将帐户合并到域
本指南介绍如何将现有经典 Microsoft Purview 帐户合并到 Microsoft Purview 租户帐户中作为域 。 合并是一个一次性过程,用于将辅助经典 Microsoft Purview 帐户中的信息“复制”到租户级别帐户中。 所有信息都合并到新域中。现有经典帐户保持不变;因此,在验证合并后,可以 迁移托管标识,停用和删除辅助帐户。
在整个文档中,我们使用术语主要帐户和辅助帐户:
- 主要帐户 - 指租户级别 Microsoft Purview 实例。
- 辅助帐户 - 是指要作为域迁移到主要帐户的 Microsoft Purview 实例。
先决条件
- 拥有多个 Microsoft Purview 帐户的租户。
- 将 Microsoft Purview 帐户升级为新体验的主要帐户。
限制
- 辅助帐户只能合并一次。 合并后添加到辅助帐户的任何值都必须手动添加到主要帐户。 建议在合并后停止使用辅助帐户,然后停用或删除该帐户。
- 在活动合并期间添加到辅助帐户的任何值或资产都不能保证迁移到主要帐户。 建议在合并期间停止辅助帐户上的更新和扫描活动。
还有一些当前限制可能会阻止将现有 Microsoft Purview 帐户合并为域。 查看这些限制和行为更改,以确认合并是适合你的正确选项。 将来可能会更新这些限制。
类别 | 限制 | 可能的解决方案 |
---|---|---|
主要帐户只能有五个域。 | 请联系支持人员提供业务要求并增加域编号。 | |
主要帐户或辅助帐户的资产超过 1,000,000 个。 | 将资产删除到允许的限制,选择筛选掉资产类别,或联系支持人员提供业务要求。 | |
辅助帐户的集合编号 + 主要帐户的集合编号 > 400。 | 将集合删除或合并到允许的限制。 | |
扫描限制 | 辅助帐户具有用户分配的托管标识 (UAMI) 扫描。 | 从任何数据源中删除所有计划的 UAMI 扫描,或者在合并期间筛选掉用户分配的托管标识类别。 |
扫描运行历史记录不会迁移到主要帐户。 | 无解决方法。 | |
辅助帐户已启用专用终结点。 | 从辅助帐户中删除所有专用终结点,或在合并期间筛选掉专用终结点类别。 | |
辅助帐户具有自承载集成运行时。 | 从辅助帐户中删除所有自承载集成运行时,或者在合并期间筛选掉自承载集成运行时类别。 | |
辅助帐户具有托管虚拟网络。 | 从辅助帐户中删除所有托管虚拟网络,或在合并期间筛选掉托管虚拟网络类别。 | |
辅助帐户已配置“自带事件中心”。 | 从辅助帐户中删除所有 Kafka 配置。 | |
辅助帐户已启用托管事件中心,并且在过去 30 天内一直在使用。 | 禁用托管事件中心。 | |
辅助帐户具有数据工厂连接。 | 删除数据工厂连接。 | |
资产限制 | 辅助帐户具有世系扫描。 | 从任何数据源中删除所有世系扫描。 |
源限制 | 辅助帐户已注册网站数据源。 | 取消注册所有网站数据源 |
行为变更
- 任何使用托管标识 (MSI) 扫描数据源的辅助帐户的扫描在迁移到主要帐户后将继续使用相同的 MSI。 因此,如果在合并后删除辅助帐户,除非在合并后遵循托管标识切换过程,否则这些迁移的扫描将不起作用。
- 任何使用托管标识 (MSI) 进行连接的辅助帐户的密钥保管库连接在迁移到主要帐户后将继续使用相同的 MSI。 因此,如果在合并后删除辅助帐户,除非在合并后遵循托管标识切换过程,否则这些迁移的扫描将不起作用。
- 如果辅助帐户具有名为 Glossary 的术语表,则迁移的术语表在主要帐户中名为 Glossary-{secondary account name}。 此行为可能会导致评估期间出现术语表冲突:
- 辅助帐户已经有一个名为 Glossary-{secondary account name} 的术语表
- 主要帐户有一个名为 Glossary-{secondary account name} 的术语表
请求帐户合并
提示
建议在请求完全合并之前评估合并,以检查是否存在任何冲突或限制。
从主要帐户请求帐户合并
重要
若要从主要帐户请求帐户合并,请求者需要是 Purview 管理员角色组的成员。
选择一个现有帐户作为主要帐户中的新域进行映射。 可以:
在弹出窗口中选择选择帐户按钮。
