本文提供傳統 Microsoft Purview 治理解決方案常見安全性需求的最佳做法。 所描述的安全策略遵循分層縱深防禦方法。
注意事項
這些最佳做法涵蓋 Microsoft Purview 數據控管解決方案的安全性。 深入瞭解 Microsoft Purview 一般情況,或特別是 風險和合規性解決方案 。
在將這些建議套用至您的環境之前,您應該先諮詢您的安全小組,因為有些建議可能不適用於您的安全需求。
網路安全性
您可以針對 Microsoft Purview 資料對應啟用下列網路安全性功能:
- 使用 Private Link 服務啟用端對端網路隔離。
- 使用 Microsoft Purview 防火牆 來停用公用存取。
- 部署 Azure 資料來源私人端點、Microsoft Purview 私人端點和自我裝載執行階段 VM 的子網路 (NSG) 規則的網路安全性群組 。
- 使用網路虛擬設備所管理的私人端點實作 Microsoft Purview,例如用於網路檢查和網路篩選的 Azure 防火牆。
如需詳細資訊,請參閱 與 Azure PaaS 服務連線相關的最佳做法。
部署 Microsoft Purview 帳戶的私人端點
如果您需要從私人網路內部使用 Microsoft Purview,建議您搭配 Microsoft Purview 帳戶使用 Azure Private Link 服務,以進行部分或端對端隔離,以連線到 Microsoft Purview 治理入口網站、存取 Microsoft Purview 端點,以及掃描數據源。
Microsoft Purview 帳戶 私人端點可用來新增另一層安全性,因此只允許源自虛擬網路內的用戶端呼叫存取 Microsoft Purview 帳戶。 此私人端點也是入口網站私人端點的必要條件。
需要 Microsoft Purview 入口網站 私人端點,才能使用私人網路啟用 Microsoft Purview 治理入口網站的連線能力。
Microsoft Purview 可以使用擷取私人端點來掃描 Azure 或內部部署環境中的資料來源。
如需詳細資訊,請參閱 Microsoft Purview 網路架構和最佳做法。
使用 Microsoft Purview 防火牆封鎖公用存取
您可以停用 Microsoft Purview 公用存取,以完全從公用因特網切斷對 Microsoft Purview 帳戶的存取。 在這種情況下,您應該考慮以下要求:
- Microsoft Purview 必須根據 端對端網路隔離案例來部署。
- 若要存取 Microsoft Purview 治理入口網站和 Microsoft Purview 端點,您必須使用連線到私人網路的管理機器,透過私人網路存取 Microsoft Purview。
- 檢閱 已知限制。
如需詳細資訊,請參閱 防 火牆以限制公用存取。
使用網路安全性群組
您可以使用 Azure 網路安全性群組來篩選進出 Azure 虛擬網路中 Azure 資源的網路流量。 網路安全性群組包含 安全性規則 ,可允許或拒絕數種類型的 Azure 資源的輸入網路流量,或來自數種類型的 Azure 資源的輸出網路流量。 對於每個規則,您可以指定來源和目的地、連接埠和通訊協定。
網路安全性群組可以套用至網路介面或 Azure 虛擬網路子網路,其中會部署 Microsoft Purview 私人端點、自我裝載整合執行階段 VM 和 Azure 資料來源。
如需詳細資訊,請參閱 套用私人端點的 NSG 規則。
Microsoft Purview 掃描的 資料來源 需要下列 NSG 規則:
| 方向 | 來源 | 來源連接埠範圍 | Destination | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 入庫 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | 資料來源:專用 IP 位址或子網路 | 443 | 任何 | 允許 |
需要從 管理電腦 執行下列 NSG 規則,才能存取 Microsoft Purview 治理入口網站:
| 方向 | 來源 | 來源連接埠範圍 | Destination | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 出埠 | 管理機器的專用 IP 位址或子網路 | * | Microsoft Purview 帳戶和入口網站私人端點 IP 位址或子網路 | 443 | 任何 | 允許 |
| 出埠 | 管理機器的專用 IP 位址或子網路 | * | 服務標籤: AzureCloud |
443 | 任何 | 允許 |
自我裝載整合執行階段 VM 需要下列 NSG 規則,才能進行 Microsoft Purview 掃描和中繼資料擷取:
重要事項
請考慮根據您的資料來源類型,新增具有相關服務標籤的其他規則。
| 方向 | 來源 | 來源連接埠範圍 | Destination | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 出埠 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | 資料來源、專用 IP 位址或子網路 | 443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網 | 443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | 服務標籤: Servicebus |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | 服務標籤: Storage |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | 服務標籤: AzureActiveDirectory |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | 服務標籤: DataFactory |
443 | 任何 | 允許 |
| 出埠 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | 服務標籤: KeyVault |
443 | 任何 | 允許 |
Microsoft Purview 帳戶、入口網站和擷取私人端點需要下列 NSG 規則:
| 方向 | 來源 | 來源連接埠範圍 | Destination | 目的地連接埠 | Protocol (通訊協定) | 動作 |
|---|---|---|---|---|---|---|
| 入庫 | 自我裝載整合執行階段 VM 的私人 IP 位址或子網 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網路 | 443 | 任何 | 允許 |
| 入庫 | 管理機器的專用 IP 位址或子網路 | * | Microsoft Purview 帳戶和擷取私人端點 IP 位址或子網路 | 443 | 任何 | 允許 |
如需詳細資訊,請參閱 自我裝載整合執行階段網路需求。
存取管理
身分識別和存取管理提供大部分安全性保證的基礎。 它允許基於雲端服務中的身份驗證和授權控制進行存取。 這些控制項可保護資料和資源,並決定應允許哪些要求。
與 Microsoft Purview 中的角色和存取管理相關,您可以套用下列安全性最佳做法:
- 定義角色和責任,以在控制平面和資料平面中管理 Microsoft Purview:
- 定義在 Azure 訂用帳戶內部署和管理 Microsoft Purview 所需的角色和工作。
- 定義使用 Microsoft Purview 執行資料管理和治理所需的角色和工作。
- 將角色指派給 Microsoft Entra 群組,而不是將角色指派給個別使用者。
- 使用 Azure Active Directory 權利管理,使用存取套件將使用者存取權對應至 Microsoft Entra 群組。
- 針對 Microsoft Purview 使用者強制執行多重要素驗證,特別是具有特殊許可權角色的使用者,例如集合系統管理員、數據源系統管理員或數據策展人。
在控制平面和資料平面中管理 Microsoft Purview 帳戶
控制平面是指與 Azure Resource Manager 內 Microsoft Purview 的 Azure 部署和管理相關的所有作業。
資料平面是指與資料對應和整合式目錄內與 Microsoft Purview 互動相關的所有作業。
您可以從與 Microsoft Purview 執行個體 Azure 訂用帳戶相關聯的 Microsoft Entra 租用戶,將控制平面和資料平面角色指派給使用者、安全性群組和服務主體。
控制平面作業和資料平面作業的範例:
| 工作 | 範圍 | 推薦角色 | 使用哪些角色? |
|---|---|---|---|
| 部署 Microsoft Purview 帳戶 | 控制平面 | Azure 訂用帳戶擁有者或參與者 | Azure RBAC 角色 |
| 設定 Microsoft Purview 的私人端點 | 控制平面 | 投稿者 | Azure RBAC 角色 |
| 刪除 Microsoft Purview 帳戶 | 控制平面 | 投稿者 | Azure RBAC 角色 |
| 新增或管理 自我裝載整合執行階段 (SHIR) | 控制平面 | 資料來源管理員 | Microsoft Purview 角色 |
| 檢視 Microsoft Purview 計量以取得目前的容量單位 | 控制平面 | 讀者 | Azure RBAC 角色 |
| 建立集合 | 資料平面 | 集合管理員 | Microsoft Purview 角色 |
| 註冊資料來源 | 資料平面 | 集合管理員 | Microsoft Purview 角色 |
| 掃描 SQL Server | 資料平面 | 資料來源管理員和資料讀取者或資料策展人 | Microsoft Purview 角色 |
| 在 Microsoft Purview 整合式目錄內搜尋 | 資料平面 | 資料來源管理員和資料讀取者或資料策展人 | Microsoft Purview 角色 |
Microsoft Purview 平面角色會在 Microsoft Purview 集合中的 Microsoft Purview 實例內定義和管理。 如需詳細資訊,請參閱 Microsoft Purview 中的存取控制。
請遵循 Microsoft Purview 資料控管角色,以取得使用者在整合式目錄中管理的角色和許可權的指引。
請遵循 Azure 控制平面工作的 Azure 角色型存取建議 。
驗證和授權
若要取得 Microsoft Purview 的存取權,使用者必須經過驗證和授權。 身份驗證是證明用戶是他們聲稱的身份的過程。 授權是指控制在集合上指派的 Microsoft Purview 內的存取。
我們會使用 Microsoft Entra ID 來為集合內的 Microsoft Purview 提供驗證和授權機制。 您可以從與裝載 Microsoft Purview 執行個體之 Azure 訂用帳戶相關聯的 Microsoft Entra 租用戶,將 Microsoft Purview 角色指派給下列安全性主體:
- 使用者和來賓使用者 (是否已新增至您的Microsoft Entra租使用者)
- 安全性群組
- 受控識別
- 服務主體
Microsoft Purview 精細角色可以指派給 Microsoft Purview 實例內的彈性集合階層。
定義最低權限模型
一般而言,根據 需要知道 和 最低權限 安全原則來限制存取,對於想要強制執行資料存取安全原則的組織來說,這是必不可少的。
在 Microsoft Purview 中,可以使用 Microsoft Purview 集合來組織資料來源、資產和掃描。 集合是 Microsoft Purview 中中繼資料的階層式群組,但同時提供管理跨 Microsoft Purview 存取的機制。 Microsoft Purview 中的角色可以根據集合的階層指派給集合。
使用 Microsoft Purview 集合 來實作組織的中繼資料階層,以以最低許可權模型為基礎,以集中式或委派的管理和治理階層。
在 Microsoft Purview 集合內指派角色時,請遵循最低許可權存取模型,方法是在小組內隔離職責,並只授與使用者執行其工作所需的存取權數量。
如需如何根據 Microsoft Purview 集合階層在 Microsoft Purview 中指派最低許可權存取模型的詳細資訊,請參閱 Microsoft Purview 中的存取控制。
降低特權帳戶的暴露
保護特權存取是保護企業資產的關鍵第一步。 將存取安全資訊或資源的人數降到最低,可減少惡意使用者取得存取權的機會,或授權使用者無意中影響敏感性資源的機會。
減少 Microsoft Purview 執行個體內具有寫入存取權的使用者數目。 在根集合中,將集合管理員和資料策展人角色的數目保持在最低限度。
使用多重要素驗證和條件式存取
Microsoft Entra 多重要素驗證提供另一層安全性和驗證。 為了提高安全性,建議您針對所有特殊許可權帳戶強制執行 條件式存取原則 。
藉由使用 Microsoft Entra 條件式存取原則,在登入時針對指派給 Microsoft Purview 角色的所有個別使用者套用 Microsoft Entra 多重要素驗證,這些角色在 Microsoft Purview 執行個體內具有修改存取權:集合管理員、資料來源管理員、資料策展人。
為您的管理員帳戶啟用多重要素驗證,並確保管理員帳戶使用者已註冊 MFA。
您可以選取 Microsoft Purview 作為雲端應用程式來定義條件式存取原則。
防止意外刪除 Microsoft Purview 帳戶
在 Azure 中,您可以將 資源鎖定 套用至 Azure 訂用帳戶、資源群組或資源,以防止意外刪除或修改重要資源。
啟用 Microsoft Purview 帳戶的 Azure 資源鎖定,以防止意外刪除 Azure 訂用帳戶中的 Microsoft Purview 執行個體。
將 OR ReadOnly 鎖定新增至 Purview 帳戶MicrosoftCanNotDelete不會防止 Purview 資料平面內Microsoft刪除或修改作業,不過,它會防止控制平面中的任何作業,例如刪除 Microsoft Purview 帳戶、部署私人端點或診斷設定的設定。
如需詳細資訊,請參閱 了解鎖定的範圍。
資源鎖定可以指派給 Microsoft Purview 資源群組或資源,不過,您無法將 Azure 資源鎖定指派給 Microsoft Purview 受控資源或受控資源群組。
實施休息玻璃策略
規劃 Microsoft Entra 租用戶、Azure 訂用帳戶和 Microsoft Purview 帳戶的休息策略,以防止全租用戶帳戶鎖定。
如需 Microsoft Entra ID 和 Azure 緊急存取規劃的詳細資訊,請參閱 在 Microsoft Entra ID 中管理緊急存取帳戶。
如需 Microsoft Purview 休息玻璃策略的詳細資訊,請參閱 Microsoft Purview 集合最佳做法和設計建議。
威脅防護和防止資料外洩
Microsoft Purview 提供資料敏感度的豐富深入解析,這對於使用適用於雲端的 Microsoft Defender 來管理組織的安全性狀態並防範其工作負載的威脅的安全性小組來說很有價值。 資料資源仍然是惡意行為者的熱門目標,因此安全團隊識別、優先排序和保護雲端環境中的敏感資料資源至關重要。 為了解決這項挑戰,我們宣佈在公共預覽版中整合適用於雲端的 Microsoft Defender 和 Microsoft Purview。
與 Microsoft 365 和適用於雲端的 Microsoft Defender 整合
通常,公司安全組織面臨的最大挑戰之一是根據資產的重要性和敏感性來識別和保護資產。 Microsoft 最近宣布在公共預覽版中整合 Microsoft Purview 和適用於雲端的 Microsoft Defender,以協助克服這些挑戰。
如果您已擴充 Microsoft Purview 中資產和資料庫資料行的 Microsoft 365 敏感度標籤,您可以根據資產偵測到的敏感度標籤,從清查、警示和建議,使用適用於雲端的 Microsoft Defender 來追蹤高度有價值的資產。
對於建議,我們提供了 安全性控制 ,以協助您了解每個建議對整體安全性狀態的重要性。 適用於雲端的 Microsoft Defender 包含每個控件的安全分數值,以協助您排定安全性工作的優先順序。 如需詳細資訊,請參閱 安全性控制及其建議。
針對警示,我們已將 嚴重性標籤 指派給每個警示,以協助您排定處理每個警示的順序的優先順序。 如需詳細資訊,請參閱 如何分類警示?。
如需詳細資訊,請參閱 將 Microsoft Purview 與 Azure 安全性產品整合。
資訊保護
安全的元資料擷取和儲存
Microsoft Purview 是雲端中的資料控管解決方案。 您可以從內部部署、Azure 或多雲端環境,從各種資料系統註冊並掃描不同的資料來源,並將其掃描到 Microsoft Purview。 雖然資料來源會在 Microsoft Purview 中註冊和掃描,但實際數據和數據源會保留在其原始位置,只有中繼數據會從數據源擷取,並儲存在 Microsoft Purview 資料對應中,這表示您不需要將數據移出區域或其原始位置,即可將中繼數據擷取至 Microsoft Purview。
如果您的帳戶是在 2023 年 12 月 15 日 之前 建立,則您的帳戶已使用受控資源群組進行部署,而 Azure 儲存體帳戶已部署在該群組中。 這些資源是由 Microsoft Purview 取用,而且任何其他使用者或主體都無法存取。 部署 Microsoft Purview 帳戶時,Azure 角色型存取控制 (RBAC) 拒絕指派會自動新增至此資源群組,並防止其他使用者存取,或 Microsoft Purview 未起始的任何 CRUD 作業。
在 2023 年 12 月 15 日 之後 部署的帳戶 (或使用 API 版本 2023-05-01-preview 部署的帳戶) 使用部署在內部Microsoft Azure 訂用帳戶中的擷取儲存體帳戶。 由於這些資源不在 Microsoft Purview 的 Azure 訂用帳戶上,因此任何其他使用者或主體都無法存取它們,但 Microsoft Purview 帳戶除外。
(如果您已使用 API 部署帳戶,則使用 API 版本 2023-05-01-preview 以上版本部署的帳戶會使用部署在內部Microsoft Azure 訂用帳戶上的擷取儲存體帳戶,而不是部署在 Azure 訂用帳戶上的受控儲存體帳戶 ) 。
中繼資料儲存在哪裡?
Microsoft Purview 只會在掃描程式期間,將不同資料來源系統的中繼資料擷取至 Microsoft Purview 資料對應。
您可以在任何 支援的 Azure 區域的 Azure 訂用帳戶內部署 Microsoft Purview 帳戶。
所有中繼資料都會儲存在 Microsoft Purview 實例內的資料對應內。 這表示中繼資料會儲存在與 Microsoft Purview 實例相同的區域中。
如何從資料來源擷取中繼資料?
Microsoft Purview 可讓您使用下列任何選項,從資料來源擷取中繼資料:
Azure 執行階段。 中繼資料資料會在與資料來源相同的區域內擷取和處理。
手動或自動掃描會透過 Azure 整合執行階段從 Microsoft Purview 資料對應起始。
Azure 整合執行階段會連線到資料來源以擷取中繼資料。
中繼資料會排入佇列在 Microsoft Purview 受控或擷取儲存體中,並儲存在 Azure Blob 儲存體中。
中繼資料會傳送至 Microsoft Purview 資料對應。
自我裝載整合執行階段。 中繼資料會在自我裝載整合執行階段 VM 記憶體內擷取和處理,然後再傳送至 Microsoft Purview 資料對應。 在此情況下,客戶必須在其 Azure 訂用帳戶或內部部署環境中部署和管理一或多個自我裝載整合執行階段 Windows 型虛擬機器。 掃描內部部署和 VM 型資料來源一律需要使用自我裝載整合執行階段。 這些資料來源不支援 Azure 整合執行階段。 下列步驟會在您使用自我裝載整合執行階段掃描資料來源時,在高階顯示通訊流程。
觸發手動或自動掃描。 Microsoft Purview 會連線到 Azure 金鑰保存庫,以擷取認證以存取資料來源。
掃描是透過自我裝載整合執行階段從 Microsoft Purview 資料對應起始。
VM 的自我裝載整合執行階段服務會連線到資料來源以擷取中繼資料。
中繼資料會在 VM 記憶體中處理,以用於自我裝載整合執行階段。 中繼資料會排入 Microsoft Purview 擷取儲存體中,然後儲存在 Azure Blob 儲存體中。
中繼資料會傳送至 Microsoft Purview 資料對應。
如果您需要從具有無法離開內部部署網路界限的敏感性資料的資料來源擷取中繼資料,強烈建議您在資料來源所在的公司網路內部署自我裝載整合執行階段 VM,以擷取和處理內部部署中的中繼資料,並只將中繼資料傳送至 Microsoft Purview。
觸發手動或自動掃描。 Microsoft Purview 會連線到 Azure 金鑰保存庫,以擷取認證以存取資料來源。
掃描是透過內部部署自我裝載整合執行階段起始。
VM 的自我裝載整合執行階段服務會連線到資料來源以擷取中繼資料。
中繼資料會在 VM 記憶體中處理,以用於自我裝載整合執行階段。 中繼資料會排入 Microsoft Purview 擷取儲存體中,然後儲存在 Azure Blob 儲存體中。 實際資料永遠不會離開網路邊界。
中繼資料會傳送至 Microsoft Purview 資料對應。
資訊保護與加密
Azure 提供許多機制,可在靜態中以及從一個位置移動到另一個位置時,將資料保持私密。 針對 Microsoft Purview,資料會使用 Microsoft 受控金鑰進行待用加密,並在資料傳輸中使用傳輸層安全性 (TLS) v1.2 或更新版本進行加密。
傳輸層安全性 (傳輸中加密)
傳輸中的數據 (也稱為動態數據) 會在 Microsoft Purview 中加密。
除了存取控制之外,為了新增另一層安全性,Microsoft Purview 會使用傳輸層安全性 (TLS) 加密動態數據來保護客戶數據,並保護傳輸中的數據免於流量擷取) 等「頻外」攻擊 (。 它使用加密來確保攻擊者無法輕易讀取或修改資料。
Microsoft Purview 支援使用傳輸層安全性 (TLS) v1.2 或更新版本進行傳輸中的數據加密。
如需詳細資訊,請參閱 加密 傳輸中的敏感性資訊。
透明資料加密 (靜態加密)
靜態資料包括以任何數位格式駐留在實體媒體上持續儲存體中的資訊。 媒體可以包含磁性或光學媒體上的檔案、封存的資料,以及 Azure 區域內的資料備份。
除了存取控制之外,為了新增另一層安全性,Microsoft Purview 會加密待用數據,以防止「頻外」攻擊 (,例如存取基礎儲存體) 。 它使用 Microsoft 管理的金鑰進行加密。 這種做法有助於確保攻擊者無法輕易讀取或修改資料。
如需詳細資訊,請參閱加密 待用敏感資料。
選擇性事件中樞命名空間設定
每個 Microsoft Purview 帳戶都可以設定可透過其 Atlas Kafka 端點存取的事件中樞。 您可以在 [設定] 底下的建立時啟用此功能,或從 [Kafka 設定] 底下的 Azure 入口網站 啟用。 建議只有在選擇性受控事件中樞用來將事件散發到 Microsoft Purview 帳戶資料對應或外部時,才啟用選擇性受控事件中樞。 若要移除此資訊發佈點,請不要設定這些端點,或移除它們。
若要移除已設定的事件中樞命名空間,您可以遵循下列步驟:
- 在 Azure 入口網站 中搜尋並開啟您的 Microsoft Purview 帳戶。
- 在 Azure 入口網站 的 Microsoft Purview 帳戶頁面上的設定下選取 [Kafka 設定]。
- 選取您要停用的事件中樞。 (Hook 中樞會將訊息傳送至 Microsoft Purview。通知中樞會接收通知.)
- 選取 移除 以 儲存選擇並開始停用程式。 這可能需要幾分鐘才能完成。
注意事項
如果您在停用此事件中樞命名空間時有擷取私人端點,則在停用擷取私人端點之後,可能會顯示為中斷連線。
如需設定這些事件中樞命名空間的詳細資訊,請參閱: 設定 Atlas Kafka 主題的事件中樞
身分憑證管理
若要將中繼資料從資料來源系統擷取至 Microsoft Purview 資料對應,必須在 Microsoft Purview 資料對應中註冊並掃描資料來源系統。 為了將此程式自動化,我們已為 Microsoft Purview 中的不同資料來源系統提供 連接器 ,以簡化註冊和掃描程式。
若要連線到資料來源,Microsoft Purview 需要具有資料來源系統唯讀存取權的認證。
建議盡可能優先使用下列認證選項進行掃描:
- Microsoft Purview 受控識別
- 使用者指派的受控識別
- 服務主體
- 其他選項,例如帳戶金鑰、SQL驗證等。
如果您使用任何選項而不是受控識別,則所有認證都必須儲存在 Azure 金鑰保存庫內並受到保護。 Microsoft Purview 需要取得/列出 Azure 金鑰保存庫資源上秘密的存取權。
一般而言,您可以使用下列選項來設定整合執行階段,以及掃描資料來源系統的認證:
| 案例 | 執行階段選項 | 支援的認證 |
|---|---|---|
| 資料來源是 Azure 平台即服務,例如 Azure Data Lake Storage Gen 2 或公用網路內的 Azure SQL | 選項 1:Azure 執行階段 | Microsoft Purview 受控識別、服務主體或存取金鑰/SQL 驗證 (,視 Azure 資料來源類型而定) |
| 資料來源是 Azure 平台即服務,例如 Azure Data Lake Storage Gen 2 或公用網路內的 Azure SQL | 選項 2:自我裝載整合執行階段 | 服務主體或存取金鑰/SQL 驗證 (視 Azure 資料來源類型而定) |
| 資料來源是 Azure 平台即服務,例如 Azure Data Lake Storage Gen 2 或使用 Azure Private Link 服務在私人網路內的 Azure SQL | 自我裝載整合執行階段 | 服務主體或存取金鑰/SQL 驗證 (視 Azure 資料來源類型而定) |
| 資料來源位於 Azure IaaS VM 內,例如 SQL Server | 部署在 Azure 中的自我裝載整合執行階段 | SQL 驗證或基本驗證 (取決於 Azure 資料來源類型) |
| 資料來源位於內部部署系統內,例如 SQL Server 或 Oracle | 部署在 Azure 或內部部署網路中的自我裝載整合執行階段 | SQL 驗證或基本驗證 (取決於 Azure 資料來源類型) |
| 多雲 | Azure 執行階段或以資料來源類型為基礎的自我裝載整合執行階段 | 支援的認證選項會因資料來源類型而異 |
| Power BI 租用戶 | Azure 執行階段 | Microsoft Purview 受控識別 |
使用 本指南 深入瞭解每個來源及其支援的驗證選項。
其他建議
套用自我裝載執行階段 VM 的安全性最佳做法
如果使用自我裝載整合執行階段來掃描 Microsoft Purview 中的資料來源,請考慮保護 Azure 或內部部署環境中自我裝載整合執行階段 VM 的部署和管理。
針對在 Azure 中部署為虛擬機器的自我裝載整合執行階段 VM,請遵循 Windows 虛擬機器的安全性最佳做法建議。
- 使用網路安全性群組和 Azure Defender 存取 Just-in-Time 鎖定 VM 的輸入流量。
- 安裝防病毒軟件或反惡意軟件。
- 部署 Azure Defender 以深入瞭解 VM 上任何潛在異常。
- 限制自我裝載整合執行階段 VM 中的軟體數量。 雖然 Microsoft Purview 的自我裝載執行階段不需要有專用 VM 的必要需求,但強烈建議您使用專用 VM,特別是針對生產環境。
- 使用適用於 VM 的 Azure 監視器來監視 VM。 藉由使用 Log Analytics 代理程式,您可以擷取效能計量等內容,以調整 VM 所需的容量。
- 藉由將虛擬機器與適用於雲端的 Microsoft Defender 整合,您可以預防、偵測及回應威脅。
- 讓您的機器保持最新狀態。 您可以啟用自動 Windows Update 或使用 Azure 自動化中的更新管理來管理 OS 的作業系統層級更新。
- 使用多部機器以獲得更高的彈性和可用性。 您可以部署和註冊多個自我裝載整合執行階段,以將掃描散發到多個自我裝載整合執行階段機器,或在虛擬機器擴展集上部署自我裝載整合執行階段,以獲得更高的備援和延展性。
- 或者,您可以規劃從自我裝載整合執行階段 VM 啟用 Azure 備份,以在發生 VM 層級災害時增加自我裝載整合執行階段 VM 的復原時間。