Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Applica a:
SQL Server
Individuazione e classificazione dati offre funzionalità per il rilevamento, la classificazione, l’etichettatura e il reporting dei dati sensibili nei database. Questa operazione può essere eseguita tramite T-SQL o usando SQL Server Management Studio (SSMS). L'individuazione e la classificazione dei dati più sensibili (aziendali, finanziari, sanitari e così via) possono svolgere un ruolo fondamentale nella protezione delle informazioni della tua organizzazione. Può servire come infrastruttura per:
- Contribuire a soddisfare gli standard per la privacy dei dati.
- Monitoraggio dell'accesso ad archivi/colonne contenenti dati altamente sensibili.
Nota
Individuazione dati & La classificazione è
Panoramica
Individuazione dati & La classificazione costituisce un nuovo paradigma di protezione delle informazioni per database SQL, SQL Managed Instance e Azure Synapse, volto a proteggere i dati e non solo al database. Attualmente supporta le seguenti funzionalità:
- Individuazione e consigli: il motore di classificazione esegue l'analisi del database e identifica le colonne che contengono dati potenzialmente sensibili. In seguito offre un modo semplice per verificare e applicare i consigli di classificazione appropriati, nonché per classificare manualmente le colonne.
- Assegnazione di etichette: è possibile contrassegnare le colonne con etichette di classificazione di riservatezza in modo permanente.
- Visibilità: è possibile visualizzare lo stato di classificazione del database in un report dettagliato che può essere stampato o esportato a scopo di controllo e conformità.
Individuazione, classificazione e assegnazione di etichette a colonne di dati sensibili
Nella sezione seguente vengono descritti i passaggi per l'individuazione, la classificazione e l'assegnazione di etichette a colonne del database contenenti dati sensibili, nonché per visualizzare lo stato di classificazione corrente del database e per esportare report.
La classificazione include due attributi di metadati:
- Etichette: gli attributi di classificazione principali, usati per definire il livello di riservatezza dei dati archiviati nella colonna.
- Tipi di informazioni: offrono maggiore granularità del tipo di dati archiviati nella colonna.
Per classificare il database SQL Server:
In SQL Server Management Studio (SSMS) connettersi al SQL Server.
In SSMS Object Explorer selezionare il database da classificare e scegliere Tasks>Data Discovery and Classification>Classify Data... .
Nota: il motore di classificazione esegue l'analisi del database per identificare, solo in base ai nomi, le colonne contenenti dati potenzialmente sensibili e fornisce un elenco di classificazioni delle colonne consigliate:
Per visualizzare l'elenco delle classificazioni delle colonne consigliate, selezionare la casella di notifica dei consigli in alto oppure sul pannello dei consigli nella parte inferiore della finestra:
Esaminare l'elenco dei consigli:
Per accettare un consiglio per una colonna specifica, selezionare la casella di controllo nella colonna sinistra della riga pertinente. È anche possibile contrassegnare tutti i consigli come accettati selezionando la casella di controllo nell'intestazione della tabella dei consigli.
È anche possibile modificare l’etichetta di riservatezza e il tipo di informazioni consigliate usando le caselle a discesa.
Per applicare i consigli selezionati, selezionare il pulsante Salva consigli selezionati.
Nota
Il motore delle raccomandazioni che esegue l'individuazione automatica dei dati e fornisce raccomandazioni di colonne sensibili è disabilitato quando viene utilizzata la modalità criteri di Microsoft Purview Information Protection.
Per visualizzare le colonne classificate, selezionare lo schema e la tabella corrispondente nell'elenco a discesa, quindi selezionare Carica colonne.
È anche possibile classificare manualmente le colonne in alternativa o in aggiunta alla classificazione basata sui consigli:
Nel menu superiore della finestra, selezionare Aggiungi classificazione.
Nella finestra contestuale che si apre, inserire il nome della colonna da classificare, il tipo di informazioni e l'etichetta di riservatezza. Schema e tabella vengono selezionati in base alle immissioni nella pagina principale.
Per aggiungere la classificazione per tutte le colonne non classificate per una tabella specifica in un singolo tentativo, selezionare Tutti gli elementi non classificati nell'elenco a discesa Colonna della pagina Aggiungi classificazione.
Per completare la classificazione e assegnare etichette (tag) in modo permanente alle colonne del database con i nuovi metadati di classificazione, selezionare il pulsante Salva nel menu superiore della finestra.
Per generare un report con un riepilogo completo dello stato di classificazione del database, selezionare Visualizza report nel menu superiore della finestra. (È possibile generare un report anche usando SSMS. Selezionare il database in cui generare il report e scegliere Attività>Individuazione e classificazione dei dati>Genera report...)
Classificare il database usando criteri di Microsoft Purview Information Protection
Nota
Microsoft Information Protection ( abbreviato come MIP) è stato rinominato come Microsoft Purview Information Protection. Entrambi i termini MIP e Microsoft Purview Information Protection vengono spesso usati in modo intercambiabile in questo documento, ma entrambi fanno riferimento allo stesso concetto.
Microsoft Purview Information Protection etichette offrono agli utenti un modo semplice e uniforme per classificare i dati sensibili in SQL Server. Le etichette di riservatezza MIP vengono create e gestite nel centro conformità Microsoft 365 [rinominato come portale di conformità Microsoft Purview]. Per informazioni su come creare e pubblicare etichette sensibili MIP in Microsoft Purview Compliance Portal, consultare l'articolo Microsoft Information Protection sensitivity labels.
È ora possibile usare SSMS per classificare i dati nell'origine (SQL Server) usando Microsoft Purview Information Protection etichette, usate in Power BI, Office e altri prodotti Microsoft. Queste etichette di riservatezza vengono applicate a livello di colonna in un database, come la politica SQL Information Protection.
I set di dati o i report di Power BI che si collegano ai dati con etichetta di riservatezza nelle origini dati supportate possono ereditare automaticamente tali etichette in modo che i dati rimangano classificati quando vengono inseriti in Power BI ed esportati in applicazioni downstream. La disponibilità dei criteri MIP in SSMS consente di ottenere una soluzione di classificazione end-to-end a livello aziendale.
Procedura per configurare i criteri di Microsoft Purview Information Protection
In SQL Server Management Studio (SSMS) connettersi al SQL Server.
Nel Object Explorer SSMS selezionare il database da classificare e selezionare Tasks>Data Discovery and Classification>Set Microsoft Information Protection Policy
Verrà visualizzata una finestra di autenticazione per Microsoft 365 per impostare i criteri di Microsoft Information Protection. Selezionare Accedi e immettere o selezionare una credenziale utente valida per l'autenticazione nel tenant Microsoft 365.
Se l'autenticazione riesce, verrà visualizzata una finestra a comparsa con lo stato Operazione riuscita.
Facoltativo: se si vuole accedere a uno dei cloud sovrani Microsoft per l'autenticazione a Microsoft 365, passare a SSMS >Strumenti>>Opzioni>Azure Services>Azure Cloud, e modificare il Nome nel cloud sovrano Microsoft pertinente.
Nella finestra SSMS Object Explorer Fare clic con il pulsante destro del mouse sul database da classificare e scegliere Tasks>Data Discovery and Classification>Classify Data. È ora possibile aggiungere una nuova classificazione usando le etichette di riservatezza MIP definite nel tenant Microsoft 365 e usare tali etichette per classificare le colonne in SQL Server.
Scelta delle etichette di sensibilità dei criteri di Microsoft Information Protection in SSMS
L'individuazione automatica dei dati e la raccomandazione sono disabilitate in modalità Criteri di Microsoft Information Protection. È attualmente disponibile solo in modalità Criteri di Protezione delle Informazioni SQL.
Per reimpostare il criterio di protezione delle informazioni al valore predefinito o alla protezione delle informazioni SQL, passare a SSMS Object Explorer, fare clic con il pulsante destro del mouse sul database e scegliere Tasks>Data Discovery and Classification>Reimposta criterio predefinito di protezione delle informazioni. Verranno applicati i criteri predefiniti o SQL Information Protection ed è possibile classificare i dati usando etichette di riservatezza SQL anziché etichette MIP.
Per abilitare i criteri di Information Protection da un file JSON personalizzato, passare a SSMS Object Explorer, fare clic con il pulsante destro del mouse sul database e scegliere Tasks>Data Discovery and Classification>Set Information Protection Policy File.
Nota
Un'icona di avviso indica che la colonna è stata classificata in precedenza usando un criterio di Information Protection diverso rispetto alla modalità dei criteri attualmente selezionata. Ad esempio, se si è attualmente in modalità Microsoft Information Protection e una delle colonne è stata classificata in precedenza usando criteri di protezione delle informazioni SQL o criteri di protezione delle informazioni derivati da un file di criteri personalizzato, verrà visualizzata un'icona di avviso accanto a tale colonna. È possibile decidere se modificare la classificazione della colonna in una delle etichette di riservatezza disponibili nella modalità corrente dei criteri oppure lasciarla così com'è.
Gestire i criteri di protezione delle informazioni con SSMS
È possibile gestire i criteri di Information Protection usando la versione più recente di SQL Server Management Studio:
In SQL Server Management Studio (SSMS) connettersi al SQL Server.
Nella Object Explorer SSMS selezionare uno dei database e scegliere Tasks>Data Discovery and Classification.
Le opzioni di menu seguenti consentono di gestire i criteri di Information Protection:
Set Microsoft Information Protection Policy: imposta i criteri di protezione delle informazioni a Microsoft Purview Information Protection Policy.
Imposta File di criteri di protezione delle informazioni: utilizza i criteri di protezione delle informazioni SQL definiti nel file JSON selezionato. Consultare il file predefinito dei criteri di protezione delle informazioni Information Protection Policy File
Export Information Protection Policy: esporta la politica di protezione delle informazioni in un file JSON.
Reset Information Protection Policy: ripristina i criteri di protezione delle informazioni al criterio SQL predefinito.
Importante
Il file del criterio di protezione delle informazioni non viene archiviato sul SQL Server. SSMS usa un criterio di Information Protection predefinito. Se un criterio personalizzato di Information Protection ha esito negativo, SSMS non può usare i criteri predefiniti. La classificazione dei dati ha esito negativo. Per risolvere il problema, fare clic su Reset Information Protection Policy per usare i criteri predefiniti e riabilitare la classificazione dei dati.
Accesso ai metadati di classificazione
SQL Server 2019 introduce la vista del catalogo di sistema sys.sensitivity_classifications. Questa vista restituisce i tipi di informazioni e le etichette di riservatezza.
Nelle istanze di SQL Server 2019 eseguire una query sys.sensitivity_classifications per esaminare tutte le colonne classificate con le classificazioni corrispondenti. Ad esempio:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
label,
rank,
rank_desc
FROM sys.sensitivity_classifications sc
JOIN sys.objects O
ON sc.major_id = O.object_id
JOIN sys.columns C
ON sc.major_id = C.object_id AND sc.minor_id = C.column_id
Prima di SQL Server 2019, i metadati di classificazione per i tipi di informazioni e le etichette di riservatezza si trovano nelle proprietà estese seguenti:
sys_information_type_namesys_sensitivity_label_name
Per le istanze di SQL Server 2017 e precedenti, l'esempio seguente restituisce tutte le colonne classificate con le classificazioni corrispondenti:
SELECT
schema_name(O.schema_id) AS schema_name,
O.NAME AS table_name,
C.NAME AS column_name,
information_type,
sensitivity_label
FROM
(
SELECT
IT.major_id,
IT.minor_id,
IT.information_type,
L.sensitivity_label
FROM
(
SELECT
major_id,
minor_id,
value AS information_type
FROM sys.extended_properties
WHERE NAME = 'sys_information_type_name'
) IT
FULL OUTER JOIN
(
SELECT
major_id,
minor_id,
value AS sensitivity_label
FROM sys.extended_properties
WHERE NAME = 'sys_sensitivity_label_name'
) L
ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
) EP
JOIN sys.objects O
ON EP.major_id = O.object_id
JOIN sys.columns C
ON EP.major_id = C.object_id AND EP.minor_id = C.column_id
Autorizzazioni
Nelle istanze di SQL Server 2019, la visualizzazione della classificazione richiede l'autorizzazione VIEW ANY SENSITIVITY CLASSIFICATION. Per altre informazioni, vedere Metadata Visibility Configuration.
Prima di SQL Server 2019, è possibile accedere ai metadati usando la vista del catalogo Delle proprietà estese sys.extended_properties.
La gestione della classificazione richiede l’autorizzazione ALTER ANY SENSITIVITY CLASSIFICATION. L'autorizzazione ALTER ANY SENSITIVITY CLASSIFICATION è implicita nell'autorizzazione ALTER del database o nell'autorizzazione CONTROL SERVER del server.
Gestire le classificazioni
È possibile usare T-SQL per aggiungere o rimuovere classificazioni di colonna, nonché recuperare tutte le classificazioni per l'intero database.
- Aggiungere o aggiornare la classificazione di una o più colonne: AGGIUNGI CLASSIFICAZIONE DI RISERVATEZZA
- Rimuovere la classificazione da una o più colonne: RIMUOVI CLASSIFICAZIONE DI RISERVATEZZA
Passaggi successivi
Per Azure SQL Database, vedere
Potrebbe essere consigliabile proteggere le colonne sensibili applicando meccanismi di sicurezza a livello di colonna:
- Dynamic Data Masking per l'offuscamento delle colonne sensibili in uso.
- Always Encrypted per crittografare le colonne sensibili a riposo.