如果使用 Microsoft Purview 治理门户,请打开管理中心,导航到常规”部分中的概述。 如果使用的是 Microsoft Purview 门户,请打开“设置”解决方案卡,选择帐户,然后在警报框中选择选择帐户。
注意
如果租户中当前正在进行合并,则不会显示提交请求弹出窗口和警报框。
如果登录用户没有请求合并的适当权限,则不会显示提交请求弹出窗口和警报框。
选择要合并的帐户。 (建议在合并之前执行评估。)
选择“提交”。
运行评估,以确认是否存在任何冲突或限制;如果评估成功,则合并过程将开始。
重要
失败的合并会启动清理过程,将所有内容还原回其以前的状态。
从辅助帐户请求帐户合并
重要
若要从辅助帐户请求帐户合并,请求者必须是根集合上的集合管理员或 ARM 资源所有者,并且需要分配以下角色之一:合规性管理器管理、角色管理、案例管理。
打开辅助帐户的 Microsoft Purview 门户
若要选择此帐户作为主要帐户中的新域进行映射,可以:
在弹出窗口中选择提交合并请求。
或在 Microsoft Purview 治理门户中,打开管理中心,导航到“常规”部分中的概述,然后选择警报框。
注意
如果租户中当前正在进行合并,则不会显示提交请求弹出窗口和警报框。
如果登录用户没有请求合并的适当权限,则不会显示提交请求弹出窗口和警报框。
选择“提交”。
请求通过 Purview 管理员需要批准请求的审批过程发送。
批准后,将运行评估来确认是否存在任何冲突或限制;如果评估成功,则合并过程将开始。
重要
失败的合并会启动清理过程,将所有内容还原回其以前的状态。
合并筛选器
每当合并帐户时,都可以选择要迁移的对象以及要排除的对象。 在许多情况下,筛选器将影响其自己的类别中的对象。 但是,当你取消选择一些可能适用于关联对象的对象时,可能会发生行为更改。 下面列出了其中一些类别和关联的行为更改:
未选择的类别 | 行为变更 |
---|---|
联系人分配 | 如果未选择,则删除配置为术语表术语或资产的联系人分配。 |
凭据 | 如果未选择,则不会迁移使用凭据扫描数据源的扫描。 |
自定义分类规则 | 如果未选择,则不会迁移应用自定义分类规则的扫描。 |
自定义扫描规则集 | 如果未选择,则不会迁移使用已应用的自定义扫描规则集的扫描。 |
自定义类型 | 如果未选择: - 不会迁移所有自定义类型资产 - 不会迁移自定义类型和受影响的资产的所有关系。 - 不会迁移附加到术语表术语或资产的自定义类型的所有分类实例。 |
术语表 | 如果未选中,则不会迁移应用于术语表或术语表术语的工作流,并且资产不会具有关联的词汇表。 |
密钥保管库连接 | 如果未选择,则不会迁移使用密钥保管库凭据扫描数据源的扫描。 |
托管虚拟网络 | 如果未选择,则不会迁移使用托管虚拟网络扫描数据源的扫描。 |
自承载集成运行时 | 如果未选择,则不会迁移使用自承载集成运行时扫描数据源的扫描。 |
用户分配的托管标识 | 如果未选择,则不会迁移使用用户分配的托管标识扫描数据源的扫描 |
资源集规则 | 如果未选中,则在用户在主要帐户中配置新的资源集规则之前,扫描的未来资产将不会应用任何资源集规则。 |
联系人分配 | 如果未选择,则删除配置为资产和术语表术语的联系人分配。 |
帐户合并审批
如果从辅助帐户请求合并,则必须先获得 Purview 管理员的批准,然后才能继续合并。 Purview 管理员会收到一封电子邮件通知来批准合并请求。 或者,可以在主要帐户的 Microsoft Purview 门户中批准合并请求。
重要
如果 Outlook 帐户和 Microsoft Purview 帐户位于不同的租户中,则从电子邮件批准可能会失败。 在这种情况下,请使用 Microsoft Purview 门户批准。
打开主要帐户的 Microsoft Purview 门户。
根据所使用的门户:
- 如果你使用的是 Microsoft Purview 治理门户:
- 打开管理中心
- 在“工作流”部分中选择请求和审批。
- 如果你使用的是 Microsoft Purview 门户:
- 打开工作流解决方案卡
- 选择请求和审批。
- 如果你使用的是 Microsoft Purview 治理门户:
选择请求。
选择响应并选择确认。
评估冲突和限制
在运行合并之前,Microsoft Purview 将评估辅助帐户,以查看它是否满足与主要帐户合并的先决条件。 如果检测到冲突/限制并且验证失败,则需要手动干预才能继续合并。 评估后,你将获得任何冲突的报告,你可以使用我们的冲突和解决方法来帮助解决这些问题。
