Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit la fonctionnalité de création de rapports personnalisés du scanneur Protection des données Microsoft Purview (préversion). Les rapports personnalisés fournissent aux administrateurs d’analyseur les données dont ils ont besoin dans la base de données du cluster du scanneur pour créer leurs propres rapports sur les résultats de l’analyse, notamment l’étiquetage, l’état de protection et les types d’informations sensibles (SIT) correspondants.
Les rapports personnalisés sont disponibles avec Protection des données Microsoft Purview client et le scanneur version 3.2.89.0 ou ultérieure. La création de rapports personnalisées est activée par un administrateur via le contrôle des fonctionnalités du scanneur.
Ce que la création de rapports personnalisés permet
Aujourd’hui, le scanneur produit des rapports CSV et TXT par analyse et stocke un ensemble limité de données opérationnelles dans la base de données du cluster. Pour créer une image complète de l’état du fichier (ce qui a changé, ce qui est étiqueté, ce qui est protégé et les types de données sensibles qui existent), les administrateurs doivent combiner plusieurs exportations CSV entre les cycles d’analyse et les charger dans un outil de création de rapports distinct.
Les rapports personnalisés déplacent ces données dans la base de données du cluster du scanneur afin que les administrateurs puissent :
- Interrogez l’étiquette actuelle et précédente, l’état de protection et les nombres SIT pour chaque fichier analysé dans un dépôt.
- Calculez les deltas entre les analyses (par exemple, le changement du nombre de SIT correspondants par fichier).
- Découvrez quels types d’informations sensibles ont été mis en correspondance sur les fichiers et le nombre de correspondances par type.
- Connectez la base de données du cluster du scanneur à l’outil de création de rapports de leur choix (par exemple, Power BI, un entrepôt de rapports d’entreprise ou un outil de tableaux de bord SQL) sans avoir à assembler au préalable les exportations CSV.
Le scanner reste la source de vérité. La création de rapports personnalisées écrit les données de création de rapports supplémentaires dans la même base de données de cluster d’analyseur partagé lors du prochain cycle d’analyse après l’activation de la fonctionnalité.
Schéma de la base de données
Les tables et colonnes de création de rapports requises par la création de rapports personnalisées ont d’abord été ajoutées au schéma de base de données du cluster du scanneur dans la version 3.2.57.0 du client. Tant que la création de rapports personnalisés n’est pas activée, les nouvelles colonnes et tables existent, mais ne sont pas remplies. Les fonctionnalités existantes du scanneur restent inchangées.
Remarque
Vous n’avez pas besoin d’installer d’abord la version 3.2.57.0 du client. Que vous installiez le scanneur à nouveau ou que vous mettez à niveau à partir d’une version antérieure, le scanneur déploie le schéma de base de données complet (y compris les tables et colonnes de rapports personnalisés) lors de l’installation ou de la mise à niveau.
Lorsque la création de rapports personnalisés est activée à l’aide du contrôle de fonctionnalité scanneur, le scanneur commence à remplir les données suivantes lors du prochain cycle d’analyse.
Ajouts à dbo.ScannerFiles
dbo.ScannerFiles conserve une ligne par fichier analysé. Custom Reporting remplit les colonnes supplémentaires suivantes pour capturer l’état du fichier et le delta entre l’analyse actuelle et l’analyse précédente :
| Column | Type | Description |
|---|---|---|
LabelName |
NVARCHAR(MAX)Nullable |
Nom d’étiquette actuel appliqué au fichier.
NULL si elle n’est pas étiquetée. |
PrevLabelId |
NVARCHAR(MAX)Nullable |
ID d’étiquette appliqué à l’analyse précédente, stocké sous forme de chaîne.
NULL s’il n’est pas étiqueté précédemment. |
PrevLabelName |
NVARCHAR(MAX)Nullable |
Nom d’étiquette appliqué à l’analyse précédente.
NULL s’il n’est pas étiqueté précédemment. |
ProtectionState |
NVARCHAR(MAX)Nullable |
État de protection actuel du fichier à la fin de l’analyse. |
PrevProtectionState |
NVARCHAR(MAX)Nullable |
État de protection enregistré lors de l’analyse précédente. |
ClassificationCount |
INTPar défaut 0 |
Nombre de correspondances de type d’informations sensibles sur le fichier lors de l’analyse actuelle. |
LatestScanSessionId |
UNIQUEIDENTIFIERNullable |
Identifie la dernière session d’analyse qui a touché le fichier. Utilisé pour calculer les deltas entre les cycles d’analyse. |
FileStatus |
NVARCHAR(MAX)Nullable |
Destruction finale du fichier dans le cycle d’analyse (par exemple, le status de justification requise défini par ProcessJobou Failed pour les fichiers qui n’ont pas pu être traités). |
Nouvelle table : dbo.MatchedClassificationAction
dbo.MatchedClassificationAction est une nouvelle table qui stocke les types d’informations sensibles correspondants par fichier et par analyse. Chaque ligne représente un sit correspondant pour un fichier unique dans une seule session d’analyse.
| Column | Type | Description |
|---|---|---|
Id |
BIGINT IDENTITY (clé primaire) |
Clé de substitution pour la ligne. |
FilePath |
NVARCHAR(MAX)Nullable |
Chemin d’accès complet du fichier sur lequel le SIT a été mis en correspondance. |
FileHashPath |
BINARY(64)Nullable |
Hachage du chemin d’accès au fichier. Joint à dbo.ScannerFiles.HashPath et est indexé pour les performances de jointure. |
ScanSessionId |
UNIQUEIDENTIFIERNullable |
Identifie la session d’analyse dans laquelle le SIT a été mis en correspondance. Joint à dbo.ScannerFiles.ScanSessionId et est indexé. |
MatchedInformationTypeName |
NVARCHAR(MAX)Nullable |
Nom d’affichage du type d’informations sensibles correspondant (par exemple, U.S. social security number (SSN)). |
MatchedInformationTypeId |
UNIQUEIDENTIFIERNullable |
GUID du SIT correspondant. Le même GUID est utilisé dans les journaux d’Protection des données Microsoft Purview locaux pour Workload=OnPremisesFileShareScanner. |
MatchedInformationTypeCount |
INTPar défaut 0 |
Nombre de correspondances pour ce sit dans le fichier. |
ConfidenceScore |
INTPar défaut 0 |
Score de confiance du match. |
dbo.ScanSummary (totaux par analyse) est inchangé.
