Microsoft Purview (以前是 Azure Purview) 部署清单
本文列出了帮助你快速开始规划和部署 Microsoft Purview (以前是 Azure Purview) 帐户的先决条件。
如果你正在创建部署 Microsoft Purview 的计划,并且还想要在制定部署策略时考虑最佳做法,请使用 我们的部署最佳做法指南 入门。
如果你正在寻找严格的技术部署指南,此部署清单适合你。
否。 | 先决条件/操作 | 所需的权限 | 更多指导和建议 |
---|---|---|---|
1 | Azure Active Directory 租户 | 不适用 |
Azure Active Directory 租户应与订阅相关联。
|
2 | 活动 Azure 订阅 | 订阅所有者 | 部署 Microsoft Purview 及其托管资源需要 Azure 订阅。 如果没有 Azure 订阅,请在开始之前创建一个 免费订阅 。 |
3 | 定义是否计划使用托管事件中心部署 Microsoft Purview | 不适用 | 可以选择在 Microsoft Purview 帐户创建期间部署配置现有事件中心命名空间,请参阅 Microsoft Purview 帐户创建。 使用此托管命名空间,可以将消息发布到事件中心 kafka 主题ATLAS_HOOK,Microsoft Purview 将使用和处理它。 Microsoft Purview 将通知事件中心 kafka 主题的实体更改ATLAS_ENTITIES,用户可以使用和处理它。 可以在创建帐户后随时启用或禁用此功能。 |
4 | 注册以下资源提供程序:
|
用于注册 Azure 资源提供程序的订阅所有者或自定义角色 (/register/action) | 在为 Microsoft Purview 帐户指定的 Azure 订阅中注册所需的 Azure 资源提供程序。 查看 Azure 资源提供程序操作。 |
5 | 更新Azure Policy以允许在 Azure 订阅中部署以下资源:
|
订阅所有者 | 如果现有Azure Policy阻止部署此类 Azure 资源,请使用此步骤。 如果存在阻止策略,并且需要保持到位,请按照 Microsoft Purview 异常标记指南 进行操作,并按照步骤为 Microsoft Purview 帐户创建例外。 |
6 | 定义网络安全要求。 | 网络和安全架构师。 |
|
7 | 适用于 Microsoft Purview 专用终结点的 Azure 虚拟网络和子网 () 。 | 用于创建或更新 Azure VNet 的网络参与者。 | 如果计划 与 Microsoft Purview 部署专用终结点连接,请使用此步骤:
如果需要,请部署 Azure 虚拟网络。 |
8 | 为 Azure 数据源部署专用终结点。 | 网络参与者 ,用于为每个数据源设置专用终结点。 | 如果计划使用 专用终结点进行引入,请执行此步骤。 |
9 | 定义是部署新的还是使用现有的 Azure 专用 DNS区域。 | 在 Purview 帐户部署期间,可以使用订阅所有者/参与者角色自动创建所需的 Azure 专用 DNS区域 | 如果计划将专用终结点连接与 Microsoft Purview 配合使用,请使用此步骤。 专用终结点所需的 DNS 区域:
|
10 | CorpNet 或 Azure VNet 中的管理计算机,用于启动 Microsoft Purview 治理门户。 | 不适用 | 如果计划在 Microsoft Purview 帐户上设置“允许公共网络拒绝”,请使用此步骤。 |
11 | 部署 Microsoft Purview 帐户 | 订阅所有者/参与者 | Purview 帐户部署有一个容量单位,并将 根据需要纵向扩展。 |
12 | 为 Azure 数据源部署托管Integration Runtime和托管专用终结点。 |
数据源管理员 ,用于在 Microsoft Purview 中设置托管 VNet。 网络参与者 ,用于批准每个 Azure 数据源的托管专用终结点。 |
如果计划使用 托管 VNet,请执行此步骤。 用于扫描目的的 Microsoft Purview 帐户中。 |
13 | 在网络内部署自承载集成运行时 VM。 | Azure: 虚拟机参与者 本地:应用程序所有者 |
如果计划使用自承载Integration Runtime执行任何扫描,请使用此步骤。 |
14 | 在 Microsoft Purview 中创建自承载集成运行时。 | 数据策展人 VM 管理员或应用程序所有者 |
如果计划使用自承载Integration Runtime而不是托管Integration Runtime或 Azure Integration Runtime,请使用此步骤。 下载 |
15 | 注册自承载集成运行时 | 虚拟机管理员 | 如果有本地或基于 VM 的数据源 (例如SQL Server) ,请使用此步骤。 使用此步骤是使用 专用终结点 扫描到 任何 数据源。 |
16 | 在数据源的订阅中向 Microsoft Purview MSI 授予 Azure RBAC 读取者角色 | 订阅所有者 或 用户访问管理员 | 如果计划注册 多个 或以下 任 一数据源,请使用此步骤: |
17 | 在数据源订阅中向 Microsoft Purview MSI 授予 Azure RBAC 存储 Blob 数据读取者角色。 | 订阅所有者 或 用户访问管理员 | 如果使用专用终结点连接到数据源,请跳过此步骤。 如果具有以下数据源,请使用此步骤: |
18 | 启用网络连接以允许 AzureServices 访问数据源: 例如,启用“允许受信任的 Microsoft 服务访问此存储帐户”。 |
数据源的所有者或参与者 | 如果在数据源中使用 了服务终结点 ,请使用此步骤。 (如果使用专用终结点,则不要使用此步骤) |
19 | 在 Azure SQL 服务器、Azure SQL 托管实例 和 Azure Synapse Analytics 上启用 Azure Active Directory 身份验证 | Azure SQL服务器参与者 | 如果Azure SQL DB、Azure SQL 托管实例或Azure Synapse Analytics 作为数据源,请使用此步骤。 |
20 | 向具有db_datareader角色的Microsoft Purview MSI 帐户授予Azure SQL数据库和Azure SQL 托管实例数据库 | Azure SQL管理员 | 如果已Azure SQL DB 或Azure SQL 托管实例作为数据源,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
21 | 将 Azure RBAC 存储 Blob 数据读取者授予用于暂存存储帐户的 Synapse SQL Server | 数据源的所有者或用户访问管理员 | 如果将 Azure Synapse Analytics 用作数据源,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
22 | 在 Synapse 工作区资源向 Microsoft Purview MSI 授予 Azure RBAC 读取者角色 | 数据源的所有者或用户访问管理员 | 如果将 Azure Synapse Analytics 用作数据源,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
23 | 为 Azure Purview MSI 帐户 授予 db_datareader 角色 | Azure SQL管理员 | 如果已Azure Synapse Analytics (专用 SQL 数据库) ,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
24 | 向 Microsoft Purview MSI 帐户授予 sysadmin 角色 | Azure SQL管理员 | 如果) Azure Synapse Analytics (无服务器 SQL 数据库,请使用此步骤。 如果使用专用终结点连接到数据源,请跳过此步骤。 |
25 | 在 Azure Active Directory 租户中创建应用注册或服务主体 | Azure Active Directory 全局管理员 或 应用程序管理员 | 如果计划使用委托的作者 服务主体对数据源执行扫描,请使用此步骤。 |
26 | 创建 Azure 密钥保管库和机密以保存数据源凭据或服务主体机密。 | 参与者或密钥保管库管理员 | 如果有本地或基于 VM 的数据源 (例如SQL Server) ,请使用此步骤。 使用此步骤是使用 引入专用终结点 来扫描数据源。 |
27 | 向 Microsoft Purview MSI 授予 Key Vault 访问策略 : 机密:get/list | 密钥保管库管理员 | 如果有基于本地 VM 的 / 数据源 (,请使用此步骤,例如,SQL Server) 如果密钥保管库权限模型设置为“保管库访问策略”,请使用此步骤。 |
28 | 将 密钥保管库 RBAC 角色密钥保管库机密用户授予 Microsoft Purview MSI。 | 所有者 或 用户访问管理员 | 如果有本地或基于 VM的数据源 (,请使用此步骤,例如,SQL Server) 如果密钥保管库权限模型设置为 Azure 基于角色的访问控制,请使用此步骤。 |
29 | 从 Microsoft Purview 治理门户创建与 Azure 密钥保管库的新连接 | 数据源管理员 | 如果计划使用以下任一 身份验证选项 扫描 Microsoft Purview 中的数据源,请使用此步骤:
|
30 | 为 Power BI 租户部署专用终结点 |
Power BI 管理员 网络参与者 |
如果计划将 Power BI 租户注册为数据源,并且 Microsoft Purview 帐户设置为 拒绝公共访问,请使用此步骤。 有关详细信息,请参阅 如何配置专用终结点以访问 Power BI。 |
31 | 从 Azure 数据工厂 门户将Azure 数据工厂连接到 Microsoft Purview。
管理 ->Microsoft Purview。 选择“ 连接到 Purview 帐户”。 验证 ADF Azure 资源中是否存在 Azure 资源标记 catalogUri 。 |
Azure 数据工厂参与者/数据策展人 | 如果有Azure 数据工厂,请使用此步骤。 |
32 | 验证 Azure Active Directory 租户中是否至少需要一个 Microsoft 365 许可证 才能在 Microsoft Purview 中使用敏感度标签。 | Azure Active Directory 全局读取器 | 如果计划将敏感度标签扩展到 Microsoft Purview 数据映射 有关详细信息,请参阅 在 Microsoft Purview 中对文件和数据库列使用敏感度标签的许可要求 |
33 | 同意“将标签扩展到Microsoft Purview 数据映射中的资产” | 合规性管理员 Azure 信息保护管理员 |
如果有兴趣将敏感度标签扩展到数据映射中的数据,请使用此步骤。 有关详细信息,请参阅Microsoft Purview 数据映射中的标记。 |
34 | 在 Microsoft Purview 中创建新集合并分配角色 | 集合管理员 | 在 Microsoft Purview 中创建集合并分配权限。 |
36 | 在 Microsoft Purview 中治理数据源 |
数据源管理员 数据读取器 或 数据策展人 |
有关详细信息,请参阅 支持的数据源和文件类型 |
35 | 授予对组织中数据角色的访问权限 | 集合管理员 | 向其他团队提供使用 Microsoft Purview 的访问权限:
有关详细信息,请参阅 Microsoft Purview 中的访问控制。 |