Microsoft Purview (旧称 Azure Purview) デプロイ チェックリスト
この記事では、Microsoft Purview (旧称 Azure Purview) アカウントの計画とデプロイを迅速に開始するのに役立つ前提条件の一覧を示します。
Microsoft Purview を展開する計画を作成していて、デプロイ戦略を開発するときにベスト プラクティスも検討する場合は、 デプロイのベスト プラクティス ガイド を使用して作業を開始します。
厳密に技術的なデプロイ ガイドをお探しの場合は、このデプロイ チェックリストが適しています。
| いいえ。 | 前提条件/アクション | 必要なアクセス許可 | その他のガイダンスと推奨事項 |
|---|---|---|---|
| 1 | Azure Active Directory テナント | 該当なし | Azure Active Directory テナントをサブスクリプションに関連付ける必要があります。
|
| 2 | アクティブな Azure サブスクリプション | サブスクリプション所有者 | Microsoft Purview とそのマネージド リソースをデプロイするには、Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料のサブスクリプション を作成してください。 |
| 3 | マネージド イベント ハブを使用して Microsoft Purview を展開するかどうかを定義する | 該当なし | Microsoft Purview アカウントの作成時に既存の Event Hubs 名前空間の構成を展開することを選択できます。「 Microsoft Purview アカウントの作成」を参照してください。 このマネージド名前空間を使用すると、メッセージをイベント ハブ kafka トピック ATLAS_HOOKに発行でき、Microsoft Purview がそれを使用して処理します。 Microsoft Purview は、イベント ハブの kafka トピックに対するエンティティの変更ATLAS_ENTITIES通知し、ユーザーがそれを使用して処理できます。 この機能は、アカウントの作成後いつでも有効または無効にすることができます。 |
| 4 | 次のリソース プロバイダーを登録します。
|
Azure リソース プロバイダーを登録するサブスクリプション所有者またはカスタム ロール (/register/action) | Microsoft Purview アカウントに指定されている Azure サブスクリプションに、必要な Azure リソース プロバイダーを登録します。 Azure リソース プロバイダーの操作を確認します。 |
| 5 | Azure Policyを更新して、Azure サブスクリプションに次のリソースをデプロイできるようにします。
|
サブスクリプション所有者 | 既存のAzure Policyでこのような Azure リソースのデプロイが妨げる場合は、この手順を使用します。 ブロック ポリシーが存在し、その状態を維持する必要がある場合は、 Microsoft Purview 例外タグ ガイド に従い、手順に従って Microsoft Purview アカウントの例外を作成します。 |
| 6 | ネットワーク セキュリティ要件を定義します。 | ネットワークとセキュリティのアーキテクト。 |
|
| 7 | Microsoft Purview プライベート エンドポイント用の Azure Virtual Networkとサブネット。 | Azure VNet を作成または更新するためのネットワーク共同作成者。 | Microsoft Purview でプライベート エンドポイント接続をデプロイする予定の場合は、次の手順を使用します。
必要に応じて Azure Virtual Networkをデプロイします。 |
| 8 | Azure データ ソースのプライベート エンドポイントをデプロイします。 | 各データ ソースのプライベート エンドポイントを設定するネットワーク共同作成者。 | インジェストにプライベート エンドポイントを使用する予定の場合は、この手順を実行します。 |
| 9 | 新規にデプロイするか、既存の Azure プライベート DNS Zones を使用するかを定義します。 | 必要な Azure プライベート DNS Zones は、サブスクリプション所有者/共同作成者ロールを使用して、Purview アカウントのデプロイ中に自動的に作成できます | Microsoft Purview でプライベート エンドポイント接続を使用する予定の場合は、この手順を使用します。 プライベート エンドポイントに必要な DNS ゾーン:
|
| 10 | Microsoft Purview ガバナンス ポータルを起動する CorpNet または Azure VNet 内の管理マシン。 | 該当なし | Microsoft Purview アカウントで [パブリック ネットワークの拒否を許可する] を設定する場合は、この手順を使用します。 |
| 11 | Microsoft Purview アカウントをデプロイする | サブスクリプション所有者/共同作成者 | Purview アカウントは 1 つの容量ユニットでデプロイされ、 需要に基づいてスケールアップされます。 |
| 12 | Azure データ ソースのマネージド Integration Runtimeとマネージド プライベート エンドポイントをデプロイします。 | Microsoft Purview 内でマネージド VNet を設定するデータ ソース管理者。 各 Azure データ ソースのマネージド プライベート エンドポイントを承認するネットワーク共同作成者。 |
マネージド VNet の使用を計画している場合は、この手順を実行します。 スキャン目的で Microsoft Purview アカウント内に保存されます。 |
| 13 | セルフホステッド統合ランタイム VM をネットワーク内にデプロイします。 | Azure: 仮想マシン共同作成者 オンプレミス: アプリケーション所有者 |
セルフホステッド Integration Runtimeを使用してスキャンを実行する場合は、この手順を使用します。 |
| 14 | Microsoft Purview 内にセルフホステッド統合ランタイムを作成します。 | データ キュレーター VM 管理者またはアプリケーション所有者 |
マネージド Integration Runtimeまたは Azure Integration Runtimeの代わりにセルフホステッド Integration Runtimeを使用する場合は、この手順を使用します。 ダウンロード |
| 15 | セルフホステッド統合ランタイムを登録する | 仮想マシン管理者 | オンプレミスまたは VM ベースのデータ ソース (たとえば、SQL Server) がある場合は、この手順を使用します。 この手順では、 プライベート エンドポイント を使用して 任意の データ ソースをスキャンします。 |
| 16 | データ ソースのサブスクリプションで Azure RBAC 閲覧者 ロールを Microsoft Purview MSI に付与する | サブスクリプション所有者 または ユーザー アクセス管理者 | 複数または次のいずれかのデータ ソースを登録する場合は、この手順を使用します。 |
| 17 | Azure RBAC Storage Blob Data Reader ロールをデータ ソース サブスクリプションで Microsoft Purview MSI に付与します。 | サブスクリプション所有者 または ユーザー アクセス管理者 | プライベート エンドポイントを使用してデータ ソースに接続する場合は、この手順をスキップします。 次のデータ ソースがある場合は、この手順を使用します。 |
| 18 | ネットワーク接続を有効にして、AzureServices がデータ ソースにアクセスできるようにします。 たとえば、"信頼された Microsoft サービスにこのストレージ アカウントへのアクセスを許可する" を有効にします。 |
データ ソースの所有者または共同作成者 | データ ソースで サービス エンドポイント が使用されている場合は、この手順を使用します。 (プライベート エンドポイントが使用されている場合は、この手順を使用しないでください) |
| 19 | Azure SQL サーバー、Azure SQL Managed Instance、Azure SynapseAnalytics で Azure Active Directory 認証を有効にする | Azure SQL サーバー共同作成者 | DB または Azure SQL Managed Instance または Azure SynapseAnalytics をデータ ソースとしてAzure SQLしている場合は、この手順を使用します。 |
| 20 | Azure SQL データベースとAzure SQL Managed Instance データベースにdb_datareaderロールを持つ Microsoft Purview MSI アカウントを付与する | Azure SQL管理者 | データ ソースとして DB またはAzure SQL Managed InstanceをAzure SQLしている場合は、この手順を使用します。 プライベート エンドポイントを使用してデータ ソースに接続する場合は、この手順をスキップします。 |
| 21 | ステージング ストレージ アカウントの Synapse SQL Serverに Azure RBAC ストレージ BLOB データ リーダーを付与する | データ ソースの所有者またはユーザー アクセス管理者 | Azure Synapse Analytics をデータ ソースとして使用している場合は、この手順を使用します。 プライベート エンドポイントを使用してデータ ソースに接続する場合は、この手順をスキップします。 |
| 22 | Synapse ワークスペース リソースで Azure RBAC 閲覧者ロールを Microsoft Purview MSI に付与する | データ ソースの所有者またはユーザー アクセス管理者 | Azure Synapse Analytics をデータ ソースとして使用している場合は、この手順を使用します。 プライベート エンドポイントを使用してデータ ソースに接続する場合は、この手順をスキップします。 |
| 23 | db_datareader ロールを使用して Azure Purview MSI アカウントを付与する | Azure SQL管理者 | Azure Synapse Analytics (専用 SQL データベース) がある場合は、この手順を使用します。 プライベート エンドポイントを使用してデータ ソースに接続する場合は、この手順をスキップします。 |
| 24 | sysadmin ロールを使用して Microsoft Purview MSI アカウントを付与する | Azure SQL管理者 | Azure Synapse Analytics (サーバーレス SQL データベース) がある場合は、この手順を使用します。 プライベート エンドポイントを使用してデータ ソースに接続する場合は、この手順をスキップします。 |
| 25 | Azure Active Directory テナント内にアプリの登録またはサービス プリンシパルを作成する | Azure Active Directory グローバル管理者 または アプリケーション管理者 | 委任された作成者 サービス プリンシパルを使用してデータ ソースに対してスキャンを実行する場合は、この手順を使用します。 |
| 26 | Azure Key Vaultとシークレットを作成して、データ ソースの資格情報またはサービス プリンシパル シークレットを保存します。 | 共同作成者またはKey Vault管理者 | オンプレミスまたは VM ベースのデータ ソース (たとえば、SQL Server) がある場合は、この手順を使用します。 この手順では、 インジェスト プライベート エンドポイントを 使用してデータ ソースをスキャンします。 |
| 27 | Microsoft Purview MSI に Key Vault アクセス ポリシー を付与する: シークレット: get/list | Key Vault管理者 | オンプレミス / の VM ベースのデータ ソースがある場合は、この手順を使用します (たとえば、SQL Server) Key Vaultアクセス許可モデルが Vault Access Policy に設定されている場合は、この手順を使用します。 |
| 28 | シークレット ユーザー Key Vault RBAC ロールKey Vault Microsoft Purview MSI に付与します。 | 所有者 または ユーザー アクセス管理者 | オンプレミスまたは VM ベースのデータ ソースがある場合は、この手順を使用します (たとえば、SQL Server) アクセス許可モデルKey VaultAzure ロールベースのアクセス制御に設定されている場合は、この手順を使用します。 |
| 29 | Microsoft Purview ガバナンス ポータルから Azure Key Vaultへの新しい接続を作成する | データ ソース管理者 | 次のいずれかの 認証オプション を使用して Microsoft Purview でデータ ソースをスキャンする場合は、この手順を使用します。
|
| 30 | Power BI テナント用のプライベート エンドポイントをデプロイする | Power BI 管理者 ネットワーク共同作成者 |
Power BI テナントをデータ ソースとして登録する予定で、Microsoft Purview アカウントが パブリック アクセスを拒否するように設定されている場合は、この手順を使用します。 詳細については、「 Power BI にアクセスするためのプライベート エンドポイントを構成する方法」を参照してください。 |
| 31 | Azure Data Factory ポータルから Microsoft Purview にAzure Data Factoryを接続します。 管理 ->Microsoft Purview。 [ Purview アカウントに接続する] を選択します。 ADF Azure リソースに Azure リソース タグ catalogUri が存在するかどうかを検証します。 |
Azure Data Factory共同作成者/データ キュレーター | Azure Data Factoryがある場合は、この手順を使用します。 |
| 32 | Microsoft Purview で秘密度ラベルを使用するために、Azure Active Directory テナントに少なくとも 1 つの Microsoft 365 必須ライセンス があるかどうかを確認します。 | Azure Active Directory グローバル リーダー | 秘密度ラベルを Microsoft Purview データ マップ に拡張する場合は、この手順を実行します 詳細については、「Microsoft Purview のファイルとデータベース列に秘密度ラベルを使用するためのライセンス要件」を参照してください。 |
| 33 | 同意 "Microsoft Purview データ マップ内の資産にラベル付けを拡張する" | コンプライアンス管理者 Azure Information Protection 管理者 |
データ マップ内のデータに秘密度ラベルを拡張する場合は、この手順を使用します。 詳細については、「Microsoft Purview データ マップでのラベル付け」を参照してください。 |
| 34 | Microsoft Purview で新しいコレクションを作成し、ロールを割り当てる | コレクション管理者 | Microsoft Purview でコレクションを作成し、アクセス許可を割り当てます。 |
| 36 | Microsoft Purview でデータ ソースを管理する | データ ソース管理者 データ リーダー または データ キュレーター |
詳細については、サポートされているデータ ソースとファイルの種類に関するページを参照してください。 |
| 35 | organizationのデータ ロールへのアクセス権を付与する | コレクション管理者 | Microsoft Purview を使用する他のチームへのアクセスを提供します。
詳細については、「 Microsoft Purview でのアクセス制御」を参照してください。 |
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示