在 Microsoft Purview 中探索及控管多個 Azure 來源
本文概述如何註冊多個 Azure 來源,以及如何在 Microsoft Purview 中驗證和與其互動。 如需 Microsoft Purview 的詳細資訊,請閱讀 簡介文章。
支援的功能
| 中繼資料擷取 | 完整掃描 | 增量掃描 | 限域掃描 | 分類 | 加標籤 | 存取原則 | 血統 | 資料共用 | 即時檢視 |
|---|---|---|---|---|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 | 來源相依 | 是 | 來源相依 | 否 | 受限 |
必要條件
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
使用中的 Microsoft Purview 帳戶。
您必須是資料來源系統管理員和資料讀取器,才能在 Microsoft Purview 治理入口網站中註冊來源及進行管理。 如需詳細資訊,請參閱我們的 Microsoft Purview 許可權頁面 。
登錄
本節說明如何使用 Microsoft Purview 治理入口網站,在 Microsoft Purview中註冊多個 Azure 來源。
註冊的必要條件
Microsoft Purview 需要能夠列出訂用帳戶或資源群組下資源的許可權。
- 移至訂用帳戶或Azure 入口網站中的資源群組。
- 從左側功能表中選取 [存取控制 (IAM) ]。
- 選取 [+新增]。
- 在 [ 選取輸入] 方塊中,選取 [讀取者 ] 角色,然後輸入您的 Microsoft Purview 帳戶名稱 (代表其 MSI 檔案名) 。
- 選 取 [儲存 ] 以完成角色指派。 這可讓 Microsoft Purview 列出訂用帳戶或資源群組下的資源。
註冊的驗證
有兩種方式可在 Azure 中設定多個來源的驗證:
- 受控識別
- 服務主體
您必須在您想要註冊和掃描的訂用帳戶或資源群組內的每個資源上設定驗證。 Azure 儲存體資源類型 (Azure Blob 儲存體 和Azure Data Lake Storage Gen2) 可讓您在訂用帳戶或資源群組層級新增 MSI 檔案或服務主體,作為儲存體 Blob 資料讀取器,讓您輕鬆。 然後,許可權會向下流覽至該訂用帳戶或資源群組內的每個儲存體帳戶。 對於所有其他資源類型,您必須在每個資源上套用 MSI 檔案或服務主體,或建立腳本來執行此動作。
若要瞭解如何在訂用帳戶或資源群組內的每個資源類型上新增許可權,請參閱下列資源:
- Azure Blob 儲存體
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure SQL Database
- Azure SQL 受控執行個體
- Azure Synapse Analytics
註冊步驟
透過下列方式開啟 Microsoft Purview 治理入口網站:
- 直接流覽並 https://web.purview.azure.com 選取您的 Microsoft Purview 帳戶。
- 開啟Azure 入口網站,搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站] 按鈕。
選取左側功能表上的 [資料對應 ]。
選取 [登錄]。
在 [註冊來源] 上,選 取 [Azure (多個) 。
選取 [繼續]。
在 [ 註冊來源 (Azure) 畫面上,執行下列動作:
在 [ 名稱] 方 塊中,輸入資料來源將在目錄中列出的名稱。
在 [ 管理] 群組 方塊中,選擇性地選擇要向下篩選的管理群組。
在 [ 訂用帳戶 ] 和 [ 資源群組] 下拉式清單方塊中,分別選取訂用帳戶或特定資源群組。 註冊範圍會設定為選取的訂用帳戶或資源群組。
在 [ 選取集合] 方塊中,選取集合或建立新的集合 (選擇性) 。
選 取 [註冊 ] 以註冊資料來源。
掃描
重要事項
目前,僅支援使用 Azure 整合執行時間掃描多個 Azure 來源,因此只有允許防火牆上公用存取的 Microsoft Purview 帳戶可以使用此選項。
請遵循下列步驟來掃描多個 Azure 來源,以自動識別資產並分類您的資料。 如需一般掃描的詳細資訊,請參閱 掃描和擷取簡介。
建立和執行掃描
若要建立並執行新的掃描,請執行下列動作:
在 Microsoft Purview 治理入口網站的左窗格中,選取 [ 資料對 應] 索引標籤。
選取您註冊的資料來源。
選取 [檢視詳細資料>+ 新增掃描],或使用來源磚上的[掃描快速動作] 圖示。
針對 [名稱],填入名稱。
針對 [類型],選取您要在此來源內掃描的資源類型。 選擇下列其中一個選項:
- 將它保留為 All。 此選取範圍包含未來可能不存在該訂用帳戶或資源群組內的資源類型。
- 使用方塊來特別選取您要掃描的資源類型。 如果您選擇此選項,除非未來明確編輯掃描,否則未來可能會在此訂用帳戶或資源群組內建立的資源類型將不會包含在掃描中。
選取要連線到資料來源內資源的認證:
- 您可以在父層級選取認證做為 MSI 檔案,也可以選取特定服務主體類型的認證。 然後,您可以將該認證用於訂用帳戶或資源群組下的所有資源類型。
- 您可以特別選取資源類型,並為該資源類型套用不同的認證。
每個認證都會被視為特定類型下所有資源的驗證方法。 您必須在資源上設定所選的認證,才能成功掃描它們,如 本文稍早所述。
在每個類型中,您可以選取掃描所有資源,或依名稱掃描其子集:
- 如果您將選項保留為 [全部],則未來掃描回合也會掃描該類型的未來資源。
- 如果您選取特定儲存體帳戶或 SQL 資料庫,則除非未來明確編輯掃描,否則在此訂用帳戶或資源群組內建立之類型的未來資源將不會包含在掃描中。
選 取 [測試連線]。 這會先測試存取權,以檢查您是否已在訂用帳戶或資源群組上以讀取者身分套用 Microsoft Purview MSI 檔案。 如果您收到錯誤訊息,請遵循 這些指示 加以解決。 然後,它會測試您對每個所選來源的驗證和連線,並產生報告。 選取的來源數目會影響產生此報告所需的時間。 如果某些資源失敗,將滑鼠停留在 X 圖示上方會顯示詳細的錯誤訊息。
![顯示掃描設定滑杆的螢幕擷取畫面,其中已醒目提示 [測試連線] 按鈕。](media/register-scan-azure-multiple-sources/test-connection.png)
通過測試連線之後,選取 [ 繼續 ] 繼續進行。
針對您在上一個步驟中選擇的每個資源類型,選取掃描規則集。 您也可以建立內嵌掃描規則集。
選擇掃描觸發程式。 您可以將它排程為每週、每月或一次執行。
檢閱您的掃描,然後選取 [儲存 ] 以完成設定。
檢視掃描和掃描執行
選取 [資料對應] 區段下圖格上的 [檢視詳細資料],以檢視來源詳細資料。
移至 [掃描詳細資料] 頁面以檢視掃描 執行詳細 資料。
狀態列是子資源執行狀態的簡短摘要。 它會顯示在訂用帳戶層級或資源群組層級上。 色彩具有下列意義:
- 綠色:掃描成功。
- 紅色:掃描失敗。
- 灰色:掃描仍在進行中。
您可以選取每個掃描來檢視更精細的詳細資料。
檢視來源詳細資料底部最近失敗的掃描執行摘要。 您也可以檢視這些執行的更細微詳細資料。
管理掃描:編輯、刪除或取消
若要管理掃描,請執行下列動作:
移至管理中心。
在 [來源和掃描] 區段下選取 [資料來源],然後選取所需的資料來源。
選取您要管理的掃描。 然後:
- 您可以選取 [ 編輯] 來編輯掃描。
- 您可以 選取[刪除] 來刪除掃描。
- 如果掃描正在執行,您可以選取 [取消] 來 取消掃描。
存取原則
支援的原則
Microsoft Purview 支援此資料資源的下列原則類型:
Azure 儲存體帳戶上的存取原則必要條件
若要能夠從 Microsoft Purview 強制執行原則,必須先設定資源群組或訂用帳戶下的資料來源。 指示會根據資料來源類型而有所不同。 請在 Microsoft Purview 連接器檔的 [存取原則] 連結下,檢閱它們是否支援 Microsoft Purview 原則,如果支援,則請檢閱啟用這些原則的特定指示。
設定原則的 Microsoft Purview 帳戶
在 Microsoft Purview 中註冊資料來源
您必須先在 Microsoft Purview Studio 中註冊該資料資源,才能在 Microsoft Purview 中建立資料資源的原則。 您稍後會在本指南中找到與註冊資料資源相關的指示。
注意事項
Microsoft Purview 原則依賴資料資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後再次在 Microsoft Purview 中註冊。
設定許可權以啟用資料來源的資料使用管理
註冊資源之後,但在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟 用資料使用管理。 這適用于資料來源、資源群組或訂用帳戶。 若要啟 用資料使用管理,您必須 同時 擁有資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取系統管理員
若要 (RBAC) 許可權設定 Azure 角色型存取控制,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取資料資源Azure 入口網站中的 [存取控制] 區段,以新增角色指派。
注意事項
資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Azure AD 使用者、群組和服務主體持有或繼承資源的 IAM 擁有者 角色。
如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 資料來源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南。
下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:
- 原則 作者 角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
- 原則 作者 角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主體時輕鬆搜尋 Azure AD 使用者或群組,您可以從取得 Azure AD 中的目錄讀 取者許可權中獲益。 這是 Azure 租使用者中使用者的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入資料原則主體中所包含之所有主體的完整使用者名稱或電子郵件。
設定發佈資料擁有者原則的 Microsoft Purview 許可權
如果您將 Microsoft Purview 原則 作者 和 資料來源系統管理員 角色指派給組織中的不同人員,資料擁有者原則允許檢查和平衡。 資料擁有者原則生效之前, (資料來源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。
若要發佈資料擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的資料來源管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在Microsoft Purview 資料對應中建立和管理集合。
注意事項
若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資料 使用管理的資源之後,任何在根集合層級具有原則 作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。
注意事項
任何 Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的資料 源系統管理員 角色。 將擔任 Microsoft Purview 集合系統管理員、 資料來源系統管理員或原則 作者 角色的使用者降到最低並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則會在相依于特定資料來源的一段時間內停止強制執行。 這項變更可能會影響安全性和資料存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶 的 [存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過Resource Manager鎖定刪除 Microsoft Purview 帳戶。
在 Microsoft Purview 中註冊資料來源以進行資料使用管理
您必須先向 Microsoft Purview 註冊 Azure 訂用帳戶或資源群組,才能建立存取原則。 若要註冊您的資源,請遵循本指南 的必要條件 和 註冊 章節:
註冊資料資源之後,您必須啟用資料使用管理。 這是您在資料資源上建立原則之前的必要條件。 資料使用管理可能會影響資料的安全性,因為它會委派給管理資料來源存取權的特定 Microsoft Purview 角色。 請參閱本指南中與資料使用管理相關的安全做法: 如何啟用資料使用管理
一旦您的資料來源將 [ 資料使用管理 ] 選項設定為 [ 已啟用],它看起來會像下列螢幕擷取畫面: ![螢幕擷取畫面顯示如何使用 [資料使用管理集] 選項來註冊原則的資料來源。](media/how-to-policies-data-owner-resource-group/enable-policy-enforcement-resource-group.png)
建立原則
若要在整個 Azure 訂用帳戶或資源群組上建立存取原則,請遵循下列指南:
後續步驟
現在您已註冊來源,請遵循下列指南來深入瞭解 Microsoft Purview 和您的資料。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: