Elenco di controllo per la distribuzione di Microsoft Purview (in precedenza Azure Purview)
Nota
Microsoft Purview Data Catalog (versione classica) e Data Health Insights (versione classica) non accettano più nuovi clienti e questi servizi, in precedenza Azure Purview, sono ora in modalità di supporto clienti.
Consiglio
Microsoft Purview offre una nuova esperienza. Se si è un nuovo cliente di Microsoft Purview o si vogliono altre informazioni, vedere l'articolo sul nuovo portale o l'articolo sulla nuova esperienza di governance dei dati.
Se si prevede di distribuire soluzioni di governance di Microsoft Purview nell'organizzazione, usare il nuovo portale e consultare la guida introduttiva alla governance dei dati e le procedure consigliate.
Questo articolo elenca i prerequisiti che consentono di iniziare rapidamente a pianificare e distribuire l'account Microsoft Purview (in precedenza Azure Purview).
Se si sta creando un piano per distribuire Microsoft Purview e si vogliono considerare anche le procedure consigliate durante lo sviluppo della strategia di distribuzione, usare la guida alle procedure consigliate per la distribuzione per iniziare.
Se si sta cercando una guida alla distribuzione strettamente tecnica, questo elenco di controllo per la distribuzione è adatto all'utente.
| No. | Prerequisito/azione | Autorizzazione necessaria | Altre indicazioni e raccomandazioni |
|---|---|---|---|
| 1 | Microsoft Entra tenant | N/D | Un tenant Microsoft Entra deve essere associato alla sottoscrizione.
|
| 2 | Sottoscrizione di Azure attiva | Proprietario della sottoscrizione | È necessaria una sottoscrizione di Azure per distribuire Microsoft Purview e le relative risorse gestite. Se non si ha una sottoscrizione di Azure, creare una sottoscrizione gratuita prima di iniziare. |
| 3 | Definire se si prevede di distribuire Microsoft Purview con un hub eventi gestito | N/D | È possibile scegliere di distribuire la configurazione di uno spazio dei nomi di Hub eventi esistente durante la creazione dell'account Microsoft Purview. Vedere Creazione dell'account Microsoft Purview. Con questo spazio dei nomi gestito è possibile pubblicare messaggi nell'argomento kafka dell'hub eventi ATLAS_HOOK e Microsoft Purview lo userà ed elaborerà. Microsoft Purview notificherà le modifiche dell'entità all'argomento kafka dell'hub eventi ATLAS_ENTITIES e l'utente può usarlo ed elaborarlo. È possibile abilitare o disabilitare questa funzionalità in qualsiasi momento dopo la creazione dell'account. |
| 4 | Registrare i provider di risorse seguenti:
|
Proprietario della sottoscrizione o ruolo personalizzato per registrare i provider di risorse di Azure (/register/action) | Registrare i provider di risorse di Azure necessari nella sottoscrizione di Azure designata per l'account Microsoft Purview. Esaminare le operazioni del provider di risorse di Azure. |
| 5 | Aggiornare Criteri di Azure per consentire la distribuzione delle risorse seguenti nella sottoscrizione di Azure:
|
Proprietario della sottoscrizione | Usare questo passaggio se un Criteri di Azure esistente impedisce la distribuzione di tali risorse di Azure. Se esiste un criterio di blocco e deve rimanere in vigore, seguire la guida ai tag delle eccezioni di Microsoft Purview e seguire la procedura per creare un'eccezione per gli account Microsoft Purview. |
| 6 | Definire i requisiti di sicurezza di rete. | Architetti di rete e sicurezza. |
|
| 7 | Un Rete virtuale di Azure e subnet per gli endpoint privati di Microsoft Purview. | Collaboratore alla rete per creare o aggiornare la rete virtuale di Azure. | Usare questo passaggio se si prevede di distribuire la connettività degli endpoint privati con Microsoft Purview:
Distribuire Azure Rete virtuale se necessario. |
| 8 | Distribuire l'endpoint privato per le origini dati di Azure. | Collaboratore alla rete per configurare endpoint privati per ogni origine dati. | Eseguire questo passaggio, se si prevede di usare l'endpoint privato per l'inserimento. |
| 9 | Definire se distribuire nuove zone di Azure DNS privato o usarle. | È possibile creare automaticamente le zone di Azure DNS privato necessarie durante la distribuzione dell'account Purview usando il ruolo Proprietario/Collaboratore della sottoscrizione | Usare questo passaggio se si prevede di usare la connettività degli endpoint privati con Microsoft Purview. Zone DNS necessarie per l'endpoint privato:
|
| 10 | Un computer di gestione in CorpNet o all'interno della rete virtuale di Azure per avviare il portale di governance di Microsoft Purview. | N/D | Usare questo passaggio se si prevede di impostare Consenti alla rete pubblica di rifiutare nell'account Microsoft Purview. |
| 11 | Distribuire un account Microsoft Purview | Proprietario/collaboratore della sottoscrizione | L'account Purview viene distribuito con un'unità di capacità e verrà aumentato in base alla domanda. |
| 12 | Distribuire un Integration Runtime gestito e endpoint privati gestiti per le origini dati di Azure. |
Amministratore dell'origine dati per configurare la rete virtuale gestita all'interno di Microsoft Purview. Collaboratore di rete per approvare l'endpoint privato gestito per ogni origine dati di Azure. |
Eseguire questo passaggio se si prevede di usare la rete virtuale gestita. all'interno dell'account Microsoft Purview a scopo di analisi. |
| 13 | Distribuire macchine virtuali di runtime di integrazione self-hosted all'interno della rete. | Azure: Collaboratore macchina virtuale Locale: proprietario dell'applicazione |
Usare questo passaggio se si prevede di eseguire analisi usando Integration Runtime self-hosted. |
| 14 | Creare un runtime di integrazione self-hosted all'interno di Microsoft Purview. | Curatore dati Amministratore della macchina virtuale o proprietario dell'applicazione |
Usare questo passaggio se si prevede di usare Integration Runtime self-hosted anziché Integration Runtime gestita o Azure Integration Runtime. scaricare |
| 15 | Registrare il runtime di integrazione self-hosted | Amministratore macchina virtuale | Usare questo passaggio se si dispone diorigini dati locali o basate su macchine virtuali (ad esempio, SQL Server). Usare questo passaggio per usare l'endpoint privato per eseguire l'analisi in qualsiasi origine dati. |
| 16 | Concedere il ruolo lettore controllo degli accessi in base al ruolo di Azure all'identità del servizio gestito di Microsoft Purview nelle sottoscrizioni delle origini dati | Proprietario della sottoscrizione o amministratore dell'accesso utente | Usare questo passaggio se si prevede di registrare più o una delle origini dati seguenti: |
| 17 | Concedere il ruolo Lettore dati blob di archiviazione controllo degli accessi in base al ruolo di Azure alle sottoscrizioni dell'identità del servizio gestito di Microsoft Purview nelle origini dati. | Proprietario della sottoscrizione o amministratore dell'accesso utente | Ignorare questo passaggio se si usa l'endpoint privato per connettersi alle origini dati. Usare questo passaggio se si dispone di queste origini dati: |
| 18 | Abilitare la connettività di rete per consentire ad AzureServices di accedere alle origini dati: Ad esempio, abilitare "Consenti ai servizi Microsoft attendibili di accedere a questo account di archiviazione". |
Proprietario o collaboratore nell'origine dati | Usare questo passaggio se l'endpoint di servizio viene usato nelle origini dati. (Non usare questo passaggio se viene usato l'endpoint privato) |
| 19 | Abilitare l'autenticazione Microsoft Entra in server Azure SQL, Istanza gestita di SQL di Azure e analisi Azure Synapse | Collaboratore al server Azure SQL | Usare questo passaggio se si dispone di Azure SQL database, Istanza gestita di SQL di Azure o Azure Synapse Analytics come origine dati. |
| 20 | Concedere l'account MSI di Microsoft Purview con db_datareader ruolo per Azure SQL database e database Istanza gestita di SQL di Azure | amministratore Azure SQL | Usare questo passaggio se è Azure SQL database o Istanza gestita di SQL di Azure come origine dati. Ignorare questo passaggio se si usa l'endpoint privato per connettersi alle origini dati. |
| 21 | Concedere il lettore di dati del BLOB di archiviazione controllo degli accessi in base al ruolo di Azure a Synapse SQL Server per gli account di archiviazione di staging | Proprietario o amministratore dell'accesso utente all'origine dati | Usare questo passaggio se si dispone di Azure Synapse Analytics come origini dati. Ignorare questo passaggio se si usa l'endpoint privato per connettersi alle origini dati. |
| 22 | Concedere il ruolo lettore controllo degli accessi in base al ruolo di Azure alle risorse dell'area di lavoro di Microsoft Purview in Synapse | Proprietario o amministratore dell'accesso utente all'origine dati | Usare questo passaggio se si dispone di Azure Synapse Analytics come origini dati. Ignorare questo passaggio se si usa l'endpoint privato per connettersi alle origini dati. |
