Tutorial: Verificar a preparação da origem de dados em escala
Para analisar origens de dados, o Microsoft Purview requer acesso às mesmas. Utiliza credenciais para obter este acesso. Uma credencial são as informações de autenticação que o Microsoft Purview pode utilizar para autenticar nas origens de dados registadas. Existem algumas formas de configurar as credenciais para o Microsoft Purview, incluindo:
- A identidade gerida atribuída à conta do Microsoft Purview.
- Segredos armazenados no Azure Key Vault.
- Principais de serviço.
Nesta série de tutoriais em duas partes, iremos ajudá-lo a verificar e configurar as atribuições de funções do Azure necessárias e o acesso à rede para várias origens de dados do Azure em escala nas suas subscrições do Azure. Em seguida, pode registar e analisar as origens de dados do Azure no Microsoft Purview.
Execute o script da lista de verificação de preparação de origens de dados do Microsoft Purview depois de implementar a sua conta do Microsoft Purview e antes de registar e analisar as origens de dados do Azure.
Na parte 1 desta série de tutoriais, irá:
- Localize as origens de dados e prepare uma lista de subscrições de origem de dados.
- Execute o script da lista de verificação de preparação para encontrar qualquer controlo de acesso baseado em funções (RBAC) ou configurações de rede em falta nas origens de dados no Azure.
- No relatório de saída, reveja as configurações de rede em falta e as atribuições de funções exigidas pela Identidade Gerida (MSI) do Microsoft Purview.
- Partilhe o relatório com os proprietários de subscrições do Azure de dados para que possam tomar medidas sugeridas.
Pré-requisitos
- Subscrições do Azure onde estão localizadas as origens de dados. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
- Uma conta do Microsoft Purview.
- Um recurso do Azure Key Vault em cada subscrição que tenha origens de dados como a Base de Dados do SQL do Azure, o Azure Synapse Analytics ou Instância Gerenciada de SQL do Azure.
- O script da lista de verificação de preparação de origens de dados do Microsoft Purview .
Observação
A lista de verificação de preparação de origens de dados do Microsoft Purview está disponível apenas para o Windows. Este script de lista de verificação de preparação é atualmente suportado para o Microsoft Purview MSI.
Preparar a lista de subscrições do Azure para origens de dados
Antes de executar o script, crie um ficheiro de .csv (por exemplo, C:\temp\Subscriptions.csv) com quatro colunas:
| Nome da coluna | Descrição | Exemplo |
|---|---|---|
SubscriptionId |
IDs de subscrição do Azure para as origens de dados. | 12345678-aaaa-bbbb-cccc-1234567890ab |
KeyVaultName |
Nome do cofre de chaves existente implementado na subscrição da origem de dados. | ContosoDevKeyVault |
SecretNameSQLUserName |
Nome de um segredo do Azure Key Vault existente que contém um nome de utilizador Microsoft Entra que pode iniciar sessão no Azure Synapse, SQL do Azure Database ou Instância Gerenciada de SQL do Azure com Microsoft Entra autenticação. | ContosoDevSQLAdmin |
SecretNameSQLPassword |
Nome de um segredo do Azure Key Vault existente que contém uma palavra-passe de utilizador Microsoft Entra que pode iniciar sessão no Azure Synapse, SQL do Azure Database ou Instância Gerenciada de SQL do Azure com Microsoft Entra autenticação. | ContosoDevSQLPassword |
Ficheiro de .csv de exemplo:
Observação
Pode atualizar o nome e o caminho do ficheiro no código, se necessário.
Execute o script e instale os módulos do PowerShell necessários
Siga estes passos para executar o script a partir do seu computador Windows:
Transfira o script da lista de verificação de preparação de origens de dados do Microsoft Purview para a localização à sua escolha.
No seu computador, introduza PowerShell na caixa de pesquisa na barra de tarefas do Windows. Na lista de pesquisa, selecione sem soltar (ou clique com o botão direito do rato) Windows PowerShell e, em seguida, selecione Executar como administrador.
Na janela do PowerShell, introduza o seguinte comando. (Substitua
<path-to-script>pelo caminho da pasta do ficheiro de script extraído.)dir -Path <path-to-script> | Unblock-FileIntroduza o seguinte comando para instalar os cmdlets do Azure:
Install-Module -Name Az -AllowClobber -Scope CurrentUserSe vir a mensagem O fornecedor NuGet é necessário para continuar, introduza Y e, em seguida, selecione Enter.
Se vir o pedido Repositório não fidedigno, introduza A e, em seguida, selecione Enter.
Repita os passos anteriores para instalar os
Az.Synapsemódulos eAzureAD.
O PowerShell pode demorar até um minuto a instalar os módulos necessários.
Recolher outros dados necessários para executar o script
Antes de executar o script do PowerShell para verificar a preparação das subscrições de origem de dados, obtenha os valores dos seguintes argumentos a utilizar nos scripts:
AzureDataType: escolha qualquer uma das seguintes opções como o tipo de origem de dados para marcar a preparação para o tipo de dados nas suas subscrições:BlobStorageAzureSQLMIAzureSQLDBADLSGen2ADLSGen1SynapseAll
PurviewAccount: o nome do recurso da conta do Microsoft Purview existente.PurviewSub: ID da subscrição onde a conta do Microsoft Purview é implementada.
Verificar as permissões
Certifique-se de que o utilizador tem as seguintes funções e permissões:
| Função ou permissão | Escopo |
|---|---|
| Leitor Global | inquilino Microsoft Entra |
| Leitor | Subscrições do Azure onde estão localizadas as origens de dados do Azure |
| Leitor | Subscrição onde a sua conta do Microsoft Purview foi criada |
| Administração SQL (autenticação Microsoft Entra) | Azure Synapse conjuntos dedicados, instâncias da Base de dados SQL do Azure SQL do Azure instâncias geridas |
| Acesso ao cofre de chaves do Azure | Acesso ao segredo do cofre de chaves get/list ou ao utilizador secreto do Azure Key Vault |
Executar o script de preparação do lado do cliente
Execute o script ao concluir estes passos:
Utilize o seguinte comando para aceder à pasta do script. Substitua pelo
<path-to-script>caminho da pasta do ficheiro extraído.cd <path-to-script>Execute o seguinte comando para definir a política de execução para o computador local. Introduza A para Sim para Todos quando lhe for pedido para alterar a política de execução.
Set-ExecutionPolicy -ExecutionPolicy UnrestrictedExecute o script com os seguintes parâmetros. Substitua os
DataTypemarcadores de posição ,PurviewNameeSubscriptionID..\purview-data-sources-readiness-checklist.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>Quando executa o comando, pode aparecer uma janela de pop-up duas vezes a pedir-lhe para iniciar sessão no Azure e Microsoft Entra ID com as suas credenciais de Microsoft Entra.
Pode demorar vários minutos a criar o relatório, dependendo do número de subscrições e recursos do Azure no ambiente.
Após a conclusão do processo, reveja o relatório de saída, que demonstra as configurações em falta detetadas nas subscrições ou recursos do Azure. Os resultados podem aparecer como Aprovados, Não Transmitidos ou Deteção. Pode partilhar os resultados com os administradores de subscrição correspondentes na sua organização para que possam configurar as definições necessárias.
Mais informações
Que origens de dados são suportadas pelo script?
Atualmente, as seguintes origens de dados são suportadas pelo script:
- Armazenamento de Blobs do Azure (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage Gen1 (ADLSGen1)
- Base de Dados do SQL do Azure (AzureSQLDB)
- Instância Gerenciada de SQL do Azure (AzureSQLMI)
- conjunto dedicado do Azure Synapse (Synapse)
Pode escolher todas ou qualquer uma destas origens de dados como o parâmetro de entrada quando executar o script.
Que verificações estão incluídas nos resultados?
Armazenamento de Blobs do Azure (BlobStorage)
- RBAC. Verifique se o MSI do Microsoft Purview tem a função Leitor de Dados de Blobs de Armazenamento atribuída em cada uma das subscrições abaixo do âmbito selecionado.
- RBAC. Verifique se o MSI do Microsoft Purview tem a função Leitor atribuída no âmbito selecionado.
- Ponto final de serviço. Verifique se o ponto final de serviço está ativado e marcar se a opção Permitir que os serviços Microsoft fidedignos acedam a esta conta de armazenamento está ativada.
- Rede: verifique se o ponto final privado é criado para armazenamento e ativado para o Armazenamento de Blobs.
Azure Data Lake Storage Gen2 (ADLSGen2)
- RBAC. Verifique se o MSI do Microsoft Purview tem a função Leitor de Dados de Blobs de Armazenamento atribuída em cada uma das subscrições abaixo do âmbito selecionado.
- RBAC. Verifique se o MSI do Microsoft Purview tem a função Leitor atribuída no âmbito selecionado.
- Ponto final de serviço. Verifique se o ponto final de serviço está ativado e marcar se a opção Permitir que os serviços Microsoft fidedignos acedam a esta conta de armazenamento está ativada.
- Rede: verifique se o ponto final privado é criado para armazenamento e ativado para o Armazenamento de Blobs.
Azure Data Lake Storage Gen1 (ADLSGen1)
- Rede. Verifique se o ponto final de serviço está ativado e marcar se a opção Permitir que todos os serviços do Azure acedam a esta conta de Data Lake Storage Gen1 está ativada.
- Permissões. Verifique se o MSI do Microsoft Purview tem permissões de Leitura/Execução.
Base de Dados do SQL do Azure (AzureSQLDB)
SQL Server instâncias:
- Rede. Verifique se o ponto final público ou o ponto final privado está ativado.
- Firewall. Verifique se a opção Permitir que os serviços e recursos do Azure acedam a este servidor está ativada.
- Microsoft Entra administração. Verifique se SQL do Azure Server tem Microsoft Entra autenticação.
- Microsoft Entra administração. Preencha o SQL do Azure Server Microsoft Entra utilizador ou grupo de administradores.
Bases de dados SQL:
- Função SQL. Verifique se o MSI do Microsoft Purview tem a função de db_datareader atribuída.
Instância Gerenciada de SQL do Azure (AzureSQLMI)
servidores Instância Gerenciada de SQL:
- Rede. Verifique se o ponto final público ou o ponto final privado está ativado.
- ProxyOverride. Verifique se Instância Gerenciada de SQL do Azure está configurado como Proxy ou Redirecionamento.
- Rede. Verifique se o NSG tem uma regra de entrada para permitir o AzureCloud através das portas necessárias:
- Redirecionamento: 1433 e 11000-11999
ou - Proxy: 3342
- Redirecionamento: 1433 e 11000-11999
- Microsoft Entra administração. Verifique se SQL do Azure Server tem Microsoft Entra autenticação.
- Microsoft Entra administração. Preencha o SQL do Azure Server Microsoft Entra utilizador ou grupo de administradores.
Bases de dados SQL:
- Função SQL. Verifique se o MSI do Microsoft Purview tem a função de db_datareader atribuída.
conjunto dedicado do Azure Synapse (Synapse)
RBAC. Verifique se o MSI do Microsoft Purview tem a função Leitor de Dados de Blobs de Armazenamento atribuída em cada uma das subscrições abaixo do âmbito selecionado.
RBAC. Verifique se o MSI do Microsoft Purview tem a função Leitor atribuída no âmbito selecionado.
SQL Server instâncias (conjuntos dedicados):
- Rede: verifique se o ponto final público ou o ponto final privado está ativado.
- Firewall: verifique se a opção Permitir que os serviços e recursos do Azure acedam a este servidor está ativada.
- administração do Microsoft Entra: verifique se o SQL do Azure Server tem Microsoft Entra autenticação.
- administração do Microsoft Entra: preencha o SQL do Azure Server Microsoft Entra utilizador ou grupo de administradores.
Bases de dados SQL:
- Função SQL. Verifique se o MSI do Microsoft Purview tem a função de db_datareader atribuída.
Próximas etapas
Neste tutorial, aprendeu a:
- Execute a lista de verificação de preparação do Microsoft Purview para marcar, em escala, se as subscrições do Azure estão em falta na configuração antes de as registar e digitalizar no Microsoft Purview.
Aceda ao próximo tutorial para saber como identificar o acesso necessário e configurar as regras de rede e autenticação necessárias para o Microsoft Purview nas origens de dados do Azure: