Herstellen einer Verbindung mit Azure Data Lake Storage in Microsoft Purview

In diesem Artikel wird der Prozess zum Registrieren und Steuern einer Azure Data Lake Storage-Datenquelle (ADLS Gen2) in Microsoft Purview beschrieben, einschließlich Anweisungen zum Authentifizieren und Interagieren mit der ADLS Gen2-Quelle.

Unterstützte Funktionen

Metadatenextraktion	Vollständiger Scan	Inkrementelle Überprüfung	Bereichsbezogene Überprüfung	Klassifizierung	Bezeichnen	Zugriffsrichtlinie	Linie	Datenfreigabe	Liveansicht
Ja	Ja	Ja	Ja	Ja	Ja	Ja (Vorschau)	Begrenzte*	Ja	Ja

* Die Herkunft wird unterstützt, wenn das Dataset als Quelle/Senke in Data Factory oder Synapse-Pipeline verwendet wird.

Beim Überprüfen Azure Data Lake Storage Gen2 Quelle unterstützt Microsoft Purview das Extrahieren technischer Metadaten, einschließlich:

• Speicherkonto
• Data Lake Storage Gen2 Service
• Dateisystem (Container)
• Ordner
• Dateien
• Ressourcensätze

Beim Einrichten der Überprüfung können Sie den gesamten ADLS Gen2-Ordner oder selektive Ordner überprüfen. Hier erfahren Sie mehr über das unterstützte Dateiformat.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Ein aktives Microsoft Purview-Konto.

• Sie müssen Datenquellenadministrator und Datenleser sein, um eine Quelle zu registrieren und im Microsoft Purview-Governanceportal zu verwalten. Weitere Informationen finden Sie auf der Seite Microsoft Purview-Berechtigungen .

• Sie benötigen mindestens die Leseberechtigung für das ADLS Gen2-Konto , um es registrieren zu können.

Registrieren

In diesem Abschnitt können Sie die ADLS Gen2-Datenquelle für die Überprüfung und Datenfreigabe in Purview registrieren.

Voraussetzungen für die Registrierung

• Sie müssen eine Datenquelle Admin und eine der anderen Purview-Rollen (z. B. Datenleser oder Data Share Mitwirkender) sein, um eine Quelle zu registrieren und im Microsoft Purview-Governanceportal zu verwalten. Weitere Informationen finden Sie auf der Seite Microsoft Purview-Berechtigungen .

Schritte zum Registrieren

Es ist wichtig, die Datenquelle in Microsoft Purview zu registrieren, bevor Sie eine Überprüfung für die Datenquelle einrichten.

1. Wechseln Sie zum Microsoft Purview-Governanceportal wie folgt:

   • Navigieren Sie direkt zu https://web.purview.azure.com Ihrem Microsoft Purview-Konto, und wählen Sie es aus.
   • Öffnen Sie die Azure-Portal, suchen Sie nach dem Microsoft Purview-Konto, und wählen Sie es aus. Wählen Sie die Schaltfläche Microsoft Purview-Governanceportal aus.

2. Navigieren Sie zur Data Map --> Quellen.

   

   

3. Erstellen Sie die Sammlungshierarchie mithilfe des Menüs Sammlungen , und weisen Sie den einzelnen Untersammlungen nach Bedarf Berechtigungen zu.

   

4. Navigieren Sie im Menü Quellen zur entsprechenden Sammlung, und wählen Sie das Symbol Registrieren aus, um eine neue ADLS Gen2-Datenquelle zu registrieren.

   

5. Wählen Sie die Azure Data Lake Storage Gen2 Datenquelle aus, und wählen Sie Weiter aus.

   

6. Geben Sie einen geeigneten Namen für die Datenquelle an, wählen Sie das relevante Azure-Abonnement, den Namen des vorhandenen Data Lake Store-Kontos und die Sammlung aus, und wählen Sie Übernehmen aus. Lassen Sie die Umschaltfläche Datennutzungsverwaltung auf der deaktivierten Position, bis Sie die Möglichkeit haben, dieses Dokument sorgfältig zu durchgehen.

   

7. Das ADLS Gen2-Speicherkonto wird unter der ausgewählten Sammlung angezeigt.

   

Überprüfung

Tipp

So beheben Sie Probleme mit der Überprüfung:

1. Vergewissern Sie sich, dass Sie die Authentifizierung für die Überprüfung ordnungsgemäß eingerichtet haben.
2. Lesen Sie unsere Dokumentation zur Problembehandlung bei Der Überprüfung.

Authentifizierung für eine Überprüfung

Ihr Azure-Netzwerk ermöglicht möglicherweise die Kommunikation zwischen Ihren Azure-Ressourcen. Wenn Sie jedoch Firewalls, private Endpunkte oder virtuelle Netzwerke in Azure eingerichtet haben, müssen Sie eine der folgenden Konfigurationen befolgen.

Netzwerkeinschränkungen	Integration Runtime-Typ	Verfügbare Anmeldeinformationstypen
Keine privaten Endpunkte oder Firewalls	Azure IR	Verwaltete Identität (empfohlen), Dienstprinzipal oder Kontoschlüssel
Firewall aktiviert, aber keine privaten Endpunkte	Azure IR	Verwaltete Identität
Private Endpunkte aktiviert	*Selbstgehostete IR	Dienstprinzipal, Kontoschlüssel

Wichtig

1. *Um eine selbstgehostete Integration Runtime zu verwenden, müssen Sie zuerst eine erstellen und Ihre Netzwerkeinstellungen für Microsoft Purview bestätigen.
2. Wenn Sie die Self-Hosted Integration Runtime zum Überprüfen von Parquet-Dateien verwenden, müssen Sie die 64-Bit-JRE 8 (Java Runtime Environment) oder OpenJDK auf Ihrem IR-Computer installieren. Weitere Informationen finden Sie in unserem Installationshandbuch zur Java-Runtimeumgebung.

System- oder benutzerseitig zugewiesene verwaltete Identität

Verwenden einer system- oder benutzerseitig zugewiesenen verwalteten Identität zum Überprüfen

Es gibt zwei Arten von verwalteten Identitäten, die Sie verwenden können:

• Systemseitig zugewiesene verwaltete Identität (empfohlen): Sobald das Microsoft Purview-Konto erstellt wurde, wird automatisch eine systemseitig zugewiesene verwaltete Identität (SAMI) im Azure AD-Mandanten erstellt. Abhängig vom Ressourcentyp sind bestimmte RBAC-Rollenzuweisungen erforderlich, damit die systemseitig zugewiesene verwaltete Identität (SAMI) von Microsoft Purview die Überprüfungen durchführen kann.

• Benutzerseitig zugewiesene verwaltete Identität (Vorschau): Ähnlich wie bei einer systemseitig verwalteten Identität ist eine benutzerseitig zugewiesene verwaltete Identität (User-Assigned Managed Identity, UAMI) eine Anmeldeinformationsressource, die verwendet werden kann, um Microsoft Purview die Authentifizierung bei Azure Active Directory zu ermöglichen. Weitere Informationen finden Sie in unserem Leitfaden für benutzerseitig zugewiesene verwaltete Identitäten.

Es ist wichtig, Ihrem Microsoft Purview-Konto oder Ihrer benutzerseitig zugewiesenen verwalteten Identität (User-Assigned Managed Identity, UAMI) die Berechtigung zum Überprüfen der ADLS Gen2-Datenquelle zu erteilen. Sie können die systemseitig zugewiesene verwaltete Identität Ihres Microsoft Purview-Kontos (die denselben Namen wie Ihr Microsoft Purview-Konto hat) oder UAMI auf Abonnement-, Ressourcengruppen- oder Ressourcenebene hinzufügen, je nachdem, auf welcher Ebene Scanberechtigungen erforderlich sind.

Hinweis

Sie müssen besitzer des Abonnements sein, um einer Azure-Ressource eine verwaltete Identität hinzufügen zu können.

1. Suchen Sie in der Azure-Portal entweder das Abonnement, die Ressourcengruppe oder die Ressource (z. B. ein Azure Data Lake Storage Gen2 Speicherkonto), die Der Katalog überprüft werden soll.

   

2. Wählen Sie im linken Navigationsbereich Access Control (IAM) und dann + Hinzufügen -->Rollenzuweisung hinzufügen aus.

   

3. Legen Sie die Rolle auf Storage-Blobdatenleser fest, und geben Sie den Namen Ihres Microsoft Purview-Kontos oder die benutzerseitig zugewiesene verwaltete Identität unter dem Eingabefeld Auswählen ein. Wählen Sie dann Speichern aus, um diese Rollenzuweisung an Ihr Microsoft Purview-Konto zu erteilen.

