Microsoft Purview (以前是 Azure Purview) 部署清单
提示
Microsoft Purview 具有新的体验! 如果你是 Purview 新Microsoft客户,或者想要了解详细信息,请参阅 新门户上的文章 或有关新 数据治理体验的文章。
如果计划在组织中部署 Microsoft Purview 治理解决方案,请使用我们的新门户并检查我们的数据管理快速入门和最佳做法。
本文列出了可帮助你快速开始规划和部署 Microsoft Purview (以前的 Azure Purview) 帐户的先决条件。
如果要创建部署 Microsoft Purview 的计划,并且还想要在制定部署策略时考虑最佳做法,请使用 我们的部署最佳做法指南 入门。
如果你正在寻找严格的技术部署指南,此部署清单适合你。
| 不正确。 | 先决条件/操作 | 所需的权限 | 更多指导和建议 |
|---|---|---|---|
| 1 | Microsoft Entra租户 | 不适用 |
Microsoft Entra租户应与订阅相关联。
|
| 2 | 活动 Azure 订阅 | 订阅所有者 | 需要 Azure 订阅才能部署 Microsoft Purview 及其托管资源。 如果没有 Azure 订阅,请在开始之前创建一个 免费订阅 。 |
| 3 | 定义是否计划使用托管事件中心部署 Microsoft Purview | 不适用 | 可以选择在创建 purview 帐户期间部署配置现有事件中心命名空间Microsoft,请参阅 Microsoft Purview 帐户创建。 使用此托管命名空间,可以将消息发布到事件中心 kafka 主题ATLAS_HOOK,Microsoft Purview 将使用和处理它。 Microsoft Purview 将通知事件中心 kafka 主题的实体更改ATLAS_ENTITIES,用户可以使用和处理它。 可以在创建帐户后随时启用或禁用此功能。 |
| 4 | 注册以下资源提供程序:
|
用于注册 Azure 资源提供程序的订阅所有者或自定义角色 (/register/action) | 在指定的 Azure 订阅中注册所需的 Azure 资源提供程序Microsoft Purview 帐户。 查看 Azure 资源提供程序操作。 |
| 5 | 更新Azure Policy以允许在 Azure 订阅中部署以下资源:
|
订阅所有者 | 如果现有Azure Policy阻止部署此类 Azure 资源,请使用此步骤。 如果存在阻止策略并且需要保留,请按照 我们的 Microsoft Purview 异常标记指南 进行操作,并按照步骤为 Microsoft Purview 帐户创建例外。 |
| 6 | 定义网络安全要求。 | 网络和安全架构师。 |
|
| 7 | 适用于 Microsoft Purview 专用终结点的 Azure 虚拟网络和子网。 | 用于创建或更新 Azure 虚拟网络的网络参与者。 | 如果计划 使用 Microsoft Purview 部署专用终结点连接,请使用此步骤:
如果需要,请部署 Azure 虚拟网络。 |
| 8 | 为 Azure 数据源部署专用终结点。 | 网络参与者 ,用于为每个数据源设置专用终结点。 | 如果计划使用 专用终结点进行引入,请执行此步骤。 |
| 9 | 定义是部署新的还是使用现有的 Azure 专用 DNS区域。 | 在 Purview 帐户部署期间,可以使用订阅所有者/参与者角色自动创建所需的 Azure 专用 DNS区域 | 如果计划将专用终结点连接与 Microsoft Purview 配合使用,请使用此步骤。 专用终结点所需的 DNS 区域:
|
| 10 | CorpNet 或 Azure 虚拟网络中的管理计算机,用于启动 Microsoft Purview 治理门户。 | 不适用 | 如果计划在 Microsoft Purview 帐户上设置“允许公用网络拒绝”,请使用此步骤。 |
| 11 | 部署 Microsoft Purview 帐户 | 订阅所有者/参与者 | Purview 帐户部署有一个容量单位,并将 根据需要纵向扩展。 |
| 12 | 为 Azure 数据源部署托管Integration Runtime和托管专用终结点。 |
数据源管理员 ,用于在 Microsoft Purview 中设置托管虚拟网络。 网络参与者 ,用于批准每个 Azure 数据源的托管专用终结点。 |
如果计划使用 托管虚拟网络,请执行此步骤。 用于扫描的 Microsoft Purview 帐户中。 |
| 13 | 在网络内部署自承载集成运行时 VM。 | Azure: 虚拟机参与者 本地:应用程序所有者 |
如果计划使用自承载Integration Runtime执行任何扫描,请使用此步骤。 |
| 14 | 在 Microsoft Purview 中创建自承载集成运行时。 | 数据策展人 VM 管理员或应用程序所有者 |
如果计划使用自承载Integration Runtime而不是托管Integration Runtime或 Azure Integration Runtime,请使用此步骤。 下载 |
| 15 | 注册自承载集成运行时 | 虚拟机管理员 | 如果有本地或基于 VM 的数据源 (例如SQL Server) ,请使用此步骤。 使用此步骤是使用 专用终结点 扫描到 任何 数据源。 |
| 16 | 授予 Azure RBAC 读取者角色,以在数据源的订阅Microsoft Purview MSI | 订阅所有者 或 用户访问管理员 | 如果计划注册 多个 或以下 任 一数据源,请使用此步骤: |
| 17 | 授予 Azure RBAC 存储 Blob 数据读取者 角色,以在数据源订阅 Microsoft Purview MSI 。 | 订阅所有者 或 用户访问管理员 | 如果使用专用终结点连接到数据源,请跳过此步骤。 如果具有以下数据源,请使用此步骤: |
| 18 | 启用网络连接以允许 AzureServices 访问数据源: 例如,启用“允许受信任的Microsoft服务访问此存储帐户”。 |
数据源的所有者或参与者 | 如果在数据源中使用 了服务终结点 ,请使用此步骤。 (如果使用专用终结点,则不要使用此步骤) |
| 19 | 在 Azure SQL服务器、Azure SQL 托管实例 和 Azure Synapse Analytics 上启用Microsoft Entra身份验证 | Azure SQL服务器参与者 | 如果Azure SQL DB、Azure SQL 托管实例或Azure Synapse Analytics 作为数据源,请使用此步骤。 |
| 20 | 向Azure SQL数据库和Azure SQL 托管实例数据库授予具有db_datareader角色的 Purview MSI 帐户Microsoft | Azure SQL管理员 | 如果已Azure SQL DB 或Azure SQL 托管实例作为数据源,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
| 21 | 将 Azure RBAC 存储 Blob 数据读取者授予用于暂存存储帐户的 Synapse SQL Server | 数据源的所有者或用户访问管理员 | 如果将 Azure Synapse Analytics 用作数据源,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
| 22 | 授予 Azure RBAC 读取者角色以在 Synapse 工作区资源Microsoft Purview MSI | 数据源的所有者或用户访问管理员 | 如果将 Azure Synapse Analytics 用作数据源,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
| 23 | 为 Azure Purview MSI 帐户 授予 db_datareader 角色 | Azure SQL管理员 | 如果已Azure Synapse Analytics (专用 SQL 数据库) ,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
| 24 | Microsoft具有 sysadmin 角色的 Purview MSI 帐户授予 | Azure SQL管理员 | 如果) Azure Synapse Analytics (无服务器 SQL 数据库,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
| 25 | 在Microsoft Entra租户中创建应用注册或服务主体 | Microsoft Entra ID应用程序管理员 | 如果计划使用委托的作者 服务主体对数据源执行扫描,请使用此步骤。 |
| 26 | 创建 Azure 密钥保管库和机密以保存数据源凭据或服务主体机密。 | 参与者或密钥保管库管理员 | 如果有本地或基于 VM 的数据源 (例如SQL Server) ,请使用此步骤。 使用此步骤是使用 引入专用终结点 来扫描数据源。 |
| 27 | 将 Key Vault 访问策略 授予 Microsoft Purview MSI: 机密:get/list | 密钥保管库管理员 | 如果有基于本地 VM 的 / 数据源 (,请使用此步骤,例如,SQL Server) 如果密钥保管库权限模型设置为“保管库访问策略”,请使用此步骤。 |
| 28 | 将 密钥保管库 RBAC 角色密钥保管库机密用户授予 Microsoft Purview MSI。 | 所有者 或 用户访问管理员 | 如果有本地或基于 VM的数据源 (,请使用此步骤,例如,SQL Server) 如果密钥保管库权限模型设置为 Azure 基于角色的访问控制,请使用此步骤。 |
| 29 | 从 Microsoft Purview 治理门户创建与 Azure 密钥保管库 的新连接 | 数据源管理员 | 如果计划使用以下任一 身份验证选项 扫描 Microsoft Purview 中的数据源,请使用此步骤:
|
| 30 | 为 Power BI 租户部署专用终结点 |
Power BI 管理员 网络参与者 |
如果计划将 Power BI 租户注册为数据源,并且 Microsoft Purview 帐户设置为 拒绝公共访问,请使用此步骤。 有关详细信息,请参阅 如何配置专用终结点以访问 Power BI。 |
| 31 | 从 Azure 数据工厂 门户将Azure 数据工厂连接到 Microsoft Purview。
管理 ->Microsoft Purview。 选择“ 连接到 Purview 帐户”。 验证 ADF Azure 资源中是否存在 Azure 资源标记 catalogUri 。 |
Azure 数据工厂参与者/数据策展人 | 如果有Azure 数据工厂,请使用此步骤。 |
| 32 | 验证你的Microsoft Entra租户中是否至少有一个Microsoft 365 所需的许可证才能在 Microsoft Purview 中使用敏感度标签。 | Microsoft Entra ID全局阅读器 | 如果计划将敏感度标签扩展到 Microsoft Purview 数据映射 有关详细信息,请参阅 在 Microsoft Purview 中对文件和数据库列使用敏感度标签的许可要求 |
| 33 | 同意“将标签扩展到Microsoft Purview 数据映射中的资产” | 合规性管理员 Azure 信息保护管理员 |
如果有兴趣将敏感度标签扩展到数据映射中的数据,请使用此步骤。 有关详细信息,请参阅Microsoft Purview 数据映射中的标记。 |
| 34 | 在 Microsoft Purview 中创建新集合并分配角色 | 集合管理员 | 在 Microsoft Purview 中创建集合并分配权限。 |
| 36 | 管理 Microsoft Purview 中的数据源 |
数据源管理员 数据读取器 或 数据策展人 |
有关详细信息,请参阅 支持的数据源和文件类型 |
| 35 | 授予对组织中数据角色的访问权限 | 集合管理员 | 提供对其他团队的访问权限以使用 Microsoft Purview:
有关详细信息,请参阅 Microsoft Purview 中的访问控制。 |