Подключение к клиенту Microsoft Fabric из Microsoft Purview в другом клиенте (предварительная версия)
Важно!
При сканировании клиента Microsoft Fabric метаданные и происхождение данных из элементов Fabric, включая Power BI. Процесс регистрации клиента Fabric и настройки проверки аналогичен клиенту Power BI и используется всеми элементами Fabric. В настоящее время проверка элементов Fabric, отличных от Power BI, находится в предварительной версии. Дополнительные условия использования предварительных версий Microsoft Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или еще не выпущены в общедоступной версии.
В этой статье описывается, как зарегистрировать клиент Microsoft Fabric, который находится в клиенте, отличном от вашего ресурса Microsoft Purview, а также как проверить подлинность и взаимодействовать с источником Fabric в Microsoft Purview. Дополнительные сведения о Microsoft Purview в целом см. в вводной статье.
Примечание.
Сведения о проверке клиента Power BI см. в документации по Power BI.
Поддерживаемые возможности
| Извлечение метаданных | Полная проверка | Добавочное сканирование | Сканирование с заданной областью | Классификация | Присвоение подписей | Политика доступа | Lineage | Общий доступ к данным | Интерактивное представление |
|---|---|---|---|---|---|---|---|---|---|
| Да | Да | Да | Да | Нет | Нет | Нет | Да | Нет | Нет |
| Опытом | Элементы структуры | Доступно при сканировании | Доступно в динамическом режиме (только для одного клиента) |
|---|---|---|---|
| аналитика Real-Time | База данных KQL | Да | Да |
| Набор запросов KQL | Да | Да | |
| Обработка и анализ данных | Эксперимент | Да | Да |
| Модель машинного обучения | Да | Да | |
| Фабрика данных | Конвейер данных | Да | Да |
| Поток данных 2-го поколения | Да | Да | |
| Инжиниринг данных | Lakehouse | Да | Да |
| Notebook | Да | Да | |
| Определение задания Spark | Да | Да | |
| Конечная точка аналитики SQL | Да | Да | |
| Хранилище данных | Склад | Да | Да |
| Power BI | Панель мониторинга | Да | Да |
| Поток данных | Да | Да | |
| Datamart | Да | Да | |
| Семантическая модель (набор данных) | Да | Да | |
| Отчет | Да | Да | |
| Отчет с разбивкой на страницы | Да |
Поддерживаемые сценарии для проверок Fabric
| Scenarios | Разрешен или запрещен общий доступ к Microsoft Purview | Общий доступ к Fabric разрешен /запрещен | Параметр среды выполнения | Параметр проверки подлинности | Контрольный список развертывания |
|---|---|---|---|---|---|
| Общедоступный доступ с помощью Azure IR | Разрешено | Разрешено | Среда выполнения Azure | Делегированная проверка подлинности или субъект-служба | Проверка контрольного списка развертывания |
| Общедоступный доступ с локальной средой IR | Разрешено | Разрешено | SHIR или Kubernetes SHIR | Субъект-служба | Проверка контрольного списка развертывания |
| Частный доступ | Denied | Разрешено | Управляемая среда ir виртуальной сети (только версия 2) | Делегированная проверка подлинности или субъект-служба | Проверка контрольного списка развертывания |
Примечание.
Поддерживаемые выше сценарии применяются для элементов, не относящихся к Power BI, в Fabric. Поддерживаемые сценарии, применимые к элементам Power BI, см. в документации по Power BI.
Известные ограничения
- В настоящее время для всех элементов Fabric, кроме Power BI, будут проверяться только метаданные на уровне элементов и происхождения, сканирование метаданных и происхождения элементов подуровневого уровня, таких как таблицы или файлы Lakehouse, не поддерживается.
- Для локальной среды выполнения интеграции поддерживается стандартная локальная среда выполнения интеграции с минимальной версией 5.40.8836.1 или локальной средой выполнения интеграции, поддерживаемой Kubernetes .
- Пустые рабочие области пропускаются.
Предварительные условия
Перед началом работы убедитесь, что у вас есть следующее:
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
Активная учетная запись Microsoft Purview.
Параметры проверки подлинности
- Субъект-служба
- Делегированная проверка подлинности
Контрольный список развертывания
Контрольный список развертывания содержит сводку всех действий, необходимых для настройки источника структуры между арендаторами. Его можно использовать во время установки или для устранения неполадок, чтобы убедиться, что вы выполнили все необходимые действия для подключения.
- Общедоступный доступ с помощью Azure IR
- Общедоступный доступ с локальной средой IR
- Частный доступ с управляемой виртуальной сетью IR (только версия 2)
Сканирование межтенантной структуры с помощью делегированной проверки подлинности в общедоступной сети
Убедитесь, что во время регистрации правильно введен идентификатор клиента Fabric. По умолчанию будет заполнен идентификатор клиента Fabric, который существует в том же экземпляре Microsoft Entra, что и Microsoft Purview.
Убедитесь, что модель метаданных Fabric обновлена, включив сканирование метаданных.
На портал Azure проверьте, настроена ли сеть учетных записей Microsoft Purview для общедоступного доступа.
На портале администрирования клиента Fabric убедитесь, что клиент Fabric настроен на разрешение общедоступной сети.
Проверьте экземпляр azure Key Vault, чтобы убедиться в том, что:
- Опечатки в пароле или секрете отсутствуют.
- Управляемое удостоверение Microsoft Purview имеет доступ к секретам с получением и перечислением .
Проверьте свои учетные данные, чтобы проверить, что:
- Идентификатор клиента соответствует идентификатору приложения (клиента) регистрации приложения.
- Для делегированной проверки подлинности имя пользователя включает имя участника-пользователя, например
johndoe@contoso.com.
В клиенте Microsoft Entra Fabric проверьте следующие параметры администратора Fabric:
- Пользователю назначается роль администратора Fabric.
- Если пользователь был создан недавно, войдите с ним хотя бы один раз, чтобы убедиться, что пароль успешно сброшен, и пользователь может успешно инициировать сеанс.
- Для пользователя не применяются политики многофакторной проверки подлинности или условного доступа.
В клиенте Microsoft Entra Fabric проверьте следующие параметры регистрации приложения:
- Регистрация приложения существует в клиенте Microsoft Entra, где находится клиент Fabric.
- Если субъект-служба используется, в разделе разрешения API для следующих API назначаются следующие делегированные разрешения с чтением для следующих API:
- Microsoft Graph openid
- Microsoft Graph User.Read
- Если используется делегированная проверка подлинности, в разделе разрешения API для следующих делегированных разрешений и предоставления согласия администратора для клиента настраивается чтение для следующих API:
- Клиент службы Power BI.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
- В разделе Проверка подлинности:
- Поддерживаемые типы учетных записей>Выбраны учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Мультитенантный).
- Неявное предоставление и гибридные потоки>Выбраны маркеры идентификатора (используемые для неявных и гибридных потоков).
- Разрешение общедоступных клиентских потоков включено.
В клиенте Fabric из Microsoft Entra клиента убедитесь, что субъект-служба является членом новой группы безопасности.
На портале Администратор клиента Fabric убедитесь, что для новой группы безопасности включен параметр Разрешить субъектам-службам использовать API администрирования только для чтения.
Регистрация клиента Fabric
В параметрах слева выберите Карта данных.
Выберите Зарегистрировать, а затем в качестве источника данных выберите Структура .
Присвойте экземпляру Fabric понятное имя. Имя должно содержать от 3 до 63 символов и содержать только буквы, цифры, символы подчеркивания и дефисы. Пробелы не допускаются.
Измените поле Идентификатор клиента , чтобы заменить клиентом для межтенантной структуры, которую требуется зарегистрировать и проверить. По умолчанию заполняется идентификатор клиента Microsoft Purview.
Проверка подлинности
Чтобы проверить клиент Microsoft Fabric и просмотреть его метаданные, сначала необходимо создать способ проверки подлинности с помощью клиента Fabric, а затем предоставить Microsoft Purview сведения о проверке подлинности.
Проверка подлинности в клиенте Fabric
В клиенте Microsoft Entra, где расположен клиент Fabric:
В портал Azure найдите Microsoft Entra ID.
Создайте новую группу безопасности в Microsoft Entra ID, выполнив команду Создать базовую группу и добавьте участников с помощью Microsoft Entra ID.
Совет
Этот шаг можно пропустить, если у вас уже есть группа безопасности, которую вы хотите использовать.
Выберите Безопасность в качестве типа группы.
Выберите Участники, а затем + Добавить участников.
Найдите управляемое удостоверение Или субъект-службу Microsoft Purview и выберите его.
Вы увидите уведомление об успешном выполнении, показывающее, что оно было добавлено.
Связывание группы безопасности с клиентом Fabric
Войдите на портал администрирования Fabric.
Выберите страницу Параметры клиента .
Важно!
Вы должны быть Администратор Fabric, чтобы просмотреть страницу параметров клиента.
Выберите Администратор параметры> APIРазрешить субъектам-службам использовать API администратора только для чтения.
Выберите Определенные группы безопасности.
Выберите параметры API> АдминистраторРасширение ответов API администратора с помощью подробных метаданных и Улучшение ответов API администрирования с помощью DAX и гибридных выражений> Включите переключатель, чтобы Схема данных Microsoft Purview автоматически обнаруживали подробные метаданные наборов данных Fabric при проверке.
Важно!
После обновления параметров API Администратор в клиенте Fabric подождите около 15 минут, прежде чем зарегистрировать подключение для проверки и тестирования.
Предостережение
Если вы разрешаете созданной группе безопасности использовать API администраторов только для чтения, вы также разрешаете ей доступ к метаданным (например, к именам панелей мониторинга и отчетам, владельцам, описаниям и т. д.) для всех артефактов Fabric в этом клиенте. После извлечения метаданных в Microsoft Purview разрешения Microsoft Purview, а не разрешения Fabric, определяют, кто может видеть эти метаданные.
Примечание.
Группу безопасности можно удалить из параметров разработчика, но извлеченные ранее метаданные не будут удалены из учетной записи Microsoft Purview. При желании его можно удалить отдельно.
Настройка учетных данных для проверок в Microsoft Purview
Субъект-служба
Создайте регистрацию приложения в клиенте Microsoft Entra, где находится Структура. Укажите URL-адрес веб-сайта в URI перенаправления.
Запишите идентификатор клиента (идентификатор приложения).
На панели мониторинга Microsoft Entra выберите только что созданное приложение, а затем выберите Разрешения приложения. Назначьте приложению следующие делегированные разрешения:
- Microsoft Graph openid
- Microsoft Graph User.Read
На панели мониторинга Microsoft Entra выберите только что созданное приложение, а затем — Проверка подлинности. В разделе Поддерживаемые типы учетных записей выберите Учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Мультитенантный)..
В разделе Неявное предоставление и гибридные потоки выберите маркеры идентификаторов (используются для неявных и гибридных потоков).
В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.
В клиенте, где создается Microsoft Purview, перейдите к экземпляру Azure Key Vault.
Выберите Параметры Секреты>, а затем — + Создание и импорт.
Введите имя секрета. В поле Значение введите только что созданный секрет для регистрации приложения. Нажмите кнопку Создать , чтобы завершить.
В разделе Сертификаты & секреты создайте новый секрет и сохраните его безопасно для дальнейших действий.
В портал Azure перейдите к хранилищу ключей Azure.
Выберите Параметры Секреты> и выберите + Создать и импортировать.
Введите имя секрета, а в поле Значение введите только что созданный секрет для регистрации приложения. Нажмите кнопку Создать , чтобы завершить.
Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.
Затем в Microsoft Purview перейдите на страницу Учетные данные в разделе Управление , чтобы создать новые учетные данные.
Совет
Кроме того, во время сканирования можно создать новые учетные данные.
Создайте учетные данные, выбрав + Создать.
Укажите необходимые параметры:
- Имя: укажите уникальное имя учетных данных.
- Метод проверки подлинности: субъект-служба
- Идентификатор клиента: идентификатор клиента Fabric
- Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.
- подключение Key Vault: подключение Microsoft Purview к Key Vault, где вы создали секрет ранее.
- Имя секрета: имя созданного ранее секрета.
После заполнения всех сведений нажмите кнопку Создать.
Делегированная проверка подлинности
Создайте учетную запись пользователя в клиенте Microsoft Entra, где находится клиент Fabric, и назначьте пользователю рольадминистратора Структуры. Запишите имя пользователя и войдите, чтобы изменить пароль.
Перейдите к экземпляру Azure Key Vault в клиенте, где создается Microsoft Purview.
Выберите Параметры Секреты>, а затем — + Создание и импорт.
Введите имя секрета. В поле Значение введите только что созданный пароль для пользователя Microsoft Entra. Нажмите кнопку Создать , чтобы завершить.
Если хранилище ключей еще не подключено к Microsoft Purview, необходимо создать новое подключение к хранилищу ключей.
Создайте регистрацию приложения в клиенте Microsoft Entra, где находится Структура. Укажите URL-адрес веб-сайта в URI перенаправления.
Запишите идентификатор клиента (идентификатор приложения).
На панели мониторинга Microsoft Entra выберите только что созданное приложение, а затем выберите Разрешения приложения. Назначьте приложению следующие делегированные разрешения и предоставьте согласие администратора для клиента:
- Fabric Service Tenant.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
На панели мониторинга Microsoft Entra выберите только что созданное приложение, а затем — Проверка подлинности. В разделе Поддерживаемые типы учетных записей выберите Учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Мультитенантный)..
В разделе Неявное предоставление и гибридные потоки выберите маркеры идентификаторов (используются для неявных и гибридных потоков).
В разделе Дополнительные параметры установите флажок Разрешить общедоступные клиентские потоки.
Затем в Microsoft Purview перейдите на страницу Учетные данные в разделе Управление , чтобы создать новые учетные данные.
Совет
Кроме того, во время сканирования можно создать новые учетные данные.
Создайте учетные данные, выбрав + Создать.
Укажите необходимые параметры:
- Имя: укажите уникальное имя учетных данных.
- Метод проверки подлинности: делегированная проверка подлинности
- Идентификатор клиента. Используйте идентификатор клиента субъекта-службы (идентификатор приложения), созданный ранее.
- Имя пользователя. Укажите имя пользователя администратора Fabric, созданного ранее.
- подключение Key Vault: подключение Microsoft Purview к Key Vault, где вы создали секрет ранее.
- Имя секрета: имя созданного ранее секрета.
После заполнения всех сведений нажмите кнопку Создать.
Создание сканирования
В Microsoft Purview Studio перейдите к карте данных в меню слева. Перейдите в раздел Источники.
Выберите зарегистрированный источник Fabric из нескольких клиентов.
Выберите + Создать сканирование.
Присвойте сканированию имя. Затем выберите параметр для включения или исключения личных рабочих областей.
Примечание.
При переключении конфигурации сканирования на включение или исключение личной рабочей области активируется полная проверка источника Fabric.
Выберите Azure AutoResolveIntegrationRuntime в раскрывающемся списке.
В поле Учетные данные выберите учетные данные, созданные для субъекта-службы или делегированной проверки подлинности.
Выберите Проверить подключение , прежде чем переходить к следующим шагам.
Если тест завершается сбоем, выберите Просмотреть отчет , чтобы просмотреть подробное состояние и устранить проблему:
- Доступ — состояние сбоя означает, что проверка подлинности пользователя завершилась сбоем. Проверьте правильность имени пользователя и пароля. Проверьте, содержит ли учетные данные правильный идентификатор клиента (приложения) из регистрации приложения.
- Активы (+ происхождение) — состояние сбоя означает, что авторизация между Microsoft Purview и Fabric завершилась сбоем. Убедитесь, что пользователь добавлен в роль администратора Fabric.
- Подробные метаданные (расширенные) — состояние сбоя означает, что портал администрирования Fabric отключен для следующего параметра: Улучшение ответов API администратора с помощью подробных метаданных.
Совет
Дополнительные сведения об устранении неполадок см. в контрольном списке развертывания , чтобы убедиться, что вы рассмотрели каждый шаг в своем сценарии.
Настройка триггера сканирования. Доступные варианты: Повторяющееся или Однократно.
На вкладке Просмотр новой проверки выберите Сохранить и запустить , чтобы запустить проверку.
Просмотр проверок и запусков сканирования
Чтобы просмотреть существующие проверки, выполните приведенные далее действия.
- Перейдите на портал Microsoft Purview. В левой области выберите Карта данных.
- Выберите источник данных. Список существующих проверок для этого источника данных можно просмотреть в разделе Последние проверки или просмотреть все проверки на вкладке Сканирование .
- Выберите сканирование с результатами, которые вы хотите просмотреть. На панели отображаются все предыдущие запуски сканирования, а также состояние и метрики для каждого запуска сканирования.
- Выберите идентификатор запуска, чтобы проверка сведения о выполнении проверки.
Управление проверками
Чтобы изменить, отменить или удалить сканирование:
Перейдите на портал Microsoft Purview. В левой области выберите Карта данных.
Выберите источник данных. Список существующих проверок для этого источника данных можно просмотреть в разделе Последние проверки или просмотреть все проверки на вкладке Сканирование .
Выберите проверку, которой вы хотите управлять. Далее вы можете:
- Измените сканирование, выбрав Изменить проверку.
- Отмените выполняемую проверку, выбрав Отмена выполнения проверки.
- Удалите сканирование, выбрав Удалить сканирование.
Примечание.
- При удалении сканирования ресурсы каталога, созданные на основе предыдущих проверок, не удаляются.
Дальнейшие действия
Теперь, когда вы зарегистрировали источник, ознакомьтесь со следующими руководствами, чтобы узнать больше о Microsoft Purview и ваших данных.