Руководство по устранению неполадок с политиками Microsoft Purview для источников данных SQL
Примечание.
Каталог данных Microsoft Purview (классическая) и Аналитика работоспособности данных (классическая) больше не берут на себя новых клиентов, и эти службы, ранее Azure Purview, теперь находятся в режиме поддержки клиентов.
В этом руководстве вы узнаете, как выполнять команды SQL для проверки политик Microsoft Purview, которые были переданы экземпляру SQL, где они будут применяться. Вы также узнаете, как принудительно скачивать политики в экземпляр SQL. Эти команды используются только для устранения неполадок и не требуются во время обычной работы политик Microsoft Purview. Для выполнения этих команд требуется более высокий уровень привилегий в экземпляре SQL.
Дополнительные сведения о политиках Microsoft Purview см. в руководствах по основным понятиям, перечисленных в разделе Дальнейшие действия .
Предварительные условия
- Подписка на Azure. Если у вас еще нет подписки, создайте бесплатную подписку.
- Учетная запись Microsoft Purview. Если у вас ее нет, см. краткое руководство по созданию учетной записи Microsoft Purview.
- Зарегистрируйте источник данных, включите принудительное применение политики данных и создайте политику. Для этого используйте одно из руководств по политике Microsoft Purview. Чтобы следовать примерам, приведенным в этом руководстве, можно создать политику DevOps для базы данных Azure SQL.
Тестирование политики
После создания политики субъекты Microsoft Entra, на которые ссылается тема политики, должны иметь возможность подключаться к любой базе данных на сервере, для которой публикуются политики.
Принудительное скачивание политики
Можно принудительно скачать последние опубликованные политики в текущую базу данных SQL, выполнив следующую команду. Минимальное разрешение, необходимое для запуска, — членство в роли ##MS_ServerStateManager##-server.
-- Force immediate download of latest published policies
exec sp_external_policy_refresh reload
Анализ состояния скачаемой политики из SQL
Следующие динамические административные представления можно использовать для анализа того, какие политики были скачаны и назначены Microsoft Entra субъектам. Минимальное разрешение, необходимое для их запуска, — VIEW DATABASE SECURITY STATE — или назначенный аудитор безопасности SQL группы действий.
-- Lists generally supported actions
SELECT * FROM sys.dm_server_external_policy_actions
-- Lists the roles that are part of a policy published to this server
SELECT * FROM sys.dm_server_external_policy_roles
-- Lists the links between the roles and actions, could be used to join the two
SELECT * FROM sys.dm_server_external_policy_role_actions
-- Lists all Azure AD principals that were given connect permissions
SELECT * FROM sys.dm_server_external_policy_principals
-- Lists Azure AD principals assigned to a given role on a given resource scope
SELECT * FROM sys.dm_server_external_policy_role_members
-- Lists Azure AD principals, joined with roles, joined with their data actions
SELECT * FROM sys.dm_server_external_policy_principal_assigned_actions
Дальнейшие действия
Основные руководства по политикам доступа Microsoft Purview: