部署 Azure 儲存體探索服務

若要部署 Azure 儲存體探索服務，您必須在其中一個資源群組中建立探索工作區資源。 使用此資源，您可以定義您的 Microsoft Entra 租用戶要涵蓋的儲存體資源，以及您想要如何區隔這些資源的報告。 工作區會在 Azure 入口網站中提供預先建置的報表，供您用來擷取所需的儲存體資源見解。

請遵循本文中的步驟來建立 Azure 儲存體探索工作區資源。

建立儲存體探索工作區

您可以使用 Azure 入口網站、Azure PowerShell 或 Azure CLI 來建立儲存體探索工作區。

Azure 入口網站

選取 [建立]，在 Azure 入口網站中建立 Azure 儲存體探索工作區資源，如下圖所示。

選擇要在其中建立探索工作區的訂用帳戶和資源群組。 下表說明每個元素。

元素	說明
Name	探索工作區資源的名稱。
Description	選擇性。 探索工作區資源的描述。
Region	建立探索資源的 Azure 區域。1
Pricing plan	儲存體探索定價方案。2

¹ 如需涵蓋區域的相關資訊，請參閱儲存體探索工作區區域。 ² 如需儲存體探索定價方案的相關資訊，請參閱了解儲存體探索定價。

定義 workspaceRoots

workspaceRoot 會指定儲存體探索起始其儲存體帳戶掃描的最上層 Azure 資源識別碼。 這些識別碼通常是訂用帳戶或資源群組，並作為探索程序的根目錄。 WorkspaceRoots 會定義 Azure 資產的整體範圍和界限以供分析。

選取您要包含在工作區中的訂用帳戶和/或資源群組。

備註

• 請確定部署工作區的使用者或服務主體至少獲授與每個指定根目錄的讀取者存取權。
• 最多 100 個資源 - 訂用帳戶和/或資源群組可以包含在一個工作區中。
• 可以增加每個工作區 100 個資源的預設限制。 請連絡 Azure 支援服務。 請提供 tenantID、SubscriptionID，以便可以在其中增加此限制。

將訂閱或資源群組新增至工作區之後，服務會執行存取檢查，以確認使用者是否在新增的資源上具有Microsoft.Storage/storageAccounts/read。 下圖提供存取檢查失敗與相關聯狀態訊息的範例。

如果您在新增的任何資源上沒有 Microsoft.Storage/storageAccounts/read，請從 workSpaceRoots 移除資源，以繼續建立工作區或解決存取問題，然後再試一次。

建立範圍

範圍是已定義 workspaceRoots 儲存體帳戶的邏輯群組。 範圍可讓您使用標籤和資源類型來篩選及組織資料，以啟用目標深入解析。 例如，您可以為個別部門、環境或合規性區域建立範圍。

這很重要

系統會自動新增預設範圍，其中包含在 workspaceRoots 中新增的訂用帳戶或資源群組內的所有儲存體帳戶。

您可以選擇性地將標籤新增至此工作區資源。 然後選取 [檢閱並建立]。 如果存取驗證仍在執行中，您還無法建立工作區資源。 等待此檢查完成，更正任何問題，然後選取 [建立] 進行確認。

備註

如果任何訂用帳戶或資源群組的存取檢查不成功，探索資源建立就會失敗。

存取檢查成功完成之後，就可以部署資源，如下列範例影像所示。

Azure PowerShell

修改下列 PowerShell 指令碼中的變數，以在 Azure 入口網站中建立 Azure 儲存體探索工作區資源，以包含您的資源群組、工作區名稱和位置。 確認您的值正確無誤，然後在 Azure PowerShell 主控台中執行指令碼。

# First, set variables for the resources
$resGroupName   = "myResourceGroup"
$workSpaceName  = "myStorageDiscoveryWorkspace"
$location       = "East US"
$DiscoveryScopeLevel1 = "myScopeLevel1"
$DiscoveryScopeLevel2 = "myScopeLevel2"

# Next, prepare a DiscoveryScope object
$scope1 =  New-AzStorageDiscoveryScopeObject -DisplayName "test1" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest1" -Tag @{"tag1" = "value1"; "tag2" = "value2" }
$scope2 =  New-AzStorageDiscoveryScopeObject -DisplayName "test2" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest2" -Tag @{"tag3" = "value3" }

# Finally, create the discovery workspace
New-AzStorageDiscoveryWorkspace -Name $workSpaceName  -ResourceGroupName $resGroupName `
-Location $location -Description 123 -WorkspaceRoot $DiscoveryScopeLevel1 `
-Sku Standard   -Scope $scope1

Azure CLI

使用 CLI 建立 Azure 儲存體探索工作區資源。

az storage-discovery workspace create \
            --resource-group <your-resource-group> \
            --name <your-workspace-name> \
            --location <azure-region> \
            --workspace-roots "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>" \
            --scopes '[{"displayName":"basic","resourceTypes":["Microsoft.Storage/storageAccounts"]}]' \
            --sku Standard \
            --description "Optional description"

必要參數

參數	說明
資源群組	建立工作區所在的資源群組。
名稱	工作區的名稱。
位置	用於部署的 Azure 區域。
workspace-roots	工作區根目錄指定要取得見解的儲存體資源。 這 string[] 可以包含訂用帳戶識別碼和資源群組識別碼的組合。 您可以混合搭配這些資源類型。 您部署工作區的身分識別必須具有您在部署時列出的所有資源的 許可權 。
範圍	您可以在工作區中建立多個範疇。 範圍可讓您篩選工作區涵蓋的儲存資源，並取得每個範圍的不同報告。 篩選是以儲存資源上的 ARM 資源標籤為基礎。 此屬性需要一個 JSON 物件，該物件必須包含 tag key name : value 組合的區段或僅包含 tag key names。 當您的儲存體資源具有相符的 ARM 資源標籤時，它們會包含在此範圍中。
sku	定價層 （免費或標準）。

選擇性參數

參數	說明
描述	工作區的可選中繼資料。

備註

建立計量範圍後最多可能需要 24 小時的時間，計量才會開始出現在報表中。