| 23 | Concedere l'account MSI di Azure Purview con db_datareader ruolo | amministratore Azure SQL | Usare questo passaggio se si dispone di Azure Synapse Analytics (database SQL dedicati).Use this step if you have Azure Synapse Analytics (Dedicated SQL databases). Ignorare questo passaggio se si usa l'endpoint privato per connettersi alle origini dati. |
| 24 | Concedere l'account MSI di Microsoft Purview con il ruolo sysadmin | amministratore Azure SQL | Usare questo passaggio se si dispone di Azure Synapse Analytics (database SQL serverless). Ignorare questo passaggio se si usa l'endpoint privato per connettersi alle origini dati. |
| 25 | Creare una registrazione dell'app o un'entità servizio all'interno del tenant Microsoft Entra | Microsoft Entra ID Amministratore applicazioni | Usare questo passaggio se si prevede di eseguire un'analisi su un'origine dati usando l'entità servizio creazione delegata. |
| 26 | Creare un Key Vault di Azure e un segreto per salvare le credenziali dell'origine dati o il segreto dell'entità servizio. | Collaboratore o amministratore Key Vault | Usare questo passaggio se si dispone diorigini dati locali o basate su macchine virtuali (ad esempio, SQL Server). Usare questo passaggio per usare gli endpoint privati di inserimento per analizzare un'origine dati. |
| 27 | Concedere i criteri di accesso dell'insieme di credenziali delle chiavi a Microsoft Purview MSI: Secret: get/list | Amministratore Key Vault | Usare questo passaggio se si dispone / diorigini dati locali basate su macchine virtuali (ad esempio, SQL Server) Usare questo passaggio se Key Vault modello di autorizzazione è impostato su Criteri di accesso dell'insieme di credenziali. |
| 28 | Concedere Key Vault ruolo controllo degli accessi in base al ruolo Key Vault l'utente dei segreti a Microsoft Purview MSI. | Proprietario o amministratore dell'accesso utente | Usare questo passaggio se si dispone diorigini dati locali o basate su macchine virtuali (ad esempio, SQL Server) Usare questo passaggio se Key Vault modello di autorizzazione è impostato su Controllo degli accessi in base al ruolo di Azure. |
| 29 | Creare una nuova connessione ad Azure Key Vault dal portale di governance di Microsoft Purview | Amministratore origine dati | Usare questo passaggio se si prevede di usare una delle opzioni di autenticazione seguenti per analizzare un'origine dati in Microsoft Purview:
|
| 30 | Distribuire un endpoint privato per il tenant di Power BI |
Amministratore di Power BI Collaboratore alla rete |
Usare questo passaggio se si prevede di registrare un tenant di Power BI come origine dati e l'account Microsoft Purview è impostato per negare l'accesso pubblico. Per altre informazioni, vedere Come configurare gli endpoint privati per l'accesso a Power BI. |
| 31 | Connettere Azure Data Factory a Microsoft Purview dal portale di Azure Data Factory.
Gestire ->Microsoft Purview. Selezionare Connetti a un account Purview. Verificare se catalogUri dei tag delle risorse di Azure esiste nella risorsa azure di Azure di Azure. |
collaboratore Azure Data Factory/curatore dati | Usare questo passaggio se si dispone di Azure Data Factory. |
| 32 | Verificare di avere almeno una licenza di Microsoft 365 necessaria nel tenant Microsoft Entra per usare le etichette di riservatezza in Microsoft Purview. | Microsoft Entra ID lettore globale | Eseguire questo passaggio se si prevede di estendere le etichette di riservatezza a Microsoft Purview Data Map Per altre informazioni, vedere Requisiti di licenza per l'uso di etichette di riservatezza in file e colonne di database in Microsoft Purview |
| 33 | Consenso "Estendere l'etichettatura agli asset in Microsoft Purview Data Map" | Amministratore di conformità Amministratore di Azure Information Protection |
Usare questo passaggio se si è interessati ad estendere le etichette di riservatezza ai dati nella mappa dati. Per altre informazioni, vedere Etichettatura nel Microsoft Purview Data Map. |
| 34 | Creare nuove raccolte e assegnare ruoli in Microsoft Purview | Amministratore raccolta | Creare una raccolta e assegnare le autorizzazioni in Microsoft Purview. |
| 36 | Governare le origini dati in Microsoft Purview |
Amministratore origine dati Lettore dati o curatore dati |
Per altre informazioni, vedere Origini dati e tipi di file supportati |
| 35 | Concedere l'accesso ai ruoli dati nell'organizzazione | Amministratore raccolta | Fornire l'accesso ad altri team per l'uso di Microsoft Purview:
Per altre informazioni, vedere Controllo di accesso in Microsoft Purview. |