Tutorial: Überprüfen der Bereitschaft von Datenquellen im großen Stil

Um Datenquellen zu überprüfen, benötigt Microsoft Purview Zugriff darauf. Es verwendet Anmeldeinformationen, um diesen Zugriff zu erhalten. Anmeldeinformationen sind die Authentifizierungsinformationen, die Microsoft Purview für die Authentifizierung bei Ihren registrierten Datenquellen verwenden kann. Es gibt mehrere Möglichkeiten, die Anmeldeinformationen für Microsoft Purview einzurichten, darunter:

  • Die verwaltete Identität, die dem Microsoft Purview-Konto zugewiesen ist.
  • In Azure Key Vault gespeicherte Geheimnisse.
  • Dienstprinzipale.

In dieser zweiteiligen Tutorialreihe helfen wir Ihnen, die erforderlichen Azure-Rollenzuweisungen und den Netzwerkzugriff für verschiedene Azure-Datenquellen in Ihren Azure-Abonnements im großen Stil zu überprüfen und zu konfigurieren. Anschließend können Sie Ihre Azure-Datenquellen in Microsoft Purview registrieren und überprüfen.

Führen Sie das Prüflistenskript für die Bereitschaft von Microsoft Purview-Datenquellen aus, nachdem Sie Ihr Microsoft Purview-Konto bereitgestellt haben und bevor Sie Ihre Azure-Datenquellen registrieren und überprüfen.

In Teil 1 dieser Tutorialreihe gehen Sie wie folgt vor:

  • Suchen Sie Ihre Datenquellen, und bereiten Sie eine Liste der Datenquellenabonnements vor.
  • Führen Sie das Skript für die Bereitschaftsprüfliste aus, um fehlende rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) oder Netzwerkkonfigurationen in Ihren Datenquellen in Azure zu finden.
  • Überprüfen Sie im Ausgabebericht fehlende Netzwerkkonfigurationen und Rollenzuweisungen, die für microsoft Purview Managed Identity (MSI) erforderlich sind.
  • Geben Sie den Bericht für Datenbesitzer von Azure-Abonnements weiter, damit sie vorgeschlagene Aktionen ausführen können.

Voraussetzungen

Hinweis

Die Prüfliste zur Bereitschaft von Microsoft Purview-Datenquellen ist nur für Windows verfügbar. Dieses Skript für die Bereitschaftsprüfliste wird derzeit für Microsoft Purview MSI unterstützt.

Vorbereiten der Azure-Abonnementliste für Datenquellen

Erstellen Sie vor dem Ausführen des Skripts eine .csv-Datei (z. B. C:\temp\Subscriptions.csv) mit vier Spalten:

Spaltenname Beschreibung Beispiel
SubscriptionId Azure-Abonnement-IDs für Ihre Datenquellen. 12345678-aaaa-bbbb-cccc-1234567890ab
KeyVaultName Name des vorhandenen Schlüsseltresors, der im Datenquellenabonnement bereitgestellt wird. ContosoDevKeyVault
SecretNameSQLUserName Name eines vorhandenen Azure Key Vault-Geheimnisses, das einen Azure Active Directory-Benutzernamen (Azure AD) enthält, der sich mithilfe der Azure AD-Authentifizierung bei Azure Synapse, Azure SQL Database oder Azure SQL Managed Instance anmelden kann. ContosoDevSQLAdmin
SecretNameSQLPassword Name eines vorhandenen Azure Key Vault-Geheimnisses, das ein Azure AD-Benutzerkennwort enthält, das sich mithilfe der Azure AD-Authentifizierung bei Azure Synapse, Azure SQL-Datenbank oder Azure SQL Managed Instance anmelden kann. ContosoDevSQLPassword

Beispieldatei für .csv:

Screenshot: Beispielabonnementliste

Hinweis

Sie können den Dateinamen und pfad im Code aktualisieren, wenn dies erforderlich ist.

Ausführen des Skripts und Installieren der erforderlichen PowerShell-Module

Führen Sie die folgenden Schritte aus, um das Skript auf Ihrem Windows-Computer auszuführen:

  1. Laden Sie das Skript zur Bereitschaftsprüfliste für Microsoft Purview-Datenquellen an den Speicherort Ihrer Wahl herunter.

  2. Geben Sie auf Ihrem Computer PowerShell in das Suchfeld auf der Windows-Taskleiste ein. Wählen Sie in der Suchliste Windows PowerShell und halten (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Als Administrator ausführen aus.

  3. Geben Sie im PowerShell-Fenster den folgenden Befehl ein. (Ersetzen Sie durch <path-to-script> den Ordnerpfad der extrahierten Skriptdatei.)

    dir -Path <path-to-script> | Unblock-File
    
  4. Geben Sie den folgenden Befehl ein, um die Azure-Cmdlets zu installieren:

    Install-Module -Name Az -AllowClobber -Scope CurrentUser
    
  5. Wenn die Aufforderung angezeigt wird, dass der NuGet-Anbieter zum Fortfahren erforderlich ist, geben Sie Y ein, und drücken Sie dann die EINGABETASTE.

  6. Wenn die Aufforderung Nicht vertrauenswürdiges Repository angezeigt wird, geben Sie A ein, und drücken Sie dann die EINGABETASTE.

  7. Wiederholen Sie die vorherigen Schritte, um die Az.Synapse Module und AzureAD zu installieren.

Es kann bis zu einer Minute dauern, bis PowerShell die erforderlichen Module installiert hat.

Sammeln anderer Daten, die zum Ausführen des Skripts erforderlich sind

Bevor Sie das PowerShell-Skript ausführen, um die Bereitschaft von Datenquellenabonnements zu überprüfen, rufen Sie die Werte der folgenden Argumente ab, die in den Skripts verwendet werden sollen:

  • AzureDataType: Wählen Sie eine der folgenden Optionen als Datenquellentyp aus, um die Bereitschaft für den Datentyp in Ihren Abonnements zu überprüfen:

    • BlobStorage

    • AzureSQLMI

    • AzureSQLDB

    • ADLSGen2

    • ADLSGen1

    • Synapse

    • All

  • PurviewAccount: Ressourcenname Ihres vorhandenen Microsoft Purview-Kontos.

  • PurviewSub: Abonnement-ID, in der das Microsoft Purview-Konto bereitgestellt wird.

Überprüfen Ihrer Berechtigungen

Stellen Sie sicher, dass Ihr Benutzer über die folgenden Rollen und Berechtigungen verfügt:

Rolle oder Berechtigung Bereich
Globaler Leser Azure AD-Mandant
Reader Azure-Abonnements, in denen sich Ihre Azure-Datenquellen befinden
Reader Abonnement, in dem Ihr Microsoft Purview-Konto erstellt wurde
SQL Admin (Azure AD-Authentifizierung) Azure Synapse dedizierte Pools, Azure SQL Datenbankinstanzen Azure SQL verwalteten Instanzen
Zugriff auf Ihren Azure-Schlüsseltresor Zugriff auf das Abrufen/Auflisten des Geheimnisses des Schlüsseltresors oder des Azure Key Vault-Geheimnisbenutzers

Ausführen des clientseitigen Bereitschaftsskripts

Führen Sie das Skript aus, indem Sie die folgenden Schritte ausführen:

  1. Verwenden Sie den folgenden Befehl, um zum Ordner des Skripts zu wechseln. Ersetzen Sie durch <path-to-script> den Ordnerpfad der extrahierten Datei.

    cd <path-to-script>
    
  2. Führen Sie den folgenden Befehl aus, um die Ausführungsrichtlinie für den lokalen Computer festzulegen. Geben Sie A für Ja zu allen ein, wenn Sie aufgefordert werden, die Ausführungsrichtlinie zu ändern.

    Set-ExecutionPolicy -ExecutionPolicy Unrestricted
    
  3. Führen Sie das Skript mit den folgenden Parametern aus. Ersetzen Sie die DataTypePlatzhalter , PurviewNameund SubscriptionID .

    .\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>
    

    Wenn Sie den Befehl ausführen, wird möglicherweise zweimal ein Popupfenster angezeigt, in dem Sie aufgefordert werden, sich mit Ihren Azure Active Directory-Anmeldeinformationen bei Azure und Azure AD anzumelden.

Die Erstellung des Berichts kann je nach Anzahl der Azure-Abonnements und -Ressourcen in der Umgebung einige Minuten dauern.

Überprüfen Sie nach Abschluss des Vorgangs den Ausgabebericht, der die erkannten fehlenden Konfigurationen in Ihren Azure-Abonnements oder -Ressourcen veranschaulicht. Die Ergebnisse können als Bestanden, Nicht bestanden oder Bewusstsein angezeigt werden. Sie können die Ergebnisse für die entsprechenden Abonnementadministratoren in Ihrem organization freigeben, damit diese die erforderlichen Einstellungen konfigurieren können.

Weitere Informationen

Welche Datenquellen werden vom Skript unterstützt?

Derzeit werden die folgenden Datenquellen vom Skript unterstützt:

  • Azure Blob Storage (BlobStorage)
  • Azure Data Lake Storage Gen2 (ADLSGen2)
  • Azure Data Lake Storage Gen1 (ADLSGen1)
  • Azure SQL-Datenbank (AzureSQLDB)
  • Azure SQL Managed Instance (AzureSQLMI)
  • dedizierter Azure Synapse-Pool (Synapse)

Sie können alle oder eine dieser Datenquellen als Eingabeparameter auswählen, wenn Sie das Skript ausführen.

Welche Überprüfungen sind in den Ergebnissen enthalten?

Azure Blob Storage (BlobStorage)

  • RBAC. Überprüfen Sie, ob Microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Storage-Blobdatenleser zugewiesen ist.
  • RBAC. Überprüfen Sie, ob Microsoft Purview MSI die Rolle Leser für den ausgewählten Bereich zugewiesen ist.
  • Dienstendpunkt. Überprüfen Sie, ob der Dienstendpunkt aktiviert ist, und überprüfen Sie, ob vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben aktiviert ist.
  • Netzwerk: Überprüfen Sie, ob ein privater Endpunkt für den Speicher erstellt und für Blob Storage aktiviert ist.

Azure Data Lake Storage Gen2 (ADLSGen2)

  • RBAC. Überprüfen Sie, ob Microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Storage-Blobdatenleser zugewiesen ist.
  • RBAC. Überprüfen Sie, ob Microsoft Purview MSI die Rolle Leser für den ausgewählten Bereich zugewiesen ist.
  • Dienstendpunkt. Überprüfen Sie, ob der Dienstendpunkt aktiviert ist, und überprüfen Sie, ob vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben aktiviert ist.
  • Netzwerk: Überprüfen Sie, ob ein privater Endpunkt für den Speicher erstellt und für Blob Storage aktiviert ist.

Azure Data Lake Storage Gen1 (ADLSGen1)

  • Networking. Überprüfen Sie, ob der Dienstendpunkt aktiviert ist, und überprüfen Sie, ob allen Azure-Diensten den Zugriff auf dieses Data Lake Storage Gen1 Konto erlauben aktiviert ist.
  • Berechtigungen. Überprüfen Sie, ob Microsoft Purview MSI über Lese-/Ausführungsberechtigungen verfügt.

Azure SQL-Datenbank (AzureSQLDB)

  • SQL Server Instanzen:

    • Netzwerk. Überprüfen Sie, ob der öffentliche Endpunkt oder der private Endpunkt aktiviert ist.
    • Firewall. Überprüfen Sie, ob Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben aktiviert ist.
    • Azure AD-Verwaltung. Überprüfen Sie, ob Azure SQL Server über eine Azure AD-Authentifizierung verfügt.
    • Azure AD-Verwaltung. Füllen Sie den Azure SQL Server Azure AD-Administratorbenutzer oder die Gruppe auf.
  • SQL-Datenbanken:

    • SQL-Rolle. Überprüfen Sie, ob Microsoft Purview MSI die rolle "db_datareader " zugewiesen ist.

Azure SQL Managed Instance (AzureSQLMI)

  • SQL Managed Instance Server:

    • Netzwerk. Überprüfen Sie, ob der öffentliche Endpunkt oder der private Endpunkt aktiviert ist.
    • ProxyOverride. Überprüfen Sie, ob Azure SQL Managed Instance als Proxy oder Umleitung konfiguriert ist.
    • Networking. Überprüfen Sie, ob die NSG über eine Regel für eingehenden Datenverkehr verfügt, um AzureCloud über erforderliche Ports zuzulassen:
      • Umleitung: 1433 und 11000-11999
        oder
      • Proxy: 3342
    • Azure AD-Verwaltung. Überprüfen Sie, ob Azure SQL Server über eine Azure AD-Authentifizierung verfügt.
    • Azure AD-Verwaltung. Füllen Sie den Azure SQL Server Azure AD-Administratorbenutzer oder die Gruppe auf.
  • SQL-Datenbanken:

    • SQL-Rolle. Überprüfen Sie, ob Microsoft Purview MSI die rolle "db_datareader " zugewiesen ist.

dedizierter Azure Synapse-Pool (Synapse)

  • RBAC. Überprüfen Sie, ob Microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Storage-Blobdatenleser zugewiesen ist.

  • RBAC. Überprüfen Sie, ob Microsoft Purview MSI die Rolle Leser für den ausgewählten Bereich zugewiesen ist.

  • SQL Server-Instanzen (dedizierte Pools):

    • Netzwerk: Überprüfen Sie, ob der öffentliche Endpunkt oder der private Endpunkt aktiviert ist.
    • Firewall: Überprüfen Sie, ob Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben aktiviert ist.
    • Azure AD-Verwaltung: Überprüfen Sie, ob Azure SQL Server über eine Azure AD-Authentifizierung verfügt.
    • Azure AD-Verwaltung: Füllen Sie den Azure SQL Server Azure AD-Administratorbenutzer oder die Gruppe auf.
  • SQL-Datenbanken:

    • SQL-Rolle. Überprüfen Sie, ob Microsoft Purview MSI die rolle "db_datareader " zugewiesen ist.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

  • Führen Sie die Microsoft Purview-Bereitschaftsprüfliste aus, um im großen Stil zu überprüfen, ob Ihre Azure-Abonnements nicht konfiguriert sind, bevor Sie sie in Microsoft Purview registrieren und überprüfen.

Im nächsten Tutorial erfahren Sie, wie Sie den erforderlichen Zugriff identifizieren und die erforderlichen Authentifizierungs- und Netzwerkregeln für Microsoft Purview in Azure-Datenquellen einrichten: