Découvrir et gouverner plusieurs sources Azure dans Microsoft Purview

Cet article explique comment inscrire plusieurs sources Azure et comment s’authentifier et interagir avec celles-ci dans Microsoft Purview. Pour plus d’informations sur Microsoft Purview, consultez l’article d’introduction.

Fonctionnalités prises en charge

Extraction de métadonnées Analyse complète Analyse incrémentielle Analyse délimitée Classification Étiquetage Stratégie d’accès Traçabilité Partage de données Affichage en direct
Oui Oui Oui Oui Oui Dépendant de la source Oui Dépendant de la source Non Limitée

Configuration requise

Inscrire

Cette section explique comment inscrire plusieurs sources Azure dans Microsoft Purview à l’aide du portail de gouvernance Microsoft Purview.

Prérequis pour l’inscription

Microsoft Purview a besoin d’autorisations pour pouvoir répertorier les ressources sous un abonnement ou un groupe de ressources.

  1. Accédez à l’abonnement ou au groupe de ressources dans le Portail Azure.
  2. Sélectionnez Access Control (IAM) dans le menu de gauche.
  3. Sélectionnez +Ajouter.
  4. Dans la zone Sélectionner une entrée , sélectionnez le rôle Lecteur et entrez le nom de votre compte Microsoft Purview (qui représente son nom de fichier MSI).
  5. Sélectionnez Enregistrer pour terminer l’attribution de rôle. Cela permet à Microsoft Purview de répertorier les ressources sous un abonnement ou un groupe de ressources.

Authentification pour l’inscription

Il existe deux façons de configurer l’authentification pour plusieurs sources dans Azure :

  • Identité gérée
  • Principal de service

Vous devez configurer l’authentification sur chaque ressource de votre abonnement ou groupe de ressources que vous souhaitez inscrire et analyser. Les types de ressources Stockage Azure (Stockage Blob Azure et Azure Data Lake Storage Gen2) facilitent la tâche en vous permettant d’ajouter le fichier MSI ou le principal de service au niveau de l’abonnement ou du groupe de ressources en tant que lecteur de données blob de stockage. Les autorisations descendent ensuite vers chaque compte de stockage au sein de cet abonnement ou groupe de ressources. Pour tous les autres types de ressources, vous devez appliquer le fichier MSI ou le principal de service sur chaque ressource, ou créer un script pour cela.

Pour savoir comment ajouter des autorisations sur chaque type de ressource au sein d’un abonnement ou d’un groupe de ressources, consultez les ressources suivantes :

Étapes d’inscription

  1. Ouvrez le portail de gouvernance Microsoft Purview en :

  2. Sélectionnez Data Map dans le menu de gauche.

  3. Sélectionner Inscription.

  4. Dans Inscrire des sources, sélectionnez Azure (plusieurs).

    Capture d’écran montrant la vignette pour Azure Multiple à l’écran pour l’inscription de plusieurs sources.

  5. Cliquez sur Continuer.

  6. Dans l’écran Inscrire des sources (Azure), procédez comme suit :

    1. Dans la zone Nom , entrez un nom avec lequel la source de données sera répertoriée dans le catalogue.

    2. Dans la zone Groupe d’administration , choisissez éventuellement un groupe d’administration vers lequel filtrer.

    3. Dans les zones de liste déroulante Abonnement et Groupe de ressources, sélectionnez un abonnement ou un groupe de ressources spécifique, respectivement. L’étendue d’inscription est définie sur l’abonnement ou le groupe de ressources sélectionné.

      Capture d’écran montrant les zones permettant de sélectionner un abonnement et un groupe de ressources.

    4. Sélectionnez une collection dans la liste.

    5. Sélectionnez Inscrire pour inscrire les sources de données.

Analyser

Importante

Actuellement, l’analyse de plusieurs sources Azure n’est prise en charge qu’à l’aide du runtime d’intégration Azure. Par conséquent, seuls les comptes Microsoft Purview qui autorisent l’accès public sur le pare-feu peuvent utiliser cette option.

Suivez les étapes ci-dessous pour analyser plusieurs sources Azure afin d’identifier automatiquement les ressources et de classifier vos données. Pour plus d’informations sur l’analyse en général, consultez notre présentation des analyses et de l’ingestion.

Créer et exécuter une analyse

Pour créer et exécuter une nouvelle analyse, procédez comme suit :

  1. Sélectionnez l’onglet Data Map dans le volet gauche du portail de gouvernance Microsoft Purview.

  2. Sélectionnez la source de données que vous avez inscrite.

  3. Sélectionnez Afficher les détails>+ Nouvelle analyse, ou utilisez l’icône d’action rapide Analyser sur la vignette source.

  4. Pour Nom, renseignez le nom.

  5. Pour Type, sélectionnez les types de ressources que vous souhaitez analyser dans cette source. Choisissez l’une des options suivantes :

    • Laissez-le tout. Cette sélection inclut les types de ressources futurs qui peuvent ne pas exister actuellement dans cet abonnement ou groupe de ressources.
    • Utilisez les zones pour sélectionner spécifiquement les types de ressources que vous souhaitez analyser. Si vous choisissez cette option, les futurs types de ressources qui pourraient être créés dans cet abonnement ou groupe de ressources ne seront pas inclus pour les analyses, sauf si l’analyse est explicitement modifiée à l’avenir.

    Capture d’écran montrant les options d’analyse de plusieurs sources.

  6. Sélectionnez les informations d’identification pour vous connecter aux ressources dans votre source de données :

    • Vous pouvez sélectionner des informations d’identification au niveau parent en tant que fichier MSI, ou vous pouvez sélectionner des informations d’identification pour un type de principal de service particulier. Vous pouvez ensuite utiliser ces informations d’identification pour tous les types de ressources sous l’abonnement ou le groupe de ressources.
    • Vous pouvez sélectionner spécifiquement le type de ressource et appliquer des informations d’identification différentes pour ce type de ressource.

    Chaque informations d’identification est considérée comme la méthode d’authentification pour toutes les ressources sous un type particulier. Vous devez définir les informations d’identification choisies sur les ressources afin de les analyser correctement, comme décrit plus haut dans cet article.

  7. Dans chaque type, vous pouvez choisir d’analyser toutes les ressources ou d’analyser un sous-ensemble d’entre elles par nom :

    • Si vous laissez l’option Tout, les ressources futures de ce type seront également analysées lors des prochaines exécutions d’analyse.
    • Si vous sélectionnez des comptes de stockage ou des bases de données SQL spécifiques, les futures ressources de ce type créées dans cet abonnement ou groupe de ressources ne seront pas incluses pour les analyses, sauf si l’analyse est explicitement modifiée à l’avenir.
  8. Sélectionnez Tester la connexion. Cela testera d’abord l’accès à case activée si vous avez appliqué le fichier MSI Microsoft Purview en tant que lecteur sur l’abonnement ou le groupe de ressources. Si vous recevez un message d’erreur, suivez ces instructions pour le résoudre. Ensuite, il teste votre authentification et votre connexion à chacune de vos sources sélectionnées et génère un rapport. Le nombre de sources sélectionnées aura un impact sur le temps nécessaire à la génération de ce rapport. En cas d’échec sur certaines ressources, le fait de pointer sur l’icône X affiche le message d’erreur détaillé.

    Capture d’écran montrant le curseur de configuration de l’analyse, avec le bouton Tester la connexion mis en évidence. Capture d’écran montrant un exemple de rapport de connexion de test, avec certaines connexions passées et certaines ayant échoué. Le pointage sur l’une des connexions ayant échoué affiche un rapport d’erreurs détaillé.

  9. Une fois votre connexion de test réussie, sélectionnez Continuer pour continuer.

  10. Sélectionnez ensembles de règles d’analyse pour chaque type de ressource que vous avez choisi à l’étape précédente. Vous pouvez également créer des ensembles de règles d’analyse inline.

    Capture d’écran montrant les règles d’analyse pour chaque type de ressource.

  11. Choisissez votre déclencheur d’analyse. Vous pouvez configurer une planification ou exécuter l’analyse une seule fois.

  12. Passez en revue votre analyse et sélectionnez Enregistrer pour terminer l’installation.

Afficher vos analyses et exécutions d’analyse

  1. Affichez les détails de la source en sélectionnant Afficher les détails sur la vignette sous la section Data Map .

    Capture d’écran montrant les détails de la source.

  2. Affichez les détails de l’exécution de l’analyse en accédant à la page Détails de l’analyse .

    La barre de status est un bref résumé des status en cours d’exécution des ressources enfants. Il s’affiche au niveau de l’abonnement ou du groupe de ressources. Les couleurs ont les significations suivantes :

    • Vert : l’analyse a réussi.
    • Rouge : l’analyse a échoué.
    • Gris : l’analyse est toujours en cours.

    Vous pouvez sélectionner chaque analyse pour afficher des détails plus fins.

    Capture d’écran montrant les détails de l’analyse.

  3. Affichez un résumé des dernières exécutions d’analyse ayant échoué en bas des détails de la source. Vous pouvez également afficher des détails plus précis sur ces exécutions.

Gérer vos analyses : modifier, supprimer ou annuler

Pour gérer une analyse, procédez comme suit :

  1. Accédez au centre de gestion.

  2. Sélectionnez Sources de données sous la section Sources et analyse , puis sélectionnez la source de données souhaitée.

  3. Sélectionnez l’analyse que vous souhaitez gérer. Ensuite :

    • Vous pouvez modifier l’analyse en sélectionnant Modifier.
    • Vous pouvez supprimer l’analyse en sélectionnant Supprimer.
    • Si l’analyse est en cours d’exécution, vous pouvez l’annuler en sélectionnant Annuler.

Politiques

Les types de stratégies suivants sont pris en charge sur cette ressource de données à partir de Microsoft Purview :

Conditions préalables de la stratégie d’accès sur les comptes de stockage Azure

Pour pouvoir appliquer des stratégies à partir de Microsoft Purview, les sources de données d’un groupe de ressources ou d’un abonnement doivent d’abord être configurées. Les instructions varient en fonction du type de source de données. Vérifiez s’ils prennent en charge les stratégies Microsoft Purview et, le cas échéant, les instructions spécifiques pour les activer, sous le lien Stratégie d’accès dans le document du connecteur Microsoft Purview.

Configurer le compte Microsoft Purview pour les stratégies

Inscrire la source de données dans Microsoft Purview

Avant de pouvoir créer une stratégie dans Microsoft Purview pour une ressource de données, vous devez inscrire cette ressource de données dans Microsoft Purview Studio. Vous trouverez les instructions relatives à l’inscription de la ressource de données plus loin dans ce guide.

Remarque

Les stratégies Microsoft Purview s’appuient sur le chemin d’accès ARM de la ressource de données. Si une ressource de données est déplacée vers un nouveau groupe de ressources ou un nouvel abonnement, elle doit être désinscrit, puis ré-inscrite dans Microsoft Purview.

Configurer les autorisations pour activer l’application de la stratégie de données sur la source de données

Une fois qu’une ressource est inscrite, mais avant qu’une stratégie puisse être créée dans Microsoft Purview pour cette ressource, vous devez configurer les autorisations. Un ensemble d’autorisations est nécessaire pour activer l’application de la stratégie de données. Cela s’applique aux sources de données, aux groupes de ressources ou aux abonnements. Pour activer l’application de la stratégie de données, vous devez disposer de privilèges IAM (Identity and Access Management) spécifiques sur la ressource, ainsi que des privilèges Microsoft Purview spécifiques :

  • Vous devez disposer de l’une des combinaisons de rôles IAM suivantes sur le chemin d’accès azure Resource Manager de la ressource ou sur n’importe quel parent de celui-ci (c’est-à-dire, en utilisant l’héritage d’autorisation IAM) :

    • Propriétaire IAM
    • Contributeur IAM et Administrateur de l’accès utilisateur IAM

    Pour configurer les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, suivez ce guide. La capture d’écran suivante montre comment accéder à la section Access Control dans la Portail Azure de la ressource de données pour ajouter une attribution de rôle.

    Capture d’écran montrant la section dans le Portail Azure pour ajouter une attribution de rôle.

    Remarque

    Le rôle Propriétaire IAM pour une ressource de données peut être hérité d’un groupe de ressources parent, d’un abonnement ou d’un groupe d’administration d’abonnement. Vérifiez quels Microsoft Entra utilisateurs, groupes et principaux de service détiennent ou héritent du rôle Propriétaire IAM pour la ressource.

  • Vous devez également disposer du rôle d’administrateur de source de données Microsoft Purview pour la collection ou une collection parente (si l’héritage est activé). Pour plus d’informations, consultez le guide sur la gestion des attributions de rôles Microsoft Purview.

    La capture d’écran suivante montre comment attribuer le rôle d’administrateur de source de données au niveau de la collection racine.

    Capture d’écran montrant les sélections pour l’attribution du rôle d’administrateur de source de données au niveau de la collection racine.

Configurer des autorisations Microsoft Purview pour créer, mettre à jour ou supprimer des stratégies d’accès

Pour créer, mettre à jour ou supprimer des stratégies, vous devez obtenir le rôle auteur de stratégie dans Microsoft Purview au niveau de la collection racine :

  • Le rôle Auteur de stratégie peut créer, mettre à jour et supprimer des stratégies DevOps et Propriétaire des données.
  • Le rôle Auteur de stratégie peut supprimer des stratégies d’accès en libre-service.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Le rôle d’auteur de stratégie doit être configuré au niveau de la collection racine.

En outre, pour rechercher facilement Microsoft Entra utilisateurs ou groupes lors de la création ou de la mise à jour de l’objet d’une stratégie, vous pouvez bénéficier grandement de l’obtention de l’autorisation Lecteurs d’annuaire dans Microsoft Entra ID. Il s’agit d’une autorisation courante pour les utilisateurs d’un locataire Azure. Sans l’autorisation Lecteur d’annuaire, l’auteur de la stratégie doit taper le nom d’utilisateur ou l’e-mail complet pour tous les principaux inclus dans l’objet d’une stratégie de données.

Configurer des autorisations Microsoft Purview pour publier des stratégies de propriétaire des données

Les stratégies de propriétaire des données permettent des vérifications et des équilibres si vous attribuez les rôles d’auteur de stratégie Microsoft Purview et d’administrateur de source de données à différentes personnes dans le organization. Avant qu’une stratégie de propriétaire de données ne prenne effet, une deuxième personne (administrateur de source de données) doit l’examiner et l’approuver explicitement en la publiant. Cela ne s’applique pas aux stratégies d’accès DevOps ou libre-service, car la publication est automatique pour ces stratégies lors de la création ou de la mise à jour de ces stratégies.

Pour publier une stratégie de propriétaire de données, vous devez obtenir le rôle Administrateur de source de données dans Microsoft Purview au niveau de la collection racine.

Pour plus d’informations sur la gestion des attributions de rôles Microsoft Purview, consultez Créer et gérer des regroupements dans le Mappage de données Microsoft Purview.

Remarque

Pour publier des stratégies de propriétaire de données, le rôle d’administrateur de source de données doit être configuré au niveau de la collection racine.

Déléguer la responsabilité du provisionnement de l’accès aux rôles dans Microsoft Purview

Une fois qu’une ressource a été activée pour l’application de la stratégie de données, tout utilisateur Microsoft Purview disposant du rôle d’auteur de stratégie au niveau de la collection racine peut provisionner l’accès à cette source de données à partir de Microsoft Purview.

Remarque

Tout administrateur de collection racine Microsoft Purview peut attribuer de nouveaux utilisateurs aux rôles d’auteur de stratégie racine. Tout administrateur de collection peut affecter de nouveaux utilisateurs à un rôle d’administrateur de source de données sous le regroupement. Réduisez et vérifiez soigneusement les utilisateurs qui détiennent les rôles d’administrateur de collection Microsoft Purview, d’administrateur de source de données ou d’auteur de stratégie .

Si un compte Microsoft Purview avec des stratégies publiées est supprimé, ces stratégies cesseront d’être appliquées dans un délai qui dépend de la source de données spécifique. Cette modification peut avoir des implications sur la sécurité et la disponibilité de l’accès aux données. Les rôles Contributeur et Propriétaire dans IAM peuvent supprimer des comptes Microsoft Purview. Vous pouvez case activée ces autorisations en accédant à la section Contrôle d’accès (IAM) de votre compte Microsoft Purview et en sélectionnant Attributions de rôles. Vous pouvez également utiliser un verrou pour empêcher la suppression du compte Microsoft Purview via des verrous Resource Manager.

Inscrire la source de données dans Microsoft Purview pour l’application de la stratégie de données

L’abonnement ou le groupe de ressources Azure doit d’abord être inscrit auprès de Microsoft Purview avant de pouvoir créer des stratégies d’accès. Pour inscrire votre ressource, suivez les sections Prérequis et Inscription de ce guide :

Une fois que vous avez inscrit la ressource de données, vous devez activer l’application de la stratégie de données. Il s’agit d’une condition préalable avant de pouvoir créer des stratégies sur la ressource de données. L’application de la stratégie de données peut avoir un impact sur la sécurité de vos données, car elle délègue à certains rôles Microsoft Purview gérant l’accès aux sources de données. Passez en revue les pratiques sécurisées liées à l’application de la stratégie de données dans ce guide : Comment activer l’application de la stratégie de données

Une fois que l’option Application de la stratégie de données est définie sur Activé pour votre source de données, elle ressemble à cette capture d’écran : Capture d’écran montrant comment inscrire une source de données pour la stratégie avec l’option Application de la stratégie de données définie pour activer.

Créer une stratégie

Pour créer une stratégie d’accès sur l’ensemble d’un abonnement ou d’un groupe de ressources Azure, suivez ces guides :

Étapes suivantes

Maintenant que vous avez inscrit votre source, suivez les guides ci-dessous pour en savoir plus sur Microsoft Purview et vos données.