Tutorial: Konfigurieren des Zugriffs auf Datenquellen für Microsoft Purview MSI im großen Stil
Um Datenquellen zu überprüfen, benötigt Microsoft Purview Zugriff darauf. Dieses Tutorial richtet sich an Besitzer von Azure-Abonnements und Microsoft Purview-Datenquellenadministratoren. Es hilft Ihnen, den erforderlichen Zugriff zu identifizieren und die erforderlichen Authentifizierungs- und Netzwerkregeln für Microsoft Purview in Azure-Datenquellen einzurichten.
In Teil 2 dieser Tutorialreihe gehen Sie wie folgt vor:
- Suchen Sie Ihre Datenquellen, und bereiten Sie eine Liste der Datenquellenabonnements vor.
- Führen Sie ein Skript aus, um fehlende rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) oder erforderliche Netzwerkkonfigurationen in Ihren Datenquellen in Azure zu konfigurieren.
- Überprüfen Sie den Ausgabebericht.
Voraussetzungen
- Azure-Abonnements, in denen sich Ihre Datenquellen befinden. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.
- Ein Microsoft Purview-Konto.
- Eine Azure Key Vault-Ressource in jedem Abonnement mit Datenquellen wie Azure SQL Database, Azure Synapse Analytics oder Azure SQL Managed Instance.
- Das Microsoft Purview MSI-Konfigurationsskript .
Hinweis
Das Microsoft Purview MSI-Konfigurationsskript ist nur für Windows verfügbar. Dieses Skript wird derzeit für microsoft Purview Managed Identity (MSI) unterstützt.
Wichtig
Es wird dringend empfohlen, alle Änderungen zu testen und zu überprüfen, die das Skript in Ihrer Azure-Umgebung ausführt, bevor Sie es in Ihrer Produktionsumgebung bereitstellen.
Vorbereiten der Azure-Abonnementliste für Datenquellen
Erstellen Sie vor dem Ausführen des Skripts eine .csv-Datei (z. B. "C:\temp\Subscriptions.csv") mit vier Spalten:
Spaltenname | Beschreibung | Beispiel |
---|---|---|
SubscriptionId |
Azure-Abonnement-IDs für Ihre Datenquellen. | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
Name des vorhandenen Schlüsseltresors, der im Datenquellenabonnement bereitgestellt wird. | ContosoDevKeyVault |
SecretNameSQLUserName |
Name eines vorhandenen Azure Key Vault-Geheimnisses, das einen Microsoft Entra Benutzernamen enthält, der sich mithilfe von Microsoft Entra bei Azure Synapse, Azure SQL-Datenbank oder Azure SQL Managed Instance anmelden kann Authentifizierung. | ContosoDevSQLAdmin |
SecretNameSQLPassword |
Name eines vorhandenen Azure Key Vault-Geheimnisses, das ein Microsoft Entra Benutzerkennwort enthält, das sich mithilfe von Microsoft Entra bei Azure Synapse, Azure SQL-Datenbank oder Azure SQL Managed Instance anmelden kann Authentifizierung. | ContosoDevSQLPassword |
Beispieldatei für .csv:
Hinweis
Sie können den Dateinamen und pfad im Code aktualisieren, wenn dies erforderlich ist.
Ausführen des Skripts und Installieren der erforderlichen PowerShell-Module
Führen Sie die folgenden Schritte aus, um das Skript auf Ihrem Windows-Computer auszuführen:
Laden Sie das Microsoft Purview MSI-Konfigurationsskript an den Speicherort Ihrer Wahl herunter.
Geben Sie auf Ihrem Computer PowerShell in das Suchfeld auf der Windows-Taskleiste ein. Wählen Sie in der Suchliste Windows PowerShell und halten (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Als Administrator ausführen aus.
Geben Sie im PowerShell-Fenster den folgenden Befehl ein. (Ersetzen Sie durch
<path-to-script>
den Ordnerpfad der extrahierten Skriptdatei.)dir -Path <path-to-script> | Unblock-File
Geben Sie den folgenden Befehl ein, um die Azure-Cmdlets zu installieren:
Install-Module -Name Az -AllowClobber -Scope CurrentUser
Wenn die Aufforderung angezeigt wird, dass der NuGet-Anbieter zum Fortfahren erforderlich ist, geben Sie Y ein, und drücken Sie dann die EINGABETASTE.
Wenn die Aufforderung Nicht vertrauenswürdiges Repository angezeigt wird, geben Sie A ein, und drücken Sie dann die EINGABETASTE.
Wiederholen Sie die vorherigen Schritte, um die
Az.Synapse
Module undAzureAD
zu installieren.
Es kann bis zu einer Minute dauern, bis PowerShell die erforderlichen Module installiert hat.
Sammeln anderer Daten, die zum Ausführen des Skripts erforderlich sind
Bevor Sie das PowerShell-Skript ausführen, um die Bereitschaft von Datenquellenabonnements zu überprüfen, rufen Sie die Werte der folgenden Argumente ab, die in den Skripts verwendet werden sollen:
AzureDataType
: Wählen Sie eine der folgenden Optionen als Datenquellentyp aus, um die Bereitschaft für den Datentyp in Ihren Abonnements zu überprüfen:BlobStorage
AzureSQLMI
AzureSQLDB
ADLSGen2
ADLSGen1
Synapse
All
PurviewAccount
: Ressourcenname Ihres vorhandenen Microsoft Purview-Kontos.PurviewSub
: Abonnement-ID, in der das Microsoft Purview-Konto bereitgestellt wird.
Überprüfen Ihrer Berechtigungen
Stellen Sie sicher, dass Ihr Benutzer über die folgenden Rollen und Berechtigungen verfügt:
Zum Ausführen des Skripts in Ihrer Azure-Umgebung benötigen Sie mindestens die folgenden Berechtigungen:
Rolle | Bereich | Warum wird es benötigt? |
---|---|---|
Globaler Reader | Microsoft Entra Mandant | So lesen Sie Azure SQL Admin Benutzergruppenmitgliedschaft und Microsoft Purview MSI |
Anwendungsadministrator | Microsoft Entra Mandant | So weisen Sie Azure SQL verwalteten Instanzen die Rolle "Verzeichnisleseberechtigter" zu |
Contributor | Abonnement oder Ressourcengruppe, in dem Ihr Microsoft Purview-Konto erstellt wird | So lesen Sie die Microsoft Purview-Kontoressource und erstellen eine Key Vault Ressource und ein Geheimnis |
Besitzer oder Benutzerzugriffsadministrator | Verwaltungsgruppe oder Abonnement, in der sich Ihre Azure-Datenquellen befinden | So weisen Sie RBAC zu |
Contributor | Verwaltungsgruppe oder Abonnement, in der sich Ihre Azure-Datenquellen befinden | So richten Sie die Netzwerkkonfiguration ein |
SQL Admin (Microsoft Entra-Authentifizierung) | Azure SQL Serverinstanzen oder Azure SQL verwalteten Instanzen | So weisen Sie Microsoft Purview die rolle db_datareader zu |
Zugriff auf Ihren Azure-Schlüsseltresor | Zugriff auf Key Vault Geheimnis für Azure SQL Datenbank, Azure SQL Managed Instance oder Azure Synapse-Authentifizierung |
Ausführen des clientseitigen Bereitschaftsskripts
Führen Sie das Skript aus, indem Sie die folgenden Schritte ausführen:
Verwenden Sie den folgenden Befehl, um zum Ordner des Skripts zu wechseln. Ersetzen Sie durch
<path-to-script>
den Ordnerpfad der extrahierten Datei.cd <path-to-script>
Führen Sie den folgenden Befehl aus, um die Ausführungsrichtlinie für den lokalen Computer festzulegen. Geben Sie A für Ja zu allen ein, wenn Sie aufgefordert werden, die Ausführungsrichtlinie zu ändern.
Set-ExecutionPolicy -ExecutionPolicy Unrestricted
Führen Sie das Skript mit den folgenden Parametern aus. Ersetzen Sie die
DataType
Platzhalter ,PurviewName
undSubscriptionID
..\purview-msi-configuration.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>
Wenn Sie den Befehl ausführen, wird möglicherweise zweimal ein Popupfenster angezeigt, in dem Sie aufgefordert werden, sich mit Ihren Microsoft Entra Anmeldeinformationen bei Azure anzumelden und Microsoft Entra ID.
Die Erstellung des Berichts kann je nach Anzahl der Azure-Abonnements und -Ressourcen in der Umgebung einige Minuten dauern.
Wenn die Anmeldeinformationen im Schlüsseltresor nicht übereinstimmen, werden Sie möglicherweise aufgefordert, sich bei Ihren Azure SQL Server-Instanzen anzumelden. Sie können die Anmeldeinformationen angeben oder die EINGABETASTE drücken, um den jeweiligen Server zu überspringen.
Zeigen Sie nach Abschluss des Prozesses den Ausgabebericht an, um die Änderungen zu überprüfen.
Weitere Informationen
Welche Datenquellen werden vom Skript unterstützt?
Derzeit werden die folgenden Datenquellen vom Skript unterstützt:
- Azure Blob Storage (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Azure SQL-Datenbank (AzureSQLDB)
- Azure SQL Managed Instance (AzureSQLMI)
- dedizierter Azure Synapse-Pool (Synapse)
Sie können alle oder eine dieser Datenquellen als Eingabeparameter auswählen, wenn Sie das Skript ausführen.
Welche Konfigurationen sind im Skript enthalten?
Dieses Skript kann Ihnen dabei helfen, die folgenden Aufgaben automatisch auszuführen:
Azure Blob Storage (BlobStorage)
- RBAC. Weisen Sie microsoft Purview MSI im ausgewählten Bereich die Rolle Azure RBAC-Leser zu. Überprüfen Sie die Zuweisung.
- RBAC. Weisen Sie microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Azure RBAC Storage Blob Data Reader zu. Überprüfen Sie die Zuweisungen.
- Vernetzung. Melden Sie, ob ein privater Endpunkt für den Speicher erstellt und für Blob Storage aktiviert ist.
- Dienstendpunkt. Wenn der private Endpunkt deaktiviert ist, überprüfen Sie, ob der Dienstendpunkt aktiviert ist, und aktivieren Sie Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben.
Azure Data Lake Storage Gen2 (ADLSGen2)
- RBAC. Weisen Sie microsoft Purview MSI im ausgewählten Bereich die Rolle Azure RBAC-Leser zu. Überprüfen Sie die Zuweisung.
- RBAC. Weisen Sie microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Azure RBAC Storage Blob Data Reader zu. Überprüfen Sie die Zuweisungen.
- Vernetzung. Melden Sie, ob ein privater Endpunkt für den Speicher erstellt und für Blob Storage aktiviert ist.
- Dienstendpunkt. Wenn der private Endpunkt deaktiviert ist, überprüfen Sie, ob der Dienstendpunkt aktiviert ist, und aktivieren Sie Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben.
Azure Data Lake Storage Gen1 (ADLSGen1)
- Vernetzung. Vergewissern Sie sich, dass der Dienstendpunkt aktiviert ist, und aktivieren Sie Allen Azure-Diensten den Zugriff auf dieses Data Lake Storage Gen1-Konto auf Data Lake Storage erlauben.
- Erlaubnisse. Weisen Sie Microsoft Purview MSI Lese-/Ausführungszugriff zu. Überprüfen Sie den Zugriff.
Azure SQL-Datenbank (AzureSQLDB)
SQL Server Instanzen:
- Netz. Melden Sie, ob der öffentliche Endpunkt oder der private Endpunkt aktiviert ist.
- Firewall. Wenn der private Endpunkt deaktiviert ist, überprüfen Sie die Firewallregeln, und aktivieren Sie Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben.
- Microsoft Entra Verwaltung. Aktivieren Sie Microsoft Entra-Authentifizierung für Azure SQL Database.
SQL-Datenbanken:
- SQL-Rolle. Weisen Sie microsoft Purview MSI die Rolle db_datareader zu.
Azure SQL Managed Instance (AzureSQLMI)
SQL Managed Instance Server:
Netz. Vergewissern Sie sich, dass der öffentliche Endpunkt oder der private Endpunkt aktiviert ist. Melden Sie, ob der öffentliche Endpunkt deaktiviert ist.
ProxyOverride. Vergewissern Sie sich, dass Azure SQL Managed Instance als Proxy oder Umleitung konfiguriert ist.
Vernetzung. Aktualisieren Sie NSG-Regeln, um eingehenden AzureCloud-Zugriff auf SQL Server-Instanzen über erforderliche Ports zu ermöglichen:
- Umleitung: 1433 und 11000-11999
oder
- Proxy: 3342
Überprüfen Sie diesen Zugriff.
Microsoft Entra Verwaltung. Aktivieren Sie Microsoft Entra-Authentifizierung für Azure SQL Managed Instance.
SQL-Datenbanken:
- SQL-Rolle. Weisen Sie microsoft Purview MSI die Rolle db_datareader zu.
dedizierter Azure Synapse-Pool (Synapse)
RBAC. Weisen Sie microsoft Purview MSI im ausgewählten Bereich die Rolle Azure RBAC-Leser zu. Überprüfen Sie die Zuweisung.
RBAC. Weisen Sie microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Azure RBAC Storage Blob Data Reader zu. Überprüfen Sie die Zuweisungen.
SQL Server-Instanzen (dedizierte Pools):
- Netz. Melden Sie, ob der öffentliche Endpunkt oder der private Endpunkt aktiviert ist.
- Firewall. Wenn der private Endpunkt deaktiviert ist, überprüfen Sie die Firewallregeln, und aktivieren Sie Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben.
- Microsoft Entra Verwaltung. Aktivieren Sie Microsoft Entra-Authentifizierung für Azure SQL Database.
SQL-Datenbanken:
- SQL-Rolle. Weisen Sie microsoft Purview MSI die Rolle db_datareader zu.
Nächste Schritte
In diesem Tutorial haben Sie Folgendes gelernt:
- Identifizieren Sie den erforderlichen Zugriff, und richten Sie die erforderlichen Authentifizierungs- und Netzwerkregeln für Microsoft Purview in Azure-Datenquellen ein.
Im nächsten Tutorial erfahren Sie, wie Sie mehrere Quellen in Microsoft Purview registrieren und überprüfen.