注意事項
Microsoft Purview 資料目錄 (傳統) 和 Data Health Insights (傳統) 不再接受新客戶,而且這些服務 (先前為 Azure Purview) 現在處於客戶支援模式。
提示
Microsoft Purview 有全新體驗! 如果您是新的 Microsoft Purview 客戶,或想要詳細資訊,請參閱新 入口網站上的文章 ,或有關我們新 資料控管體驗的文章。
如果您計劃在組織中部署 Microsoft Purview 治理解決方案,請使用 我們的新入口網站 ,並查看我們的 資料控管快速入門 和 最佳做法。
本文列出必要條件,可協助您快速開始規劃和部署 Microsoft Purview (先前稱為 Azure Purview) 帳戶。
如果您要建立部署 Microsoft Purview 的計劃,而且想要在開發部署策略時考慮最佳做法,請使用 我們的部署最佳做法指南 來開始使用。
如果您正在尋找嚴格的技術部署指南,此部署檢查清單適合您。
| 不能。 | 先決條件/行動 | 必要權限 | 更多指導和建議 |
|---|---|---|---|
| 1 | Microsoft Entra 租用戶 | 不適用 |
Microsoft Entra 租用戶應該與您的訂用帳戶相關聯。
|
| 2 | 作用中的 Azure 訂用帳戶 | 訂閱擁有者 | 需要 Azure 訂用帳戶,才能部署 Microsoft Purview 及其受控資源。 如果您沒有 Azure 訂用帳戶,請先建立 免費訂用帳戶 ,再開始。 |
| 3 | 定義您是否打算使用受控事件中樞部署 Microsoft Purview | 不適用 | 您可以選擇在建立 Microsoft Purview 帳戶期間部署設定現有的事件中樞命名空間,請參閱 Microsoft Purview 帳戶建立。 使用此受控命名空間,您可以將訊息發佈至事件中樞 kafka 主題ATLAS_HOOK,Microsoft Purview 會取用並處理它。 Microsoft Purview 會通知事件中樞 kafka 主題ATLAS_ENTITIES的實體變更,而且使用者可以取用和處理它。 您可以在建立帳戶後隨時啟用或停用此功能。 |
| 4 | 註冊下列資源提供者:
|
訂用帳戶擁有者 或自訂角色,以註冊 Azure 資源提供者 (/register/action) | 在指定給 Microsoft Purview 帳戶的 Azure 訂用帳戶中註冊必要的 Azure 資源提供者。 檢閱 Azure 資源提供者作業。 |
| 5 | 更新 Azure 原則,以允許在 Azure 訂用帳戶中部署下列資源:
|
訂閱擁有者 | 如果現有的 Azure 原則 阻止部署這類 Azure 資源,請使用此步驟。 如果封鎖原則存在且需要保留,請遵循我們的 Microsoft Purview 例外狀況標籤指南 ,並遵循步驟為 Microsoft Purview 帳戶建立例外狀況。 |
| 6 | 定義您的網路安全需求。 | 網路和安全架構師。 |
|
| 7 | 適用於 Microsoft Purview 私人端點的 Azure 虛擬網路和子網路。 | 建立 或更新 Azure 虛擬網路的網路參與者。 | 如果您打算部署 Microsoft Purview 的私人端點連線,請使用此步驟:
如有需要,請部署 Azure 虛擬網路。 |
| 8 | 部署 Azure 資料來源的私人端點。 | 網路參與者 ,以設定每個資料來源的私人端點。 | 如果您打算使用 私人端點進行擷取,請執行此步驟。 |
| 9 | 定義是否要部署新的或使用現有的 Azure 私用 DNS 區域。 | 您可以在 Purview 帳戶部署期間使用訂用帳戶擁有者/參與者角色自動建立必要的 Azure 私用 DNS 區域 | 如果您打算將私人端點連線與 Microsoft Purview 搭配使用,請使用此步驟。 私人端點所需的 DNS 區域:
|
| 10 | CorpNet 或 Azure 虛擬網路內的管理機器,以啟動 Microsoft Purview 治理入口網站。 | 不適用 | 如果您打算在 Microsoft Purview 帳戶上設定 [允許公用網路 ] 以 拒絕 ,請使用此步驟。 |
| 11 | 部署 Microsoft Purview 帳戶 | 訂閱擁有者/貢獻者 | Purview 帳戶會使用一個容量單位進行部署,並將 根據需求相應增加。 |
| 12 | 部署 Azure 資料來源的受控 Integration Runtime 和受控私人端點。 |
資料來源系統管理員 ,可在 Microsoft Purview 內設定受控虛擬網路。 網路參與者 ,以核准每個 Azure 資料來源的受控私人端點。 |
如果您打算使用 受控虛擬網路,請執行此步驟。 在您的 Microsoft Purview 帳戶內進行掃描。 |
| 13 | 在網路內部署自我裝載整合執行階段 VM。 | Azure: 虛擬機器參與者 內部部署:應用程式擁有者 |
如果您打算使用自我裝載 Integration Runtime 執行任何掃描,請使用此步驟。 |
| 14 | 在 Microsoft Purview 內建立自我裝載整合執行階段。 | 資料策展人 VM 管理員或應用程式擁有者 |
如果您打算使用自我裝載的 Integration Runtime,而不是 Managed Integration Runtime 或 Azure Integration Runtime,請使用此步驟。 下載 |
| 15 | 註冊您的自我裝載整合執行階段 | 虛擬機器管理員 | 如果您有內部部署或虛擬機器型資料來源,例如SQL Server) ,請 (使用此步驟。 使用此步驟會使用 私人端點 來掃描 至任何 資料來源。 |
| 16 | 將 Azure RBAC 讀取者角色授與資料來源訂用帳戶的 Microsoft Purview MSI | 訂閱擁有者 或 使用者存取管理員 | 如果您打算註冊 多個 或下列 任何 資料來源,請使用此步驟: |
| 17 | 將 Azure RBAC 儲存體 Blob 資料讀取者 角色授與資料來源訂用帳戶的 Microsoft Purview MSI 。 | 訂閱擁有者 或 使用者存取管理員 | 如果您使用私人端點連線到資料來源,請略過此步驟。 如果您有下列資料來源,請使用此步驟: |
| 18 | 啟用網路連線以允許 AzureServices 存取資料來源: 例如,啟用 [允許受信任的 Microsoft 服務存取此儲存體帳戶]。 |
資料來源的擁有者或參與者 | 如果您的資料來源中使用 服務端點 ,請使用此步驟。 (如果使用私人端點,請勿使用此步驟) |
| 19 | 在 Azure SQL Server、Azure SQL 受控執行個體和 Azure Synapse Analytics 上啟用 Microsoft Entra 驗證 | Azure SQL Server 參與者 | 如果您有 Azure SQL DB 或 Azure SQL 受控執行個體或 Azure Synapse Analytics 做為資料來源,請使用此步驟。 |
| 20 | 授Microsoft具有db_datareader角色的 Purview MSI 帳戶,以Azure SQL資料庫和Azure SQL 受控執行個體資料庫 | Azure SQL 系統管理員 | 如果您有 Azure SQL DB 或 Azure SQL 受控執行個體作為資料來源,請使用此步驟。 如果您使用私人端點連線到資料來源,請略過此步驟。 |
| 21 | 將 Azure RBAC 儲存體 Blob 資料讀取器授與 Synapse SQL Server 以預備儲存體帳戶 | 資料來源的擁有者或使用者存取系統管理員 | 如果您有 Azure Synapse Analytics 做為資料來源,請使用此步驟。 如果您使用私人端點連線到資料來源,請略過此步驟。 |
| 22 | 將 Azure RBAC 讀取者 角色授與 Microsoft Purview MSI at Synapse 工作區 資源 | 資料來源的擁有者或使用者存取系統管理員 | 如果您有 Azure Synapse Analytics 做為資料來源,請使用此步驟。 如果您使用私人端點連線到資料來源,請略過此步驟。 |
| 23 | 授與具有db_datareader角色的 Azure Purview MSI 帳戶 | Azure SQL 系統管理員 | 如果您有Azure Synapse Analytics (專用 SQL 資料庫) ,請使用此步驟。 如果您使用私人端點連線到資料來源,請略過此步驟。 |
| 24 | 授與具有系統管理員角色的 Microsoft Purview MSI 帳戶 | Azure SQL 系統管理員 | 如果您有Azure Synapse Analytics (Serverless SQL 資料庫) ,請使用此步驟。 如果您使用私人端點連線到資料來源,請略過此步驟。 |
| 25 | 在 Microsoft Entra 租使用者內建立應用程式註冊或服務主體 | Microsoft Entra ID 應用程式系統管理員 | 如果您打算使用委派的作者 服務主體對資料來源執行掃描,請使用此步驟。 |
| 26 | 建立 Azure 金鑰保存庫和秘密,以儲存資料來源認證或服務主體秘密。 | 參與者或金鑰保存庫系統管理員 | 如果您有內部部署或虛擬機器型資料來源,例如SQL Server) ,請 (使用此步驟。 使用此步驟會使用 擷取私人端點 來掃描資料來源。 |
| 27 | 將金鑰 保存庫存取原則 授與 Microsoft Purview MSI: 秘密:get/list | 金鑰保存庫系統管理員 | 如果您有內部部署 / VM 型資料來源,例如 (SQL Server) 如果 [金鑰保存庫許可權模型] 設定為 [保存庫存取原則],請使用此步驟。 |
| 28 | 將金鑰保存庫 RBAC 角色金鑰保存庫秘密使用者授與 Microsoft Purview MSI。 | 擁有者 或 使用者存取管理員 | 如果您有內部部署或 VM 型資料來源,例如 (SQL Server) 如果金鑰保存庫權限模型設定為 Azure 角色型存取控制,請使用此步驟。 |
| 29 | 從 Microsoft Purview 治理入口網站建立 Azure 金鑰保存庫的新連線 | 資料來源管理員 | 如果您打算使用下列任何 驗證選項 來掃描 Microsoft Purview 中的資料來源,請使用此步驟:
|
| 30 | 部署 Power BI 租用戶的私人端點 |
Power BI 系統管理員 網路貢獻者 |
如果您打算將 Power BI 租用戶註冊為資料來源,且您的 Microsoft Purview 帳戶設定為 拒絕公用存取,請使用此步驟。 如需詳細資訊,請參閱 如何設定私人端點以存取 Power BI。 |
| 31 | 從 Azure Data Factory 入口網站將 Azure Data Factory 連線到 Microsoft Purview。
管理 ->Microsoft Purview。 選取 [ 連線到 Purview 帳戶]。 驗證 ADF Azure 資源中是否存在 Azure 資源標籤 catalogUri 。 |
Azure Data Factory 參與者/資料策展人 | 如果您有 Azure Data Factory,請使用此步驟。 |
| 32 | 確認您的 Microsoft Entra 租使用者中是否至少有一個 Microsoft 365 必要授權,才能在 Microsoft Purview 中使用敏感度標籤。 | Microsoft Entra ID 全域讀取器 | 如果您打算將敏感度標籤延伸至 Microsoft Purview 資料對應,請執行此步驟 如需詳細資訊,請參閱 在 Microsoft Purview 中的檔案和資料庫資料行上使用敏感度標籤的授權需求 |
| 33 | 同意 「將標籤延伸至 Microsoft Purview 資料對應中的資產」 | 合規性系統管理員 Azure 資訊保護系統管理員 |
如果您有興趣將敏感度標籤延伸至資料對應中的資料,請使用此步驟。 如需詳細資訊,請參閱 Microsoft Purview 資料對應中的標籤。 |
| 34 | 在 Microsoft Purview 中建立新的集合並指派角色 | 集合管理員 | 在 Microsoft Purview 中建立集合並指派許可權。 |
| 36 | 控管 Microsoft Purview 中的資料來源 |
資料來源管理員 資料讀取器 或 資料策展人 |
如需詳細資訊,請參閱 支援的資料來源和檔案類型 |
| 35 | 授與組織中資料角色的存取權 | 集合管理員 | 提供其他小組的存取權,以使用 Microsoft Purview:
如需詳細資訊,請參閱 Microsoft Purview 中的存取控制。 |