在 Microsoft Purview 中探索及控管多個 Azure 來源
本文概述如何註冊多個 Azure 來源,以及如何在 Microsoft Purview 中進行驗證和互動。 如需 Microsoft Purview 的詳細資訊,請閱讀 簡介文章。
支援的功能
元數據擷取 | 完整掃描 | 增量掃描 | 限域掃描 | 分類 | 加標籤 | 存取原則 | 譜系 | 資料共用 | 即時檢視 |
---|---|---|---|---|---|---|---|---|---|
是 | 是 | 是 | 是 | 是 | 來源相依 | 是 | 來源相依 | 否 | 有限 |
必要條件
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
您必須是數據源管理員和數據讀取者,才能在 Microsoft Purview 治理入口網站中註冊來源及進行管理。 如需詳細資訊,請參閱 我們的 Microsoft Purview 許可權] 頁面 。
登錄
本節說明如何使用 Microsoft Purview 治理入口網站,在 Microsoft Purview 中註冊多個 Azure 來源。
註冊的必要條件
Microsoft Purview 需要能夠列出訂用帳戶或資源群組下資源的許可權。
- 移至訂用帳戶或 Azure 入口網站 中的資源群組。
- 從左側功能表中選取 [存取控制 (IAM) ]。
- 選取 [+新增]。
- 在 [ 選取輸入] 方塊中,選取 [讀取者 ] 角色,然後輸入您的 Microsoft Purview 帳戶名稱 (代表其 MSI 檔名) 。
- 選 取 [儲存 ] 以完成角色指派。 這可讓 Microsoft Purview 列出訂用帳戶或資源群組下的資源。
註冊的驗證
有兩種方式可在 Azure 中設定多個來源的驗證:
- 受控識別
- 服務主體
您必須在您想要註冊和掃描的訂用帳戶或資源群組內的每個資源上設定驗證。 Azure 記憶體資源類型 (Azure Blob 儲存體 和 Azure Data Lake Storage Gen2) 可讓您將訂用帳戶或資源群組層級的 MSI 檔案或服務主體新增為記憶體 Blob 數據讀取器,讓您變得更容易。 然後,許可權會向覽至該訂用帳戶或資源群組內的每個記憶體帳戶。 對於所有其他資源類型,您必須在每個資源上套用 MSI 檔案或服務主體,或建立腳本來執行此動作。
若要瞭解如何在訂用帳戶或資源群組內的每個資源類型上新增許可權,請參閱下列資源:
- Azure Blob 儲存體
- Azure 資料總管
- Azure Data Lake Storage Gen1
- Azure Data Lake Storage Gen2
- Azure 專用 SQL 集區 (先前稱為 SQL DW)
- Azure SQL Database
- Azure SQL 受控執行個體
- Azure Synapse Analytics
註冊步驟
開啟 Microsoft Purview 治理入口網站,方法如下:
- 直接流覽並 https://web.purview.azure.com 選取您的 Microsoft Purview 帳戶。
- 開啟 Azure 入口網站,搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站 ] 按鈕。
選取左側功能表上的 [數據對應 ]。
選取 [登錄]。
在 [註冊來源] 上,選 取 [Azure (多個) 。
選取 [繼續]。
在 [ 註冊來源 (Azure) 畫面上,執行下列動作:
在 [ 名稱] 方 塊中,輸入數據源將在目錄中列出的名稱。
在 [ 管理] 群組 方塊中,選擇性地選擇要向下篩選的管理群組。
在 [ 訂用帳戶 ] 和 [ 資源群組] 下拉式清單框中,分別選取訂用帳戶或特定資源群組。 註冊範圍會設定為選取的訂用帳戶或資源群組。
從清單中選取集合。
選 取 [註冊 ] 以註冊數據源。
掃描
重要事項
目前,只有使用 Azure 整合運行時間才支持掃描多個 Azure 來源,因此,只有Microsoft允許防火牆上公用存取的 Purview 帳戶可以使用此選項。
請遵循下列步驟來掃描多個 Azure 來源,以自動識別資產並分類您的數據。 如需一般掃描的詳細資訊,請參閱 掃描和擷取簡介。
建立和執行掃描
若要建立並執行新的掃描,請執行下列動作:
在 Microsoft Purview 治理入口網站的左窗格中,選取 [ 數據對 應] 索引卷標。
選取您註冊的數據源。
選 取 [檢視詳細數據>+ 新增掃描],或使用來源磚上的 [掃描 快速動作] 圖示。
針對 [名稱],填入名稱。
針對 [類型],選取您要在此來源內掃描的資源類型。 選擇下列其中一個選項:
- 將它保留為 All。 此選取範圍包含未來可能不存在該訂用帳戶或資源群組內的資源類型。
- 使用方塊來特別選取您要掃描的資源類型。 如果您選擇此選項,除非未來明確編輯掃描,否則未來可能會在此訂用帳戶或資源群組內建立的資源類型將不會包含在掃描中。
選取要連線到數據源內資源的認證:
- 您可以在父層級選取認證做為 MSI 檔案,也可以選取特定服務主體類型的認證。 然後,您可以將該認證用於訂用帳戶或資源群組下的所有資源類型。
- 您可以特別選取資源類型,併為該資源類型套用不同的認證。
每個認證都會被視為特定類型下所有資源的驗證方法。 您必須在資源上設定所選的認證,才能成功掃描它們,如 本文稍早所述。
在每個類型中,您可以選取掃描所有資源,或依名稱掃描其子集:
- 如果您將選項保留為 [全部],則未來掃描回合也會掃描該類型的未來資源。
- 如果您選取特定記憶體帳戶或 SQL 資料庫,則除非未來明確編輯掃描,否則在此訂用帳戶或資源群組內建立之類型的未來資源將不會包含在掃描中。
選 取 [測試連線]。 這會先測試存取權,以檢查您是否已將 Microsoft Purview MSI 檔案套用為訂用帳戶或資源群組上的讀取器。 如果您收到錯誤訊息,請遵循 這些指示 加以解決。 然後,它會測試您對每個所選來源的驗證和連線,併產生報告。 選取的來源數目會影響產生此報告所需的時間。 如果某些資源失敗,將滑鼠停留在 X 圖示上方會顯示詳細的錯誤訊息。
通過測試連線之後,選取 [ 繼續 ] 繼續進行。
針對您在上一個步驟中選擇的每個資源類型,選取掃描規則集。 您也可以建立內嵌掃描規則集。
選擇掃描觸發程式。 您可以設定排程或執行掃描一次。
檢閱您的掃描,然後選取 [儲存 ] 以完成設定。
檢視掃描和掃描執行
選取 [數據對應] 區段下圖格上的 [檢視詳細數據],以檢視來源詳細數據。
移至 [掃描詳細數據] 頁面以檢視掃描 執行詳細 數據。
狀態列是子資源執行狀態的簡短摘要。 它會顯示在訂用帳戶層級或資源群組層級上。 色彩具有下列意義:
- 綠色:掃描成功。
- 紅色:掃描失敗。
- 灰色:掃描仍在進行中。
您可以選取每個掃描來檢視更精細的詳細數據。
檢視來源詳細數據底部最近失敗的掃描執行摘要。 您也可以檢視這些執行的更細微詳細數據。
管理掃描:編輯、刪除或取消
若要管理掃描,請執行下列動作:
移至管理中心。
在 [來源和掃描] 區段下選取 [數據源],然後選取所需的數據源。
選取您要管理的掃描。 然後:
- 您可以選取 [ 編輯] 來編輯掃描。
- 您可以 選擇 [刪除] 來移除掃描。
- 如果掃描正在執行,您可以選取 [取消] 來 取消掃描。
原則
此資料資源支援下列類型的原則,Microsoft Purview:
Azure 記憶體帳戶上的存取原則必要條件
若要能夠從 Microsoft Purview 強制執行原則,必須先設定資源群組或訂用帳戶下的數據源。 指示會根據數據源類型而有所不同。 請檢閱它們是否支援 Microsoft Purview 原則,如果支持的話,請在 Microsoft Purview 連接器檔的 [存取原則] 連結下啟用這些原則的特定指示。
設定原則的 Microsoft Purview 帳戶
在 Purview Microsoft註冊數據源
您必須先在 Purview Studio 中註冊該數據 Microsoft資源,才能在 Microsoft Purview 中為數據資源建立原則。 您稍後會在本指南中找到與註冊數據資源相關的指示。
注意事項
Microsoft Purview 原則依賴數據資源 ARM 路徑。 如果數據資源移至新的資源群組或訂用帳戶,則必須取消註冊,然後在 Microsoft Purview 中重新註冊。
設定許可權以在數據源上啟用數據原則強制執行
註冊資源之後,但在該資源的 Purview Microsoft 建立原則之前,您必須設定許可權。 需要一組許可權,才能強制 執行數據原則。 這適用於數據源、資源群組或訂用帳戶。 若要啟用 數據原則強制執行,您必須 具有 資源的特定身分識別和存取管理 (IAM) 許可權,以及特定Microsoft許可權:
您必須在資源的 Azure Resource Manager 路徑上具有下列其中一個 IAM 角色組合,或 (任何父系,也就是使用 IAM 許可權繼承) :
- IAM 擁有者
- IAM 參與者和 IAM 使用者存取系統管理員
若要 (RBAC) 許可權設定 Azure 角色型訪問控制,請遵循 本指南。 下列螢幕快照顯示如何存取數據資源 Azure 入口網站 中的 [存取控制] 區段,以新增角色指派。
注意事項
數據資源的 IAM 擁有者 角色可以繼承自父資源群組、訂用帳戶或訂用帳戶管理群組。 檢查哪些 Microsoft Entra 使用者、群組和服務主體保留或繼承資源的 IAM 擁有者角色。
如果已啟用繼承) ,您也必須擁有集合的 Microsoft Purview 數據源 管理員角色或父集合 (。 如需詳細資訊,請參閱 管理 purview 角色指派Microsoft指南。
下列螢幕快照顯示如何在根集合層級指派 數據源系統管理員 角色。
設定 Microsoft Purview 許可權以建立、更新或刪除存取原則
若要建立、更新或刪除原則,您必須在根集合層級的 Microsoft Purview 中取得原則作者角色:
- 原則 作者 角色可以建立、更新和刪除DevOps和數據擁有者原則。
- 原則 作者 角色可以刪除自助式存取原則。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在 Microsoft Purview 資料對應 中建立和管理集合。
注意事項
原則作者角色必須在根集合層級設定。
此外,若要在建立或更新原則的主旨時,輕鬆地搜尋 Microsoft Entra 使用者或群組,您可以從在 Microsoft Entra ID 中取得目錄讀取者許可權而受益。 這是 Azure 租用戶中用戶的常見許可權。 如果沒有目錄讀取者許可權,原則作者就必須輸入數據原則主體中所包含之所有主體的完整用戶名稱或電子郵件。
設定 Microsoft Purview 許可權以發佈數據擁有者原則
如果您將 Microsoft Purview 原則 作者 和 數據源系統管理員 角色指派給組織中的不同人員,數據擁有者原則允許檢查和平衡。 數據擁有者原則生效之前, (數據源系統管理員) 必須檢閱該原則,並透過發佈來明確核准。 這不適用於 DevOps 或自助式存取原則,因為建立或更新這些原則時,會自動發佈這些原則。
若要發佈數據擁有者原則,您必須在根集合層級取得 Microsoft Purview 中的數據源管理員角色。
如需管理 Microsoft Purview 角色指派的詳細資訊,請參閱在 Microsoft Purview 資料對應 中建立和管理集合。
注意事項
若要發佈數據擁有者原則,必須在根集合層級設定數據源系統管理員角色。
將存取布建責任委派給 Microsoft Purview 中的角色
啟用資源以 強制執行數據原則之後,在根集合層級具有原則 作者 角色的任何 Microsoft Purview 使用者都可以從 Microsoft Purview 布建該數據源的存取權。
注意事項
任何Microsoft Purview 根 集合管理員 都可以將新的使用者指派給根 原則作者 角色。 任何 集合管理員 都可以將新的使用者指派給集合下的數據 源系統管理員 角色。 將擔任 Purview 集合系統管理員、 數據源管理員或原則 作者 角色Microsoft使用者最小化並仔細審查。
如果刪除具有已發佈原則的 Microsoft Purview 帳戶,這類原則將會在相依於特定數據源的一段時間內停止強制執行。 這項變更可能會影響安全性和數據存取可用性。 IAM 中的參與者和擁有者角色可以刪除 Microsoft Purview 帳戶。 您可以前往 Microsoft Purview 帳戶的 [ 存取控制 (IAM) ] 區段,然後選取 [ 角色指派],以檢查這些許可權。 您也可以使用鎖定來防止透過 Resource Manager 鎖定刪除Microsoft Purview 帳戶。
在 Microsoft Purview 中註冊數據源以強制執行數據原則
您必須先向 Microsoft Purview 註冊 Azure 訂用帳戶或資源群組,才能建立存取原則。 若要註冊您的資源,請遵循本指南 的必要條件 和 註冊 章節:
註冊數據資源之後,您必須啟用數據原則強制執行。 這是您在數據資源上建立原則之前的必要條件。 數據原則強制執行可能會影響數據的安全性,因為它會委派給管理數據源存取權的特定Microsoft Purview 角色。 請流覽本指南中與數據原則強制執行相關的安全做法: 如何啟用數據原則強制執行
一旦您的數據源將 [ 數據原則強制 執行] 選項設定為 [ 已啟用],它看起來會像此螢幕快照:
建立原則
若要在整個 Azure 訂用帳戶或資源群組上建立存取原則,請遵循下列指南:
後續步驟
既然您已註冊來源,請遵循下列指南來深入瞭解 Microsoft Purview 和您的數據。