Exemples de questions auxquelles les rapports personnalisés peuvent répondre
Une fois que les rapports personnalisés remplissent la base de données, les administrateurs peuvent exécuter des requêtes telles que :
- Quels dépôts ont la concentration la plus élevée de sits correspondants, et comment cette concentration a-t-elle changé depuis la dernière analyse ?
- Quels fichiers ont été étiquetés ou réétiquetés au cours du cycle d’analyse le plus récent, et quelle était l’étiquette précédente ?
- Quels fichiers ne sont toujours pas étiquetés, mais contiennent des correspondances pour un ou plusieurs types d’informations sensibles ?
- Quels types d’informations sensibles sont les plus répandus dans un dépôt donné, et à quel niveau de confiance ?
- Quels sont les fichiers qui sont passés de non protégés à protégés (ou l’inverse) depuis la dernière analyse ?
Activer les rapports personnalisés
La création de rapports personnalisés est activée via la configuration des fonctionnalités contrôlées par l’administrateur. À partir de n’importe quel nœud du cluster du scanneur, exécutez :
Set-ScannerConfiguration -FeatureSettings @{CustomReporting="On"}
Pour activer la création de rapports personnalisés au moment de l’installation sur un nouveau nœud de scanneur, utilisez le -FeatureSettings paramètre avec Install-Scanner :
Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe -FeatureSettings @{CustomReporting="On"}
Pour confirmer l’état actuel, exécutez :
Get-ScannerConfiguration
La modification prend effet sur chaque nœud du cluster lors du prochain cycle d’analyse. Aucun redémarrage du service n’est nécessaire.
Pour arrêter de remplir la table et les colonnes de rapports personnalisés, exécutez :
Set-ScannerConfiguration -FeatureSettings @{CustomReporting="Off"}
La désactivation des rapports personnalisés arrête les nouvelles écritures. Les données déjà écrites dans les colonnes et tables de création de rapports ne sont pas supprimées, de sorte que la fonctionnalité peut être réactivée ultérieurement sans perte de données.
Planifier votre base de données de cluster d’analyseur pour la création de rapports
Lorsque vous activez la création de rapports personnalisés, la base de données du cluster du scanneur stocke beaucoup plus de données par cycle d’analyse : des colonnes supplémentaires par fichier dans dbo.ScannerFiles, plus une ligne par sit correspondant par fichier et par analyse dans dbo.MatchedClassificationAction. La création de rapports sur la base de données du cluster du scanneur ajoute également une charge de travail de lecture qui s’exécute avec les lectures et écritures opérationnelles du scanneur.
Avant d’activer la création de rapports personnalisés en production, tenez compte des éléments suivants :
- Taille du cluster et volume d’analyse. Estimez le nombre de fichiers analysés par cycle, le nombre classique de correspondances SIT par fichier et la fréquence à laquelle vous analysez. Utilisez ces nombres pour dimensionner la base de données.
- Impact opérationnel. La création de rapports de requêtes sur la même base de données que celle dans laquelle le scanneur écrit peut concurrencer le scanneur pour obtenir des ressources pendant un cycle d’analyse.
- La charge de travail de création de rapports que vous souhaitez réellement. Les tableaux de bord interactifs, les extraits planifiés et les requêtes ad hoc ont chacun des impacts très différents.
Pour la plupart des déploiements de production, nous vous recommandons d’héberger la base de données de cluster du scanneur sur SQL Server Entreprise afin que vous puissiez dédier une réplica en lecture seule à la création de rapports. Avec un groupe de disponibilité SQL Server Always On, vous pouvez acheminer le trafic de rapports vers un réplica secondaire lisible afin que les requêtes de création de rapports ne soient pas en concurrence avec la charge de travail opérationnelle du scanneur sur le réplica principal.
Cette séparation permet aux outils de création de rapports (par exemple, Power BI) de se connecter à l’réplica en lecture seule et de s’actualiser à leur propre cadence sans affecter le débit d’analyse sur le serveur principal.
Remarque
Le scanneur proprement dit lit et écrit dans la base de données primaire. Seule votre charge de travail de création de rapports personnalisée doit être pointée vers un réplica en lecture seule.
Limitations pendant la préversion
- Il n’existe aucun tableau de bord intégré fourni avec la création de rapports personnalisés dans cette préversion. Les clients créent leurs propres rapports sur la base de données du cluster du scanneur.
- Les paramètres configurés par la configuration des fonctionnalités contrôlées par l’administrateur ne sont pas synchronisés avec le portail Microsoft Purview. Toutes les fonctionnalités du scanneur ne seront pas configurables à partir du portail. Pour les fonctionnalités qui sont disponibles dans le portail et qui y ont été configurées, le paramètre configuré par le portail est prioritaire et empêche les mises à jour à partir de PowerShell.