在 Microsoft Purview 中发现和管理多个 Azure 源
本文概述了如何注册多个 Azure 源,以及如何在 Microsoft Purview 中对其进行身份验证和交互。 有关 Microsoft Purview 的详细信息,请阅读 介绍性文章。
支持的功能
| 元数据提取 | 完整扫描 | 增量扫描 | 作用域扫描 | 分类 | 标记 | 访问策略 | 血统 | 数据共享 | 实时视图 |
|---|---|---|---|---|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 | 源依赖 | 是 | 源依赖 | 否 | 有限 |
先决条件
具有活动订阅的 Azure 帐户。 免费创建帐户。
有效的 Microsoft Purview 帐户。
你需要是数据源管理员和数据读取者,才能在 Microsoft Purview 治理门户中注册和管理源。 有关详细信息,请参阅 Microsoft Purview 权限页 。
注册
本部分介绍如何使用 Microsoft Purview 治理门户在 Microsoft Purview 中注册多个 Azure 源。
注册的先决条件
Microsoft Purview 需要权限才能列出订阅或资源组下的资源。
- 转到Azure 门户中的订阅或资源组。
- 从左侧菜单中选择“访问控制 (IAM) ”。
- 选择“ +添加”。
- 在 “选择输入 ”框中,选择“ 读者” 角色,并输入 Microsoft Purview 帐户名称 (它表示其 MSI 文件名) 。
- 选择“ 保存” 以完成角色分配。 这将允许 Microsoft Purview 列出订阅或资源组下的资源。
用于注册的身份验证
可通过两种方法在 Azure 中为多个源设置身份验证:
- 托管标识
- 服务主体
必须在订阅或资源组中要注册和扫描的每个资源上设置身份验证。 Azure 存储资源类型 (Azure Blob 存储 和Azure Data Lake Storage Gen2) 允许将订阅或资源组级别的 MSI 文件或服务主体添加为存储 Blob 数据读取器,从而轻松实现。 然后,权限会流向该订阅或资源组中的每个存储帐户。 对于所有其他资源类型,必须在每个资源上应用 MSI 文件或服务主体,或创建脚本以执行此操作。
若要了解如何对订阅或资源组中的每种资源类型添加权限,请参阅以下资源:
- Azure Blob 存储
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure SQL数据库
- Azure SQL 托管实例
- Azure Synapse Analytics
注册步骤
通过以下方式打开 Microsoft Purview 治理门户:
- 直接浏览并选择 https://web.purview.azure.com Microsoft Purview 帐户。
- 打开Azure 门户,搜索并选择 Microsoft Purview 帐户。 选择 Microsoft Purview 治理门户 按钮。
在左侧菜单中选择“ 数据映射 ”。
选择“注册”。
在“ 注册源”上,选择“ Azure (多个) 。
选择 继续。
在 “ (Azure) 注册源 ”屏幕上,执行以下操作:
在“ 名称 ”框中,输入数据源将在目录中列出的名称。
在“ 管理组 ”框中,可以选择性地选择要筛选到的管理组。
在 “订阅 ”和“ 资源组” 下拉列表框中,分别选择订阅或特定资源组。 注册范围将设置为所选订阅或资源组。
在 “选择集合 ”框中,选择一个集合或创建一个新集合, (可选) 。
选择“ 注册 ”以注册数据源。
扫描
重要
目前,仅支持使用 Azure 集成运行时扫描多个 Azure 源,因此,只有允许在防火墙上进行公共访问的 Microsoft Purview 帐户可以使用此选项。
按照以下步骤扫描多个 Azure 源,以自动识别资产并对数据进行分类。 有关一般扫描的详细信息,请参阅 扫描和引入简介。
创建并运行扫描
若要创建并运行新的扫描,请执行以下操作:
在 Microsoft Purview 治理门户的左窗格中选择“ 数据映射 ”选项卡。
选择已注册的数据源。
选择“ 查看详细信息>+新建扫描”,或使用源磁贴上的 “扫描 快速操作”图标。
对于 “名称”,请填写名称。
对于 “类型”,选择要在此源中扫描的资源类型。 选择以下选项之一:
- 将其保留为 “全部”。 此选择包括该订阅或资源组中当前可能不存在的未来资源类型。
- 使用这些框专门选择要扫描的资源类型。 如果选择此选项,除非将来显式编辑扫描,否则将不包括可能在此订阅或资源组中创建的未来资源类型进行扫描。
选择凭据以连接到数据源中的资源:
- 可以选择父级别的凭据作为 MSI 文件,也可以为特定服务主体类型选择凭据。 然后,可以将该凭据用于订阅或资源组下的所有资源类型。
- 可以专门选择资源类型,并为该资源类型应用其他凭据。
每个凭据将被视为特定类型下的所有资源的身份验证方法。 必须对资源设置所选凭据才能成功扫描它们,如 本文前面所述。
在每个类型中,可以选择扫描所有资源或按名称扫描其中的子集:
- 如果将选项保留为 “全部”,则将来的扫描运行中也会扫描该类型的未来资源。
- 如果选择特定的存储帐户或 SQL 数据库,则在此订阅或资源组中创建的该类型的未来资源不会包含在扫描中,除非将来显式编辑扫描。
选择“ 测试连接”。 如果已将 Microsoft Purview MSI 文件作为读取者应用于订阅或资源组,这将首先测试对 检查 的访问权限。 如果收到错误消息,请按照 这些说明 解决此问题。 然后,它将测试身份验证和与每个所选源的连接,并生成报告。 所选的源数将影响生成此报告所需的时间。 如果在某些资源上失败,将鼠标悬停在 X 图标上将显示详细的错误消息。
测试连接通过后,选择“ 继续 ”以继续。
为在上一步中选择的每个资源类型选择扫描规则集。 还可以内联创建扫描规则集。
选择扫描触发器。 可以计划每周、每月或一次运行一次。
查看扫描并选择“ 保存” 以完成设置。
查看扫描和扫描运行
通过在“数据映射”部分下的磁贴上选择“查看详细信息”来查看源详细信息。
转到“扫描详细信息”页,查看 扫描运行详细信息 。
状态栏是子资源的运行状态的简要摘要。 它显示在订阅级别或资源组级别。 颜色具有以下含义:
- 绿色:扫描成功。
- 红色:扫描失败。
- 灰色:扫描仍在进行中。
可以选择每次扫描以查看更详细的详细信息。
在源详细信息底部查看最近失败的扫描运行的摘要。 还可以查看有关这些运行的更精细的详细信息。
管理扫描:编辑、删除或取消
若要管理扫描,请执行以下操作:
转到管理中心。
选择“源和扫描”部分下的“数据源”,然后选择所需的数据源。
选择要管理的扫描。 则:
- 可以通过选择“编辑”来 编辑扫描。
- 可以通过选择“删除”来 删除扫描。
- 如果扫描正在运行,可以通过选择“取消”来 取消扫描。
访问策略
支持的策略
Microsoft Purview 的此数据资源支持以下类型的策略:
Azure 存储帐户上的访问策略先决条件
为了能够从 Microsoft Purview 强制实施策略,需要首先配置资源组或订阅下的数据源。 说明因数据源类型而异。 请在 Microsoft Purview 连接器文档中的“访问策略”链接下查看它们是否支持 Microsoft Purview 策略,如果支持,请查看启用它们的具体说明。
为策略配置 Microsoft Purview 帐户
在 Microsoft Purview 中注册数据源
在 Microsoft Purview 中为数据资源创建策略之前,必须在 Microsoft Purview Studio 中注册该数据资源。 本指南稍后会介绍与注册数据资源相关的说明。
注意
Microsoft Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要取消注册,然后在 Microsoft Purview 中再次注册。
配置权限以在数据源上启用数据使用管理
注册资源后,但在 Microsoft Purview 中为该资源创建策略之前,必须配置权限。 需要一组权限才能启用 数据使用管理。 这适用于数据源、资源组或订阅。 若要启用 数据使用管理,必须 对 资源具有特定的标识和访问管理 (IAM) 特权,以及特定的 Microsoft Purview 特权:
必须在资源的 Azure 资源管理器 路径上使用以下 IAM 角色组合之一,或者 (的任何父角色组合之一,即使用 IAM 权限继承) :
- IAM 所有者
- IAM 参与者和 IAM 用户访问管理员
若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照 本指南操作。 以下屏幕截图显示了如何访问数据资源Azure 门户中的“访问控制”部分以添加角色分配。
注意
数据资源的 IAM 所有者 角色可以从父资源组、订阅或订阅管理组继承。 检查哪些 Azure AD 用户、组和服务主体持有或正在继承资源的 IAM 所有者 角色。
如果启用继承) ,还需要具有集合或父集合的 Microsoft Purview 数据源管理员 角色 (。 有关详细信息,请参阅 有关管理 Microsoft Purview 角色分配的指南。
以下屏幕截图显示了如何在根集合级别分配 数据源管理员 角色。
配置 Microsoft Purview 权限以创建、更新或删除访问策略
若要创建、更新或删除策略,需要在 Microsoft Purview 中获取根集合级别的策略作者角色:
- 策略作者角色可以创建、更新和删除 DevOps 和数据所有者策略。
- 策略作者角色可以删除自助服务访问策略。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
必须在根集合级别配置策略作者角色。
此外,若要在创建或更新策略的主题时轻松搜索 Azure AD 用户或组,可以从获取 Azure AD 中的 “目录读取者” 权限中获益匪浅。 这是 Azure 租户中的用户的常见权限。 如果没有目录读取者权限,策略作者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件。
配置 Microsoft Purview 权限以发布数据所有者策略
如果将 Microsoft Purview 策略作者 和 数据源管理员 角色分配给组织中的不同人员,则数据所有者策略允许进行检查和平衡。 在数据所有者策略生效之前, (数据源管理员) 的第二个人必须对其进行查看并通过发布来显式批准该策略。 这不适用于 DevOps 或自助访问策略,因为创建或更新这些策略时,这些策略会自动发布。
若要发布数据所有者策略,需要获取 Microsoft Purview 中根集合级别的数据源管理员角色。
有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合。
注意
若要发布数据所有者策略,必须在根集合级别配置数据源管理员角色。
将访问预配责任委托给 Microsoft Purview 中的角色
为资源启用 数据使用管理后,任何在根集合级别具有 策略作者 角色的 Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。
注意
任何 Microsoft Purview 根 集合管理员可以 将新用户分配到根 策略作者 角色。 任何 集合管理员可以 将新用户分配到集合下的 数据源管理员 角色。 最小化并仔细审查拥有 Microsoft Purview 集合管理员、 数据源管理员或 策略作者 角色的用户。
如果删除了具有已发布策略的 Microsoft Purview 帐户,这些策略将在依赖于特定数据源的一段时间内停止强制实施。 此更改可能会影响安全性和数据访问可用性。 IAM 中的“参与者”和“所有者”角色可以删除 Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的“访问控制 (IAM) ”部分并选择“角色分配”来检查这些权限。 还可以使用锁来防止通过资源管理器锁删除 Microsoft Purview 帐户。
在 Microsoft Purview for Data Use Management 中注册数据源
必须先向 Microsoft Purview 注册 Azure 订阅或资源组,然后才能创建访问策略。 若要注册资源,请遵循本指南的 先决条件 和 注册 部分:
注册数据资源后,需要启用数据使用管理。 在对数据资源创建策略之前,这是一个先决条件。 数据使用管理可能会影响数据的安全性,因为它委托给管理对数据源的访问权限的某些 Microsoft Purview 角色。 在本指南:如何启用数据使用管理中了解与数据使用管理相关的安全做法
数据源的 “数据使用管理 ”选项设置为 “已启用”后,如下所示: 
创建策略
若要在整个 Azure 订阅或资源组上创建访问策略,请按照以下指南操作:
后续步骤
注册源后,请按照以下指南详细了解 Microsoft Purview 和数据。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