将帐户合并到域
本指南介绍如何将现有的经典 Microsoft Purview 帐户合并到 Microsoft Purview 租户帐户作为 域。 合并是将辅助经典 Microsoft Purview 帐户中的信息“复制到租户级帐户”的一次性过程。 所有信息都合并到新域中。现有经典帐户保持原样,因此,在验证合并后,可以迁移托管标识并停用和删除辅助帐户。
在本文档中,我们使用 术语“主帐户 ”和 “辅助帐户”:
- 主帐户 - 指租户级Microsoft Purview 实例。
- 辅助帐户 - 指要作为域迁移到主帐户的 Microsoft Purview 实例。
先决条件
- 具有多个 Microsoft Purview 帐户的租户。
- 在 辅助帐户 上为合并过程启用了公用网络访问。
- Microsoft Purview 帐户作为主帐户升级到新体验。
限制
- 辅助帐户只能合并一次。 合并后添加到辅助帐户的任何值都必须手动添加到主帐户。 建议在合并后停止使用辅助帐户,并停用或删除帐户。
- 在活动合并期间添加到辅助帐户的任何值或资产都不能保证迁移到主帐户。 建议在合并期间停止辅助帐户上的更新和扫描活动。
目前还存在一些限制,可能会阻止将现有 Microsoft Purview 帐户合并为域。 查看这些限制和 行为更改 ,确认合并是正确的选项。 将来可能会更新这些限制。
| 类别 | 限制 | 潜在的解决方法 |
|---|---|---|
| 主帐户只能有五个域。 | 请联系支持人员 ,提供业务需求并增加域编号。 | |
| 主帐户或辅助帐户的资产超过 1,000,000。 | 将资产删除到允许的限制,选择 筛选掉 资产类别,或 联系支持人员 以提供业务要求。 | |
| 辅助帐户的收集编号 + 主帐户的收集编号 > 400。 | 将集合删除或合并到允许的限制。 | |
| 扫描限制 | 辅助帐户具有用户分配的托管标识 (UAMI) 扫描。 | 从任何数据源中删除所有计划的 UAMI 扫描,或在 合并期间筛选掉用户分配的托管标识类别。 |
| 扫描运行历史记录不会迁移到主帐户。 | 无解决方法。 | |
| 辅助帐户已启用专用终结点。 | 从辅助帐户中删除所有专用终结点,或在 合并期间筛选出专用终结点类别。 | |
| 辅助帐户具有自承载集成运行时。 | 从辅助帐户中删除所有自承载集成运行时, 或在 合并期间筛选掉自承载集成运行时类别。 | |
| 辅助帐户具有托管虚拟网络。 | 从辅助帐户中删除所有托管虚拟网络,或在 合并期间筛选掉托管虚拟网络类别。 | |
| 辅助帐户已配置“自带事件中心”。 | 从辅助帐户中删除所有 Kafka 配置。 | |
| 辅助帐户已启用托管事件中心,并且在过去 30 天内积极使用它。 | 禁用托管事件中心。 | |
| 辅助帐户具有数据工厂连接。 | 删除数据工厂连接。 | |
| 辅助帐户具有数据共享连接。 | 删除所有数据共享连接。 | |
| 资产限制 | 辅助帐户具有世系扫描。 | 从任何数据源中删除所有世系扫描。 |
| 源限制 | 辅助帐户已注册网站数据源。 | 注销所有网站数据源 |
行为更改
使用托管标识 (MSI) 扫描数据源的任何辅助帐户扫描在迁移到主帐户后将继续使用相同的 MSI。 因此,如果在合并后删除辅助帐户,除非在合并后遵循 托管标识切换过程 ,否则这些迁移的扫描将不起作用。
使用托管标识 (MSI) 连接的任何辅助帐户的密钥保管库连接在迁移到主帐户后将继续使用相同的 MSI。 因此,如果在合并后删除辅助帐户,除非在合并后遵循 托管标识切换过程 ,否则这些迁移的扫描将不起作用。
如果辅助帐户具有名为 “术语表”的术语表,则迁移的术语表在主帐户中名为 “术语表-{辅助帐户名称} ”。 在评估期间,此行为可能会导致术语表冲突:
- 辅助帐户已有一个名为 “术语表”-{辅助帐户名称}
- 主帐户有一个名为 术语表-{辅助帐户名称}
如果辅助帐户是在 2022 年 7 月 12 日之前创建的,并且主帐户在此日期之后创建,则合并后,扫描将填充分层架构类型 (parquet_schema、json_schema、xml_schema 和 delimited_text_schema) ,而不是tabular_schema。
请求帐户合并
可以从 主 帐户或要合并的 辅助帐户请求帐户合并。
提示
建议在请求完全合并之前评估合并,以检查是否存在任何冲突或限制。
从主帐户请求帐户合并
重要
若要从主帐户请求帐户合并,请求者必须是 Purview 管理员 角色组的成员。
选择要在主帐户中映射为新域的现有帐户。 您可以:
在弹出窗口中选择 “选择帐户 ”按钮。
如果使用 Microsoft Purview 治理门户,请打开管理中心,导航到“常规”部分中的 “概述 ”。 如果使用 Microsoft Purview 门户,请打开“设置”解决方案卡,选择“帐户”,然后在警报框中选择“选择帐户”。
注意
如果租户中当前正在进行合并,则不会显示 “提交请求 ”弹出窗口和警报框。
如果登录用户没有请求合并的适当权限,则不会显示 “提交请求 ”弹出窗口和警报框。
选择要合并的帐户。 (建议在 合并前执行评估。)
选择“提交”。
运行评估以确认是否存在任何 冲突或限制,如果评估成功,合并过程将开始。
重要
失败的合并将启动清理过程,以还原所有内容恢复其以前的状态。
从辅助帐户请求帐户合并
重要
若要从辅助帐户请求帐户合并,请求者必须是根集合上的集合管理员或 ARM 资源所有者,然后还需要为他们分配以下角色之一:合规性管理器管理、角色管理、案例管理。
打开辅助帐户的 Microsoft Purview 门户
若要选择此帐户以映射为主帐户中的新域,可以:
在弹出窗口中选择“ 提交合并请求 ”。
或者,在 Microsoft Purview 治理门户中,打开管理中心,导航到“常规”部分中的“ 概述 ”,然后选择警报框。
注意
如果租户中当前正在进行合并,则不会显示 “提交请求 ”弹出窗口和警报框。
如果登录用户没有请求合并的适当权限,则不会显示 “提交请求 ”弹出窗口和警报框。
选择“提交”。
请求通过 审批流程 发送, Purview 管理员 需要在此流程中批准请求。
审批后,将运行评估以确认是否存在任何 冲突或限制,如果评估成功,合并过程将开始。
重要
失败的合并将启动清理过程,以还原一切回到其以前的状态。
合并筛选器
每当合并帐户时,都可以选择要迁移的对象和要排除的对象。 在许多情况下,筛选器会影响其自身类别中的对象。 但是,取消选择一些可能适用于关联对象的对象时,可能会发生行为更改。 下面列出了其中一些类别和关联的行为更改:
| 未选择的类别 | 行为更改 |
|---|---|
| 联系人分配 | 如果未选择,则会删除配置为术语表术语或资产的联系人分配。 |
| Credential | 如果未选择,则不会迁移使用凭据扫描数据源的扫描。 |
| 自定义分类规则 | 如果未选择,则不会迁移应用自定义分类规则的扫描。 |
| 自定义扫描规则集 | 如果未选择,则不会迁移使用应用的自定义扫描规则集的扫描。 |
| 自定义类型 | 如果未选择: - 不会迁移所有自定义类型资产 - 不会迁移自定义类型和受影响资产的所有关系。 - 不会迁移附加到术语表术语或资产的所有自定义类型的分类实例。 - 删除附加到术语表术语或资产的托管属性。 |
| 术语表 | 如果未选择,则不会迁移应用于术语表或术语表术语的工作流,并且资产不会具有关联的术语表。 |
| Key Vault 连接 | 如果未选择,则不会迁移使用密钥保管库凭据扫描数据源的扫描。 |
| 托管虚拟网络 | 如果未选择,则不会迁移使用托管虚拟网络扫描数据源的扫描。 |
| 自托管集成运行时 | 如果未选择,则不会迁移使用自承载集成运行时扫描数据源的扫描。 |
| 用户分配的托管标识 | 如果未选择,则不会迁移使用用户分配的托管标识扫描数据源的扫描 |
| 资源集规则 | 如果未选择,则将来扫描的资产不会应用任何资源集规则,util 用户在主帐户中配置新的资源集规则。 |
| 联系人分配 | 如果未选择,则会删除配置为资产和术语表术语的联系人分配。 |
批准帐户合并
如果从辅助帐户请求合并,则需要在继续合并之前获得 Purview 管理员的批准。 Purview 管理员 会收到一封电子邮件通知,用于批准合并请求。 或者,可以在主帐户的 Microsoft Purview 门户中批准合并请求。
重要
如果 Outlook 帐户和 Microsoft Purview 帐户位于不同的租户中,则从电子邮件进行审批可能会失败。 在这种情况下,请使用 Microsoft Purview 门户进行审批。
打开主帐户Microsoft Purview 门户。
根据所使用的门户:
- 如果使用 Microsoft Purview 治理门户:
- 打开管理中心
- 在“工作流”部分选择“ 请求和审批 ”。
- 如果使用 Microsoft Purview 门户:
- 打开工作流解决方案卡
- 选择“ 请求和审批”。
- 如果使用 Microsoft Purview 治理门户:
选择请求。
选择响应,然后选择“ 确认”。
评估冲突和限制
在运行合并之前,Microsoft Purview 将评估辅助帐户,以查看它是否符合与主帐户合并的先决条件。 如果检测到冲突/限制并且验证失败,则需要手动干预才能继续合并。 评估后,你将获得任何冲突 的报告 ,并且可以使用 我们的冲突和解决方法 来帮助解决这些问题。
自动解析
在帐户合并过程中,如果为某个类别设置了自动解析规则,系统会根据规则自动解决遇到的任何冲突。 目前,我们仅支持 跳过 规则,这意味着将跳过导致冲突的对象,并且不会从辅助帐户移动到主帐户。 还将跳过依赖于此对象的任何其他对象。
例如:如果为 术语表 类别设置了自动解析规则,并且术语表术语遇到冲突,则系统将自动跳过该术语的合并,并跳过该术语的任何子项的合并。
启用自动解决时遇到的任何冲突都不会在评估或合并过程中显示为错误,因为它们将根据规则自动解决。
仅评估
可以在不合并的情况下提交合并评估帐户,以检查任何冲突。
若要从主帐户运行评估,请执行以下操作:
若要评估合并的现有帐户,如果使用 Microsoft Purview 治理门户,请打开管理中心,导航到“常规”部分中的 “概述 ”。 如果使用 Microsoft Purview 门户,请打开“设置”解决方案卡,选择“帐户”,然后在警报框中选择“选择帐户”。
选择要评估的帐户。
选择“ 评估和合并 ”按钮上的下拉列表,然后选择“ 仅评估”。 仅运行评估,并且合并过程不会在之后启动,而不管评估结果如何。
若要从辅助帐户运行评估,请执行以下操作:
在弹出窗口中选择下拉列表,然后选择“ 仅提交评估请求”。
评估后,你将获得任何冲突 的报告 ,并且可以使用 我们的冲突和解决方法 来帮助解决这些问题。
冲突和解决方法
下面是冲突及其可能的解决方法的表:
| 冲突 (Conflict) | 潜在的解决方法 |
|---|---|
| 具有相同限定名称的资产同时存在于主帐户和辅助帐户中。 | 有几个选项: - 从主帐户或辅助帐户中删除冲突资产 - 选择筛选掉资产类别 - 选择 “自动解析 ”以在启动合并时跳过迁移。 |
| 主帐户和辅助帐户中都存在同名的术语表。 | 从主帐户或辅助帐户中删除冲突术语表,或者在合并期间筛选掉术语表类别。 |
| 具有相同限定名称的术语表术语同时存在于主帐户和辅助帐户中。 | 从主帐户或辅助帐户中删除冲突术语表术语。 |
| 主帐户和辅助帐户中都存在同名的术语模板。 | 从主帐户或辅助帐户中删除冲突术语模板。 |
| 主帐户和辅助帐户中都存在同名的分类规则。 | 从主帐户或辅助帐户中删除冲突分类规则。 |
| 具有相同名称的工作流同时存在于主帐户和辅助帐户中。 | 从主帐户或辅助帐户中删除冲突工作流。 |
| 主帐户和辅助帐户中都存在同名的密钥保管库连接。 | 从主帐户或辅助帐户中删除冲突密钥保管库连接。 |
| 主帐户和辅助帐户中都存在同名的凭据。 | 从主帐户或辅助帐户中删除冲突凭据。 |
| 在主帐户和辅助帐户中注册了相同数据源名称的数据源。 | 从主帐户或辅助帐户注销冲突数据源。 |
| 在主帐户和辅助帐户中注册的相同数据源。 | 从主帐户或辅助帐户注销冲突数据源。 |
| 主帐户和辅助帐户中都存在具有相同策略名称的数据策略。 | 从主要帐户或辅助帐户中删除冲突策略: DevOps 策略、 数据所有者策略、 自助服务策略。 |
| 主帐户和辅助帐户中都存在具有相同名称的扫描规则集。 | 从主帐户或辅助帐户中删除冲突扫描规则集。 |
| 主帐户和辅助帐户中都存在相同的联系人分配。 | 从主帐户或辅助帐户中删除冲突联系人分配。 |
| 辅助帐户有一个名为“术语表”的术语表,另一个名为“术语表-{辅助帐户名称}” | 从辅助帐户中删除“词汇表”或“词汇表-{辅助帐户名称}”。 |
| 辅助帐户具有名为“术语表”的术语表,主帐户具有名为“术语表-{辅助帐户名称}”的术语表 | 从辅助帐户中删除“术语表”,或者从主帐户中删除“词汇表-{辅助帐户名称}”。 |
| 同名的集合 (不显示名称) 同时存在于主帐户和辅助帐户中。 | 从辅助帐户或主帐户中删除冲突的集合。 |
查看合并和评估报告
可以在合并过程中实时跟踪合并进度。 若要查看合并报表,用户必须是 Purview 管理员 角色组的成员。
打开数据映射并选择“监视”
合并报表位于 “帐户合并 ”选项卡中
选择任何帐户名称以查看有关其合并或评估的完整信息。 再次选择帐户名称可折叠其详细信息并查看完整的帐户列表。
在报表页上,可以看到合并统计信息摘要:
帐户总数:尝试合并的帐户数
正在进行合并:当前正在合并的帐户
已完成合并:已成功合并的帐户
合并失败:无法合并的帐户
对于任何已完成的评估,可以通过选择评估详细信息中的按钮来重新运行评估或重新运行评估并合并。
合并和评估摘要
在帐户合并页上,选择一个帐户,然后可以查看合并或评估摘要以及该帐户的详细进度。
- 评估:确定主帐户和辅助帐户之间的冲突和限制的步骤。
注意
发现的冲突和限制阻止合并继续。 在选择“ 重新运行”之前,必须解决所有这些问题。
- 迁移:将对象从辅助帐户复制到主帐户的步骤
注意
主帐户中迁移的对象不可见,并且其关联的函数在此步骤中处于禁用状态。 例如,在迁移期间,扫描计划在主帐户中处于禁用状态,并在合并完成之前启用。
由于主帐户和辅助帐户在合并期间仍可正常运行,因此可能会出现新的冲突和限制。 在这种情况下,迁移将失败,并触发自动清理,以将主帐户的状态回滚到合并前的状态。
- 清理:在上一步 迁移失败时 自动触发以清理主帐户中迁移的对象的步骤。
- PostMigration:此步骤涉及合并完成前的准备工作。
还可以在评估/迁移/PostMigration/Cleanup) 步骤 (对象类别级别查看详细的合并进度。
提示
筛选为未合并的对象将在报表中显示为“已跳过”。
可以通过选择“ 查看详细信息”来查看问题详细信息。 它列出了评估期间检测到的所有冲突和限制。
使用筛选器向下钻取到所选类别中的冲突和限制。
下载报表
可以下载任何失败评估的所有冲突详细信息。
执行数据映射 -> 监视 -> 帐户合并
选择辅助帐户的评估。
选择 “问题 ”列中的任何链接。
选择“下载所有问题”按钮,下载包含“说明”、“对象类别”、“解决方法”和“类型”列的冲突详细信息报告。
提示
筛选为未合并的对象将在报表中显示为“已跳过”。
合并完成后
合并成功完成后,主帐户中将出现一个新域。 (显示前可能会有几分钟的延迟。) 它的显示名称将是辅助帐户的根集合的友好名称。 这包含从辅助帐户迁移的所有域级别数据。
接下来,应使用托管标识 切换过程将托管标识连接从辅助帐户切换到主帐户。
合并完成后,合并的帐户仍会产生计费。 若要防止通过合并的帐户计费,可以:
硬删除合并的辅助帐户
硬删除 Purview 帐户还会删除与辅助帐户关联的系统分配托管标识。 若要确保扫描和资源在删除辅助帐户后连接,可以使用 托管标识切换 过程将资源迁移到主帐户的托管标识。
- 打开Azure 门户并选择Microsoft Purview 帐户。
- 选择“ 删除 ”按钮并确认请求。
- 等待删除成功完成。
硬删除帐户后:
- 使用辅助帐户的系统分配的托管标识访问数据源的迁移扫描在主帐户中不起作用。
- 使用辅助帐户的系统分配的托管标识访问密钥保管库的迁移密钥保管库连接在主帐户中不起作用。
停用合并的辅助帐户
如果要停止对辅助帐户计费,或者想要使用辅助帐户的系统分配的托管标识来访问主帐户中的数据源和密钥保管库,可以选择在合并完成后停用辅助帐户。 停用帐户后,将阻止此帐户的数据平面操作,并停止计费。 若要将源和扫描切换到主托管标识,请使用 托管标识切换 过程。
警告
帐户停用后,将无法重新激活。
- 打开辅助帐户的 Microsoft Purview 门户。
- 打开“数据映射”,然后选择“ 监视”。
- 选择“ 帐户合并 ”选项卡。
- 选择 “停用 ”按钮。
托管标识切换
将辅助帐户合并到租户级帐户中时,将托管标识切换到新租户帐户是使用自承载集成运行时 (SHIR) 的必要步骤,即使不是,仍强烈建议这样做。 删除辅助帐户后,任何使用其托管标识的扫描或密钥保管库都将失败。
若要将扫描和资源从辅助帐户的托管标识切换到主帐户的托管标识,请执行以下步骤:
- 确保主/租户级Microsoft Purview 帐户的托管标识有权访问迁移的源和连接。
- 可以从以下操作开始切换:
- 辅助帐户中的域概述
- 如果辅助帐户使用自己的托管标识,则域概述页上有一个 “切换托管标识”按钮。 选择管理员。
- 选择“确认”
- 切换完成后,你将收到通知。
- 在辅助帐户的“创建/编辑扫描”页上
- 合并完成后,辅助帐户的扫描页上会显示一条通知,要求你确认切换托管标识。
- 选择“确认”
- 切换完成后,你将收到通知。
- 在辅助帐户的“创建/编辑密钥保管库连接”页上
- 合并完成后,辅助帐户的密钥保管库连接页上会显示一条通知,要求你确认切换托管标识。
- 选择“确认”
- 切换完成后,你将收到通知。
- 辅助帐户中的域概述
计费
合并完成后,辅助帐户的计费将与主帐户合并,并将计入主帐户的订阅。 但是,在 停用 辅助帐户之前,其计费仍适用于其订阅。
提示
合并辅助帐户后, 请停用 并删除它以减少计费。