Подключение к клиенту Microsoft Fabric в том же клиенте, что и Microsoft Purview (предварительная версия)

Важно!

При сканировании клиента Microsoft Fabric метаданные и происхождение данных из элементов Fabric, включая Power BI. Процесс регистрации клиента Fabric и настройки проверки аналогичен клиенту Power BI и используется всеми элементами Fabric. В настоящее время проверка элементов Fabric, отличных от Power BI, находится в предварительной версии. Дополнительные условия использования предварительных версий Microsoft Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или еще не выпущены в общедоступной версии.

В этой статье описывается, как зарегистрировать клиент Microsoft Fabric, который находится в том же клиенте , что и ресурс Microsoft Purview, а также как проверить подлинность и взаимодействовать с источником Fabric в Microsoft Purview. Дополнительные сведения о Microsoft Purview в целом см. в вводной статье.

Примечание.

Начиная с 13 декабря 2023 г. сканирование клиентов Fabric, зарегистрированных в источнике данных Fabric в Microsoft Purview, будет записывать метаданные и происхождение из элементов Fabric, включая Power BI. Новая функция станет доступна во всех регионах общедоступного облака Microsoft Purview в следующие дни.

Сведения о проверке клиента Power BI см. в документации по Power BI.

Поддерживаемые возможности

Извлечение метаданных	Полная проверка	Добавочное сканирование	Сканирование с заданной областью	Классификация	Присвоение подписей	Политика доступа	Lineage	Общий доступ к данным	Интерактивное представление
Да	Да	Да	Да	Нет	Нет	Нет	Да	Нет	Да

Опытом	Элементы структуры	Доступно при сканировании	Доступно в динамическом режиме (только для одного клиента)
аналитика Real-Time	База данных KQL	Да	Да
	Набор запросов KQL	Да	Да
Обработка и анализ данных	Эксперимент	Да	Да
	Модель машинного обучения	Да	Да
Фабрика данных	Конвейер данных	Да	Да
	Поток данных 2-го поколения	Да	Да
Инжиниринг данных	Lakehouse	Да	Да
	Notebook	Да	Да
	Определение задания Spark	Да	Да
	Конечная точка аналитики SQL	Да	Да
Хранилище данных	Склад	Да	Да
Power BI	Панель мониторинга	Да	Да
	Поток данных	Да	Да
	Datamart	Да	Да
	Семантическая модель (набор данных)	Да	Да
	Отчет	Да	Да
	Отчет с разбивкой на страницы	Да

Поддерживаемые сценарии для проверок Fabric

Scenarios	Разрешен или запрещен общий доступ к Microsoft Purview	Общий доступ к Fabric разрешен /запрещен	Параметр среды выполнения	Параметр проверки подлинности	Контрольный список развертывания
Общедоступный доступ с помощью Azure IR	Разрешено	Разрешено	Среда выполнения Azure	Управляемое удостоверение/ делегированная проверка подлинности/ субъект-служба	Проверка контрольного списка развертывания
Общедоступный доступ с локальной средой IR	Разрешено	Разрешено	SHIR или Kubernetes SHIR	Субъект-служба	Проверка контрольного списка развертывания
Частный доступ	Denied	Разрешено	Управляемая среда ir виртуальной сети (только версия 2)	Управляемое удостоверение/ делегированная проверка подлинности/ субъект-служба	Проверка контрольного списка развертывания

Примечание.

Поддерживаемые выше сценарии применяются для элементов, не относящихся к Power BI, в Fabric. Поддерживаемые сценарии, применимые к элементам Power BI, см. в документации по Power BI.

Известные ограничения

• В настоящее время для всех элементов Fabric, кроме Power BI, будут проверяться только метаданные уровня элементов и происхождение, а сканирование происхождения элементов подуровневых элементов, таких как таблицы Или файлы Lakehouse, не поддерживается. Однако поддерживаются метаданные уровня вложенных элементов для таблиц и файлов Lakehouse.
• Для локальной среды выполнения интеграции поддерживается стандартная локальная среда выполнения интеграции с минимальной версией 5.47.9073.1 или локальной средой выполнения интеграции, поддерживаемой Kubernetes .
• Пустые рабочие области пропускаются.
• В настоящее время проверка подлинности субъекта-службы необходима для сканирования Озерных домов Microsoft Fabric.

Предварительные условия

Перед началом работы убедитесь, что у вас есть следующие предварительные требования:

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.

• Активная учетная запись Microsoft Purview.

Параметры проверки подлинности

• Управляемое удостоверение
• *Субъект-служба
• Делегированная проверка подлинности

Контрольный список развертывания

Используйте любой из следующих контрольных списков развертывания во время установки или для устранения неполадок в зависимости от сценария:

Общедоступный доступ с помощью Azure IR

Сканирование структуры одного клиента с помощью Azure IR и управляемого удостоверения в общедоступной сети

1. Убедитесь, что учетные записи Fabric и Microsoft Purview находятся в одном клиенте.

2. Убедитесь, что во время регистрации правильно введен идентификатор клиента Fabric.

3. Убедитесь, что модель метаданных Fabric обновлена, включив сканирование метаданных.

4. С портал Azure проверьте, настроена ли учетная запись Microsoft Purview Сеть для общедоступного доступа.

5. На портале клиента Fabric Администратор убедитесь, что клиент Fabric настроен на разрешение общедоступной сети.

6. В клиенте Microsoft Entra создайте группу безопасности.

7. В Microsoft Entra клиенте убедитесь, что MSI учетной записи Microsoft Purview является членом новой группы безопасности.

8. На портале Администратор клиента Fabric убедитесь, что для новой группы безопасности включен параметр Разрешить субъектам-службам использовать API администрирования только для чтения.

Общедоступный доступ с локальной средой IR

Сканирование однотенантной структуры с помощью локальной среды ir с субъектом-службой в общедоступной сети

1. Убедитесь, что учетные записи Fabric и Microsoft Purview находятся в одном клиенте.

2. Убедитесь, что во время регистрации правильно введен идентификатор клиента Fabric.

3. Убедитесь, что модель метаданных Fabric обновлена, включив сканирование метаданных.

4. С портал Azure проверьте, настроена ли учетная запись Microsoft Purview Сеть для общедоступного доступа.

5. На портале клиента Fabric Администратор убедитесь, что клиент Fabric настроен на разрешение общедоступной сети.

6. Проверьте Key Vault Azure, чтобы убедиться в том, что:

   1. Опечатки в пароле или секрете отсутствуют.
   2. Управляемое удостоверение Microsoft Purview имеет доступ к секретам с получением или получением списка.

7. Проверьте свои учетные данные, чтобы проверить:

   1. Идентификатор клиента соответствует идентификатору приложения (клиента) регистрации приложения.
   2. Имя пользователя включает имя участника-пользователя, например johndoe@contoso.com.

8. Проверьте параметры регистрации приложений, чтобы убедиться в том, что:

   1. Регистрация приложения существует в клиенте Microsoft Entra.

   2. Если субъект-служба используется, в разделе разрешения API для следующих API назначаются следующие делегированные разрешения с чтением для следующих API:

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. В разделе Проверка подлинности включен параметр Разрешить общедоступные клиентские потоки .

9. Проверка параметров локальной среды выполнения:

   1. Установлена последняя версия локальной среды выполнения интеграции или поддерживаемой Kubernetes локальной среды выполнения интеграции .

   2. Сетевое подключение из локальной среды выполнения к клиенту Fabric включено. Из локальной среды выполнения должны быть доступны следующие конечные точки:

      • *.powerbi.com
      • *.analysis.windows.net

   3. Сетевое подключение из локальной среды выполнения к службам Майкрософт включено.

   4. Установлен JDK 8 или более поздней версии. Перезапустите компьютер после установки JDK, чтобы он вступил в силу.

10. В клиенте Microsoft Entra создайте группу безопасности.

11. В Microsoft Entra клиенте убедитесь, что субъект-служба является членом новой группы безопасности.

12. На портале Администратор клиента Fabric убедитесь, что для новой группы безопасности включен параметр Разрешить субъектам-службам использовать API администрирования только для чтения.

Частный доступ с управляемой виртуальной сетью IR (только версия 2)

Сканирование структуры одного и того же клиента с помощью управляемой среды ir виртуальной сети (только версии 2) с управляемым удостоверением, делегированной проверкой подлинности или субъектом-службой в частной сети

1. Убедитесь, что учетные записи Fabric и Microsoft Purview находятся в одном клиенте.

2. Убедитесь, что во время регистрации правильно введен идентификатор клиента Fabric.

3. Убедитесь, что модель метаданных Fabric обновлена, включив сканирование метаданных.

4. Проверьте Key Vault Azure, чтобы убедиться в том, что:

   1. Опечатки в пароле отсутствуют.
   2. Управляемое удостоверение Microsoft Purview имеет доступ к секретам с получением или получением списка.

5. Проверьте свои учетные данные, чтобы проверить:

   1. Идентификатор клиента соответствует идентификатору приложения (клиента) регистрации приложения.
   2. Имя пользователя включает имя участника-пользователя, например johndoe@contoso.com.

6. Если используется делегированная проверка подлинности, проверьте параметры пользователя администратора Fabric, чтобы убедиться, что:

   1. Пользователю назначается роль администратора Fabric.
   2. Если пользователь был создан недавно, войдите с ним хотя бы один раз, чтобы убедиться, что пароль успешно сброшен и пользователь может успешно запустить сеанс.
   3. MFA или политики условного доступа не применяются к пользователю.

7. Проверьте параметры регистрации приложений, чтобы убедиться в том, что:

   1. Регистрация приложения существует в клиенте Microsoft Entra.

   2. Если субъект-служба используется, в разделе разрешения API для следующих API назначаются следующие делегированные разрешения с чтением для следующих API:

      • Microsoft Graph openid
      • Microsoft Graph User.Read

   3. Если используется делегированная проверка подлинности, в разделе разрешения API для следующих делегированных разрешений и предоставления согласия администратора для клиента настраивается чтение для следующих API:

      • Клиент службы Power BI.Read.All
      • Microsoft Graph openid
      • Microsoft Graph User.Read

   4. В разделе Проверка подлинности включен параметр Разрешить общедоступные клиентские потоки .

8. В клиенте Microsoft Entra создайте группу безопасности.

9. В Microsoft Entra клиенте убедитесь, что субъект-служба является членом новой группы безопасности.

10. На портале Администратор клиента Fabric убедитесь, что для новой группы безопасности включен параметр Разрешить субъектам-службам использовать API администрирования только для чтения.

Регистрация клиента Fabric

В этом разделе описывается, как зарегистрировать клиент Fabric в Microsoft Purview для сценария с тем же клиентом.

1. Выберите карту данных в области навигации слева.

2. Затем нажмите Зарегистрировать.

   Выберите Структура в качестве источника данных.

   

3. Присвойте экземпляру Fabric понятное имя и выберите коллекцию.

   Имя должно содержать от 3 до 63 символов и содержать только буквы, цифры, символы подчеркивания и дефисы. Пробелы не допускаются.

   По умолчанию система найдет клиент Fabric, который существует в том же Microsoft Entra клиенте.

Проверка подлинности

Чтобы проверить клиент Microsoft Fabric и просмотреть его метаданные, сначала необходимо создать способ проверки подлинности с помощью клиента Fabric, а затем предоставить Microsoft Purview сведения о проверке подлинности.

Проверка подлинности в клиенте Fabric

В клиенте Microsoft Entra, где расположен клиент Fabric:

1. В портал Azure найдите Microsoft Entra ID.

2. Создайте новую группу безопасности в Microsoft Entra ID, выполнив команду Создать базовую группу и добавьте участников с помощью Microsoft Entra ID.

   Совет

   Этот шаг можно пропустить, если у вас уже есть группа безопасности, которую вы хотите использовать.

3. Выберите Безопасность в качестве типа группы.

   

4. Добавьте всех соответствующих пользователей в группу безопасности:

   • Если вы используете управляемое удостоверение в качестве метода проверки подлинности, добавьте управляемое удостоверение Microsoft Purview в эту группу безопасности. Выберите Участники, а затем + Добавить участников.

     

   • Если в качестве метода проверки подлинности используется делегированная проверка подлинности или субъект-служба , добавьте субъект-службу в эту группу безопасности. Выберите Участники, а затем + Добавить участников.

5. Найдите управляемое удостоверение Или субъект-службу Microsoft Purview и выберите его.

   

   Вы увидите уведомление об успешном выполнении, показывающее, что оно было добавлено.

   

Связывание группы безопасности с клиентом Fabric

1. Войдите на портал администрирования Fabric.

2. Выберите страницу Параметры клиента .

   Важно!

   Вы должны быть Администратор Fabric, чтобы просмотреть страницу параметров клиента.

3. Выберите Администратор параметры> APIРазрешить субъектам-службам использовать API администратора только для чтения.

4. Выберите Определенные группы безопасности.

5. Выберите параметры API> АдминистраторРасширение ответов API администратора с помощью подробных метаданных и Улучшение ответов API администрирования с помощью DAX и гибридных выражений> Включите переключатель, чтобы Схема данных Microsoft Purview автоматически обнаруживали подробные метаданные наборов данных Fabric при проверке.

   Важно!

   После обновления параметров API Администратор в клиенте Fabric подождите около 15 минут, прежде чем зарегистрировать подключение для проверки и тестирования.

   Предостережение

   Если вы разрешаете созданной группе безопасности (в составе управляемого удостоверения Microsoft Purview) использовать API администратора только для чтения, вы также разрешаете ей доступ к метаданным (например, к именам панелей мониторинга и отчетам, владельцам, описаниям и т. д.) для всех артефактов Fabric в этом клиенте. После извлечения метаданных в Microsoft Purview разрешения Microsoft Purview, а не разрешения Fabric, определяют, кто может видеть эти метаданные.

   Примечание.

   Группу безопасности можно удалить из параметров разработчика, но извлеченные ранее метаданные не будут удалены из учетной записи Microsoft Purview. При желании его можно удалить отдельно.

Настройка учетных данных для проверок в Microsoft Purview

Управляемое удостоверение

Если вы выполнили все действия по проверке подлинности Microsoft Purview в Fabric, другие действия по проверке подлинности для управляемых удостоверений не требуются.

Субъект-служба

1. В портал Azure выберите Microsoft Entra ID и создайте регистрацию приложения в клиенте. Укажите URL-адрес веб-сайта в URI перенаправления. Сведения о URI перенаправления см. в этой документации из Microsoft Entra ID.

   

2. Запишите идентификатор клиента (идентификатор приложения).

   

3. На панели мониторинга Microsoft Entra выберите только что созданное приложение, а затем выберите Регистрация приложения. В разделе Разрешения API назначьте приложению следующие делегированные разрешения:

   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

4. В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.

5. В разделе Сертификаты & секреты создайте новый секрет и сохраните его безопасно для дальнейших действий.

6. В портал Azure перейдите к хранилищу ключей Azure.

7. Выберите Параметры Секреты> и выберите + Создать и импортировать.

   

8. Введите имя секрета, а в поле Значение введите только что созданный секрет для регистрации приложения. Нажмите кнопку Создать , чтобы завершить.

   

9. Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.

10. Теперь, когда секрет создан, в Microsoft Purview перейдите на страницу Учетные данные в разделе Управление.

    Совет

    Кроме того, во время сканирования можно создать новые учетные данные.

11. Создайте учетные данные, выбрав + Создать.

12. Укажите необходимые параметры:

    • Имя: укажите уникальное имя учетных данных.
    • Метод проверки подлинности: субъект-служба
    • Идентификатор клиента: идентификатор клиента Fabric
    • Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.
    • подключение Key Vault: подключение Microsoft Purview к Key Vault, где вы создали секрет ранее.
    • Имя секрета: имя созданного ранее секрета.

    

13. После заполнения всех сведений нажмите кнопку Создать.

Делегированная проверка подлинности

1. Создайте учетную запись пользователя в клиенте Microsoft Entra и назначьте ей роль Microsoft Entra Администратор структуры. Запишите имя пользователя и войдите, чтобы изменить пароль.

2. Перейдите в хранилище ключей Azure.

3. Выберите Параметры Секреты> и выберите + Создать и импортировать.

   

4. Введите имя секрета, а в поле Значение введите только что созданный пароль для пользователя Microsoft Entra. Нажмите кнопку Создать , чтобы завершить.

   

5. Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.

6. Создайте регистрацию приложения в клиенте Microsoft Entra. Укажите URL-адрес веб-сайта в URI перенаправления.

   

7. Запишите идентификатор клиента (идентификатор приложения).

   

8. На панели мониторинга Microsoft Entra выберите только что созданное приложение, а затем выберите Разрешения API. Назначьте приложению следующие делегированные разрешения и предоставьте согласие администратора для клиента:

   • Fabric Service Tenant.Read.All
   • Microsoft Graph openid
   • Microsoft Graph User.Read

   

9. В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.

10. Затем в Microsoft Purview перейдите на страницу Учетные данные в разделе Управление , чтобы создать новые учетные данные.

    Совет

    Кроме того, во время сканирования можно создать новые учетные данные.

11. Создайте учетные данные, выбрав + Создать.

12. Укажите необходимые параметры:

    • Имя: укажите уникальное имя учетных данных.
    • Метод проверки подлинности: делегированная проверка подлинности
    • Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.
    • Имя пользователя. Укажите имя пользователя администратора Fabric, созданного ранее.
    • подключение Key Vault: подключение Microsoft Purview к Key Vault, где вы создали секрет ранее.
    • Имя секрета: имя созданного ранее секрета.

    

13. После заполнения всех сведений нажмите кнопку Создать.

Создание сканирования

1. В Microsoft Purview Studio перейдите к карте данных в меню слева.

2. Перейдите в раздел Источники.

3. Выберите зарегистрированный источник Fabric.

4. Выберите + Создать сканирование.

5. Присвойте сканированию имя.

6. Выберите учетные данные управляемого удостоверения или учетные данные, созданные для субъекта-службы или делегированной проверки подлинности.

   

7. Выберите Проверить подключение , прежде чем переходить к дальнейшим действиям. Если не удалось проверить подключение , выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему.

   1. Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Сканирование с использованием управляемого удостоверения всегда будет проходить, так как проверка подлинности пользователя не требуется. При использовании субъекта-службы или делегированной проверки подлинности убедитесь, что учетные данные Key Vault настроены правильно и что Microsoft Purview имеет доступ к хранилищу ключей.
   2. Активы (+ происхождение) — состояние сбоя означает сбой авторизации Microsoft Purview — Fabric. Убедитесь, что управляемое удостоверение Microsoft Purview добавлено в группу безопасности, связанную на портале администрирования Fabric.
   3. Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Fabric отключен для следующего параметра — Улучшение ответов API администрирования с помощью подробных метаданных

   Совет

   Дополнительные сведения об устранении неполадок см. в контрольном списке развертывания , чтобы убедиться, что вы рассмотрели каждый шаг в своем сценарии.

8. Настройка триггера сканирования. Параметры: Повторяющийся и Один раз.

   

9. На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.

Просмотр проверок и запусков сканирования

Чтобы просмотреть существующие проверки, выполните приведенные далее действия.

1. Перейдите на портал Microsoft Purview. В левой области выберите Карта данных.
2. Выберите источник данных. Список существующих проверок для этого источника данных можно просмотреть в разделе Последние проверки или просмотреть все проверки на вкладке Сканирование .
3. Выберите сканирование с результатами, которые вы хотите просмотреть. На панели отображаются все предыдущие запуски сканирования, а также состояние и метрики для каждого запуска сканирования.
4. Выберите идентификатор запуска, чтобы проверка сведения о выполнении проверки.

Управление проверками

Чтобы изменить, отменить или удалить сканирование:

1. Перейдите на портал Microsoft Purview. В левой области выберите Карта данных.

2. Выберите источник данных. Список существующих проверок для этого источника данных можно просмотреть в разделе Последние проверки или просмотреть все проверки на вкладке Сканирование .

3. Выберите проверку, которой вы хотите управлять. Далее вы можете:

   • Измените сканирование, выбрав Изменить проверку.
   • Отмените выполняемую проверку, выбрав Отмена выполнения проверки.
   • Удалите сканирование, выбрав Удалить сканирование.

Примечание.

• При удалении сканирования ресурсы каталога, созданные на основе предыдущих проверок, не удаляются.

Дальнейшие действия

Теперь, когда вы зарегистрировали источник, следуйте приведенным ниже руководствам, чтобы узнать больше о Microsoft Purview и ваших данных.

• Аналитика ресурсов данных в Microsoft Purview
• Поиск Единый каталог