Se connecter à des espaces de travail Azure Synapse Analytics et les gérer dans Microsoft Purview

Cet article explique comment inscrire des espaces de travail Azure Synapse Analytics. Il décrit également comment s’authentifier et interagir avec les espaces de travail Azure Synapse Analytics dans Microsoft Purview. Pour plus d’informations sur Microsoft Purview, consultez l’article d’introduction.

Remarque

Il existe des pools SQL dédiés (anciennement SQL DW) et des pools SQL dédiés dans Azure Synapse espace de travail. Pour connaître la différence entre les pools SQL dédiés (SQL DW) et les pools SQL dédiés dans Azure Synapse espaces de travail, consultez La différence entre les deux. Actuellement, Microsoft Purview fournit des sources de données distinctes pour les pools SQL dédiés (anciennement SQL DW) et les pools SQL dédiés :

Fonctionnalités prises en charge

Extraction de métadonnées Analyse complète Analyse incrémentielle Analyse délimitée Classification Étiquetage Stratégie d’accès Traçabilité Partage de données Affichage en direct
Oui Oui Oui Non Oui Non Non Oui - pipelines Non Non

Actuellement, les bases de données de lac Azure Synapse Analytics ne sont pas prises en charge.

Pour les tables externes, Azure Synapse Analytics ne capture pas actuellement la relation entre ces tables et leurs fichiers d’origine.

Configuration requise

Inscrire

La procédure suivante explique comment inscrire des espaces de travail Azure Synapse Analytics dans Microsoft Purview à l’aide du portail de gouvernance Microsoft Purview.

Seul un utilisateur qui a au moins un rôle de lecteur de données sur l’espace de travail Azure Synapse Analytics et qui est également administrateur de source de données dans Microsoft Purview peut inscrire un espace de travail Azure Synapse Analytics.

  1. Ouvrez le portail de gouvernance Microsoft Purview et sélectionnez votre compte Microsoft Purview.

    Vous pouvez également accéder à la Portail Azure, rechercher et sélectionner le compte Microsoft Purview, puis sélectionner le bouton Portail de gouvernance Microsoft Purview.

  2. Dans le volet gauche, sélectionnez Sources.

  3. Sélectionner Inscription.

  4. Sous Inscrire des sources, sélectionnez Azure Synapse Analytics (plusieurs).

  5. Cliquez sur Continuer.

    Capture d’écran d’une sélection de sources dans Microsoft Purview, notamment Azure Synapse Analytics.

  6. Dans la page Inscrire des sources (Azure Synapse Analytics), procédez comme suit :

    1. Pour Nom, entrez un nom pour la source de données à répertorier dans le catalogue de données.

    2. Si vous le souhaitez, pour l’abonnement Azure, choisissez un abonnement vers lequel filtrer.

    3. Pour Nom de l’espace de travail, sélectionnez l’espace de travail avec lequel vous travaillez.

      Les zones des points de terminaison SQL sont automatiquement renseignées en fonction de la sélection de votre espace de travail.

    4. Sélectionnez une collection dans la liste.

    5. Sélectionnez Inscrire pour terminer l’inscription de la source de données.

    Capture d’écran de la page permettant d’entrer des détails sur la source Azure Synapse.

Analyser

Procédez comme suit pour analyser les espaces de travail Azure Synapse Analytics afin d’identifier automatiquement les ressources et de classifier vos données. Pour plus d’informations sur l’analyse en général, consultez Analyses et ingestion dans Microsoft Purview.

  1. Configurez l’authentification pour énumérer vos ressources dédiées ou serverless . Cette étape permet à Microsoft Purview d’énumérer les ressources de votre espace de travail et d’effectuer des analyses.
  2. Appliquez des autorisations pour analyser le contenu de l’espace de travail.
  3. Vérifiez que votre réseau est configuré pour autoriser l’accès à Microsoft Purview.

Authentification d’énumération

Utilisez les procédures suivantes pour configurer l’authentification. Vous devez être propriétaire ou administrateur de l’accès utilisateur pour ajouter les rôles spécifiés.

Authentification pour l’énumération des ressources de base de données SQL dédiées

  1. Dans le Portail Azure, accédez à la ressource d’espace de travail Azure Synapse Analytics.
  2. Dans le volet gauche, sélectionnez Access Control (IAM).
  3. Cliquez sur le bouton Ajouter.
  4. Définissez le rôle Lecteur et entrez le nom de votre compte Microsoft Purview, qui représente son identité de service managé (MSI).
  5. Sélectionnez Enregistrer pour terminer l’attribution du rôle.

Si vous souhaitez analyser un pool SQL dédié (anciennement SQL DW) qui a activé Azure Synapse fonctionnalités de l’espace de travail, comme indiqué dans Activer Azure Synapse fonctionnalités d’espace de travail pour un pool SQL dédié (anciennement SQL DW), voici les étapes de configuration supplémentaires nécessaires pour le pool SQL dédié (anciennement SQL DW) :

  1. Dans le Portail Azure, accédez à la ressource SQL Server associée au pool SQL dédié (anciennement SQL DW).
  2. Dans le volet gauche, sélectionnez Access Control (IAM).
  3. Cliquez sur le bouton Ajouter.
  4. Définissez le rôle Lecteur et entrez le nom de votre compte Microsoft Purview, qui représente son identité de service managé (MSI).
  5. Sélectionnez Enregistrer pour terminer l’attribution du rôle.

Remarque

Si vous envisagez d’inscrire et d’analyser plusieurs espaces de travail Azure Synapse Analytics dans votre compte Microsoft Purview, vous pouvez également attribuer le rôle à partir d’un niveau supérieur, tel qu’un groupe de ressources ou un abonnement.

Authentification pour l’énumération des ressources de base de données SQL serverless

Il existe trois emplacements où vous devez définir l’authentification pour permettre à Microsoft Purview d’énumérer vos ressources de base de données SQL serverless.

Pour définir l’authentification pour l’espace de travail Azure Synapse Analytics :

  1. Dans le Portail Azure, accédez à la ressource d’espace de travail Azure Synapse Analytics.
  2. Dans le volet gauche, sélectionnez Access Control (IAM).
  3. Cliquez sur le bouton Ajouter.
  4. Définissez le rôle Lecteur et entrez le nom de votre compte Microsoft Purview, qui représente son MSI.
  5. Sélectionnez Enregistrer pour terminer l’attribution du rôle.

Pour définir l’authentification pour le compte de stockage :

  1. Dans le Portail Azure, accédez au groupe de ressources ou à l’abonnement qui contient le compte de stockage associé à l’espace de travail Azure Synapse Analytics.
  2. Dans le volet gauche, sélectionnez Access Control (IAM).
  3. Cliquez sur le bouton Ajouter.
  4. Définissez le rôle Lecteur de données blob du stockage et entrez le nom de votre compte Microsoft Purview (qui représente son MSI) dans la zone Sélectionner .
  5. Sélectionnez Enregistrer pour terminer l’attribution du rôle.

Pour définir l’authentification pour la base de données serverless Azure Synapse Analytics :

  1. Accédez à votre espace de travail Azure Synapse Analytics et ouvrez Synapse Studio.

  2. Dans le volet gauche, sélectionnez Données.

  3. Sélectionnez les points de suspension (...) en regard de l’une de vos bases de données, puis démarrez un nouveau script SQL.

  4. Exécutez la commande suivante dans votre script SQL pour ajouter le msi du compte Microsoft Purview (représenté par le nom du compte) sur les bases de données SQL serverless :

    CREATE LOGIN [PurviewAccountName] FROM EXTERNAL PROVIDER;
    

Appliquer des autorisations pour analyser le contenu de l’espace de travail

Vous devez configurer l’authentification sur chaque base de données SQL que vous souhaitez inscrire et analyser à partir de votre espace de travail Azure Synapse Analytics. Sélectionnez parmi les scénarios suivants les étapes d’application des autorisations.

Importante

Les étapes suivantes pour les bases de données serverless ne s’appliquent pas aux bases de données répliquées. Dans Azure Synapse Analytics, les bases de données serverless répliquées à partir de bases de données Spark sont actuellement en lecture seule. Pour plus d’informations, consultez L’opération n’est pas autorisée pour une base de données répliquée.

Utiliser une identité managée pour les bases de données SQL dédiées

Importante

Si vous utilisez un runtime d’intégration auto-hébergé pour vous connecter à votre ressource sur un réseau privé, les identités managées ne fonctionnent pas. Vous devez utiliser l’authentification du principal de service ou l’authentification SQL.

Pour exécuter les commandes dans la procédure suivante, vous devez être administrateur Azure Synapse de l’espace de travail. Pour plus d’informations sur les autorisations Azure Synapse Analytics, consultez Configurer le contrôle d’accès pour votre espace de travail Azure Synapse Analytics.

  1. Accédez à votre espace de travail Azure Synapse Analytics.

  2. Accédez à la section Données , puis recherchez l’une de vos bases de données SQL dédiées.

  3. Sélectionnez les points de suspension (...) en regard du nom de la base de données, puis démarrez un nouveau script SQL.

  4. Exécutez la commande suivante dans votre script SQL pour ajouter le msi du compte Microsoft Purview (représenté par le nom du compte) comme db_datareader sur la base de données SQL dédiée :

    CREATE USER [PurviewAccountName] FROM EXTERNAL PROVIDER
    GO
    
    EXEC sp_addrolemember 'db_datareader', [PurviewAccountName]
    GO
    
  5. Exécutez la commande suivante dans votre script SQL pour vérifier l’ajout du rôle :

    SELECT p.name AS UserName, r.name AS RoleName
    FROM sys.database_principals p
    LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id
    LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id
    WHERE p.authentication_type_desc = 'EXTERNAL'
    ORDER BY p.name;
    

Suivez les mêmes étapes pour chaque base de données que vous souhaitez analyser.

Utiliser une identité managée pour les bases de données SQL serverless

  1. Accédez à votre espace de travail Azure Synapse Analytics.

  2. Accédez à la section Données , puis sélectionnez l’une de vos bases de données SQL.

  3. Sélectionnez les points de suspension (...) en regard du nom de la base de données, puis démarrez un nouveau script SQL.

  4. Exécutez la commande suivante dans votre script SQL pour ajouter le msi du compte Microsoft Purview (représenté par le nom du compte) comme db_datareader sur les bases de données SQL serverless :

    CREATE USER [PurviewAccountName] FOR LOGIN [PurviewAccountName];
    ALTER ROLE db_datareader ADD MEMBER [PurviewAccountName]; 
    
  5. Exécutez la commande suivante dans votre script SQL pour vérifier l’ajout du rôle :

    SELECT p.name AS UserName, r.name AS RoleName
    FROM sys.database_principals p
    LEFT JOIN sys.database_role_members rm ON p.principal_id = rm.member_principal_id
    LEFT JOIN sys.database_principals r ON rm.role_principal_id = r.principal_id
    WHERE p.authentication_type_desc = 'EXTERNAL'
    ORDER BY p.name;
    

Suivez les mêmes étapes pour chaque base de données que vous souhaitez analyser.

Accorder l’autorisation d’utiliser des informations d’identification pour des tables externes

Si l’espace de travail Azure Synapse Analytics comporte des tables externes, vous devez accorder à l’identité managée Microsoft Purview l’autorisation Références sur les informations d’identification délimitées de la table externe. Avec l’autorisation Références, Microsoft Purview peut lire des données à partir de tables externes.

  1. Exécutez la commande suivante dans votre script SQL pour obtenir la liste des informations d’identification délimitées à la base de données :

    Select name, credential_identity
    from sys.database_scoped_credentials;
    
  2. Pour accorder l’accès aux informations d’identification délimitées à la base de données, exécutez la commande suivante. Remplacez par scoped_credential le nom des informations d’identification délimitées à la base de données.

    GRANT REFERENCES ON DATABASE SCOPED CREDENTIAL::[scoped_credential] TO [PurviewAccountName];
    
  3. Pour vérifier l’attribution d’autorisation, exécutez la commande suivante dans votre script SQL :

    SELECT dp.permission_name, dp.grantee_principal_id, p.name AS grantee_principal_name
    FROM sys.database_permissions AS dp
    JOIN sys.database_principals AS p ON dp.grantee_principal_id = p.principal_id
    JOIN sys.database_scoped_credentials AS c ON dp.major_id = c.credential_id;
    

Configurer l’accès au pare-feu pour l’espace de travail Azure Synapse Analytics

  1. Dans la Portail Azure, accédez à l’espace de travail Azure Synapse Analytics.

  2. Dans le volet gauche, sélectionnez Mise en réseau.

  3. Pour Autoriser les services et les ressources Azure à accéder à ce contrôle d’espace de travail , sélectionnez ACTIVÉ.

