连接到与 Microsoft Purview (预览版) 相同的租户中的 Microsoft Fabric 租户

项目
11/13/2024

重要

扫描Microsoft Fabric 租户将引入包括 Power BI 在内的 Fabric 项的元数据和世系。注册 Fabric 租户和设置扫描的体验类似于 Power BI 租户，并在所有 Fabric 项之间共享。对 Power BI 以外的 Fabric 项的扫描目前处于预览状态。 Microsoft Azure 预览版的补充使用条款包括适用于 Beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

本文概述了如何注册与 Microsoft Purview 资源 位于同一租户中的 Microsoft Fabric 租户，以及如何在 Microsoft Purview 中对 Fabric 源进行身份验证和交互。有关 Microsoft Purview 的一般信息，请阅读介绍性文章。

注意

从 2023 年 12 月 13 日开始，扫描在 Microsoft Purview 中向 Fabric 数据源注册的 Fabric 租户将从包括 Power BI 在内的 Fabric 项捕获元数据和世系。在接下来的几天内，此功能将在所有 Microsoft Purview 公有云区域推出。

有关扫描 Power BI 租户的信息，请参阅 Power BI 文档。

支持的功能

元数据提取	完整扫描	增量扫描	作用域扫描	分类	标记	访问策略	世系沿袭	数据共享	实时视图
是	是	是	是	否	否	否	是	否	是

经验	构造项	扫描中可用	仅在同一租户 (实时视图)
Real-Time Analytics	KQL 数据库	是	是
	KQL 查询集	是	是
数据科学	试验	是	是
	ML 模型	是	是
数据工厂	数据管道	是	是
	数据流 Gen2	是	是
数据工程	Lakehouse	是	是
	笔记本	是	是
	Spark 作业定义	是	是
	SQL 分析终结点	是	是
数据仓库	仓库	是	是
Power BI	仪表板	是	是
	数据流	是	是
	数据市场	是	是
	语义模型 (数据集)	是	是
	报告	是	是
	分页报表	是

Fabric 扫描支持的方案

Scenarios	Microsoft Purview 公共访问允许/拒绝	允许 /拒绝的结构公共访问	运行时选项	身份验证选项	部署检查表
使用 Azure IR 进行公共访问	Allowed	Allowed	Azure 运行时	托管标识/委托身份验证/服务主体	查看部署清单
使用自承载 IR 的公共访问	Allowed	Allowed	SHIR 或 Kubernetes SHIR	服务主体	查看部署清单
专用访问	Denied	Allowed	仅托管 VNet IR (v2)	托管标识/委托身份验证/服务主体	查看部署清单

注意

上述支持的方案适用于 Fabric 中的非 Power BI 项。有关适用于 Power BI 项的支持方案，请参阅 Power BI 文档。

已知限制

目前，除了 Power BI 之外的所有 Fabric 项，仅扫描项级元数据和世系，不支持扫描子级别项（如 Lakehouse 表或文件）的元数据和世系。
对于自承载集成运行时，支持最低版本为 5.40.8836.1 的标准自承载集成运行时或 Kubernetes 支持的自承载集成运行时。
跳过空工作区。
目前，需要通过服务主体身份验证来扫描 Microsoft Fabric lakehouse。

先决条件

在开始之前，请确保满足以下先决条件：

具有活动订阅的 Azure 帐户。免费创建帐户。
活动 Microsoft Purview 帐户。

身份验证选项

托管标识
*服务主体
委托身份验证

部署检查表

根据方案，在设置过程中或出于故障排除目的使用以下任何部署清单：

在公用网络中使用 Azure IR 和托管标识扫描同一租户构造

确保 Fabric 和 Microsoft Purview 帐户位于同一租户中。
确保在注册期间正确输入 Fabric 租户 ID。
通过启用元数据扫描，确保 Fabric 元数据模型是最新的。
从Azure 门户验证 Microsoft Purview 帐户网络是否设置为公共访问。
在 Fabric 租户管理员门户中，确保将 Fabric 租户配置为允许公用网络。
在Microsoft Entra租户中，创建安全组。
从Microsoft Entra租户，请确保 purview 帐户 MSI Microsoft 是新安全组的成员。
在 Fabric 租户管理员门户中，验证是否为新安全组启用了允许服务主体使用只读管理员 API。

在公用网络中使用自承载 IR 和服务主体扫描同一租户构造

确保 Fabric 和 Microsoft Purview 帐户位于同一租户中。
确保在注册期间正确输入 Fabric 租户 ID。
通过启用元数据扫描，确保 Fabric 元数据模型是最新的。
从Azure 门户验证 Microsoft Purview 帐户网络是否设置为公共访问。
在 Fabric 租户管理员门户中，确保将 Fabric 租户配置为允许公用网络。
检查 Azure 密钥保管库以确保：
1. 密码或机密中没有拼写错误。
2. Microsoft Purview 托管标识具有对机密的获取/列表访问权限。
查看凭据以验证：
1. 客户端 ID 与 应用程序 (客户端) 应用注册 ID 匹配。
2. 用户名包括用户主体名称，例如 johndoe@contoso.com。
验证应用注册设置以确保：
1. 应用注册存在于Microsoft Entra租户中。
2. 如果使用服务主体，在 API 权限下，为以下 API 分配有读取权限的以下 委托权限 ：
  - Microsoft Graph openid
  - Microsoft Graph User.Read
3. 在 “身份验证”下，启用 “允许公共客户端流 ”。
验证自承载运行时设置：
1. 已安装最新版本的自承载集成运行时或 Kubernetes 支持的自承载集成运行时。
2. 已启用从自承载运行时到 Fabric 租户的网络连接。必须可从自承载运行时访问以下终结点：
  - *.powerbi.com
  - *.analysis.windows.net
3. 已启用从自承载运行时到Microsoft服务的网络连接。
4. 已安装 JDK 8 或更高版本。在新安装 JDK 后重启计算机，使其生效。
在Microsoft Entra租户中，创建安全组。
从租户Microsoft Entra，请确保服务主体是新安全组的成员。
在 Fabric 租户管理员门户中，验证是否为新安全组启用了允许服务主体使用只读管理员 API。

使用托管 VNet IR (仅) 专用网络中托管标识、委托身份验证或服务主体扫描同一租户构造

确保 Fabric 和 Microsoft Purview 帐户位于同一租户中。
确保在注册期间正确输入 Fabric 租户 ID。
通过启用元数据扫描，确保 Fabric 元数据模型是最新的。
检查 Azure 密钥保管库以确保：
1. 密码中没有拼写错误。
2. Microsoft Purview 托管标识具有对机密的获取/列表访问权限。
查看凭据以验证：
1. 客户端 ID 与 应用程序 (客户端) 应用注册 ID 匹配。
2. 用户名包括用户主体名称，例如 johndoe@contoso.com。
如果使用委托身份验证，请验证 Fabric 管理员用户设置以确保：
1. 用户被分配到 Fabric 管理员角色。
2. 如果最近创建了用户，请至少使用用户登录一次，以确保密码重置成功，并且用户可以成功启动会话。
3. 不会对用户强制实施 MFA 或条件访问策略。
验证应用注册设置以确保：
1. 应用注册存在于Microsoft Entra租户中。
2. 如果使用服务主体，在 API 权限下，为以下 API 分配有读取权限的以下 委托权限 ：
  - Microsoft Graph openid
  - Microsoft Graph User.Read
3. 如果使用委托身份验证，在 API 权限下，为租户设置以下 委派权限 和 授予管理员同意 ，并针对以下 API 进行读取：
  - Power BI 服务 Tenant.Read.All
  - Microsoft Graph openid
  - Microsoft Graph User.Read
4. 在 “身份验证”下，启用 “允许公共客户端流 ”。
在Microsoft Entra租户中，创建安全组。
从租户Microsoft Entra，请确保服务主体是新安全组的成员。
在 Fabric 租户管理员门户中，验证是否为新安全组启用了允许服务主体使用只读管理员 API。

注册 Fabric 租户

本部分介绍如何在 Microsoft Purview 中为同一租户方案注册 Fabric 租户。

选择左侧导航上的 “数据映射 ”。
然后选择“注册”。

选择“ 构造 ”作为数据源。
为 Fabric 实例指定一个友好名称，并选择一个集合。

名称的长度必须介于 3-63 个字符之间，并且只能包含字母、数字、下划线和连字符。不允许使用空格。

默认情况下，系统会找到位于同一Microsoft Entra租户中的 Fabric 租户。

要扫描的身份验证

为了能够扫描 Microsoft Fabric 租户并查看其元数据，首先需要创建一种使用 Fabric 租户进行身份验证的方法，然后向 Microsoft Purview 提供身份验证信息。

向 Fabric 租户进行身份验证

在 Fabric 租户所在的Microsoft Entra租户中：

在Azure 门户中，搜索Microsoft Entra ID。
按照使用 Microsoft Entra ID 创建基本组并添加成员，在 Microsoft Entra ID 中创建新的安全组。

提示

如果已有要使用的安全组，则可以跳过此步骤。
选择“ 安全性 ”作为 “组类型”。
将任何相关用户添加到安全组：
- 如果使用 托管标识 作为身份验证方法，请将 Microsoft Purview 托管标识添加到此安全组。选择“ 成员”，然后选择“ + 添加成员”。
- 如果使用委托身份验证或服务主体作为身份验证方法，请将服务主体添加到此安全组。选择“ 成员”，然后选择“ + 添加成员”。
搜索Microsoft Purview 托管标识或服务主体并选择它。

应会看到一条成功通知，显示它已添加。

将安全组与 Fabric 租户关联

登录到 Fabric 管理门户。
选择“ 租户设置” 页。

重要

需要是 Fabric 管理员才能查看租户设置页。
选择“管理员 API 设置>”“允许服务主体使用只读管理 API”。
选择“ 特定安全组”。
选择“管理员 API 设置>使用详细元数据增强管理员 API 响应”和“使用 DAX 和混合表达式>增强管理员 API 响应”启用切换以允许Microsoft Purview 数据映射在其扫描过程中自动发现 Fabric 数据集的详细元数据。

重要

更新 Fabric 租户上的管理员 API 设置后，请等待大约 15 分钟，然后注册扫描和测试连接。

警告

如果允许创建的安全组 (将 Microsoft Purview 托管标识作为成员) 使用只读管理 API，则还允许其访问此租户中所有 Fabric 项目的元数据 (例如仪表板和报表名称、所有者、说明等 ) 。将元数据拉取到 Microsoft Purview 后，Microsoft Purview 的权限（而不是 Fabric 权限）确定谁可以查看该元数据。

注意

可以从开发人员设置中删除安全组，但之前提取的元数据不会从 Microsoft Purview 帐户中删除。如果需要，可以单独删除它。

在 Microsoft Purview 中配置扫描凭据

托管标识

如果已按照所有步骤对 Purview Microsoft Fabric 进行身份验证，则不需要对托管标识执行其他身份验证步骤。

服务主体

在Azure 门户，选择“Microsoft Entra ID”，并在租户中创建应用注册。在 重定向 URI 中提供 Web URL。有关重定向 URI 的信息，请参阅来自 Microsoft Entra ID 的此文档。
记下客户端 ID (应用 ID) 。
从Microsoft Entra 仪表板，选择新创建的应用程序，然后选择“应用注册”。从 API 权限中，为应用程序分配以下委派权限：
- Microsoft Graph openid
- Microsoft Graph User.Read
在 “高级设置”下，启用 “允许公共客户端流”。
在 “证书 & 机密”下，创建新机密并安全地保存它以供后续步骤使用。
在 Azure 门户中，导航到 Azure 密钥保管库。
选择 “设置>机密 ”，然后选择“ + 生成/导入”。
输入机密的名称，对于 “值”，键入新创建的机密以用于应用注册。选择“ 创建 ”完成。
如果密钥保管库尚未连接到 Microsoft Purview，则需要创建新的密钥保管库连接。
创建机密后，Microsoft Purview 中，转到“管理”下的“凭据”页。

提示

或者，可以在扫描过程中创建新凭据。
通过选择“ + 新建”创建新的凭据。
提供所需的参数：
- 名称：为凭据提供唯一名称
- 身份验证方法：服务主体
- 租户 ID：Fabric 租户 ID
- 客户端 ID：使用服务主体客户端 ID (之前创建的应用 ID)
- 密钥保管库连接：Microsoft Purview 连接到之前创建机密的密钥保管库。
- 机密名称：之前创建的机密的名称。
填写所有详细信息后，选择“ 创建”。

委派身份验证

在Microsoft Entra租户中创建用户帐户，并将用户分配到Microsoft Entra角色“Fabric 管理员”。记下用户名并登录以更改密码。
导航到 Azure 密钥保管库。
选择 “设置>机密 ”，然后选择“ + 生成/导入”。
输入机密的名称，为“值”输入新创建的密码，为Microsoft Entra用户键入新创建的密码。选择“ 创建 ”完成。
如果密钥保管库尚未连接到 Microsoft Purview，则需要创建新的密钥保管库连接
在 Microsoft Entra 租户中创建应用注册。在 重定向 URI 中提供 Web URL。
记下客户端 ID (应用 ID) 。
从Microsoft Entra 仪表板，选择新创建的应用程序，然后选择 API 权限。为应用程序分配以下委派权限，并为租户授予管理员同意：
- Fabric Service Tenant.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
在 “高级设置”下，启用 “允许公共客户端流”。
接下来，在 Microsoft Purview 中，转到“管理”下的“凭据”页以创建新凭据。

提示

或者，可以在扫描过程中创建新凭据。
通过选择“ + 新建”创建新的凭据。
提供所需的参数：
- 名称：为凭据提供唯一名称
- 身份验证方法：委托身份验证
- 客户端 ID：使用服务主体客户端 ID (之前创建的应用 ID)
- 用户名：提供前面创建的 Fabric 管理员的用户名
- 密钥保管库连接：Microsoft Purview 连接到之前创建机密的密钥保管库。
- 机密名称：之前创建的机密的名称。
填写所有详细信息后，选择“ 创建”。

创建扫描

在 Microsoft Purview Studio 中，导航到左侧菜单中 的数据映射 。
导航到 “源”。
选择已注册的 Fabric 源。
选择“ + 新建扫描”。
为扫描命名。
选择托管标识凭据，或者为服务主体或委托身份验证创建的凭据。
选择“ 测试连接 ”，然后继续执行后续步骤。如果 测试连接 失败，请选择“ 查看报告 ”以查看详细状态并排查问题。
1. 访问 - 失败状态表示用户身份验证失败。使用托管标识的扫描将始终通过，因为不需要用户身份验证。如果使用服务主体或委托身份验证，请确保正确设置了密钥保管库凭据，并且 Purview Microsoft 有权访问密钥保管库。
2. 资产 (+ 世系) - 失败状态表示Microsoft Purview - Fabric 授权失败。确保将 Microsoft Purview 托管标识添加到 Fabric 管理门户中关联的安全组。
3. 详细元数据 (增强) - 失败状态表示已针对以下设置禁用 Fabric 管理门户 - 使用详细元数据增强管理员 API 响应
提示

有关更多故障排除，请参阅部署清单，确保已涵盖方案中的每个步骤。
设置扫描触发器。选项为 “定期”和“ 一次”。
在“ 查看新扫描”上，选择“ 保存并运行” 以启动扫描。

查看扫描和扫描运行

查看现有扫描：

转到 Microsoft Purview 门户。在左窗格中，选择“ 数据映射”。
选择数据源。可以在“最近扫描”下查看该数据源上的现有扫描列表，也可以在“扫描”选项卡上查看所有扫描。
选择要查看的结果的扫描。窗格显示之前的所有扫描运行，以及每个扫描运行的状态和指标。
选择运行 ID 以检查扫描运行详细信息。

管理扫描

若要编辑、取消或删除扫描，请执行以下操作：

转到 Microsoft Purview 门户。在左窗格中，选择“ 数据映射”。
选择数据源。可以在“最近扫描”下查看该数据源上的现有扫描列表，也可以在“扫描”选项卡上查看所有扫描。
选择要管理的扫描。然后，可以：
- 通过选择“编辑扫描 ”来编辑扫描。
- 选择“取消扫描运行”， 取消正在进行的扫描。
- 通过选择“删除扫描” 来删除扫描。

注意

删除扫描不会删除从以前的扫描创建的目录资产。

后续步骤

注册源后，请按照以下指南详细了解Microsoft Purview 和数据。

通过