Microsoft Purview 中來源驗證的認證

本文說明如何在 Microsoft Purview 中建立認證。 這些已儲存的認證可讓您快速重複使用，並將儲存的驗證資訊套用至資料來源掃描。

必要條件

• Azure 金鑰保存庫。 若要瞭解如何建立金鑰保存庫，請參閱快速入門：使用Azure 入口網站建立金鑰保存庫。

簡介

認證是 Microsoft Purview 可用來向已註冊資料來源進行驗證的驗證資訊。 您可以針對各種類型的驗證案例建立認證物件，例如需要使用者名稱/密碼的基本驗證。 根據選擇的驗證方法類型，擷取驗證所需的認證擷取特定資訊。 認證會使用現有的 Azure Key Vault 秘密，在認證建立程式期間擷取敏感性驗證資訊。

在 Microsoft Purview 中，有幾個選項可用來作為驗證方法來掃描資料來源，例如下列選項。 從每個 資料來源文章 中瞭解其支援的驗證。

• Microsoft Purview 系統指派的受控識別
• 使用者指派的受控識別 (預覽)
• 使用 金鑰保存庫) 的帳戶金鑰 (
• 使用 金鑰保存庫) 的 SQL 驗證 (
• 使用 金鑰保存庫) 的服務主體 (
• 使用 金鑰保存庫) 的取用者金鑰 (
• 以及其他選項

建立任何認證之前，請考慮您的資料來源類型和網路需求，以決定您案例需要哪一種驗證方法。

使用 Microsoft Purview 系統指派的受控識別來設定掃描

如果您使用 Microsoft Purview 系統指派的受控識別 (SAMI) 來設定掃描，則不需要建立認證並將金鑰保存庫連結至 Microsoft Purview 來儲存它們。 如需新增 Microsoft Purview SAMI 以存取掃描資料來源的詳細指示，請參閱下列資料來源特定驗證章節：

• Azure Blob 儲存體
• Azure Data Lake Storage Gen1
• Azure Data Lake Storage Gen2
• Azure SQL Database
• Azure SQL 受控執行個體
• Azure Synapse工作區
• Azure Synapse先前稱為 SQL DW) (專用 SQL 集區

將 Azure 金鑰保存庫的存取權授與 Microsoft Purview

若要讓 Microsoft Purview 存取您的 Azure 金鑰保存庫，您必須確認兩件事：

• Azure 金鑰保存庫的防火牆存取
• Azure 金鑰保存庫上的 Microsoft Purview 許可權

Azure 金鑰保存庫的防火牆存取

如果您的 Azure 金鑰保存庫已停用公用網路存取，您有兩個選項可允許存取 Microsoft Purview。

• 受信任的 Microsoft 服務
• 私人端點連線

受信任的 Microsoft 服務

Microsoft Purview 會列為Azure 金鑰保存庫的其中一個受信任服務，因此，如果您的 Azure 金鑰保存庫停用公用網路存取，您只能啟用受信任 Microsoft 服務的存取權，且會包含 Microsoft Purview。

您可以在 Azure 金鑰保存庫的 [網路] 索引標籤下啟用此設定。

在頁面底部的 [例外狀況] 下方，啟用 [允許受信任的 Microsoft 服務略過此防火牆 ] 功能。

私人端點連線

若要使用私人端點連線到 Azure 金鑰保存庫，請遵循Azure 金鑰保存庫的私人端點檔。

注意事項

在受控 虛擬網路 中使用 Azure 整合執行時間掃描資料來源時，支援私人端點連線選項。 針對自我裝載整合執行時間，您必須啟用 受信任的 Microsoft 服務。

Azure 金鑰保存庫上的 Microsoft Purview 許可權

Azure 金鑰保存庫目前支援兩種許可權模型：

• 選項 1 - 存取原則
• 選項 2 - 角色型存取控制

將存取權指派給 Microsoft Purview 系統指派的受控識別 (SAMI) 之前，請先從功能表中的資源存取原則金鑰保存庫識別您的 Azure 金鑰保存庫許可權模型。 根據相關的許可權模型，遵循下列步驟。

選項 1 - 使用金鑰保存庫存取原則指派存取權

只有在 Azure 金鑰保存庫 資源中的許可權模型設定為保存庫存取原則時，才遵循下列步驟：

1. 流覽至您的 Azure 金鑰保存庫。

2. 選 取 [存取原則] 頁面。

3. 選 取 [新增存取原則]。

   

4. 在 [ 秘密許可權] 下拉式清單中，選 取 [取得 ] 和 [列出 許可權]。

5. 針對 [選取主體]，選擇 [Microsoft Purview 系統受控識別]。 您可以使用 Microsoft Purview 實例名稱 或 受控識別應用程式識別碼來搜尋 Microsoft Purview SAMI。 我們目前不支援複合身分識別 (受控識別名稱 + 應用程式識別碼) 。

   

6. 選取 新增。

7. 選 取 [儲存 ] 以儲存存取原則。

   

選項 2 - 使用 Azure 角色型存取控制金鑰保存庫指派存取權

只有在 Azure 金鑰保存庫 資源中的許可權模型設定為Azure 角色型存取控制時，才遵循下列步驟：

1. 流覽至您的 Azure 金鑰保存庫。

2. 從左側導覽功能表中選取 [存取控制 (IAM) ]。

3. 選取 [+ 新增]。

4. 將[角色] 設定為[金鑰保存庫秘密使用者]，然後在 [選取輸入] 方塊下輸入您的 Microsoft Purview 帳戶名稱。 然後，選取 [儲存] 將此角色指派給您的 Microsoft Purview 帳戶。

   

在 Microsoft Purview 帳戶中建立 Azure Key Vault 連線

您必須先將一或多個現有的 Azure 金鑰保存庫實例與 Microsoft Purview 帳戶建立關聯，才能建立認證。

1. 透過下列方式開啟您的 Microsoft Purview 治理入口網站：

   • 直接流覽並 https://web.purview.azure.com 選取您的 Microsoft Purview 帳戶。
   • 開啟Azure 入口網站，搜尋並選取您要用來接收共用的 Microsoft Purview 帳戶。 開 啟 Microsoft Purview 治理入口網站。

2. 流覽至 Studio 中的 管理中心 ，然後流覽至 認證。

3. 從 [認證]頁面，選取 [管理金鑰保存庫連線]。

   

4. 從 [管理金鑰保存庫連線] 頁面選取 [+ 新增]。

5. 提供必要資訊，然後選取 [ 建立]。

6. 確認您的金鑰保存庫已成功與您的 Microsoft Purview 帳戶建立關聯，如下列範例所示：

   

建立新的認證

Microsoft Purview 支援這些認證類型：

• 基本驗證：您可以將 密碼 新增為金鑰保存庫中的秘密。
• 服務主體：您可以將 服務主體金鑰 新增為金鑰保存庫中的秘密。
• SQL 驗證：您可以將 密碼 新增為金鑰保存庫中的秘密。
• Windows 驗證：您可以將密碼新增為金鑰保存庫中的秘密。
• 帳戶金鑰：您可以將 帳戶金鑰 新增為金鑰保存庫中的秘密。
• 角色 ARN：針對 Amazon S3 資料來源，在 AWS 中新增您 的角色 ARN 。
• 取用者金鑰：針對 Salesforce 資料來源，您可以在金鑰保存庫中新增 密碼 和 取用者密碼 。
• 使用者指派的受控識別 (預覽) ：您可以新增使用者指派的受控識別認證。 如需詳細資訊，請參閱下 方的建立使用者指派的受控識別一節 。

如需詳細資訊，請參閱將秘密新增至金鑰保存庫和建立 Microsoft Purview 的新 AWS 角色。

將秘密儲存在金鑰保存庫之後：

1. 在 Microsoft Purview 中，移至 [認證] 頁面。

2. 選取 [ + 新增]，以建立新的認證。

3. 提供必要的資訊。 選取要從中選取秘密的驗證方法和金鑰保存庫聯機。

4. 填入所有詳細資料之後，請選取 [ 建立]。

   

5. 確認您的新認證顯示在清單檢視中，並已準備好使用。

   

管理金鑰保存庫連線

1. 依名稱搜尋/尋找金鑰保存庫連線

   

2. 刪除一或多個金鑰保存庫連線

   

管理您的認證

1. 依名稱搜尋/尋找認證。

2. 選取現有認證並進行更新。

3. 刪除一或多個認證。

建立使用者指派的受控識別

使用者指派的受控識別 (UAMI) 讓 Azure 資源能夠使用 Azure Active Directory (Azure AD) 驗證直接向其他資源進行驗證，而不需要管理這些認證。 它們可讓您驗證和指派存取權，就像您使用系統指派的受控識別、Azure AD 使用者、Azure AD 群組或服務主體一樣。 使用者指派的受控識別會建立為自己的資源 (，而不是連線到預先存在的資源) 。 如需受控識別的詳細資訊，請參閱 適用于 Azure 資源的受控識別檔。

下列步驟將示範如何建立可供 Microsoft Purview 使用的 UAMI。

UAMI 支援的資料來源

• Azure Data Lake Gen 1
• Azure Data Lake Gen 2
• Azure SQL Database
• Azure SQL 受控執行個體
• Azure SQL專用 SQL 集區
• Azure Blob 儲存體

建立使用者指派的受控識別

1. 在Azure 入口網站流覽至您的 Microsoft Purview 帳戶。

2. 在左側功能表的 [ 受控識別 ] 區段中，選取 [ + 新增 ] 按鈕以新增使用者指派的受控識別。

   

3. 完成設定之後，請回到Azure 入口網站中的 Microsoft Purview 帳戶。 如果成功部署受控識別，您會看到 Microsoft Purview 帳戶的狀態為 [成功]。

   

4. 成功部署受控識別之後，選取 [開啟 Microsoft Purview 治理入口網站] 按鈕，流覽至 Microsoft Purview 治理入口網站 。

5. 在 Microsoft Purview 治理入口網站中，流覽至 Studio 中的管理中心，然後流覽至 [認證] 區段。

6. 選取 [ +新增]，以建立使用者指派的受控識別。

7. 選取受控識別驗證方法，然後從下拉式功能表中選取使用者指派的受控識別。

   

   注意事項

   如果入口網站在使用者指派的受控識別建立期間開啟，您必須重新整理 Microsoft Purview 入口網站，以載入Azure 入口網站中完成的設定。

8. 填入所有資訊之後，選取 [ 建立]。

刪除使用者指派的受控識別

1. 在Azure 入口網站流覽至您的 Microsoft Purview 帳戶。

2. 在左側功能表的 [ 受控識別 ] 區段中，選取您要刪除的身分識別。

3. 選取 [ 移除] 按鈕。

4. 成功移除受控識別之後，選取 [開啟 Microsoft Purview 治理入口網站] 按鈕，流覽至 Microsoft Purview 治理入口網站 。

5. 流覽至 Studio 中的管理中心，然後流覽至 [認證] 區段。

6. 選取您要刪除的身分識別，然後選取 [ 刪除] 按鈕。

注意事項

如果您已在Azure 入口網站中刪除使用者指派的受控識別，則需要刪除原始識別碼，並在 Microsoft Purview 治理入口網站中建立新的識別碼。

後續步驟

建立掃描規則集