Freigeben über


Verwenden eines verwalteten VNET mit Ihrem Microsoft Purview-Konto

Wichtig

Derzeit sind verwaltete Virtual Network und verwaltete private Endpunkte für Microsoft Purview-Konten verfügbar, die in den folgenden Regionen bereitgestellt werden:

  • Australien (Osten)
  • Kanada, Mitte
  • USA (Osten)
  • USA (Osten) 2
  • Nordeuropa
  • Westeuropa

Konzeptuelle Übersicht

In diesem Artikel wird beschrieben, wie Sie verwaltete Virtual Network und verwaltete private Endpunkte für Microsoft Purview konfigurieren.

Unterstützte Regionen

Derzeit sind verwaltete Virtual Network und verwaltete private Endpunkte für Microsoft Purview-Konten verfügbar, die in den folgenden Regionen bereitgestellt werden:

  • Australien (Osten)
  • Kanada, Mitte
  • USA (Osten)
  • USA (Osten) 2
  • Nordeuropa
  • Westeuropa

Unterstützte Datenquellen

Derzeit werden die folgenden Datenquellen für einen verwalteten privaten Endpunkt unterstützt und können mithilfe der verwalteten VNET-Runtime in Microsoft Purview überprüft werden:

  • Azure Blob Storage
  • Azure Cosmos DB
  • Azure Data Lake Storage Gen 2
  • Azure Database for MySQL
  • Azure Database for PostgreSQL
  • Dedizierter Azure SQL-Pool (früher SQL DW)
  • Azure Files
  • Azure SQL-Datenbank
  • Azure SQL Managed Instance
  • Azure Synapse Analytics

Darüber hinaus können Sie verwaltete private Endpunkte für Ihre Azure Key Vault-Ressourcen bereitstellen, wenn Sie Überprüfungen mit Authentifizierungsoptionen anstelle von verwalteten Identitäten wie SQL-Authentifizierung oder Kontoschlüssel ausführen müssen.

Verwaltete Virtual Network

Eine verwaltete Virtual Network in Microsoft Purview ist ein virtuelles Netzwerk, das von Azure in derselben Region wie das Microsoft Purview-Konto bereitgestellt und verwaltet wird, um das Überprüfen von Azure-Datenquellen in einem verwalteten Netzwerk zu ermöglichen, ohne dass vom Kunden in Azure selbstgehostete Integration Runtime-Computer bereitgestellt und verwaltet werden müssen.

Architektur von Microsoft Purview Managed Virtual Network

Sie können eine verwaltete Azure-Integration Runtime in einem von Microsoft Purview verwalteten Virtual Network bereitstellen. Von dort aus verwendet die verwaltete VNET-Runtime private Endpunkte, um eine sichere Verbindung mit unterstützten Datenquellen herzustellen und diese zu überprüfen.

Durch das Erstellen einer verwalteten VNET-Runtime in managed Virtual Network wird sichergestellt, dass der Datenintegrationsprozess isoliert und sicher ist.

Vorteile der Verwendung von Managed Virtual Network:

  • Mit einem verwalteten Virtual Network können Sie den Aufwand für die Verwaltung der Virtual Network auf Microsoft Purview ablagern. Sie müssen keine VNETs oder Subnetze für Azure Integration Runtime erstellen und verwalten, die zum Überprüfen von Azure-Datenquellen verwendet werden können.
  • Es sind keine umfassenden Azure-Netzwerkkenntnisse erforderlich, um Datenintegrationen sicher durchführen zu können. Die Verwendung eines verwalteten Virtual Network ist für Datentechniker wesentlich vereinfacht.
  • Verwaltete Virtual Network und verwaltete private Endpunkte schützen vor Datenexfiltration.

Wichtig

Derzeit wird die verwaltete Virtual Network nur in derselben Region wie die Microsoft Purview-Kontoregion unterstützt.

Hinweis

Sie können eine globale Azure Integration Runtime oder selbstgehostete Integration Runtime nicht auf eine verwaltete VNET-Runtime umstellen und umgekehrt.

Ein verwaltetes VNET wird für Ihr Microsoft Purview-Konto erstellt, wenn Sie zum ersten Mal eine verwaltete VNET-Runtime in Ihrem Microsoft Purview-Konto erstellen. Sie können die verwalteten VNETs nicht anzeigen oder verwalten.

Verwaltete private Endpunkte

Verwaltete private Endpunkte sind private Endpunkte, die im von Microsoft Purview verwalteten Virtual Network erstellt werden, um eine private Verbindung mit Microsoft Purview- und Azure-Ressourcen herzustellen. Microsoft Purview verwaltet diese privaten Endpunkte in Ihrem Namen.

Verwalteter privater Endpunkt von Microsoft Purview

Microsoft Purview unterstützt private Links. Private Link ermöglicht Ihnen den Zugriff auf Azure-Dienste (PaaS) (z. B. Azure Storage, Azure Cosmos DB Azure Synapse Analytics).

Wenn Sie eine private Verbindung verwenden, wird der Datenverkehr zwischen Ihren Datenquellen und der verwalteten Virtual Network vollständig über das Microsoft-Backbonenetzwerk geleitet. Private Link schützt vor Risiken der Datenexfiltration. Sie richten eine private Verbindung mit einer Ressource ein, indem Sie einen privaten Endpunkt erstellen.

Der private Endpunkt verwendet eine private IP-Adresse im verwalteten Virtual Network, um den Dienst effektiv darin zu integrieren. Private Endpunkte werden einer bestimmten Ressource in Azure und nicht dem gesamten Dienst zugeordnet. Kunden können die Konnektivität auf eine bestimmte Ressource beschränken, die von ihren organization genehmigt wurde. Erfahren Sie mehr über private Links und private Endpunkte.

Hinweis

Um den Verwaltungsaufwand zu reduzieren, wird empfohlen, verwaltete private Endpunkte zu erstellen, um alle unterstützten Azure-Datenquellen zu überprüfen.

Warnung

Wenn ein Azure PaaS-Datenspeicher (Blob, Azure Data Lake Storage Gen2, Azure Synapse Analytics) bereits einen privaten Endpunkt für ihn erstellt hat und selbst wenn er den Zugriff aus allen Netzwerken zulässt, kann Microsoft Purview nur über einen verwalteten privaten Endpunkt darauf zugreifen. Wenn noch kein privater Endpunkt vorhanden ist, müssen Sie in solchen Szenarien einen erstellen.

Eine private Endpunktverbindung wird im Zustand "Ausstehend" erstellt, wenn Sie einen verwalteten privaten Endpunkt in Microsoft Purview erstellen. Ein Genehmigungsworkflow wird initiiert. Der Private Link-Ressourcenbesitzer ist dafür verantwortlich, die Verbindung zu genehmigen oder abzulehnen.

Genehmigung für verwaltete private Endpunkte

Wenn der Besitzer die Verbindung genehmigt, wird die private Verbindung hergestellt. Andernfalls wird die private Verbindung nicht hergestellt. In beiden Fällen wird der verwaltete private Endpunkt mit dem status der Verbindung aktualisiert.

Genehmigen eines verwalteten privaten Endpunkts

Nur ein verwalteter privater Endpunkt im genehmigten Zustand kann Datenverkehr an eine bestimmte Private Link-Ressource senden.

Interaktive Erstellung

Interaktive Erstellungsfunktionen werden für Funktionen wie Testen der Verbindung, Durchsuchen der Ordnerliste und Tabellenliste, Abrufen von Schemas und Vorschaudaten verwendet. Sie können die interaktive Erstellung aktivieren, wenn Sie eine Azure-Integration Runtime erstellen oder bearbeiten, die sich in Purview-Managed Virtual Network befindet. Der Back-End-Dienst ordnet Computefunktionen vorab für interaktive Erstellungsfunktionen zu. Andernfalls wird das Compute jedes Mal zugeordnet, wenn ein interaktiver Vorgang ausgeführt wird, der mehr Zeit in Anspruch nimmt. Die Gültigkeitsdauer (TTL) für die interaktive Erstellung beträgt 60 Minuten, was bedeutet, dass sie nach 60 Minuten des letzten interaktiven Erstellungsvorgangs automatisch deaktiviert wird.

Interaktive Erstellung

Bereitstellungsschritte

Voraussetzungen

Stellen Sie vor dem Bereitstellen eines verwalteten VNET und einer verwalteten VNET-Runtime für ein Microsoft Purview-Konto sicher, dass die folgenden Voraussetzungen erfüllt sind:

  1. Ein Microsoft Purview-Konto, das in einer der unterstützten Regionen bereitgestellt wird.
  2. Über Microsoft Purview-Rollen müssen Sie datenkurator auf Stammsammlungsebene in Ihrem Microsoft Purview-Konto sein.
  3. Über Azure RBAC-Rollen müssen Sie über das Microsoft Purview-Konto und die Datenquelle Mitwirkender werden, um private Links zu genehmigen.

Bereitstellen von verwalteten VNET-Runtimes

Hinweis

Im folgenden Leitfaden wird gezeigt, wie Sie eine Azure Data Lake Storage Gen 2 mithilfe der verwalteten VNET-Runtime registrieren und überprüfen.

  1. Öffnen Sie das Microsoft Purview-Governanceportal wie folgt:

    Screenshot: Microsoft Purview-Konto

  2. Navigieren Sie zu Data Map -> Integration Runtimes.

    Screenshot mit Microsoft Purview Data Map Menüs

  3. Wählen Sie auf der Seite Integration Runtimesdie Option + Neues Symbol aus, um eine neue Runtime zu erstellen. Wählen Sie Azure und dann Weiter aus.

    Screenshot: Erstellen einer neuen Azure-Runtime

  4. Geben Sie einen Namen für Ihre verwaltete VNET-Runtime an, wählen Sie die Region aus, und konfigurieren Sie die interaktive Erstellung. Wählen Sie Erstellen aus.

    Screenshot: Erstellen einer verwalteten VNET-Runtime

  5. Durch die erstmalige Bereitstellung der verwalteten VNET-Runtime werden mehrere Workflows im Microsoft Purview-Governanceportal zum Erstellen verwalteter privater Endpunkte für Microsoft Purview und das zugehörige verwaltete Speicherkonto ausgelöst. Wählen Sie für jeden Workflow aus, um den privaten Endpunkt für die entsprechende Azure-Ressource zu genehmigen.

    Screenshot: Bereitstellung einer verwalteten VNET-Runtime

  6. Genehmigen Sie Azure-Portal im Ressourcenfenster Ihres Microsoft Purview-Kontos den verwalteten privaten Endpunkt. Genehmigen Sie auf der Seite Verwaltetes Speicherkonto die verwalteten privaten Endpunkte für Blob- und Warteschlangendienste:

    Screenshot: Genehmigen eines verwalteten privaten Endpunkts für Microsoft Purview

    Screenshot: Genehmigen eines verwalteten privaten Endpunkts für Microsoft Purview – genehmigt

    Screenshot: Genehmigen eines verwalteten privaten Endpunkts für ein verwaltetes Speicherkonto

    Screenshot: Genehmigen eines verwalteten privaten Endpunkts für ein verwaltetes Speicherkonto – genehmigt

  7. Wählen Sie unter Verwaltung die Option Verwalteter privater Endpunkt aus, um zu überprüfen, ob alle verwalteten privaten Endpunkte erfolgreich bereitgestellt und genehmigt wurden. Alle privaten Endpunkte werden genehmigt.

    Screenshot: Verwaltete private Endpunkte in Microsoft Purview

    Screenshot: Verwaltete private Endpunkte in Microsoft Purview – genehmigt

Bereitstellen verwalteter privater Endpunkte für Datenquellen

Sie können verwaltete private Endpunkte verwenden, um Ihre Datenquellen zu verbinden, um die Datensicherheit während der Übertragung sicherzustellen. Wenn Ihre Datenquelle den öffentlichen Zugriff zulässt und Sie eine Verbindung über ein öffentliches Netzwerk herstellen möchten, können Sie diesen Schritt überspringen. Die Scanausführung kann ausgeführt werden, solange die Integration Runtime eine Verbindung mit Ihrer Datenquelle herstellen kann.

Führen Sie die folgenden Schritte aus, um einen verwalteten privaten Endpunkt für eine Datenquelle bereitzustellen und zu genehmigen:

  1. Navigieren Sie zu Verwaltung, und wählen Sie Verwaltete private Endpunkte aus.

  2. Wählen Sie + Neu aus.

  3. Wählen Sie in der Liste der unterstützten Datenquellen den Typ aus, der der Datenquelle entspricht, die Sie mithilfe der verwalteten VNET-Runtime überprüfen möchten.

    Screenshot: Erstellen eines verwalteten privaten Endpunkts für Datenquellen

  4. Geben Sie einen Namen für den verwalteten privaten Endpunkt an, und wählen Sie in den Dropdownlisten das Azure-Abonnement und die Datenquelle aus. Wählen Sie Erstellen aus.

    Screenshot: Auswählen der Datenquelle zum Festlegen eines verwalteten privaten Endpunkts

  5. Wählen Sie in der Liste der verwalteten privaten Endpunkte den neu erstellten verwalteten privaten Endpunkt für Ihre Datenquelle und dann Genehmigungen verwalten im Azure-Portal aus, um den privaten Endpunkt in Azure-Portal zu genehmigen.

    Screenshot: Genehmigung für verwaltete private Endpunkte für Datenquellen

  6. Wenn Sie auf den Link klicken, werden Sie zu Azure-Portal weitergeleitet. Wählen Sie unter Verbindung mit privaten Endpunkten den neu erstellten privaten Endpunkt und dann genehmigen aus.

    Screenshot: Genehmigen eines privaten Endpunkts für Datenquellen in Azure-Portal

    Screenshot: Genehmigter privater Endpunkt für Datenquellen in Azure-Portal

  7. Im Microsoft Purview-Governanceportal muss auch der verwaltete private Endpunkt als genehmigt angezeigt werden.

    Screenshot: Verwaltete private Endpunkte einschließlich Datenquellen im Purview-Governanceportal

Registrieren und Überprüfen einer Datenquelle mithilfe der verwalteten VNET-Runtime

Datenquelle registrieren

Es ist wichtig, die Datenquelle in Microsoft Purview zu registrieren, bevor Sie eine Überprüfung für die Datenquelle einrichten. Führen Sie die folgenden Schritte aus, um die Datenquelle zu registrieren, wenn Sie sie noch nicht registriert haben.

  1. Wechseln Sie zu Ihrem Microsoft Purview-Konto.

  2. Wählen Sie im linken Menü Data Map aus.

  3. Wählen Sie Registrieren aus.

  4. Wählen Sie unter Quellen registrieren Ihre Datenquelle aus.

  5. Wählen Sie Weiter.

  6. Gehen Sie auf dem Bildschirm Quellen registrieren wie folgt vor:

    1. Geben Sie im Feld Name einen Namen ein, mit dem die Datenquelle im Katalog aufgeführt wird.
    2. Wählen Sie im Dropdownlistenfeld Abonnement ein Abonnement aus.
    3. Wählen Sie im Feld Sammlung auswählen eine Sammlung aus.
    4. Wählen Sie Registrieren aus, um die Datenquellen zu registrieren.

Weitere Informationen finden Sie unter Verwalten von Datenquellen in Microsoft Purview.

Datenquelle überprüfen

Sie können eine der folgenden Optionen verwenden, um Datenquellen mit microsoft Purview Managed VNet Runtime zu überprüfen:

  • Verwenden einer verwalteten Identität (empfohlen): Sobald das Microsoft Purview-Konto erstellt wird, wird automatisch eine systemseitig zugewiesene verwaltete Identität (SAMI) im Azure AD-Mandanten erstellt. Abhängig vom Ressourcentyp sind bestimmte RBAC-Rollenzuweisungen erforderlich, damit die systemseitig zugewiesene verwaltete Identität (SAMI) von Microsoft Purview die Überprüfungen durchführen kann.

  • Verwenden anderer Authentifizierungsoptionen:

    • Kontoschlüssel oder SQL-Authentifizierung: Geheimnisse können in einem Azure-Key Vault erstellt werden, um Anmeldeinformationen zu speichern, um den Zugriff für Microsoft Purview zum sicheren Überprüfen von Datenquellen mithilfe der Geheimnisse zu ermöglichen. Ein Geheimnis kann ein Speicherkontoschlüssel, ein SQL-Anmeldekennwort oder ein Kennwort sein.

    • Dienstprinzipal: Bei dieser Methode können Sie einen neuen Dienstprinzipal erstellen oder einen vorhandenen Dienstprinzipal in Ihrem Azure Active Directory-Mandanten verwenden.

Überprüfen mithilfe einer verwalteten Identität

Führen Sie die folgenden Schritte aus, um eine Datenquelle mithilfe einer verwalteten VNET-Runtime und einer verwalteten Microsoft Purview-Identität zu überprüfen:

  1. Wählen Sie im linken Bereich des Microsoft Purview-Governanceportals die Registerkarte Data Map aus.

  2. Wählen Sie die datenquelle aus, die Sie registriert haben.

  3. Wählen Sie Details> anzeigen + Neuer Scan aus, oder verwenden Sie das Schnellaktionssymbol Scan auf der Quellkachel.

  4. Geben Sie einen Namen für die Überprüfung an.

  5. Wählen Sie unter Verbinden über Integration Runtime die neu erstellte verwaltete VNET-Runtime aus.

  6. Wählen Sie unter Anmeldeinformationen Wählen Sie die verwaltete Identität aus, wählen Sie die entsprechende Sammlung für die Überprüfung aus, und wählen Sie Verbindung testen aus. Wählen Sie bei erfolgreicher Verbindung Weiter aus.

    Screenshot: Erstellen einer neuen Überprüfung mithilfe eines verwalteten VNET

  7. Führen Sie die Schritte aus, um die entsprechende Überprüfungsregel und den Bereich für Ihre Überprüfung auszuwählen.

  8. Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.

  9. Überprüfen Sie Ihre Überprüfung, und wählen Sie Speichern und ausführen aus.

    Überprüfung überprüfen

Überprüfung mit anderen Authentifizierungsoptionen

Sie können auch andere unterstützte Optionen verwenden, um Datenquellen mithilfe von Microsoft Purview Managed Runtime zu überprüfen. Dazu muss eine private Verbindung mit Azure Key Vault eingerichtet werden, in der das Geheimnis gespeichert ist.

Führen Sie die folgenden Schritte aus, um eine Überprüfung mithilfe des Kontoschlüssels oder der SQL-Authentifizierung einzurichten:

  1. Gewähren Sie Microsoft Purview Zugriff auf Ihre Azure Key Vault.

  2. Erstellen Sie neue Anmeldeinformationen in Microsoft Purview.

  3. Navigieren Sie zu Verwaltung, und wählen Sie Verwaltete private Endpunkte aus.

  4. Wählen Sie + Neu aus.

  5. Wählen Sie in der Liste der unterstützten Datenquellen Key Vault aus.

    Screenshot: Erstellen eines verwalteten privaten Endpunkts für Azure Key Vault

  6. Geben Sie einen Namen für den verwalteten privaten Endpunkt an, und wählen Sie in den Dropdownlisten das Azure-Abonnement und die Azure-Key Vault aus. Wählen Sie Erstellen aus.

    Screenshot: Erstellen eines verwalteten privaten Endpunkts für Azure Key Vault im Microsoft Purview-Governanceportal

  7. Wählen Sie in der Liste der verwalteten privaten Endpunkte den neu erstellten verwalteten privaten Endpunkt für Ihre Azure-Key Vault aus, und wählen Sie dann genehmigungen verwalten im Azure-Portal aus, um den privaten Endpunkt in Azure-Portal zu genehmigen.

    Screenshot: Genehmigen eines verwalteten privaten Endpunkts für Azure Key Vault

  8. Wenn Sie auf den Link klicken, werden Sie zu Azure-Portal weitergeleitet. Wählen Sie unter Verbindung mit privaten Endpunkten den neu erstellten privaten Endpunkt für Ihre Azure-Key Vault und dann genehmigen aus.

    Screenshot: Genehmigen eines privaten Endpunkts für einen Azure-Key Vault in Azure-Portal

    Screenshot: Genehmigter privater Endpunkt für Azure Key Vault in Azure-Portal

  9. Im Microsoft Purview-Governanceportal muss auch der verwaltete private Endpunkt als genehmigt angezeigt werden.

    Screenshot: Verwaltete private Endpunkte einschließlich Azure Key Vault im Purview-Governanceportal

  10. Wählen Sie im linken Bereich des Microsoft Purview-Governanceportals die Registerkarte Data Map aus.

  11. Wählen Sie die datenquelle aus, die Sie registriert haben.

  12. Wählen Sie Details> anzeigen + Neuer Scan aus, oder verwenden Sie das Schnellaktionssymbol Scan auf der Quellkachel.

  13. Geben Sie einen Namen für die Überprüfung an.

  14. Wählen Sie unter Verbinden über Integration Runtime die neu erstellte verwaltete VNET-Runtime aus.

  15. Wählen Sie unter Anmeldeinformationen Wählen Sie die zuvor registrierten Anmeldeinformationen aus, wählen Sie die entsprechende Sammlung für die Überprüfung aus, und wählen Sie Verbindung testen aus. Wählen Sie bei erfolgreicher Verbindung Weiter aus.

    Screenshot: Erstellen einer neuen Überprüfung mithilfe eines verwalteten VNET und eines SPN

  16. Führen Sie die Schritte aus, um die entsprechende Überprüfungsregel und den Bereich für Ihre Überprüfung auszuwählen.

  17. Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.

  18. Überprüfen Sie Ihre Überprüfung, und wählen Sie Speichern und ausführen aus.

    Überprüfen der Überprüfung mithilfe des SPN

Nächste Schritte