Implementowanie usługi Microsoft Purview

  • 15 min

Microsoft Purview to ujednolicona usługa zapewniania ładu danych, która ułatwia zarządzanie danymi lokalnymi, wielochmurowymi i danymi SaaS (software-as-a-service). Utwórz całościową, aktualną mapę krajobrazu danych z automatycznym odnajdywaniem danych, klasyfikacją poufnych danych i kompleksowym pochodzeniem danych. Umożliwia kuratorom danych zarządzanie zasobami danych i zabezpieczanie ich. Umożliw konsumentom danych znajdowanie wartościowych, godnych zaufania danych.

Jak to działa

Usługa Microsoft Purview automatyzuje odnajdywanie danych, zapewniając skanowanie i klasyfikację danych jako usługę dla zasobów w infrastrukturze danych. Metadane i opisy odnalezionych zasobów danych są zintegrowane z całościową mapą majątku danych. Na szczycie tej mapy istnieją specjalnie utworzone aplikacje, które tworzą środowiska na potrzeby odnajdywania danych, zarządzania dostępem i szczegółowych informacji o krajobrazie danych.

Zrzut ekranu przedstawiający architekturę wysokiego poziomu usługi Microsoft Purview, pokazujący źródła z wielu chmur i lokalne przepływające do Microsoft Purview oraz aplikacje Microsoft Purview.

Obsługiwane możliwości

Zrozumienie lokalizacji i przenoszenia poufnych danych w całej domenie danych jest jedną z głównych funkcji usługi Microsoft Purview dla usługi Azure SQL Database.

Tworzenie ujednoliconej mapy danych w całej domenie danych

Usługa Microsoft Purview pomaga położyć podstawy efektywnego zarządzania danymi, w tym następujące możliwości:

  • Automatyzowanie metadanych zasobów hybrydowych i zarządzanie nimi.
  • Klasyfikowanie danych przy użyciu zintegrowanych i niestandardowych klasyfikacji oraz etykiet poufności ochrony informacji.
  • Zapewnij spójne etykietowanie poufnych danych w programach SQL Server, Azure, Microsoft 365 i Power BI.
  • Łatwo zintegruj wszystkie systemy danych przy użyciu interfejsów API usługi Apache Atlas.

Zrzut ekranu przedstawiający ujednoliconą mapę danych w całej domenie danych w usłudze Microsoft Purview.

Ułatwianie znajdowania danych

Ułatwiaj znajdowanie danych przy użyciu znanych terminów wyszukiwania biznesowego i technicznego, w tym następujących możliwości:

  • Zapewnij optymalną wartość biznesową dla danych użytkowników przy użyciu Wykaz danych w Microsoft Purview.
  • Wyeliminuj potrzebę słowników danych w programie Excel przy użyciu słownika biznesowego na poziomie biznesowym.
  • Uzyskaj wgląd w źródło danych za pomocą interaktywnej wizualizacji źródła danych.
  • Zapewnij analitykom i inżynierom dane, których potrzebują, aby prowadzić analizy biznesowe oraz korzystać ze sztucznej inteligencji i uczenia maszynowego.

Zrzut ekranu przedstawiający pasek wyszukiwania przedstawiający sugestie dotyczące elementów zawartości na podstawie podanego terminu.

Zapoznaj się z omówieniem poufnych danych

Usługa Microsoft Purview zapewnia kompleksowy widok operacji zarządzania danymi za pomocą usługi Data Insights (w wersji zapoznawczej), w tym następujących możliwości:

  • Wyświetl całą domenę danych i jej dystrybucję według wymiaru zasobu, na przykład typ źródła, klasyfikację i rozmiar pliku.
  • Otrzymuj aktualizacje stanu dotyczące liczby skanowań zakończonych powodzeniem, niepowodzeniem lub anulowaniem.
  • Uzyskiwanie kluczowych szczegółowych informacji w celu dodawania lub redystrybucji terminów słownika w celu uzyskania lepszych wyników wyszukiwania.

Zrzut ekranu przedstawiający stronę szczegółowych informacji o klasyfikacji usługi Microsoft Purview z różnymi wykresami klasyfikacji.

Wymagania

Przed rozpoczęciem pracy z usługą Microsoft Purview upewnij się, że zostały spełnione następujące wymagania:

  • Dostęp do platformy Microsoft Azure przy użyciu subskrypcji programistycznej lub produkcyjnej.
  • Możliwość tworzenia zasobów platformy Azure, w tym usługi Microsoft Purview.
  • Dostęp do źródeł danych, takich jak Azure Data Lake Storage lub Azure SQL, w środowiskach testowych, programistycznych lub produkcyjnych.
    • W przypadku usługi Data Lake Storage wymagana rola do skanowania to Czytelnik.
    • W przypadku usługi Azure SQL tożsamość musi mieć możliwość wykonywania zapytań dotyczących tabel w celu próbkowania klasyfikacji.
  • Dostęp do Microsoft Defender dla Chmury lub możliwość współpracy z administratorem Defender dla Chmury na potrzeby etykietowania danych.
  • Aktywne konto usługi Microsoft Purview.
  • Musisz być administratorem źródła danych i czytelnikiem danych, aby zarejestrować źródło i nim zarządzać w portalu zarządzania Microsoft Purview.

Zagadnienia dotyczące zabezpieczeń

Przyjrzyjmy się niektórym ważnym funkcjom zabezpieczeń podczas skanowania bazy danych SQL Database przy użyciu usługi Microsoft Purview.

Ustawienia zapory

Jeśli serwer bazy danych ma włączoną zaporę, należy zaktualizować zaporę, aby zezwolić na dostęp na jeden z dwóch sposobów:

  • Zezwalaj na połączenia platformy Azure za pośrednictwem zapory — prosta opcja kierowania ruchu przez sieć platformy Azure bez konieczności zarządzania maszynami wirtualnymi.

  • Zainstaluj własne środowisko Integration Runtime — zainstaluj własne środowisko Integration Runtime na maszynie w sieci i przyznaj mu dostęp za pośrednictwem zapory. Jeśli masz prywatną sieć wirtualną skonfigurowaną na platformie Azure lub masz skonfigurowaną inną zamkniętą sieć, używając własnego środowiska Integration Runtime na maszynie w tej sieci, możesz w pełni zarządzać przepływem ruchu i korzystać z istniejącej sieci.

  • Użyj zarządzanej sieci wirtualnej — możesz użyć środowiska Azure Integration Runtime w zamkniętej sieci, konfigurując zarządzaną sieć wirtualną przy użyciu konta usługi Microsoft Purview w celu nawiązania połączenia z usługą Azure SQL.

Uwierzytelnianie

Aby przeskanować źródło danych, należy skonfigurować metodę uwierzytelniania w usłudze Azure SQL Database. Następujące opcje uwierzytelniania są obsługiwane podczas przygotowywania do skanowania:

  • Tożsamość zarządzana przypisana przez system (zalecana) — jest to tożsamość skojarzona bezpośrednio z kontem usługi Microsoft Purview, która umożliwia uwierzytelnianie bezpośrednio z innymi zasobami platformy Azure bez konieczności zarządzania zestawem poświadczeń użytkownika lub zestawu poświadczeń. Tożsamość zarządzana przypisana przez system jest tworzona podczas tworzenia zasobu usługi Microsoft Purview, jest zarządzana przez platformę Azure i używa nazwy konta usługi Microsoft Purview. Tożsamość zarządzana przypisana przez system nie może być obecnie używana z własnym środowiskiem Integration Runtime dla usługi Azure SQL.

  • Tożsamość zarządzana przypisana przez użytkownika (wersja zapoznawcza) — podobnie jak tożsamość zarządzana przypisana przez system, tożsamość zarządzana przypisana przez użytkownika to zasób poświadczeń, który umożliwia usłudze Microsoft Purview uwierzytelnianie względem identyfikatora Entra firmy Microsoft. Użytkownik przypisany przez użytkowników zarządzany przez użytkowników na platformie Azure, a nie przez samą platformę Azure, co zapewnia większą kontrolę nad zabezpieczeniami. Tożsamość zarządzana przypisana przez użytkownika nie może być obecnie używana z własnym środowiskiem Integration Runtime dla usługi Azure SQL. Aby uzyskać więcej informacji, zobacz nasz przewodnik dotyczący tożsamości zarządzanych przypisanych przez użytkownika.

  • Jednostka usługi — jednostka usługi to aplikacja, która może mieć przypisane uprawnienia, takie jak dowolna inna grupa lub użytkownik, bez bezpośredniego skojarzenia z osobą. Ich uwierzytelnianie ma datę wygaśnięcia i może być przydatne w przypadku projektów tymczasowych.

  • Uwierzytelnianie SQL — połącz się z bazą danych SQL przy użyciu nazwy użytkownika i hasła.

Uwaga

Jeśli używasz własnego środowiska Integration Runtime do łączenia się z zasobem, tożsamości zarządzane przypisane przez system i przypisane przez użytkownika nie będą działać. Należy użyć uwierzytelniania jednostki usługi lub uwierzytelniania SQL.

Rejestrowanie i skanowanie bazy danych SQL Database przy użyciu usługi Microsoft Purview

Ta sekcja umożliwia zarejestrowanie źródła danych usługi Azure SQL Database i skonfigurowanie skanowania.

Rejestrowanie źródła danych

Przed skonfigurowaniem skanowania wymagane jest zarejestrowanie źródła danych w usłudze Microsoft Purview.

  1. Otwórz konto usługi Microsoft Purview i wybierz pozycję Otwórz portal nadzoru usługi Microsoft Purview.

    Zrzut ekranu przedstawiający portal ładu Open Microsoft Purview.

  2. Wybierz pozycję Kolekcje map>danych w okienku po lewej stronie, aby otworzyć stronę zarządzania kolekcjami. Utwórz hierarchię kolekcji przy użyciu menu Kolekcje i przypisz uprawnienia do poszczególnych podkolekcje zgodnie z potrzebami.

    Zrzut ekranu przedstawiający menu kolekcji w celu przypisania uprawnień kontroli dostępu do hierarchii kolekcji.

  3. Przejdź do odpowiedniej kolekcji w menu Źródła , a następnie wybierz pozycję Zarejestruj , aby zarejestrować nową bazę danych SQL Database.

    Zrzut ekranu przedstawiający kolekcję używaną do rejestrowania źródła danych.

  4. Wybierz źródło danych usługi Azure SQL Database, a następnie wybierz pozycję Kontynuuj.

    Zrzut ekranu, który umożliwia wybór źródła danych.

  5. Podaj nazwę źródła danych, wybierz subskrypcję platformy Azure, wybierz nazwę serwera usługi SQL Database, a następnie wybierz pozycję Zastosuj.

    Zrzut ekranu przedstawiający szczegóły, które mają zostać wprowadzone w celu zarejestrowania źródła danych.

  6. Usługa Azure SQL Database jest wyświetlana w wybranej kolekcji.

    Zrzut ekranu przedstawiający źródło danych zamapowane na kolekcję w celu zainicjowania skanowania.

Tworzenie skanowania

Aby utworzyć i skonfigurować skanowanie, wykonaj następujące kroki:

  1. Otwórz konto usługi Microsoft Purview i wybierz portal ładu Otwórz usługę Microsoft Purview .

    Zrzut ekranu przedstawiający portal ładu Open Microsoft Purview.

  2. Wybierz ikonę Mapa danych, a następnie pozycję Źródła , aby wyświetlić hierarchię kolekcji.

    Zrzut ekranu przedstawiający stronę Źródła w sekcji Mapa danych.

  3. Wybierz ikonę Nowe skanowanie w obszarze zarejestrowanej wcześniej usługi Azure SQL Database.

    Zrzut ekranu przedstawiający ekran umożliwiający utworzenie nowego skanowania.

  4. Podaj nazwę skanowania, wybierz pozycję Wprowadź ręcznie dla właściwości Metoda wyboru bazy danych, wprowadź nazwę bazy danych i wybierz pozycję Poświadczenia. Wybierz odpowiednią kolekcję do skanowania, a następnie wybierz pozycję Testuj połączenie , aby zweryfikować połączenie. Jeśli połączenie zakończy się pomyślnie, wybierz pozycję Kontynuuj.

    Zrzut ekranu przedstawiający opcję Uwierzytelnianie SQL na potrzeby skanowania.

Określanie zakresu i uruchamianie skanowania

Aby ograniczyć zakres i uruchomić skanowanie, wykonaj następujące kroki:

  1. Możesz ograniczyć zakres skanowania do określonych obiektów bazy danych, wybierając odpowiednie elementy na liście.

    Zrzut ekranu przedstawiający listę obiektów bazy danych podczas określania zakresu skanowania.

  2. Wybierz zestaw reguł skanowania. Możesz wybrać między domyślnym systemem, istniejącymi niestandardowymi zestawami reguł lub utworzyć nowy zestaw reguł wbudowanych.

    Zrzut ekranu przedstawiający stronę wybierania zestawu reguł skanowania.

  3. Wybierz pozycję Nowy zestaw reguł skanowania i podaj nową nazwę zestawu reguł skanowania.

    Zrzut ekranu przedstawiający stronę nowego zestawu reguł skanowania.

  4. Następnie możesz wybrać reguły klasyfikacji, które mają zostać uwzględnione w regule skanowania, a następnie wybrać pozycję Utwórz.

    Zrzut ekranu przedstawiający reguły klasyfikacji skanowania dla usługi Microsoft Purview.

  5. Na stronie Wybieranie zestawu reguł skanowania zostanie utworzony zestaw reguł skanowania.

    Zrzut ekranu przedstawiający wybór zestawu reguł skanowania dla usługi Microsoft Purview.

  6. Na stronie Ustawianie wyzwalacza skanowania skonfiguruj wyzwalacz skanowania. Wybierz Kontynuuj.

    Zrzut ekranu przedstawiający opcję wyzwalacza skanowania dla usługi Microsoft Purview.

  7. Przejrzyj skanowanie, a następnie wybierz pozycję Zapisz i uruchom.

    Zrzut ekranu przedstawiający stronę skanowania recenzji dla usługi Microsoft Purview.

Pochodzenie danych

Ogólnie rzecz biorąc, pochodzenie danych reprezentuje podróż, której dane pochodzą z źródła do miejsca, w którym są przenoszone przez ten majątek danych w czasie. Jednym z wielu zastosowań jest rozwiązywanie problemów, śledzenie głównej przyczyny w potokach danych i debugowanie.

Wykaz danych w Microsoft Purview łączy się z innymi platformami magazynu danych, przetwarzania i analizy w celu zbierania informacji o pochodzenia. W związku z tym wykaz zawiera ogólne środowisko pochodzenia specyficzne dla scenariusza.

Usługa Microsoft Purview obsługuje pochodzenie danych z usługi Azure SQL Database. W momencie konfigurowania skanowania można włączyć przycisk przełączania wyodrębniania pochodzenia, aby wyodrębnić informacje o pochodzenia.

Wymagania wstępne dotyczące konfigurowania skanowania przy użyciu wyodrębniania pochodzenia

  1. Wykonaj kroki opisane w sekcji uwierzytelnianie na potrzeby skanowania przy użyciu tożsamości zarządzanej, aby autoryzować skanowanie usługi Azure SQL Database w usłudze Microsoft Purview.

  2. Zaloguj się do usługi Azure SQL Database przy użyciu konta Microsoft Entra i przypisz odpowiednie uprawnienia (na przykład: db_owner) do tożsamości zarządzanej usługi Purview. Użyj poniższej przykładowej składni SQL, aby utworzyć użytkownika i udzielić uprawnień, zastępując ciąg purview-account nazwą konta.

    CREATE user <purview-account> FROM EXTERNAL PROVIDER
GO
EXEC sp_addrolemember 'db_owner', <purview-account> 
GO

  3. Uruchom poniższe polecenie w usłudze Azure SQL Database, aby utworzyć klucz główny.

    CREATE MASTER KEY
GO

Tworzenie skanowania za pomocą przełącznika wyodrębniania pochodzenia włączonego

  1. Włącz przełącznik wyodrębniania pochodzenia na ekranie skanowania.

    Zrzut ekranu przedstawiający ekran umożliwiający utworzenie nowego skanowania z wyodrębnianiem pochodzenia.

  2. Wybierz metodę uwierzytelniania, wykonując kroki opisane w sekcji skanowania.

  3. Kiedy skanowanie zostanie pomyślnie skonfigurowane w poprzednim kroku, nowy typ skanowania o nazwie Wyodrębnianie pochodzenia uruchamia skanowania przyrostowe co 6 godzin w celu wyodrębnienia pochodzenia z bazy danych Azure SQL Database. Pochodzenie jest wyodrębniane na podstawie rzeczywistych przebiegów procedury składowanej w usłudze Azure SQL Database.

Wyszukiwanie zasobów usługi Azure SQL Database i wyświetlanie pochodzenia środowiska uruchomieniowego

Możesz przeglądać wykaz danych lub przeszukiwać wykaz danych, aby wyświetlić szczegóły zasobu dla usługi Azure SQL Database, wykonując poniższe kroki:

  1. Przejdź do karty Zasób —> pochodzenie danych, aby zobaczyć pochodzenie elementów zawartości, jeśli ma to zastosowanie. Zapoznaj się z sekcją dotyczącą obsługiwanych możliwości w obsługiwanych scenariuszach pochodzenia usługi Azure SQL Database. Aby uzyskać więcej informacji na temat pochodzenia danych, zobacz przewodnik użytkownika dotyczący pochodzenia danych i pochodzenia

    Zrzut ekranu przedstawiający ekran z pochodzeniem procedur składowanych.

  2. Przejdź do zasobu procedury składowanej —> Właściwości —> powiązane zasoby, aby wyświetlić najnowsze szczegóły uruchamiania procedur składowanych

    Zrzut ekranu przedstawiający ekran z właściwościami procedury składowanej zawierającymi przebiegi.

  3. Wybierz hiperlink procedury składowanej obok pozycji Uruchomienia, aby wyświetlić przegląd przebiegu procedury składowanej usługi Azure SQL. Przejdź do karty właściwości, aby wyświetlić rozszerzone informacje o czasie wykonywania z procedury składowanej. Na przykład: executedTime, rowcount, Client Connection itd.

    Zrzut ekranu przedstawiający ekran z właściwościami przebiegu procedury składowanej.