    • Para SQL Server autenticação, selecione SQL Server e modo de Autenticação do Windows.

    Captura de tela que mostra a página Segurança do Servidor janela Propriedades, com opções para selecionar o modo de autenticação.

Uma alteração na autenticação do servidor exige que você reinicie a SQL Server instância e SQL Server Agent. No SSMS, vá para a instância SQL Server e selecione Reiniciar no painel de opções com o botão direito do mouse.

Criar um novo logon e um usuário

Se você quiser criar um novo logon e um usuário para examinar sua instância de SQL Server, use as etapas a seguir.

A conta deve ter acesso ao banco de dados master, pois sys.databases está no banco de dados master. O scanner do Microsoft Purview precisa enumerar sys.databases para encontrar todos os bancos de dados SQL no servidor.

Observação

Você pode executar todas as etapas a seguir usando este código.

  1. Vá para SSMS, conecte-se ao servidor e selecione Segurança no painel esquerdo.

  2. Selecione e segure (ou clique com o botão direito do mouse) Logon e selecione Novo logon. Se autenticação do Windows for aplicada, selecione autenticação do Windows. Se SQL Server autenticação for aplicada, selecione SQL Server autenticação.

    Captura de tela que mostra seleções para criar um novo logon e usuário.

  3. Selecione Funções de Servidor no painel esquerdo e verifique se uma função pública é atribuída.

  4. Selecione Mapeamento de Usuário no painel esquerdo, selecione todos os bancos de dados no mapa e selecione a função db_datareader banco de dados.

    Captura de tela que mostra o mapeamento do usuário.

  5. Selecione OK para salvar.

  6. Se SQL Server autenticação for aplicada, você deverá alterar sua senha assim que criar um novo logon:

    1. Selecione e segure (ou clique com o botão direito do mouse) no usuário que você criou e selecione Propriedades.
    2. Insira uma nova senha e confirme-a.
    3. Selecione a caixa de seleção Especificar senha antiga e insira a senha antiga.
    4. Clique em OK.

    Captura de tela que mostra seleções para alterar uma senha.

Armazene sua senha de logon SQL Server em um cofre de chaves e crie uma credencial no Microsoft Purview

  1. Vá para o cofre de chaves no portal do Azure. Selecione Segredos de Configurações>.

  2. Selecione + Gerar/Importar. Para Nome e Valor, insira a senha do logon SQL Server.

  3. Selecione Criar.

  4. Se o cofre de chaves ainda não estiver conectado ao Microsoft Purview, crie uma nova conexão do cofre de chaves.

  5. Crie uma nova credencial usando o nome de usuário e a senha para configurar a verificação.

    Selecione o método de autenticação correto ao criar uma nova credencial. Se autenticação do Windows for aplicada, selecione autenticação do Windows. Se SQL Server autenticação for aplicada, selecione SQL Server autenticação.

Etapas para se registrar

  1. Acesse sua conta do Microsoft Purview.

  2. Em Fontes e verificação no painel esquerdo, selecione Runtimes de integração. Verifique se um runtime de integração auto-hospedado está configurado. Se ele não estiver configurado, siga as etapas para criar um runtime de integração auto-hospedado para verificação em uma máquina virtual local ou do Azure que tenha acesso à sua rede local.

  3. Selecione Mapa de Dados no painel esquerdo.

  4. Selecione Registrar.

  5. Selecione SQL Server habilitado para Azure Arc e selecione Continuar.

    Captura de tela que mostra a seleção de uma fonte de dados SQL.

  6. Forneça um nome amigável, que é um nome curto que você pode usar para identificar seu servidor. Forneça também o ponto de extremidade do servidor.

  7. Selecione Concluir para registrar a fonte de dados.

Examinar

Use as etapas a seguir para examinar instâncias de SQL Server habilitadas para Azure Arc para identificar automaticamente ativos e classificar seus dados. Para obter mais informações sobre a verificação em geral, consulte Verificações e ingestão no Microsoft Purview.

Para criar e executar uma nova verificação:

  1. No portal de governança do Microsoft Purview, selecione a guia Mapa de Dados no painel esquerdo.

  2. Selecione a origem SQL Server habilitada para Azure Arc que você registrou.

  3. Selecione Nova verificação.

  4. Selecione a credencial para se conectar à fonte de dados. As credenciais são agrupadas e listadas nos métodos de autenticação.

    Captura de tela que mostra a seleção de uma credencial para uma verificação.

  5. Você pode escopo sua verificação para tabelas específicas escolhendo os itens apropriados na lista.

    Captura de tela que mostra ativos selecionados para escopo de uma verificação.

