教學課程:大規模設定 Microsoft Purview MSI 的資料來源存取
若要掃描資料來源,Microsoft Purview 需要存取它們。 本教學課程適用于 Azure 訂用帳戶擁有者和 Microsoft Purview 資料來源管理員。 它可協助您識別必要的存取權,並針對跨 Azure 資料來源的 Microsoft Purview 設定必要的驗證和網路規則。
在本教學課程系列的第 2 部分中,您將:
- 找出您的資料來源,並準備資料來源訂用帳戶清單。
- 執行腳本,以在 Azure 中跨資料來源設定任何遺漏的角色型存取控制 (RBAC) 或必要的網路設定。
- 檢閱輸出報表。
必要條件
- 資料來源所在的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前 建立免費帳戶 。
- Microsoft Purview 帳戶。
- 每個訂用帳戶中具有資料來源的 Azure 金鑰保存庫資源,例如 Azure SQL Database、Azure Synapse Analytics 或 Azure SQL 受控執行個體。
- Microsoft Purview MSI 組態腳本。
注意事項
Microsoft Purview MSI 設定腳本僅適用于 Windows。 Microsoft Purview 受控識別 (MSI) 目前支援此腳本。
重要事項
強烈建議您先測試並確認腳本在 Azure 環境中執行的所有變更,再將其部署至生產環境。
準備資料來源的 Azure 訂用帳戶清單
執行腳本之前,請先建立 .csv 檔案 (例如「C:\temp\Subscriptions.csv) 四個數據行:
欄名稱 | 描述 | 範例 |
---|---|---|
SubscriptionId |
資料來源的 Azure 訂用帳戶識別碼。 | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
部署在資料來源訂用帳戶中的現有金鑰保存庫名稱。 | ContosoDevKeyVault |
SecretNameSQLUserName |
現有 Azure 金鑰保存庫密碼的名稱,其中包含 Azure ACTIVE Directory (Azure AD) 使用者名稱,可使用 Azure AD 驗證登入 Azure Synapse、Azure SQL Database 或 Azure SQL 受控執行個體。 | ContosoDevSQLAdmin |
SecretNameSQLPassword |
現有 Azure 金鑰保存庫密碼的名稱,其中包含可使用 Azure AD 驗證登入 Azure Synapse、Azure SQL Database 或 Azure SQL 受控執行個體 的 Azure AD 使用者密碼。 | ContosoDevSQLPassword |
範例 .csv 檔案:
注意事項
如有需要,您可以更新程式碼中的檔案名和路徑。
執行腳本並安裝必要的 PowerShell 模組
請遵循下列步驟,從您的 Windows 電腦執行腳本:
將 Microsoft Purview MSI 組態 腳本下載到您選擇的位置。
在您的電腦上,于 Windows 工作列上的搜尋方塊中輸入 PowerShell 。 在搜尋清單中,選取並按住 (或以滑鼠右鍵按一下) Windows PowerShell,然後選取 [以系統管理員身分執行]。
在 PowerShell 視窗中,輸入下列命令。 (將 取代
<path-to-script>
為擷取腳本檔案的資料夾路徑。)dir -Path <path-to-script> | Unblock-File
輸入下列命令以安裝 Azure Cmdlet:
Install-Module -Name Az -AllowClobber -Scope CurrentUser
如果您看到需要 NuGet 提供者的提示才能繼續,請輸入 Y,然後選取 Enter。
如果您看到 [ 未受信任的存放庫] 提示,請輸入 A,然後選取 Enter。
重複上述步驟來安裝
Az.Synapse
和AzureAD
模組。
可能需要一分鐘的時間,PowerShell 才能安裝必要的模組。
收集執行腳本所需的其他資料
執行 PowerShell 腳本以確認資料來源訂閱的整備程度之前,請先取得下列引數的值,以用於腳本中:
AzureDataType
:選擇下列任一選項作為您的資料來源類型,以檢查訂用帳戶中資料類型的整備程度:BlobStorage
AzureSQLMI
AzureSQLDB
ADLSGen2
ADLSGen1
Synapse
All
PurviewAccount
:您現有的 Microsoft Purview 帳戶資源名稱。PurviewSub
:Microsoft Purview 帳戶部署所在的訂用帳戶識別碼。
確認您的許可權
請確定您的使用者具有下列角色和許可權:
您至少需要下列許可權,才能在 Azure 環境中執行腳本:
角色 | 範圍 | 為什麼需要它? |
---|---|---|
全域讀取者 | Azure AD 租使用者 | 若要讀Azure SQL 管理員使用者群組成員資格和 Microsoft Purview MSI |
全域管理員 | Azure AD 租使用者 | 將目錄讀取者角色指派給Azure SQL受控實例 |
投稿者 | 建立 Microsoft Purview 帳戶的訂用帳戶或資源群組 | 若要讀取 Microsoft Purview 帳戶資源,並建立金鑰保存庫資源和秘密 |
擁有者或使用者存取系統管理員 | Azure 資料來源所在的管理群組或訂用帳戶 | 指派 RBAC |
投稿者 | Azure 資料來源所在的管理群組或訂用帳戶 | 設定網路組態 |
SQL 管理員 (Azure AD 驗證) | Azure SQL伺服器實例或Azure SQL受控實例 | 將 db_datareader 角色指派給 Microsoft Purview |
存取您的 Azure 金鑰保存庫 | 存取Azure SQL資料庫、Azure SQL 受控執行個體或Azure Synapse驗證的取得/列出金鑰保存庫密碼 |
執行用戶端整備腳本
完成下列步驟來執行腳本:
使用下列命令移至腳本的資料夾。 將 取代
<path-to-script>
為解壓縮檔案的資料夾路徑。cd <path-to-script>
執行下列命令來設定本機電腦的執行原則。 當系統提示您變更執行原則時,請針對 [全部是] 輸入A。
Set-ExecutionPolicy -ExecutionPolicy Unrestricted
使用下列參數執行腳本。
DataType
取代 、PurviewName
和SubscriptionID
預留位置。.\purview-msi-configuration.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>
當您執行命令時,快顯視窗可能會出現兩次,提示您使用 Azure Active Directory 認證登入 Azure 和 Azure AD。
建立報告可能需要幾分鐘的時間,視環境中的 Azure 訂用帳戶和資源數目而定。
如果金鑰保存庫中的認證不相符,系統可能會提示您登入Azure SQL伺服器實例。 您可以提供認證,或選 取 Enter 略過特定伺服器。
程式完成之後,檢視輸出報表以檢閱變更。
其他相關資訊
腳本支援哪些資料來源?
腳本目前支援下列資料來源:
- Azure Blob 儲存體 (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Azure SQL資料庫 (AzureSQLDB)
- Azure SQL 受控執行個體 (AzureSQLMI)
- Azure Synapse (Synapse) 專用集區
當您執行腳本時,您可以選擇所有這些資料來源或任一資料來源作為輸入參數。
腳本中包含哪些設定?
此腳本可協助您自動完成下列工作:
Azure Blob 儲存體 (BlobStorage)
- Rbac。 將 Azure RBAC 讀者 角色指派給所選範圍上的 Microsoft Purview MSI。 確認指派。
- Rbac。 在所選範圍下方的每個訂用帳戶中,將 Azure RBAC 儲存體 Blob 資料讀取器 角色指派給 Microsoft Purview MSI。 確認指派。
- 網路。 報告是否為儲存體建立私人端點,並啟用 Blob 儲存體。
- 服務端點。 如果私人端點關閉,請檢查服務端點是否開啟,並啟用 [允許受信任的 Microsoft 服務存取此儲存體帳戶]。
Azure Data Lake Storage Gen2 (ADLSGen2)
- Rbac。 將 Azure RBAC 讀者 角色指派給所選範圍上的 Microsoft Purview MSI。 確認指派。
- Rbac。 在所選範圍下方的每個訂用帳戶中,將 Azure RBAC 儲存體 Blob 資料讀取器 角色指派給 Microsoft Purview MSI。 確認指派。
- 網路。 報告是否為儲存體建立私人端點,並啟用 Blob 儲存體。
- 服務端點。 如果私人端點關閉,請檢查服務端點是否開啟,並啟用 [允許受信任的 Microsoft 服務存取此儲存體帳戶]。
Azure Data Lake Storage Gen1 (ADLSGen1)
- 網路。 確認服務端點已開啟,並啟用 [允許所有 Azure 服務存取此Data Lake Storage Gen1帳戶] Data Lake Storage。
- 許可權。 將讀取/執行存取權指派給 Microsoft Purview MSI。 確認存取權。
Azure SQL資料庫 (AzureSQLDB)
SQL Server實例:
- 網路。 報告公用端點或私人端點是否已啟用。
- 防火牆。 如果私人端點關閉,請確認防火牆規則,並啟用 [允許 Azure 服務和資源存取此伺服器]。
- Azure AD 系統管理。 啟用 Azure SQL Database 的 Azure AD 驗證。
SQL 資料庫:
- SQL 角色。 將 db_datareader 角色指派給 Microsoft Purview MSI。
Azure SQL 受控執行個體 (AzureSQLMI)
SQL 受管理執行個體伺服器:
網路。 確認公用端點或私人端點已開啟。 報告公用端點是否關閉。
ProxyOverride。 確認Azure SQL 受控執行個體已設定為 Proxy 或重新導向。
網路。 更新 NSG 規則,以允許 AzureCloud 透過必要端口存取SQL Server實例:
- 重新導向:1433 和 11000-11999
或
- Proxy:3342
確認此存取權。
Azure AD 系統管理。 為Azure SQL 受控執行個體啟用 Azure AD 驗證。
SQL 資料庫:
- SQL 角色。 將 db_datareader 角色指派給 Microsoft Purview MSI。
Azure Synapse (Synapse) 專用集區
Rbac。 將 Azure RBAC 讀者 角色指派給所選範圍上的 Microsoft Purview MSI。 確認指派。
Rbac。 在所選範圍下方的每個訂用帳戶中,將 Azure RBAC 儲存體 Blob 資料讀取器 角色指派給 Microsoft Purview MSI。 確認指派。
SQL Server (專用集區的實例) :
- 網路。 報告公用端點或私人端點是否開啟。
- 防火牆。 如果私人端點關閉,請確認防火牆規則,並啟用 [允許 Azure 服務和資源存取此伺服器]。
- Azure AD 系統管理。 啟用 Azure SQL Database 的 Azure AD 驗證。
SQL 資料庫:
- SQL 角色。 將 db_datareader 角色指派給 Microsoft Purview MSI。
後續步驟
在本教學課程中,您已瞭解如何:
- 識別必要的存取權,並針對跨 Azure 資料來源的 Microsoft Purview 設定必要的驗證和網路規則。
移至下一個教學課程,以瞭解如何 在 Microsoft Purview 中註冊和掃描多個來源。
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: