本文概述如何註冊多個 Azure 來源,以及如何在 Microsoft Purview 中驗證並與之互動。 如需 Microsoft Purview 的詳細資訊,請閱讀簡介 文章。
支援的功能
掃描功能
| 中繼資料擷取 | 完整掃描 | 增量掃描 | 範圍掃描 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
其他功能
如需 分類、 敏感度標籤、 原則、 資料譜系和 即時檢視,請參閱 支援的功能清單。
必要條件
具有作用中訂用帳戶的 Azure 帳戶。 免費創建一個帳戶。
作用中的 Microsoft Purview 帳戶。
您必須是資料來源系統管理員和資料讀取者,才能在 Microsoft Purview 治理入口網站中註冊來源並加以管理。 如需詳細資訊,請參閱我們的 Microsoft Purview 許可權頁面 。
登錄
本節說明如何使用 Microsoft Purview 治理入口網站在 Microsoft Purview 中註冊多個 Azure 來源。
註冊的先決條件
Microsoft Purview 需要許可權,才能列出訂用帳戶或資源群組下的資源。
- 移至 Azure 入口網站 中的訂用帳戶或資源群組。
- 從左側功能表中選取存取控制 (IAM) 。
- 選取 [+新增]。
- 在 [ 選取輸入 ] 方塊中,選取 [ 讀取者 ] 角色,然後輸入您的 Microsoft Purview 帳戶名稱 (,代表其 MSI 檔案名稱) 。
- 選取 [儲存] 以完成角色指派。 這可讓 Microsoft Purview 列出訂用帳戶或資源群組下的資源。
註冊驗證
有兩種方式可在 Azure 中設定多個來源的驗證:
- 受控識別
- 服務主體
您必須在訂用帳戶或資源群組內要註冊和掃描的每個資源上設定驗證。 Azure 儲存體資源類型 (Azure Blob 儲存體 和 Azure Data Lake Storage Gen2) 可讓您在訂用帳戶或資源群組層級將 MSI 檔案或服務主體新增為儲存體 Blob 資料讀取器,讓這變得容易。 然後,許可權會向下滲透至該訂用帳戶或資源群組內的每個儲存體帳戶。 針對所有其他資源類型,您必須在每個資源上套用 MSI 檔案或服務主體,或建立指令碼來執行此動作。
若要瞭解如何在訂用帳戶或資源群組內的每個資源類型上新增許可權,請參閱下列資源:
- Azure Blob 儲存體
- Azure 資料總管
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure 專用 SQL 集區 (先前稱為 SQL DW)
- Azure SQL Database
- Azure SQL 受控執行個體
- Azure Synapse Analytics
註冊步驟
透過下列方式開啟 Microsoft Purview 治理入口網站:
- 直接 https://web.purview.azure.com 流覽並選取您的 Microsoft Purview 帳戶。
- 開啟 Azure 入口網站,搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站] 按鈕。
選取左側功能表中的 [資料對應 ]。
選取 [登錄]。
在 [註冊來源] 上,選取 [Azure (多個) ]。
選取 [繼續]。
在 [ (Azure) 註冊來源] 畫面上,執行下列動作:
在 [名稱 ] 方塊中,輸入資料來源將在目錄中列出的名稱。
在 [ 管理群組 ] 方塊中,選擇性地選擇要篩選到的管理群組。
在 [訂用帳戶 ] 和 [資源群組] 下拉式清單方塊中,分別選取訂用帳戶或特定資源群組。 註冊範圍會設定為選取的訂用帳戶或資源群組。
從清單中選取集合。
選取 [註冊] 以註冊資料來源。
掃描
重要事項
目前,僅支援使用 Azure 整合執行階段掃描多個 Azure 來源,因此,只有允許防火牆公用存取的 Microsoft Purview 帳戶才能使用此選項。
請遵循下列步驟掃描多個 Azure 來源,以自動識別資產並分類您的資料。 如需一般掃描的詳細資訊,請參閱我們的 掃描和擷取簡介。
建立並執行掃描
若要建立並執行新的掃描,請執行下列動作:
選取 Microsoft Purview 治理入口網站左窗格中的 [ 資料對應 ] 索引標籤。
選取您註冊的資料來源。
選取 [ 檢視詳細資料>] + [新增掃描],或使用來源磚上的 [掃描 ] 快速動作圖示。
針對 Name (名稱),填寫名稱。
針對 [類型],選取您要在此來源內掃描的資源類型。 選擇下列其中一個選項:
- 將其保留 為全部。 此選項包括該訂用帳戶或資源群組中目前可能不存在的未來資源類型。
- 使用方塊來特別選取您要掃描的資源類型。 如果您選擇此選項,除非未來明確編輯掃描,否則可能在此訂用帳戶或資源群組內建立的未來資源類型將不會包含在掃描中。
選取認證以連線至資料來源內的資源:
- 您可以在父層級選取認證作為 MSI 檔案,也可以選取特定服務主體類型的認證。 然後,您可以針對訂用帳戶或資源群組下的所有資源類型使用該認證。
- 您可以特別選取資源類型,並為該資源類型套用不同的認證。
每個認證都會被視為特定類型下所有資源的驗證方法。 您必須在資源上設定所選的認證,才能成功掃描它們,如 本文稍早所述。
在每種類型中,您可以選擇掃描所有資源,或依名稱掃描其中的子集:
- 如果您將選項保留為 全部,則該類型的未來資源也會在未來的掃描執行中掃描。
- 如果您選取特定的儲存體帳戶或 SQL 資料庫,則在此訂用帳戶或資源群組內建立的該類型的未來資源將不會包含在掃描中,除非未來明確編輯掃描。
選取 [ 測試連線]。 這會先測試存取權,以檢查您是否已將 Microsoft Purview MSI 檔案套用為訂用帳戶或資源群組上的讀取者。 如果您收到錯誤訊息,請按照 這些指示 來解決它。 然後,它將測試您的身份驗證和與每個所選來源的連接並生成報告。 選取的來源數目會影響產生此報告所需的時間。 如果某些資源失敗,將滑鼠停留在 X 圖示上將顯示詳細的錯誤訊息。
![顯示掃描設定滑桿的螢幕擷取畫面,並醒目提示 [測試連線] 按鈕。](media/register-scan-azure-multiple-sources/test-connection.png)
螢幕
測試連線通過之後,請選取 [繼續] 以繼續。
選取您在上一個步驟中選擇的每個資源類型的掃描規則集。 您也可以內嵌建立掃描規則集。
選擇您的掃描觸發器。 您可以設定排程或執行掃描一次。
檢閱您的掃描,然後選取 [儲存] 以完成設定。
檢視掃描和掃描執行
選取 [資料對應] 區段下磚上的 [檢視詳細資料],以檢視來源詳細資料。
移至 [掃描詳細資料 ] 頁面,以檢視掃描執行詳細資料。
狀態列是子資源執行狀態的簡短摘要。 它會顯示在訂用帳戶層級或資源群組層級上。 顏色具有以下含義:
- 綠色:掃描成功。
- 紅色:掃描失敗。
- 灰色:掃描仍在進行中。
您可以選取每個掃描以檢視更精細的詳細資料。
在來源詳細資料底部檢視最近失敗掃描執行的摘要。 您也可以檢視有關這些執行的更精細詳細資料。
管理您的掃描:編輯、刪除或取消
若要管理掃描,請執行下列動作:
前往 管理中心。
選取 [來源和掃描] 區段下的資料來源,然後選取所需的資料來源。
選取您要管理的掃描。 然後:
- 您可以選取 [編輯] 來編輯掃描。
- 您可以選取 刪除來刪除掃描。
- 如果掃描正在執行中,您可以選取 取消 來取消掃描。
原則
來自 Microsoft Purview 的此資料資源支援下列類型的原則:
Azure 儲存體帳戶的存取原則必要條件
若要能夠從 Microsoft Purview 強制執行原則,必須先設定資源群組或訂用帳戶下的資料來源。 指示會因資料來源類型而異。 請檢閱它們是否支援 Microsoft Purview 原則,如果支援,請在 Microsoft Purview 連接器檔中的 [存取原則] 連結下,提供啟用原則的特定指示。
設定原則的 Microsoft Purview 帳戶
在 Microsoft Purview 中註冊資料來源
在 Microsoft Purview 中為資料資源建立原則之前,您必須在 Microsoft Purview Studio 中註冊該資料資源。 您將在本指南稍後找到與註冊資料資源相關的指示。
注意事項
Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果資料資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後在 Microsoft Purview 中重新註冊。
設定許可權以在資料來源上啟用資料原則強制執行
註冊資源之後,在 Microsoft Purview 中為該資源建立原則之前,您必須設定許可權。 需要一組許可權,才能啟用 資料原則強制執行。 這適用於資料來源、資源群組或訂用帳戶。 若要啟用 資料原則強制執行, 您必須同時具有 資源的特定身分識別和存取管理 (IAM) 許可權,以及特定的 Microsoft Purview 許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合,或其任何父項 (,也就是使用 IAM 許可繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取管理員
若要設定 Azure 角色型存取控制 (RBAC) 許可權,請遵循 本指南。 下列螢幕擷取畫面顯示如何存取 Azure 入口網站中的 [存取控制] 區段,讓資料資源新增角色指派。
注意事項
資料資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體持有或正在繼承資源的 IAM 擁有者角色。
如果您) 已啟用繼承,您也必須具有集合的 Microsoft Purview 數據源系統管理員 角色,或父集合 (。 如需詳細資訊,請參閱 管理 Microsoft Purview 角色指派的指南。
下列螢幕擷取畫面顯示如何在根集合層級指派 資料來源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級取得 Microsoft Purview 中的原則作者角色:
- 原則作者角色可以建立、更新和刪除 DevOps 和資料擁有者原則。
- 原則作者角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱 在 Microsoft Purview 資料對應中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則主旨時輕鬆搜尋 Microsoft Entra 使用者或群組,您可以從取得 Microsoft Entra ID 中的目錄讀取者權限中獲益匪淺。 這是 Azure 租用戶中使用者的通用許可權。 如果沒有目錄讀取者權限,原則作者必須輸入資料原則主旨中包含的所有主體的完整使用者名稱或電子郵件。
設定 Microsoft Purview 許可權以發佈資料擁有者原則
如果您將 Microsoft Purview 原則作者 和 資料來源系統管理員 角色指派給組織中的不同人員,則資料擁有者原則允許檢查和平衡。 在資料擁有者原則生效之前,第二個人員 (資料來源管理員) 必須檢閱它,並透過發佈來明確核准它。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時會自動發佈這些原則。
若要發佈資料擁有者原則,您必須在根集合層級的 Microsoft Purview 中取得資料來源系統管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱 在 Microsoft Purview 資料對應中建立和管理集合。
注意事項
若要發佈資料擁有者原則,必須在根集合層級設定資料來源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資源以強制 執行資料原則之後,任何在根集合層級具有 原則作者 角色的 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該資料來源的存取權。
注意事項
任何 Microsoft Purview 根 集合系統管理員 都可以將新使用者指派給根 原則 撰寫者角色。 任何 集合管理員 都可以將新使用者指派給集合下的 資料來源管理員 角色。 將持有 Microsoft Purview 集合系統管理員、 數據源系統管理員或 原則作者 角色的使用者最小化並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則將會在取決於特定資料來源的時間量內停止強制執行。 此變更可能會對安全性和資料存取可用性產生影響。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以移至 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段,然後選取 [角色指派] 來檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除 Microsoft Purview 帳戶。
在 Microsoft Purview 中註冊數據源以強制執行數據原則
您必須先向 Microsoft Purview 註冊 Azure 訂用帳戶或資源群組,才能建立存取原則。 若要註冊您的資源,請遵循本指南的 必要條件 和 註冊 區段:
註冊資料資源之後,您必須啟用資料原則強制執行。 這是您可以在資料資源上建立原則之前的先決條件。 數據原則強制執行可能會影響數據的安全性,因為它會委派給管理數據源存取權的特定 Microsoft Purview 角色。 在本指南中瞭解與資料原則強制執行相關的安全實務:如何啟用資料原則強制執行
一旦您的數據源將 [ 數據原則強制執行] 選項設定為 [已啟用],它看起來會像以下螢幕截圖所示: ![螢幕快照顯示如何使用 [數據原則強制執行] 選項設定為啟用來註冊原則的資料來源。](media/how-to-policies-data-owner-resource-group/enable-policy-enforcement-resource-group.png)
建立原則
若要在整個 Azure 訂用帳戶或資源群組上建立存取原則,請遵循下列指南:
後續步驟
現在您已註冊來源,請遵循下列指南,以深入瞭解 Microsoft Purview 和您的數據。