Freigeben über


Checkliste für die Bereitstellung von Microsoft Purview (früher Azure Purview)

Tipp

Microsoft Purview hat eine neue Erfahrung! Wenn Sie ein neuer Microsoft Purview-Kunde sind oder weitere Informationen benötigen, lesen Sie unseren Artikel im neuen Portal oder den Artikel über unsere neue Data Governance-Erfahrung.

Wenn Sie die Bereitstellung von Microsoft Purview-Governancelösungen in Ihrem organization planen, verwenden Sie unser neues Portal, und sehen Sie sich unsere Schnellstartanleitung für Datengovernance und bewährte Methoden an.

In diesem Artikel werden die Voraussetzungen aufgeführt, die Ihnen den schnellen Einstieg in die Planung und Bereitstellung Ihres Microsoft Purview-Kontos (früher Azure Purview) erleichtern.

Wenn Sie einen Plan für die Bereitstellung von Microsoft Purview erstellen und außerdem bewährte Methoden bei der Entwicklung Ihrer Bereitstellungsstrategie berücksichtigen möchten, verwenden Sie unseren Leitfaden zu bewährten Methoden für die Bereitstellung, um zu beginnen.

Wenn Sie nach einem rein technischen Bereitstellungsleitfaden suchen, ist diese Bereitstellungsprüfliste genau das Für Sie.

Nein Voraussetzung/Aktion Erforderliche Berechtigung Weitere Anleitungen und Empfehlungen
1 Microsoft Entra Mandant Nicht zutreffend Ihrem Abonnement sollte ein Microsoft Entra Mandant zugeordnet werden.
2 Ein aktives Azure-Abonnement Abonnementbesitzer Ein Azure-Abonnement ist erforderlich, um Microsoft Purview und die zugehörigen verwalteten Ressourcen bereitzustellen. Wenn Sie über kein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Abonnement , bevor Sie beginnen.
3 Definieren Sie, ob Sie eine Microsoft Purview-Instanz mit einem verwalteten Event Hub bereitstellen möchten. Nicht zutreffend Sie können während der Erstellung eines Microsoft Purview-Kontos einen vorhandenen Event Hubs-Namespace bereitstellen. Weitere Informationen finden Sie unter Erstellen eines Microsoft Purview-Kontos. Mit diesem verwalteten Namespace können Sie Nachrichten im Event Hub-Kafka-Thema ATLAS_HOOK veröffentlichen, und Microsoft Purview verwendet und verarbeitet sie. Microsoft Purview benachrichtigt Entitätsänderungen am Event Hub-Kafka-Thema ATLAS_ENTITIES und Benutzer können es nutzen und verarbeiten. Sie können dieses Feature jederzeit nach der Kontoerstellung aktivieren oder deaktivieren.
4 Registrieren Sie die folgenden Ressourcenanbieter:
  • Microsoft.Storage
  • Microsoft.EventHub (optional)
  • Microsoft.Purview
Abonnementbesitzer oder benutzerdefinierte Rolle zum Registrieren von Azure-Ressourcenanbietern (/register/action) Registrieren Sie erforderliche Azure-Ressourcenanbieter im Azure-Abonnement, das für das Microsoft Purview-Konto festgelegt ist. Überprüfen Sie die Vorgänge des Azure-Ressourcenanbieters.
5 Aktualisieren Sie Azure Policy, um die Bereitstellung der folgenden Ressourcen in Ihrem Azure-Abonnement zu ermöglichen:
  • Microsoft Purview
  • Azure Storage
Abonnementbesitzer Verwenden Sie diesen Schritt, wenn eine vorhandene Azure Policy die Bereitstellung solcher Azure-Ressourcen verhindert. Wenn eine Sperrrichtlinie vorhanden ist und beibehalten werden muss, befolgen Sie unseren Leitfaden zu Microsoft Purview-Ausnahmetags , und führen Sie die Schritte zum Erstellen einer Ausnahme für Microsoft Purview-Konten aus.
6 Definieren Sie Ihre Netzwerksicherheitsanforderungen. Netzwerk- und Sicherheitsarchitekten.
7 Eine Azure Virtual Network und Subnetze für private Microsoft Purview-Endpunkte. Netzwerkmitwirkender zum Erstellen oder Aktualisieren eines virtuellen Azure-Netzwerks. Verwenden Sie diesen Schritt, wenn Sie planen, die Konnektivität privater Endpunkte mit Microsoft Purview bereitzustellen:
  • Private Endpunkte für die Erfassung.
  • Privater Endpunkt für Das Microsoft Purview-Konto.
  • Privater Endpunkt für Das Microsoft Purview-Portal.

Stellen Sie Bei Bedarf Azure Virtual Network bereit.
8 Stellen Sie einen privaten Endpunkt für Azure-Datenquellen bereit. Netzwerkmitwirkender zum Einrichten privater Endpunkte für jede Datenquelle. Führen Sie diesen Schritt aus, wenn Sie planen, einen privaten Endpunkt für die Erfassung zu verwenden.
9 Definieren Sie, ob neue Azure Privates DNS Zones bereitgestellt oder vorhandene Verwendet werden sollen. Erforderliche Azure Privates DNS-Zonen können während der Bereitstellung des Purview-Kontos mithilfe der Rolle "Abonnementbesitzer/Mitwirkender" automatisch erstellt werden. Verwenden Sie diesen Schritt, wenn Sie planen, die Konnektivität für private Endpunkte mit Microsoft Purview zu verwenden. Erforderliche DNS-Zonen für privaten Endpunkt:
  • privatelink.purview.azure.com
  • privatelink.purview-service.microsoft.com
  • privatelink.purviewstudio.azure.com
  • privatelink.blob.core.windows.net
  • privatelink.queue.core.windows.net
  • privatelink.servicebus.windows.net
10 Ein Verwaltungscomputer in Ihrem CorpNet oder in einem virtuellen Azure-Netzwerk, um das Microsoft Purview-Governanceportal zu starten. Nicht zutreffend Verwenden Sie diesen Schritt, wenn Sie für Ihr Microsoft Purview-Konto zulassen festlegen möchten, dass öffentliches Netzwerkdie Ablehnung verweigert.
11 Bereitstellen eines Microsoft Purview-Kontos Abonnementbesitzer/Mitwirkender Das Purview-Konto wird mit einer Kapazitätseinheit bereitgestellt und je nach Bedarf hochskaliert.
12 Stellen Sie eine verwaltete Integration Runtime und verwaltete private Endpunkte für Azure-Datenquellen bereit. Datenquellenadministrator zum Einrichten eines verwalteten virtuellen Netzwerks in Microsoft Purview.
Netzwerkmitwirkender zum Genehmigen des verwalteten privaten Endpunkts für jede Azure-Datenquelle.
Führen Sie diesen Schritt aus, wenn Sie planen, ein verwaltetes virtuelles Netzwerk zu verwenden. in Ihrem Microsoft Purview-Konto zu Überprüfungszwecken.
13 Stellen Sie selbstgehostete Integration Runtime-VMs in Ihrem Netzwerk bereit. Azure: Mitwirkender an virtuellen Computern
Lokal: Anwendungsbesitzer
Verwenden Sie diesen Schritt, wenn Sie planen, Überprüfungen mithilfe von selbstgehosteten Integration Runtime durchzuführen.
14 Erstellen Sie eine selbstgehostete Integration Runtime in Microsoft Purview. Datenkurator
VM-Administrator oder Anwendungsbesitzer
Verwenden Sie diesen Schritt, wenn Sie planen, selbstgehostete Integration Runtime anstelle von Managed Integration Runtime oder Azure Integration Runtime zu verwenden.


herunterladen
15 Registrieren Ihrer selbstgehosteten Integration Runtime VM-Administrator Verwenden Sie diesen Schritt, wenn Sie über lokale oder VM-basierte Datenquellen verfügen (z. B. SQL Server).
Verwenden Sie diesen Schritt, um einen privaten Endpunkt zu verwenden, um eine Überprüfung auf beliebige Datenquellen auszuführen.
16 Erteilen der Rolle "Azure RBAC-Leser " für Microsoft Purview MSI in Den Abonnements von Datenquellen Abonnementbesitzer oder Benutzerzugriffsadministrator Verwenden Sie diesen Schritt, wenn Sie planen, mehrere oder eine der folgenden Datenquellen zu registrieren:
17 Erteilen Sie Microsoft Purview MSI in Datenquellenabonnements die Rolle "Azure RBAC Storage Blob Data Reader". Abonnementbesitzer oder Benutzerzugriffsadministrator Überspringen Sie diesen Schritt, wenn Sie einen privaten Endpunkt zum Herstellen einer Verbindung mit Datenquellen verwenden. Führen Sie diesen Schritt aus, wenn Sie über die folgenden Datenquellen verfügen:
18 Aktivieren Sie die Netzwerkkonnektivität, um AzureServices den Zugriff auf Datenquellen zu ermöglichen:
Aktivieren Sie beispielsweise "Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben".
Besitzer oder Mitwirkender bei Datenquelle Verwenden Sie diesen Schritt, wenn der Dienstendpunkt in Ihren Datenquellen verwendet wird. (Verwenden Sie diesen Schritt nicht, wenn ein privater Endpunkt verwendet wird.)
19 Aktivieren der Microsoft Entra-Authentifizierung auf Azure SQL Servern, Azure SQL Managed Instance und Azure Synapse Analytics Azure SQL Servermitwirkender Verwenden Sie diesen Schritt, wenn Sie über Azure SQL DB oder Azure SQL Managed Instance oder Azure Synapse Analytics als Datenquelle verfügen.
20 Gewähren eines Microsoft Purview MSI-Kontos mit db_datareader Rolle zum Azure SQL von Datenbanken und Azure SQL Managed Instance Datenbanken Azure SQL Administrator Verwenden Sie diesen Schritt, wenn Sie Azure SQL Datenbank oder Azure SQL Managed Instance als Datenquelle verwenden. Überspringen Sie diesen Schritt, wenn Sie einen privaten Endpunkt zum Herstellen einer Verbindung mit Datenquellen verwenden.
21 Gewähren des Azure RBAC-Speicherblobdatenlesers für Synapse SQL Server für das Staging von Speicherkonten Besitzer oder Benutzerzugriffsadministrator in der Datenquelle Verwenden Sie diesen Schritt, wenn Sie Azure Synapse Analytics als Datenquellen verwenden. Überspringen Sie diesen Schritt, wenn Sie einen privaten Endpunkt zum Herstellen einer Verbindung mit Datenquellen verwenden.
22 Erteilen der Rolle "Azure RBAC-Leser" für Microsoft Purview MSI in Synapse-Arbeitsbereichsressourcen Besitzer oder Benutzerzugriffsadministrator in der Datenquelle Verwenden Sie diesen Schritt, wenn Sie Azure Synapse Analytics als Datenquellen verwenden. Überspringen Sie diesen Schritt, wenn Sie einen privaten Endpunkt zum Herstellen einer Verbindung mit Datenquellen verwenden.
23 Gewähren eines Azure Purview MSI-Kontos mit db_datareader Rolle Azure SQL Administrator Verwenden Sie diesen Schritt, wenn Sie über Azure Synapse Analytics (dedizierte SQL-Datenbanken) verfügen.
Überspringen Sie diesen Schritt, wenn Sie einen privaten Endpunkt zum Herstellen einer Verbindung mit Datenquellen verwenden.
24 Gewähren eines Microsoft Purview MSI-Kontos mit der Sysadmin-Rolle Azure SQL Administrator Verwenden Sie diesen Schritt, wenn Sie über Azure Synapse Analytics (serverlose SQL-Datenbanken) verfügen. Überspringen Sie diesen Schritt, wenn Sie einen privaten Endpunkt zum Herstellen einer Verbindung mit Datenquellen verwenden.
25 Erstellen einer App-Registrierung oder eines Dienstprinzipals in Ihrem Microsoft Entra Mandanten Microsoft Entra ID-Anwendungsadministrator Verwenden Sie diesen Schritt, wenn Sie planen, eine Überprüfung für eine Datenquelle mithilfe des Dienstprinzipals delegierter Autor durchzuführen.
26 Erstellen Sie eine Azure Key Vault und ein Geheimnis, um Die Anmeldeinformationen für die Datenquelle oder den geheimen Dienstprinzipalschlüssel zu speichern. Mitwirkender oder Key Vault Administrator Verwenden Sie diesen Schritt, wenn Sie über lokale oder VM-basierte Datenquellen verfügen (z. B. SQL Server).
Verwenden Sie in diesem Schritt private Erfassungsendpunkte , um eine Datenquelle zu überprüfen.
27 Gewähren einer Key Vault-Zugriffsrichtlinie für Microsoft Purview MSI: Geheimnis: get/list Key Vault Administrator Verwenden Sie diesen Schritt, wenn Sie über lokale / VM-basierte Datenquellen verfügen (z. B. SQL Server).
Verwenden Sie diesen Schritt, wenn Key Vault Berechtigungsmodell auf Tresorzugriffsrichtlinie festgelegt ist.
28 Erteilen Sie Key Vault RBAC-Rolle Key Vault Geheimnisbenutzer für Microsoft Purview MSI. Besitzer oder Benutzerzugriffsadministrator Verwenden Sie diesen Schritt, wenn Sie über lokale oder VM-basierte Datenquellen verfügen (z. B. SQL Server).
Verwenden Sie diesen Schritt, wenn Key Vault Berechtigungsmodell auf die rollenbasierte Zugriffssteuerung in Azure festgelegt ist.
29 Erstellen einer neuen Verbindung mit Azure Key Vault über das Microsoft Purview-Governanceportal Datenquellenadministrator Verwenden Sie diesen Schritt, wenn Sie eine der folgenden Authentifizierungsoptionen verwenden möchten, um eine Datenquelle in Microsoft Purview zu überprüfen:
  • Kontoschlüssel
  • Standardauthentifizierung
  • Delegierte Authentifizierung
  • SQL-Authentifizierung
  • Dienstprinzipal
  • Consumerschlüssel
30 Bereitstellen eines privaten Endpunkts für den Power BI-Mandanten Power BI-Administrator
Netzwerk-Mitwirkender
Verwenden Sie diesen Schritt, wenn Sie planen, einen Power BI-Mandanten als Datenquelle zu registrieren und Ihr Microsoft Purview-Konto den öffentlichen Zugriff verweigert.
Weitere Informationen finden Sie unter Konfigurieren privater Endpunkte für den Zugriff auf Power BI.
31 Stellen Sie Azure Data Factory über Azure Data Factory Portal eine Verbindung mit Microsoft Purview her. Verwalten von ->Microsoft Purview. Wählen Sie Mit einem Purview-Konto verbinden aus.
Überprüfen Sie, ob das Azure-Ressourcentag catalogUri in der Azure-ADF-Ressource vorhanden ist.
Azure Data Factory Mitwirkender/Datenkurator Verwenden Sie diesen Schritt, wenn Sie Azure Data Factory haben.
32 Überprüfen Sie, ob Sie in Ihrem Microsoft Entra Mandanten über mindestens eine erforderliche Microsoft 365-Lizenz verfügen, um Vertraulichkeitsbezeichnungen in Microsoft Purview zu verwenden. Microsoft Entra ID Global Reader Führen Sie diesen Schritt aus, wenn Sie beabsichtigen, Vertraulichkeitsbezeichnungen auf Microsoft Purview Data Map
Weitere Informationen finden Sie unter Lizenzierungsanforderungen für die Verwendung von Vertraulichkeitsbezeichnungen für Dateien und Datenbankspalten in Microsoft Purview.
33 Zustimmung "Erweitern der Bezeichnung auf Ressourcen in Microsoft Purview Data Map" Complianceadministrator
Azure Information Protection Administrator
Verwenden Sie diesen Schritt, wenn Sie Vertraulichkeitsbezeichnungen auf Ihre Daten in der Data Map erweitern möchten.
Weitere Informationen finden Sie unter Bezeichnungen im Microsoft Purview Data Map.
34 Erstellen neuer Sammlungen und Zuweisen von Rollen in Microsoft Purview Sammlungsadministrator Erstellen Sie eine Sammlung, und weisen Sie Berechtigungen in Microsoft Purview zu.
36 Steuern von Datenquellen in Microsoft Purview Datenquellenadministrator
Datenleser oder Datenkurator
Weitere Informationen finden Sie unter Unterstützte Datenquellen und Dateitypen.
35 Gewähren des Zugriffs auf Datenrollen im organization Sammlungsadministrator Bereitstellen des Zugriffs für andere Teams zur Verwendung von Microsoft Purview:
  • Datenkurator
  • Datenleser
  • Sammlungsadministrator
  • Datenquellenadministrator
  • Richtlinienautor
  • Workflowadministrator

Weitere Informationen finden Sie unter Zugriffssteuerung in Microsoft Purview.

Nächste Schritte