Dela via

IDENTIFIERING och klassificering av SQL-data

Applies to:SQL Server

Dataidentifiering och klassificering lägger till funktioner för att identifiera, klassificera, märka och rapportera känsliga data i dina databaser. Detta kan göras via T-SQL eller med hjälp av SQL Server Management Studio (SSMS). Att upptäcka och klassificera dina känsligaste data (affärs-, ekonomi-, hälsouppgifter osv.) kan spela en avgörande roll i organisationens informationsskyddsnivå. Den kan fungera som infrastruktur för:

  • Hjälper till att uppfylla datasekretessstandarder.
  • Övervakning av åtkomst till databaser/kolumner som innehåller mycket känsliga data.

Anmärkning

Dataidentifiering & Klassificeringen stöds för SQL Server 2012 och senare och kan användas med SSMS 17.5 eller senare. För information om Azure SQL Database, se Azure SQL Database Data Discovery & Klassificering.

Översikt

Dataidentifiering & Klassificering utgör ett nytt informationsskyddsparadigm för SQL Database, SQL Managed Instance och Azure Synapse, som syftar till att skydda data och inte bara databasen. För närvarande har den stöd för följande funktioner:

  • Identifiering och rekommendationer – Klassificeringsmotorn söker igenom databasen och identifierar kolumner som innehåller potentiellt känsliga data. Det ger dig sedan ett enkelt sätt att granska och tillämpa lämpliga klassificeringsrekommendationer, samt att klassificera kolumner manuellt.
  • Etikettering – Känslighetsklassificeringsetiketter kan beständigt taggas på kolumner.
  • Synlighet – Databasklassificeringstillståndet kan visas i en detaljerad rapport som kan skrivas ut eller exporteras för att användas i efterlevnads- och granskningssyfte.

Identifiera, klassificera och märka känsliga kolumner

I följande avsnitt beskrivs stegen för att identifiera, klassificera och märka kolumner som innehåller känsliga data i databasen, samt visa databasens aktuella klassificeringstillstånd och exportera rapporter.

Klassificeringen innehåller två metadataattribut:

  • Etiketter – De viktigaste klassificeringsattributen som används för att definiera känslighetsnivån för de data som lagras i kolumnen.
  • Informationstyper – Ge mer kornighet i den typ av data som lagras i kolumnen.

För att klassificera din SQL Server databas:

  1. I SQL Server Management Studio (SSMS) ansluter du till SQL Server.

  2. I SSMS-Object Explorer väljer du den databas som du vill klassificera och väljer Tasks>Dataidentifiering och klassificering>Classify-data... .

    Skärmdump som visar SSMS Objektexplorer med uppgifter > Dataidentifiering och Klassificering > Klassificera data... valda.

  3. Klassificeringsmotorn söker igenom databasen efter kolumner (endast baserat på kolumnnamn) som innehåller potentiellt känsliga data och innehåller en lista över rekommenderade kolumnklassificeringar:

    • Om du vill visa listan över rekommenderade kolumnklassificeringar väljer du meddelanderutan rekommendationer längst upp eller på panelen med rekommendationer längst ned i fönstret:

      Skärmbild som visar meddelandet Vi har hittat 39 kolumner med klassificeringsrekommendationer. Klicka här om du vill visa dem.

      Skärmbild som visar meddelandet med 39 kolumner med klassificeringsrekommendationer (klicka för att visa).

    • Granska listan med rekommendationer:

      • Om du vill acceptera en rekommendation för en specifik kolumn markerar du kryssrutan i den vänstra kolumnen på den relevanta raden. Du kan också markera alla rekommendationer som godkända genom att markera kryssrutan i tabellrubriken för rekommendationerna.

      • Du kan också ändra den rekommenderade informationstypen och känslighetsetiketten med hjälp av listrutorna.

      Skärmbild som visar listan med rekommendationer.

    • Om du vill tillämpa de valda rekommendationerna väljer du knappen Spara valda rekommendationer .

      Skärmbild av knappen Acceptera valda rekommendationer.

Anmärkning

Rekommendationsmotor som gör automatisk dataidentifiering och ger rekommendationer för känsliga kolumner inaktiveras när Microsoft Purview Information Protection principläge används.

  1. Om du vill visa de klassificerade kolumnerna väljer du lämpligt schema och motsvarande tabell i listrutan och väljer sedan Läs in kolumner.

    skärmbild av SSMS-dataklassificering som laddar in klassificerade kolumner.

