在 Microsoft Purview 中发现和管理多个 Azure 源

本文概述了如何在 Microsoft Purview 中注册多个 Azure 源,以及如何对这些源进行身份验证并与之交互。 有关 Microsoft Purview 的详细信息,请阅读简介文章

支持的功能

元数据提取 完全扫描 增量扫描 限定范围扫描 分类 访问策略 沿袭
源依赖

先决条件

注册

本部分介绍如何使用 Microsoft Purview 治理门户在 Microsoft Purview 中注册多个 Azure 源。

注册的先决条件

Microsoft Purview 需要有权限才能列出订阅或资源组下的资源。

  1. 在 Azure 门户中,前往订阅或资源组。
  2. 从左侧菜单中选择“访问控制 (IAM)”。
  3. 选择“+添加” 。
  4. 在“选择输入”框中,选择“读取者”角色,然后输入 Microsoft Purview 帐户名(表示其 MSI 文件名)。
  5. 选择“保存”以完成角色分配。 这将允许 Microsoft Purview 列出订阅或资源组下的资源。

用于注册的身份验证

在 Azure 中为多个源设置身份验证有两种方式:

  • 托管标识
  • 服务主体

必须为订阅或资源组中你要注册和扫描的每个资源设置身份验证。 Azure 存储资源类型(Azure Blob 存储和 Azure Data Lake Storage Gen2)允许在订阅或资源组级别添加 MSI 文件或服务主体作为存储 blob 数据阅读器,从而使之变得简单。 然后,这些权限会下沉到该订阅或资源组中的每个存储帐户。 对于所有其他资源类型,必须在每个资源上应用 MSI 文件或服务主体,或者创建脚本来完成此操作。

要了解如何在订阅或资源组中的每种资源类型上添加权限,请参阅以下资源:

注册步骤

  1. 使用以下方法打开 Microsoft Purview 治理门户:

  2. 在左侧菜单中选择“数据映射”。

  3. 选择“注册”。

  4. 在“注册源”上,选择“Azure (多源)” 。

    屏幕截图显示屏幕上用于注册多个源的 Azure (多源) 的磁贴。

  5. 选择“继续”。

  6. 在“注册源(Azure)”屏幕上,执行以下操作:

    1. 在“名称”框中,输入在目录中列出数据源时将使用的名称。

    2. 在“管理组”框中,可以选择要下沉到的的管理组。

    3. 在“订阅”和“资源组”下拉列表框中,分别选择订阅或特定的资源组 。 注册范围将设置为所选订阅或资源组。

      屏幕截图显示用于选择订阅和资源组的框。

    4. 从列表中选择连接。

    5. 选择“注册”以注册数据源。

扫描

重要

目前仅支持使用 Azure 集成运行时扫描多个 Azure 源,因此,只有允许在防火墙上进行公共访问的 Microsoft Purview 帐户才能使用此选项。

按照以下步骤扫描多个 Azure 源,以自动识别资产并对数据进行分类。 若要大致了解有关扫描的更多信息,请参阅扫描和引入简介

创建并运行扫描

若要创建并运行新扫描,请执行以下操作:

  1. 在 Microsoft Purview 治理门户的左侧窗格中选择“数据映射”选项卡。

  2. 选择所注册的数据源。

  3. 选择“查看详细信息”>“+ 新建扫描”,或使用源磁贴上的扫描快速操作图标 。

  4. 对于“名称”,请填写名称。

  5. 对于“类型”,请选择要在此源中扫描的资源类型。 选择以下选项之一:

    • 保持选择“全部”。 此选择包括该订阅或资源组中当前可能不存在的未来资源类型。
    • 使用框专门选择要扫描的资源类型。 如果选择此选项,则扫描时不包括可能会在此订阅或资源组中创建的未来资源类型,除非在将来对扫描进行显式编辑。

    屏幕截图显示用于扫描多个源的选项。

  6. 选择凭据以连接到数据源中的资源:

    • 你可以选择父级凭据作为 MSI 文件,也可以选择适用于特定服务主体类型的凭据。 然后,可以将该凭据用于订阅或资源组下的所有资源类型。
    • 可以专门选择资源类型,并为该资源类型应用不同的凭据。

