Compartir vía


Tutorial: Comprobación de la preparación del origen de datos a escala

Para examinar orígenes de datos, Microsoft Purview requiere acceso a ellos. Usa credenciales para obtener este acceso. Una credencial es la información de autenticación que Microsoft Purview puede usar para autenticarse en los orígenes de datos registrados. Hay varias maneras de configurar las credenciales de Microsoft Purview, entre las que se incluyen:

  • Identidad administrada asignada a la cuenta de Microsoft Purview.
  • Secretos almacenados en Azure Key Vault.
  • Entidades de servicio.

En esta serie de tutoriales de dos partes, le ayudaremos a comprobar y configurar las asignaciones de roles de Azure necesarias y el acceso a la red para varios orígenes de datos de Azure en las suscripciones de Azure a escala. Después, puede registrar y examinar los orígenes de datos de Azure en Microsoft Purview.

Ejecute el script de lista de comprobación de preparación de orígenes de datos de Microsoft Purview después de implementar la cuenta de Microsoft Purview y antes de registrar y examinar los orígenes de datos de Azure.

En la parte 1 de esta serie de tutoriales, hará lo siguiente:

  • Busque los orígenes de datos y prepare una lista de suscripciones de origen de datos.
  • Ejecute el script de lista de comprobación de preparación para buscar cualquier control de acceso basado en rol (RBAC) o configuraciones de red que falten en los orígenes de datos de Azure.
  • En el informe de salida, revise las configuraciones de red que faltan y las asignaciones de roles requeridas por Microsoft Purview Managed Identity (MSI).
  • Comparta el informe con los propietarios de suscripciones de Azure de datos para que puedan realizar acciones sugeridas.

Requisitos previos

Nota:

La lista de comprobación de preparación de orígenes de datos de Microsoft Purview solo está disponible para Windows. Este script de lista de comprobación de preparación se admite actualmente para MSI de Microsoft Purview.

Preparación de la lista de suscripciones de Azure para orígenes de datos

Antes de ejecutar el script, cree un archivo de .csv (por ejemplo, C:\temp\Subscriptions.csv) con cuatro columnas:

Nombre de columna Descripción Ejemplo
SubscriptionId Identificadores de suscripción de Azure para los orígenes de datos. 12345678-aaaa-bbbb-cccc-1234567890ab
KeyVaultName Nombre del almacén de claves existente que se implementa en la suscripción del origen de datos. ContosoDevKeyVault
SecretNameSQLUserName Nombre de un secreto de Azure Key Vault existente que contiene un nombre de usuario de Azure Active Directory (Azure AD) que puede iniciar sesión en Azure Synapse, Azure SQL Database o Azure SQL Managed Instance mediante la autenticación de Azure AD. ContosoDevSQLAdmin
SecretNameSQLPassword Nombre de un secreto de Azure Key Vault existente que contiene una contraseña de usuario de Azure AD que puede iniciar sesión en Azure Synapse, Azure SQL Database o Azure SQL Managed Instance mediante la autenticación de Azure AD. ContosoDevSQLPassword

Archivo de .csv de ejemplo:

Captura de pantalla que muestra una lista de suscripciones de ejemplo.

Nota:

Puede actualizar el nombre de archivo y la ruta de acceso en el código, si es necesario.

Ejecute el script e instale los módulos de PowerShell necesarios.

Siga estos pasos para ejecutar el script desde el equipo Windows:

  1. Descargue el script de lista de comprobación de preparación de orígenes de datos de Microsoft Purview en la ubicación que prefiera.

  2. En el equipo, escriba PowerShell en el cuadro de búsqueda de la barra de tareas de Windows. En la lista de búsqueda, seleccione y mantenga presionado (o haga clic con el botón derecho) Windows PowerShell y, a continuación, seleccione Ejecutar como administrador.

  3. En la ventana de PowerShell, escriba el siguiente comando. (Reemplace por <path-to-script> la ruta de acceso de la carpeta del archivo de script extraído).

    dir -Path <path-to-script> | Unblock-File
    
  4. Escriba el siguiente comando para instalar los cmdlets de Azure:

    Install-Module -Name Az -AllowClobber -Scope CurrentUser
    
  5. Si ve que se requiere el proveedor nuget de aviso para continuar, escriba Y y, a continuación, seleccione Entrar.

  6. Si ve el repositorio de mensajes que no es de confianza, escriba A y, a continuación, seleccione Entrar.

  7. Repita los pasos anteriores para instalar los Az.Synapse módulos y AzureAD .

PowerShell puede tardar hasta un minuto en instalar los módulos necesarios.

Recopilación de otros datos necesarios para ejecutar el script

Antes de ejecutar el script de PowerShell para comprobar la preparación de las suscripciones de origen de datos, obtenga los valores de los argumentos siguientes que se usarán en los scripts:

  • AzureDataType: elija cualquiera de las siguientes opciones como tipo de origen de datos para comprobar la preparación del tipo de datos en las suscripciones:

    • BlobStorage

    • AzureSQLMI

    • AzureSQLDB

    • ADLSGen2

    • ADLSGen1

    • Synapse

    • All

  • PurviewAccount: nombre del recurso de la cuenta de Microsoft Purview existente.

  • PurviewSub: id. de suscripción donde se implementa la cuenta de Microsoft Purview.

Comprobación de los permisos

Asegúrese de que el usuario tiene los siguientes roles y permisos:

Rol o permiso Ámbito
Lector global Inquilino de Azure AD
Lector Suscripciones de Azure donde se encuentran los orígenes de datos de Azure
Lector Suscripción donde se creó la cuenta de Microsoft Purview
SQL Administración (Autenticación de Azure AD) Azure Synapse grupos dedicados, instancias de Azure SQL Database Azure SQL instancias administradas
Acceso al almacén de claves de Azure Acceso para obtener o enumerar el secreto del almacén de claves o el usuario secreto de Azure Key Vault secreto

Ejecución del script de preparación del lado cliente

Ejecute el script completando estos pasos:

  1. Use el siguiente comando para ir a la carpeta del script. Reemplace por <path-to-script> la ruta de acceso de la carpeta del archivo extraído.

    cd <path-to-script>
    
  2. Ejecute el siguiente comando para establecer la directiva de ejecución para el equipo local. Escriba A para Sí a Todo cuando se le pida que cambie la directiva de ejecución.

    Set-ExecutionPolicy -ExecutionPolicy Unrestricted
    
  3. Ejecute el script con los parámetros siguientes. Reemplace los DataTypemarcadores de posición , PurviewNamey SubscriptionID .

    .\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>
    

    Al ejecutar el comando, es posible que aparezca dos veces una ventana emergente que le pida que inicie sesión en Azure y Azure AD con sus credenciales de Azure Active Directory.

La creación del informe puede tardar varios minutos, en función del número de suscripciones y recursos de Azure en el entorno.

Una vez completado el proceso, revise el informe de salida, que muestra las configuraciones que faltan detectadas en las suscripciones o recursos de Azure. Los resultados pueden aparecer como Pasado, No pasado o Reconocimiento. Puede compartir los resultados con los administradores de suscripción correspondientes de su organización para que puedan configurar los valores necesarios.

Más información

¿Qué orígenes de datos admite el script?

Actualmente, el script admite los siguientes orígenes de datos:

  • Azure Blob Storage (BlobStorage)
  • Azure Data Lake Storage Gen2 (ADLSGen2)
  • Azure Data Lake Storage Gen1 (ADLSGen1)
  • Azure SQL Database (AzureSQLDB)
  • Azure SQL Managed Instance (AzureSQLMI)
  • grupo dedicado de Azure Synapse (Synapse)

Puede elegir todos o cualquiera de estos orígenes de datos como parámetro de entrada al ejecutar el script.

¿Qué comprobaciones se incluyen en los resultados?

Azure Blob Storage (BlobStorage)

  • RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector de datos de Storage Blob en cada una de las suscripciones situadas debajo del ámbito seleccionado.
  • RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector en el ámbito seleccionado.
  • Punto de conexión de servicio. Compruebe si el punto de conexión de servicio está activado y compruebe si permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento está habilitado.
  • Redes: compruebe si el punto de conexión privado se crea para el almacenamiento y está habilitado para Blob Storage.

Azure Data Lake Storage Gen2 (ADLSGen2)

  • RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector de datos de Storage Blob en cada una de las suscripciones situadas debajo del ámbito seleccionado.
  • RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector en el ámbito seleccionado.
  • Punto de conexión de servicio. Compruebe si el punto de conexión de servicio está activado y compruebe si permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento está habilitado.
  • Redes: compruebe si el punto de conexión privado se crea para el almacenamiento y está habilitado para Blob Storage.

Azure Data Lake Storage Gen1 (ADLSGen1)

  • Redes. Compruebe si el punto de conexión de servicio está activado y compruebe si permitir que todos los servicios de Azure accedan a esta cuenta de Data Lake Storage Gen1 está habilitada.
  • Permisos. Compruebe si MSI de Microsoft Purview tiene permisos de lectura y ejecución.

Azure SQL Database (AzureSQLDB)

  • instancias de SQL Server:

    • Red. Compruebe si el punto de conexión público o el punto de conexión privado están habilitados.
    • Firewall. Compruebe si permitir que los servicios y recursos de Azure accedan a este servidor está habilitado.
    • Administración de Azure AD. Compruebe si Azure SQL Server tiene autenticación de Azure AD.
    • Administración de Azure AD. Rellene el grupo o usuario administrador de Azure AD de Azure SQL Server.
  • Bases de datos SQL:

    • Rol SQL. Compruebe si a Microsoft Purview MSI se le asigna el rol de db_datareader .

Azure SQL Managed Instance (AzureSQLMI)

  • SQL Managed Instance servidores:

    • Red. Compruebe si el punto de conexión público o el punto de conexión privado están habilitados.
    • ProxyOverride. Compruebe si Azure SQL Managed Instance está configurado como Proxy o Redirección.
    • Redes. Compruebe si NSG tiene una regla de entrada para permitir AzureCloud a través de los puertos necesarios:
      • Redirección: 1433 y 11000-11999
        Otra posibilidad:
      • Proxy: 3342
    • Administración de Azure AD. Compruebe si Azure SQL Server tiene autenticación de Azure AD.
    • Administración de Azure AD. Rellene el grupo o usuario administrador de Azure AD de Azure SQL Server.
  • Bases de datos SQL:

    • Rol SQL. Compruebe si a Microsoft Purview MSI se le asigna el rol de db_datareader .

grupo dedicado de Azure Synapse (Synapse)

  • RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector de datos de Storage Blob en cada una de las suscripciones situadas debajo del ámbito seleccionado.

  • RBAC. Compruebe si a Microsoft Purview MSI se le asigna el rol Lector en el ámbito seleccionado.

  • SQL Server instancias (grupos dedicados):

    • Red: compruebe si el punto de conexión público o el punto de conexión privado están habilitados.
    • Firewall: compruebe si permitir que los servicios y recursos de Azure accedan a este servidor está habilitado.
    • Administración de Azure AD: compruebe si Azure SQL Server tiene autenticación de Azure AD.
    • Administración de Azure AD: rellene el grupo o usuario administrador de Azure AD de Azure SQL Server.
  • Bases de datos SQL:

    • Rol SQL. Compruebe si a Microsoft Purview MSI se le asigna el rol de db_datareader .

Siguientes pasos

En este tutorial, ha aprendido a:

  • Ejecute la lista de comprobación de preparación de Microsoft Purview para comprobar, a escala, si faltan la configuración de las suscripciones de Azure, antes de registrarlas y examinarlas en Microsoft Purview.

Vaya al siguiente tutorial para obtener información sobre cómo identificar el acceso necesario y configurar la autenticación y las reglas de red necesarias para Microsoft Purview en los orígenes de datos de Azure: