Microsoft Purview 安全性最佳做法
本文提供 Microsoft Purview 治理解決方案常見安全性需求的最佳做法。 所述的安全性策略遵循分層式深層防禦方法。
注意事項
這些最佳做法涵蓋 Microsoft Purview 統一資料控管解決方案的安全性。 如需 Microsoft Purview 風險和合規性解決方案的詳細資訊, 請前往這裡。 如需一般 Microsoft Purview 的詳細資訊, 請前往這裡。
將這些建議套用至您的環境之前,您應該先洽詢安全性小組,因為有些可能不適用於您的安全性需求。
網路安全性
Microsoft Purview 是 Azure 中的平臺即服務 (PaaS) 解決方案。 您可以為 Microsoft Purview 帳戶啟用下列網路安全性功能:
- 使用 Private Link 服務啟用端對端網路隔離。
- 使用 Microsoft Purview 防火牆 來停用公用存取。
- 針對部署 Azure 資料來源私人端點、Microsoft Purview 私人端點和自我裝載執行時間 VM 的子網,部署網路安全 組 (NSG) 規則 。
- 使用網路虛擬裝置所管理的私人端點實作 Microsoft Purview,例如Azure 防火牆網路檢查和網路篩選。
如需詳細資訊,請參閱與 Azure PaaS 服務連線相關的最佳做法。
部署 Microsoft Purview 帳戶的私人端點
如果您需要從私人網路內使用 Microsoft Purview,建議您使用 Azure Private Link 服務搭配 Microsoft Purview 帳戶進行部分或端對端隔離,以連線到 Microsoft Purview 治理入口網站、存取 Microsoft Purview 端點,以及掃描資料來源。
Microsoft Purview 帳戶 私人端點可用來新增另一層安全性,因此只有來自虛擬網路內的用戶端呼叫才能存取 Microsoft Purview 帳戶。 此私人端點也是入口網站私人端點的必要條件。
需要 Microsoft Purview 入口 網站 私人端點,才能使用私人網路連線到 Microsoft Purview 治理入口網站。
Microsoft Purview 可以使用擷取私人端點,掃描 Azure 或內部部署環境中的資料來源。
- 如需將 Azure 平臺掃描為服務 資料來源,請檢閱 支援矩陣,以透過擷取私人端點掃描資料來源。
- 如果您要部署具有端對端網路隔離的 Microsoft Purview,若要掃描 Azure 資料來源,這些資料來源也必須設定私人端點。
- 檢閱 已知限制。
如需詳細資訊,請參閱 Microsoft Purview 網路架構和最佳做法。
使用 Microsoft Purview 防火牆封鎖公用存取
您可以停用 Microsoft Purview 公用存取,以完全從公用網際網路中斷對 Microsoft Purview 帳戶的存取。 在此情況下,您應該考慮下列需求:
- Microsoft Purview 必須根據 端對端網路隔離案例進行部署。
- 若要存取 Microsoft Purview 治理入口網站和 Microsoft Purview 端點,您必須使用連線到私人網路的管理電腦,透過私人網路存取 Microsoft Purview。
- 檢閱 已知限制。
- 若要掃描 Azure 平臺即服務資料來源,請檢閱 支援矩陣,以透過擷取私人端點掃描資料來源。
- Azure 資料來源也必須設定私人端點。
- 若要掃描資料來源,您必須使用自我裝載整合執行時間。
如需詳細資訊,請參閱 限制公用存取的防火牆。
使用網路安全性群組
您可以使用 Azure 網路安全性群組來篩選 Azure 虛擬網路中 Azure 資源的網路流量。 網路安全性群組包含 安全性規則 ,可允許或拒絕數種 Azure 資源類型的輸入網路流量或輸出網路流量。 您可以針對每個規則指定來源和目的地、埠和通訊協定。
網路安全性群組可以套用至網路介面或 Azure 虛擬網路子網,其中會部署 Microsoft Purview 私人端點、自我裝載整合執行時間 VM 和 Azure 資料來源。
如需詳細資訊,請參閱 為私人端點套用 NSG 規則。
Microsoft Purview 掃描 的資料來源 需要下列 NSG 規則:
| 方向 | 來源 | 來源埠範圍 | 目的地 | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 入境 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | 資料來源私人 IP 位址或子網 | 443 | 任何 | 允許 |
管理 機器 上需要下列 NSG 規則,才能存取 Microsoft Purview 治理入口網站:
| 方向 | 來源 | 來源埠範圍 | 目的地 | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 出埠 | 管理電腦的私人 IP 位址或子網 | * | Microsoft Purview 帳戶和入口網站私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
| 出埠 | 管理電腦的私人 IP 位址或子網 | * | 服務標籤: AzureCloud |
443 | 任何 | 允許 |
在 自我裝載整合執行時間 VM 上需要下列 NSG 規則,才能進行 Microsoft Purview 掃描和中繼資料擷取:
重要事項
請考慮根據您的資料來源類型,新增具有相關服務標籤的其他規則。
| 方向 | 來源 | 來源埠範圍 | 目的地 | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 出埠 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | 資料來源私人 IP 位址或子網 | 443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: Servicebus |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: Storage |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: AzureActiveDirectory |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: DataFactory |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | 服務標籤: KeyVault |
443 | 任何 | 允許 |
Microsoft Purview 帳戶、入口網站和擷取私人端點需要下列 NSG 規則:
| 方向 | 來源 | 來源埠範圍 | 目的地 | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 入境 | 自我裝載整合執行時間 VM 的私人 IP 位址或子網 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
| 入境 | 管理電腦的私人 IP 位址或子網 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
如需詳細資訊,請 參閱自我裝載整合執行時間網路需求。
存取管理
身分識別和存取管理提供大量安全性保證的基礎。 它會根據雲端服務中的身分識別驗證和授權控制來啟用存取。 這些控制項會保護資料和資源,並決定應該允許哪些要求。
與 Microsoft Purview 中的角色和存取管理相關,您可以套用下列安全性最佳做法:
- 定義在控制平面和資料平面中管理 Microsoft Purview 的角色和責任:
- 定義在 Azure 訂用帳戶內部署和管理 Microsoft Purview 所需的角色和工作。
- 使用 Microsoft Purview 定義執行資料管理和治理所需的角色和工作。
- 將角色指派給 Azure Active Directory 群組,而不是將角色指派給個別使用者。
- 使用 Azure Active Directory 權利管理 ,使用存取套件將使用者存取對應至 Azure AD 群組。
- 對 Microsoft Purview 使用者強制執行多重要素驗證,特別是針對具有特殊許可權角色的使用者,例如集合系統管理員、資料來源管理員或資料編者。
在控制平面和資料平面中管理 Microsoft Purview 帳戶
控制平面是指與 Azure Resource Manager內 Microsoft Purview 的 Azure 部署和管理相關的所有作業。
資料平面是指與資料對應和資料目錄內的 Microsoft Purview 互動相關的所有作業。
您可以從與 Microsoft Purview 實例的 Azure 訂用帳戶相關聯的 Azure Active Directory 租使用者,將控制平面和資料平面角色指派給使用者、安全性群組和服務主體。
控制平面作業和資料平面作業的範例:
| 工作 | 範圍 | 建議的角色 | 要使用哪些角色? |
|---|---|---|---|
| 部署 Microsoft Purview 帳戶 | 控制平面 | Azure 訂用帳戶擁有者或參與者 | Azure RBAC 角色 |
| 設定 Microsoft Purview 的私人端點 | 控制平面 | 投稿者 | Azure RBAC 角色 |
| 刪除 Microsoft Purview 帳戶 | 控制平面 | 投稿者 | Azure RBAC 角色 |
| 新增或管理 自我裝載整合執行時間 (SHIR) | 控制平面 | 資料來源管理員 | Microsoft Purview 角色 |
| 檢視 Microsoft Purview 計量以取得目前的容量單位 | 控制平面 | 讀者 | Azure RBAC 角色 |
| 建立集合 | 資料平面 | 集合管理員 | Microsoft Purview 角色 |
| 註冊資料來源 | 資料平面 | 集合管理員 | Microsoft Purview 角色 |
| 掃描SQL Server | 資料平面 | 資料來源管理員和資料讀取者或資料編者 | Microsoft Purview 角色 |
| 在Microsoft Purview 資料目錄內搜尋 | 資料平面 | 資料來源管理員和資料讀取者或資料編者 | Microsoft Purview 角色 |
Microsoft Purview 平面角色是在 Microsoft Purview 集合的 Microsoft Purview 實例內定義及管理。 如需詳細資訊,請 參閱 Microsoft Purview 中的存取控制。
請遵循 Azure 控制平面工作的 Azure 角色型存取建議 。
驗證和授權
若要取得 Microsoft Purview 的存取權,使用者必須經過驗證和授權。 驗證是證明使用者是其所宣告身分的程式。 授權是指在集合上指派的 Microsoft Purview 內控制存取權。
我們使用 Azure Active Directory 為集合內的 Microsoft Purview 提供驗證和授權機制。 您可以從與裝載 Microsoft Purview 實例的 Azure 訂用帳戶相關聯的 Azure Active Directory 租使用者,將 Microsoft Purview 角色指派給下列安全性主體:
- 使用者和來賓使用者 (是否已新增至您的 Azure AD 租使用者)
- 安全性群組
- 受控識別
- 服務主體
Microsoft Purview 更細緻的角色可以指派給 Microsoft Purview 實例內的彈性集合階層。
定義最低許可權模型
一般而言,對於想要強制執行資料存取安全性原則的組織而言,根據 知道 和 最低權 限安全性原則來限制存取權是必要的。
在 Microsoft Purview 中,可以使用 Microsoft Purview 集合來組織資料來源、資產和掃描。 集合是 Microsoft Purview 中中繼資料的階層式群組,但同時提供機制來管理整個 Microsoft Purview 的存取權。 您可以根據集合的階層,將 Microsoft Purview 中的角色指派給集合。
使用 Microsoft Purview 集合 實作貴組織的中繼資料階層,以根據最低許可權模型進行集中式或委派的管理和治理階層。
在 Microsoft Purview 集合內指派角色時,請遵循最低許可權存取模型,方法是區隔小組內的職責,並只授與使用者執行其工作所需的存取權。
如需如何根據 Microsoft Purview 集合階層在 Microsoft Purview 中指派最低許可權存取模型的詳細資訊,請參閱 Microsoft Purview 中的存取控制。
降低特殊許可權帳戶的曝光率
保護特殊許可權存取權是保護商務資產的重要第一步。 將可存取安全資訊或資源的人數降到最低、減少惡意使用者取得存取權的機會,或授權使用者不小心影響敏感性資源的機會。
減少在 Microsoft Purview 實例內具有寫入權限的使用者數目。 將集合管理員和資料編者角色的數目保持在根集合的最小值。
使用多重要素驗證和條件式存取
Azure Active Directory Multi-Factor Authentication 提供另一層安全性和驗證。 為了提高安全性,建議您針對所有特殊許可權帳戶強制執行 條件式存取 原則。
使用 Azure Active Directory 條件式存取原則,針對指派給 Microsoft Purview 角色並修改 Microsoft Purview 實例記憶體取權的所有個別使用者,在登入時套用 Azure AD Multi-Factor Authentication:收集管理員、資料來源管理員、資料編者。
為您的系統管理員帳戶啟用多重要素驗證,並確保系統管理員帳戶使用者已註冊 MFA。
您可以選取 Microsoft Purview 作為雲端應用程式來定義條件式存取原則。
防止意外刪除 Microsoft Purview 帳戶
在 Azure 中,您可以將 資源鎖定 套用至 Azure 訂用帳戶、資源群組或資源,以防止意外刪除或修改重要資源。
為您的 Microsoft Purview 帳戶啟用 Azure 資源鎖定,以防止意外刪除 Azure 訂用帳戶中的 Microsoft Purview 實例。
CanNotDelete新增或 ReadOnly 鎖定 Microsoft Purview 帳戶並不會防止 Microsoft Purview 資料平面內的刪除或修改作業,不過,它會防止控制平面中的任何作業,例如刪除 Microsoft Purview 帳戶、部署私人端點或設定診斷設定。
如需詳細資訊,請 參閱瞭解鎖定的範圍。
資源鎖定可以指派給 Microsoft Purview 資源群組或資源,不過,您無法將 Azure 資源鎖定指派給 Microsoft Purview 受控資源或受控資源群組。
實作急用策略
規劃 Azure Active Directory 租使用者、Azure 訂用帳戶和 Microsoft Purview 帳戶的急用策略,以防止全租使用者帳戶鎖定。
如需 Azure AD 和 Azure 緊急存取規劃的詳細資訊,請參閱 管理 Azure AD 中的緊急存取帳戶。
如需 Microsoft Purview 急用工具策略的詳細資訊,請參閱 Microsoft Purview 集合最佳做法和設計建議。
威脅防護和防止資料外泄
Microsoft Purview 提供您資料敏感度的豐富見解,讓安全性小組使用雲端Microsoft Defender來管理組織的安全性狀態,並防範其工作負載的威脅, 資料資源仍然是惡意執行者的熱門目標,因此安全性小組必須識別、排定優先順序,並保護其雲端環境中的敏感性資料資源。 為了解決此挑戰,我們宣佈雲端Microsoft Defender與公開預覽版 Microsoft Purview 之間的整合。
與適用于雲端的 Microsoft 365 和 Microsoft Defender 整合
通常,公司中安全性組織最大的挑戰之一,就是根據資產重要性和敏感度來識別和保護資產。 Microsoft 最近宣佈在公開預覽版中整合 Microsoft Purview 與雲端Microsoft Defender,以協助克服這些挑戰。
如果您已在 Microsoft Purview 中擴充資產和資料庫資料行的 Microsoft 365 敏感度標籤,您可以使用雲端的Microsoft Defender,根據偵測到的資產敏感度標籤來追蹤具有高度價值的資產、警示和建議。
針對建議,我們提供了 安全性控制 措施,協助您瞭解每個建議對於整體安全性狀態的重要性。 雲端Microsoft Defender包含每個控制項的安全分數值,可協助您排定安全性工作的優先順序。 深入瞭解 安全性控制項及其建議。
針對警示,我們已將 嚴重性標籤 指派給每個警示,以協助您排定每個警示處理順序的優先順序。 如需深入瞭解, 請參閱如何分類警示?。
如需詳細資訊,請參閱 整合 Microsoft Purview 與 Azure 安全性產品。
資訊保護
安全的中繼資料擷取和儲存
Microsoft Purview 是雲端中的資料控管解決方案。 您可以從內部部署、Azure 或多重雲端環境的各種資料系統,將不同的資料來源註冊並掃描到 Microsoft Purview。 在 Microsoft Purview 中註冊並掃描資料來源時,實際資料和資料來源會保留在其原始位置,只有中繼資料會從資料來源擷取並儲存在Microsoft Purview 資料對應中,這表示您不需要將資料移出區域或其原始位置,即可將中繼資料擷取至 Microsoft Purview。
此外,部署 Microsoft Purview 帳戶時,也會在您的 Azure 訂用帳戶中部署受控資源群組。 受控 Azure 儲存體帳戶會部署在此資源群組內。 受控儲存體帳戶可用來在掃描期間從資料來源擷取中繼資料。 由於這些資源是由 Microsoft Purview 取用,因此除了 Microsoft Purview 帳戶以外,任何其他使用者或主體都無法存取這些資源。 這是因為在 Microsoft Purview 帳戶部署時,會自動為此資源群組的所有主體新增 Azure 角色型存取控制 (RBAC) 拒絕指派,如果這些資源不是從 Microsoft Purview 起始,則會防止對這些資源執行任何 CRUD 作業。
中繼資料儲存在哪裡?
Microsoft Purview 只會將不同資料來源系統的中繼資料擷取到掃描程式期間Microsoft Purview 資料對應。
您可以在任何支援的 Azure 區域中的 Azure 訂用帳戶內部署 Microsoft Purview 帳戶。
所有中繼資料都會儲存在 Microsoft Purview 實例內的資料對應內。 這表示中繼資料會儲存在與 Microsoft Purview 實例相同的區域中。
如何從資料來源擷取中繼資料?
Microsoft Purview 可讓您使用下列任何選項,從資料來源擷取中繼資料:
Azure 執行時間。 中繼資料會擷取,並在與資料來源相同的區域內進行處理。
手動或自動掃描是透過 Azure 整合執行時間從Microsoft Purview 資料對應起始。
Azure 整合執行時間會連線到資料來源以擷取中繼資料。
中繼資料會在 Microsoft Purview 受控儲存體中排入佇列,並儲存在Azure Blob 儲存體中。
中繼資料會傳送至Microsoft Purview 資料對應。
自我裝載整合執行時間。 自我裝載整合執行時間會在自我裝載整合執行時間 VM 的記憶體記憶體內擷取和處理中繼資料,然後再將它們傳送至 Microsoft Purview 資料對應。 在此情況下,客戶必須在其 Azure 訂用帳戶或內部部署環境中部署和管理一或多個自我裝載整合執行時間 Windows 虛擬機器。 掃描內部部署和 VM 型資料來源一律需要使用自我裝載整合執行時間。 這些資料來源不支援 Azure 整合執行時間。 下列步驟顯示當您使用自我裝載整合執行時間掃描資料來源時,高層級的通訊流程。
會觸發手動或自動掃描。 Microsoft Purview 會連線到 Azure 金鑰保存庫以擷取認證以存取資料來源。
掃描是透過自我裝載整合執行時間從Microsoft Purview 資料對應起始。
來自 VM 的自我裝載整合執行時間服務會連線到資料來源以擷取中繼資料。
中繼資料會在自我裝載整合執行時間的 VM 記憶體中處理。 中繼資料會在 Microsoft Purview 受控儲存體中排入佇列,然後儲存在 Azure Blob 儲存體 中。
中繼資料會傳送至Microsoft Purview 資料對應。
如果您需要從敏感性資料無法離開內部部署網路界限的資料來源擷取中繼資料,強烈建議您在資料來源所在的公司網路內部署自我裝載整合執行時間 VM,以擷取和處理內部部署中的中繼資料,並只將中繼資料傳送至 Microsoft Purview。
會觸發手動或自動掃描。 Microsoft Purview 會連線到 Azure 金鑰保存庫以擷取認證以存取資料來源。
掃描是透過內部部署自我裝載整合執行時間起始。
來自 VM 的自我裝載整合執行時間服務會連線到資料來源以擷取中繼資料。
中繼資料會在自我裝載整合執行時間的 VM 記憶體中處理。 中繼資料會在 Microsoft Purview 受控儲存體中排入佇列,然後儲存在 Azure Blob 儲存體 中。 實際資料永遠不會離開網路的界限。
中繼資料會傳送至Microsoft Purview 資料對應。
資訊保護和加密
Azure 提供許多機制,讓資料保持在待用狀態,以及在資料從某個位置移至另一個位置時保持私密。 針對 Microsoft Purview,資料會使用 Microsoft 管理的金鑰進行待用加密,並在資料傳輸時使用傳輸層安全性 (TLS) v1.2 或更新版本。
傳輸層安全性 (傳輸中加密)
傳輸中的資料 (也稱為移動中的資料) 會在 Microsoft Purview 中加密。
為了在存取控制之外新增另一層安全性,Microsoft Purview 會使用傳輸層安全性 (TLS) 來加密移動中的資料,並保護傳輸中的資料免于受到流量擷取) 等「超出訊號範圍」攻擊 (保護客戶資料。 它會使用加密來確保攻擊者無法輕鬆地讀取或修改資料。
Microsoft Purview 支援傳輸中的資料加密,其傳輸層安全性 (TLS) v1.2 或更新版本。
如需詳細資訊,請參閱加密 傳輸中的敏感性資訊。
透明資料加密 (待用加密)
待用資料包含位於實體媒體上永續性儲存體中的任何數位格式資訊。 媒體可以包含磁性或光學媒體上的檔案、封存的資料,以及 Azure 區域內的資料備份。
為了在存取控制之外新增另一層安全性,Microsoft Purview 會加密待用資料,以防止「超出範圍」的攻擊 (例如存取基礎儲存體) 。 它會搭配 Microsoft 管理的金鑰使用加密。 此做法有助於確保攻擊者無法輕鬆地讀取或修改資料。
如需詳細資訊,請 參閱加密待用敏感性資料。
選擇性事件中樞命名空間設定
每個 Microsoft Purview 帳戶都可以設定可透過其 Atlas Kafka 端點存取的事件中樞。 您可以在 [組態] 底下或從Kafka設定下的Azure 入口網站啟用此功能。 只有在用來將事件散發到 Microsoft Purview 帳戶資料對應或外部時,才建議啟用選擇性的 Managed 事件中樞。 若要移除此資訊發佈點,請不要設定這些端點,或將其移除。
若要移除已設定的事件中樞命名空間,您可以遵循下列步驟:
- 在Azure 入口網站中搜尋並開啟您的 Microsoft Purview帳戶。
- 在Azure 入口網站的 Microsoft Purview 帳戶頁面上,選取 [設定] 底下的[Kafka組態]。
- 選取您要停用的事件中樞。 (攔截中樞會將訊息傳送至 Microsoft Purview。通知中樞會接收 notifications.)
- 選 取 [移除 ] 以儲存選擇並開始停用程式。 這可能需要幾分鐘的時間才能完成。
![此螢幕擷取畫面顯示Azure 入口網站中 Microsoft Purview 帳戶頁面的 [Kafka 設定] 頁面,其中已醒目提示 [移除] 按鈕。](media/concept-best-practices/select-remove.png)
注意事項
如果您在停用此事件中樞命名空間時有擷取私人端點,在停用擷取私人端點之後,可能會顯示為已中斷連線。
如需設定這些事件中樞命名空間的詳細資訊,請參閱: 設定 Atlas Kafka 的事件中樞主題
身分憑證管理
若要將中繼資料從資料來源系統擷取到Microsoft Purview 資料對應中,必須註冊和掃描Microsoft Purview 資料對應中的資料來源系統。 為了將此程式自動化,我們已在 Microsoft Purview 中為不同的資料來源系統提供可用的 連接器 ,以簡化註冊和掃描程式。
若要連線到資料來源,Microsoft Purview 需要具有資料來源系統唯讀存取權的認證。
建議您盡可能優先使用下列認證選項進行掃描:
- Microsoft Purview 受控識別
- 使用者指派的受控識別
- 服務主體
- 其他選項,例如帳戶金鑰、SQL 驗證等。
如果您使用任何選項,而不是受控識別,則所有認證都必須儲存在 Azure 金鑰保存庫內並受到保護。 Microsoft Purview 需要在 Azure 金鑰保存庫 資源上取得/列出秘密的存取權。
一般而言,您可以使用下列選項來設定整合執行時間,並使用認證來掃描資料來源系統:
| 案例 | 執行時間選項 | 支援的認證 |
