Microsoft Purview (先前的 Azure Purview) 部署檢查清單
提示
Microsoft Purview 有新體驗! 如果您是 Purview 客戶的新Microsoft,或如果您想要詳細資訊,請參閱 我們新入口網站的文章 或有關新 數據控管體驗的文章。
如果您打算在組織中部署Microsoft Purview 治理解決方案,請使用 新的入口網站 ,並查看我們 的數據控管快速入門 和 最佳做法。
本文列出的必要條件可協助您快速開始規劃和部署Microsoft Purview (先前稱為 Azure Purview) 帳戶。
如果您要建立計劃來部署 Microsoft Purview,而且也想要在開發部署策略時考慮最佳做法,請使用 我們的部署最佳做法指南 來開始使用。
如果您要尋找嚴格的技術部署指南,則此部署檢查清單適用於您。
| 不能。 | 必要條件/動作 | 必要許可權 | 更多指引和建議 |
|---|---|---|---|
| 1 | Microsoft Entra 租使用者 | 不適用 |
Microsoft Entra 租用戶應該與您的訂用帳戶相關聯。
|
| 2 | 使用中的 Azure 訂用帳戶 | 訂用帳戶擁有者 | 需要有 Azure 訂用帳戶,才能部署 Microsoft Purview 及其受控資源。 如果您沒有 Azure 訂用帳戶,請在開始前建立 免費訂用帳戶 。 |
| 3 | 定義您是否打算使用受控事件中樞部署 Microsoft Purview | 不適用 | 您可以選擇在建立 Microsoft Purview 帳戶期間部署設定現有的事件中樞命名空間,請 參閱建立 Purview 帳戶Microsoft。 使用此受控命名空間,您可以將訊息發佈至事件中樞 kafka 主題ATLAS_HOOK,Microsoft Purview 會取用並處理它。 Microsoft Purview 會通知事件中樞 kafka 主題的實體變更,ATLAS_ENTITIES使用者可以取用並處理它。 您可以在帳戶建立之後隨時啟用或停用此功能。 |
| 4 | 註冊下列資源提供者:
|
訂用帳戶擁有者或自定義角色,可在 /register/action (註冊 Azure 資源提供者) | 在針對 Microsoft Purview 帳戶指定的 Azure 訂用帳戶中註冊必要的 Azure 資源提供者。 檢閱 Azure 資源提供者作業。 |
| 5 | 更新 Azure 原則,以允許在您的 Azure 訂用帳戶中部署下列資源:
|
訂用帳戶擁有者 | 如果現有的 Azure 原則 防止部署這類 Azure 資源,請使用此步驟。 如果封鎖原則存在且需要保持就地,請遵循 我們的 Microsoft Purview 例外狀況卷標指南 ,並遵循步驟來建立 Microsoft Purview 帳戶的例外狀況。 |
| 6 | 定義網路安全性需求。 | 網路安全性架構設計人員。 |
|
| 7 | 適用於 Microsoft Purview 私人端點的 Azure 虛擬網路 和子網。 | 建立或更新 Azure 虛擬網路的網路參與者。 | 如果您打算使用 Microsoft Purview 部署私人端點連線能力,請使用此步驟:
如果您需要的話,請部署 Azure 虛擬網路。 |
| 8 | 部署 Azure 數據源的私人端點。 | 為每個數據源設定私人端點的網路參與者。 | 如果您打算使用 私人端點進行擷取,請執行此步驟。 |
| 9 | 定義要部署新的或使用現有的 Azure 私用 DNS 區域。 | 在使用訂用帳戶擁有者/參與者角色部署 Purview 帳戶期間,可以自動建立必要的 Azure 私用 DNS 區域 | 如果您打算搭配使用私人端點連線與 Microsoft Purview,請使用此步驟。 私人端點的必要 DNS 區域:
|
| 10 | CorpNet 或 Azure 虛擬網路內的管理機器,可啟動 Microsoft Purview 治理入口網站。 | 不適用 | 如果您打算在 Microsoft Purview 帳戶上設定 [允許公 用網络 拒絕 ],請使用此步驟。 |
| 11 | 部署 Microsoft Purview 帳戶 | 訂用帳戶擁有者/參與者 | Purview 帳戶是以一個容量單位部署,並會 根據需求相應增加。 |
| 12 | 部署適用於 Azure 數據源的受控 Integration Runtime 和受控私人端點。 | 在 Purview Microsoft 內設定受控虛擬網路的數據源管理員。 網路參與者 ,可核准每個 Azure 數據源的受控私人端點。 |
如果您打算使用受控 虛擬網路,請執行此步驟。 在您的 Microsoft Purview 帳戶內進行掃描。 |
| 13 | 在網路內部署自我裝載整合運行時間 VM。 | Azure: 虛擬機參與者 內部部署:應用程式擁有者 |
如果您打算使用自我裝載 Integration Runtime 執行任何掃描,請使用此步驟。 |
| 14 | 在 Purview Microsoft內建立自我裝載整合運行時間。 | 數據編者 VM 系統管理員或應用程式擁有者 |
如果您打算使用自我裝載 Integration Runtime 而非受控 Integration Runtime 或 Azure Integration Runtime,請使用此步驟。 下載 |
| 15 | 註冊自我裝載整合運行時間 | 虛擬機器系統管理員 | 如果您有內部部署或 VM 型數據源,例如,SQL Server) ,請使用此步驟 (。 使用此步驟會使用 私人端點 來掃描 任何 數據源。 |
| 16 | 將 Azure RBAC 讀者角色授與數據源訂用帳戶Microsoft Purview MSI | 訂用帳戶擁有者 或 使用者存取系統管理員 | 如果您打算註冊 多個 或 下列任何 數據源,請使用此步驟: |
| 17 | 將 Azure RBAC 記憶體 Blob 資料讀取者 角色授與數據源訂 用帳戶Microsoft Purview MSI 。 | 訂用帳戶擁有者 或 使用者存取系統管理員 | 如果您使用私人端點來連線到數據源,請略過此步驟。 如果您有下列資料來源,請使用此步驟: |
| 18 | 啟用網路連線能力以允許 AzureServices 存取資料來源: 例如,啟用「允許受信任Microsoft服務存取此儲存體帳戶」。 |
數據源的擁有者或參與者 | 如果您的數據源中使用 服務端點 ,請使用此步驟。 (如果使用私人端點,請勿使用此步驟) |
| 19 | 在 Azure SQLServer、Azure SQL 受控執行個體 和 Azure SynapseAnalytics 上啟用 Microsoft Entra 驗證 | Azure SQL 伺服器參與者 | 如果您 Azure SQL 資料庫或 Azure SQL 受控執行個體 或 Azure Synapse 分析作為數據源,請使用此步驟。 |
| 20 | 將具有db_datareader角色Microsoft Purview MSI 帳戶授與 Azure SQL 資料庫和 Azure SQL 受控執行個體 資料庫 | Azure SQL 系統管理員 | 如果您 Azure SQL 資料庫或 Azure SQL 受控執行個體 做為數據源,請使用此步驟。 如果您使用私人端點來連線到數據源,請略過此步驟。 |
| 21 | 將 Azure RBAC 記憶體 Blob 資料讀取器授與 Synapse SQL Server 以供預備記憶體帳戶使用 | 數據源的擁有者或使用者存取系統管理員 | 如果您 Azure Synapse 分析作為數據源,請使用此步驟。 如果您使用私人端點來連線到數據源,請略過此步驟。 |
| 22 | 授與 Azure RBAC 讀取者角色,以在 Synapse 工作區資源Microsoft Purview MSI | 數據源的擁有者或使用者存取系統管理員 | 如果您 Azure Synapse 分析作為數據源,請使用此步驟。 如果您使用私人端點來連線到數據源,請略過此步驟。 |
| 23 | 授與具有db_datareader角色的 Azure Purview MSI 帳戶 | Azure SQL 系統管理員 | 如果您有 Azure Synapse Analytics (專用 SQL 資料庫) ,請使用此步驟。 如果您使用私人端點來連線到數據源,請略過此步驟。 |
| 24 | 使用系統管理員角色授與 Microsoft Purview MSI 帳戶 | Azure SQL 系統管理員 | 如果您已 Azure Synapse 分析 (無伺服器 SQL 資料庫) ,請使用此步驟。 如果您使用私人端點來連線到數據源,請略過此步驟。 |
| 25 | 在您的 Microsoft Entra 租使用者內建立應用程式註冊或服務主體 | Microsoft Entra ID 應用程式管理員 | 如果您打算使用委派的作者 服務主體對數據源執行掃描,請使用此步驟。 |
| 26 | 建立 Azure 金鑰保存庫 和秘密,以儲存數據源認證或服務主體秘密。 | 參與者或 金鑰保存庫 管理員 | 如果您有內部部署或 VM 型數據源,例如,SQL Server) ,請使用此步驟 (。 使用此步驟會使用 擷取私人端點 來掃描數據源。 |
| 27 | 將 Key Vault 存取原則 授與 Microsoft Purview MSI: Secret: get/list | 金鑰保存庫系統管理員 | 如果您有 / 內部部署VM型數據源 (例如,SQL Server) 如果 金鑰保存庫 許可權模型設定為保存庫存取原則,請使用此步驟。 |
| 28 | 授與 金鑰保存庫 RBAC 角色 金鑰保存庫 秘密使用者Microsoft Purview MSI。 | 擁有者 或 使用者存取系統管理員 | 如果您有內部部署或 VM 型數據源 (例如,SQL Server) 如果 金鑰保存庫 許可權模型設定為 Azure 角色型存取控制,請使用此步驟。 |
| 29 | 從 Microsoft Purview 治理入口網站建立 Azure 金鑰保存庫 的新連線 | 數據源管理員 | 如果您打算使用下列任何 驗證選項 來掃描 Purview 中的數據源,請使用此步驟Microsoft:
|
| 30 | 部署 Power BI 租使用者的私人端點 |
Power BI 系統管理員 網路參與者 |
如果您打算將Power BI租用戶註冊為數據源,且您的 Microsoft Purview 帳戶設定為 拒絕公用存取,請使用此步驟。 如需詳細資訊,請參閱 如何設定私人端點以存取 Power BI。 |
| 31 | 從 Azure Data Factory 入口網站將 Azure Data Factory 連線到 Microsoft Purview。
管理 ->Microsoft Purview。 選 取 [連線到 Purview 帳戶]。 驗證 ADF Azure 資源中是否存在 Azure 資源標籤 catalogUri 。 |
Azure Data Factory 參與者/數據編者 | 如果您有 Azure Data Factory,請使用此步驟。 |
| 32 | 確認您的 Microsoft Entra 租使用者中是否有至少一個Microsoft 365 的必要授權,才能在 Microsoft Purview 中使用敏感度卷標。 | Microsoft Entra ID 全域讀取者 | 如果您打算將敏感度標籤擴充至 Microsoft Purview 資料對應 如需詳細資訊,請參閱在 Microsoft Purview 中的檔案和資料庫數據行上使用敏感度標籤的授權需求 |
| 33 | 同意「將標籤延伸至 Microsoft Purview 資料對應 中的資產」 | 合規性系統管理員 Azure 資訊保護 系統管理員 |
如果您想要將敏感度標籤延伸至數據對應中的數據,請使用此步驟。 如需詳細資訊,請參閱 Microsoft Purview 資料對應 中的標籤。 |
| 34 | 在 Purview 中建立新的集合並指派角色Microsoft | 集合管理員 | 在 Purview 中建立集合並指派許可權Microsoft。 |
| 36 | 在 Microsoft Purview 中管理數據源 |
數據源系統管理員 數據讀取者 或 數據編者 |
如需詳細資訊,請參閱 支持的數據源和文件類型 |
| 35 | 授與組織中數據角色的存取權 | 集合管理員 | 提供其他小組的存取權以使用 Microsoft Purview:
如需詳細資訊,請參閱 Microsoft Purview 中的訪問控制。 |