Conectar-se e gerenciar uma Instância Gerenciada de SQL do Azure no Microsoft Purview
Este artigo descreve como registrar e a Instância Gerenciada de SQL do Azure, bem como como autenticar e interagir com a Instância Gerenciada de SQL do Azure no Microsoft Purview. Para obter mais informações sobre o Microsoft Purview, leia o artigo introdutório.
Recursos compatíveis
| Extração de metadados | Verificação Completa | Verificação Incremental | Verificação em escopo | Classificação | Rotulamento | Política de Acesso | Linhagem | Compartilhamento de dados | Exibição ao vivo |
|---|---|---|---|---|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim | Sim | Sim (versão prévia) | Limitado** | Não | Não |
** Há suporte para linhagem se o conjunto de dados for usado como uma origem/coletor na atividade Cópia do Data Factory
Pré-requisitos
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Você precisará ser um Administrador de Fonte de Dados e Leitor de Dados para registrar uma fonte e gerenciá-la no portal de governança do Microsoft Purview. Consulte nossa página Permissões do Microsoft Purview para obter detalhes.
Configurar ponto de extremidade público na Instância Gerenciada de SQL do Azure
Observação
Agora, oferecemos suporte à verificação de Instâncias Gerenciadas de SQL do Azure na conexão privada usando pontos de extremidade privados de ingestão do Microsoft Purview e uma VM de runtime de integração auto-hospedada. Para obter mais informações relacionadas aos pré-requisitos, consulte Conectar-se ao Microsoft Purview e verificar fontes de dados de forma privada e segura
Registrar
Esta seção descreve como registrar uma Instância Gerenciada de SQL do Azure no Microsoft Purview usando o portal de governança do Microsoft Purview.
Autenticação para registro
Se você precisar criar uma nova autenticação, precisará autorizar o acesso do banco de dados a Banco de Dados SQL Instância Gerenciada de SQL. Há três métodos de autenticação que o Microsoft Purview oferece suporte hoje:
- Identidade gerenciada atribuída pelo sistema ou pelo usuário
- Entidade de Serviço
- Autenticação do SQL
Identidade gerenciada atribuída pelo sistema ou pelo usuário para registrar
Você pode usar a SAMI (identidade gerenciada atribuída pelo sistema) do Microsoft Purview ou uma UAMI ( identidade gerenciada atribuída pelo usuário ) para autenticar. Ambas as opções permitem atribuir autenticação diretamente ao Microsoft Purview, como faria para qualquer outro usuário, grupo ou entidade de serviço. A identidade gerenciada atribuída pelo sistema do Microsoft Purview é criada automaticamente quando a conta é criada e tem o mesmo nome da sua conta do Microsoft Purview. Uma identidade gerenciada atribuída pelo usuário é um recurso que pode ser criado de forma independente. Para criar um, você pode seguir nosso guia de identidade gerenciada atribuído pelo usuário.
Você pode encontrar sua ID de objeto de identidade gerenciada no portal do Azure seguindo estas etapas:
Para a identidade gerenciada atribuída pelo sistema da conta do Microsoft Purview:
- Abra o portal do Azure e navegue até sua conta do Microsoft Purview.
- Selecione a guia Propriedades no menu do lado esquerdo.
- Selecione o valor da ID do objeto de identidade gerenciada e copie-o.
Para identidade gerenciada atribuída pelo usuário (versão prévia):
- Abra o portal do Azure e navegue até sua conta do Microsoft Purview.
- Selecione a guia Identidades gerenciadas no menu do lado esquerdo
- Selecione as identidades gerenciadas atribuídas pelo usuário, selecione a identidade pretendida para exibir os detalhes.
- A ID do objeto (principal) é exibida na seção essencial de visão geral.
Qualquer identidade gerenciada precisará de permissão para obter metadados para o banco de dados, esquemas e tabelas e consultar as tabelas para classificação.
- Criar um usuário Azure AD na Instância Gerenciada de SQL do Azure seguindo os pré-requisitos e o tutorial sobre Criar usuários contidos mapeados para Azure AD identidades
- Atribua
db_datareaderpermissão à identidade.
Entidade de Serviço para registrar
Há várias etapas para permitir que o Microsoft Purview use a entidade de serviço para examinar sua Instância Gerenciada de SQL do Azure.
Criar ou usar uma entidade de serviço existente
Para usar uma entidade de serviço, você pode usar uma existente ou criar uma nova. Se você vai usar uma entidade de serviço existente, pule para a próxima etapa. Se você precisar criar uma nova Entidade de Serviço, siga estas etapas:
- Navegue no portal Azure.
- Selecione Azure Active Directory no menu do lado esquerdo.
- Selecione Registros de aplicativos.
- Selecione + Novo registro de aplicativo.
- Insira um nome para o aplicativo (o nome da entidade de serviço).
- Selecione Contas somente neste diretório organizacional.
- Para URI de redirecionamento, selecione Web e insira qualquer URL desejada; não precisa ser real nem trabalhar.
- Selecione Registrar.
Configurar Azure AD autenticação na conta de banco de dados
A entidade de serviço deve ter permissão para obter metadados para o banco de dados, esquemas e tabelas. Ele também deve ser capaz de consultar as tabelas para exemplo para classificação.
- Configurar e gerenciar Azure AD autenticação com o SQL do Azure
- Criar um usuário Azure AD na Instância Gerenciada de SQL do Azure seguindo os pré-requisitos e o tutorial sobre Criar usuários contidos mapeados para Azure AD identidades
- Atribua
db_datareaderpermissão à identidade.
Adicionar a entidade de serviço ao cofre de chaves e à credencial do Microsoft Purview
É necessário obter a ID e o segredo do aplicativo da entidade de serviço:
- Navegue até sua Entidade de Serviço no portal do Azure
- Copie os valores da ID do aplicativo (cliente) da Visão geral e do segredo do cliente dos segredos certificados&.
- Navegue até o cofre de chaves
- Selecionar Segredos de Configurações >
- Selecione + Gerar/Importar e insira o Nome de sua escolha e Valor como o segredo do cliente da entidade de serviço
- Selecione Criar para concluir
- Se o cofre de chaves ainda não estiver conectado ao Microsoft Purview, você precisará criar uma nova conexão do cofre de chaves
- Por fim, crie uma nova credencial usando a Entidade de Serviço para configurar a verificação.
Autenticação SQL a ser registrada
Observação
Somente o logon principal no nível do servidor (criado pelo processo de provisionamento) ou os loginmanager membros da função de banco de dados no banco de dados master podem criar novos logons. Leva cerca de 15 minutos após a concessão da permissão, a conta do Microsoft Purview deve ter as permissões apropriadas para poder examinar os recursos.
Você pode seguir as instruções no CREATE LOGIN para criar um logon para a Instância Gerenciada de SQL do Azure se não tiver esse logon disponível. Você precisará de nome de usuário e senha para as próximas etapas.
- Navegue até o cofre de chaves no portal do Azure
- Selecionar Segredos de Configurações >
- Selecione + Gerar/Importar e insira o Nome e o Valor como a senha de sua Instância Gerenciada de SQL do Azure
- Selecione Criar para concluir
- Se o cofre de chaves ainda não estiver conectado ao Microsoft Purview, você precisará criar uma nova conexão do cofre de chaves
- Por fim, crie uma nova credencial usando o nome de usuário e a senha para configurar a verificação.
Etapas para se registrar
Abra o portal de governança do Microsoft Purview por:
- Navegando diretamente para https://web.purview.azure.com e selecionando sua conta do Microsoft Purview.
- Abrir o portal do Azure, pesquisar e selecionar a conta do Microsoft Purview. Selecione o botão portal de governança do Microsoft Purview .
Navegue até o Mapa de Dados.
Selecionar Registrar
Selecione Instância Gerenciada de SQL do Azure e continue.
Selecione Na assinatura do Azure, selecione a assinatura apropriada na caixa suspensa assinatura do Azure e o servidor apropriado na caixa suspensa Nome do servidor .
Forneça o nome de domínio e o número da portatotalmente qualificados do ponto de extremidade público. Em seguida, selecione Registrar para registrar a fonte de dados.
Por exemplo:
foobar.public.123.database.windows.net,3342
Examinar
Siga as etapas abaixo para examinar uma Instância Gerenciada de SQL do Azure para identificar automaticamente ativos e classificar seus dados. Para obter mais informações sobre a verificação em geral, consulte nossa introdução a exames e ingestão.
Criar e executar a verificação
Para criar e executar uma nova verificação, conclua as seguintes etapas:
Selecione a guia Mapa de Dados no painel esquerdo no portal de governança do Microsoft Purview.
Selecione a origem da Instância Gerenciada de SQL do Azure que você registrou.
Selecionar Nova verificação
Selecione a credencial para se conectar à fonte de dados.
Você pode escopo sua verificação para tabelas específicas escolhendo os itens apropriados na lista.
Em seguida, selecione um conjunto de regras de verificação. Você pode escolher entre o padrão do sistema, os conjuntos de regras personalizados existentes ou criar um novo conjunto de regras embutido.
Escolha o gatilho de verificação. Você pode configurar uma agenda ou executar a verificação uma vez.
Examine a verificação e selecione Salvar e executar.
Se você estiver tendo problemas para se conectar à fonte de dados ou executar a verificação, verifique nosso guia de solução de problemas para verificações e conexões.
Exibir suas verificações e verificar execuções
Para exibir as verificações existentes:
- Acesse o portal de governança do Microsoft Purview. No painel esquerdo, selecione Mapa de dados.
- Selecione a fonte de dados. Você pode exibir uma lista de verificações existentes nessa fonte de dados em Verificações recentes ou exibir todas as verificações na guia Verificações .
- Selecione a verificação que tem resultados que você deseja exibir. O painel mostra todas as execuções de verificação anteriores, juntamente com as status e métricas para cada execução de verificação.
- Selecione a ID de execução para marcar os detalhes da execução de verificação.
Gerenciar suas verificações
Para editar, cancelar ou excluir uma verificação:
Acesse o portal de governança do Microsoft Purview. No painel esquerdo, selecione Mapa de Dados.
Selecione a fonte de dados. Você pode exibir uma lista de verificações existentes nessa fonte de dados em Verificações recentes ou exibir todas as verificações na guia Verificações .
Selecione a verificação que você deseja gerenciar. Você poderá:
- Edite a verificação selecionando Editar verificação.
- Cancele uma verificação em andamento selecionando Cancelar execução de verificação.
- Exclua sua verificação selecionando Excluir verificação.
Observação
- A exclusão da verificação não exclui os ativos de catálogo criados de verificações anteriores.
- O ativo não será mais atualizado com alterações de esquema se sua tabela de origem tiver sido alterada e você examinar novamente a tabela de origem depois de editar a descrição na guia Esquema do Microsoft Purview.
Configurar políticas de acesso
Os seguintes tipos de políticas do Microsoft Purview têm suporte neste recurso de dados:
Pré-requisitos da política de acesso no SQL MI do Azure
- Crie um novo MI SQL do Azure ou use um existente em uma das regiões disponíveis atualmente para esse recurso. Você pode seguir este guia para criar um NOVO SQL MI do Azure.
Suporte à região
Todas as regiões do Microsoft Purview têm suporte.
A aplicação das políticas do Microsoft Purview só está disponível nas seguintes regiões para o SQL MI do Azure:
Nuvem pública:
- Leste dos EUA
- Leste dos EUA2
- Centro-Sul dos EUA
- Centro-Oeste dos EUA
- Oeste dos EUA3
- Canadá Central
- Sul do Brasil
- Europa Ocidental
- Norte da Europa
- França Central
- Sul do Reino Unido
- Norte da África do Sul
- Índia Central
- Sudeste da Ásia
- Leste da Ásia
- Leste da Austrália
Configuração do SQL MI do Azure
Esta seção explica como você pode configurar o Azure SQL MI para honrar as políticas do Microsoft Purview. Verifique primeiro se o SQL MI do Azure está configurado para ponto de extremidade público ou privado. Este guia explica como fazer isso.
Configuração para o ponto de extremidade público do SQL MI
Se o SQL MI do Azure estiver configurado para o ponto de extremidade público, siga estas etapas
Configure um Microsoft Entra Administração. No portal do Azure, navegue até o MI SQL do Azure e navegue até Microsoft Entra no menu lateral (anteriormente chamado de administrador do Active Directory). Defina um Administração nome e selecione Salvar. Confira captura de tela:
Em seguida, navegue até Identidade no menu lateral. Em Sistema atribuído identidade gerenciada marcar status para Ativado e, em seguida, selecione Salvar. Confira captura de tela:
Configuração do ponto de extremidade privado do SQL MI
Se o SQL MI do Azure estiver configurado para usar o ponto de extremidade privado, execute as mesmas etapas descritas na configuração do ponto de extremidade público e, além disso, faça o seguinte:
Navegue até o NSG (Grupo de Segurança de Rede) associado ao SEU SQL MI do Azure.
Adicione uma regra de segurança de saída semelhante à da captura de tela a seguir. Destino = Marca de Serviço, marca de serviço de destino = MicrosoftPurviewPolicyDistribution, Service = HTTPS, Action = Allow. Verifique também que a prioridade dessa regra é menor do que a da regra deny_all_outbound .
Configurar a conta do Microsoft Purview para políticas
Registrar a fonte de dados no Microsoft Purview
Antes que uma política possa ser criada no Microsoft Purview para um recurso de dados, você deve registrar esse recurso de dados no Microsoft Purview Studio. Você encontrará as instruções relacionadas ao registro do recurso de dados posteriormente neste guia.
Observação
As políticas do Microsoft Purview dependem do caminho do ARM do recurso de dados. Se um recurso de dados for movido para um novo grupo de recursos ou assinatura, ele precisará ser des registrado e registrado novamente no Microsoft Purview.
Configurar permissões para habilitar o gerenciamento de uso de dados na fonte de dados
Depois que um recurso é registrado, mas antes que uma política possa ser criada no Microsoft Purview para esse recurso, você deve configurar permissões. Um conjunto de permissões é necessário para habilitar o gerenciamento de uso de dados. Isso se aplica a fontes de dados, grupos de recursos ou assinaturas. Para habilitar o gerenciamento de uso de dados, você deve ter privilégios específicos de IAM (Gerenciamento de Identidade e Acesso) no recurso, bem como privilégios específicos do Microsoft Purview:
Você deve ter uma das seguintes combinações de função IAM no caminho do Azure Resource Manager do recurso ou qualquer pai dele (ou seja, usando a herança de permissão IAM):
- Proprietário do IAM
- Colaborador do IAM e Administrador de Acesso de Usuário do IAM
Para configurar permissões de RBAC (controle de acesso baseado em função) do Azure, siga este guia. A captura de tela a seguir mostra como acessar a seção Controle de Acesso no portal do Azure para o recurso de dados para adicionar uma atribuição de função.
Observação
A função Proprietário do IAM para um recurso de dados pode ser herdada de um grupo de recursos pai, uma assinatura ou um grupo de gerenciamento de assinatura. Verifique qual Azure AD usuários, grupos e entidades de serviço detêm ou estão herdando a função Proprietário do IAM para o recurso.
Você também precisa ter a função de administrador de fonte de dados do Microsoft Purview para a coleção ou uma coleção pai (se a herança estiver habilitada). Para obter mais informações, consulte o guia sobre como gerenciar atribuições de função do Microsoft Purview.
A captura de tela a seguir mostra como atribuir a função de administrador de fonte de dados no nível da coleção raiz.
Configurar permissões do Microsoft Purview para criar, atualizar ou excluir políticas de acesso
Para criar, atualizar ou excluir políticas, você precisa obter a função de autor de política no Microsoft Purview no nível da coleção raiz:
- A função autor da política pode criar, atualizar e excluir políticas de DevOps e Proprietário de Dados.
- A função de autor da política pode excluir políticas de acesso por autoatendimento.
Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.
Observação
A função de autor de política deve ser configurada no nível da coleção raiz.
Além disso, para pesquisar facilmente Azure AD usuários ou grupos ao criar ou atualizar o assunto de uma política, você pode se beneficiar muito de obter a permissão Leitores do Diretório em Azure AD. Essa é uma permissão comum para usuários em um locatário do Azure. Sem a permissão Leitor de Diretório, o Autor da Política terá que digitar o nome de usuário ou o email completo para todas as entidades incluídas no assunto de uma política de dados.
Configurar permissões do Microsoft Purview para publicar políticas do Proprietário de Dados
As políticas de Proprietário de Dados permitem verificações e saldos se você atribuir o autor da Política do Microsoft Purview e funções de administrador de fonte de dados a diferentes pessoas na organização. Antes que uma política de proprietário de dados entre em vigor, uma segunda pessoa (administrador de fonte de dados) deve revisá-la e aprová-la explicitamente publicando-a. Isso não se aplica às políticas de acesso de DevOps ou autoatendimento, pois a publicação é automática para elas quando essas políticas são criadas ou atualizadas.
Para publicar uma política de proprietário de dados, você precisa obter a função de administrador de fonte de dados no Microsoft Purview no nível de coleta raiz.
Para obter mais informações sobre como gerenciar atribuições de função do Microsoft Purview, consulte Criar e gerenciar coleções no Mapa de Dados do Microsoft Purview.
Observação
Para publicar políticas de proprietário de dados, a função de administrador de fonte de dados deve ser configurada no nível da coleção raiz.
Delegar a responsabilidade de provisionamento de acesso a funções no Microsoft Purview
Depois que um recurso tiver sido habilitado para o gerenciamento de uso de dados, qualquer usuário do Microsoft Purview com a função de autor de política no nível de coleta raiz pode provisionar o acesso a essa fonte de dados do Microsoft Purview.
Observação
Qualquer administrador do Conjunto raiz do Microsoft Purview pode atribuir novos usuários às funções de autor de política raiz. Qualquer administrador da Coleção pode atribuir novos usuários a uma função de administrador de fonte de dados na coleção. Minimize e examine cuidadosamente os usuários que possuem funções de administrador do Microsoft Purview Collection, administrador de fonte de dados ou autor de política .
Se uma conta do Microsoft Purview com políticas publicadas for excluída, essas políticas deixarão de ser impostas em um período de tempo que depende da fonte de dados específica. Essa alteração pode ter implicações na segurança e na disponibilidade de acesso a dados. As funções Colaborador e Proprietário no IAM podem excluir contas do Microsoft Purview. Você pode marcar essas permissões acessando a seção controle de acesso (IAM) para sua conta do Microsoft Purview e selecionando Atribuições de Função. Você também pode usar um bloqueio para impedir que a conta do Microsoft Purview seja excluída por meio de bloqueios do Resource Manager.
Registrar as fontes de dados no Microsoft Purview
A fonte de dados da Instância Gerenciada de SQL do Azure precisa ser registrada primeiro no Microsoft Purview, antes que você possa criar políticas de acesso. Você pode seguir as seções "Pré-requisitos" e "Registrar a fonte de dados" neste guia:
Registrar e examinar o SQL MI do Azure
Depois de registrar seus recursos, você precisará habilitar a aplicação da política (anteriormente Gerenciamento de Uso de Dados). A aplicação da política precisa de determinadas permissões e pode afetar a segurança de seus dados, pois ela delega a determinadas funções do Microsoft Purview a capacidade de gerenciar o acesso a fontes de dados. Confira as práticas seguras relacionadas à aplicação da política neste guia: Como habilitar a aplicação da política
Depois que a fonte de dados tiver a aplicação da políticahabilitada, ela será semelhante a esta captura de tela. Isso permitirá que as políticas de acesso sejam usadas com a fonte de dados fornecida 
Retorne ao portal do Azure para a Banco de Dados SQL do Azure para verificar se ele agora é regido pelo Microsoft Purview:
Entre no portal do Azure por meio deste link
Selecione o SQL Server do Azure que você deseja configurar.
Acesse o Azure Active Directory no painel esquerdo.
Role para baixo até as políticas de acesso do Microsoft Purview.
Selecione o botão para Verificar a Governança do Microsoft Purview. Aguarde enquanto a solicitação é processada. Pode levar alguns minutos.
Confirme se o Status de Governança do Microsoft Purview mostra
Governed. Observe que pode levar alguns minutos depois de habilitar o gerenciamento de uso de dados no Microsoft Purview para que o status correto seja refletido.
Observação
Se você desabilitar o gerenciamento de uso de dados para esta fonte de dados do Azure Banco de Dados SQL, pode levar até 24 horas para que o Status de Governança do Microsoft Purview seja atualizado automaticamente para Not Governed. Isso pode ser acelerado selecionando Verificar a Governança do Microsoft Purview. Antes de habilitar o gerenciamento de uso de dados para a fonte de dados em outra conta do Microsoft Purview, verifique se o Status de Governança do Purview é mostrado como Not Governed. Em seguida, repita as etapas acima com a nova conta do Microsoft Purview.
Criar uma política
Para criar políticas de acesso para o SQL MI do Azure, siga estes guias:
- Para criar uma política de DevOps em um único SQL MI do Azure, consulte Provisionar acesso a informações de integridade, desempenho e auditoria do sistema no SQL MI do Azure.
- Para criar políticas que abrangem todas as fontes de dados dentro de um grupo de recursos ou assinatura do Azure, consulte Descobrir e governar várias fontes do Azure no Microsoft Purview.
Próximas etapas
Agora que você registrou sua origem, siga os guias a seguir para saber mais sobre o Microsoft Purview e seus dados.