教學課程:大規模檢查資料來源整備程度
若要掃描資料來源,Microsoft Purview 需要存取它們。 它會使用認證來取得此存取權。 認證是 Microsoft Purview 可用來向已註冊資料來源進行驗證的驗證資訊。 有幾種方式可以設定 Microsoft Purview 的認證,包括:
- 指派給 Microsoft Purview 帳戶的受控識別。
- 儲存在 Azure 金鑰保存庫中的秘密。
- 服務主體。
在此兩部分教學課程系列中,我們將協助您大規模驗證和設定 Azure 訂用帳戶中各種 Azure 資料來源所需的 Azure 角色指派和網路存取。 然後,您可以在 Microsoft Purview 中註冊和掃描 Azure 資料來源。
部署 Microsoft Purview 帳戶之後,以及在註冊和掃描 Azure 資料來源之前,執行 Microsoft Purview 資料來源整備檢查清單 腳本。
在本教學課程系列的第 1 部分中,您將:
- 找出您的資料來源,並準備資料來源訂用帳戶清單。
- 執行整備檢查清單腳本,以尋找在 Azure 中跨資料來源的 RBAC) 或網路設定 (遺失的角色型存取控制。
- 在輸出報表中,檢閱 Microsoft Purview 受控識別 (MSI) 所需的遺漏網絡設定和角色指派。
- 與資料 Azure 訂用帳戶擁有者共用報表,讓他們可以採取建議的動作。
必要條件
- 資料來源所在的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前 建立免費帳戶 。
- Microsoft Purview 帳戶。
- 每個訂用帳戶中具有資料來源的 Azure 金鑰保存庫資源,例如 Azure SQL Database、Azure Synapse Analytics 或 Azure SQL 受控執行個體。
- Microsoft Purview 資料來源整備檢查清單腳本。
注意事項
Microsoft Purview 資料來源整備檢查清單僅適用于 Windows。 Microsoft Purview MSI 目前支援此整備檢查清單腳本。
準備資料來源的 Azure 訂用帳戶清單
執行腳本之前,請先建立 .csv 檔案 (例如,C:\temp\Subscriptions.csv) 四個數據行:
| 欄名稱 | 描述 | 範例 |
|---|---|---|
SubscriptionId |
資料來源的 Azure 訂用帳戶識別碼。 | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
部署在資料來源訂用帳戶中的現有金鑰保存庫名稱。 | ContosoDevKeyVault |
SecretNameSQLUserName |
現有 Azure 金鑰保存庫密碼的名稱,其中包含 Azure ACTIVE Directory (Azure AD) 使用者名稱,可使用 Azure AD 驗證登入 Azure Synapse、Azure SQL Database 或 Azure SQL 受控執行個體。 | ContosoDevSQLAdmin |
SecretNameSQLPassword |
現有 Azure 金鑰保存庫密碼的名稱,其中包含可使用 Azure AD 驗證登入 Azure Synapse、Azure SQL Database 或 Azure SQL 受控執行個體 的 Azure AD 使用者密碼。 | ContosoDevSQLPassword |
範例 .csv 檔案:
注意事項
如有需要,您可以更新程式碼中的檔案名和路徑。
執行腳本並安裝必要的 PowerShell 模組
請遵循下列步驟,從您的 Windows 電腦執行腳本:
將 Microsoft Purview 資料來源整備檢查清單 腳本下載到您選擇的位置。
在您的電腦上,于 Windows 工作列上的搜尋方塊中輸入 PowerShell 。 在搜尋清單中,選取並按住 (或以滑鼠右鍵按一下) Windows PowerShell,然後選取 [以系統管理員身分執行]。
在 PowerShell 視窗中,輸入下列命令。 (將 取代
<path-to-script>為擷取腳本檔案的資料夾路徑。)dir -Path <path-to-script> | Unblock-File輸入下列命令以安裝 Azure Cmdlet:
Install-Module -Name Az -AllowClobber -Scope CurrentUser如果您看到需要 NuGet 提供者的提示才能繼續,請輸入 Y,然後選取 Enter。
如果您看到 [ 未受信任的存放庫] 提示,請輸入 A,然後選取 Enter。
重複上述步驟來安裝
Az.Synapse和AzureAD模組。
可能需要一分鐘的時間,PowerShell 才能安裝必要的模組。
收集執行腳本所需的其他資料
執行 PowerShell 腳本以確認資料來源訂閱的整備程度之前,請先取得下列引數的值,以用於腳本中:
AzureDataType:選擇下列任一選項作為您的資料來源類型,以檢查訂用帳戶中資料類型的整備程度:BlobStorageAzureSQLMIAzureSQLDBADLSGen2ADLSGen1SynapseAll
PurviewAccount:您現有的 Microsoft Purview 帳戶資源名稱。PurviewSub:Microsoft Purview 帳戶部署所在的訂用帳戶識別碼。
確認您的許可權
請確定您的使用者具有下列角色和許可權:
| 角色或許可權 | 範圍 |
|---|---|
| 全域讀取者 | Azure AD 租使用者 |
| 讀者 | Azure 資料來源所在的 Azure 訂用帳戶 |
| 讀者 | 建立 Microsoft Purview 帳戶的訂用帳戶 |
| SQL 管理員 (Azure AD 驗證) | Azure Synapse專用集區、Azure SQL資料庫實例、Azure SQL受控實例 |
| 存取您的 Azure 金鑰保存庫 | 存取/列出金鑰保存庫的秘密或 Azure 金鑰保存庫秘密使用者 |
執行用戶端整備腳本
完成下列步驟來執行腳本:
使用下列命令移至腳本的資料夾。 將 取代
<path-to-script>為解壓縮檔案的資料夾路徑。cd <path-to-script>執行下列命令來設定本機電腦的執行原則。 當系統提示您變更執行原則時,請針對 [全部是] 輸入A。
Set-ExecutionPolicy -ExecutionPolicy Unrestricted使用下列參數執行腳本。
DataType取代 、PurviewName和SubscriptionID預留位置。.\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>當您執行命令時,快顯視窗可能會出現兩次,提示您使用 Azure Active Directory 認證登入 Azure 和 Azure AD。
建立報告可能需要幾分鐘的時間,視環境中的 Azure 訂用帳戶和資源數目而定。
程式完成之後,請檢閱輸出報告,其中示範在 Azure 訂用帳戶或資源中偵測到的遺漏設定。 結果可以顯示為 [已傳遞]、 [未傳遞]或 [ 感知]。 您可以與組織中對應的訂用帳戶管理員共用結果,讓他們可以設定必要的設定。
其他相關資訊
腳本支援哪些資料來源?
腳本目前支援下列資料來源:
- Azure Blob 儲存體 (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Azure SQL資料庫 (AzureSQLDB)
- Azure SQL 受控執行個體 (AzureSQLMI)
- Azure Synapse (Synapse) 專用集區
當您執行腳本時,您可以選擇所有這些資料來源或任一資料來源作為輸入參數。
結果中包含哪些檢查?
Azure Blob 儲存體 (BlobStorage)
- Rbac。 檢查是否已在所選範圍下方的每個訂用帳戶中,將 儲存體 Blob 資料讀取器 角色指派給 Microsoft Purview MSI。
- Rbac。 檢查 Microsoft Purview MSI 是否獲指派所選範圍的 讀者 角色。
- 服務端點。 檢查服務端點是否開啟,並檢查是否已啟用 [允許受信任的 Microsoft 服務存取此儲存體帳戶 ]。
- 網路:檢查是否為儲存體建立私人端點,並啟用 Blob 儲存體。
Azure Data Lake Storage Gen2 (ADLSGen2)
- Rbac。 檢查是否已在所選範圍下方的每個訂用帳戶中,將 儲存體 Blob 資料讀取器 角色指派給 Microsoft Purview MSI。
- Rbac。 檢查 Microsoft Purview MSI 是否獲指派所選範圍的 讀者 角色。
- 服務端點。 檢查服務端點是否開啟,並檢查是否已啟用 [允許受信任的 Microsoft 服務存取此儲存體帳戶 ]。
- 網路:檢查是否為儲存體建立私人端點,並啟用 Blob 儲存體。
Azure Data Lake Storage Gen1 (ADLSGen1)
- 網路。 檢查服務端點是否開啟,並檢查是否已啟用[允許所有 Azure 服務存取此Data Lake Storage Gen1帳戶]。
- 許可權。 檢查 Microsoft Purview MSI 是否具有讀取/執行許可權。
Azure SQL資料庫 (AzureSQLDB)
SQL Server實例:
- 網路。 檢查公用端點或私人端點是否已啟用。
- 防火牆。 檢查是否已啟用 [允許 Azure 服務和資源存取此伺服器 ]。
- Azure AD 系統管理。 檢查Azure SQL伺服器是否有 Azure AD 驗證。
- Azure AD 系統管理。 填入 Azure SQL Server Azure AD 系統管理員使用者或群組。
SQL 資料庫:
- SQL 角色。 檢查 Microsoft Purview MSI 是否獲指派 db_datareader 角色。
Azure SQL 受控執行個體 (AzureSQLMI)
SQL 受管理執行個體伺服器:
- 網路。 檢查公用端點或私人端點是否已啟用。
- ProxyOverride。 檢查Azure SQL 受控執行個體是否設定為 Proxy 或重新導向。
- 網路。 檢查 NSG 是否有允許 AzureCloud 通過必要端口的輸入規則:
- 重新導向:1433 和 11000-11999
或 - Proxy:3342
- 重新導向:1433 和 11000-11999
- Azure AD 系統管理。 檢查Azure SQL伺服器是否有 Azure AD 驗證。
- Azure AD 系統管理。 填入 Azure SQL Server Azure AD 系統管理員使用者或群組。
SQL 資料庫:
- SQL 角色。 檢查 Microsoft Purview MSI 是否獲指派 db_datareader 角色。
Azure Synapse (Synapse) 專用集區
Rbac。 檢查是否已在所選範圍下方的每個訂用帳戶中,將 儲存體 Blob 資料讀取器 角色指派給 Microsoft Purview MSI。
Rbac。 檢查 Microsoft Purview MSI 是否獲指派所選範圍的 讀者 角色。
SQL Server (專用集區的實例) :
- 網路:檢查公用端點或私人端點是否已啟用。
- 防火牆:檢查是否已啟用 [允許 Azure 服務和資源存取此伺服器 ]。
- Azure AD 管理:檢查Azure SQL伺服器是否有 Azure AD 驗證。
- Azure AD 系統管理:填入 Azure SQL Server Azure AD 系統管理員使用者或群組。
SQL 資料庫:
- SQL 角色。 檢查 Microsoft Purview MSI 是否獲指派 db_datareader 角色。
後續步驟
在本教學課程中,您已瞭解如何:
- 執行 Microsoft Purview 整備檢查清單,以大規模檢查您的 Azure 訂用帳戶是否缺少設定,然後再于 Microsoft Purview 中註冊並掃描它們。
移至下一個教學課程,以瞭解如何識別必要的存取權,並針對跨 Azure 資料來源的 Microsoft Purview 設定必要的驗證和網路規則:
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: