Esercitazione: Controllare l'idoneità dell'origine dati su larga scala
Per analizzare le origini dati, Microsoft Purview richiede l'accesso a tali origini. Usa le credenziali per ottenere questo accesso. Una credenziale è le informazioni di autenticazione che Microsoft Purview può usare per eseguire l'autenticazione alle origini dati registrate. Esistono alcuni modi per configurare le credenziali per Microsoft Purview, tra cui:
- Identità gestita assegnata all'account Microsoft Purview.
- Segreti archiviati in Azure Key Vault.
- Entità servizio.
In questa serie di esercitazioni in due parti verrà illustrato come verificare e configurare le assegnazioni di ruolo di Azure necessarie e l'accesso alla rete per varie origini dati di Azure nelle sottoscrizioni di Azure su larga scala. È quindi possibile registrare ed analizzare le origini dati di Azure in Microsoft Purview.
Eseguire lo script dell'elenco di controllo di idoneità per le origini dati di Microsoft Purview dopo aver distribuito l'account Microsoft Purview e prima di registrare ed analizzare le origini dati di Azure.
Nella parte 1 di questa serie di esercitazioni:
- Individuare le origini dati e preparare un elenco di sottoscrizioni di origini dati.
- Eseguire lo script dell'elenco di controllo di idoneità per trovare eventuali configurazioni di rete o controllo degli accessi in base al ruolo mancanti nelle origini dati in Azure.
- Nel report di output esaminare le configurazioni di rete mancanti e le assegnazioni di ruolo richieste da Microsoft Purview Managed Identity (MSI).
- Condividere il report con i proprietari delle sottoscrizioni di Azure dati in modo che possano eseguire azioni suggerite.
Prerequisiti
- Sottoscrizioni di Azure in cui si trovano le origini dati. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
- Un account Microsoft Purview.
- Una risorsa Key Vault di Azure in ogni sottoscrizione con origini dati, ad esempio database Azure SQL, Azure Synapse Analytics o Istanza gestita di SQL di Azure.
- Script dell'elenco di controllo per l'idoneità delle origini dati di Microsoft Purview .
Nota
L'elenco di controllo per la preparazione delle origini dati di Microsoft Purview è disponibile solo per Windows. Questo script dell'elenco di controllo di idoneità è attualmente supportato per l'identità del servizio gestito di Microsoft Purview.
Preparare l'elenco delle sottoscrizioni di Azure per le origini dati
Prima di eseguire lo script, creare un file .csv (ad esempio, C:\temp\Subscriptions.csv) con quattro colonne:
Nome colonna | Descrizione | Esempio |
---|---|---|
SubscriptionId |
ID sottoscrizione di Azure per le origini dati. | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
Nome dell'insieme di credenziali delle chiavi esistente distribuito nella sottoscrizione dell'origine dati. | ContosoDevKeyVault |
SecretNameSQLUserName |
Nome di un segreto di Azure Key Vault esistente che contiene un nome utente Microsoft Entra che può accedere a Azure Synapse, database Azure SQL o Istanza gestita di SQL di Azure usando Microsoft Entra l'autenticazione. | ContosoDevSQLAdmin |
SecretNameSQLPassword |
Nome di un segreto di Azure Key Vault esistente che contiene una password utente Microsoft Entra che può accedere a Azure Synapse, database Azure SQL o Istanza gestita di SQL di Azure usando Microsoft Entra l'autenticazione. | ContosoDevSQLPassword |
File di .csv di esempio:
Nota
Se necessario, è possibile aggiornare il nome e il percorso del file nel codice.
Eseguire lo script e installare i moduli di PowerShell necessari
Seguire questa procedura per eseguire lo script dal computer Windows:
Scaricare lo script dell'elenco di controllo per l'idoneità delle origini dati di Microsoft Purview nella posizione desiderata.
Nel computer immettere PowerShell nella casella di ricerca sulla barra delle applicazioni di Windows. Nell'elenco di ricerca selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) Windows PowerShell e quindi selezionare Esegui come amministratore.
Nella finestra di PowerShell immettere il comando seguente. Sostituire
<path-to-script>
con il percorso della cartella del file di script estratto.dir -Path <path-to-script> | Unblock-File
Immettere il comando seguente per installare i cmdlet di Azure:
Install-Module -Name Az -AllowClobber -Scope CurrentUser
Se viene visualizzato il messaggio di richiesta per il provider NuGet per continuare, immettere Y e quindi selezionare Invio.
Se viene visualizzato il prompt Repository non attendibile, immettere A e quindi selezionare Invio.
Ripetere i passaggi precedenti per installare i
Az.Synapse
moduli eAzureAD
.
L'installazione dei moduli necessari potrebbe richiedere fino a un minuto.
Raccogliere altri dati necessari per eseguire lo script
Prima di eseguire lo script di PowerShell per verificare l'idoneità delle sottoscrizioni dell'origine dati, ottenere i valori degli argomenti seguenti da usare negli script:
AzureDataType
: scegliere una delle opzioni seguenti come tipo di origine dati per verificare l'idoneità per il tipo di dati tra le sottoscrizioni:BlobStorage
AzureSQLMI
AzureSQLDB
ADLSGen2
ADLSGen1
Synapse
All
PurviewAccount
: nome della risorsa dell'account Microsoft Purview esistente.PurviewSub
: ID sottoscrizione in cui viene distribuito l'account Microsoft Purview.
Verificare le autorizzazioni
Assicurarsi che l'utente disponga dei ruoli e delle autorizzazioni seguenti:
Ruolo o autorizzazione | Ambito |
---|---|
Lettore globale | Microsoft Entra tenant |
Lettore | Sottoscrizioni di Azure in cui si trovano le origini dati di Azure |
Lettore | Sottoscrizione in cui è stato creato l'account Microsoft Purview |
SQL Amministrazione (autenticazione Microsoft Entra) | Azure Synapse pool dedicati, istanze di database Azure SQL Azure SQL istanze gestite |
Accesso all'insieme di credenziali delle chiavi di Azure | Accesso per ottenere/elencare il segreto dell'insieme di credenziali delle chiavi o l'utente segreto di Azure Key Vault |
Eseguire lo script di conformità lato client
Eseguire lo script completando questi passaggi:
Usare il comando seguente per passare alla cartella dello script. Sostituire
<path-to-script>
con il percorso della cartella del file estratto.cd <path-to-script>
Eseguire il comando seguente per impostare i criteri di esecuzione per il computer locale. Immettere A per Sì in Tutti quando viene richiesto di modificare i criteri di esecuzione.
Set-ExecutionPolicy -ExecutionPolicy Unrestricted
Eseguire lo script con i parametri seguenti. Sostituire i
DataType
segnaposto ,PurviewName
eSubscriptionID
..\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>
Quando si esegue il comando, è possibile che venga visualizzata due volte una finestra popup che richiede di accedere ad Azure e Microsoft Entra ID usando le credenziali di Microsoft Entra.
La creazione del report può richiedere alcuni minuti, a seconda del numero di sottoscrizioni e risorse di Azure nell'ambiente.
Al termine del processo, esaminare il report di output, che illustra le configurazioni mancanti rilevate nelle sottoscrizioni o nelle risorse di Azure. I risultati possono essere visualizzati come Passati, Non passati o Consapevolezza. È possibile condividere i risultati con gli amministratori della sottoscrizione corrispondenti nell'organizzazione in modo che possano configurare le impostazioni necessarie.
Ulteriori informazioni
Quali origini dati sono supportate dallo script?
Attualmente, lo script supporta le origini dati seguenti:
- Archiviazione BLOB di Azure (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Database Azure SQL (AzureSQLDB)
- Istanza gestita di SQL di Azure (AzureSQLMI)
- pool dedicato Azure Synapse (Synapse)
Quando si esegue lo script, è possibile scegliere tutte o una di queste origini dati come parametro di input.
Quali controlli sono inclusi nei risultati?
Archiviazione BLOB di Azure (BlobStorage)
- Controllo degli accessi in base al ruolo. Controllare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo Lettore dati blob di archiviazione in ognuna delle sottoscrizioni sotto l'ambito selezionato.
- Controllo degli accessi in base al ruolo. Controllare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo Lettore nell'ambito selezionato.
- Endpoint del servizio. Controllare se l'endpoint di servizio è attivo e verificare se Consenti ai servizi Microsoft attendibili di accedere a questo account di archiviazione è abilitato.
- Rete: controllare se l'endpoint privato viene creato per l'archiviazione e abilitato per l'archiviazione BLOB.
Azure Data Lake Storage Gen2 (ADLSGen2)
- Controllo degli accessi in base al ruolo. Controllare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo Lettore dati blob di archiviazione in ognuna delle sottoscrizioni sotto l'ambito selezionato.
- Controllo degli accessi in base al ruolo. Controllare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo Lettore nell'ambito selezionato.
- Endpoint del servizio. Controllare se l'endpoint di servizio è attivo e verificare se Consenti ai servizi Microsoft attendibili di accedere a questo account di archiviazione è abilitato.
- Rete: controllare se l'endpoint privato viene creato per l'archiviazione e abilitato per l'archiviazione BLOB.
Azure Data Lake Storage Gen1 (ADLSGen1)
- Networking. Controllare se l'endpoint di servizio è attivo e verificare se Consenti a tutti i servizi di Azure di accedere a questo account Data Lake Storage Gen1 è abilitato.
- Autorizzazioni. Controllare se l'identità del servizio gestito di Microsoft Purview dispone di autorizzazioni di lettura/esecuzione.
Database Azure SQL (AzureSQLDB)
SQL Server istanze:
- Rete. Controllare se l'endpoint pubblico o privato è abilitato.
- Firewall. Verificare se Consentire ai servizi e alle risorse di Azure di accedere a questo server è abilitato.
- Microsoft Entra amministrazione. Verificare se Azure SQL Server dispone di autenticazione Microsoft Entra.
- Microsoft Entra amministrazione. Popolare l'utente o il gruppo amministratore Azure SQL Server Microsoft Entra.
Database SQL:
- Ruolo SQL. Verificare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo db_datareader .
Istanza gestita di SQL di Azure (AzureSQLMI)
Istanza gestita di SQL server:
- Rete. Controllare se l'endpoint pubblico o privato è abilitato.
- ProxyOverride. Controllare se Istanza gestita di SQL di Azure è configurato come proxy o reindirizzamento.
- Networking. Controllare se il gruppo di sicurezza di rete ha una regola in ingresso per consentire ad AzureCloud di superare le porte richieste:
- Reindirizzamento: 1433 e 11000-11999
o - Proxy: 3342
- Reindirizzamento: 1433 e 11000-11999
- Microsoft Entra amministrazione. Verificare se Azure SQL Server dispone di autenticazione Microsoft Entra.
- Microsoft Entra amministrazione. Popolare l'utente o il gruppo amministratore Azure SQL Server Microsoft Entra.
Database SQL:
- Ruolo SQL. Verificare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo db_datareader .
pool dedicato Azure Synapse (Synapse)
Controllo degli accessi in base al ruolo. Controllare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo Lettore dati blob di archiviazione in ognuna delle sottoscrizioni sotto l'ambito selezionato.
Controllo degli accessi in base al ruolo. Controllare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo Lettore nell'ambito selezionato.
SQL Server istanze (pool dedicati):
- Rete: controllare se l'endpoint pubblico o privato è abilitato.
- Firewall: controllare se Consentire ai servizi e alle risorse di Azure di accedere a questo server è abilitato.
- amministrazione Microsoft Entra: verificare se Azure SQL Server dispone dell'autenticazione Microsoft Entra.
- amministrazione Microsoft Entra: popolare l'utente o il gruppo amministratore Azure SQL Server Microsoft Entra.
Database SQL:
- Ruolo SQL. Verificare se all'identità del servizio gestito di Microsoft Purview è assegnato il ruolo db_datareader .
Passaggi successivi
In questa esercitazione si è appreso come:
- Eseguire l'elenco di controllo di conformità di Microsoft Purview per verificare, su larga scala, se le sottoscrizioni di Azure mancano di configurazione, prima di registrarle ed analizzarle in Microsoft Purview.
Passare all'esercitazione successiva per informazioni su come identificare l'accesso richiesto e configurare l'autenticazione e le regole di rete necessarie per Microsoft Purview tra le origini dati di Azure: