從不同租使用者中的 Microsoft Purview 連線到您的 Microsoft Fabric 租使用者 (預覽)
重要事項
掃描Microsoft網狀架構租使用者會從包含Power BI的 Fabric 專案帶入元數據和譜系。 註冊 Fabric 租用戶和設定掃描的體驗類似於 Power BI 租用戶,並且在所有 Fabric 專案之間共用。 Power BI 以外的 Fabric 項目掃描目前為預覽狀態。 Microsoft Azure 預覽版的補充使用規定 包含適用於 Beta、預覽版或尚未正式發行之 Azure 功能的其他法律條款。
本文概述如何註冊與 Microsoft Purview 資源 位於不同租 使用者中的 Microsoft Fabric 租使用者,以及如何在 Microsoft Purview 中驗證 Fabric 來源並與其互動。 如需一般Microsoft Purview 的詳細資訊,請閱讀 簡介文章。
注意事項
如需掃描Power BI租使用者,請參閱 我們的Power BI 檔。
支援的功能
| 元數據擷取 | 完整掃描 | 增量掃描 | 限域掃描 | 分類 | 加標籤 | 存取原則 | 譜系 | 資料共用 | 即時檢視 |
|---|---|---|---|---|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 否 | 否 | 否 | 是 | 否 | 否 |
| 經驗 | 網狀架構專案 | 可在掃描中使用 | 僅在相同租使用者 (實時檢視 中提供) |
|---|---|---|---|
| Real-Time 分析 | KQL 資料庫 | 是 | 是 |
| KQL 查詢集 | 是 | 是 | |
| 資料科學 | 試驗 | 是 | 是 |
| ML 模型 | 是 | 是 | |
| Data Factory | 數據管線 | 是 | 是 |
| 數據流 Gen2 | 是 | 是 | |
| 資料工程 | Lakehouse | 是 | 是 |
| 筆記本 | 是 | 是 | |
| Spark 作業定義 | 是 | 是 | |
| SQL 分析端點 | 是 | 是 | |
| 資料倉儲 | 倉庫 | 是 | 是 |
| Power BI | 儀表板 | 是 | 是 |
| 數據流 | 是 | 是 | |
| Datamart | 是 | 是 | |
| 數據集 (語意模型) | 是 | 是 | |
| 報告 | 是 | 是 | |
| 編頁報表 | 是 |
支援網狀架構掃描的案例
| Scenarios | Microsoft允許/拒絕 Purview 公用存取 | 允許 /拒絕網狀架構公用存取 | 運行時間選項 | 驗證選項 | 部署檢查清單 |
|---|---|---|---|---|---|
| 使用 Azure IR 的公用存取 | 允許 | 允許 | Azure 運行時間 | 委派的驗證/服務主體 | 檢閱部署檢查清單 |
| 使用自我裝載 IR 的公用存取 | 允許 | 允許 | SHIR 或 Kubernetes SHIR | 服務主體 | 檢閱部署檢查清單 |
| 私人存取 | 已拒絕 | 允許 | 僅限 v2 (受控 VNet IR) | 委派的驗證/服務主體 | 檢閱部署檢查清單 |
注意事項
上述支援的案例適用於 Fabric 中的非 Power BI 專案。 如需適用於 Power BI 項目的支援案例,請參閱Power BI 檔。
已知限制
- 目前,除了Power BI以外的所有 Fabric 專案,只會掃描專案層級元數據和譜系,不支援掃描元數據和子層級專案的譜系,例如 Lakehouse 數據表或檔案。
- 針對自我裝載整合運行時間,支援最低版本為5.40.8836.1的標準自我裝載 整合運行時間或 Kubernetes 支援的自我裝載整合運行時間 。
- 會略過空的工作區。
必要條件
開始之前,請確定您有下列專案:
具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
驗證選項
- 服務主體
- 委派的驗證
部署檢查清單
部署檢查清單是設定跨租使用者網狀架構來源所需採取之所有步驟的摘要。 您可以在安裝期間使用它或進行疑難解答,以確認您已遵循所有必要的連線步驟。
在公用網路中使用委派的驗證掃描跨租使用者網狀架構
請確定在註冊期間已正確輸入網狀架構租使用者標識碼。 根據預設,會填入與 Purview 相同 Microsoft Entra 實例Microsoft網狀架構租使用者標識符。
啟用元數據掃描,以確定您的 Fabric 元數據 模型是最新的。
從 Azure 入口網站 中,驗證 Microsoft Purview 帳戶網路是否設定為公用存取。
從網狀架構租使用者管理入口網站,確定已將 Fabric 租用戶設定為允許公用網路。
檢查您的 Azure 金鑰保存庫 實例,以確定:
- 密碼或秘密中沒有錯字。
- Microsoft Purview 受控識別具有秘密的 取得 和 清單 存取權。
檢閱您的認證,以驗證:
- 用戶端識別碼符合應用程式註冊 的應用程式 (用戶端) 標識 碼。
- 若為 委派驗證,使用者名稱會包含使用者主體名稱,例如
johndoe@contoso.com。
在 [網狀架構 Microsoft Entra 租使用者中,驗證下列 Fabric 系統管理員用戶設定:
- 系統會將使用者指派給 Fabric 系統管理員角色。
- 如果最近建立使用者,請至少與使用者登入一次,以確保密碼已成功重設,且使用者可以成功起始會話。
- 用戶沒有強制執行多重要素驗證或條件式存取原則。
在 [網狀架構 Microsoft Entra 租使用者中,驗證下列應用程式註冊設定:
- 應用程式註冊存在於您網狀架構租使用者所在的 Microsoft Entra 租使用者中。
- 如果使用服務主體,則在 API 許可權下,會為下列 API 指派下列 委派的 許可權並進行讀取:
- Microsoft Graph openid
- Microsoft Graph User.Read
- 如果使用委派驗證,則在 API 許可權下,會針對下列 API 設定下列委 派的權 限並授與租使用者的 管理員同意 :
- Power BI 服務租使用者.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
- 在 [ 驗證] 下:
- 支援的帳戶類型>已選取任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 - 多租使用者) 。
- 隱含授與和混合式流程>已選取 (用於隱含和混合式流程) 的標識碼令牌。
- 已啟用 [允許公用用戶端流程]。
在 [網狀架構租使用者] 中,從 Microsoft Entra 租用戶,確定服務主體是新安全組的成員。
在 [網狀架構租使用者 管理員 入口網站中,驗證是否已針對新的安全組啟用 [允許服務主體使用只讀管理 API]。
註冊網狀架構租使用者
從左側的選項中,選取 [數據對應]。
選取 [註冊],然後選取 [網狀架構 ] 作為您的數據源。
為您的 Fabric 實例提供易記名稱。 名稱長度必須是 3 到 63 個字元,而且只能包含字母、數位、底線和連字元。 不允許空格。
編輯 [ 租使用者標識符] 字段,將 取代為您想要註冊和掃描之跨租使用者 Fabric 的租使用者。 根據預設,Microsoft會填入 Purview 的租用戶標識碼。
要掃描的驗證
若要能夠掃描您的 Microsoft Fabric 租使用者並檢閱其元數據,您必須先建立向 Fabric 租使用者進行驗證的方式,然後提供 Microsoft Purview 驗證資訊。
向網狀架構租用戶進行驗證
在 Microsoft Entra 租使用者中,網狀架構租使用者所在的位置:
在 Azure 入口網站 中,搜尋 Microsoft Entra ID。
遵循建立基本群組並使用 Microsoft Entra ID 新增成員,在您的 Microsoft Entra ID 中建立新的安全組。
提示
如果您已經有想要使用的安全組,您可以略過此步驟。
選取 [安全性 ] 作為 [群組類型]。
選 取 [成員],然後選取 [+ 新增成員]。
搜尋您的 Microsoft Purview 受控識別或服務主體並加以選取。
您應該會看到成功通知,顯示已新增它。
建立安全組與 Fabric 租用戶的關聯
登入 網狀架構管理入口網站。
選取 [ 租用戶設定] 頁面。
重要事項
您必須是網狀架構 管理員 才能查看租用戶設定頁面。
選 管理員 API 設定>允許服務主體使用唯讀系統管理員 API。
選取 [特定安全組]。
選取 [管理員 API 設定>使用詳細元數據增強系統管理員 API 回應],並使用 DAX 和混搭表達>式增強系統管理員 API 回應 啟用切換以允許 Microsoft Purview 資料對應 在其掃描時自動探索 Fabric 數據集的詳細元數據。
重要事項
更新 Fabric 租使用者上的 管理員 API 設定之後,請等候大約 15 分鐘,然後再註冊掃描和測試連線。
注意
當您允許建立的安全組使用唯讀系統管理員 API 時,您也可以允許它存取此租使用者中所有 Fabric 成品的元數據 (例如儀錶板和報表名稱、擁有者、描述等 ) 。 將元數據提取到 Microsoft Purview 之後,Microsoft Purview 的許可權,而不是 Fabric 許可權,決定誰可以看到該元數據。
注意事項
您可以從開發人員設定中移除安全組,但先前擷取的元數據不會從 Microsoft Purview 帳戶中移除。 您可以視需要個別刪除它。
在 purview 中設定掃描的認證Microsoft
服務主體
在 Fabric 所在的 Microsoft Entra 租使用者中建立應用程式註冊。 在 重新導向 URI 中提供 Web URL。
記下應用程式識別碼) (用戶端識別碼。
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [應用程式許可權]。 將下列委派許可權指派給應用程式:
- Microsoft Graph openid
- Microsoft Graph User.Read
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [驗證]。 在 [支持的帳戶類型] 底下,選取 [任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 - 多租使用者) 。
在 [隱含授與和混合式流程] 底下,選 取 (用於隱含和混合式流程的標識符令牌) 。
在 [ 進階設定] 下,啟用 [允許公用用戶端流程]。
在建立 Microsoft Purview 的租使用者中,移至 Azure 金鑰保存庫 的實例。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
輸入秘密的名稱。 針對 [值],輸入新建立的應用程式註冊秘密。 選 取 [建立 ] 以完成。
在 [憑證 & 秘密] 底下,建立新的秘密並安全地儲存以供後續步驟使用。
在 Azure 入口網站 中,流覽至您的 Azure 金鑰保存庫。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
輸入秘密的名稱,並針對 [值] 輸入新建立的應用程式註冊秘密。 選 取 [建立 ] 以完成。
如果您的金鑰保存庫尚未連線到 Microsoft Purview,您必須 建立新的金鑰保存庫連線。
接下來,在 Microsoft Purview 中,移至 [管理] 底下的 [認證] 頁面,以建立新的認證。
提示
或者,您可以在掃描程序期間建立新的認證。
選取 [ + 新增],以建立新的認證。
提供必要的參數:
- 名稱:提供認證的唯一名稱
- 驗證方法:服務主體
- 租用戶標識碼:您的網狀架構租用戶標識碼
- 用戶端識別碼:在您稍早建立 (應用程式識別碼) 使用服務主體用戶端識別符
- 金鑰保存庫 連線:Microsoft Purview 連線到您稍早建立秘密的 金鑰保存庫。
- 秘密名稱:您稍早建立的秘密名稱。
填入所有詳細數據之後,請選取 [ 建立]。
委派的驗證
在網狀架構租使用者所在的 Microsoft Entra 租使用者中建立用戶帳戶,並將使用者指派給此角色:網狀架構系統管理員。 記下用戶名稱並登入以變更密碼。
移至建立 Microsoft Purview 之租使用者中的 Azure 金鑰保存庫 實例。
選取> [設定秘密],然後選取 [+ 產生/匯入]。
輸入秘密的名稱。 針對 [值],輸入 Microsoft Entra 使用者新建立的密碼。 選 取 [建立 ] 以完成。
如果您的金鑰保存庫尚未連線到 Microsoft Purview,您必須 建立新的金鑰保存庫連線。
在 Fabric 所在的 Microsoft Entra 租使用者中建立應用程式註冊。 在 重新導向 URI 中提供 Web URL。
記下應用程式識別碼) (用戶端識別碼。
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [應用程式許可權]。 將下列委派許可權指派給應用程式,併為租使用者授與管理員同意:
- Fabric 服務租使用者.Read.All
- Microsoft Graph openid
- Microsoft Graph User.Read
從 Microsoft Entra 儀錶板中,選取新建立的應用程式,然後選取 [驗證]。 在 [支持的帳戶類型] 底下,選取 [任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 - 多租使用者) 。
在 [隱含授與和混合式流程] 底下,選 取 (用於隱含和混合式流程的標識符令牌) 。
在 [ 進階設定] 下,啟用 [允許公用用戶端流程]。
接下來,在 Microsoft Purview 中,移至 [管理] 底下的 [認證] 頁面,以建立新的認證。
提示
或者,您可以在掃描程序期間建立新的認證。
選取 [ + 新增],以建立新的認證。
提供必要的參數:
- 名稱:提供認證的唯一名稱
- 驗證方法:委派的驗證
- 用戶端識別碼:在您稍早建立 (應用程式識別碼) 使用服務主體用戶端識別符
- 用戶名稱:提供您稍早建立的網狀架構系統管理員用戶名稱
- 金鑰保存庫 連線:Microsoft Purview 連線到您稍早建立秘密的 金鑰保存庫。
- 秘密名稱:您稍早建立的秘密名稱。
填入所有詳細數據之後,請選取 [ 建立]。
建立掃描
在 Microsoft Purview Studio 中,移至左側功能表中的 [數據對應 ]。 移至 [來源]。
從跨租用戶選取已註冊的 Fabric 來源。
選 取 [+ 新增掃描]。
為您的掃描命名。 然後選取選項以包含或排除個人工作區。
注意事項
如果您將掃描的設定切換為包含或排除個人工作區,則會觸發 Fabric 來源的完整掃描。
從下拉式清單中選取 [Azure AutoResolveIntegrationRuntime ]。
針對 [ 認證],選取您為服務主體建立的認證或委派的驗證。
在繼續進行後續步驟之前,請選取 [測試連線 ]。
如果測試失敗,請選 取 [檢視報告 ] 以查看詳細狀態並針對問題進行疑難解答:
- 存取 - 失敗 狀態表示使用者驗證失敗。 驗證使用者名稱和密碼是否正確。 檢閱認證是否包含應用程式註冊的正確用戶端 () 標識碼。
- 資產 (+ 歷程) - 失敗 狀態表示 Microsoft Purview 與 Fabric 之間的授權失敗。 請確定使用者已新增至網狀架構系統管理員角色。
- 增強) (詳細元數據 - 失敗 狀態表示已針對下列設定停用 Fabric 管理入口網站: 使用詳細的元數據增強系統管理員 API 回應。
提示
如需更多疑難解答,請參閱 部署檢查清單 ,以確定您已涵蓋案例中的每個步驟。
設定掃描觸發程式。 您的選項為 [週期性 ] 或 [ 一次]。
在 [檢閱新的掃描] 上,選取 [ 儲存並執行 ] 以啟動掃描。
檢視掃描和掃描執行
若要檢視現有的掃描:
- 移至 Microsoft Purview 入口網站。 在左窗格中,選取 [ 數據對應]。
- 選取數據源。 您可以在 [最近掃描] 底下檢視該數據源上現有 掃描的清單,也可以在 [掃描] 索引 卷標上 檢視所有掃描。
- 選取具有您想要檢視結果的掃描。 此窗格會顯示所有先前的掃描執行,以及每個掃描執行的狀態和計量。
- 選取執行標識碼以檢查 掃描執行詳細數據。
管理您的掃描
若要編輯、取消或刪除掃描:
移至 Microsoft Purview 入口網站。 在左窗格中,選取 [ 數據對應]。
選取數據源。 您可以在 [最近掃描] 底下檢視該數據源上現有 掃描的清單,也可以在 [掃描] 索引 卷標上 檢視所有掃描。
選取您要管理的掃描。 然後您可以:
- 選取 [編輯掃描 ],以編輯掃描。
- 選取 [ 取消掃描執行],以取消進行中的掃描。
- 選取 [ 刪除掃描],以刪除掃描。
注意事項
- 刪除掃描並不會刪除從先前掃描建立的類別目錄資產。
後續步驟
現在您已註冊來源,請參閱下列指南以深入瞭解 Microsoft Purview 和您的數據。