提示
Microsoft Purview 已推出新体验! 如果你是 Microsoft Purview 新客户,或者希望了解更多信息,请参阅新门户上的文章或有关新数据管理体验的文章。
如果你计划在组织中部署 Microsoft Purview 治理解决方案,请使用我们的新门户。
本文列出了帮助你快速开始规划和部署 Microsoft Purview(以前称为 Azure Purview)帐户的先决条件。
如果你正在制定部署 Microsoft Purview 的计划,并且还想在制定部署策略时考虑最佳做法,请使用部署最佳做法指南来入手。
如果你在寻找严格的技术部署指南,则此部署清单适合你。
| 否。 | 先决条件/操作 | 必需的权限 | 更多指导和建议 |
|---|---|---|---|
| 1 | Microsoft Entra 租户 | 不可用 | Microsoft Entra 租户应与你的订阅相关联。
|
| 2 | 一个有效的 Azure 订阅 | 订阅所有者 | 需要 Azure 订阅才能部署 Microsoft Purview 及其受管理资源。 如果没有 Azure 订阅,请在开始前创建一个试用版订阅。 |
| 3 | 定义是否计划使用托管事件中心部署 Microsoft Purview | 空值 | 可以选择在创建 Microsoft Purview 帐户期间部署配置现有的事件中心命名空间,请参阅 Microsoft Purview 帐户创建。 借助此托管命名空间,你可以将消息发布到事件中心 kafka 主题 ATLAS_HOOK,Microsoft Purview 将使用和处理它。 Microsoft Purview 将通知对事件中心 kafka 主题 ATLAS_ENTITIES 的实体更改,用户可以使用和处理这些更改。 可以在创建帐户后随时启用或禁用此功能。 |
| 4 | 注册以下资源提供程序:
|
订阅所有者或自定义角色,用于注册 Azure 资源提供程序 (/register/action) | 在为 Microsoft Purview 帐户指定的 Azure 订阅中注册所需的 Azure 资源提供程序。 查看 Azure 资源提供程序操作。 |
| 5 | 更新 Azure Policy 以允许在 Azure 订阅中部署以下资源:
|
订阅所有者 | 如果现有 Azure Policy 阻止部署此类 Azure 资源,请使用此步骤。 如果存在阻止策略并需要保留,请按照 Microsoft Purview 异常标记指南操作,并按步骤为 Microsoft Purview 帐户创建异常。 |
| 6 | 定义网络安全要求。 | 网络和安全架构师。 |
|
| 7 | Microsoft Purview 专用终结点的 Azure 虚拟网络和子网。 | 网络参与者,可创建或更新 Azure 虚拟网络。 | 如果计划使用 Microsoft Purview 部署专用终结点连接,请使用此步骤:
如果需要,部署 Azure 虚拟网络。 |
| 8 | 为 Azure 数据源部署专用终结点。 | 网络参与者,用于为每个数据源设置专用终结点。 | 如果计划使用引入的专用终结点,请执行此步骤。 |
| 9 | 定义是部署新的还是使用现有的 Azure 专用 DNS 区域。 | 可以在 Purview 帐户部署期间使用订阅所有者/参与者角色自动创建所需的 Azure 专用 DNS 区域 | 如果计划将专用终结点连接与 Microsoft Purview 一起使用,请使用此步骤。 专用终结点所需的 DNS 区域:
|
| 10 | CorpNet 或 Azure 虚拟网络中的管理计算机,用于启动 Microsoft Purview 治理门户。 | 空值 | 如果计划在你的 Microsoft Purview 帐户上将“允许公用网络”设置为“拒绝”,请使用此步骤。 |
| 11 | 部署 Microsoft Purview 帐户 | 订阅所有者/参与者 | Purview 帐户以 1 个容量单位进行部署,并将按需扩展。 |
| 12 | 为 Azure 数据源部署托管集成运行时和托管专用终结点。 | 数据源管理员,可在 Microsoft Purview 中设置托管虚拟网络。 网络参与者,用于批准每个 Azure 数据源的托管专用终结点。 |
|
| 13 | 在网络中部署自托管集成运行时 VM。 | Azure:虚拟机参与者 本地:应用程序所有者 |
如果计划使用自托管集成运行时执行任何扫描,请使用此步骤。 |
| 14 | 在 Microsoft Purview 中创建自托管集成运行时。 | 数据策展人 VM 管理员或应用程序所有者 |
如果计划使用自托管集成运行时(而不是托管集成运行时或 Azure 集成运行时),请使用此步骤。 下载 |
| 15 | 注册自托管集成运行时 | 虚拟机管理员 | 如果拥有本地或基于 VM 的数据源,请使用此步骤。 如果要使用专用终结点扫描到任何数据源,请使用此步骤。 |
| 16 | 在数据源的订阅中将 Azure RBAC 读取者角色授予 Microsoft Purview MSI | 订阅所有者或用户访问管理员 | 如果计划注册多个或任何以下数据源,请使用此步骤: |
| 17 | 在数据源的订阅中将 Azure RBAC 存储 Blob 数据读取者角色授予 Microsoft Purview MSI。 | 订阅所有者或用户访问管理员 | 如果要使用专用终结点连接到数据源,请跳过此步骤。 如果拥有以下数据源,请使用此步骤: |
| 18 | 启用网络连接以允许 AzureServices 访问数据源: 例如启用“允许受信任的 Microsoft 服务访问此存储帐户”。 |
数据源的所有者或参与者 | 如果你的数据源中使用服务终结点,请使用此步骤。 (如果使用专用终结点,请勿使用此步骤) |
| 19 | 在 Azure SQL Server、Azure SQL 托管实例和 Azure Synapse Analytics 上启用 Microsoft Entra 身份验证 | Azure SQL Server 参与者 | 如果拥有 Azure SQL DB 或 Azure SQL 托管实例 或 Azure Synapse Analytics 作为数据源,请使用此步骤。 |
| 20 | 将具有 db_datareader 角色的 Microsoft Purview MSI 帐户授予 Azure SQL 数据库和 Azure SQL 托管实例数据库 | Azure SQL 管理员 | 如果拥有 Azure SQL DB 或 Azure SQL 托管实例 作为数据源,请使用此步骤。 如果要使用专用终结点连接到数据源,请跳过此步骤。 |
| 21 | 将 Azure RBAC 存储 blob 数据读取者角色授予 Synapse SQL Server 以暂存存储帐户 | 数据源的所有者或用户访问管理员 | 如果拥有 Azure Synapse Analytics 作为数据源,请使用此步骤。 如果要使用专用终结点连接到数据源,请跳过此步骤。 |
| 22 | 在 Synapse 工作区资源中将 Azure RBAC 读取者角色授予 Microsoft Purview MSI | 数据源的所有者或用户访问管理员 | 如果拥有 Azure Synapse Analytics 作为数据源,请使用此步骤。 如果要使用专用终结点连接到数据源,请跳过此步骤。 |
| 23 | 授予 Azure Purview MSI 帐户 db_datareader 角色 | Azure SQL 管理员 | 如果拥有 Azure Synapse Analytics(专用 SQL 数据库),请使用此步骤。 如果要使用专用终结点连接到数据源,请跳过此步骤。 |
| 24 | 授予 Microsoft Purview MSI 帐户 sysadmin 角色 | Azure SQL 管理员 | 如果拥有 Azure Synapse Analytics(无服务器 SQL 数据库),请使用此步骤。 如果要使用专用终结点连接到数据源,请跳过此步骤。 |
| 25 | 在 Microsoft Entra 租户中创建应用注册或服务主体 | Microsoft Entra ID 应用程序管理员 | 如果计划使用委托授权或服务主体扫描数据源,请执行此步骤。 |
| 26 | 创建 Azure Key Vault 和机密以保存数据源凭据或服务主体机密。 | 参与者或 Key Vault 管理员 | 如果拥有本地或基于 VM 的数据源,请使用此步骤。 如果要使用引入专用终结点扫描数据源,请使用此步骤。 |
| 27 | 将 Key Vault 访问策略授予 Microsoft Purview MSI:机密:get/list | Key Vault 管理员 | 如果有本地的 / 基于 VM 的数据源,请使用此步骤 如果 Key Vault 权限模型设置为 Vault 访问策略,请使用此步骤。 |
| 28 | 将 Key Vault RBAC 角色 Key Vault 机密用户授予 Microsoft Purview MSI。 | 所有者或用户访问管理员 | 如果有本地的或基于 VM 的数据源,请使用此步骤 如果 Key Vault 权限模型设置为 Azure 基于角色的访问控制,请使用此步骤。 |
| 29 | 从 Microsoft Purview 治理门户创建到 Azure Key Vault 的新连接 | 数据源管理员 | 如果计划使用以下任何身份验证选项扫描 Microsoft Purview 中的数据源,请使用此步骤:
|
| 30 | 为 Power BI 租户部署专用终结点 | Power BI 管理员 网络参与者 |
如果计划将 Power BI 租户注册为数据源并将你的 Microsoft Purview 帐户设置为“拒绝公用访问”,请使用此步骤。 有关详细信息,请参阅如何配置专用终结点以访问 Power BI。 |
| 31 | 将 Azure 数据工厂从 Azure 数据工厂门户连接到 Microsoft Purview。 “管理” ->“Microsoft Purview”。 选择“连接到 Purview 帐户”。 验证 ADF Azure 资源中是否存在 Azure 资源标记 catalogUri。 |
Azure 数据工厂参与者/数据管护者 | 如果拥有 Azure 数据工厂,请使用此步骤。 |
| 32 | 在 Microsoft Purview 中创建新集合并分配角色 | 集合管理员 | 在 Microsoft Purview 中创建集合并分配权限。 |
| 33 | 在 Microsoft Purview 中治理数据源 | 数据源管理员 数据读取者或数据管护者 |
有关详细信息,请参阅支持的数据源和文件类型 |
| 34 | 授予对组织中数据角色的访问权限 | 集合管理员 | 提供对其他团队的访问权限以使用 Microsoft Purview:
有关详细信息,请参阅 Microsoft Purview 中的访问控制。 |