Anmeldeinformationen für die Quellauthentifizierung in Microsoft Purview

In diesem Artikel wird beschrieben, wie Sie Anmeldeinformationen in Microsoft Purview erstellen können. Mit diesen gespeicherten Anmeldeinformationen können Sie gespeicherte Authentifizierungsinformationen schnell wiederverwenden und auf Ihre Datenquellenscans anwenden.

Voraussetzungen

• Ein Azure-Schlüsseltresor. Informationen zum Erstellen eines Schlüsseltresors finden Sie unter Schnellstart: Erstellen eines Schlüsseltresors mithilfe des Azure-Portal.

Einführung

Anmeldeinformationen sind Authentifizierungsinformationen, die Microsoft Purview für die Authentifizierung bei Ihren registrierten Datenquellen verwenden kann. Ein Anmeldeinformationsobjekt kann für verschiedene Arten von Authentifizierungsszenarien erstellt werden, z. B. für die Standardauthentifizierung, die Benutzername/Kennwort erfordert. Anmeldeinformationen erfassen bestimmte Informationen, die für die Authentifizierung erforderlich sind, basierend auf dem ausgewählten Typ der Authentifizierungsmethode. Anmeldeinformationen verwenden Ihre vorhandenen Azure Key Vaults-Geheimnisse zum Abrufen vertraulicher Authentifizierungsinformationen während der Erstellung von Anmeldeinformationen.

In Microsoft Purview gibt es einige Optionen, die Als Authentifizierungsmethode zum Überprüfen von Datenquellen verwendet werden können, z. B. die folgenden Optionen. Informationen zur unterstützten Authentifizierung finden Sie in den einzelnen Datenquellenartikeln .

• Systemseitig zugewiesene verwaltete Identität von Microsoft Purview
• Benutzerseitig zugewiesene verwaltete Identität (Vorschau)
• Kontoschlüssel (mit Key Vault)
• SQL-Authentifizierung (mit Key Vault)
• Dienstprinzipal (mit Key Vault)
• Consumerschlüssel (mit Key Vault)
• Und mehr

Berücksichtigen Sie vor dem Erstellen von Anmeldeinformationen Ihre Datenquellentypen und Netzwerkanforderungen, um zu entscheiden, welche Authentifizierungsmethode Sie für Ihr Szenario benötigen.

Verwenden der systemseitig zugewiesenen verwalteten Identität von Microsoft Purview zum Einrichten von Überprüfungen

Wenn Sie die systemseitig zugewiesene verwaltete Identität (SAMI) von Microsoft Purview zum Einrichten von Überprüfungen verwenden, müssen Sie keine Anmeldeinformationen erstellen und Ihren Schlüsseltresor mit Microsoft Purview verknüpfen, um sie zu speichern. Ausführliche Anweisungen zum Hinzufügen des Microsoft Purview-SAMI, um Zugriff auf die Überprüfung Ihrer Datenquellen zu haben, finden Sie in den abschnitten zur datenquellenspezifischen Authentifizierung unten:

• Azure Blob Storage
• Azure Data Lake Storage Gen1
• Azure Data Lake Storage Gen2
• Azure SQL-Datenbank
• Azure SQL Managed Instance
• Azure Synapse-Arbeitsbereich
• Azure Synapse dedizierte SQL-Pools (früher SQL DW)

Gewähren von Microsoft Purview-Zugriff auf Ihre Azure-Key Vault

Um Microsoft Purview Zugriff auf Ihre Azure-Key Vault zu gewähren, müssen Sie zwei Dinge bestätigen:

• Firewallzugriff auf die Azure-Key Vault
• Microsoft Purview-Berechtigungen für die Azure-Key Vault

Firewallzugriff auf Azure Key Vault

Wenn Ihr Azure-Key Vault den Zugriff auf öffentliche Netzwerke deaktiviert hat, haben Sie zwei Optionen, um den Zugriff für Microsoft Purview zuzulassen.