|---|---|---|
| 資料來源是 Azure 平臺即服務,例如 Azure Data Lake Storage Gen 2 或公用網路內的Azure SQL | 選項 1:Azure 執行時間 | Microsoft Purview 受控識別、服務主體或存取金鑰/SQL 驗證 (視 Azure 資料來源類型而定) |
| 資料來源是 Azure 平臺即服務,例如 Azure Data Lake Storage Gen 2 或公用網路內的Azure SQL | 選項 2:自我裝載整合執行時間 | 服務主體或存取金鑰/SQL 驗證 (視 Azure 資料來源類型而定) |
| 資料來源是 Azure 平臺即服務,例如使用 Azure Private Link Service 在私人網路內Azure Data Lake Storage Gen 2 或Azure SQL | 自我裝載整合執行時間 | 服務主體或存取金鑰/SQL 驗證 (視 Azure 資料來源類型而定) |
| 資料來源位於 Azure IaaS VM 內,例如 SQL Server | 部署在 Azure 中的自我裝載整合執行時間 | SQL 驗證或基本驗證 (視 Azure 資料來源類型而定) |
| 資料來源位於內部部署系統內,例如 SQL Server 或 Oracle | 部署在 Azure 或內部部署網路中的自我裝載整合執行時間 | SQL 驗證或基本驗證 (視 Azure 資料來源類型而定) |
| 多重雲端 | 以資料來源類型為基礎的 Azure 執行時間或自我裝載整合執行時間 | 支援的認證選項會根據資料來源類型而有所不同 |
| Power BI 租使用者 | Azure 執行時間 | Microsoft Purview 受控識別 |
使用 本指南 深入瞭解每個來源及其支援的驗證選項。
其他建議
套用自我裝載執行時間 VM 的安全性最佳做法
如果使用自我裝載整合執行時間來掃描 Microsoft Purview 中的資料來源,請考慮保護 Azure 或內部部署環境中自我裝載整合執行時間 VM 的部署和管理。
針對在 Azure 中部署為虛擬機器的自我裝載整合執行時間 VM,請遵循 Windows 虛擬機器的安全性最佳做法建議。
- 使用網路安全性群組和 Azure Defender 存取 Just-In-Time來鎖定 VM 的輸入流量。
- 安裝防毒軟體或反惡意程式碼軟體。
- 部署 Azure Defender 以深入瞭解 VM 上任何潛在的異常狀況。
- 限制自我裝載整合執行時間 VM 中的軟體數量。 雖然針對 Microsoft Purview 的自我裝載執行時間擁有專用 VM 並非必要需求,但我們強烈建議使用專用 VM,特別是針對生產環境。
- 使用 適用於 VM 的 Azure 監視器監視 VM。 藉由使用 Log Analytics 代理程式,您可以擷取效能計量等內容,以調整 VM 所需的容量。
- 藉由整合虛擬機器與適用于雲端的Microsoft Defender,您可以防止、偵測及回應威脅。
- 讓您的電腦保持最新狀態。 您可以啟用自動Windows Update,或在Azure 自動化中使用更新管理來管理作業系統的作業系統層級更新。
- 使用多部機器來提升復原能力和可用性。 您可以部署和註冊多個自我裝載整合執行時間,將掃描分散到多部自我裝載整合執行時間機器,或在虛擬機器擴展集上部署自我裝載整合執行時間,以取得更高的備援和延展性。
- 或者,您可以規劃從自我裝載整合執行時間 VM 啟用 Azure 備份,以在發生 VM 層級災害時增加自我裝載整合執行時間 VM 的復原時間。