连接到 Microsoft Purview 所在的同一租户中的 Microsoft Fabric 租户(预览版)

重要

扫描 Microsoft Fabric 租户将引入来自 Fabric 项(包括 Power BI)的元数据和世系。 注册 Fabric 租户并设置扫描的体验与 Power BI 租户类似,并在所有 Fabric 项之间共享。 Power BI 以外的 Fabric 项扫描目前为预览版。 Azure 预览版的补充使用条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

本文概述了如何注册与 Microsoft Purview 资源位于相同租户中的 Microsoft Fabric 租户,以及如何对 Microsoft Purview 中的 Fabric 源进行身份验证并与之交互。 有关 Microsoft Purview 概览的更多信息,请参阅介绍性文章

注意

自 2023 年 12 月 13 日起,扫描注册了 Microsoft Purview 中 Fabric 数据源的 Fabric 租户时会捕获 Fabric 项的元数据和世系(包括 Power BI)。 该新功能将于近期在所有 Microsoft Purview 公有云区域中推出。

有关扫描 Power BI 租户的信息,请参阅 Power BI 文档

支持的功能

元数据提取 完全扫描 增量扫描 限定范围扫描 分类 标记 访问策略 沿袭 数据共享 实时视图
No No No
体验 Fabric 项 在扫描中可用 实时视图中可用(仅限同一租户)
实时分析 KQL 数据库
KQL 查询集
数据科学 试验
ML 模型
数据工厂 数据管道
数据流 Gen2
数据工程 Lakehouse
笔记本
Spark 作业定义
SQL 分析终结点
数据仓库 存放地点
Power BI 仪表板
数据流
数据集市
语义模型(数据集)
报表
分页报表

支持的 Fabric 扫描场景

方案 允许/拒绝 Microsoft Purview 公共访问 允许/拒绝 Fabric 公共访问 运行时选项 验证选项 部署清单
使用 Azure IR 进行公共访问 允许 允许 Azure 运行时 托管标识/委托身份验证/服务主体 查看部署清单
使用自承载 IR 进行公共访问 允许 允许 SHIR 或 Kubernetes SHIR 服务主体 查看部署清单
专用访问权限 拒绝 允许 托管 VNet IR(仅限 v2) 托管标识/委托身份验证/服务主体 查看部署清单

注意

上述受支持的方案适用于 Fabric 中的非 Power BI 项。 有关适用于 Power BI 项的受支持方案,请参阅 Power BI 文档

已知限制

  • 目前,对于除 Power BI 之外的所有 Fabric 项,仅扫描项目、级别元数据和世系,不支持扫描 Lakehouse 表或文件等子级别项的元数据和世系。
  • 对于自承载集成运行时,支持最低版本为 5.40.8836.1 的标准自承载集成运行时或 Kubernetes 支持的自承载集成运行时
  • 将跳过空工作区。

先决条件

在开始之前,请确保满足以下先决条件:

身份验证选项

  • 托管标识
  • 服务主体
  • 委托身份验证

部署清单

根据场景,在设置期间或出于故障排除目的,使用以下任一部署清单:

在公用网络中使用 Azure IR 和托管标识扫描同租户 Fabric

  1. 确保 Fabric 和 Microsoft Purview 帐户位于同一租户中。

  2. 确保在注册期间正确输入 Fabric 租户 ID。

  3. 通过启用元数据扫描,确保 Fabric 元数据模型是最新的。

  4. 在 Azure 门户中,验证 Microsoft Purview 帐户网络是否设置为公共访问。

  5. 在 Fabric 租户管理门户中,确保将 Fabric 租户配置为允许使用公用网络。

  6. 在 Microsoft Entra 租户中创建安全组。

  7. 在 Microsoft Entra 租户中,确保 Microsoft Purview 帐户 MSI 是新安全组的成员

  8. 在 Fabric 租户管理门户上,验证是否为新安全组启用了允许服务主体使用只读管理员 API

注册 Fabric 租户

本部分介绍如何在 Microsoft Purview 中为同一租户方案注册 Fabric 租户。

  1. 在左侧导航中选择“数据映射”。

  2. 然后选择“注册”。

    选择 Fabric 作为数据源。

    显示了可供选择的数据源列表的图像,其中选择了 Fabric。

  3. 为 Fabric 实例指定一个易记名称并选择一个集合。

    该名称的长度必须介于 3-63 个字符之间,并且只能包含字母、数字、下划线和连字符。 不允许包含空格。

    默认情况下,系统将查找存在于同一 Microsoft Entra 租户中的 Fabric 租户。

针对扫描的身份验证

为了能够扫描 Microsoft Fabric 租户并查看其元数据,首先需要创建一种向 Fabric 租户进行身份验证的方法,然后向 Microsoft Purview 提供身份验证信息。

向 Fabric 租户进行身份验证

在 Fabric 租户所在的 Microsoft Entra 租户中:

  1. Azure 门户中,搜索“Microsoft Entra ID”

  2. 按照使用 Microsoft Entra ID 创建基本组并添加成员中的说明在 Microsoft Entra ID 中创建一个新安全组。

    提示

    如果你已有想要使用的安全组,则可以跳过此步骤。

  3. 选择“安全性”作为“组类型” 。

    安全组类型的屏幕截图。

  4. 将全部相关用户添加到安全组:

    • 如果使用托管标识作为身份验证方法,需将 Microsoft Purview 托管标识添加到此安全组。 选择“成员”,然后选择“+ 添加成员” 。

      显示如何将目录的托管实例添加到组的屏幕截图。

    • 如果使用委托身份验证服务主体作为身份验证方法,需将服务主体添加到此安全组。 选择“成员”,然后选择“+ 添加成员” 。

  5. 搜索并选择 Microsoft Purview 托管标识或服务主体。

    显示如何通过搜索目录名称来添加目录的屏幕截图。

    你应会看到一条成功通知,显示已添加该标识。

    显示成功添加目录托管标识的屏幕截图。

关联安全组与 Fabric 租户

  1. 登录到 Fabric 管理员门户

  2. 选择“租户设置”页。

    重要

    你需要成为 Fabric 管理员才能看到“租户设置”页。

  3. 选择“管理员 API 设置”>“允许服务主体使用只读管理员 API”。

  4. 选择“特定安全组”。

  5. 选择“管理员 API 设置”>“使用详细元数据增强管理员 API 响应”和“使用 DAX 和 mashup 表达式增强管理员 API 响应”>启用切换按钮,以允许 Microsoft Purview 数据映射在扫描过程中自动发现 Fabric 数据集的详细元数据。

    重要

    更新 Fabric 租户上的“管理员 API 设置”后,请等待大约 15 分钟,然后再注册扫描和测试连接。

    注意

    如果允许创建的安全组(其成员包括 Microsoft Purview 托管标识)使用只读管理员 API,则还会允许该安全组访问此租户中的所有 Fabric 项目的元数据(例如仪表板和报表名称、所有者、说明等)。 将元数据拉取到 Microsoft Purview 后,Microsoft Purview 的权限(而不是 Fabric 权限)会确定可以看到该元数据的对象。

    注意

    可以从开发人员设置中删除安全组,但不会从 Microsoft Purview 帐户中删除之前提取的元数据。 如果愿意,可以单独将其删除。

在 Microsoft Purview 中配置用于扫描的凭据

托管的标识

如果已按照所有步骤完成 Microsoft Purview 到 Fabric 的身份验证,则无需为托管标识执行其他身份验证步骤。

服务主体

  1. Azure 门户中,选择“Microsoft Entra ID”并在租户中创建应用注册。 在“重定向 URI”中提供 Web URL。 有关重定向 URI 的信息,请参阅 Microsoft Entra ID 中的此文档

    屏幕截图显示了如何在 Microsoft Entra ID 中创建应用注册。

  2. 记下客户端 ID(应用 ID)。

    屏幕截图显示了如何创建服务主体,其中突出显示了客户端 ID。

  3. 从 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“应用注册”。 从“API 权限”为应用程序分配以下委托权限:

    • Microsoft Graph openid

    Microsoft Graph 上的委托权限的屏幕截图。

  4. 在“高级设置”下,启用“允许公共客户端流”。

  5. 在“证书和机密”下,创建新的机密并安全地保存,以便执行后续步骤。

  6. 在 Azure 门户中,导航到 Azure Key Vault。

  7. 选择“设置”>“机密”,然后选择“+ 生成/导入”。

    屏幕截图显示了如何导航到 Azure Key Vault 并生成机密。

  8. 输入机密名称和值,键入为应用注册新创建的密码。 选择“创建”以完成操作。

    显示如何为 SPN 生成 Azure Key Vault 机密的屏幕截图。

  9. 如果密钥保管库尚未连接到 Microsoft Purview,你需要创建新的密钥保管库连接

  10. 创建机密后,在 Microsoft Purview 中,转到“管理”下的“凭据”页。

    提示

    或者,可以在扫描过程中创建新凭据。

  11. 选择“+ 新建”来创建新凭据。

  12. 提供必需的参数:

    • 名称:为凭据提供一个独一无二的名称
    • 身份验证方法:服务主体
    • 租户 ID:你的 Fabric 租户 ID
    • 客户端 ID:使用你在前面创建的服务主体客户端 ID(应用 ID)
    • 密钥保管库连接:Microsoft Purview 与你之前在其中创建机密的密钥保管库的连接。
    • 机密名称:之前创建的机密的名称。

    新凭据菜单的屏幕截图,其中显示了 SPN 的 Fabric 凭据以及提供的所有必需值。

  13. 填写所有详细信息后,选择“创建”。

委托身份验证

  1. 在 Microsoft Entra 租户中创建用户帐户,并将用户分配给 Microsoft Entra 角色“Power BI 管理员”。 记下用户名并登录以更改密码。

  2. 导航到你的 Azure 密钥保管库。

  3. 选择“设置”>“机密”,然后选择“+ 生成/导入”。

    显示如何导航到 Azure 密钥保管库的屏幕截图。

  4. 输入机密的名称,而对于“值”,请键入为 Microsoft Entra 用户新建的密码。 选择“创建”以完成操作。

    显示如何生成 Azure 密钥保管库机密的屏幕截图。

  5. 如果密钥保管库尚未连接到 Microsoft Purview,你将需要创建新的密钥保管库连接

  6. 在 Microsoft Entra 租户中创建应用注册。 在“重定向 URI”中提供 Web URL。

    显示在 Microsoft Entra ID 中创建应用的屏幕截图。

  7. 记下客户端 ID(应用 ID)。

    显示如何创建服务主体的屏幕截图。

  8. 从 Microsoft Entra 仪表板中,选择新建的应用程序,然后选择“API 权限”。 为应用程序分配以下委托的权限,并为租户授予管理员同意:

    • Fabric Service Tenant.Read.All
    • Microsoft Graph openid

    Fabric Service 和 Microsoft Graph 上委托的权限的屏幕截图。

  9. 在“高级设置”下,启用“允许公共客户端流”。

  10. 接下来,在 Microsoft Purview 中,转到“管理”下的“凭据”页,创建新的凭据。

    提示

    或者,可以在扫描过程中创建新凭据。

  11. 选择“+ 新建”来创建新凭据。

  12. 提供必需的参数:

    • 名称:为凭据提供一个独一无二的名称
    • 身份验证方法:委托身份验证
    • 客户端 ID:使用你在前面创建的服务主体客户端 ID(应用 ID)
    • 用户名:提供之前创建的 Fabric 管理员的用户名
    • 密钥保管库连接:Microsoft Purview 与你之前在其中创建机密的密钥保管库的连接。
    • 机密名称:之前创建的机密的名称。

    新凭据菜单的屏幕截图,其中显示了委托身份验证的 Fabric 凭据以及提供的所有必需值。

  13. 填写所有详细信息后,选择“创建”。

创建扫描

  1. 在 Microsoft Purview Studio 中,导航到左侧菜单中的“数据映射”。

  2. 导航到“源”。

  3. 选择已注册的 Fabric 源。

  4. 选择“+ 新建扫描”。

  5. 为扫描提供一个名称。

  6. 选择托管标识凭据,或为服务主体或委托身份验证创建的凭据。

    显示了 Fabric 扫描设置的图像。

  7. 在继续执行后续步骤之前,选择“测试连接”。 如果“测试连接”失败,请选择“查看报表”,以查看详细状态并排查问题。

    1. “访问 - 失败”状态表示用户身份验证失败。 使用托管标识的扫描将始终成功,因为无需用户身份验证。 如果使用服务主体或委托身份验证,请确保已正确设置密钥保管库凭据,并且 Microsoft Purview 有权访问密钥保管库。
    2. “资产(+ 世系)- 失败”状态表示 Microsoft Purview - Fabric 授权失败。 请确保已将 Microsoft Purview 托管标识添加到 Fabric 管理门户中关联的安全组。
    3. “详细元数据(增强型)- 失败”状态表示对“使用详细元数据增强管理员 API 响应”设置禁用了 Fabric 管理门户

    提示

    有关更多疑难解答的信息,请参阅部署清单,确保已涵盖方案中的每个步骤。

  8. 设置扫描触发器。 你的选项为“定期”和“一次”。

    Microsoft Purview 扫描计划程序的屏幕截图。

  9. 在“查看新扫描”上,选择“保存并运行”,以启动扫描。

查看扫描和扫描运行情况

若要查看现有扫描,请执行以下操作:

  1. 转到 Microsoft Purview 门户。 在左窗格中,选择“数据映射”。
  2. 选择数据源。 可以在“最近使用的扫描”下查看该数据源上的现有扫描列表,或者可以在“扫描”选项卡上查看所有扫描。
  3. 选择要查看结果的扫描。 窗格会显示先前的所有扫描运行,以及每次扫描运行的状态和指标。
  4. 选择运行 ID 以检查扫描运行详细信息

管理扫描

若要编辑、取消或删除扫描:

  1. 转到 Microsoft Purview 门户。 在左窗格中,选择“数据映射”。

  2. 选择数据源。 可以在“最近使用的扫描”下查看该数据源上的现有扫描列表,或者可以在“扫描”选项卡上查看所有扫描。

  3. 选择要管理的扫描。 然后,可以:

    • 通过选择“编辑扫描”来编辑扫描。
    • 通过选择“取消扫描运行”来取消正在进行的扫描。
    • 通过选择“删除扫描”来删除扫描。

注意

  • 删除扫描不会删除以前扫描中创建的类别资产。

后续步骤

现在,你已经注册了源,请按照以下指南来详细了解 Microsoft Purview 和你的数据。