  6. Selecione um conjunto de regras de verificação. Você pode escolher entre o padrão do sistema, os conjuntos de regras personalizados existentes ou a criação de um novo conjunto de regras embutido.

    Captura de tela que mostra a seleção de um conjunto de regras de verificação.

  7. Escolha o gatilho de verificação. Você pode configurar uma agenda ou executar a verificação uma vez.

    Captura de tela que mostra a configuração de um gatilho de verificação recorrente.

  8. Examine a verificação e selecione Salvar e executar.

Exibir suas verificações e verificar execuções

Para exibir as verificações existentes:

  1. Acesse o portal de governança do Microsoft Purview. No painel esquerdo, selecione Mapa de dados.
  2. Selecione a fonte de dados. Você pode exibir uma lista de verificações existentes nessa fonte de dados em Verificações recentes ou exibir todas as verificações na guia Verificações .
  3. Selecione a verificação que tem resultados que você deseja exibir. O painel mostra todas as execuções de verificação anteriores, juntamente com as status e métricas para cada execução de verificação.
  4. Selecione a ID de execução para marcar os detalhes da execução de verificação.

Gerenciar suas verificações

Para editar, cancelar ou excluir uma verificação:

  1. Acesse o portal de governança do Microsoft Purview. No painel esquerdo, selecione Mapa de Dados.

  2. Selecione a fonte de dados. Você pode exibir uma lista de verificações existentes nessa fonte de dados em Verificações recentes ou exibir todas as verificações na guia Verificações .

  3. Selecione a verificação que você deseja gerenciar. Você poderá:

    • Edite a verificação selecionando Editar verificação.
    • Cancele uma verificação em andamento selecionando Cancelar execução de verificação.
    • Exclua sua verificação selecionando Excluir verificação.

Observação

  • A exclusão da verificação não exclui os ativos de catálogo criados de verificações anteriores.
  • O ativo não será mais atualizado com alterações de esquema se sua tabela de origem tiver sido alterada e você examinar novamente a tabela de origem depois de editar a descrição na guia Esquema do Microsoft Purview.

Adicionar política de acesso

Políticas com suporte

Os seguintes tipos de políticas têm suporte neste recurso de dados do Microsoft Purview:

Pré-requisitos de política de acesso no SQL Server habilitado para Azure Arc

Suporte à região

A aplicação da política está disponível em todas as regiões do Microsoft Purview, exceto:

  • Oeste dos EUA2
  • Leste da Ásia
  • Governador dos EUA Virgínia
  • China North 3

Considerações de segurança para o SQL Server habilitado para Azure Arc

  • O administrador do servidor pode desativar a aplicação da política do Microsoft Purview.
  • As permissões de administrador do Azure Arc e do administrador do servidor fornecem a capacidade de alterar o caminho do Azure Resource Manager do servidor. Como os mapeamentos no Microsoft Purview usam Resource Manager caminhos, isso pode levar a aplicação de políticas erradas.
  • Um administrador SQL Server (administrador de banco de dados) pode obter o poder de um administrador do servidor e pode adulterar as políticas armazenadas em cache do Microsoft Purview.
  • A configuração recomendada é criar um registro de aplicativo separado para cada instância do SQL Server. Essa configuração impede que a segunda instância SQL Server leia as políticas destinadas à primeira instância de SQL Server, caso um administrador desonesto na segunda instância SQL Server altere o caminho Resource Manager.

Verificar os pré-requisitos

  1. Entre no portal do Azure por meio deste link

  2. Navegue até sql servers no painel esquerdo. Você verá uma lista de instâncias SQL Server no Azure Arc.

  3. Selecione a instância SQL Server que você deseja configurar.

  4. Acesse o Azure Active Directory no painel esquerdo.

  5. Verifique se a autenticação do Azure Active Directory está configurada com um logon de administrador. Caso contrário, consulte a seção pré-requisitos da política de acesso neste guia.

  6. Verifique se um certificado foi fornecido para SQL Server a autenticação no Azure. Caso contrário, consulte a seção pré-requisitos da política de acesso neste guia.

  7. Verifique se um registro de aplicativo foi inserido para criar uma relação de confiança entre SQL Server e Azure AD. Caso contrário, consulte a seção pré-requisitos da política de acesso neste guia.

  8. Se você tiver feito alterações, selecione o botão Salvar para salvar a configuração e aguarde até que a operação seja concluída com êxito. Isso pode levar alguns minutos. A mensagem "Salvo com êxito" será exibida na parte superior da página em plano de fundo verde. Talvez seja necessário rolar para cima para vê-lo.

    Captura de tela que mostra os pré-requisitos para configurar um ponto de extremidade do Microsoft Purview na seção Azure Active Directory.

Configurar a conta do Microsoft Purview para políticas

Registrar a fonte de dados no Microsoft Purview

Antes que uma política possa ser criada no Microsoft Purview para um recurso de dados, você deve registrar esse recurso de dados no Microsoft Purview Studio. Você encontrará as instruções relacionadas ao registro do recurso de dados posteriormente neste guia.

Observação

As políticas do Microsoft Purview dependem do caminho do ARM do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou assinatura, ele precisará ser des registrado e registrado novamente no Microsoft Purview.

Configurar permissões para habilitar o gerenciamento de uso de dados na fonte de dados

Depois que um recurso é registrado, mas antes que uma política possa ser criada no Microsoft Purview para esse recurso, você deve configurar permissões. Um conjunto de permissões é necessário para habilitar o gerenciamento de uso de dados. Isso se aplica a fontes de dados, grupos de recursos ou assinaturas. Para habilitar o gerenciamento de uso de dados, você deve ter privilégios específicos de IAM (Gerenciamento de Identidade e Acesso) no recurso, bem como privilégios específicos do Microsoft Purview:

  • Você deve ter uma das seguintes combinações de função IAM no caminho do Azure Resource Manager do recurso ou qualquer pai dele (ou seja, usando a herança de permissão IAM):

    • Proprietário do IAM
    • Colaborador do IAM e Administrador de Acesso de Usuário do IAM

    Para configurar permissões de RBAC (controle de acesso baseado em função) do Azure, siga este guia. A captura de tela a seguir mostra como acessar a seção Controle de Acesso no portal do Azure do recurso de dados para adicionar uma atribuição de função.

    Captura de tela que mostra a seção no portal do Azure para adicionar uma atribuição de função.

    Observação

    A função Proprietário do IAM para um recurso de dados pode ser herdada de um grupo de recursos pai, uma assinatura ou um grupo de gerenciamento de assinatura. Verifique qual Azure AD usuários, grupos e entidades de serviço detêm ou estão herdando a função Proprietário do IAM para o recurso.

  • Você também precisa ter a função de administrador de fonte de dados do Microsoft Purview para a coleção ou uma coleção pai (se a herança estiver habilitada). Para obter mais informações, consulte o guia sobre como gerenciar atribuições de função do Microsoft Purview.

    A captura de tela a seguir mostra como atribuir a função de administrador de fonte de dados no nível da coleção raiz.

    Captura de tela que mostra seleções para atribuir a função de administrador de fonte de dados no nível da coleção raiz.

Configurar permissões do Microsoft Purview para criar, atualizar ou excluir políticas de acesso

Para criar, atualizar ou excluir políticas, você precisa obter a função de autor de política no Microsoft Purview no nível da coleção raiz:

  • A função autor da política pode criar, atualizar e excluir políticas de DevOps e Proprietário de Dados.
  • A função de autor da política pode excluir políticas de acesso por autoatendimento.

Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.

Observação

A função de autor de política deve ser configurada no nível da coleção raiz.

Além disso, para pesquisar facilmente Azure AD usuários ou grupos ao criar ou atualizar o assunto de uma política, você pode se beneficiar muito de obter a permissão Leitores do Diretório em Azure AD. Essa é uma permissão comum para usuários em um locatário do Azure. Sem a permissão Leitor de Diretório, o Autor da Política terá que digitar o nome de usuário ou o email completo para todas as entidades incluídas no assunto de uma política de dados.

Configurar permissões do Microsoft Purview para publicar políticas do Proprietário de Dados

As políticas de Proprietário de Dados permitem verificações e saldos se você atribuir o autor da Política do Microsoft Purview e funções de administrador de fonte de dados a diferentes pessoas na organização. Antes que uma política de proprietário de dados entre em vigor, uma segunda pessoa (administrador de fonte de dados) deve revisá-la e aprová-la explicitamente publicando-a. Isso não se aplica às políticas de acesso de DevOps ou autoatendimento, pois a publicação é automática para elas quando essas políticas são criadas ou atualizadas.

Para publicar uma política de proprietário de dados, você precisa obter a função de administrador de fonte de dados no Microsoft Purview no nível de coleta raiz.

Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.

Observação

Para publicar políticas de proprietário de dados, a função de administrador de fonte de dados deve ser configurada no nível da coleção raiz.

Delegar a responsabilidade de provisionamento de acesso a funções no Microsoft Purview

Depois que um recurso tiver sido habilitado para o gerenciamento de uso de dados, qualquer usuário do Microsoft Purview com a função de autor de política no nível de coleta raiz pode provisionar o acesso a essa fonte de dados do Microsoft Purview.

Observação

Qualquer administrador do Conjunto raiz do Microsoft Purview pode atribuir novos usuários às funções de autor de política raiz. Qualquer administrador da Coleção pode atribuir novos usuários a uma função de administrador de fonte de dados na coleção. Minimize e examine cuidadosamente os usuários que possuem funções de administrador do Microsoft Purview Collection, administrador de fonte de dados ou autor de política .

Se uma conta do Microsoft Purview com políticas publicadas for excluída, essas políticas deixarão de ser impostas em um período de tempo que depende da fonte de dados específica. Essa alteração pode ter implicações na segurança e na disponibilidade de acesso a dados. As funções Colaborador e Proprietário no IAM podem excluir contas do Microsoft Purview. Você pode marcar essas permissões acessando a seção controle de acesso (IAM) para sua conta do Microsoft Purview e selecionando Atribuições de Função. Você também pode usar um bloqueio para impedir que a conta do Microsoft Purview seja excluída por meio de bloqueios de Resource Manager.

Registrar a fonte de dados e habilitar o gerenciamento de uso de dados

Antes de criar políticas, você deve registrar a fonte de dados SQL Server habilitada para Azure Arc com o Microsoft Purview:

  1. Entre no Microsoft Purview Studio.

  2. Acesse Mapa de dados no painel esquerdo, selecione Fontes e selecione Registrar. Insira o Azure Arc na caixa de pesquisa e selecione SQL Server no Azure Arc. Em seguida, selecione Continuar.

    Captura de tela que mostra a seleção de uma fonte para registro.

  3. Para Nome, insira um nome para esse registro. É uma prática recomendada fazer com que o nome do registro seja o mesmo que o nome do servidor na próxima etapa.

  4. Selecione valores para assinatura do Azure, nome do servidor e ponto de extremidade do servidor.

  5. Para Selecionar uma coleção, escolha uma coleção para colocar esse registro.

  6. Habilitar o gerenciamento de uso de dados. O gerenciamento de uso de dados precisa de determinadas permissões e pode afetar a segurança de seus dados, pois ele delega a determinadas funções do Microsoft Purview para gerenciar o acesso às fontes de dados. Confira as práticas seguras relacionadas ao gerenciamento de uso de dados neste guia: Habilitar o gerenciamento de uso de dados em suas fontes do Microsoft Purview.

  7. Selecione Registrar ou Aplicar.

Captura de tela que mostra seleções para registrar uma fonte de dados para uma política.

Habilitar políticas no SQL Server habilitado para Azure Arc

Esta seção descreve as etapas para configurar SQL Server no Azure Arc para usar o Microsoft Purview. Execute estas etapas depois de habilitar a opção de gerenciamento de uso de dados para essa fonte de dados na conta do Microsoft Purview.

  1. Entre no portal do Azure por meio deste link

  2. Navegue até sql servers no painel esquerdo. Você verá uma lista de instâncias SQL Server no Azure Arc.

  3. Selecione a instância SQL Server que você deseja configurar.

  4. Acesse o Azure Active Directory no painel esquerdo.

  5. Role para baixo até as políticas de acesso do Microsoft Purview.

  6. Selecione o botão para Verificar a Governança do Microsoft Purview. Aguarde enquanto a solicitação é processada. Enquanto isso acontecer, essa mensagem será exibida na parte superior da página. Talvez seja necessário rolar para cima para vê-lo.

    Captura de tela que mostra que o agente Arc-SQL está processando uma solicitação

  7. Na parte inferior da página, confirme se o Status de Governança do Microsoft Purview mostra Governed. Observe que pode levar até 30 minutos para que o status correto seja refletido. Continue fazendo uma atualização do navegador até que isso aconteça.

    Captura de tela que mostra o ponto de extremidade do Microsoft Purview status na seção Azure Active Directory.

  8. Confirme se o Ponto de Extremidade do Microsoft Purview aponta para a conta do Microsoft Purview em que você registrou essa fonte de dados e habilitou o gerenciamento de uso de dados

Criar uma política

Para criar uma política de acesso para SQL Server habilitada para Azure Arc, siga estes guias:

Para criar políticas que abrangem todas as fontes de dados dentro de um grupo de recursos ou assinatura do Azure, consulte Descobrir e governar várias fontes do Azure no Microsoft Purview.

Próximas etapas

Agora que você registrou sua origem, use os seguintes guias para saber mais sobre o Microsoft Purview e seus dados: