適用対象:
Azure SQL データベース
この記事では、Azure Portal で動的データ マスクを実装する方法を示します。 Azure SQL Database PowerShell コマンドレットまたは REST API を使用して、動的データ マスクを実装することもできます。
注意
この機能は、Azure PORTAL for Azure SQL Managed Instance を使用して設定することはできません (PowerShell または REST API を使用)。 詳細については、「 Dynamic Data Masking」を参照してください。
動的データ マスクを有効にする
Azure portal (https://portal.azure.com) を起動します。
Azure portal のデータベース リソースに移動します。
[ セキュリティ ] セクションで、[ 動的データ マスク] を選択します。
動的データ マスク構成ページには、推奨事項エンジンによってマスクのフラグが設定されたデータベース列がいくつか表示される場合があります。 推奨事項を受け入れるために、1 つ以上の列に対して [マスクの追加] を選択すると、この列の既定の種類に基づいてマスクが作成されます。 マスク機能を変更するには、マスク ルールを選択し、マスク フィールドの形式を任意の別の形式に編集します。 [Save](保存) を選択して設定を保存します。 次のスクリーンショットでは、サンプル
AdventureWorksLTデータベースに推奨される動的データ マスクを確認できます。
データベース内の任意の列のマスクを追加するには、[ 動的データ マスク ] 構成ページの上部にある [ マスクの追加] を選択して、[ マスク ルールの追加 ] 構成ページを開きます。
![[マスク ルールの追加] 構成ページを示すスクリーンショット。](media/dynamic-data-masking-configure-portal/add-mask.png?view=azuresql)
[スキーマ] 、 [テーブル] 、 [列] を選択し、マスクする指定のフィールドを定義します。
機密データのマスク カテゴリの一覧からマスク方法を選択します。
![[マスク方法の選択] セクションの下の機密データ マスク カテゴリを示すスクリーンショット。](media/dynamic-data-masking-configure-portal/mask-field-format.png?view=azuresql)
[データ マスク ルール] ページで [追加] を選択して、動的データ マスク ポリシーのマスク 規則のセットを更新します。
Microsoft Entra ID (旧称 Azure Active Directory) の SQL 認証されたユーザーまたは認証された ID を入力します。この ID はマスキングから除外され、マスキングされていない機密データにアクセスできます。 ユーザーをセミコロンで区切った一覧にします。 管理者特権を持つユーザーは常にマスクされていない元のデータにアクセスできます。
ヒント
アプリケーションの特権を持つユーザーに対してアプリケーション レイヤーがデリケートなデータを表示できるようにするには、アプリケーションストアでデータベースの照会に使用される SQL ユーザーまたは Microsoft Entra の ID を追加します。 デリケートなデータの公開を最小限に抑えるには、この一覧に含める特権ユーザーの数を最小限にすることを強くお勧めします。
新規または更新されたマスク ポリシーを保存するには、データ マスク構成ページで [保存] を選択します 。
![[マスク ルールの追加] 構成ページを示すスクリーンショット。](media/dynamic-data-masking-configure-portal/add-mask.png?view=azuresql#lightbox)
![[マスク方法の選択] セクションの下の機密データ マスク カテゴリを示すスクリーンショット。](media/dynamic-data-masking-configure-portal/mask-field-format.png?view=azuresql#lightbox)