Compartilhar via

连接到Microsoft Purview所在同一租户中的Microsoft Fabric系统。

本文概述了如何注册与您的 Microsoft Purview 资源在相同租户下的 Microsoft Fabric 租户,以及如何在 Microsoft Purview 中对 Fabric 源进行身份验证和交互。 有关Microsoft Purview的详细信息,请阅读 简介文章

注意

扫描 Fabric 租户会引入包括 Power BI 在内的 Fabric 项的元数据和数据血统。 若要了解详细信息,请参阅 扫描 Power BI 租户。 注册 Fabric 租户并设置扫描的体验与 Power BI 租户类似,并在所有 Fabric 项之间共享。

支持的功能

扫描功能

元数据提取 完全扫描 增量扫描 限定范围的扫描
是的 是的

其他功能

有关 分类策略实时视图,请查看支持功能的列表

经历 织物物品 在扫描中可用 实时视图中可用(仅限同一租户)
实时分析 Kusto 查询语言 (KQL) 数据库
KQL 查询集
数据科学 试验
ML 模型
数据工厂 数据管道
数据流 Gen2
数据工程 Lakehouse
Notebook
Spark 作业定义
SQL 分析端点
Data Warehouse 存放地点
Power BI 仪表板
数据流
数据市场
语义模型(数据集)
报表
分页报表

支持的 Fabric 扫描场景

方案 Microsoft Purview 公共访问允许/拒绝 Fabric 公共访问已允许 /已拒绝 运行时选项 验证选项 部署清单
使用 Azure IR 的公共访问 允许 允许 Azure运行时 托管标识/委托身份验证/服务主体 查看部署清单
使用自托管 IR 的公共访问 允许 允许 SHIR 或 Kubernetes SHIR 服务主体 查看部署清单
私密访问 允许 拒绝 托管虚拟网络IR(仅限于 v2) 托管标识/委托身份验证/服务主体 查看部署清单

注意

上述受支持的方案适用于 Fabric 中的非 Power BI 项。 有关适用于 Power BI 项的支持的情景,请参阅 Power BI 文档。

现在支持使用托管标识扫描 Fabric Lakehouse。 因此,可以使用服务主体或托管标识扫描 Fabric Lakehouse。 以前,Fabric Lakehouses 仅支持服务主体。 其他 Fabric 产品项没有变化。

现在已支持通过使用托管虚拟网络 IR 扫描 Fabric Lakehouses。

已知限制

  • 目前,对于除 Power BI 之外的所有 Fabric 项,仅能扫描项级元数据和世系。 对于 Lakehouse 表和文件,子项级元数据扫描现在以预览版提供,但不支持子项级别的世系。

  • 对于自承载集成运行时,支持最低版本 5.47.9073.1 的标准自承载集成运行时或 Kubernetes 支持的自承载集成运行时

  • 将跳过空工作区。

  • Microsoft Purview 不支持将 Fabric DAX 表达式作为元数据扫描的一部分。

  • 运行多个 Fabric 或 Power BI 扫描时,可能会收到 请求过多 错误。 如果是这样,请减少并发扫描,并将扫描分散到不同的时间,以帮助解决错误。

  • 在增量扫描中,即使数据源没有变化,你也可能会看到引入的资产和发现的资产的非零计数。 应忽略此行为。 数据目录和数据映射资产继续反映数据源的真实状态。

先决条件

在开始之前,请确保满足以下先决条件:

身份验证选项

部署清单

根据场景,在设置期间或出于故障排除目的,使用以下任一部署清单:

使用公共网络,通过 Azure IR 和托管身份扫描同一租户中的 Fabric

  1. 请确保 Fabric 和 Microsoft Purview 帐户位于同一租户中。

  2. 请确保在注册期间正确输入 Fabric 租户 ID。

  3. 通过启用元数据扫描,确保 Fabric 元数据模型是最新的。

  4. 在 Azure portal 中,确认 Microsoft Purview 帐户网络是否设置为公共访问。

  5. 在 Fabric 租户管理门户中,确保将 Fabric 租户配置为允许使用公用网络。

  6. 在 Microsoft Entra 租户中创建安全组。

  7. 在 Microsoft Entra 租户中,请确保 Microsoft Purview 帐户 MSI 是新安全组的成员

  8. 在 Fabric 租户管理门户上,验证是否为新安全组启用了允许服务主体使用只读管理员 API

注册 Fabric 租户

本部分介绍如何在Microsoft Purview中为同一租户方案注册 Fabric 租户。

  1. 在左侧导航中选择“数据映射”

  2. 选择“注册”。

    选择 Fabric 作为数据源。

    显示可供选择的数据源列表并选择了 Fabric 的图片。

  3. 输入 Fabric 实例的友好名称并选择集合。

    名称的长度必须介于 3-63 个字符之间,并且只能包含字母、数字、下划线和连字符。 不要使用空格。

    默认情况下,系统会查找同一Microsoft Entra租户中存在的 Fabric 租户。

针对扫描的身份验证

若要扫描 Fabric 租户并查看其元数据,首先需要创建一种使用 Fabric 租户进行身份验证的方法。 然后,向 Microsoft Purview 提供身份验证信息。

向 Fabric 租户进行身份验证

在 Fabric 租户所在的Microsoft Entra租户中:

  1. Azure portal 中,搜索 Microsoft Entra ID

  2. 根据 创建基本组并使用 Microsoft Entra ID 添加成员,在 Microsoft Entra ID 中创建新的安全组。

    提示

    如果你已有想要使用的安全组,则可以跳过此步骤。

  3. 选择“安全性”作为“组类型”

    安全组类型的屏幕截图。

  4. 将全部相关用户添加到安全组:

    • 如果使用 托管标识 作为身份验证方法,请将 Microsoft Purview 托管标识添加到此安全组。 选择“ 成员”,然后选择“ 添加成员”。

    ** 截图显示如何将目录的托管实例添加到组。

    • 如果使用委托身份验证或服务主体作为身份验证方法,请将服务主体添加到此安全组。 选择“ 成员”,然后选择“ 添加成员”。

  5. 请搜索您的Microsoft Purview托管标识或服务主体,并选择它。

    显示如何通过搜索目录名称来添加目录的屏幕截图。

    你会看到一个成功通知,表明其已被添加。

    屏幕截图显示了如何成功添加目录托管标识。

关联安全组与 Fabric 租户

  1. 登录到 Fabric 管理门户

  2. 选择“租户设置”页。

    重要

    你需要成为 Fabric 管理员才能看到“租户设置”页。

  3. 选择“管理员 API 设置”>“允许服务主体使用只读管理员 API”。

  4. 选择“特定安全组”。

  5. 选择 管理员 API 设置>增强管理员 API 响应,包含详细的元数据使用 DAX 及组合表达式来增强管理员 API 响应> 启用切换,以允许 Microsoft Purview 数据映射在扫描过程中自动发现 Fabric 数据集的详细元数据。

    重要

    更新 Fabric 租户上的管理员 API 设置后,请等待大约 15 分钟,然后注册扫描和测试连接。

    注意

    当您允许您创建的安全组(其中包含您的 Microsoft Purview 托管身份)使用只读管理员 API 时,您也允许它访问此租户中所有 Fabric 制品的元数据(例如仪表板和报告名称、所有者和说明)。 将元数据拉入 Microsoft Purview 后,Microsoft Purview 的权限(而不是 Fabric 权限)确定谁可以看到该元数据。

    注意

    • 可以从开发人员设置中删除安全组,但之前提取的元数据不会从Microsoft Purview帐户中删除。 如果需要,可以单独删除它。

在 Microsoft Purview 中配置扫描凭据

托管标识

如果遵循 将 Microsoft Purview 验证到 Fabric 中的所有步骤进行操作,则无需对托管身份执行任何其他身份验证步骤。

服务主体

  1. Azure portal 中,选择 Microsoft Entra ID并在租户中创建应用注册。 在“重定向 URI”中提供 Web URL。 有关重定向 URI 的信息,请参阅 Microsoft Entra ID 的相关文档

    < c1>截图演示如何在 Microsoft Entra ID 中创建应用注册。

  2. 记下客户端 ID(应用 ID)。

    屏幕截图显示了如何创建服务主体,其中突出显示了客户端 ID。

  3. 从 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“应用注册”。 从“API 权限”为应用程序分配以下委托权限:

    • Microsoft Graph openid
    • Microsoft Graph User.Read

    Microsoft Graph 上的委派权限截图。

  4. 在“高级设置”下,启用“允许公共客户端流”。

  5. 在“证书和机密”下,创建新的机密并安全地保存,以便执行后续步骤。

  6. 在 Azure 门户 中,导航到密钥保管库。

  7. 选择“设置”>“密钥”,然后选择“+ 生成/导入”

    如何导航到 Azure 密钥保管库并生成密钥的截图。

  8. 输入机密的名称,然后在“值”中输入为应用注册创建的最新密钥。 选择“创建”以完成操作。

    如何为 SPN 生成 Azure Key Vault 机密的截图。

  9. 如果您的密钥保管库尚未连接到 Microsoft Purview,那么您需要创建一个新的密钥保管库连接

  10. 创建机密后,在 Microsoft Purview 中,转到“管理”下的“凭据”页。

    提示

    或者,可以在扫描过程中创建新凭据。

  11. 选择“ 新建 ”以创建新凭据。

  12. 提供所需的参数:

    • 名称:为凭据提供唯一名称。
    • 身份验证方法:服务主体
    • 租户 ID:你的 Fabric 租户 ID
    • 客户端 ID:使用服务主体客户端 ID (之前创建的应用 ID) 。
    • 密钥保管库连接:Microsoft Purview 与您之前创建机密的密钥保管库之间的连接。
    • 机密名称:之前创建的机密的名称。

    新凭据菜单的屏幕截图,其中显示了 SPN 的 Fabric 凭据以及提供的所有必需值。

  13. 填写所有详细信息后,选择“ 创建”。

委托身份验证

  1. 在 Microsoft Entra 租户中创建用户帐户,并将用户分配给 Microsoft Entra 角色“Fabric 管理员”。 记下用户名并登录以更改密码。

  2. 转到密钥保管库。

  3. 选择“设置”>“密钥”,然后选择“+ 生成/导入”

    如何访问 Azure Key Vault 的截图。

  4. 输入机密的名称,而对于“值”,请键入为 Microsoft Entra 用户新创建的密码。 选择“创建”以完成操作。

    如何生成 Azure Key Vault 机密的截图。

  5. 如果密钥保管库尚未连接到 Microsoft Purview,则需要创建新的密钥保管库连接。

  6. 在 Microsoft Entra 租户中创建应用注册。 在“重定向 URI”中提供 Web URL。

    如何在 Microsoft Entra ID 中创建应用的截图。

  7. 记下客户端 ID(应用 ID)。

    屏幕截图显示了如何创建服务主体。

  8. 从 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“API 权限”。 为应用程序分配以下委托权限,并为租户获取管理员同意:

    • Fabric服务租户.Read.All
    • Microsoft Graph openid
    • Microsoft Graph User.Read

    关于 Fabric Service 和 Microsoft Graph 的委派权限的截图。

  9. 在“高级设置”下,启用“允许公共客户端流”。

  10. 接下来,在 Microsoft Purview 中,转到 管理 下的 凭证 页面来创建新的凭证。

    提示

    或者,可以在扫描过程中创建新凭据。

  11. 选择“ 新建 ”以创建新凭据。

  12. 提供所需的参数:

    • 名称:为凭据提供唯一名称。
    • 身份验证方法:委托身份验证。
    • 客户端 ID:使用服务主体客户端 ID (之前创建的应用 ID) 。
    • 用户名:提供前面创建的 Fabric 管理员的用户名。
    • 密钥保管库连接:Microsoft Purview 与您之前创建机密的密钥保管库之间的连接。
    • 机密名称:之前创建的机密的名称。

    新凭据菜单的屏幕截图,其中显示了委托身份验证的 Fabric 凭据以及提供的所有必需值。

  13. 填写所有详细信息后,选择“ 创建”。

创建扫描

  1. 在 Microsoft Purview 门户中,转到 “数据映射”。

  2. 转到

  3. 选择已注册的 Fabric 源。

  4. 选择“+ 新建扫描”

  5. 输入扫描的名称。

  6. 选择您管理的托管身份验证凭据,或为服务主体或委托的身份验证创建的凭据。

    显示 Fabric 扫描设置的图像。

  7. 在继续执行后续步骤之前,选择“测试连接”。 如果 测试连接 失败,请选择“ 查看报告 ”以查看详细状态并排查问题。 1.访问 - 失败状态表示用户身份验证失败。 使用托管标识的扫描始终通过,因为不需要用户身份验证。 如果使用服务主体或委托的身份验证,请确保 Key Vault 凭据设置正确,并且 Microsoft Purview 有权访问密钥保管库。 1. 资产 (+ 世系) - 失败状态表示 Microsoft Purview - Fabric 授权失败。 确保在 Fabric 管理门户中将Microsoft Purview 托管标识添加到安全组。

    1. “详细元数据(增强型)- 失败”状态表示对“使用详细元数据增强管理员 API 响应”设置禁用了 Fabric 管理门户

    提示

    有关更多故障排除,请参阅 部署清单 ,确保已涵盖方案中的每个步骤。

  8. 设置扫描触发器。 选项为 “定期” 和“ 一次”。

    Microsoft Purview 扫描计划程序的截图。

  9. 在“查看新扫描”上,选择“保存并运行”,以启动扫描。

查看扫描和扫描运行情况

若要查看现有扫描,请执行以下操作:

  1. 转到Microsoft Purview门户。 在左窗格中,选择“数据映射”。
  2. 选择数据源。 可以在“最近使用的扫描”下查看该数据源上的现有扫描列表,或者可以在“扫描”选项卡上查看所有扫描。
  3. 选择要查看结果的扫描。 窗格会显示先前的所有扫描运行,以及每次扫描运行的状态和指标。
  4. 选择运行 ID 以检查扫描运行详细信息

管理扫描

若要编辑、取消或删除扫描:

  1. 转到Microsoft Purview门户。 在左窗格中,选择“数据映射”。

  2. 选择数据源。 可以在“最近使用的扫描”下查看该数据源上的现有扫描列表,或者可以在“扫描”选项卡上查看所有扫描。

  3. 选择要管理的扫描。 然后可以:

    • 通过选择“编辑扫描”来编辑扫描
    • 通过选择“取消扫描运行”来取消正在进行的扫描。
    • 通过选择“删除扫描”来删除扫描

注意

  • 删除扫描不会删除以前扫描中创建的目录资产。

后续步骤

注册源后,请按照这些指南详细了解 Microsoft Purview 和你的数据。

  • Last updated on