• Vertrauenswürdige Microsoft-Dienste
• Private Endpunktverbindungen

Vertrauenswürdige Microsoft-Dienste

Microsoft Purview ist als einer der vertrauenswürdigen Dienste von Azure Key Vault aufgeführt. Wenn der Zugriff auf öffentliche Netzwerke für Ihre Azure-Key Vault können Sie den Zugriff nur auf vertrauenswürdige Microsoft-Dienste aktivieren, und Microsoft Purview wird eingeschlossen.

Sie können diese Einstellung in Ihrer Azure-Key Vault auf der Registerkarte Netzwerk aktivieren.

Aktivieren Sie unten auf der Seite unter Ausnahme das Feature Zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewall umgehen .

Private Endpunktverbindungen

Informationen zum Herstellen einer Verbindung mit Azure Key Vault mit privaten Endpunkten finden Sie in der Dokumentation zu privaten Endpunkten von Azure Key Vault.

Hinweis

Die Verbindungsoption für private Endpunkte wird unterstützt, wenn Azure Integration Runtime in einem verwalteten virtuellen Netzwerk zum Überprüfen der Datenquellen verwendet wird. Für die selbstgehostete Integration Runtime müssen Sie vertrauenswürdige Microsoft-Dienste aktivieren.

Microsoft Purview-Berechtigungen für die Azure-Key Vault

Derzeit unterstützt Azure Key Vault zwei Berechtigungsmodelle:

• Option 1: Zugriffsrichtlinien
• Option 2: Rollenbasierte Access Control

Bevor Sie den Zugriff auf die systemseitig zugewiesene verwaltete Identität (SAMI) von Microsoft Purview zuweisen, identifizieren Sie zunächst Ihr Azure Key Vault-Berechtigungsmodell über Key Vault Ressourcenzugriffsrichtlinien im Menü. Führen Sie die folgenden Schritte basierend auf dem relevanten Berechtigungsmodell aus.

Option 1: Zuweisen des Zugriffs mithilfe Key Vault Zugriffsrichtlinie

Führen Sie die folgenden Schritte nur aus, wenn das Berechtigungsmodell in Ihrer Azure Key Vault-Ressource auf Tresorzugriffsrichtlinie festgelegt ist:

1. Navigieren Sie zu Ihrer Azure-Key Vault.

2. Wählen Sie die Seite Zugriffsrichtlinien aus.

3. Wählen Sie Zugriffsrichtlinie hinzufügen aus.

   

4. Wählen Sie in der Dropdownliste Geheimnisberechtigungen die Option Berechtigungen abrufen und auflisten aus.

5. Wählen Sie unter Prinzipal auswählen die vom Microsoft Purview-System verwaltete Identität aus. Sie können nach microsoft Purview SAMI suchen, indem Sie entweder den Namen des Microsoft Purview-instance oder die Anwendungs-ID der verwalteten Identität verwenden. Verbundidentitäten (Name der verwalteten Identität und Anwendungs-ID) werden derzeit nicht unterstützt.

   

6. Klicken Sie auf Hinzufügen.

7. Wählen Sie Speichern aus, um die Zugriffsrichtlinie zu speichern.

   

Option 2: Zuweisen des Zugriffs mithilfe Key Vault rollenbasierten Zugriffssteuerung in Azure

Führen Sie die folgenden Schritte nur aus, wenn das Berechtigungsmodell in Ihrer Azure Key Vault-Ressource auf die rollenbasierte Zugriffssteuerung von Azure festgelegt ist:

1. Navigieren Sie zu Ihrer Azure-Key Vault.

2. Wählen Sie im linken Navigationsmenü Access Control (IAM) aus.

3. Wählen Sie + Hinzufügen aus.

4. Legen Sie die Rolle auf Key Vault Geheimnisbenutzer fest, und geben Sie unter Eingabefeld auswählen den Namen Ihres Microsoft Purview-Kontos ein. Wählen Sie dann Speichern aus, um diese Rollenzuweisung an Ihr Microsoft Purview-Konto zu erteilen.

   

Erstellen von Azure Key Vaults-Verbindungen in Ihrem Microsoft Purview-Konto

Bevor Sie Anmeldeinformationen erstellen können, ordnen Sie ihrem Microsoft Purview-Konto zunächst eine oder mehrere Ihrer vorhandenen Azure Key Vault-Instanzen zu.

1. Öffnen Sie Ihr Microsoft Purview-Governanceportal wie folgt:

   • Navigieren Sie direkt zu https://web.purview.azure.com Ihrem Microsoft Purview-Konto, und wählen Sie es aus.
   • Öffnen Sie die Azure-Portal, suchen Sie nach dem Microsoft Purview-Konto, das Sie zum Empfangen der Freigabe verwenden möchten, und wählen Sie es aus. Öffnen Sie das Microsoft Purview-Governanceportal.

2. Navigieren Sie zum Management Center im Studio, und navigieren Sie dann zu Anmeldeinformationen.

3. Wählen Sie auf der Seite Anmeldeinformationendie Option Key Vault Verbindungen verwalten aus.

   

4. Wählen Sie auf der Seite Key Vault Verbindungen verwalten die Option + Neu aus.

5. Geben Sie die erforderlichen Informationen ein, und wählen Sie dann Erstellen aus.

6. Vergewissern Sie sich, dass Ihr Key Vault erfolgreich Ihrem Microsoft Purview-Konto zugeordnet wurde, wie in diesem Beispiel gezeigt:

   

Erstellen neuer Anmeldeinformationen

Diese Anmeldeinformationstypen werden in Microsoft Purview unterstützt:

• Standardauthentifizierung: Sie fügen das Kennwort als Geheimnis im Schlüsseltresor hinzu.
• Dienstprinzipal: Sie fügen den Dienstprinzipalschlüssel als Geheimnis im Schlüsseltresor hinzu.
• SQL-Authentifizierung: Sie fügen das Kennwort als Geheimnis im Schlüsseltresor hinzu.
• Windows-Authentifizierung: Sie fügen das Kennwort als Geheimnis im Schlüsseltresor hinzu.
• Kontoschlüssel: Sie fügen den Kontoschlüssel als Geheimnis im Schlüsseltresor hinzu.
• Rollen-ARN: Fügen Sie für eine Amazon S3-Datenquelle Ihren Rollen-ARN in AWS hinzu.
• Consumerschlüssel: Für Salesforce-Datenquellen können Sie das Kennwort und den geheimen Consumerschlüssel im Schlüsseltresor hinzufügen.
• Benutzerseitig zugewiesene verwaltete Identität (Vorschau): Sie können benutzerseitig zugewiesene Anmeldeinformationen für verwaltete Identitäten hinzufügen. Weitere Informationen finden Sie weiter unten im Abschnitt Erstellen einer benutzerseitig zugewiesenen verwalteten Identität .

Weitere Informationen finden Sie unter Hinzufügen eines Geheimnisses zu Key Vault und Erstellen einer neuen AWS-Rolle für Microsoft Purview.

Nachdem Sie Ihre Geheimnisse im Schlüsseltresor gespeichert haben:

1. Navigieren Sie in Microsoft Purview zur Seite Anmeldeinformationen.

2. Erstellen Sie Ihre neuen Anmeldeinformationen, indem Sie + Neu auswählen.

3. Geben Sie die erforderlichen Informationen an. Wählen Sie die Authentifizierungsmethode und eine Key Vault Verbindung aus, aus der ein Geheimnis ausgewählt werden soll.

4. Nachdem alle Details ausgefüllt wurden, wählen Sie Erstellen aus.

   

5. Vergewissern Sie sich, dass Ihre neuen Anmeldeinformationen in der Listenansicht angezeigt werden und zur Verwendung bereit sind.

   

Verwalten Ihrer Key Vault-Verbindungen

1. Suchen/Suchen nach Key Vault Verbindungen nach Namen

   

2. Löschen einer oder mehrerer Key Vault-Verbindungen

   

Verwalten Ihrer Anmeldeinformationen

1. Suchen/Suchen nach Anmeldeinformationen anhand des Namens.

2. Wählen Sie vorhandene Anmeldeinformationen aus, und aktualisieren Sie sie.

3. Löschen Sie einen oder mehrere Anmeldeinformationen.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Benutzerseitig zugewiesene verwaltete Identitäten (UAMI) ermöglichen es Azure-Ressourcen, sich mithilfe der Azure Active Directory-Authentifizierung (Azure AD) direkt bei anderen Ressourcen zu authentifizieren, ohne dass diese Anmeldeinformationen verwaltet werden müssen. Sie ermöglichen Ihnen die Authentifizierung und Zuweisung des Zugriffs wie bei einer systemseitig zugewiesenen verwalteten Identität, einem Azure AD-Benutzer, einer Azure AD-Gruppe oder einem Dienstprinzipal. Benutzerseitig zugewiesene verwaltete Identitäten werden als eigene Ressource erstellt (anstatt mit einer bereits vorhandenen Ressource verbunden zu sein). Weitere Informationen zu verwalteten Identitäten finden Sie in der Dokumentation zu verwalteten Identitäten für Azure-Ressourcen.

In den folgenden Schritten wird gezeigt, wie Sie eine UAMI für Microsoft Purview erstellen.

Unterstützte Datenquellen für UAMI

• Azure Data Lake Gen 1
• Azure Data Lake Gen 2
• Azure SQL-Datenbank
• Azure SQL Managed Instance
• Azure SQL dedizierter SQL-Pools
• Azure Blob Storage

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

1. Navigieren Sie im Azure-Portal zu Ihrem Microsoft Purview-Konto.

2. Wählen Sie im Abschnitt Verwaltete Identitäten im linken Menü die Schaltfläche + Hinzufügen aus, um benutzerseitig zugewiesene verwaltete Identitäten hinzuzufügen.

   

3. Wechseln Sie nach Abschluss des Setups zurück zu Ihrem Microsoft Purview-Konto im Azure-Portal. Wenn die verwaltete Identität erfolgreich bereitgestellt wurde, wird die status des Microsoft Purview-Kontos als Erfolgreich angezeigt.

   

4. Nachdem die verwaltete Identität erfolgreich bereitgestellt wurde, navigieren Sie zum Microsoft Purview-Governanceportal, indem Sie die Schaltfläche Microsoft Purview-Governanceportal öffnen auswählen.

5. Navigieren Sie im Microsoft Purview-Governanceportal zum Management Center im Studio und dann zum Abschnitt Anmeldeinformationen.

6. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, indem Sie +Neu auswählen.

7. Wählen Sie die Authentifizierungsmethode Verwaltete Identität und dann im Dropdownmenü Ihre benutzerseitig zugewiesene verwaltete Identität aus.

   

   Hinweis

   Wenn das Portal während der Erstellung Ihrer benutzerseitig zugewiesenen verwalteten Identität geöffnet war, müssen Sie das Microsoft Purview-Webportal aktualisieren, um die im Azure-Portal abgeschlossenen Einstellungen zu laden.

8. Nachdem alle Informationen ausgefüllt wurden, wählen Sie Erstellen aus.

Löschen einer benutzerseitig zugewiesenen verwalteten Identität

1. Navigieren Sie im Azure-Portal zu Ihrem Microsoft Purview-Konto.

2. Wählen Sie im Linken Menü im Abschnitt Verwaltete Identitäten die Identität aus, die Sie löschen möchten.

3. Wählen Sie die Schaltfläche Entfernen aus.

4. Nachdem die verwaltete Identität erfolgreich entfernt wurde, navigieren Sie zum Microsoft Purview-Governanceportal, indem Sie die Schaltfläche Microsoft Purview-Governanceportal öffnen auswählen.

5. Navigieren Sie zum Management Center im Studio, und navigieren Sie dann zum Abschnitt Anmeldeinformationen.

6. Wählen Sie die Identität aus, die Sie löschen möchten, und wählen Sie dann die Schaltfläche Löschen aus.

Hinweis

Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität im Azure-Portal gelöscht haben, müssen Sie die ursprüngliche Identität löschen und im Microsoft Purview-Governanceportal eine neue erstellen.

Nächste Schritte

Erstellen eines Überprüfungsregelsatzes