次の方法で共有

チュートリアル: データ ソースの準備状況を大規模に確認する

  • [アーティクル]

データ ソースをスキャンするには、Microsoft Purview にアクセスする必要があります。 資格情報を使用してこのアクセスを取得します。 資格情報は、登録されているデータ ソースに対する認証に Microsoft Purview が使用できる認証情報です。 Microsoft Purview の資格情報を設定するには、次のようないくつかの方法があります。

  • Microsoft Purview アカウントに割り当てられたマネージド ID。
  • Azure Key Vaultに格納されているシークレット。
  • サービス プリンシパル。

この 2 部構成のチュートリアル シリーズでは、Azure サブスクリプション全体のさまざまな Azure データ ソースに必要な Azure ロールの割り当てとネットワーク アクセスを大規模に検証して構成するのに役立ちます。 その後、Microsoft Purview で Azure データ ソースを登録してスキャンできます。

Microsoft Purview アカウントをデプロイした後、Azure データ ソースを登録してスキャンする前に、Microsoft Purview データ ソースの準備チェックリスト スクリプトを実行します。

このチュートリアル シリーズのパート 1 では、次の作業を行います。

  • データ ソースを見つけて、データ ソース サブスクリプションの一覧を準備します。
  • 準備チェックリスト スクリプトを実行して、Azure のデータ ソース全体で不足しているロールベースのアクセス制御 (RBAC) またはネットワーク構成を見つけます。
  • 出力レポートで、Microsoft Purview マネージド ID (MSI) で必要なネットワーク構成とロールの割り当てが見つからないか確認します。
  • Azure サブスクリプション所有者が推奨されるアクションを実行できるように、レポートをデータ Azure サブスクリプション所有者と共有します。

前提条件

注:

Microsoft Purview データ ソースの準備チェックリストは、Windows でのみ使用できます。 この準備チェックリスト スクリプトは現在、Microsoft Purview MSI でサポートされています。

データ ソースの Azure サブスクリプションの一覧を準備する

スクリプトを実行する前に、次の 4 つの列を含む .csv ファイル (C:\temp\Subscriptions.csv など) を作成します。

列名 説明
SubscriptionId データ ソースの Azure サブスクリプション ID。 12345678-aaaa-bbbb-cccc-1234567890ab
KeyVaultName データ ソース サブスクリプションにデプロイされている既存のキー コンテナーの名前。 ContosoDevKeyVault
SecretNameSQLUserName Azure Synapse、Azure SQL Database、または Azure SQL Managed Instance にサインインできるMicrosoft Entra ユーザー名を含む既存の Azure Key Vault シークレットの名前Microsoft Entra認証。 ContosoDevSQLAdmin
SecretNameSQLPassword Azure Synapse、Azure SQL Database、または Azure SQL Managed Instance にサインインできるMicrosoft Entra ユーザー パスワードを含む既存の Azure Key Vault シークレットの名前Microsoft Entra認証。 ContosoDevSQLPassword

サンプル .csv ファイル:

サンプル サブスクリプションの一覧を示すスクリーンショット。

注:

必要に応じて、コード内のファイル名とパスを更新できます。

スクリプトを実行し、必要な PowerShell モジュールをインストールします

Windows コンピューターからスクリプトを実行するには、次の手順に従います。

  1. Microsoft Purview データ ソースの準備チェックリスト スクリプトを任意の場所にダウンロードします。

  2. コンピューターで、Windows タスク バーの検索ボックスに 「PowerShell 」と入力します。 検索リストで、Windows PowerShellを長押し (または右クリック) し、[管理者として実行] を選択します。

  3. [PowerShell] ウィンドウで、次のコマンドを入力します。 ( <path-to-script> を、抽出されたスクリプト ファイルのフォルダー パスに置き換えます)。

    dir -Path <path-to-script> | Unblock-File

  4. 次のコマンドを入力して、Azure コマンドレットをインストールします。

    Install-Module -Name Az -AllowClobber -Scope CurrentUser

  5. 続行する必要がある NuGet プロバイダーのプロンプトが表示されたら、「Y」と入力し、[Enter] を選択します

  6. [ 信頼されていないリポジトリ] というプロンプトが表示されたら、「 A」と入力し、[Enter] を選択 します

  7. 前の手順を繰り返して、 Az.Synapse モジュールと AzureAD モジュールをインストールします。

PowerShell が必要なモジュールをインストールするには、最大で 1 分かかる場合があります。

スクリプトを実行するために必要な他のデータを収集する

PowerShell スクリプトを実行してデータ ソース サブスクリプションの準備ができているかどうかを確認する前に、スクリプトで使用する次の引数の値を取得します。

  • AzureDataType: データ ソースの種類として次のいずれかのオプションを選択して、サブスクリプション全体でデータ型の準備をチェックします。

    • BlobStorage

    • AzureSQLMI

    • AzureSQLDB

    • ADLSGen2

    • ADLSGen1

    • Synapse

    • All

  • PurviewAccount: 既存の Microsoft Purview アカウント リソース名。

  • PurviewSub: Microsoft Purview アカウントがデプロイされているサブスクリプション ID。

アクセス許可を確認する

ユーザーが次のロールとアクセス許可を持っていることを確認します。

ロールまたはアクセス許可 範囲
グローバル リーダー Microsoft Entra テナント
Reader Azure データ ソースが配置されている Azure サブスクリプション
Reader Microsoft Purview アカウントが作成されたサブスクリプション
SQL 管理 (Microsoft Entra 認証) 専用プール、Azure SQL Database インスタンス、Azure SQL マネージド インスタンスのAzure Synapse
Azure キー コンテナーへのアクセス キー コンテナーのシークレットまたは Azure Key Vault シークレット ユーザーの取得/一覧表示へのアクセス

クライアント側の準備スクリプトを実行する

次の手順を実行して、スクリプトを実行します。

  1. スクリプトのフォルダーに移動するには、次のコマンドを使用します。 <path-to-script>を、抽出されたファイルのフォルダー パスに置き換えます。

    cd <path-to-script>

  2. 次のコマンドを実行して、ローカル コンピューターの実行ポリシーを設定します。 実行ポリシーの変更を求めるメッセージが表示されたら、[はい]「A」と入力します。

    Set-ExecutionPolicy -ExecutionPolicy Unrestricted

  3. 次のパラメーターを使用してスクリプトを実行します。 DataTypePurviewNameSubscriptionIDプレースホルダーを置き換えます。

    .\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>

    コマンドを実行すると、Microsoft Entra資格情報を使用して Azure にサインインしてMicrosoft Entra IDするように求めるポップアップ ウィンドウが 2 回表示されることがあります。

環境内の Azure サブスクリプションとリソースの数によっては、レポートの作成に数分かかることがあります。

プロセスが完了したら、出力レポートを確認します。これは、Azure サブスクリプションまたはリソースで検出された不足している構成を示しています。 結果は、 PassedNot Passed、または Awareness として表示できます。 organizationで対応するサブスクリプション管理者と結果を共有して、必要な設定を構成できます。

詳細

スクリプトでサポートされているデータ ソースは何ですか?

現在、スクリプトでは次のデータ ソースがサポートされています。

  • Azure Blob Storage (BlobStorage)
  • Azure Data Lake Storage Gen2 (ADLSGen2)
  • Azure Data Lake Storage Gen1 (ADLSGen1)
  • Azure SQL データベース (AzureSQLDB)
  • Azure SQL Managed Instance (AzureSQLMI)
  • Azure Synapse (Synapse) 専用プール

スクリプトを実行するときに、入力パラメーターとして、これらすべてのデータ ソースまたはいずれかのデータ ソースを選択できます。

結果に含まれるチェックは何ですか?

Azure Blob Storage (BlobStorage)

  • RBAC。 選択したスコープの下の各サブスクリプションで、Microsoft Purview MSI に ストレージ BLOB データ閲覧者 ロールが割り当てられているかどうかを確認します。
  • RBAC。 選択したスコープで Microsoft Purview MSI に 閲覧者 ロールが割り当てられているかどうかを確認します。
  • サービス エンドポイント。 サービス エンドポイントがオンかどうかを確認し、信頼された Microsoft サービスにこのストレージ アカウントへのアクセスを許可するかどうかをチェックします。
  • ネットワーク: プライベート エンドポイントがストレージ用に作成され、Blob Storage に対して有効になっているかどうかを確認します。

Azure Data Lake Storage Gen2 (ADLSGen2)

  • RBAC。 選択したスコープの下の各サブスクリプションで、Microsoft Purview MSI に ストレージ BLOB データ閲覧者 ロールが割り当てられているかどうかを確認します。
  • RBAC。 選択したスコープで Microsoft Purview MSI に 閲覧者 ロールが割り当てられているかどうかを確認します。
  • サービス エンドポイント。 サービス エンドポイントがオンかどうかを確認し、信頼された Microsoft サービスにこのストレージ アカウントへのアクセスを許可するかどうかをチェックします。
  • ネットワーク: プライベート エンドポイントがストレージ用に作成され、Blob Storage に対して有効になっているかどうかを確認します。

Azure Data Lake Storage Gen1 (ADLSGen1)

  • ネットワーキング。 サービス エンドポイントがオンかどうかを確認し、すべての Azure サービスがこのData Lake Storage Gen1 アカウントへのアクセスを許可するかどうかをチェックします。
  • 権限。 Microsoft Purview MSI に読み取り/実行アクセス許可があるかどうかを確認します。

Azure SQL データベース (AzureSQLDB)

  • SQL Server インスタンス:

    • ネットワーク。 パブリック エンドポイントまたはプライベート エンドポイントが有効になっているかどうかを確認します。
    • ファイアウォール。 [Azure サービスとリソースにこのサーバーへのアクセスを許可する] が有効になっているかどうかを確認します。
    • Microsoft Entra管理。 サーバー Azure SQL認証がMicrosoft Entraされているかどうかを確認します。
    • Microsoft Entra管理。 管理者ユーザーまたはグループAzure SQLサーバー Microsoft Entra設定します。

  • SQL データベース:

    • SQL ロール。 Microsoft Purview MSI に db_datareader ロールが割り当てられているかどうかを確認します。

Azure SQL Managed Instance (AzureSQLMI)

  • SQL Managed Instance サーバー:

    • ネットワーク。 パブリック エンドポイントまたはプライベート エンドポイントが有効になっているかどうかを確認します。
    • ProxyOverride。 Azure SQL Managed Instanceがプロキシまたはリダイレクトとして構成されているかどうかを確認します。
    • ネットワーキング。 NSG に、必要なポートで AzureCloud を許可する受信規則があるかどうかを確認します。
      • リダイレクト: 1433 と 11000-11999
        または
      • プロキシ: 3342
    • Microsoft Entra管理。 サーバー Azure SQL認証がMicrosoft Entraされているかどうかを確認します。
    • Microsoft Entra管理。 管理者ユーザーまたはグループAzure SQLサーバー Microsoft Entra設定します。

  • SQL データベース:

    • SQL ロール。 Microsoft Purview MSI に db_datareader ロールが割り当てられているかどうかを確認します。

Azure Synapse (Synapse) 専用プール

  • RBAC。 選択したスコープの下の各サブスクリプションで、Microsoft Purview MSI に ストレージ BLOB データ閲覧者 ロールが割り当てられているかどうかを確認します。

  • RBAC。 選択したスコープで Microsoft Purview MSI に 閲覧者 ロールが割り当てられているかどうかを確認します。

  • SQL Server インスタンス (専用プール):

    • ネットワーク: パブリック エンドポイントまたはプライベート エンドポイントが有効になっているかどうかを確認します。
    • ファイアウォール: このサーバーへのアクセスを Azure サービスとリソースに許可 するかどうかを確認します。
    • Microsoft Entra管理: サーバー Azure SQL認証がMicrosoft Entraされているかどうかを確認します。
    • Microsoft Entra管理: Azure SQL サーバー Microsoft Entra管理者ユーザーまたはグループを設定します。

  • SQL データベース:

    • SQL ロール。 Microsoft Purview MSI に db_datareader ロールが割り当てられているかどうかを確認します。

次の手順

このチュートリアルでは、次の方法を学習しました。

  • Microsoft Purview で登録してスキャンする前に、Microsoft Purview の準備チェックリストを実行して、Azure サブスクリプションに構成がないかどうかを大規模にチェックします。

次のチュートリアルに進み、必要なアクセスを特定し、Azure データ ソース全体で Microsoft Purview に必要な認証とネットワーク規則を設定する方法について説明します。

Microsoft Purview MSI のデータ ソースへのアクセスを大規模に構成する