自动解决
在帐户合并过程中,如果为类别设置了自动解决规则,系统会根据规则自动解决遇到的任何冲突。 目前,我们仅支持跳过规则,这意味着将跳过导致冲突的对象,而不是从辅助帐户移动到主要帐户。 还将跳过依赖于此对象的任何其他对象。
例如:如果为术语表类别设置了自动解决规则,并且术语表术语遇到冲突,系统将自动跳过该术语的合并,并跳过该术语的任何子项的合并。
启用自动解决时遇到的任何冲突都不会显示为评估或合并过程中的错误,因为它们将根据规则自动解决。
仅评估
可以提交帐户进行合并评估,而无需合并,以检查是否存在任何冲突。
若要从主要帐户运行评估,请执行以下操作:
若要评估现有帐户以进行合并,如果使用的是 Microsoft Purview 治理门户,请打开管理中心,导航到“常规”部分中的概述。 如果使用的是 Microsoft Purview 门户,请打开“设置”解决方案卡,选择帐户,然后在警报框中选择选择帐户。
选择要评估的帐户。
选择评估和合并按钮上的下拉列表,然后选择仅评估。 仅运行评估,并且合并过程不会在之后启动,而不考虑评估结果。
若要从辅助帐户运行评估,请执行以下操作:
选择弹出窗口中的下拉列表,然后选择提交仅评估请求。
评估后,你将获得任何冲突的报告,你可以使用我们的冲突和解决方法来帮助解决这些问题。
冲突和解决方法
下面是冲突及其可能的解决方法表:
冲突 | 可能的解决方案 |
---|---|
主要帐户和辅助帐户中都存在具有相同限定名称的资产。 | 下面是几个选项: - 从主要帐户或辅助帐户中删除冲突的资产 - 选择筛选掉资产类别 - 选择自动解决以在启动合并时跳过迁移。 |
主要帐户和辅助帐户中都存在具有相同名称的术语表。 | 从主要帐户或辅助帐户中删除冲突术语表,或者在合并期间筛选掉术语表类别。 |
主要帐户和辅助帐户中都存在具有相同限定名称的术语表术语。 | 从主要帐户或辅助帐户中删除冲突术语表术语。 |
主要帐户和辅助帐户中都存在具有相同名称的术语模板。 | 从主要帐户或辅助帐户中删除冲突术语模板。 |
主要帐户和辅助帐户中都存在具有相同名称的分类规则。 | 从主要帐户或辅助帐户中删除冲突分类规则。 |
主要帐户和辅助帐户中都存在具有相同名称的工作流。 | 从主要帐户或辅助帐户中删除冲突工作流。 |
主要帐户和辅助帐户中都存在具有相同名称的密钥保管库连接。 | 从主要帐户或辅助帐户中删除冲突密钥保管库连接。 |
主要帐户和辅助帐户中都存在具有相同名称的凭据。 | 从主要帐户或辅助帐户中删除冲突凭据流。 |
主要帐户和辅助帐户中注册了具有相同数据源名称的数据源。 | 从主要帐户或辅助帐户注销冲突数据源。 |
在主要帐户和辅助帐户中注册的数据源相同。 | 从主要帐户或辅助帐户注销冲突数据源。 |
主要帐户和辅助帐户中都存在具有相同名称的扫描规则集。 | 从主要帐户或辅助帐户中删除冲突扫描规则集。 |
主要帐户和辅助帐户中存在相同的联系人分配。 | 从主要帐户或辅助帐户中删除冲突联系人分配。 |
辅助帐户有一个名为“Glossary”的术语表和另一个名为'Glossary-{secondary account name}'的术语表。 | 从辅助帐户中删除 'Glossary' 或 'Glossary-{secondary account name}'。 |
辅助帐户有一个名为“Glossary”的术语表,主要帐户有一个名为'Glossary-{secondary account name}'的术语表。 | 从辅助帐户中删除“Glossary”,或从主要帐户中删除'Glossary-{secondary account name}'。 |
查看合并和评估报告
可以在合并过程中实时跟踪合并进度。 若要查看合并报表,用户需要是 Purview 管理员角色组的成员。
打开数据映射并选择监视
合并报表位于帐户合并选项卡中
选择任何帐户名称以查看有关其合并或评估的完整信息。 再次选择帐户名称以折叠其详细信息,并查看完整帐户列表。
在报表页上,可以查看合并统计信息摘要:
总帐户数:尝试合并的帐户数
正在合并:当前正在合并的帐户
已完成的合并:已成功合并的帐户
失败的合并:合并失败的帐户
对于任何已完成的评估,你可以重新运行评估,或通过选择评估详细信息中的按钮重新运行评估并合并。
合并并评估摘要
在帐户合并页上,选择一个帐户,可以查看合并或评估摘要以及该帐户的详细进度。
- 评估:标识主要帐户和辅助帐户之间的冲突和限制的步骤。
注意
发现的冲突和限制阻碍了合并的进行。 在选择重新运行之前,必须解决所有这些问题。
- 迁移:将对象从辅助帐户复制到主要帐户的步骤
注意
主要帐户中的迁移对象是不可见的,在此步骤中,它们的关联函数被禁用。 例如,在迁移期间,在主要帐户中禁用扫描计划,并在合并完成之前启用。
由于主要帐户和辅助帐户在合并期间都保持正常运行,因此可能会出现新的冲突和限制。 在这种情况下,迁移将失败,并触发自动清理,将主要帐户的状态回滚到合并前的状态。
- 清理:在前一步骤迁移失败的情况下,自动触发的步骤,用于清理主要帐户中的迁移对象。
- 迁移后:此步骤涉及合并完成前的准备工作。
还可以在步骤(评估/迁移/迁移后/清理)下查看对象类别级别的详细合并进度。
提示
被筛选为不合并的对象将在报告中显示为已跳过。
可以通过选择查看详细信息来查看问题详细信息。 其中列出了评估期间检测到的所有冲突和限制。
使用筛选器深入查看所选类别中的冲突和限制。
下载报告
可以下载任何失败评估的所有冲突详细信息。
执行数据映射 -> 监视 -> 帐户合并
选择辅助帐户的评估。
选择问题列中的任何链接。
选择下载所有问题按钮,下载包含说明、对象类别、解决方法和类型列的冲突详细信息报告。
提示
被筛选为不合并的对象将在报告中显示为已跳过。
合并完成后
合并成功完成后,主要帐户中会显示一个新域。 (在它出现之前可能会有几分钟的延迟。)它的显示名称将是辅助帐户的根集合的友好名称。 这包含从辅助帐户迁移的所有域级别数据。
接下来,应使用托管标识切换过程将托管标识连接从辅助帐户切换到主要帐户。
合并完成后,合并帐户仍会产生计费。 若要防止通过合并帐户计费,可以:
硬删除合并的辅助帐户
硬删除 Purview 帐户也会删除与辅助帐户关联的系统分配的托管标识。 为了确保扫描和资源在删除辅助帐户后连接,可以使用托管标识切换过程将资源迁移到主要帐户的托管标识。
- 打开 Azure 门户,并选择 Microsoft Purview 帐户。
- 选择删除按钮并确认请求。
- 等待删除成功完成。
硬删除帐户后:
- 使用辅助帐户的系统分配的托管标识访问数据源的迁移扫描在主要帐户中不起作用。
- 使用辅助帐户的系统分配的托管标识访问密钥保管库的已迁移密钥保管库连接在主要帐户中不起作用。
停用合并的辅助帐户
如果要停止对辅助帐户计费,或者想要使用辅助帐户的系统分配的托管标识来访问主要帐户中的数据源和密钥保管库,则可以选择在合并完成后停用辅助帐户。 帐户停用后,此帐户的数据平面操作将被阻止,计费将停止。 若要将源和扫描切换到主托管标识,请使用托管标识切换过程。
注意
停用帐户后,无法重新激活该帐户。
- 打开辅助帐户的 Microsoft Purview 门户。
- 打开数据映射并选择监视。
- 选择帐户合并选项卡。
- 选择停用按钮。
托管标识切换
将辅助帐户合并到租户级帐户中时,建议将辅助帐户的托管标识切换到租户级帐户的托管标识。 否则,删除辅助帐户后,使用其托管标识的任何扫描或密钥保管库都将失败。
若要将扫描和资源从辅助帐户的托管标识切换到主要帐户的托管标识,请执行以下步骤:
- 确保主/租户级别 Microsoft Purview 帐户的托管标识有权访问迁移的源和连接。
- 可以从以下位置开始切换:
- 辅助帐户中的域概述
- 如果辅助帐户使用自己的托管标识,则“域概述”页上有一个“切换托管标识”按钮。 选择该文件夹。
- 选择“确认”
- 切换完成后,你将收到通知。
- 在辅助帐户的“创建/编辑扫描”页上
- 合并完成后,在辅助帐户的扫描页面上会有一个通知,要求你确认切换托管标识。
- 选择“确认”
- 切换完成后,你将收到通知。
- 在辅助帐户的“创建/编辑密钥保管库连接”页上
- 合并完成后,在辅助帐户的密钥保管库连接页面上会有一个通知,要求你确认切换托管标识。
- 选择“确认”
- 切换完成后,你将收到通知。
- 辅助帐户中的域概述
计费
合并完成后,辅助帐户的计费将与主要帐户合并,并将按主要帐户的订阅收费。 但是,在停用辅助帐户之前,其计费仍适用于其订阅。
提示
合并辅助帐户后,停用并删除它以减少计费。