Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
SQL Server no Windows Azure SQL Managed Instance
Importante
Os Serviços de Dados Mestres (MDS) foram removidos no SQL Server 2025 (17.x). Continuamos a oferecer suporte ao MDS no SQL Server 2022 (16.x) e em versões anteriores.
Nos Serviços de Dados Mestres (MDS), utiliza a segurança para garantir que os utilizadores acedem apenas aos dados mestres específicos necessários para os seus trabalhos e impede que acedam a dados que não deveriam estar disponíveis para eles.
Também pode usar as definições de segurança para tornar alguém administrador de um modelo e área funcional específicas. Por exemplo, pode conceder a alguém a capacidade de criar versões do modelo Customer ou dar-lhe a capacidade de definir permissões de segurança.
A segurança dos Serviços de Dados Mestres baseia-se em utilizadores e grupos do domínio local ou do Active Directory (AD). A segurança MDS permite que você use um nível granular de detalhes ao determinar os dados que um usuário pode acessar. Devido à granularidade, a segurança pode facilmente tornar-se complicada. Tenha cautela ao atribuir permissões a utilizadores e grupos sobrepostos. Para mais informações, consulte Permissões de Utilizador e Grupo Sobrepostas.
Você pode atribuir acesso de segurança na área funcional Permissões de Usuário e Grupo do aplicativo Web Master Data Manager ou usando o serviço Web.
Tipos de utilizadores
Há dois tipos de usuários no Master Data Services:
Utilizadores que acedam a dados na área funcional do Explorador .
Utilizadores que têm a capacidade de realizar tarefas administrativas em áreas que não o Explorador. Estes utilizadores são chamados Administradores.
Como definir a segurança
Para dar permissão a um utilizador ou grupo para aceder a dados ou funcionalidades no MDS, atribuir:
Permissões de Área Funcional, que determinam qual das cinco áreas funcionais da interface do utilizador um utilizador pode acedecer.
Permissões de Objeto de Modelo, que determinam os atributos a que um utilizador pode aceder e o tipo de acesso (Ler, Criar e Atualizar) que o utilizador tem a esses atributos. Também podes atribuir permissões de administrador ao nível do modelo.
Opcionalmente, as permissões dos membros da hierarquia, que determinam os membros a que um utilizador pode aceder e o tipo de acesso (Ler, Atualizar e Eliminar) que o utilizador tem a esses membros.
Quando você atribui permissões a atributos e membros, as permissões se cruzam e as regras determinam qual permissão tem precedência. Para mais informações, consulte Como São Determinadas as Permissões.
Segurança no Suplemento para Excel
As configurações de segurança na aplicação web Master Data Manager também se aplicam ao suplemento para Excel. Os utilizadores só podem visualizar e trabalhar com dados a que têm permissão para aceder. Os administradores podem executar tarefas administrativas.
A única ressalva é que toda a segurança atribuída no Master Data Manager só entra em vigor no Excel até passar um intervalo de 20 minutos. A MdsMaximumUserInformationCacheInterval definição define este intervalo no web.config ficheiro. Para alterar o intervalo, altere a definição e reinicie o Internet Information Services (IIS).
Riscos de segurança em Serviços Mestres de Dados
Esta secção descreve potenciais riscos de segurança relacionados com os Serviços de Dados Mestres (MDS). Certas ferramentas legadas associadas a funcionalidades retiradas podem introduzir vulnerabilidades, e o próprio produto pode conter riscos de segurança inerentes. A seguinte informação é fornecida para que possa tomar as medidas adequadas.
