Tutorial: Konfigurieren des Zugriffs auf Datenquellen für Microsoft Purview MSI im großen Stil

  • Artikel

Um Datenquellen zu überprüfen, benötigt Microsoft Purview Zugriff darauf. Dieses Tutorial richtet sich an Besitzer von Azure-Abonnements und Microsoft Purview-Datenquellenadministratoren. Es hilft Ihnen, den erforderlichen Zugriff zu identifizieren und die erforderlichen Authentifizierungs- und Netzwerkregeln für Microsoft Purview in Azure-Datenquellen einzurichten.

In Teil 2 dieser Tutorialreihe gehen Sie wie folgt vor:

  • Suchen Sie Ihre Datenquellen, und bereiten Sie eine Liste der Datenquellenabonnements vor.
  • Führen Sie ein Skript aus, um fehlende rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) oder erforderliche Netzwerkkonfigurationen in Ihren Datenquellen in Azure zu konfigurieren.
  • Überprüfen Sie den Ausgabebericht.

Voraussetzungen

Hinweis

Das Microsoft Purview MSI-Konfigurationsskript ist nur für Windows verfügbar. Dieses Skript wird derzeit für microsoft Purview Managed Identity (MSI) unterstützt.

Wichtig

Es wird dringend empfohlen, alle Änderungen zu testen und zu überprüfen, die das Skript in Ihrer Azure-Umgebung ausführt, bevor Sie es in Ihrer Produktionsumgebung bereitstellen.

Vorbereiten der Azure-Abonnementliste für Datenquellen

Erstellen Sie vor dem Ausführen des Skripts eine .csv-Datei (z. B. "C:\temp\Subscriptions.csv") mit vier Spalten:

Spaltenname Beschreibung Beispiel
SubscriptionId Azure-Abonnement-IDs für Ihre Datenquellen. 12345678-aaaa-bbbb-cccc-1234567890ab
KeyVaultName Name des vorhandenen Schlüsseltresors, der im Datenquellenabonnement bereitgestellt wird. ContosoDevKeyVault
SecretNameSQLUserName Name eines vorhandenen Azure Key Vault-Geheimnisses, das einen Azure Active Directory-Benutzernamen (Azure AD) enthält, der sich mithilfe der Azure AD-Authentifizierung bei Azure Synapse, Azure SQL Database oder Azure SQL Managed Instance anmelden kann. ContosoDevSQLAdmin
SecretNameSQLPassword Name eines vorhandenen Azure Key Vault-Geheimnisses, das ein Azure AD-Benutzerkennwort enthält, das sich mithilfe der Azure AD-Authentifizierung bei Azure Synapse, Azure SQL-Datenbank oder Azure SQL Managed Instance anmelden kann. ContosoDevSQLPassword

Beispieldatei für .csv:

Screenshot: Beispielabonnementliste

Hinweis

Sie können den Dateinamen und pfad im Code aktualisieren, wenn dies erforderlich ist.

Ausführen des Skripts und Installieren der erforderlichen PowerShell-Module

Führen Sie die folgenden Schritte aus, um das Skript auf Ihrem Windows-Computer auszuführen:

  1. Laden Sie das Microsoft Purview MSI-Konfigurationsskript an den Speicherort Ihrer Wahl herunter.

  2. Geben Sie auf Ihrem Computer PowerShell in das Suchfeld auf der Windows-Taskleiste ein. Wählen Sie in der Suchliste Windows PowerShell und halten (oder klicken Sie mit der rechten Maustaste darauf), und wählen Sie dann Als Administrator ausführen aus.

  3. Geben Sie im PowerShell-Fenster den folgenden Befehl ein. (Ersetzen Sie durch <path-to-script> den Ordnerpfad der extrahierten Skriptdatei.)

    dir -Path <path-to-script> | Unblock-File

  4. Geben Sie den folgenden Befehl ein, um die Azure-Cmdlets zu installieren:

    Install-Module -Name Az -AllowClobber -Scope CurrentUser

  5. Wenn die Aufforderung angezeigt wird, dass der NuGet-Anbieter zum Fortfahren erforderlich ist, geben Sie Y ein, und drücken Sie dann die EINGABETASTE.

  6. Wenn die Aufforderung Nicht vertrauenswürdiges Repository angezeigt wird, geben Sie A ein, und drücken Sie dann die EINGABETASTE.

  7. Wiederholen Sie die vorherigen Schritte, um die Az.Synapse Module und AzureAD zu installieren.

Es kann bis zu einer Minute dauern, bis PowerShell die erforderlichen Module installiert hat.

Sammeln anderer Daten, die zum Ausführen des Skripts erforderlich sind

Bevor Sie das PowerShell-Skript ausführen, um die Bereitschaft von Datenquellenabonnements zu überprüfen, rufen Sie die Werte der folgenden Argumente ab, die in den Skripts verwendet werden sollen:

  • AzureDataType: Wählen Sie eine der folgenden Optionen als Datenquellentyp aus, um die Bereitschaft für den Datentyp in Ihren Abonnements zu überprüfen:

    • BlobStorage

    • AzureSQLMI

    • AzureSQLDB

    • ADLSGen2

    • ADLSGen1

    • Synapse

    • All

  • PurviewAccount: Ressourcenname Ihres vorhandenen Microsoft Purview-Kontos.

  • PurviewSub: Abonnement-ID, in der das Microsoft Purview-Konto bereitgestellt wird.

Überprüfen Ihrer Berechtigungen

Stellen Sie sicher, dass Ihr Benutzer über die folgenden Rollen und Berechtigungen verfügt:

Zum Ausführen des Skripts in Ihrer Azure-Umgebung benötigen Sie mindestens die folgenden Berechtigungen:

Rolle Bereich Warum wird es benötigt?
Globaler Leser Azure AD-Mandant So lesen Sie Azure SQL Admin Benutzergruppenmitgliedschaft und Microsoft Purview MSI
Globaler Administrator Azure AD-Mandant So weisen Sie Azure SQL verwalteten Instanzen die Rolle "Verzeichnisleseberechtigter" zu
Contributor Abonnement oder Ressourcengruppe, in dem Ihr Microsoft Purview-Konto erstellt wird So lesen Sie die Microsoft Purview-Kontoressource und erstellen eine Key Vault Ressource und ein Geheimnis
Besitzer oder Benutzerzugriffsadministrator Verwaltungsgruppe oder Abonnement, in der sich Ihre Azure-Datenquellen befinden So weisen Sie RBAC zu
Contributor Verwaltungsgruppe oder Abonnement, in der sich Ihre Azure-Datenquellen befinden So richten Sie die Netzwerkkonfiguration ein
SQL Admin (Azure AD-Authentifizierung) Azure SQL Serverinstanzen oder Azure SQL verwalteten Instanzen So weisen Sie Microsoft Purview die rolle db_datareader zu
Zugriff auf Ihren Azure-Schlüsseltresor Zugriff auf Key Vault Geheimnis für Azure SQL Datenbank, Azure SQL Managed Instance oder Azure Synapse-Authentifizierung

Ausführen des clientseitigen Bereitschaftsskripts

Führen Sie das Skript aus, indem Sie die folgenden Schritte ausführen:

  1. Verwenden Sie den folgenden Befehl, um zum Ordner des Skripts zu wechseln. Ersetzen Sie durch <path-to-script> den Ordnerpfad der extrahierten Datei.

    cd <path-to-script>

  2. Führen Sie den folgenden Befehl aus, um die Ausführungsrichtlinie für den lokalen Computer festzulegen. Geben Sie A für Ja zu allen ein, wenn Sie aufgefordert werden, die Ausführungsrichtlinie zu ändern.

    Set-ExecutionPolicy -ExecutionPolicy Unrestricted

  3. Führen Sie das Skript mit den folgenden Parametern aus. Ersetzen Sie die DataTypePlatzhalter , PurviewNameund SubscriptionID .

    .\purview-msi-configuration.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>

    Wenn Sie den Befehl ausführen, wird möglicherweise zweimal ein Popupfenster angezeigt, in dem Sie aufgefordert werden, sich mit Ihren Azure Active Directory-Anmeldeinformationen bei Azure und Azure AD anzumelden.

Die Erstellung des Berichts kann je nach Anzahl der Azure-Abonnements und -Ressourcen in der Umgebung einige Minuten dauern.

Wenn die Anmeldeinformationen im Schlüsseltresor nicht übereinstimmen, werden Sie möglicherweise aufgefordert, sich bei Ihren Azure SQL Server-Instanzen anzumelden. Sie können die Anmeldeinformationen angeben oder die EINGABETASTE drücken, um den jeweiligen Server zu überspringen.

Zeigen Sie nach Abschluss des Prozesses den Ausgabebericht an, um die Änderungen zu überprüfen.

Weitere Informationen

Welche Datenquellen werden vom Skript unterstützt?

Derzeit werden die folgenden Datenquellen vom Skript unterstützt:

  • Azure Blob Storage (BlobStorage)
  • Azure Data Lake Storage Gen2 (ADLSGen2)
  • Azure Data Lake Storage Gen1 (ADLSGen1)
  • Azure SQL-Datenbank (AzureSQLDB)
  • Azure SQL Managed Instance (AzureSQLMI)
  • dedizierter Azure Synapse-Pool (Synapse)

Sie können alle oder eine dieser Datenquellen als Eingabeparameter auswählen, wenn Sie das Skript ausführen.

Welche Konfigurationen sind im Skript enthalten?

Dieses Skript kann Ihnen dabei helfen, die folgenden Aufgaben automatisch auszuführen:

Azure Blob Storage (BlobStorage)

  • RBAC. Weisen Sie microsoft Purview MSI im ausgewählten Bereich die Rolle Azure RBAC-Leser zu. Überprüfen Sie die Zuweisung.
  • RBAC. Weisen Sie microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Azure RBAC Storage Blob Data Reader zu. Überprüfen Sie die Zuweisungen.
  • Networking. Melden Sie, ob ein privater Endpunkt für den Speicher erstellt und für Blob Storage aktiviert ist.
  • Dienstendpunkt. Wenn der private Endpunkt deaktiviert ist, überprüfen Sie, ob der Dienstendpunkt aktiviert ist, und aktivieren Sie Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben.

Azure Data Lake Storage Gen2 (ADLSGen2)

  • RBAC. Weisen Sie microsoft Purview MSI im ausgewählten Bereich die Rolle Azure RBAC-Leser zu. Überprüfen Sie die Zuweisung.
  • RBAC. Weisen Sie microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Azure RBAC Storage Blob Data Reader zu. Überprüfen Sie die Zuweisungen.
  • Networking. Melden Sie, ob ein privater Endpunkt für den Speicher erstellt und für Blob Storage aktiviert ist.
  • Dienstendpunkt. Wenn der private Endpunkt deaktiviert ist, überprüfen Sie, ob der Dienstendpunkt aktiviert ist, und aktivieren Sie Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben.

Azure Data Lake Storage Gen1 (ADLSGen1)

  • Networking. Vergewissern Sie sich, dass der Dienstendpunkt aktiviert ist, und aktivieren Sie Allen Azure-Diensten den Zugriff auf dieses Data Lake Storage Gen1-Konto auf Data Lake Storage erlauben.
  • Berechtigungen. Weisen Sie Microsoft Purview MSI Lese-/Ausführungszugriff zu. Überprüfen Sie den Zugriff.

Azure SQL-Datenbank (AzureSQLDB)

  • SQL Server Instanzen:

    • Netzwerk. Melden Sie, ob der öffentliche Endpunkt oder der private Endpunkt aktiviert ist.
    • Firewall. Wenn der private Endpunkt deaktiviert ist, überprüfen Sie die Firewallregeln, und aktivieren Sie Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben.
    • Azure AD-Verwaltung. Aktivieren Sie die Azure AD-Authentifizierung für Azure SQL Database.

  • SQL-Datenbanken:

    • SQL-Rolle. Weisen Sie microsoft Purview MSI die Rolle db_datareader zu.

Azure SQL Managed Instance (AzureSQLMI)

  • SQL Managed Instance Server:

    • Netzwerk. Vergewissern Sie sich, dass der öffentliche Endpunkt oder der private Endpunkt aktiviert ist. Melden Sie, ob der öffentliche Endpunkt deaktiviert ist.

    • ProxyOverride. Vergewissern Sie sich, dass Azure SQL Managed Instance als Proxy oder Umleitung konfiguriert ist.

    • Networking. Aktualisieren Sie NSG-Regeln, um eingehenden AzureCloud-Zugriff auf SQL Server-Instanzen über erforderliche Ports zu ermöglichen:

      • Umleitung: 1433 und 11000-11999

      oder

      • Proxy: 3342

      Überprüfen Sie diesen Zugriff.

    • Azure AD-Verwaltung. Aktivieren Sie die Azure AD-Authentifizierung für Azure SQL Managed Instance.

  • SQL-Datenbanken:

    • SQL-Rolle. Weisen Sie microsoft Purview MSI die Rolle db_datareader zu.

dedizierter Azure Synapse-Pool (Synapse)

  • RBAC. Weisen Sie microsoft Purview MSI im ausgewählten Bereich die Rolle Azure RBAC-Leser zu. Überprüfen Sie die Zuweisung.

  • RBAC. Weisen Sie microsoft Purview MSI in jedem der Abonnements unterhalb des ausgewählten Bereichs die Rolle Azure RBAC Storage Blob Data Reader zu. Überprüfen Sie die Zuweisungen.

  • SQL Server-Instanzen (dedizierte Pools):

    • Netzwerk. Melden Sie, ob der öffentliche Endpunkt oder der private Endpunkt aktiviert ist.
    • Firewall. Wenn der private Endpunkt deaktiviert ist, überprüfen Sie die Firewallregeln, und aktivieren Sie Azure-Diensten und -Ressourcen den Zugriff auf diesen Server erlauben.
    • Azure AD-Verwaltung. Aktivieren Sie die Azure AD-Authentifizierung für Azure SQL Database.

  • SQL-Datenbanken:

    • SQL-Rolle. Weisen Sie microsoft Purview MSI die Rolle db_datareader zu.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

  • Identifizieren Sie den erforderlichen Zugriff, und richten Sie die erforderlichen Authentifizierungs- und Netzwerkregeln für Microsoft Purview in Azure-Datenquellen ein.

Im nächsten Tutorial erfahren Sie, wie Sie mehrere Quellen in Microsoft Purview registrieren und überprüfen.