要掃描資料來源,Microsoft Purview 需要存取這些資料。 本教學針對 Azure 訂閱擁有者及 Microsoft Purview 資料來源管理員。 它將協助你辨識所需的存取權限,並為 Microsoft Purview 在 Azure 資料來源間設定必要的認證與網路規則。
在這個教學系列的第二部分中,你將:
- 找出你的資料來源並準備一份訂閱資料清單。
- 執行腳本,設定任何缺少的角色基礎存取控制 (RBAC) 或在 Azure 中資料來源間所需的網路設定。
- 檢視輸出報告。
必要條件
- Azure 訂閱,資料來源所在地。 如果你沒有 Azure 訂閱,請在開始前先建立一個免費帳號。
- 一個 Microsoft Purview 帳號。
- 每個訂閱中都有一個Azure 金鑰保存庫資源,包含像 Azure SQL Database、Azure Synapse Analytics 或 Azure SQL 受控執行個體 等資料來源。
- Microsoft Purview MSI 設定腳本。
注意事項
Microsoft Purview MSI 設定腳本僅支援 Windows。 此腳本目前支援 MSI) Microsoft Purview 管理身份 (。
重要事項
我們強烈建議您在部署到生產環境前,先測試並驗證腳本在 Azure 環境中執行的所有變更。
Prepare Azure subscriptions list for data sources
在執行腳本之前,請建立一個 .csv 檔案 (例如:「C:\temp\Subscriptions.csv) 有四欄:
| 欄名稱 | 描述 | 範例 |
|---|---|---|
SubscriptionId |
Azure 訂閱 ID 用於你的資料來源。 | 12345678-AAAA-BBBB-CCCC-1234567890ab |
KeyVaultName |
已部署在資料來源訂閱中的現有金鑰庫名稱。 | ContosoDevKeyVault |
SecretNameSQLUserName |
一個包含Microsoft Entra使用者名稱的現有Azure 金鑰保存庫秘密名稱,該使用者名稱可登入Azure Synapse、Azure SQL資料庫或透過使用 Microsoft Entra 登入 Azure SQL 受控執行個體認證。 | ContosoDevSQLAdmin |
SecretNameSQLPassword |
一個包含Microsoft Entra使用者密碼的現有Azure 金鑰保存庫秘密名稱,該密碼可透過Microsoft Entra登入Azure Synapse、Azure SQL資料庫或Azure SQL 受控執行個體認證。 | ContosoDevSQLPassword |
範例 .csv 檔案:
注意事項
如果需要,你可以更新程式碼中的檔名和路徑。
執行腳本並安裝所需的 PowerShell 模組
請依照以下步驟從你的 Windows 電腦執行腳本:
下載Microsoft Purview MSI設定 腳本到您選擇的地點。
在你的電腦上,在 Windows 工作列的搜尋框輸入 PowerShell 。 在搜尋列表中,選擇並長按 (,或右鍵點擊 ) Windows PowerShell,然後選擇以管理員身份執行。
在 PowerShell 視窗中輸入以下指令。 (將 替換
<path-to-script>為解壓腳本檔案的資料夾路徑。)dir -Path <path-to-script> | Unblock-File輸入以下指令來安裝 Azure 指令(cmdlet):
Install-Module -Name Az -AllowClobber -Scope CurrentUser如果你看到 NuGet 提供者必須繼續的提示,輸入 Y,然後選擇 Enter。
如果你看到「 不可信任儲存庫」這個提示,請輸入 A,然後選擇 Enter。
重複之前的步驟來安裝
Az.SynapseandAzureAD模組。
PowerShell 安裝所需模組可能需要一分鐘。
收集執行腳本所需的其他資料
在執行 PowerShell 腳本來驗證資料來源訂閱的準備狀況之前,先取得以下參數的值,用於腳本:
AzureDataType:請選擇以下任一選項作為您的資料來源類型,以檢查您訂閱中該資料類型的準備度:BlobStorageAzureSQLMIAzureSQLDBADLSGen2ADLSGen1SynapseAll
PurviewAccount: 你現有的 Microsoft Purview 帳號資源名稱。PurviewSub:Microsoft Purview 帳號部署的訂閱 ID。
請確認你的權限
請確保您的使用者擁有以下角色與權限:
至少,你需要以下權限才能在 Azure 環境中執行腳本:
| 角色 | 範圍 | 為什麼需要它? |
|---|---|---|
| 全球讀者 | Microsoft Entra tenant | 閱讀Azure SQL 管理員用戶群組成員資格及Microsoft Purview MSI |
| 應用程式管理員 | Microsoft Entra tenant | 指派Directory Reader角色給Azure SQL管理實例 |
| 投稿者 | 訂閱或資源群組,您建立的 Microsoft Purview 帳號 | 讀取 Microsoft Purview 帳號資源並建立金鑰保存庫資源與秘密 |
| 擁有者或使用者存取管理員 | 管理群組或訂閱,你的 Azure 資料來源所在地 | 指派RBAC |
| 投稿者 | 管理群組或訂閱,你的 Azure 資料來源所在地 | 建立網路配置 |
| SQL 管理員 (Microsoft Entra 認證) | Azure SQL Server instances 或 Azure SQL managed instances | 將 db_datareader 角色指派給Microsoft Purview |
| 存取你的 Azure key vault | 存取/列出金鑰保存庫機密,用於Azure SQL資料庫、Azure SQL 受控執行個體或Azure Synapse認證 |
執行客戶端準備腳本
執行腳本時,請完成以下步驟:
請使用以下指令前往腳本資料夾。 用解壓後檔案的資料夾路徑替換
<path-to-script>。cd <path-to-script>執行以下指令以設定本地電腦的執行策略。 當提示更改執行政策時,請輸入 A 代表 「Yes to All 」。
Set-ExecutionPolicy -ExecutionPolicy Unrestricted執行腳本時,請依照以下參數執行。 替換
DataType、PurviewName和SubscriptionID佔位符。.\purview-msi-configuration.ps1 -AzureDataType <DataType> -PurviewAccount <PurviewName> -PurviewSub <SubscriptionID>執行該指令時,可能會跳出兩次彈出視窗,提示你使用 Microsoft Entra 憑證登入 Azure 和 Microsoft Entra ID。
根據環境中 Azure 訂閱數量和資源數量,建立報告可能需要數分鐘。
如果金鑰庫中的憑證不符,可能會被要求登入你的 Azure SQL Server 實例。 你可以提供憑證,或選擇 Enter 跳過特定伺服器。
流程完成後,請查看輸出報告以檢視變更。
其他相關資訊
腳本支援哪些資料來源?
目前,腳本支援以下資料來源:
- Azure Blob 儲存體 (BlobStorage)
- Azure Data Lake Storage Gen2 (ADLSGen2)
- Azure Data Lake Storage 第一代 (ADLSGen1)
- Azure SQL Database (AzureSQLDB)
- Azure SQL 受控執行個體 (AzureSQLMI)
- Azure Synapse (Synapse) 專用池
執行腳本時,你可以選擇這些資料來源中全部或任一作為輸入參數。
腳本裡包含哪些設定?
此腳本可協助您自動完成以下任務:
Azure Blob 儲存體 (BlobStorage)
- RBAC。 在所選範圍內將 Azure RBAC Reader 角色指派給 Microsoft Purview MSI。 確認任務。
- RBAC。 在所選範圍下的每個訂閱中,將 Azure RBAC 儲存 Blob 資料閱讀器角色指派給 Microsoft Purview MSI。 核實分配。
- 人脈。 報告是否已建立私有端點用於儲存並啟用 Blob 儲存。
- 服務端點。 如果私有端點關閉,請檢查服務端點是否開啟,並啟用 允許受信任的 Microsoft 服務存取此儲存帳號。
Azure Data Lake Storage Gen2 (ADLSGen2)
- RBAC。 在所選範圍內將 Azure RBAC Reader 角色指派給 Microsoft Purview MSI。 確認任務。
- RBAC。 在所選範圍下的每個訂閱中,將 Azure RBAC 儲存 Blob 資料閱讀器角色指派給 Microsoft Purview MSI。 核實分配。
- 人脈。 報告是否已建立私有端點用於儲存並啟用 Blob 儲存。
- 服務端點。 如果私有端點關閉,請檢查服務端點是否開啟,並啟用 允許受信任的 Microsoft 服務存取此儲存帳號。
Azure Data Lake Storage 第一代 (ADLSGen1)
- 人脈。 確認服務端點已開啟,並啟用允許所有Azure服務存取此Data Lake Storage Gen1帳號Data Lake Storage。
- 授權。 將讀取/執行權限指派給 Microsoft Purview MSI。 確認存取權限。
Azure SQL Database (AzureSQLDB)
SQL Server 實例:
- 網。 報告是否啟用了公開端點或私有端點。
- 防火牆。 如果私有端點關閉,請驗證防火牆規則並啟用允許 Azure 服務與資源存取此伺服器。
- Microsoft Entra 管理。 啟用 Microsoft Entra authentication for Azure SQL Database.
SQL 資料庫:
- SQL 角色。 將 db_datareader 角色指派給Microsoft Purview MSI。
Azure SQL 受控執行個體 (AzureSQLMI)
SQL 受管理執行個體伺服器:
網。 確認公共端點或私有端點是否已開啟。 如果公開端點關閉,請回報。
代理覆蓋。 確認 Azure SQL 受控執行個體是否設定為代理或重定向。
人脈。 更新 NSG 規則,允許 AzureCloud 透過指定埠口存取 SQL Server 實例:
- 轉址:1433 與 11000-11999
或
- 代理:3342
請驗證此權限。
Microsoft Entra 管理。 啟用 Microsoft Entra authentication for Azure SQL 受控執行個體。
SQL 資料庫:
- SQL 角色。 將 db_datareader 角色指派給Microsoft Purview MSI。
Azure Synapse (Synapse) 專用池
RBAC。 在所選範圍內將 Azure RBAC Reader 角色指派給 Microsoft Purview MSI。 確認任務。
RBAC。 在所選範圍下的每個訂閱中,將 Azure RBAC 儲存 Blob 資料閱讀器角色指派給 Microsoft Purview MSI。 核實分配。
SQL Server (專用池的實例) :
- 網。 報告公用端點或私有端點是開啟狀態。
- 防火牆。 如果私有端點關閉,請驗證防火牆規則並啟用允許 Azure 服務與資源存取此伺服器。
- Microsoft Entra 管理。 啟用 Microsoft Entra authentication for Azure SQL Database.
SQL 資料庫:
- SQL 角色。 將 db_datareader 角色指派給Microsoft Purview MSI。
後續步驟
在這個教學中,你學會了如何:
- 識別必要的存取權限,並為 Microsoft Purview 在 Azure 資料來源中設定必要的認證與網路規則。
請前往下一個教學,學習如何在 Microsoft Purview 中註冊並掃描多個來源。