實作 Microsoft Purview

  • 15 分鐘

Microsoft Purview 是統一資料治理服務,可協助您管理及治理內部部署、多雲端與軟體即服務 (SaaS) 資料。 透過自動化的資料探索、敏感性資料分類和端對端資料譜系,為資料態勢建立狀態最新的全面性地圖。 讓資料編製者能夠管理和保護您的資料資產。 讓資料取用者獲得有價值且可信任的資料。

運作方式

Microsoft Purview 藉由提供資料掃描與分類作為資料資產中資產的服務,以將資料探索自動化。 已探索資料資產的中繼資料和描述會整合到您資料資產的整體地圖中。 在此地圖上,有專為資料探索、存取管理和您資料態勢的深入解析建立環境的專屬應用程式。

這是一張顯示 Microsoft Purview 高階架構的螢幕快照,其中展示了多重雲端和內部部署來源流入 Microsoft Purview,以及 Microsoft Purview 的應用程式。

支援的功能

了解整個數據域中敏感數據的位置和移動,是 Azure SQL Database Microsoft Purview 的主要功能之一。

在整個資料網域之間建立資料的統一對應

Microsoft Purview 可協助您為有效的數據管理奠定基礎,包括下列功能:

  • 自動化並管理混合式資源中繼資料。
  • 使用整合式與自訂分類及資訊保護敏感度標籤來分類資料。
  • 確保 SQL Server、Azure、Microsoft 365 與 Power BI 之間的敏感性資料標籤一致。
  • 使用 Apache Atlas API 輕鬆地整合所有資料系統。

Microsoft Purview 上整個資料網域的整合資料對應的螢幕擷取畫面。

輕鬆找到資料

使用熟悉的商務與技術搜尋字詞來輕鬆找到資料,其中包括下列功能:

  • 使用 Microsoft Purview 資料目錄,確保資料使用者資料的最佳商務價值。
  • 使用商務層級的商務字典來排除 Excel 中資料字典的需求。
  • 使用資料來源的互動式視覺效果,深入了解資料的來源。
  • 為資料科學家、工程師與分析師提供 BI、分析、AI 與機器學習所需的資料。

根據所提供字詞顯示資產建議的搜尋列的螢幕擷取畫面。

取得敏感性資料概觀

Microsoft Purview 使用 Data Insights (預覽) 提供資料管理作業的完整檢視,包括下列功能:

  • 依資產維度檢視整個資料網域及其散發,例如來源類型、分類與檔案大小。
  • 接收成功、失敗或取消掃描數目的狀態更新。
  • 取得重要見解,以新增或重新分配字彙字詞以取得更好的搜尋結果。

Microsoft Purview 分類深入解析頁面的螢幕快照,顯示不同的分類圖表。

需求

開始使用 Microsoft Purview 之前,請確保符合下列需求:

  • 使用開發或生產訂閱存取 Microsoft Azure。
  • 能夠建立 Azure 資源,包括 Microsoft Purview。
  • 在測試、開發或生產環境中存取資料來源,例如 Azure Data Lake Storage 或 Azure SQL。
    • 針對 Data Lake Storage,掃描所需的角色是讀取者
    • 針對 Azure SQL,身分識別必須能夠查詢資料表以取樣分類。
  • 存取適用於雲端的 Microsoft Defender,或能夠與適用於雲端的 Defender 管理員進行資料標記的共同作業。
  • 使用中的 Microsoft Purview 帳戶。
  • 您必須是 數據源管理員 和數據 讀取器 ,才能在 Microsoft Purview 治理入口網站中註冊並管理來源。

安全性考量

使用 Microsoft Purview 掃描 SQL Database 時,檢閱一些重要的安全性功能。

防火牆設定

如果您的資料庫伺服器已啟用防火牆,您必須更新防火牆,以下列兩種方式之一允許存取:

  • 允許透過防火牆的 Azure 連線 – 透過 Azure 網路路由流量的直接選項,而不需要管理虛擬機器。

  • 安裝自我裝載整合執行階段 – 在您網路中的機器上安裝自我裝載整合執行階段,並透過防火牆給予存取權。 若您在 Azure 內設定私人虛擬網路,或設定任何其他已關閉的網路,則在該網路內的機器上使用自我裝載整合執行階段,可讓您完全管理流量流程,並利用現有的網路。

  • 使用受控虛擬網路 – 您可以在關閉的網路中使用 Azure 整合執行時間,方法是使用 Microsoft Purview 帳戶設定受控虛擬網路,以連線至 Azure SQL。

驗證

若要掃描數據源,您必須在 Azure SQL Database 中設定驗證方法。 準備掃描時,支援下列驗證選項:

  • 系統指派的受控識別 (建議) – 這是與您 Microsoft Purview 帳戶直接建立關聯的身分識別,可讓您直接與其他 Azure 資源進行驗證,而不需要管理中間人使用者或認證集。 建立 Microsoft Purview 資源、由 Azure 管理,以及使用您 Microsoft Purview 帳戶的名稱時,會建立系統指派的受控識別。 系統指派的受控識別目前無法與 Azure SQL 的自我裝載整合執行階段搭配使用。

  • 使用者指派的受控識別 (預覽) – 與系統指派的受控識別類似,使用者指派的受控識別是認證資源,可讓 Microsoft Purview 對 Microsoft Entra ID 進行驗證。 使用者指派會由 Azure 使用者管理 (而不是由 Azure 本身),這可讓您對於安全性有更大的控制權。 使用者指派的受控識別目前無法與 Azure SQL 的自我裝載整合執行階段搭配使用。 如需詳細資訊,請參閱使用者指派的受控識別指南。

  • 服務主體 – 服務主體是一種應用程式,可以像任何其他群組或使用者一樣指派權限,而不需要直接與人員建立關聯。 其驗證具有到期日,因此對於暫存專案很實用。

  • SQL驗證 – 以使用者名稱與密碼連線至 SQL 資料庫。

注意

如果您使用自行裝載的整合執行環境連線到您的資源,系統指派和使用者指派的受控身份將無法運作。 您必須使用服務主體驗證或 SQL 驗證。

使用 Microsoft Purview 註冊和掃描 SQL Database

本節可讓您註冊 Azure SQL Database 數據源並設定掃描。

註冊資料來源

在設定掃描之前,必須先在 Microsoft Purview 中註冊資料來源。

  1. 開啟您的 Microsoft Purview 帳戶,然後選取 [Open Microsoft Purview Governance Portal] (開啟 Microsoft Purview 治理入口網站)

    開啟 Microsoft Purview 治理入口網站的螢幕擷取畫面。

  2. 從左窗格中選取 [資料對應]>[集合],以開啟集合管理頁面。 使用 [ 集合 ] 功能表建立集合階層,並視需要將許可權指派給個別子集合。

    顯示將存取控制權限指派給集合階層的集合功能表的螢幕擷取畫面。

  3. 巡覽至 [來源] 功能表下的適當集合,然後選取 [註冊] 以註冊新的 SQL Database。

    顯示用於註冊資料來源的集合的螢幕擷取畫面。

  4. 選取 [Azure SQL Database data source] (Azure SQL Database 資料來源),然後選取 [繼續]

    允許選取資料來源的螢幕擷取畫面。

  5. 提供資料來源的名稱、選取 Azure 訂閱、選取 SQL Database 伺服器名稱,然後選取 [套用]

    顯示為註冊資料來源而輸入的詳細資料的螢幕擷取畫面。

  6. Azure SQL Database 會出現在選取的集合底下。

    顯示對應至初始掃描集合的資料來源的螢幕擷取畫面。

建立掃描

若要建立及設定掃描,請遵循下列步驟:

  1. 開啟您的 Microsoft Purview 帳戶,然後選取 [Open Microsoft Purview governance portal] (開啟 Microsoft Purview 治理入口網站)

    開啟 Microsoft Purview 治理入口網站的螢幕擷取畫面。

  2. 選取資料對應圖示,然後選取 [來源] 以檢視集合階層。

    [資料對應] 區段下 [來源] 頁面的螢幕擷取畫面。

  3. 在您稍早註冊的 Azure SQL DB 下,選取新增掃描圖示。

    顯示建立新掃描的畫面的螢幕擷取畫面。

  4. 提供掃描的名稱,針對 [Database selection method] (資料庫選取方法) 屬性選取 [手動輸入],並輸入 [資料庫名稱],然後選取 [認證]。 選擇適當的掃描集合,然後選取 [測試連線] 以驗證連線。 若連線成功,請選取 [繼續]

    顯示掃描的 [SQL 驗證] 選項的螢幕擷取畫面。

設定範圍並執行掃描

若要設定範圍並執行掃描,請遵循下列步驟:

  1. 您可以藉由選擇清單中的適當項目,將掃描範圍設定為特定的資料庫物件。

    顯示設定掃描範圍時的資料庫物件清單的螢幕擷取畫面。

  2. 選取掃描規則集。 您可以在系統預設與現有自訂規則集之間做選擇,或直接建立新的規則集。

    選取掃描規則集頁面的螢幕擷取畫面。

  3. 選取 [New scan rule set] (新增掃描規則集),並提供新的掃描規則集名稱。

    新增掃描規則集頁面的螢幕擷取畫面。

  4. 接著,您可以選取要包含在掃描規則中的分類規則,然後選取 [建立]

    Microsoft Purview 的掃描規則集分類規則的螢幕擷取畫面。

  5. [Select a scan rule set] (選取掃描規則集) 頁面將會是您已建立的掃描規則集。

    Microsoft Purview 的掃描規則集選取項目的螢幕擷取畫面。

  6. 在 [Set a scan trigger] (設定掃描觸發程序) 頁面上,設定掃描觸發程序。 選取 [繼續]

    Microsoft Purview 掃描啟動選項的螢幕快照。

  7. 檢閱您的掃描,然後選取 [儲存並執行]

    Microsoft Purview 的檢閱掃描頁面的螢幕擷取畫面。

資料譜系

一般而言,資料譜系代表一段時間內,資料從其來源到在資料資產之間移動的旅程。 其許多用途都是疑難排解、追蹤資料管線中的根本原因,以及偵錯。

Microsoft Purview 資料目錄會與其他資料儲存體、處理與分析平台連線,以收集譜系資訊。 因此,目錄包含一般譜系體驗與案例特定的譜系體驗。

Microsoft Purview 支援 Azure SQL Database 中的資料譜系。 設定掃描時,您可以啟用譜系擷取切換按鈕來擷取譜系資訊。

使用譜系擷取來設定掃描的先決條件

  1. 遵循使用受控識別驗證掃描區段中的步驟,將 Microsoft Purview 掃描授權給 Azure SQL Database。

  2. 使用 Microsoft Entra 帳戶登入 Azure SQL Database,並將適當的權限 (例如:db_owner) 指派給 Purview 受控識別。 以您的帳戶名稱取代 purview-account,藉此使用下列範例 SQL 語法來建立使用者及授與權限。

    CREATE user <purview-account> FROM EXTERNAL PROVIDER
GO
EXEC sp_addrolemember 'db_owner', <purview-account> 
GO

  3. 在您的 Azure SQL Database 上執行下列命令,以建立主要金鑰。

    CREATE MASTER KEY
GO

開啟譜系擷取切換來建立掃描

  1. 啟用掃描畫面中的譜系擷取切換。

    顯示建立具有譜系擷取的新掃描畫面的螢幕擷取畫面。

  2. 遵循掃描區段中的步驟,選取驗證的方法。

  3. 從上一個步驟成功設定掃描之後,稱為歷程擷取的新掃描類型會每隔 6 小時執行累加掃描,以從 Azure SQL Database 擷取譜系。 譜系會根據在 Azure SQL Database 中執行的實際預存程序來進行擷取。

搜尋 Azure SQL Database 資產並檢視執行階段譜系

您可以遵循下列步驟瀏覽資料目錄或搜尋資料目錄,以檢視 Azure SQL Database 的資產詳細資料:

  1. 移至 [資產] -> [譜系] 索引標籤,您可以在適用時看到資產譜系。 請參閱受支援 Azure SQL Database 譜系案例的支援功能區段。 如需一般譜系的詳細資訊,請參閱資料譜系與譜系使用者指南

    顯示具有的譜系來自預存程序畫面的螢幕擷取畫面。

  2. 移至 [stored procedure asset] (預存程序資產) -> [屬性] -> [Related assets] (相關資產),以查看預存程序的最新執行詳細資料

    顯示具有的預存程序屬性包含執行畫面的螢幕擷取畫面。

  3. 選取 Runs 旁的預存程序超連結,以查看 Azure SQL 預存程序 Run 概觀。 移至 [屬性] 索引標籤,以查看預存程序中的增強執行階段資訊。 例如:executedTime、rowcount、Client Connection 等等

    顯示具有預存程序執行屬性畫面的螢幕擷取畫面。