  4. Sélectionnez Enregistrer.

Si vous souhaitez analyser un pool SQL dédié (anciennement SQL DW) qui a activé Azure Synapse fonctionnalités de l’espace de travail, comme indiqué dans Activer Azure Synapse fonctionnalités d’espace de travail pour un pool SQL dédié (anciennement SQL DW), voici les étapes de configuration supplémentaires nécessaires pour le pool SQL dédié (anciennement SQL DW) :

  1. Dans le Portail Azure, accédez à la ressource SQL Server associée au pool SQL dédié (anciennement SQL DW).

  2. Dans le volet gauche, sélectionnez Mise en réseau.

  3. Pour Autoriser les services et les ressources Azure à accéder à ce contrôle serveur , sélectionnez ACTIVÉ.

  4. Sélectionnez Enregistrer.

Importante

Si vous ne pouvez pas activer Autoriser les services et ressources Azure à accéder à cet espace de travail sur vos espaces de travail Azure Synapse Analytics, vous obtiendrez un échec d’énumération de base de données serverless lorsque vous configurez une analyse dans le portail de gouvernance Microsoft Purview. Dans ce cas, vous pouvez choisir l’option Entrer manuellement pour spécifier les noms de base de données que vous souhaitez analyser, puis continuer ou configurer une analyse à l’aide d’une API.

Créer et exécuter une analyse

  1. Dans le portail de gouvernance Microsoft Purview, dans le volet gauche, sélectionnez Mappage des données.

  2. Sélectionnez la source de données que vous avez inscrite.

  3. Sélectionnez Afficher les détails, puis Nouvelle analyse. Vous pouvez également sélectionner l’icône d’action rapide Analyser sur la vignette source.

  4. Dans le volet Détails de l’analyse, dans la zone Nom , entrez un nom pour l’analyse.

Remarque

Pour le runtime d’intégration, si vous utilisez managed VNet Runtime, vérifiez que vous avez créé les points de terminaison privés managés requis :

  • Pour analyser les pools serverless, créez un point de terminaison privé managé de type de sous-ressource sqlOnDemand pour votre espace de travail Synapse.
  • Pour analyser les pools dédiés, créez un point de terminaison privé managé de type de sous-ressource sql pour votre espace de travail Synapse.
  • Si vous analysez les pools Serverless et Dedicated, vous créez les deux points de terminaison privés managés et dans l’Assistant, sélectionnez-en un.
  1. Dans la liste déroulante Informations d’identification , sélectionnez les informations d’identification pour vous connecter aux ressources de votre source de données.

  2. Pour Méthode de sélection de base de données, sélectionnez À partir de l’espace de travail Synapse ou Entrer manuellement. Par défaut, Microsoft Purview tente d’énumérer les bases de données sous l’espace de travail, et vous pouvez sélectionner celles que vous souhaitez analyser.

    Capture d’écran du volet d’informations de l’analyse source Azure Synapse.

    Si vous obtenez une erreur indiquant que Microsoft Purview n’a pas pu charger les bases de données serverless, vous pouvez sélectionner Entrée manuellement pour spécifier le type de base de données (dédiée ou serverless) et le nom de base de données correspondant.

    Capture d’écran de la sélection pour entrer manuellement des noms de base de données lors de la configuration d’une analyse.

  3. Sélectionnez Tester la connexion pour valider les paramètres. Si vous recevez une erreur, dans la page du rapport, pointez sur la status de connexion pour afficher les détails.

  4. Cliquez sur Continuer.

  5. Sélectionnez Analyser les ensembles de règles de type Azure Synapse SQL. Vous pouvez également créer des ensembles de règles d’analyse inline.

  6. Choisissez votre déclencheur d’analyse. Vous pouvez configurer une planification ou exécuter l’analyse une seule fois.

  7. Passez en revue votre analyse, puis sélectionnez Enregistrer pour terminer l’installation.

Afficher vos analyses et exécutions d’analyse

Pour afficher les analyses existantes :

  1. Accédez au portail Microsoft Purview. Dans le volet gauche, sélectionnez Mappage de données.
  2. Sélectionnez la source de données. Vous pouvez afficher une liste des analyses existantes sur cette source de données sous Analyses récentes, ou vous pouvez afficher toutes les analyses sous l’onglet Analyses .
  3. Sélectionnez l’analyse qui contient les résultats que vous souhaitez afficher. Le volet affiche toutes les exécutions d’analyse précédentes, ainsi que les status et les métriques pour chaque exécution d’analyse.
  4. Sélectionnez l’ID d’exécution pour case activée les détails de l’exécution de l’analyse.

Gérer vos analyses

Pour modifier, annuler ou supprimer une analyse :

  1. Accédez au portail Microsoft Purview. Dans le volet gauche, sélectionnez Mappage de données.

  2. Sélectionnez la source de données. Vous pouvez afficher une liste des analyses existantes sur cette source de données sous Analyses récentes, ou vous pouvez afficher toutes les analyses sous l’onglet Analyses .

  3. Sélectionnez l’analyse que vous souhaitez gérer. Vous pouvez ensuite :

    • Modifiez l’analyse en sélectionnant Modifier l’analyse.
    • Annulez une analyse en cours en sélectionnant Annuler l’exécution de l’analyse.
    • Supprimez votre analyse en sélectionnant Supprimer l’analyse.

Remarque

  • La suppression de votre analyse ne supprime pas les ressources de catalogue créées à partir d’analyses précédentes.

Configurer une analyse à l’aide d’une API

Voici un exemple de création d’une analyse pour une base de données serverless à l’aide de l’API REST Microsoft Purview. Remplacez les espaces réservés dans les accolades ({}) par vos paramètres réels. Pour plus d’informations, consultez Analyses - Créer ou Mettre à jour.

PUT https://{purview_account_name}.purview.azure.com/scan/datasources/<data_source_name>/scans/{scan_name}?api-version=2022-02-01-preview

Dans le code suivant, collection_id n’est pas le nom convivial de la collection, un ID de cinq caractères. Pour la collection racine, collection_id est le nom de la collection. Pour toutes les sous-collections, il s’agit plutôt de l’ID que vous pouvez trouver à l’un des emplacements suivants :

  • URL dans le portail de gouvernance Microsoft Purview. Sélectionnez la collection et case activée l’URL pour trouver l’emplacement où elle indique collection=. C’est votre ID. Dans l’exemple suivant, la collection Investment a l’ID 50h55c.

    Capture d’écran d’un ID de collection dans une URL.

  • Vous pouvez répertorier les noms de collection enfants de la collection racine pour répertorier les collections, puis utiliser le nom au lieu du nom convivial.

{
    "properties":{
        "resourceTypes":{
            "AzureSynapseServerlessSql":{
                "scanRulesetName":"AzureSynapseSQL",
                "scanRulesetType":"System",
                "resourceNameFilter":{
                    "resources":[ "{serverless_database_name_1}", "{serverless_database_name_2}", ...]
                }
            }
        },
        "credential":{
            "referenceName":"{credential_name}",
            "credentialType":"SqlAuth | ServicePrincipal | ManagedIdentity (if UAMI authentication)"
        },
        "collection":{
            "referenceName":"{collection_id}",
            "type":"CollectionReference"
        },
        "connectedVia":{
            "referenceName":"{integration_runtime_name}",
            "integrationRuntimeType":"SelfHosted (if self-hosted IR) | Managed (if VNet IR)"
        }
    },
    "kind":"AzureSynapseWorkspaceCredential | AzureSynapseWorkspaceMsi (if system-assigned managed identity authentication)"
}

Pour planifier l’analyse, créez un déclencheur pour celle-ci après la création de l’analyse. Pour plus d’informations, consultez Déclencheurs - Créer un déclencheur.

Résolution des problèmes

Si vous rencontrez des problèmes d’analyse :

Étapes suivantes

Maintenant que vous avez inscrit votre source, utilisez les guides suivants pour en savoir plus sur Microsoft Purview et vos données :