| Title | Description | Recommendation |
|---|---|---|
| Modelo de autorização | O MDS utiliza um modelo de autorização personalizado onde o controlo de acesso é aplicado ao nível da aplicação. Se um atacante conseguir manipular a lista interna de utilizadores ou explorar uma falha na lógica de autorização, pode obter acesso total aos dados mestres. | Para reduzir o impacto da manipulação de listas de utilizadores ou falhas de autorização, resuma os riscos no modelo de autorização personalizada e delinee medidas de reforço como isolamento de rede, contas rigorosas de serviço de privilégio mínimo e auditoria abrangente. |
| Adoção de tecnologia legada | O MDS foi removido do SQL Server 2025 (17.x), e as versões anteriores apenas recebem atualizações de segurança, aumentando o risco de vulnerabilidades e problemas operacionais ao longo do tempo. Um exemplo chave é a dependência do MDS no ActiveX, que requer o Internet Explorer, oficialmente retirado e já não suportado. | Planeie a migração para plataformas suportadas antes do fim da vida útil e evite novas implementações de MDS. Para instalações existentes, minimize a exposição restringindo o acesso a componentes legados (como ActiveX e Internet Explorer), utilize navegadores modernos sempre que possível e implemente controlos compensatórios como isolamento de rede e monitorização melhorada. Avaliar soluções alternativas para a gestão de dados mestres (MDM), como a Microsoft Purview ou plataformas MDM parceiras, e desenvolver uma estratégia de migração faseada para garantir a continuidade e segurança do negócio. |
| Interferência de dados e ataques de integridade | Um ator mal-intencionado com acesso a Serviços de Dados Mestres pode modificar os dados mestres, levando à corrupção a jusante no planeamento de recursos empresariais (ERP), gestão de relacionamento com o cliente (CRM) ou sistemas de relatórios. | Para mitigar o risco de adulteração de dados e o seu potencial efeito, aqui ficam algumas sugestões plausíveis: implementar registo de transações e versionamento, verificações de integridade com processos de conciliação, controlos de acesso baseados em funções com fluxos de trabalho de aprovação de alterações e procedimentos robustos de backup e recuperação. |
| Encriptação e filtragem de dados | O MDS pode armazenar dados sensíveis (por exemplo, registos de clientes, dados de funcionários). Se o controlo de acesso for contornado, estes dados podem ser exfiltrados. | A compatibilidade do MDS com as opções de encriptação do SQL Server é limitada. Por exemplo, o Always Encrypted pode violar as regras e hierarquias do MDS, enquanto a encriptação transparente de dados (TDE) só protege os dados em repouso. Para maior segurança, ative o TDE, aplique mascaramento dinâmico de dados sempre que possível e configure o SQL Server Auditing para monitorizar o acesso. Evite armazenar dados altamente sensíveis a menos que estas proteções estejam em vigor. Para uma governação avançada, considere migrar plataformas com proteção incorporada, como Microsoft Purview com soluções Partner MDM. |
| Ingestão de dados | O MDS suporta a ingestão de dados por vários meios, incluindo tabelas de preparação. Para mais informações, consulte Visão Geral: Importação de Dados a partir de Tabelas. Neste caso, podem surgir alguns problemas de segurança. | Ao utilizar tabelas de staging para importação de dados no Master Data Services, aplique controlos rigorosos para prevenir questões de segurança. Prefira a ingestão baseada em pull para a governação centralizada, requeira identidades de serviço únicas com o mínimo privilégio e valide os esquemas e as regras de negócio antes de confirmar os dados. Garantir auditabilidade total, registando todos os eventos de ingestão e isolando os contribuidores utilizando esquemas ou tabelas de staging separados, para prevenir a contaminação cruzada. |
Tarefas relacionadas
| Descrição da Tarefa | Artigo |
|---|---|
| Crie um usuário que tenha permissão total para um modelo. | Criar um Administrador Modelo |
| Adicionar um grupo Active Directory aos Serviços Mestres de Dados. Este passo é o primeiro para conceder a um grupo permissão para aceder a dados na aplicação web Master Data Services. | Adicionar um grupo |
| Atribua permissão a uma área funcional do aplicativo Web Master Data Services. | Atribuir permissões de área funcional |
| Atribua permissão a valores de atributo atribuindo permissão a objetos de modelo. | Atribuir permissões ao Objeto do Modelo |
| Atribua permissões aos valores dos membros através da atribuição de permissões aos nós da hierarquia. | Atribuir permissões de membros da hierarquia |
Conteúdo relacionado
- Administradores (Master Data Services)
- Usuários e grupos (Master Data Services)
- Permissões de área funcional (Master Data Services)
- Permissões de objeto de modelo (Master Data Services)
- Permissões de Membro da Hierarquia (Master Data Services)
- Como as permissões são determinadas (Master Data Services)