Liste de vérification du déploiement de Microsoft Purview (anciennement Azure Purview)
Conseil
Microsoft Purview offre une nouvelle expérience ! Si vous êtes un nouveau client Microsoft Purview, ou si vous souhaitez plus d’informations, consultez notre article sur le nouveau portail ou l’article sur notre nouvelle expérience de gouvernance des données.
Si vous envisagez de déployer des solutions de gouvernance Microsoft Purview dans votre organization, utilisez notre nouveau portail et case activée notre guide de démarrage rapide et nos meilleures pratiques en matière de gouvernance des données.
Cet article répertorie les prérequis qui vous aident à commencer rapidement à planifier et à déployer votre compte Microsoft Purview (anciennement Azure Purview).
Si vous créez un plan de déploiement de Microsoft Purview et que vous souhaitez également prendre en compte les bonnes pratiques à mesure que vous développez votre stratégie de déploiement, utilisez notre guide des meilleures pratiques de déploiement pour commencer.
Si vous recherchez un guide de déploiement strictement technique, cette check-list de déploiement est pour vous.
Non. | Prérequis / Action | Autorisation requise | Conseils et recommandations supplémentaires |
---|---|---|---|
1 | Microsoft Entra locataire | S/O | Un locataire Microsoft Entra doit être associé à votre abonnement.
|
2 | Un abonnement Azure actif | Propriétaire de l’abonnement | Un abonnement Azure est nécessaire pour déployer Microsoft Purview et ses ressources managées. Si vous n’avez pas d’abonnement Azure, créez un abonnement gratuit avant de commencer. |
3 | Définir si vous envisagez de déployer un Microsoft Purview avec un hub d’événements managé | S/O | Vous pouvez choisir de déployer la configuration d’un espace de noms Event Hubs existant lors de la création d’un compte Microsoft Purview. Consultez Création de compte Microsoft Purview. Avec cet espace de noms managé, vous pouvez publier des messages dans la rubrique Kafka du hub d’événements ATLAS_HOOK et Microsoft Purview les consommera et les traitera. Microsoft Purview informera les entités des modifications apportées à la rubrique Kafka du hub d’événements ATLAS_ENTITIES et l’utilisateur peut les consommer et les traiter. Vous pouvez activer ou désactiver cette fonctionnalité à tout moment après la création du compte. |
4 | Inscrivez les fournisseurs de ressources suivants :
|
Propriétaire de l’abonnement ou rôle personnalisé pour inscrire les fournisseurs de ressources Azure (/register/action) | Inscrivez les fournisseurs de ressources Azure requis dans l’abonnement Azure désigné pour le compte Microsoft Purview. Passez en revue les opérations du fournisseur de ressources Azure. |
5 | Mettez à jour Azure Policy pour autoriser le déploiement des ressources suivantes dans votre abonnement Azure :
|
Propriétaire de l’abonnement | Utilisez cette étape si un Azure Policy existant empêche le déploiement de ces ressources Azure. Si une stratégie de blocage existe et doit rester en place, suivez notre guide des balises d’exception Microsoft Purview et suivez les étapes pour créer une exception pour les comptes Microsoft Purview. |
6 | Définissez vos exigences de sécurité réseau. | Architectes réseau et sécurité. |
|
7 | Azure Réseau virtuel et sous-réseaux pour les points de terminaison privés Microsoft Purview. | Contributeur réseau pour créer ou mettre à jour un réseau virtuel Azure. | Utilisez cette étape si vous envisagez de déployer la connectivité de point de terminaison privé avec Microsoft Purview :
Déployez Azure Réseau virtuel si vous en avez besoin. |
8 | Déployer un point de terminaison privé pour les sources de données Azure. | Contributeur réseau pour configurer des points de terminaison privés pour chaque source de données. | Effectuez cette étape si vous envisagez d’utiliser un point de terminaison privé pour l’ingestion. |
9 | Définissez s’il faut déployer ou utiliser des zones de DNS privé Azure existantes. | Les zones Azure DNS privé requises peuvent être créées automatiquement pendant le déploiement du compte Purview à l’aide du rôle Propriétaire/Contributeur de l’abonnement | Utilisez cette étape si vous envisagez d’utiliser la connectivité de point de terminaison privé avec Microsoft Purview. Zones DNS requises pour le point de terminaison privé :
|
10 | Une machine de gestion dans votre Réseau d’entreprise ou à l’intérieur du réseau virtuel Azure pour lancer le portail de gouvernance Microsoft Purview. | S/O | Utilisez cette étape si vous envisagez de définir Autoriser le réseau public à refuser sur votre compte Microsoft Purview. |
11 | Déployer un compte Microsoft Purview | Propriétaire/Contributeur de l’abonnement | Le compte Purview est déployé avec une unité de capacité et effectue un scale-up en fonction de la demande. |
12 | Déployez un Integration Runtime managé et des points de terminaison privés managés pour les sources de données Azure. |
Administrateur de source de données pour configurer un réseau virtuel managé dans Microsoft Purview. Contributeur réseau pour approuver un point de terminaison privé managé pour chaque source de données Azure. |
Effectuez cette étape si vous envisagez d’utiliser un réseau virtuel managé. dans votre compte Microsoft Purview à des fins d’analyse. |
13 | Déployez des machines virtuelles du runtime d’intégration auto-hébergé à l’intérieur de votre réseau. | Azure : Contributeur de machine virtuelle Local : Propriétaire de l’application |
Utilisez cette étape si vous envisagez d’effectuer des analyses à l’aide de Integration Runtime auto-hébergés. |
14 | Créez un runtime d’intégration auto-hébergé dans Microsoft Purview. | Conservateur de données Administrateur de machine virtuelle ou propriétaire de l’application |
Utilisez cette étape si vous envisagez d’utiliser des Integration Runtime auto-hébergés au lieu de managed Integration Runtime ou d’Azure Integration Runtime. télécharger |
15 | Inscrire votre runtime d’intégration auto-hébergé | Administrateur de machine virtuelle | Utilisez cette étape si vous disposez de sources de données locales ou basées sur une machine virtuelle (par exemple, SQL Server). Cette étape consiste à utiliser un point de terminaison privé pour effectuer une analyse vers n’importe quelle source de données. |
16 | Accorder le rôle Lecteur RBAC Azure à Microsoft Purview MSI sur les abonnements des sources de données | Propriétaire de l’abonnement ou Administrateur de l’accès utilisateur | Utilisez cette étape si vous envisagez d’inscrire plusieurs sources de données ou l’une des sources de données suivantes : |
17 | Accordez le rôle Lecteur de données Blob stockage RBAC Azure à Microsoft Purview MSI sur les sources de données Abonnements. | Propriétaire de l’abonnement ou Administrateur de l’accès utilisateur | Ignorez cette étape si vous utilisez un point de terminaison privé pour vous connecter à des sources de données. Utilisez cette étape si vous disposez des sources de données suivantes : |
18 | Activez la connectivité réseau pour permettre à AzureServices d’accéder aux sources de données : Par exemple, activez « Autoriser les services Microsoft approuvés à accéder à ce compte de stockage ». |
Propriétaire ou Contributeur à la source de données | Utilisez cette étape si le point de terminaison de service est utilisé dans vos sources de données. (N’utilisez pas cette étape si un point de terminaison privé est utilisé) |
19 | Activer l’authentification Microsoft Entra sur les serveurs Azure SQL, Azure SQL Managed Instance et Azure Synapse Analytics | Contributeur Azure SQL Server | Utilisez cette étape si vous avez Azure SQL base de données, Azure SQL Managed Instance ou Azure Synapse Analytics comme source de données. |
20 | Accorder un rôle à db_datareader compte MSI Microsoft Purview pour Azure SQL bases de données et Azure SQL Managed Instance bases de données | administrateur Azure SQL | Utilisez cette étape si vous avez Azure SQL base de données ou Azure SQL Managed Instance comme source de données. Ignorez cette étape si vous utilisez un point de terminaison privé pour vous connecter à des sources de données. |
21 | Accorder le lecteur de données blob du stockage RBAC Azure à Synapse SQL Server pour les comptes de stockage intermédiaires | Propriétaire ou administrateur de l’accès utilisateur à la source de données | Utilisez cette étape si vous avez Azure Synapse Analytics comme sources de données. Ignorez cette étape si vous utilisez un point de terminaison privé pour vous connecter à des sources de données. |
22 | Accorder le rôle Lecteur RBAC Azure à Microsoft Purview MSI sur les ressources de l’espace de travail Synapse | Propriétaire ou administrateur de l’accès utilisateur à la source de données | Utilisez cette étape si vous avez Azure Synapse Analytics comme sources de données. Ignorez cette étape si vous utilisez un point de terminaison privé pour vous connecter à des sources de données. |
23 | Accorder un compte MSI Azure Purview avec db_datareader rôle | administrateur Azure SQL | Utilisez cette étape si vous avez Azure Synapse Analytics (bases de données SQL dédiées). Ignorez cette étape si vous utilisez un point de terminaison privé pour vous connecter à des sources de données. |
24 | Accorder un compte MSI Microsoft Purview avec le rôle sysadmin | administrateur Azure SQL | Utilisez cette étape si vous avez Azure Synapse Analytics (bases de données SQL serverless). Ignorez cette étape si vous utilisez un point de terminaison privé pour vous connecter à des sources de données. |
25 | Créer une inscription d’application ou un principal de service à l’intérieur de votre locataire Microsoft Entra | administrateur d’application Microsoft Entra ID | Utilisez cette étape si vous envisagez d’effectuer une analyse sur une source de données à l’aide du principal du service d’auteur délégué. |
26 | Créez un Key Vault Azure et un secret pour enregistrer les informations d’identification de la source de données ou le secret du principal de service. | Contributeur ou administrateur Key Vault | Utilisez cette étape si vous disposez de sources de données locales ou basées sur une machine virtuelle (par exemple, SQL Server). Cette étape consiste à utiliser des points de terminaison privés d’ingestion pour analyser une source de données. |
27 | Accorder une stratégie d’accès Key Vault à Microsoft Purview MSI : Secret : get/list | administrateur Key Vault | Utilisez cette étape si vous disposez desources de données basées sur des machines virtuelleslocales / (par exemple, SQL Server) Utilisez cette étape si Key Vault modèle d’autorisation est défini sur Stratégie d’accès au coffre. |
28 | Accordez Key Vault rôle RBAC Key Vault Utilisateur des secrets à Microsoft Purview MSI. | Propriétaire ou Administrateur de l’accès utilisateur | Utilisez cette étape si vous disposez de sources de données locales ou basées sur une machine virtuelle (par exemple, SQL Server) Utilisez cette étape si Key Vault modèle d’autorisation est défini sur Contrôle d’accès en fonction du rôle Azure. |
29 | Créer une connexion à Azure Key Vault à partir du portail de gouvernance Microsoft Purview | Administrateur de source de données | Utilisez cette étape si vous envisagez d’utiliser l’une des options d’authentification suivantes pour analyser une source de données dans Microsoft Purview :
|
30 | Déployer un point de terminaison privé pour un locataire Power BI |
Administrateur Power BI Contributeur réseau |
Utilisez cette étape si vous envisagez d’inscrire un locataire Power BI en tant que source de données et que votre compte Microsoft Purview est configuré pour refuser l’accès public. Pour plus d’informations, consultez Comment configurer des points de terminaison privés pour accéder à Power BI. |
31 | Connectez Azure Data Factory à Microsoft Purview à partir du portail Azure Data Factory.
Gérer ->Microsoft Purview. Sélectionnez Se connecter à un compte Purview. Vérifiez si l’étiquette de ressource Azure catalogUri existe dans la ressource Azure ADF. |
Contributeur Azure Data Factory/ Conservateur de données | Utilisez cette étape si vous avez Azure Data Factory. |
32 | Vérifiez si vous disposez d’au moins une licence Microsoft 365 requise dans votre locataire Microsoft Entra pour utiliser des étiquettes de confidentialité dans Microsoft Purview. | lecteur global Microsoft Entra ID | Effectuez cette étape si vous envisagez d’étendre les étiquettes de confidentialité à Mappage de données Microsoft Purview Pour plus d’informations, consultez Conditions de licence pour utiliser des étiquettes de confidentialité sur des fichiers et des colonnes de base de données dans Microsoft Purview |
33 | Consentement « Étendre l’étiquetage aux ressources dans Mappage de données Microsoft Purview » | Administrateur de conformité Administrateur Information Protection Azure |
Utilisez cette étape si vous souhaitez étendre les étiquettes de confidentialité à vos données dans le mappage de données. Pour plus d’informations, consultez Étiquetage dans le Mappage de données Microsoft Purview. |
34 | Créer des collections et attribuer des rôles dans Microsoft Purview | Administrateur de collection | Créez une collection et attribuez des autorisations dans Microsoft Purview. |
36 | Gouverner les sources de données dans Microsoft Purview |
Administrateur de source de données Lecteur de données ou conservateur de données |
Pour plus d’informations, consultez Sources de données et types de fichiers pris en charge |
35 | Accorder l’accès aux rôles de données dans le organization | Administrateur de collection | Fournir l’accès à d’autres équipes pour utiliser Microsoft Purview :
Pour plus d’informations, consultez Contrôle d’accès dans Microsoft Purview. |