Partager via

Tutoriel : Configurer l’accès aux sources de données pour Microsoft Purview MSI à grande échelle

  • Article

Pour analyser des sources de données, Microsoft Purview a besoin d’y accéder. Ce tutoriel est destiné aux propriétaires d’abonnements Azure et aux administrateurs de sources de données Microsoft Purview. Il vous aidera à identifier l’accès requis et à configurer les règles d’authentification et de réseau requises pour Microsoft Purview sur les sources de données Azure.

Dans la deuxième partie de cette série de tutoriels, vous allez :

  • Localisez vos sources de données et préparez une liste d’abonnements aux sources de données.
  • Exécutez un script pour configurer tout contrôle d’accès en fonction du rôle (RBAC) manquant ou les configurations réseau requises dans vos sources de données dans Azure.
  • Passez en revue le rapport de sortie.

Configuration requise

Remarque

Le script de configuration MSI Microsoft Purview est disponible uniquement pour Windows. Ce script est actuellement pris en charge pour l’identité managée Microsoft Purview (MSI).

Importante

Nous vous recommandons vivement de tester et de vérifier toutes les modifications effectuées par le script dans votre environnement Azure avant de le déployer dans votre environnement de production.

Préparer la liste des abonnements Azure pour les sources de données

Avant d’exécuter le script, créez un fichier .csv (par exemple, « C:\temp\Subscriptions.csv ») avec quatre colonnes :

Nom de colonne Description Exemple
SubscriptionId ID d’abonnement Azure pour vos sources de données. 12345678-aaaa-bbbb-cccc-1234567890ab
KeyVaultName Nom du coffre de clés existant déployé dans l’abonnement à la source de données. ContosoDevKeyVault
SecretNameSQLUserName Nom d’un secret Azure Key Vault existant qui contient un nom d’utilisateur Azure Active Directory (Azure AD) qui peut se connecter à Azure Synapse, Azure SQL Database ou Azure SQL Managed Instance à l’aide de l’authentification Azure AD. ContosoDevSQLAdmin
SecretNameSQLPassword Nom d’un secret Azure Key Vault existant qui contient un mot de passe utilisateur Azure AD qui peut se connecter à Azure Synapse, Azure SQL Database ou Azure SQL Managed Instance à l’aide de l’authentification Azure AD. ContosoDevSQLPassword

Exemple de fichier .csv :

Capture d’écran montrant un exemple de liste d’abonnements.

Remarque

Si nécessaire, vous pouvez mettre à jour le nom de fichier et le chemin d’accès dans le code.

Exécutez le script et installez les modules PowerShell requis

Pour exécuter le script à partir de votre ordinateur Windows, procédez comme suit :

  1. Téléchargez le script de configuration MSI Microsoft Purview à l’emplacement de votre choix.

  2. Sur votre ordinateur, entrez PowerShell dans la zone de recherche de la barre des tâches Windows. Dans la liste de recherche, sélectionnez et maintenez la touche (ou cliquez avec le bouton droit) Windows PowerShell, puis sélectionnez Exécuter en tant qu’administrateur.

  3. Dans la fenêtre PowerShell, entrez la commande suivante. (Remplacez par <path-to-script> le chemin d’accès au dossier du fichier de script extrait.)

    dir -Path <path-to-script> | Unblock-File

  4. Entrez la commande suivante pour installer les applets de commande Azure :

    Install-Module -Name Az -AllowClobber -Scope CurrentUser

  5. Si vous voyez l’invite fournisseur NuGet nécessaire pour continuer, entrez Y, puis sélectionnez Entrée.

  6. Si vous voyez l’invite Dépôt non approuvé, entrez A, puis sélectionnez Entrée.

  7. Répétez les étapes précédentes pour installer les Az.Synapse modules et .AzureAD

L’installation des modules requis peut prendre jusqu’à une minute.

Collecter d’autres données nécessaires à l’exécution du script

Avant d’exécuter le script PowerShell pour vérifier la préparation des abonnements à la source de données, obtenez les valeurs des arguments suivants à utiliser dans les scripts :

  • AzureDataType: choisissez l’une des options suivantes comme type de source de données pour case activée la préparation du type de données dans vos abonnements :

    • BlobStorage

    • AzureSQLMI

    • AzureSQLDB

    • ADLSGen2

    • ADLSGen1

    • Synapse

    • All

  • PurviewAccount: nom de ressource de votre compte Microsoft Purview existant.

  • PurviewSub: ID d’abonnement où le compte Microsoft Purview est déployé.

Vérifier vos autorisations

Assurez-vous que votre utilisateur dispose des rôles et autorisations suivants :

Au minimum, vous avez besoin des autorisations suivantes pour exécuter le script dans votre environnement Azure :

Role Portée Pourquoi est-il nécessaire ?
Lecteur général Locataire Azure AD Pour lire Azure SQL Administration’appartenance à un groupe d’utilisateurs et Microsoft Purview MSI
Administrateur général Locataire Azure AD Pour attribuer le rôle Lecteur d’annuaire à Azure SQL instances managées
Collaborateur Abonnement ou groupe de ressources dans lequel votre compte Microsoft Purview est créé Pour lire la ressource de compte Microsoft Purview et créer une ressource et un secret Key Vault
Propriétaire ou Administrateur de l’accès utilisateur Groupe d’administration ou abonnement où se trouvent vos sources de données Azure Pour attribuer un contrôle d’accès en fonction du rôle
Collaborateur Groupe d’administration ou abonnement où se trouvent vos sources de données Azure Pour configurer la configuration réseau
SQL Administration (Azure AD Authentication) Instances Azure SQL Server ou instances managées Azure SQL Pour attribuer le rôle db_datareader à Microsoft Purview
Accès à votre coffre de clés Azure Accès à obtenir/répertorier Key Vault secret pour Azure SQL base de données, Azure SQL Managed Instance ou l’authentification Azure Synapse

Exécuter le script de préparation côté client

Exécutez le script en procédant comme suit :

  1. Utilisez la commande suivante pour accéder au dossier du script. Remplacez par <path-to-script> le chemin du dossier du fichier extrait.

    cd <path-to-script>

  2. Exécutez la commande suivante pour définir la stratégie d’exécution de l’ordinateur local. Entrez A pour Oui à Tous lorsque vous êtes invité à modifier la stratégie d’exécution.

    Set-ExecutionPolicy -ExecutionPolicy Unrestricted

  3. Exécutez le script avec les paramètres suivants. Remplacez les DataTypeespaces réservés , PurviewNameet SubscriptionID .

    .\purview-msi-configuration.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>

    Lorsque vous exécutez la commande, une fenêtre contextuelle peut s’afficher deux fois vous invitant à vous connecter à Azure et Azure AD à l’aide de vos informations d’identification Azure Active Directory.

La création du rapport peut prendre plusieurs minutes, en fonction du nombre d’abonnements et de ressources Azure dans l’environnement.

Vous pouvez être invité à vous connecter à vos instances Azure SQL Server si les informations d’identification dans le coffre de clés ne correspondent pas. Vous pouvez fournir les informations d’identification ou sélectionner Entrée pour ignorer le serveur spécifique.

Une fois le processus terminé, affichez le rapport de sortie pour passer en revue les modifications.

Plus d’informations

Quelles sources de données sont prises en charge par le script ?

Actuellement, les sources de données suivantes sont prises en charge par le script :

  • Stockage Blob Azure (BlobStorage)
  • Azure Data Lake Storage Gen2 (ADLSGen2)
  • Azure Data Lake Storage Gen1 (ADLSGen1)
  • Azure SQL Database (AzureSQLDB)
  • Azure SQL Managed Instance (AzureSQLMI)
  • pool dédié Azure Synapse (Synapse)

Vous pouvez choisir l’ensemble ou l’une de ces sources de données comme paramètre d’entrée lorsque vous exécutez le script.

Quelles sont les configurations incluses dans le script ?

Ce script peut vous aider à effectuer automatiquement les tâches suivantes :

Stockage Blob Azure (BlobStorage)

  • RBAC. Attribuez le rôle Lecteur RBAC Azure à Microsoft Purview MSI sur l’étendue sélectionnée. Vérifiez l’affectation.
  • RBAC. Attribuez le rôle Lecteur de données Blob du stockage RBAC Azure à Microsoft Purview MSI dans chacun des abonnements sous l’étendue sélectionnée. Vérifiez les affectations.
  • Réseautage. Indiquez si un point de terminaison privé est créé pour le stockage et activé pour le stockage Blob.
  • Point de terminaison de service. Si le point de terminaison privé est désactivé, case activée si le point de terminaison de service est activé et activez Autoriser les services Microsoft approuvés à accéder à ce compte de stockage.

Azure Data Lake Storage Gen2 (ADLSGen2)

  • RBAC. Attribuez le rôle Lecteur RBAC Azure à Microsoft Purview MSI sur l’étendue sélectionnée. Vérifiez l’affectation.
  • RBAC. Attribuez le rôle Lecteur de données Blob du stockage RBAC Azure à Microsoft Purview MSI dans chacun des abonnements sous l’étendue sélectionnée. Vérifiez les affectations.
  • Réseautage. Indiquez si un point de terminaison privé est créé pour le stockage et activé pour le stockage Blob.
  • Point de terminaison de service. Si le point de terminaison privé est désactivé, case activée si le point de terminaison de service est activé et activez Autoriser les services Microsoft approuvés à accéder à ce compte de stockage.

Azure Data Lake Storage Gen1 (ADLSGen1)

  • Réseautage. Vérifiez que le point de terminaison de service est activé et activez Autoriser tous les services Azure à accéder à ce compte Data Lake Storage Gen1 sur Data Lake Storage.
  • Autorisations. Attribuez un accès en lecture/exécution à Microsoft Purview MSI. Vérifiez l’accès.

Azure SQL Database (AzureSQLDB)

  • SQL Server instances :

    • Réseau. Indiquez si le point de terminaison public ou le point de terminaison privé est activé.
    • Pare-feu. Si le point de terminaison privé est désactivé, vérifiez les règles de pare-feu et activez Autoriser les services et ressources Azure à accéder à ce serveur.
    • Administration d’Azure AD. Activez l’authentification Azure AD pour Azure SQL Database.

  • Bases de données SQL :

    • Rôle SQL. Attribuez le rôle db_datareader à Microsoft Purview MSI.

Azure SQL Managed Instance (AzureSQLMI)

  • serveurs SQL Managed Instance :

    • Réseau. Vérifiez que le point de terminaison public ou le point de terminaison privé est activé. Signaler si le point de terminaison public est désactivé.

    • ProxyOverride. Vérifiez que Azure SQL Managed Instance est configuré en tant que proxy ou redirection.

    • Réseautage. Mettez à jour les règles de groupe de sécurité réseau pour autoriser l’accès entrant AzureCloud aux instances SQL Server sur les ports requis :

      • Redirection : 1433 et 11000-11999

      ou

      • Proxy : 3342

      Vérifiez cet accès.

    • Administration d’Azure AD. Activez l’authentification Azure AD pour Azure SQL Managed Instance.

  • Bases de données SQL :

    • Rôle SQL. Attribuez le rôle db_datareader à Microsoft Purview MSI.

pool dédié Azure Synapse (Synapse)

  • RBAC. Attribuez le rôle Lecteur RBAC Azure à Microsoft Purview MSI sur l’étendue sélectionnée. Vérifiez l’affectation.

  • RBAC. Attribuez le rôle Lecteur de données Blob du stockage RBAC Azure à Microsoft Purview MSI dans chacun des abonnements sous l’étendue sélectionnée. Vérifiez les affectations.

  • instances SQL Server (pools dédiés) :

    • Réseau. Indiquez si le point de terminaison public ou le point de terminaison privé est activé.
    • Pare-feu. Si le point de terminaison privé est désactivé, vérifiez les règles de pare-feu et activez Autoriser les services et ressources Azure à accéder à ce serveur.
    • Administration d’Azure AD. Activez l’authentification Azure AD pour Azure SQL Database.

  • Bases de données SQL :

    • Rôle SQL. Attribuez le rôle db_datareader à Microsoft Purview MSI.

Prochaines étapes

Dans ce tutoriel, vous avez appris à :

  • Identifiez l’accès requis et configurez les règles d’authentification et de réseau requises pour Microsoft Purview dans les sources de données Azure.

Passez au tutoriel suivant pour découvrir comment inscrire et analyser plusieurs sources dans Microsoft Purview.