Herstellen einer Verbindung mit Ihrem Microsoft Fabric-Mandanten aus Microsoft Purview in einem anderen Mandanten (Vorschau)
Wichtig
Beim Überprüfen eines Microsoft Fabric-Mandanten werden Metadaten und Die Datenherkunft aus Fabric-Elementen einschließlich Power BI bereitgestellt. Das Registrieren eines Fabric-Mandanten und das Einrichten einer Überprüfung ähnelt dem Power BI-Mandanten und wird von allen Fabric-Elementen gemeinsam genutzt. Die Überprüfung von anderen Fabric-Elementen als Power BI befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
In diesem Artikel wird beschrieben, wie Sie einen Microsoft Fabric-Mandanten registrieren, der sich in einem anderen Mandanten als Ihre Microsoft Purview-Ressource befindet, und wie Sie die Fabric-Quelle in Microsoft Purview authentifizieren und damit interagieren. Weitere Informationen zu Microsoft Purview im Allgemeinen finden Sie im Einführungsartikel.
Hinweis
Informationen zum Überprüfen eines Power BI-Mandanten finden Sie in unserer Power BI-Dokumentation.
Unterstützte Funktionen
| Metadatenextraktion | Vollständiger Scan | Inkrementelle Überprüfung | Bereichsbezogene Überprüfung | Klassifizierung | Bezeichnen | Zugriffsrichtlinie | Herkunft | Datenfreigabe | Live-Ansicht |
|---|---|---|---|---|---|---|---|---|---|
| Ja | Ja | Ja | Ja | Nein | Nein | Nein | Ja | Nein | Nein |
| Erlebnisse | Fabric-Elemente | Im Scan verfügbar | Verfügbar in der Liveansicht (nur derselbe Mandant) |
|---|---|---|---|
| Real-Time Analytics | KQL-Datenbank | Ja | Ja |
| KQL Queryset | Ja | Ja | |
| Data Science | Experimentieren | Ja | Ja |
| ML-Modell | Ja | Ja | |
| Data Factory | Datenpipeline | Ja | Ja |
| Dataflow Gen2 | Ja | Ja | |
| Datentechnik | Lakehouse | Ja | Ja |
| Notizbuch | Ja | Ja | |
| Spark-Auftragsdefinition | Ja | Ja | |
| SQL-Analyseendpunkt | Ja | Ja | |
| Data Warehouse | Lager | Ja | Ja |
| Power BI | Dashboard | Ja | Ja |
| Datenfluss | Ja | Ja | |
| Datamart | Ja | Ja | |
| Semantikmodell (Dataset) | Ja | Ja | |
| Bericht | Ja | Ja | |
| Paginierter Bericht | Ja |
Unterstützte Szenarien für Fabric-Überprüfungen
| Scenarios | Öffentlicher Microsoft Purview-Zugriff zulässig/verweigert | Öffentlicher Fabric-Zugriff zulässig /denied | Laufzeitoption | Authentifizierungsoption | Checkliste für die Bereitstellung |
|---|---|---|---|---|---|
| Öffentlicher Zugriff mit Azure IR | Allowed | Allowed | Azure-Runtime | Delegierte Authentifizierung/Dienstprinzipal | Überprüfen der Bereitstellungsprüfliste |
| Öffentlicher Zugriff mit selbstgehosteter IR | Allowed | Allowed | SHIR oder Kubernetes SHIR | Dienstprinzipal | Überprüfen der Bereitstellungsprüfliste |
| Privater Zugriff | Verweigert | Allowed | Verwaltete VNet IR (nur v2) | Delegierte Authentifizierung/Dienstprinzipal | Überprüfen der Bereitstellungsprüfliste |
Hinweis
Die oben genannten unterstützten Szenarien gelten für Nicht-Power BI-Elemente in Fabric. In der Power BI-Dokumentation finden Sie unterstützte Szenarien, die für Power BI-Elemente gelten.
Bekannte Einschränkungen
- Derzeit werden für alle Fabric-Elemente außer Power BI nur Metadaten und Herkunft auf Elementebene überprüft. Das Überprüfen von Metadaten und der Herkunft von Untergeordneten Elementen wie Lakehouse-Tabellen oder -Dateien wird nicht unterstützt.
- Für die selbstgehostete Integration Runtime wird die standardmäßige selbstgehostete Integration Runtime mit minimaler Version 5.40.8836.1 oder von Kubernetes unterstützte selbstgehostete Integration Runtime unterstützt.
- Leere Arbeitsbereiche werden übersprungen.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.
Ein aktives Microsoft Purview-Konto.
Authentifizierungsoptionen
- Dienstprinzipal
- Delegierte Authentifizierung
Checkliste für die Bereitstellung
Die Bereitstellungsprüfliste enthält eine Zusammenfassung aller Schritte, die Sie zum Einrichten einer mandantenübergreifenden Fabric-Quelle ausführen müssen. Sie können es während des Setups oder für die Problembehandlung verwenden, um zu bestätigen, dass Sie alle erforderlichen Schritte zum Herstellen einer Verbindung ausgeführt haben.
- Öffentlicher Zugriff mit Azure IR
- Öffentlicher Zugriff mit selbstgehosteter IR
- Privater Zugriff mit verwalteter VNet-IR (nur v2)
Überprüfen von mandantenübergreifendem Fabric mithilfe der delegierten Authentifizierung in einem öffentlichen Netzwerk
Stellen Sie sicher, dass die Fabric-Mandanten-ID während der Registrierung richtig eingegeben wurde. Standardmäßig wird die Fabric-Mandanten-ID, die im gleichen Microsoft Entra instance wie Microsoft Purview vorhanden ist, aufgefüllt.
Stellen Sie sicher, dass Ihr Fabric-Metadatenmodell auf dem neuesten Stand ist, indem Sie die Metadatenüberprüfung aktivieren.
Überprüfen Sie im Azure-Portal, ob das Microsoft Purview-Kontonetzwerk auf öffentlichen Zugriff festgelegt ist.
Stellen Sie im Fabric-Mandanten-Verwaltungsportal sicher, dass der Fabric-Mandant so konfiguriert ist, dass er ein öffentliches Netzwerk zulässt.
Überprüfen Sie Ihre instance von Azure Key Vault, um Folgendes sicherzustellen:
- Das Kennwort oder geheimnis enthält keine Tippfehler.
- Die verwaltete Microsoft Purview-Identität verfügt über Zugriff auf Geheimnisse und Listen .
Überprüfen Sie Ihre Anmeldeinformationen, um folgendes zu überprüfen:
- Die Client-ID entspricht der Anwendungs-ID (Client) der App-Registrierung.
- Bei delegierter Authentifizierung enthält der Benutzername den Benutzerprinzipalnamen, z
johndoe@contoso.com. B. .
Überprüfen Sie im Fabric Microsoft Entra-Mandanten die folgenden Fabric-Administratorbenutzereinstellungen:
- Der Benutzer wird der Fabric-Administratorrolle zugewiesen.
- Wenn der Benutzer kürzlich erstellt wurde, melden Sie sich mindestens einmal mit dem Benutzer an, um sicherzustellen, dass das Kennwort erfolgreich zurückgesetzt wurde und der Benutzer die Sitzung erfolgreich initiieren kann.
- Es werden keine Richtlinien für mehrstufige Authentifizierung oder bedingten Zugriff für den Benutzer erzwungen.
Überprüfen Sie im Fabric Microsoft Entra-Mandanten die folgenden App-Registrierungseinstellungen:
- Die App-Registrierung ist in Ihrem Microsoft Entra Mandanten vorhanden, in dem sich der Fabric-Mandant befindet.
- Wenn dienstprinzipal verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen mit Lesezugriff für die folgenden APIs zugewiesen:
- Microsoft Graph openid
- Microsoft Graph User.Read
- Wenn delegierte Authentifizierung verwendet wird, werden unter API-Berechtigungen die folgenden delegierten Berechtigungen und das Erteilen der Administratoreinwilligung für den Mandanten mit lesen für die folgenden APIs eingerichtet:
- Power BI-Dienstmandant.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
- Unter Authentifizierung:
- Unterstützte Kontotypen>Konten in einem beliebigen Organisationsverzeichnis (Beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) ist ausgewählt.
- Implizite Genehmigung und Hybridflows>ID-Token (die für implizite und hybride Flows verwendet werden) ist ausgewählt.
- Öffentliche Clientflows zulassen ist aktiviert.
Stellen Sie in Fabric-Mandant aus Microsoft Entra Mandanten sicher, dass der Dienstprinzipal Mitglied der neuen Sicherheitsgruppe ist.
Überprüfen Sie im Portal fabric tenant Admin, ob Dienstprinzipale die Verwendung schreibgeschützter Administrator-APIs zulassen für die neue Sicherheitsgruppe aktiviert ist.
Registrieren des Fabric-Mandanten
Wählen Sie in den Optionen auf der linken Seite Data Map aus.
Wählen Sie Registrieren und dann Fabric als Datenquelle aus.
Geben Sie Ihrem Fabric-instance einen Anzeigenamen. Der Name muss 3 bis 63 Zeichen lang sein und darf nur Buchstaben, Zahlen, Unterstriche und Bindestriche enthalten. Leerzeichen sind nicht zulässig.
Bearbeiten Sie das Feld Mandanten-ID , um durch den Mandanten für das mandantenübergreifende Fabric zu ersetzen, das Sie registrieren und überprüfen möchten. Standardmäßig wird die Mandanten-ID von Microsoft Purview aufgefüllt.
Zu überprüfende Authentifizierung
Damit Sie Ihren Microsoft Fabric-Mandanten überprüfen und dessen Metadaten überprüfen können, müssen Sie zunächst eine Möglichkeit für die Authentifizierung beim Fabric-Mandanten erstellen und dann Microsoft Purview die Authentifizierungsinformationen zuweisen.
Authentifizieren beim Fabric-Mandanten
In Microsoft Entra Mandanten, in dem sich der Fabric-Mandant befindet:
Suchen Sie im Azure-Portal nach Microsoft Entra ID.
Erstellen Sie eine neue Sicherheitsgruppe in Ihrem Microsoft Entra ID, indem Sie erstellen einer einfachen Gruppe und Hinzufügen von Mitgliedern mithilfe von Microsoft Entra ID folgen.
Tipp
Sie können diesen Schritt überspringen, wenn Sie bereits über eine Sicherheitsgruppe verfügen, die Sie verwenden möchten.
Wählen Sie Sicherheit als Gruppentyp aus.
Wählen Sie Mitglieder und dann + Mitglieder hinzufügen aus.
Suchen Sie nach Ihrer verwalteten Microsoft Purview-Identität oder Ihrem Dienstprinzipal, und wählen Sie sie aus.
Es sollte eine Erfolgsbenachrichtigung angezeigt werden, die anzeigt, dass sie hinzugefügt wurde.
Zuordnen der Sicherheitsgruppe zum Fabric-Mandanten
Melden Sie sich beim Fabric-Verwaltungsportal an.
Wählen Sie die Seite Mandanteneinstellungen aus.
Wichtig
Sie müssen ein Fabric-Admin sein, um die Seite mit den Mandanteneinstellungen anzuzeigen.
Wählen Sie Admin API-Einstellungen>Dienstprinzipale die Verwendung schreibgeschützter Administrator-APIs erlauben aus.
Wählen Sie Bestimmte Sicherheitsgruppen aus.
Wählen Sie Admin API-Einstellungen>Administrator-APIs-Antworten mit detaillierten Metadaten verbessern und Admin-APIs-Antworten mit DAX- und Mashupausdrücken> verbessern Aktivieren Sie die Umschaltfläche, damit Microsoft Purview Data Map die detaillierten Metadaten von Fabric-Datasets im Rahmen der Überprüfungen automatisch ermitteln können.
Wichtig
Nachdem Sie die Admin API-Einstellungen auf Ihrem Fabric-Mandanten aktualisiert haben, warten Sie etwa 15 Minuten, bevor Sie eine Überprüfungs- und Testverbindung registrieren.
Achtung
Wenn Sie der von Ihnen erstellten Sicherheitsgruppe die Verwendung schreibgeschützter Administrator-APIs gestatten, erlauben Sie ihr auch den Zugriff auf die Metadaten (z. B. Dashboard- und Berichtsnamen, Besitzer, Beschreibungen usw.) für alle Ihre Fabric-Artefakte in diesem Mandanten. Nachdem die Metadaten in Microsoft Purview abgerufen wurden, bestimmen die Berechtigungen von Microsoft Purview und nicht die Fabric-Berechtigungen, wer diese Metadaten sehen kann.
Hinweis
Sie können die Sicherheitsgruppe aus Ihren Entwicklereinstellungen entfernen, aber die zuvor extrahierten Metadaten werden nicht aus dem Microsoft Purview-Konto entfernt. Sie können es separat löschen, wenn Sie möchten.
Konfigurieren von Anmeldeinformationen für Überprüfungen in Microsoft Purview
Dienstprinzipal
Erstellen Sie eine App-Registrierung in Ihrem Microsoft Entra Mandanten, in dem sich Fabric befindet. Geben Sie eine Web-URL im Umleitungs-URI an.
Notieren Sie sich die Client-ID (App-ID).
Wählen Sie im Microsoft Entra Dashboard die neu erstellte Anwendung und dann App-Berechtigungen aus. Weisen Sie der Anwendung die folgenden delegierten Berechtigungen zu:
- Microsoft Graph openid
- Microsoft Graph User.Read
Wählen Sie im Microsoft Entra Dashboard die neu erstellte Anwendung und dann Authentifizierung aus. Wählen Sie unter Unterstützte Kontotypendie Option Konten in einem beliebigen Organisationsverzeichnis (beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) aus.
Wählen Sie unter Implizite Genehmigung und Hybridflowsdie Option ID-Token (für implizite und hybride Flows verwendet) aus.
Aktivieren Sie unter Erweiterte Einstellungendie Option Öffentliche Clientflows zulassen.
Navigieren Sie in dem Mandanten, in dem Microsoft Purview erstellt wird, zum instance von Azure Key Vault.
Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.
Geben Sie einen Namen für das Geheimnis ein. Geben Sie unter Wert das neu erstellte Geheimnis für die App-Registrierung ein. Wählen Sie Erstellen aus, um den Vorgang abzuschließen.
Erstellen Sie unter Zertifikate & Geheimnisse ein neues Geheimnis, und speichern Sie es sicher für die nächsten Schritte.
Navigieren Sie Azure-Portal zu Ihrem Azure-Schlüsseltresor.
Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.
Geben Sie einen Namen für das Geheimnis und unter Wert das neu erstellte Geheimnis für die App-Registrierung ein. Wählen Sie Erstellen aus, um den Vorgang abzuschließen.
Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, müssen Sie eine neue Key Vault-Verbindung erstellen.
Navigieren Sie als Nächstes in Microsoft Purview unter Verwaltung zur Seite Anmeldeinformationen, um neue Anmeldeinformationen zu erstellen.
Tipp
Alternativ können Sie während des Überprüfungsprozesses neue Anmeldeinformationen erstellen.
Erstellen Sie Ihre neuen Anmeldeinformationen, indem Sie + Neu auswählen.
Geben Sie die erforderlichen Parameter an:
- Name: Geben Sie einen eindeutigen Namen für Anmeldeinformationen an.
- Authentifizierungsmethode: Dienstprinzipal
- Mandanten-ID: Ihre Fabric-Mandanten-ID
- Client-ID: Verwenden Sie die zuvor erstellte Dienstprinzipalclient-ID (App-ID).
- Key Vault-Verbindung: Die Microsoft Purview-Verbindung mit dem Key Vault, in dem Sie Ihr Geheimnis zuvor erstellt haben.
- Geheimnisname: Der Name des Geheimnisses, das Sie zuvor erstellt haben.
Nachdem alle Details ausgefüllt wurden, wählen Sie Erstellen aus.
Delegierte Authentifizierung
Erstellen Sie ein Benutzerkonto im Microsoft Entra Mandanten, in dem sich der Fabric-Mandant befindet, und weisen Sie den Benutzer dieser Rolle zu: Fabric-Administrator. Notieren Sie sich den Benutzernamen, und melden Sie sich an, um das Kennwort zu ändern.
Wechseln Sie zum instance von Azure Key Vault in dem Mandanten, in dem Microsoft Purview erstellt wird.
Wählen Sie Einstellungen>Geheimnisse und dann + Generieren/Importieren aus.
Geben Sie einen Namen für das Geheimnis ein. Geben Sie unter Wert das neu erstellte Kennwort für den Microsoft Entra Benutzer ein. Wählen Sie Erstellen aus, um den Vorgang abzuschließen.
Wenn Ihr Schlüsseltresor noch nicht mit Microsoft Purview verbunden ist, müssen Sie eine neue Key Vault-Verbindung erstellen.
Erstellen Sie eine App-Registrierung in Ihrem Microsoft Entra Mandanten, in dem sich Fabric befindet. Geben Sie eine Web-URL im Umleitungs-URI an.
Notieren Sie sich die Client-ID (App-ID).
Wählen Sie im Microsoft Entra Dashboard die neu erstellte Anwendung und dann App-Berechtigungen aus. Weisen Sie der Anwendung die folgenden delegierten Berechtigungen zu, und erteilen Sie dem Mandanten die Administratoreinwilligung:
- Fabric Service Tenant.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
Wählen Sie im Microsoft Entra Dashboard die neu erstellte Anwendung und dann Authentifizierung aus. Wählen Sie unter Unterstützte Kontotypendie Option Konten in einem beliebigen Organisationsverzeichnis (beliebiges Microsoft Entra Verzeichnis – mehrinstanzenfähig) aus.
Wählen Sie unter Implizite Genehmigung und Hybridflowsdie Option ID-Token (für implizite und hybride Flows verwendet) aus.
Aktivieren Sie unter Erweiterte Einstellungendie Option Öffentliche Clientflows zulassen.
Navigieren Sie als Nächstes in Microsoft Purview unter Verwaltung zur Seite Anmeldeinformationen, um neue Anmeldeinformationen zu erstellen.
Tipp
Alternativ können Sie während des Überprüfungsprozesses neue Anmeldeinformationen erstellen.
Erstellen Sie Ihre neuen Anmeldeinformationen, indem Sie + Neu auswählen.
Geben Sie die erforderlichen Parameter an:
- Name: Geben Sie einen eindeutigen Namen für Anmeldeinformationen an.
- Authentifizierungsmethode: Delegierte Authentifizierung
- Client-ID: Verwenden Sie die zuvor erstellte Dienstprinzipalclient-ID (App-ID).
- Benutzername: Geben Sie den Benutzernamen des Zuvor erstellten Fabric-Administrators an.
- Key Vault-Verbindung: Die Microsoft Purview-Verbindung mit dem Key Vault, in dem Sie Ihr Geheimnis zuvor erstellt haben.
- Geheimnisname: Der Name des Geheimnisses, das Sie zuvor erstellt haben.
Nachdem alle Details ausgefüllt wurden, wählen Sie Erstellen aus.
Überprüfung erstellen
Navigieren Sie in Microsoft Purview Studio im linken Menü zur Datenzuordnung . Wechseln Sie zu Quellen.
Wählen Sie die registrierte Fabric-Quelle aus mandantenübergreifend aus.
Wählen Sie + Neuer Scan aus.
Geben Sie Ihrem Scan einen Namen. Wählen Sie dann die Option zum Einschließen oder Ausschließen der persönlichen Arbeitsbereiche aus.
Hinweis
Wenn Sie die Konfiguration einer Überprüfung so ändern, dass ein persönlicher Arbeitsbereich eingeschlossen oder ausgeschlossen wird, lösen Sie eine vollständige Überprüfung der Fabric-Quelle aus.
Wählen Sie in der Dropdownliste Azure AutoResolveIntegrationRuntime aus.
Wählen Sie als Anmeldeinformationen die Anmeldeinformationen aus, die Sie für Ihren Dienstprinzipal oder die delegierte Authentifizierung erstellt haben.
Wählen Sie Verbindung testen aus, bevor Sie mit den nächsten Schritten fortfahren.
Wenn der Test fehlschlägt, wählen Sie Bericht anzeigen aus, um die detaillierte status anzuzeigen und das Problem zu beheben:
- Zugriff: Fehler status bedeutet, dass bei der Benutzerauthentifizierung ein Fehler aufgetreten ist. Überprüfen Sie, ob Benutzername und Kennwort korrekt sind. Überprüfen Sie, ob die Anmeldeinformationen die richtige Client-ID (App) aus der App-Registrierung enthalten.
- Ressourcen (+ Herkunft): Fehler status bedeutet, dass die Autorisierung zwischen Microsoft Purview und Fabric fehlgeschlagen ist. Stellen Sie sicher, dass der Benutzer der Rolle Fabric-Administrator hinzugefügt wird.
- Detaillierte Metadaten (erweitert): Fehler status bedeutet, dass das Fabric-Verwaltungsportal für die folgende Einstellung deaktiviert ist: Verbessern von Administrator-APIs-Antworten mit detaillierten Metadaten.
Tipp
Weitere Informationen zur Problembehandlung finden Sie in der Checkliste für die Bereitstellung, um sicherzustellen, dass Sie jeden Schritt in Ihrem Szenario behandelt haben.
Richten Sie einen Scantrigger ein. Ihre Optionen sind "Recurring" oder "Once".
Wählen Sie unter Neue Überprüfung überprüfendie Option Speichern und ausführen aus, um die Überprüfung zu starten.
Anzeigen Ihrer Überprüfungen und Überprüfungsausführungen
So zeigen Sie vorhandene Überprüfungen an:
- Wechseln Sie zum Microsoft Purview-Portal. Wählen Sie im linken Bereich Data Map aus.
- Wählen Sie die Datenquelle aus. Sie können eine Liste der vorhandenen Überprüfungen für diese Datenquelle unter Zuletzt verwendete Überprüfungen anzeigen, oder Sie können alle Überprüfungen auf der Registerkarte Scans anzeigen.
- Wählen Sie die Überprüfung aus, die Ergebnisse enthält, die Sie anzeigen möchten. Im Bereich werden alle vorherigen Überprüfungsausführungen zusammen mit den status und Metriken für jede Überprüfungsausführung angezeigt.
- Wählen Sie die Ausführungs-ID aus, um die Details der Überprüfungsausführung zu überprüfen.
Verwalten ihrer Überprüfungen
So bearbeiten, abbrechen oder löschen Sie eine Überprüfung:
Wechseln Sie zum Microsoft Purview-Portal. Wählen Sie im linken Bereich Data Map aus.
Wählen Sie die Datenquelle aus. Sie können eine Liste der vorhandenen Überprüfungen für diese Datenquelle unter Zuletzt verwendete Überprüfungen anzeigen, oder Sie können alle Überprüfungen auf der Registerkarte Scans anzeigen.
Wählen Sie die Überprüfung aus, die Sie verwalten möchten. Anschließend können Sie:
- Bearbeiten Sie die Überprüfung, indem Sie Überprüfung bearbeiten auswählen.
- Brechen Sie eine laufende Überprüfung ab, indem Sie Überprüfungsausführung abbrechen auswählen.
- Löschen Sie Ihre Überprüfung, indem Sie Überprüfung löschen auswählen.
Hinweis
- Durch das Löschen Ihrer Überprüfung werden keine Katalogressourcen gelöscht, die aus vorherigen Überprüfungen erstellt wurden.
Nächste Schritte
Nachdem Sie Ihre Quelle registriert haben, lesen Sie die folgenden Leitfäden, um mehr über Microsoft Purview und Ihre Daten zu erfahren.