    每个凭据都会被视为用于特定类型的所有资源的身份验证方法。 必须对资源设置所选凭据才能成功扫描这些资源,如本文前面部分所述。

  7. 在每个类型中,你可以选择扫描所有资源,也可以选择按名称扫描部分资源:

    • 如果将此选项保留为“全部”,则在将来运行扫描时也会扫描该类型的未来资源。
    • 如果选择特定的存储帐户或 SQL 数据库,则扫描不包括在此订阅或资源组中创建的该类型的未来资源,除非在将来对扫描进行显式编辑。
  8. 选择“测试连接”。 这会首先测试访问权限,以检查你是否以读者的身份将 Microsoft Purview MSI 文件应用于订阅或资源组。 如果收到错误消息,请按照这些说明进行解决。 然后,它将测试你的身份验证和与每个所选源的连接,并生成一个报表。 所选的源的数量将影响生成此报表所用的时间。 如果在某些资源上失败,将鼠标悬停在 X 图标上会显示详细的错误消息。

    显示扫描设置滑块的屏幕截图,其中突出显示了“测试连接”按钮。显示示例测试连接报告的屏幕截图,其中一些连接通过,一些连接失败。将鼠标悬停在任一失败的连接上会显示详细的错误报告。

  9. 测试连接通过后,选择“继续”以继续。

  10. 为在上一步选择的每种资源类型选择扫描规则集。 还可以创建内联扫描规则集。

    屏幕截图显示每种资源类型的扫描规则。

  11. 选择扫描触发器。 可以设置一个计划或运行一次扫描。

  12. 查看扫描,然后选择“保存”以完成设置。

查看扫描和扫描运行情况

  1. 通过选择“数据映射”部分的磁贴上的“查看详细信息”,查看源详细信息 。

    屏幕截图显示源详细信息。

  2. 转到“扫描详细信息”页来查看扫描运行详细信息。

    状态栏是有关子资源运行状态的简短摘要。 它显示在订阅级别或资源组级别。 这些颜色具有以下含义:

    • 绿色:扫描成功。
    • 红色:扫描失败。
    • 灰色:扫描仍在进行中。

    你可以选择每个扫描以查看更详细的信息。

    屏幕截图显示扫描的详细信息。

  3. 在源详细信息底部查看最近失败的扫描运行摘要。 还可以查看有关这些运行情况的更详细的信息。

管理扫描:编辑、删除或取消

要管理扫描,请执行以下操作:

  1. 转到管理中心。

  2. 在“源和扫描”部分下选择“数据源”,然后选择所需的数据源 。

  3. 选择要管理的扫描。 然后:

    • 可以通过选择“编辑”来编辑扫描。
    • 可以通过选择“删除”来删除扫描。
    • 如果扫描正在运行,则可以通过选择“取消”来取消扫描。

策略

Microsoft Purview 的此数据资源支持以下类型的策略:

Azure 存储帐户上的访问策略先决条件

若要能够从 Microsoft Purview 强制实施策略,需要首先配置资源组或订阅下的数据源。 说明因数据源类型而异。 请查看它们是否支持 Microsoft Purview 策略,如果支持,请查看在 Microsoft Purview 连接器文档中的“访问策略”链接下提供的启用它们的具体说明。

为策略配置 Microsoft Purview 帐户

在 Microsoft Purview 中注册数据源

你必须先在 Microsoft Purview Studio 中注册一个数据资源,然后才能在 Microsoft Purview 中为该数据资源创建策略。 本指南稍后将会提供与注册数据资源相关的说明。

注意

Azure Purview 策略依赖于数据资源 ARM 路径。 如果数据资源移动到新的资源组或订阅,则需要先将它取消注册,然后在 Microsoft Purview 中重新注册它。

配置权限以启用数据源上的数据策略实施

注册资源后,必须在 Microsoft Purview 中为该资源创建策略之前配置权限。 需要具有一组权限才能启用“数据策略实施”。 这适用于数据源、资源组或订阅。 若要启用“数据策略实施”,则必须同时拥有对资源的特定标识和访问管理 (IAM) 特权以及特定的 Microsoft Purview 特权:

  • 你必须在资源的 Azure 资源管理器路径或其任何父路径上拥有以下任一 IAM 角色组合(即使用 IAM 权限继承):

    • IAM“所有者”
    • IAM“参与者”和 IAM“用户访问管理员”

    若要配置 Azure 基于角色的访问控制 (RBAC) 权限,请按照指南进行操作。 以下屏幕截图显示了如何访问 Azure 门户中的访问控制部分,以便为数据资源添加角色分配。

    显示Azure门户中用于添加角色分配的部分的截图。

    注意

    可以从父资源组、订阅或订阅管理组继承数据源的 IAM 所有者角色。 检查哪些 Microsoft Entra 用户、组和服务主体保留或正在继承资源的“IAM 所有者”角色。

  • 你还需要有集合或父集合(如果启用了继承)的 Microsoft Purview 数据源管理员角色。 有关详细信息,请参阅有关管理 Microsoft Purview 角色分配的指南。

    以下屏幕截图显示了如何在根集合级别分配数据源管理员角色。

    显示在根集合级别分配数据源管理员角色的选项的屏幕截图。

配置 Microsoft Purview 权限以创建、更新或删除访问策略

若要创建、更新或删除策略,你需要在 Microsoft Purview 中的根集合级别获取“策略创建者”角色:

  • “策略创建者”角色可以创建、更新以及删除 DevOps 和数据所有者策略。
  • 策略创建者角色可以删除自助服务访问策略。

有关管理 Microsoft Purview 角色分配的详细信息,请参阅在Microsoft Purview 数据映射中创建和管理集合

注意

必须在根集合级别配置“策略创建者”角色。

此外,为了在创建或更新策略主题时能够轻松搜索 Microsoft Entra 用户或组,在 Microsoft Entra ID 中获取目录读取者权限可为你提供极大的帮助。 这是 Azure 租户中用户的常见权限。 如果没有目录读取者权限,策略创建者必须键入数据策略主题中包含的所有主体的完整用户名或电子邮件地址。

将访问预配责任委托给 Microsoft Purview 中的角色

在为某个资源启用“数据策略实施”后,任何在根集合级别具有“策略创建者”角色的 Microsoft Purview 用户都可以从 Microsoft Purview 预配对该数据源的访问权限。

注意

任何 Microsoft Purview 根集合管理员都可以将新用户分配到根“策略创建者”角色。 任何集合管理员都可以将新用户分配到该集合下的“数据源管理员”角色。 最大程度地减少具有 Microsoft Purview 集合管理员、数据源管理员或策略创建者角色的用户并对其仔细审查。

如果带有已发布策略的 Microsoft Purview 帐户被删除,则此类策略将在一段时间内停止强制执行,具体取决于特定数据源。 此更改可能对安全性和数据访问可用性都有影响。 IAM 中的参与者角色和所有者角色可以删除 Microsoft Purview 帐户。 可以通过转到 Microsoft Purview 帐户的访问控制 (IAM) 部分并选择“角色分配”来检查这些权限。 还可以使用锁以防止 Microsoft Purview 帐户通过 Azure 资源管理器锁被删除。

在 Microsoft Purview 中注册数据源以便使用“数据策略强制实施”

必须先向 Microsoft Purview 注册 Azure 订阅或资源组,然后才能创建访问策略。 若要注册你的资源,请遵循本指南的“先决条件”和“注册”部分:

注册数据资源后,需要启用“数据策略强制实施”。 这是先决条件,满足以后才能在数据资源上创建策略。 “数据策略强制实施”可能会影响数据的安全性,因为它会委托某些 Microsoft Purview 角色管理对数据源的访问权限。 本指南详细介绍了与数据策略强制实施相关的安全做法如何启用数据策略强制实施

将数据源的“数据策略强制实施”选项设置为“已启用”后,数据源的情况如以下屏幕截图所示屏幕截图显示了如何注册策略的数据源,以及设置为“启用”的“数据策略强制实施”选项。

创建策略

若要在整个 Azure 订阅或资源组上创建访问策略,请按以下指南操作:

后续步骤

现在,你已经注册了源,请按照以下指南来详细了解 Microsoft Purview 和你的数据。