   

   Hinweis

   Weitere Informationen finden Sie in den Schritten unter Autorisieren des Zugriffs auf Blobs und Warteschlangen mithilfe von Azure Active Directory.

   Hinweis

   Wenn Sie eine Firewall für das Speicherkonto aktiviert haben, müssen Sie beim Einrichten einer Überprüfung die Authentifizierungsmethode für verwaltete Identitäten verwenden.

4. Wechseln Sie in Azure-Portal zu Ihrem ADLS Gen2-Speicherkonto.

5. Navigieren Sie zu Sicherheit + Netzwerknetzwerk > .

   

6. Wählen Sie unter Zugriff zulassen die Option Ausgewählte Netzwerke aus.

   

7. Wählen Sie im Abschnitt Ausnahmen die Option Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben aus, und klicken Sie auf Speichern.

   

Kontoschlüssel

Verwenden des Kontoschlüssels für die Überprüfung

Hinweis

Wenn Sie diese Option verwenden, müssen Sie eine Azure Key Vault-Ressource in Ihrem Abonnement bereitstellen und die erforderliche Zugriffsberechtigung für Die systemseitig zugewiesene verwaltete Identität (System Assigned Managed Identity, SAMI) des Microsoft Purview-Kontos für Geheimnisse in Azure Key Vault zuweisen.

Wenn die Authentifizierungsmethode Kontoschlüssel ausgewählt ist, müssen Sie Ihren Zugriffsschlüssel abrufen und im Schlüsseltresor speichern:

1. Navigieren Sie zu Ihrem ADLS Gen2-Speicherkonto.

2. Wählen Sie Sicherheit + Netzwerkzugriffsschlüssel > aus.

   

3. Kopieren Sie Ihren Schlüssel , und speichern Sie ihn separat für die nächsten Schritte.

   

4. Navigieren Sie zu Ihrem Schlüsseltresor.

   

5. Wählen Sie Einstellungen > Geheimnisse und dann + Generieren/Importieren.

6. Geben Sie den Namen und den Wert als Schlüssel aus Ihrem Speicherkonto ein.

   

7. Wählen Sie Erstellen aus, um den Vorgang abzuschließen.

   

8. Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, müssen Sie eine neue Key Vault-Verbindung erstellen.

9. Erstellen Sie schließlich neue Anmeldeinformationen, indem Sie den Schlüssel verwenden, um Ihre Überprüfung einzurichten.

Dienstprinzipal

Verwenden des Dienstprinzipals für die Überprüfung

Erstellen eines neuen Dienstprinzipals

Wenn Sie einen neuen Dienstprinzipal erstellen müssen, müssen Sie eine Anwendung in Ihrem Azure AD-Mandanten registrieren und Zugriff auf den Dienstprinzipal in Ihren Datenquellen gewähren. Dieser Vorgang kann von Ihrem globalen Azure AD-Administrator oder anderen Rollen wie Anwendungsadministrator ausgeführt werden.

Abrufen der Anwendungs-ID des Dienstprinzipals

1. Kopieren Sie die Anwendungs-ID (Client-ID), die in der Übersicht über den bereits erstellten Dienstprinzipal vorhanden ist.

   

Gewähren des Zugriffs auf Ihr ADLS Gen2-Konto für den Dienstprinzipal

Es ist wichtig, Ihrem Dienstprinzipal die Berechtigung zum Überprüfen der ADLS Gen2-Datenquelle zu erteilen. Sie können zugriff für den Dienstprinzipal auf Abonnement-, Ressourcengruppen- oder Ressourcenebene hinzufügen, je nachdem, auf welcher Ebene Scanberechtigungen erforderlich sind.

Hinweis

Sie müssen besitzer des Abonnements sein, um einen Dienstprinzipal zu einer Azure-Ressource hinzufügen zu können.

1. Suchen Sie in der Azure-Portal entweder das Abonnement, die Ressourcengruppe oder die Ressource (z. B. ein Azure Data Lake Storage Gen2 Speicherkonto), die Der Katalog überprüft werden soll.

   

2. Wählen Sie im linken Navigationsbereich Access Control (IAM) und dann + Hinzufügen -->Rollenzuweisung hinzufügen aus.

   

3. Legen Sie die Rolle auf Storage Blob Data Reader fest, und geben Sie unter Eingabefeld auswählen Ihren Dienstprinzipal ein. Wählen Sie dann Speichern aus, um diese Rollenzuweisung an Ihr Microsoft Purview-Konto zu erteilen.

   

Erstellen der Überprüfung

1. Öffnen Sie Ihr Microsoft Purview-Konto, und wählen Sie das Microsoft Purview-Governanceportal öffnen aus.

2. Navigieren Sie zu Data map -->Sources , um die Sammlungshierarchie anzuzeigen.

3. Wählen Sie das Symbol "Neuer Scan " unter der zuvor registrierten ADLS Gen2-Datenquelle aus.

   

System- oder benutzerseitig zugewiesene verwaltete Identität

Bei Verwendung einer system- oder benutzerseitig zugewiesenen verwalteten Identität

1. Geben Sie einen Namen für die Überprüfung an, wählen Sie die systemseitig oder benutzerseitig zugewiesene verwaltete Identität unter Anmeldeinformationen aus, wählen Sie die entsprechende Sammlung für die Überprüfung aus, und wählen Sie Verbindung testen aus. Wählen Sie bei erfolgreicher Verbindung Weiter aus.

   

Kontoschlüssel

Bei Verwendung des Kontoschlüssels

1. Geben Sie einen Namen für die Überprüfung an, wählen Sie je nach Konfiguration die Azure IR oder Ihre Self-Hosted IR aus, wählen Sie die entsprechende Sammlung für die Überprüfung aus, und wählen Sie unter Anmeldeinformationen die Option + Neu aus.

2. Wählen Sie Kontoschlüssel als Authentifizierungsmethode aus, wählen Sie dann die entsprechende Key Vault-Verbindung aus, und geben Sie den Namen des Geheimnisses an, das Sie zum Speichern des Kontoschlüssels verwendet haben. Wählen Sie dann Erstellen aus.

   

3. Wählen Sie Verbindung testen aus. Wählen Sie bei erfolgreicher Verbindung Weiter aus.

Dienstprinzipal

Bei Verwendung eines Dienstprinzipals

1. Geben Sie einen Namen für die Überprüfung an, wählen Sie je nach Konfiguration die Azure IR oder Ihre Self-Hosted IR aus, wählen Sie die entsprechende Sammlung für die Überprüfung aus, und wählen Sie unter Anmeldeinformationen die Option + Neu aus.

   

2. Wählen Sie die entsprechende Schlüsseltresorverbindung und den Geheimnisnamen aus, die beim Erstellen des Dienstprinzipals verwendet wurden. Die Dienstprinzipal-ID ist die zuvor kopierte Anwendungs-ID (Client-ID ).

   

3. Wählen Sie Verbindung testen aus. Wählen Sie bei erfolgreicher Verbindung Weiter aus.

Bereich und Ausführen der Überprüfung

1. Sie können ihre Überprüfung auf bestimmte Ordner und Unterordner festlegen, indem Sie die entsprechenden Elemente in der Liste auswählen.

   

2. Wählen Sie dann einen Überprüfungsregelsatz aus. Sie können zwischen dem Systemstandard und vorhandenen benutzerdefinierten Regelsätzen wählen oder einen neuen Regelsatz inline erstellen.

   

3. Wenn Sie einen neuen Überprüfungsregelsatz erstellen, wählen Sie die Dateitypen aus, die in die Überprüfungsregel eingeschlossen werden sollen.

   

4. Sie können die Klassifizierungsregeln auswählen, die in die Überprüfungsregel eingeschlossen werden sollen.

   

   

5. Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.

   

6. Überprüfen Sie Ihre Überprüfung, und wählen Sie Speichern und ausführen aus.

   

Anzeigen Ihrer Überprüfungen und Überprüfungsausführungen

So zeigen Sie vorhandene Überprüfungen an:

1. Navigieren Sie zum Microsoft Purview-Governanceportal. Wählen Sie im linken Bereich Data Map aus.
2. Wählen Sie die Datenquelle aus. Sie können eine Liste der vorhandenen Überprüfungen für diese Datenquelle unter Zuletzt verwendete Überprüfungen anzeigen, oder Sie können alle Überprüfungen auf der Registerkarte Scans anzeigen.
3. Wählen Sie die Überprüfung aus, die Ergebnisse enthält, die Sie anzeigen möchten. Im Bereich werden alle vorherigen Überprüfungsausführungen zusammen mit den status und Metriken für jede Überprüfungsausführung angezeigt.
4. Wählen Sie die Ausführungs-ID aus, um die Details der Überprüfungsausführung zu überprüfen.

Verwalten ihrer Überprüfungen

So bearbeiten, abbrechen oder löschen Sie eine Überprüfung:

1. Navigieren Sie zum Microsoft Purview-Governanceportal. Wählen Sie im linken Bereich Data Map aus.

2. Wählen Sie die Datenquelle aus. Sie können eine Liste der vorhandenen Überprüfungen für diese Datenquelle unter Zuletzt verwendete Überprüfungen anzeigen, oder Sie können alle Überprüfungen auf der Registerkarte Scans anzeigen.

3. Wählen Sie die Überprüfung aus, die Sie verwalten möchten. Anschließend können Sie:

   • Bearbeiten Sie die Überprüfung, indem Sie Überprüfung bearbeiten auswählen.
   • Brechen Sie eine laufende Überprüfung ab, indem Sie Überprüfungsausführung abbrechen auswählen.
   • Löschen Sie Ihre Überprüfung, indem Sie Überprüfung löschen auswählen.

Hinweis

• Durch das Löschen Ihrer Überprüfung werden keine Katalogressourcen gelöscht, die aus vorherigen Überprüfungen erstellt wurden.
• Das Medienobjekt wird nicht mehr mit Schemaänderungen aktualisiert, wenn sich Ihre Quelltabelle geändert hat, und Sie die Quelltabelle erneut überprüfen, nachdem Sie die Beschreibung auf der Registerkarte Schema von Microsoft Purview bearbeitet haben.

Datenfreigabe

Microsoft Purview Data Sharing (Vorschau) ermöglicht die direkte Freigabe von Daten von ADLS Gen2 zu ADLS Gen2. Dieser Abschnitt enthält Details zu den ADLS Gen2-spezifischen Anforderungen für die direkte Freigabe und den empfang von Daten. Eine schritt-für-Schritt-Anleitung zur Verwendung der Datenfreigabe finden Sie unter Freigeben von Daten und Empfangen von Freigaben .

Für die direkte Datenfreigabe unterstützte Speicherkonten

Die folgenden Speicherkonten werden für die direkte Datenfreigabe unterstützt:

• Regionen: Kanada, Mitte, Kanada, Osten, Vereinigtes Königreich, Süden, Vereinigtes Königreich, Westen, Australien, Osten, Japan, Osten, Korea, Süden und Südafrika, Norden
• Redundanzoptionen: LRS, GRS, RA-GRS
• Ebenen: Heiß, Kalt

Verwenden Sie nur Speicherkonten ohne Produktionsworkload für die Vorschau.

Hinweis

Quell- und Zielspeicherkonten müssen sich in derselben Region befinden. Sie müssen sich nicht in derselben Region wie das Microsoft Purview-Konto befinden.

Speicherkontoberechtigungen, die zum Freigeben von Daten erforderlich sind

Zum Hinzufügen oder Aktualisieren einer Speicherkontoressource zu einer Freigabe benötigen Sie eine der folgenden Berechtigungen:

• Microsoft.Authorization/roleAssignments/write : Diese Berechtigung ist in der Rolle Besitzer verfügbar.
• Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/ : Diese Berechtigung ist in der Rolle Blob Storage-Datenbesitzer verfügbar.

Speicherkontoberechtigungen, die zum Empfangen freigegebener Daten erforderlich sind

Zum Zuordnen eines Speicherkontoobjekts in einer empfangenen Freigabe benötigen Sie eine der folgenden Berechtigungen:

• Microsoft.Storage/storageAccounts/write : Diese Berechtigung ist in der Rolle Mitwirkender und Besitzer verfügbar.
• Microsoft.Storage/storageAccounts/blobServices/containers/write : Diese Berechtigung ist in den Rollen Mitwirkender, Besitzer, Mitwirkender an Storage-Blobdaten und Besitzer von Speicherblobdaten verfügbar.

Aktualisieren freigegebener Daten im Quellspeicherkonto

Updates, die Sie für freigegebene Dateien oder Daten im freigegebenen Ordner aus dem Quellspeicherkonto festlegen, werden dem Empfänger im Zielspeicherkonto nahezu in Echtzeit zur Verfügung gestellt. Wenn Sie Unterordner oder Dateien innerhalb des freigegebenen Ordners löschen, werden sie für den Empfänger nicht mehr angezeigt. Um den freigegebenen Ordner, die Datei oder die übergeordneten Ordner oder Container zu löschen, müssen Sie zunächst den Zugriff auf alle Ihre Freigaben aus dem Quellspeicherkonto widerrufen.

Zugreifen auf freigegebene Daten im Zielspeicherkonto

Mit dem Zielspeicherkonto kann der Empfänger nahezu in Echtzeit schreibgeschützt auf die freigegebenen Daten zugreifen. Sie können Analysetools wie Synapse Workspace und Databricks mit den freigegebenen Daten verbinden, um Analysen durchzuführen. Die Kosten für den Zugriff auf die freigegebenen Daten werden dem Zielspeicherkonto in Rechnung gestellt.

Dienstlimit

Das Quellspeicherkonto kann bis zu 20 Ziele unterstützen, und das Zielspeicherkonto kann bis zu 100 Quellen unterstützen. Wenn Sie eine Erhöhung des Grenzwerts benötigen, wenden Sie sich an den Support.

Zugriffsrichtlinie

Unterstützte Richtlinien

Die folgenden Richtlinientypen werden für diese Datenressource von Microsoft Purview unterstützt:

• Richtlinien für Datenbesitzer
• Self-Service-Zugriffsrichtlinien

Voraussetzungen für Zugriffsrichtlinien für Azure Storage-Konten

Regionsunterstützung

• Alle Microsoft Purview-Regionen werden unterstützt.
• Speicherkonten in den folgenden Regionen werden ohne zusätzliche Konfiguration unterstützt. Zonenredundante Speicherkonten (ZRS) werden jedoch nicht unterstützt.
  • USA (Osten)
  • USA, Osten2
  • USA (Süden, Mitte)
  • USA, Westen2
  • Kanada, Mitte
  • Nordeuropa
  • Westeuropa
  • Frankreich, Mitte
  • Vereinigtes Königreich (Süden)
  • Südostasien
  • Australien (Osten)
• Speicherkonten in anderen Regionen in der öffentlichen Cloud werden nach dem Festlegen des Featureflags AllowPurviewPolicyEnforcement unterstützt, wie im nächsten Abschnitt beschrieben. Neu erstellte ZRS Storage-Konten werden unterstützt, wenn sie nach dem Festlegen des Featureflags AllowPurviewPolicyEnforcement erstellt wurden.

Bei Bedarf können Sie ein neues Speicherkonto erstellen, indem Sie diese Anleitung befolgen.

Konfigurieren des Abonnements, in dem sich das Azure Storage-Konto befindet, für Richtlinien aus Microsoft Purview

Dieser Schritt ist nur in bestimmten Regionen erforderlich (siehe vorheriger Abschnitt). Damit Microsoft Purview Richtlinien für ein oder mehrere Azure Storage-Konten verwalten kann, führen Sie die folgenden PowerShell-Befehle in dem Abonnement aus, in dem Sie Ihr Azure Storage-Konto bereitstellen. Mit diesen PowerShell-Befehlen kann Microsoft Purview Richtlinien für alle Azure Storage-Konten in diesem Abonnement verwalten.

Wenn Sie diese Befehle lokal ausführen, stellen Sie sicher, dass Sie PowerShell als Administrator ausführen. Alternativ können Sie die Azure-Cloud Shell im Azure-Portal verwenden: https://shell.azure.com.

# Install the Az module
Install-Module -Name Az -Scope CurrentUser -Repository PSGallery -Force
# Login into the subscription
Connect-AzAccount -Subscription <SubscriptionID>
# Register the feature
Register-AzProviderFeature -FeatureName AllowPurviewPolicyEnforcement -ProviderNamespace Microsoft.Storage

Wenn in der Ausgabe des letzten Befehls RegistrationState als Registriert angezeigt wird, ist Ihr Abonnement für Zugriffsrichtlinien aktiviert. Wenn die Ausgabe Registrieren lautet, warten Sie mindestens 10 Minuten, und wiederholen Sie dann den Befehl. Fahren Sie nicht fort, es sei denn, der RegistrationState wird als Registriert angezeigt.

Konfigurieren des Microsoft Purview-Kontos für Richtlinien

Registrieren der Datenquelle in Microsoft Purview

Bevor eine Richtlinie in Microsoft Purview für eine Datenressource erstellt werden kann, müssen Sie diese Datenressource in Microsoft Purview Studio registrieren. Die Anweisungen zum Registrieren der Datenressource finden Sie weiter unten in diesem Leitfaden.

Hinweis

Microsoft Purview-Richtlinien basieren auf dem ARM-Pfad der Datenressource. Wenn eine Datenressource in eine neue Ressourcengruppe oder ein neues Abonnement verschoben wird, muss sie die Registrierung aufheben und dann erneut in Microsoft Purview registriert werden.

Konfigurieren von Berechtigungen zum Aktivieren der Verwaltung der Datennutzung für die Datenquelle

Sobald eine Ressource registriert wurde, aber bevor eine Richtlinie in Microsoft Purview für diese Ressource erstellt werden kann, müssen Sie Berechtigungen konfigurieren. Zum Aktivieren der Datennutzungsverwaltung sind eine Reihe von Berechtigungen erforderlich. Dies gilt für Datenquellen, Ressourcengruppen oder Abonnements. Um die Verwaltung der Datennutzung zu aktivieren, müssen Sie sowohl über bestimmte Berechtigungen für die Identitäts- und Zugriffsverwaltung (IAM) für die Ressource als auch über bestimmte Microsoft Purview-Berechtigungen verfügen:

• Sie müssen entweder eine der folgenden IAM-Rollenkombinationen für den Azure-Resource Manager-Pfad der Ressource oder ein übergeordnetes Element (d. a. die Iam-Berechtigungsvererbung) verwenden:

  • IAM-Besitzer
  • Sowohl IAM-Mitwirkender als auch IAM-Benutzerzugriffsadministrator

  Befolgen Sie diese Anleitung, um Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zu konfigurieren. Der folgende Screenshot zeigt, wie Sie auf den Abschnitt Access Control in der Azure-Portal zugreifen, damit die Datenressource eine Rollenzuweisung hinzufügen kann.

  

  Hinweis

  Die Rolle IAM-Besitzer für eine Datenressource kann von einer übergeordneten Ressourcengruppe, einem Abonnement oder einer Abonnementverwaltungsgruppe geerbt werden. Überprüfen Sie, welche Azure AD-Benutzer, -Gruppen und -Dienstprinzipale die Rolle IAM-Besitzer für die Ressource besitzen oder erben.

• Außerdem müssen Sie über die Microsoft Purview-Rolle Datenquellenadministrator für die Sammlung oder eine übergeordnete Sammlung verfügen (wenn die Vererbung aktiviert ist). Weitere Informationen finden Sie im Leitfaden zum Verwalten von Microsoft Purview-Rollenzuweisungen.

  Der folgende Screenshot zeigt, wie Sie die Rolle "Datenquellenadministrator " auf der Stammsammlungsebene zuweisen.

  

Konfigurieren von Microsoft Purview-Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Zugriffsrichtlinien

Zum Erstellen, Aktualisieren oder Löschen von Richtlinien müssen Sie die Rolle Richtlinienautor in Microsoft Purview auf Stammsammlungsebene abrufen:

• Die Rolle Richtlinienautor kann DevOps- und Datenbesitzerrichtlinien erstellen, aktualisieren und löschen.
• Die Rolle Richtlinienautor kann Self-Service-Zugriffsrichtlinien löschen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Die Rolle "Richtlinienautor" muss auf der Stammsammlungsebene konfiguriert werden.

Darüber hinaus können Sie beim Erstellen oder Aktualisieren des Themas einer Richtlinie sehr gut durch Azure AD-Benutzer oder -Gruppen suchen, indem Sie die Berechtigung Verzeichnisleseberechtigte in Azure AD erhalten. Dies ist eine allgemeine Berechtigung für Benutzer in einem Azure-Mandanten. Ohne die Berechtigung Verzeichnisleser muss der Richtlinienautor den vollständigen Benutzernamen oder die E-Mail-Adresse für alle Prinzipale eingeben, die im Betreff einer Datenrichtlinie enthalten sind.

Konfigurieren von Microsoft Purview-Berechtigungen für die Veröffentlichung von Datenbesitzerrichtlinien

Datenbesitzerrichtlinien ermöglichen Überprüfungen und Gleichgewichte, wenn Sie die Microsoft Purview-Richtlinienautor- und Datenquellenadministratorrollen verschiedenen Personen im organization zuweisen. Bevor eine Datenbesitzerrichtlinie wirksam wird, muss sie von einer zweiten Person (Datenquellenadministrator) überprüft und durch Veröffentlichung explizit genehmigt werden. Dies gilt nicht für DevOps- oder Self-Service-Zugriffsrichtlinien, da die Veröffentlichung automatisch erfolgt, wenn diese Richtlinien erstellt oder aktualisiert werden.

Um eine Datenbesitzerrichtlinie zu veröffentlichen, müssen Sie die Rolle Datenquellenadministrator in Microsoft Purview auf Stammsammlungsebene abrufen.

Weitere Informationen zum Verwalten von Microsoft Purview-Rollenzuweisungen finden Sie unter Erstellen und Verwalten von Sammlungen im Microsoft Purview Data Map.

Hinweis

Zum Veröffentlichen von Datenbesitzerrichtlinien muss die Rolle Datenquellenadministrator auf der Stammsammlungsebene konfiguriert werden.

Delegieren der Verantwortung für die Zugriffsbereitstellung an Rollen in Microsoft Purview

Nachdem eine Ressource für die Verwaltung der Datennutzung aktiviert wurde, kann jeder Microsoft Purview-Benutzer mit der Rolle Richtlinienautor auf der Stammsammlungsebene zugriff auf diese Datenquelle aus Microsoft Purview bereitstellen.

Hinweis

Jeder Microsoft Purview-Stammsammlungsadministrator kann neue Benutzer den Stammrollen des Richtlinienautors zuweisen. Jeder Sammlungsadministrator kann neue Benutzer einer Datenquellenadministratorrolle unter der Sammlung zuweisen. Minimieren Sie die Benutzer, die die Rollen Microsoft Purview-Sammlungsadministrator, Datenquellenadministrator oder Richtlinienautor besitzen, und überprüfen Sie sie sorgfältig.

Wenn ein Microsoft Purview-Konto mit veröffentlichten Richtlinien gelöscht wird, werden solche Richtlinien innerhalb eines Zeitraums, der von der jeweiligen Datenquelle abhängt, nicht mehr erzwungen. Diese Änderung kann Auswirkungen auf die Sicherheit und die Verfügbarkeit des Datenzugriffs haben. Die Rollen Mitwirkender und Besitzer in IAM können Microsoft Purview-Konten löschen. Sie können diese Berechtigungen überprüfen, indem Sie zum Abschnitt Zugriffssteuerung (IAM) für Ihr Microsoft Purview-Konto wechseln und Rollenzuweisungen auswählen. Sie können auch eine Sperre verwenden, um zu verhindern, dass das Microsoft Purview-Konto über Resource Manager Sperren gelöscht wird.

Registrieren der Datenquelle in Microsoft Purview für die Datennutzungsverwaltung

Die Azure Storage-Ressource muss zuerst bei Microsoft Purview registriert werden, bevor Sie Zugriffsrichtlinien erstellen können. Um Ihre Ressource zu registrieren, befolgen Sie die Schritte in den Abschnitten Voraussetzungen und Registrieren dieses Leitfadens:

• Registrieren von Azure Data Lake Storage Gen2 (ADLS) in Microsoft Purview

Nachdem Sie die Datenquelle registriert haben, müssen Sie die Verwaltung der Datennutzung aktivieren. Dies ist eine Voraussetzung, bevor Sie Richtlinien für die Datenquelle erstellen können. Die Verwaltung der Datennutzung kann sich auf die Sicherheit Ihrer Daten auswirken, da sie an bestimmte Microsoft Purview-Rollen delegiert wird, die den Zugriff auf die Datenquellen verwalten. Gehen Sie die sicheren Methoden im Zusammenhang mit der Datennutzungsverwaltung in diesem Leitfaden durch: Aktivieren der Datennutzungsverwaltung

Sobald die Option "Datennutzungsverwaltung" für Ihre Datenquelle auf Aktiviert festgelegt ist, sieht sie wie dieser Screenshot aus: .

Richtlinie erstellen

Befolgen Sie diese Anleitung, um eine Zugriffsrichtlinie für Azure Data Lake Storage Gen2 zu erstellen:

• Bereitstellen des Lese-/Änderungszugriffs für ein einzelnes Speicherkonto

Informationen zum Erstellen von Richtlinien, die alle Datenquellen innerhalb einer Ressourcengruppe oder eines Azure-Abonnements abdecken, finden Sie in diesem Abschnitt.

Nächste Schritte

Befolgen Sie die folgenden Anleitungen, um mehr über Microsoft Purview und Ihre Daten zu erfahren.

• Datenbesitzerrichtlinien in Microsoft Purview
• Data Estate Insights in Microsoft Purview
• Herkunft in Microsoft Purview
• Datenfreigabe in Microsoft Purview