  2. Du kan också manuellt klassificera kolumner som ett alternativ, eller utöver den rekommendationsbaserade klassificeringen:

    • Välj Lägg till klassificering på den översta menyn i fönstret.

      Skärmbild som visar den översta menyn med alternativet Lägg till klassificering framhävt.

    • I kontextfönstret som öppnas anger du det kolumnnamn som du vill klassificera, informationstyp och känslighetsetikett. Schema och tabell väljs baserat på posterna på huvudsidan.

      Skärmbild som visar fönstret Lägg till klassificeringskontext.

    • Om du vill lägga till klassificering för alla oklassificerade kolumner för en specifik tabell i ett enda försök väljer du Alla oklassificerade i listrutan Kolumn på sidan Lägg till klassificering .

      skärmbild av SSMS-dataklassificering som markerar alla oklassificerade kolumner

  3. Om du vill slutföra klassificeringen och beständigt märka (tagga) databaskolumnerna med de nya klassificeringsmetadata väljer du knappen Spara på den översta menyn i fönstret.

    Skärmbild som visar den översta menyn med alternativet Spara markerat.

  4. Om du vill generera en rapport med en fullständig sammanfattning av databasklassificeringstillståndet väljer du Visa rapport på den översta menyn i fönstret. (Du kan också generera en rapport med hjälp av SSMS. Välj den databas där du vill generera rapporten och välj Uppgifter>Dataidentifiering och Klassificering>Generera rapport...)

    Skärmbild som visar den översta menyn med alternativet Visa rapport framhävt.

    Skärmbild som visar SQL-dataklassificeringsrapporten.

Klassificera databasen med hjälp av Microsoft Purview Information Protection princip

Anmärkning

Microsoft Information Protection (förkortat MIP) har bytt namn till Microsoft Purview Information Protection. Både termerna MIP och Microsoft Purview Information Protection används ofta omväxlande i det här dokumentet, men båda refererar till samma begrepp.

Microsoft Purview Information Protection etiketter är ett enkelt och enhetligt sätt för användarna att klassificera känsliga data i SQL Server. MIP-känslighetsetiketter skapas och hanteras i Microsoft 365 efterlevnadscenter [omdöpt till Microsoft Purview efterlevnadsportal]. För att lära dig hur du skapar och publicerar MIP-känslighetsetiketter i Microsoft Purview Compliance Portal, se artikeln Microsoft Information Protection känslighetsetiketter.

Nu kan du använda SSMS för att klassificera data vid källan (SQL Server) med hjälp av Microsoft Purview Information Protection etiketter som används i Power BI, Office och andra Microsoft-produkter. Dessa känslighetsetiketter tillämpas på kolumnnivå i en databas, samma som SQL Information Protection-principen.

Power BI-datauppsättningar eller rapporter som ansluter till känslighetsetiketterade data i datakällor som stöds kan ärva dessa etiketter automatiskt, så att data förblir klassificerade när de förs till Power BI och exporteras till underordnade program. Med MIP-principens tillgänglighet i SSMS kan du uppnå en heltäckande klassificeringslösning för hela företaget.

Steg för att konfigurera Microsoft Purview Information Protection policy

  1. I SQL Server Management Studio (SSMS) ansluter du till SQL Server.

  2. I SSMS-Object Explorer väljer du den databas som du vill klassificera och väljer Tasks>Data discovery and classification>Set Microsoft Information Protection Policy

    Skärmdump av Microsoft Information Protection Policy i SSMS

  3. Ett autentiseringsfönster för Microsoft 365 för att ange Microsoft Information Protection Policy visas. Välj Sign In och ange eller välj en giltig användarautentiseringsuppgift för att autentisera till din Microsoft 365 klientorganisation.

    Skärmbild av autentisering för att ange Microsoft Information Protection Policy

  4. Om autentiseringen lyckas visas ett popup-fönster med statusen Lyckades.

    Skärmbild av att konfigurera Microsoft Information Protection Policy i SSMS

  5. Valfritt – Om du vill logga in på något av Microsofts nationella moln för att autentisera till Microsoft 365 går du till SSMS >Tools>Options>Azure Services>Azure Cloud, och ändra Name till det relevanta Nationella Microsoft-molnet.

    Skärmbild av att välja typ av Azure moln i SSMS

  6. I fönstret SSMS Object Explorer högerklicka på databasen som du vill klassificera och välj Tasks>Data Discovery and Classification>Classify Data. Nu kan du lägga till ny klassificering med hjälp av MIP-känslighetsetiketter som definierats i din Microsoft 365 klientorganisation och använda dessa etiketter för att klassificera kolumner i SQL Server.

    Välja känslighetsetiketter för Microsoft Information Protection Policy i SSMS

    Automatisk dataidentifiering och rekommendation inaktiveras i Microsoft Information Protection-policyläge. Den är för närvarande endast tillgänglig i SQL Information Protection Principläge.

Om du vill återställa Information Protection-principen till standard- eller SQL-Information Protection, gå till SSMS Object Explorer, högerklicka på databasen och välj Tasks>DataIdentifiering och klassificering>Reset Information Protection princip till Standard. Detta tillämpar standard- eller SQL-Information Protection-principen och du kan klassificera data med hjälp av SQL-känslighetsetiketter i stället för MIP-etiketter.

Skärmbild av att återställa informationsskyddspolicyn i SSMS

Aktivera Information Protection policy från en anpassad JSON-fil genom att gå till SSMS Object Explorer, högerklicka på databasen och välj Uppgifter>Dataidentifiering och klassificering>Ange informationsskyddspolicyfil.

Anmärkning

En varningsikon anger att kolumnen tidigare klassificerades med en annan Information Protection princip än det valda principläget. Om du till exempel för närvarande är i Microsoft Information Protection läge och en av kolumnerna tidigare klassificerades med SQL Information Protection Policy eller Information Protection Policy från en anpassad principfil visas en varningsikon mot kolumnen. Du kan bestämma om du vill ändra klassificeringen av kolumnen till någon av de känslighetsetiketter som är tillgängliga i det aktuella principläget eller lämna den som den är. Skärmbild av dataklassificeringsvarning för missanpassade policyer

Hantera informationsskyddspolicy med SSMS

Du kan hantera Information Protection-principen med den senaste versionen av SQL Server Management Studio:

  1. I SQL Server Management Studio (SSMS) ansluter du till SQL Server.

  2. I SSMS-Object Explorer väljer du en av dina databaser och väljer Tasks>Dataidentifiering och klassificering.

    Med följande menyalternativ kan du hantera Information Protection-principen:

  • Set Microsoft Information Protection Policy: ställer in Information Protection Policy till Microsoft Purview Information Protection Policy.

  • Set Information Protection Policy File: använder SQL Information Protection Policy enligt definitionen i den valda JSON-filen. (Se standardfilen Informationsskyddspolicy)

  • Exportera Information Protection Policy: exporterar policyn för informationsskydd till en JSON-fil.

  • Reset Information Protection Policy: återställer Information Protection-principen till standardprincipen för SQL Information Protection.

Viktigt!

Informationsskyddspolicyfil lagras inte i SQL Server. SSMS använder en standardprincip för Information Protection. Om en anpassad Information Protection princip misslyckas kan SSMS inte använda standardprincipen. Dataklassificeringen misslyckas. Lös problemet genom att klicka på Reset Information Protection Policy för att använda standardprincipen och återaktivera dataklassificering.

Åtkomst till klassificeringsmetadata

SQL Server 2019 lanserar systemkatalogvyn sys.sensitivity_classifications. Den här vyn returnerar informationstyper och känslighetsetiketter.

På SQL Server 2019-instanser frågar du sys.sensitivity_classifications för att granska alla klassificerade kolumner med motsvarande klassificeringar. Till exempel:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Innan SQL Server 2019 finns klassificeringsmetadata för informationstyper och känslighetsetiketter i följande utökade egenskaper:

  • sys_information_type_name
  • sys_sensitivity_label_name

För instanser av SQL Server 2017 och tidigare returnerar följande exempel alla klassificerade kolumner med motsvarande klassificeringar:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Behörigheter

På SQL Server 2019-instanser kräver visning av klassificering VIEW ANY SENSITIVITY CLASSIFICATION permission. För mer information, se inställningar för metadatasynlighet.

Före SQL Server 2019 kan metadata nås med katalogvyn Utökade egenskaper sys.extended_properties.

Hantering av klassificering kräver ALTER ANY SENSITIVITY CLASSIFICATION-behörighet. ALTER ANY SENSITIVITY CLASSIFICATION underförstås av databasbehörigheten ALTER eller av serverbehörigheten CONTROL SERVER.

Hantera klassificeringar

Du kan använda T-SQL för att lägga till eller ta bort kolumnklassificeringar och även hämta alla klassificeringar för hela databasen.

Nästa steg

För information om Azure SQL Database, se Azure SQL Database Data Discovery & Klassificering.

Överväg att skydda känsliga kolumner genom att använda säkerhetsmekanismer på kolumnnivå:

  • Last updated on