適用於:
Azure SQL 資料庫
本文說明如何使用 Azure 入口網站 來實現 動態數據遮罩。 您也可以使用 Azure SQL Database PowerShell Cmdlet 或 REST API 來實作動態數據遮罩。
注意
此功能無法使用 Azure SQL 受控實例的 Azure 入口網站進行設定(使用 PowerShell 或 REST API)。 如需相關資訊,請參閱 Dynamic Data Masking。
啟用動態資料遮罩
啟動 Azure 入口網站。
在 Azure 入口網站中移至您的資料庫資源。
在 [ 安全性] 區段底下,選取 [動態數據遮罩]。
在 動態數據遮罩 設定頁面中,您可能會看到建議引擎已標示為遮罩的一些資料庫欄位。 若要接受建議,請針對一或多個數據行選取 [新增遮罩 ],並根據此數據行的默認類型建立遮罩。 您可以選取遮罩規則,並將遮罩欄位的格式編輯為另一種您選擇的格式,以變更遮罩功能。 選取 [儲存] 以儲存您的設定。 在下列螢幕擷取畫面中,您可以看到範例
AdventureWorksLT資料庫的建議動態資料遮罩。
若要為資料庫中的任何數據行新增遮罩,請在 動態數據 遮罩組態頁面頂端,選取 [ 新增遮罩 ] 以開啟 [ 新增遮罩規則 設定] 頁面。
![顯示 [新增遮罩規則設定] 頁面的螢幕快照。](media/dynamic-data-masking-configure-portal/add-mask.png?view=azuresql)
選取 架構 、 資料表 和 資料行 ,以定義遮罩的指定字段。
從敏感數據遮罩類別清單中選取如何遮罩 。
![顯示 [選取如何遮罩] 區段下敏感數據遮罩類別的螢幕快照。](media/dynamic-data-masking-configure-portal/mask-field-format.png?view=azuresql)
選取 [數據遮罩規則] 頁面中的 [新增 ],以更新動態數據遮罩原則中的遮罩規則集。
輸入應該從遮罩排除的 Microsoft Entra ID(先前稱為 Azure Active Directory)的 SQL 已驗證使用者或已驗證的身分識別,並存取未遮罩的敏感數據。 這應該是以分號分隔的用戶清單。 具有系統管理員許可權的使用者一律可以存取原始未遮罩的數據。
提示
若要讓應用層能夠顯示應用程式特殊許可權使用者的敏感數據,請新增應用程式用來查詢資料庫的 SQL 使用者或 Microsoft Entra 身分識別。 強烈建議此清單包含最少數目的特殊許可權使用者,以將敏感數據的暴露程度降到最低。
選取 [數據遮罩組態] 頁面中的 [ 儲存 ],以儲存新的或更新的遮罩原則。
![顯示 [新增遮罩規則設定] 頁面的螢幕快照。](media/dynamic-data-masking-configure-portal/add-mask.png?view=azuresql#lightbox)
![顯示 [選取如何遮罩] 區段下敏感數據遮罩類別的螢幕快照。](media/dynamic-data-masking-configure-portal/mask-field-format.png?view=azuresql#lightbox)