Bereitstellen des Azure Storage Discovery-Diensts

Um den Azure Storage Discovery-Dienst bereitzustellen, müssen Sie eine Discovery-Arbeitsbereichsressource in einer Ihrer Ressourcengruppen erstellen. Mit dieser Ressource definieren Sie, welche Speicherressourcen Sie in Ihrem Microsoft Entra-Mandanten abdecken möchten und wie Sie die Berichterstellung für sie segmentieren möchten. Der Arbeitsbereich bietet vorgefertigte Berichte im Azure-Portal, mit denen Sie die benötigten Erkenntnisse zu Ihren Speicherressourcen abrufen können.

Führen Sie die Schritte in diesem Artikel aus, um eine Azure Storage Discovery-Arbeitsbereichsressource zu erstellen.

Erstellen eines Arbeitsbereichs für die Speicherermittlung

Sie können einen Speicherermittlungsarbeitsbereich über das Azure-Portal, Azure PowerShell oder die Azure CLI erstellen.

Azure-Portal

Erstellen Sie eine Azure Storage Discovery Workspace-Ressource im Azure-Portal, indem Sie " Erstellen" wie in der folgenden Abbildung gezeigt auswählen.

Wählen Sie das Abonnement und die Ressourcengruppe aus, in der der Discovery-Workspace erstellt werden soll. In der folgenden Tabelle wird jedes Element beschrieben.

Element	BESCHREIBUNG
Name	Der Name der Ressource des Discovery-Arbeitsbereichs.
Description	Wahlfrei. Beschreibung der Discovery-Arbeitsbereichsressource.
Region	Azure-Region, in der die Discovery-Ressource erstellt wird. 1
Pricing plan	Preisplan für die Speicherermittlung.2

¹ Informationen zu Regionen, die abgedeckt werden, finden Sie unter Regionen des Speichererkennungs-Arbeitsbereichs. ² Informationen zu Storage Discovery-Tarifen finden Sie unter Grundlegendes zur Preisgestaltung von Storage Discovery.

Definieren von workspaceRoots

workspaceRoot gibt die Azure-Ressourcenbezeichner der obersten Ebene an, bei denen die Storage Discovery die Überprüfung auf Speicherkonten initiiert. Diese Bezeichner sind in der Regel Abonnements oder Ressourcengruppen und dienen als Stamm des Ermittlungsprozesses. WorkspaceRoots definiert den Gesamtumfang und die Grenzen Ihrer Azure-Umgebung für die Analyse.

Wählen Sie die Abonnements und/oder Ressourcengruppen aus, die Sie in den Arbeitsbereich aufnehmen möchten.

Hinweis

• Stellen Sie sicher, dass dem Benutzer, der Benutzerin oder Dienstprinzipal, der bzw. die den Arbeitsbereich bereitstellt, mindestens Zugriff als Leser auf jeden angegebenen Stamm gewährt wird.
• Bis zu 100 Ressourcen – Abonnements und/oder Ressourcengruppen können in einem Arbeitsbereich enthalten sein.
• Die Standardgrenze von 100 Ressourcen pro Arbeitsbereich kann erhöht werden. Wenden Sie sich an den Azure-Support. Geben Sie die tenantID und die SubscriptionID an, für die sie diesen Grenzwert erhöhen möchten.

Nachdem Sie Ihrem Arbeitsbereich Ihre Abonnements oder Ressourcengruppen hinzugefügt haben, führt der Dienst eine Zugriffsüberprüfung durch, um sicherzustellen, dass Benutzende über die erforderliche Berechtigung Microsoft.Storage/storageAccounts/read für die hinzugefügten Ressourcen verfügen. Die folgende Abbildung zeigt ein Beispiel für einen Zugriffsüberprüfungsfehler mit der zugehörigen Statusmeldung.

Wenn Sie Microsoft.Storage/storageAccounts/read auf keiner der hinzugefügten Ressourcen haben, entfernen Sie die Ressource aus workSpaceRoots, um mit der Erstellung des Arbeitsbereichs fortzufahren, oder beheben Sie das Zugriffsproblem und versuchen Sie es erneut.

Erstellen eines Geltungsbereichs

Bereiche sind logische Gruppierungen von Speicherkonten innerhalb der definierten workspaceRoots. Bereiche ermöglichen es Ihnen, Daten mithilfe von Tags und Ressourcentypen zu filtern und zu organisieren, wodurch gezielte Einblicke ermöglicht werden. Sie können beispielsweise Bereiche für einzelne Abteilungen, Umgebungen oder Compliancezonen erstellen.

Von Bedeutung

Ein Standardbereich wird automatisch hinzugefügt, das alle Speicherkonten in Abonnements oder Ressourcengruppen enthält, die im workspaceRoots-Objekt hinzugefügt wurden.

Sie können dieser Arbeitsbereichsressource optional Tags hinzufügen. Wählen Sie dann "Überprüfen" und "Erstellen" aus. Wenn die Zugriffsüberprüfung noch ausgeführt wird, können Sie die Arbeitsbereichsressource noch nicht erstellen. Warten Sie, bis diese Überprüfung abgeschlossen ist, beheben Sie alle Probleme, und bestätigen Sie dann, indem Sie " Erstellen" auswählen.

Hinweis

Der Erstellungsprozess der Ermittlungsressource schlägt fehl, wenn die Zugriffsüberprüfungen für ein Abonnement oder eine Ressourcengruppe nicht erfolgreich sind.

Nachdem die Zugriffsüberprüfungen erfolgreich abgeschlossen wurden, kann die Ressource wie in der folgenden Beispielabbildung bereitgestellt werden.

Azure PowerShell

Erstellen Sie eine Azure Storage Discovery-Arbeitsbereichsressource im Azure-Portal, indem Sie die Variablen im folgenden PowerShell-Skript ändern, um Ihre Ressourcengruppe, den Arbeitsbereichsnamen und den Speicherort einzuschließen. Stellen Sie sicher, dass Ihre Werte korrekt sind, und führen Sie dann das Skript in der Azure PowerShell-Konsole aus.

# First, set variables for the resources
$resGroupName   = "myResourceGroup"
$workSpaceName  = "myStorageDiscoveryWorkspace"
$location       = "East US"
$DiscoveryScopeLevel1 = "myScopeLevel1"
$DiscoveryScopeLevel2 = "myScopeLevel2"

# Next, prepare a DiscoveryScope object
$scope1 =  New-AzStorageDiscoveryScopeObject -DisplayName "test1" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest1" -Tag @{"tag1" = "value1"; "tag2" = "value2" }
$scope2 =  New-AzStorageDiscoveryScopeObject -DisplayName "test2" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest2" -Tag @{"tag3" = "value3" }

# Finally, create the discovery workspace
New-AzStorageDiscoveryWorkspace -Name $workSpaceName  -ResourceGroupName $resGroupName `
-Location $location -Description 123 -WorkspaceRoot $DiscoveryScopeLevel1 `
-Sku Standard   -Scope $scope1

Azure CLI

Erstellen Sie eine Azure Storage Discovery-Arbeitsbereichsressource mithilfe der CLI.

az storage-discovery workspace create \
            --resource-group <your-resource-group> \
            --name <your-workspace-name> \
            --location <azure-region> \
            --workspace-roots "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>" \
            --scopes '[{"displayName":"basic","resourceTypes":["Microsoft.Storage/storageAccounts"]}]' \
            --sku Standard \
            --description "Optional description"

Erforderliche Parameter

Parameter	BESCHREIBUNG
Ressourcengruppe	Die Ressourcengruppe, in der der Arbeitsbereich erstellt wird.
name	Der Name des Arbeitsbereichs.
location	Azure-Region für die Bereitstellung.
Arbeitsbereichswurzeln	Der Arbeitsbereichsstamm legt die Speicherressourcen fest, für die Erkenntnisse gewonnen werden sollen. Dies string[] kann eine Kombination aus Abonnement-IDs und Ressourcengruppen-IDs enthalten. Sie können diese Ressourcentypen kombinieren und abgleichen. Die Identität, unter der Sie den Arbeitsbereich bereitstellen, muss über Berechtigungen für alle Ressourcen verfügen, die Sie zum Zeitpunkt der Bereitstellung auflisten.
Bereiche	Sie können mehrere Gültigkeitsbereiche in einem Arbeitsbereich erstellen. Mit einem Bereich können Sie die Speicherressourcen filtern, die der Arbeitsbereich abdeckt, und unterschiedliche Berichte für jeden dieser Bereiche abrufen. Die Filterung basiert auf ARM-Ressourcentags für Ihre Speicherressourcen. Diese Eigenschaft erwartet ein JSON-Objekt, das Abschnitte für tag key name : value-Kombinationen oder nur tag key names enthält. Wenn Ihre Speicherressourcen über übereinstimmende ARM-Ressourcentags verfügen, sind sie in diesem Bereich enthalten.
sku	Preisstufe (Kostenlos oder Standard).

Optionale Parameter

Parameter	BESCHREIBUNG
Beschreibung	Optionale Metadaten für den Arbeitsbereich.

Hinweis

Es kann bis zu 24 Stunden nach der Bereichserstellung dauern, bis Metriken in Berichten angezeigt werden.