從 Azure Synapse Analytics 存取受保護的 Microsoft Purview 帳戶

發行項
06/01/2023

本文說明在各種整合案例下，如何從 Azure Synapse Analytics 存取受保護的 Microsoft Purview 帳戶。

Microsoft Purview 私人端點部署案例

您可以使用 Microsoft Purview 帳戶的 Azure 私人端點，以透過 Private Link 從虛擬網路 (VNet) 安全地存取目錄。 Azure Purview 針對各種存取需求提供不同類型的私人端點：「帳戶」私人端點、「入口網站」私人端點，以及「擷取」私人端點。從 Microsoft Purview 私人端點概念概觀來深入了解。

如果您的 Microsoft Purview 帳戶受到防火牆的保護，且拒絕公用存取，請務必遵循以下檢查清單來設定私人端點，讓 Synapse 可以成功連線至 Microsoft Purview。

狀況	必要的 Microsoft Purview 私人端點
執行管線並將資料譜系回報至 Microsoft Purview	若要讓 Synapse 管線將資料譜系推送至 Microsoft Purview，必須要有 Microsoft Purview 帳戶和擷取私人端點。 - 使用 Azure Integration Runtime 時，請遵循 Microsoft Purview 的受控私人端點一節中的步驟，在 Synapse 管理的虛擬網路中建立受控私人端點。 - 使用自我裝載 Integration Runtime 時，請遵循本節中的步驟，在整合執行階段的虛擬網路中建立帳戶和擷取私人端點。
在 Synapse Studio 上使用 Microsoft Purview 探索及瀏覽資料	若要使用 Synapse Studio 頂端中央的搜尋列來搜尋 Microsoft Purview 資料並執行動作，您必須在啟動 Synapse Studio 的虛擬網路中建立 Microsoft Purview 帳戶和入口網站私人端點。遵循啟用帳戶和入口網站私人端點中的步驟。

狀況

必要的 Microsoft Purview 私人端點

執行管線並將資料譜系回報至 Microsoft Purview

若要讓 Synapse 管線將資料譜系推送至 Microsoft Purview，必須要有 Microsoft Purview 帳戶和擷取私人端點。
- 使用 Azure Integration Runtime 時，請遵循 Microsoft Purview 的受控私人端點一節中的步驟，在 Synapse 管理的虛擬網路中建立受控私人端點。
- 使用自我裝載 Integration Runtime 時，請遵循本節中的步驟，在整合執行階段的虛擬網路中建立帳戶和擷取私人端點。

在 Synapse Studio 上使用 Microsoft Purview 探索及瀏覽資料

若要使用 Synapse Studio 頂端中央的搜尋列來搜尋 Microsoft Purview 資料並執行動作，您必須在啟動 Synapse Studio 的虛擬網路中建立 Microsoft Purview 帳戶和入口網站私人端點。遵循啟用帳戶和入口網站私人端點中的步驟。

適用於 Microsoft Purview 的受控私人端點

受控私人端點是在與 Azure Synapse 工作區相關聯的受控虛擬網路中建立的私人端點。當您執行管線，並將資料譜系回報至受防火牆保護的 Microsoft Purview 帳戶時，請確定您的 Synapse 工作區建立時已啟用「受控虛擬網路」選項，然後建立 Microsoft Purview 帳戶和擷取受控私人端點，如下所示。

建立受控私人端點

若要在 Synapse Studio 上建立 Microsoft Purview 的受控私人端點：

移至 [管理] ->[Microsoft Purview]，然後按一下 [編輯] 以編輯現有已連線的 Microsoft Purview 帳戶，或按一下 [連線至 Microsoft Purview 帳戶]，以連線至新的 Microsoft Purview 帳戶。
選取 [是] 以建立受控私人端點。您必須擁有「workspace/managedPrivateEndpoint/write」權限，例如 Synapse 系統管理員或 Synapse 連結資料管理員角色。

秘訣

如果您沒有看到建立受控私人端點的任何選項，您必須使用或建立 Azure Synapse工作區，並在建立時啟用受控虛擬網路選項。
按一下 [+ 全部建立] 按鈕，以針對 Microsoft Purview 受控資源 (Blob 儲存體、佇列儲存體和事件中樞命名空間)，整批建立所需的 Microsoft Purview 私人端點，包括帳戶私人端點和擷取私人端點。您在 Microsoft Purview 帳戶上至少必須有讀者角色，Synapse 才能取得 Microsoft Purview 受控資源的資訊。
在下個頁面中，指定私人端點的名稱。它會用來產生擷取私人端點的名稱以及尾碼。
按一下 [建立] 以建立私人端點。建立之後會產生 4 個私人端點要求，這些必須由 Microsoft Purview 的擁有者核准。

這種批次管理的私人端點建立功能僅於 Synapse Studio 中提供。若您想要以程式設計方式建立受控私人端點，則必須個別建立。您可以從 Azure 入口網站 -> 您的 Microsoft Purview 帳戶 -> [受控資源] 中，找到 Microsoft Purview 受控資源的資訊。

核准私人端點連線

建立 Microsoft Purview 的受控私人端點之後，您會先看到「擱置」狀態。 Microsoft Purview 擁有者必須核准每個資源的私人端點連線。

如果您有權限核准 Microsoft Purview 私人端點連線，請從 Synapse Studio：

移至 [管理] ->[Microsoft Purview] ->[編輯]
在私人端點清單中，按一下每個私人端點名稱旁邊的 [編輯] (鉛筆) 按鈕
按一下 [在 Azure 入口網站中管理核准]，系統會帶您前往資源。
針對指定的資源，移至 [網路] ->[私人端點連線] 以進行核准。私人端點會命名為 data_factory_name.your_defined_private_endpoint_name，並具有「由 data_factory_name 要求」的描述。
針對所有私人端點重複此作業。

如果您沒有權限核准 Microsoft Purview 私人端點連線，請要求 Microsoft Purview 帳戶擁有者來核准，如下所示。

針對「帳戶」私人端點，移至 Azure 入口網站 -> 您的 Microsoft Purview 帳戶 -> [網路] -> [私人端點連線] 以核准。
針對「擷取」私人端點，移至 Azure 入口網站 -> 您的 Microsoft Purview 帳戶 -> [受控資源]，分別按一下 [儲存體帳戶] 和 [事件中樞命名空間]，然後在 [網路] -> [私人端點連線] 頁面中核准私人端點連線。

監視受控私人端點

有兩個地方可讓您監視已針對 Microsoft Purview 建立的受控私人端點：

移至 [管理] ->[Microsoft Purview] ->[編輯]，以開啟現有已連線的 Microsoft Purview 帳戶。若要查看所有相關私人端點，您在 Microsoft Purview 帳戶上至少必須有讀者角色，Synapse 才能擷取 Microsoft Purview 受控資源的資訊。否則，您只會看到具有警告的「帳戶」私人端點。
移至 [管理] ->[受控私人端點]，您會在其中看到在 Synapse 工作區下建立的所有受控私人端點。如果您在 Microsoft Purview 帳戶上至少有讀者角色，則會看到 Microsoft Purview 相關的私人端點聚集在一起。否則，它們會分別顯示在清單中。

Share via