Private und sichere Verbindung mit Ihrem Microsoft Purview-Konto
In diesem Leitfaden erfahren Sie, wie Sie private Endpunkte für Ihr Microsoft Purview-Konto bereitstellen, damit Sie nur über VNETs und private Netzwerke eine Verbindung mit Ihrem Microsoft Purview-Konto herstellen können. Um dieses Ziel zu erreichen, müssen Sie private Konto- und Portalendpunkte für Ihr Microsoft Purview-Konto bereitstellen.
Wichtig
Derzeit können Microsoft Purview-Instanzen, die das neue Microsoft Purview-Portal verwenden, nur private Erfassungsendpunkte verwenden.
Der private Endpunkt des Microsoft Purview-Kontos wird verwendet, um eine weitere Sicherheitsebene hinzuzufügen, indem Szenarien aktiviert werden, in denen nur Clientaufrufe, die aus dem virtuellen Netzwerk stammen, auf das Microsoft Purview-Konto zugreifen dürfen. Dieser private Endpunkt ist auch eine Voraussetzung für den privaten Endpunkt des Portals.
Der private Endpunkt des Microsoft Purview-Portals ist erforderlich, um die Konnektivität mit dem Microsoft Purview-Governanceportal über ein privates Netzwerk zu ermöglichen.
Hinweis
Wenn Sie nur private Endpunkte für Konten und Portale erstellen, können Sie keine Überprüfungen ausführen. Um die Überprüfung in einem privaten Netzwerk zu aktivieren, müssen Sie auch einen privaten Erfassungsendpunkt erstellen.
Weitere Informationen zu Azure Private Link Dienst finden Sie unter Private Links und private Endpunkte, um mehr zu erfahren.
Checkliste für die Bereitstellung
In diesem Leitfaden können Sie diese privaten Endpunkte für ein vorhandenes Microsoft Purview-Konto bereitstellen:
Wählen Sie ein geeignetes virtuelles Azure-Netzwerk und ein Subnetz aus, um private Microsoft Purview-Endpunkte bereitzustellen. Wählen Sie eine der folgenden Optionen aus:
- Stellen Sie ein neues virtuelles Netzwerk in Ihrem Azure-Abonnement bereit.
- Suchen Sie ein vorhandenes virtuelles Azure-Netzwerk und ein Subnetz in Ihrem Azure-Abonnement.
Definieren Sie eine geeignete DNS-Namensauflösungsmethode, damit auf das Microsoft Purview-Konto und das Webportal über private IP-Adressen zugegriffen werden kann. Sie können eine der folgenden Optionen verwenden:
- Stellen Sie neue Azure DNS-Zonen mithilfe der schritte bereit, die weiter in diesem Leitfaden erläutert werden.
- Fügen Sie die erforderlichen DNS-Einträge zu vorhandenen Azure DNS-Zonen hinzu, indem Sie die schritte ausführen, die weiter in diesem Leitfaden erläutert werden.
- Nachdem Sie die Schritte in diesem Leitfaden ausgeführt haben, fügen Sie die erforderlichen DNS A-Einträge manuell zu Ihren vorhandenen DNS-Servern hinzu.
Stellen Sie private Endpunkte des Kontos und des Portals für ein vorhandenes Microsoft Purview-Konto bereit.
Aktivieren Sie den Zugriff auf Microsoft Entra ID, wenn für Ihr privates Netzwerk Netzwerksicherheitsgruppenregeln für den gesamten öffentlichen Internetdatenverkehr auf Verweigern festgelegt sind.
Passen Sie nach Abschluss dieses Leitfadens bei Bedarf die DNS-Konfigurationen an.
Überprüfen Sie Ihr Netzwerk und die Namensauflösung vom Verwaltungscomputer zu Microsoft Purview.
Aktivieren des privaten Endpunkts für Konto und Portal
Es gibt zwei Möglichkeiten, wie Sie ein Microsoft Purview-Konto und private Portal-Endpunkte für ein vorhandenes Microsoft Purview-Konto hinzufügen können:
- Verwenden Sie das Azure-Portal (Microsoft Purview-Konto).
- Verwenden Sie das Private Link Center.
Verwenden des Azure-Portal (Microsoft Purview-Konto)
Wechseln Sie zum Azure-Portal, und wählen Sie dann Ihr Microsoft Purview-Konto aus, und wählen Sie unter Einstellungendie Option Netzwerk und dann Private Endpunktverbindungen aus.
Wählen Sie + Privater Endpunkt aus, um einen neuen privaten Endpunkt zu erstellen.
Geben Sie die grundlegenden Informationen ein.
Wählen Sie auf der Registerkarte Ressource für Ressourcentypdie Option Microsoft.Purview/accounts aus.
Wählen Sie für Ressource das Microsoft Purview-Konto und für Zielunterressource die Option Konto aus.
Wählen Sie auf der Registerkarte Konfiguration das virtuelle Netzwerk und optional Azure Privates DNS Zone aus, um eine neue Azure DNS-Zone zu erstellen.
Hinweis
Für die DNS-Konfiguration können Sie auch Ihre vorhandenen Azure Privates DNS Zones aus der Dropdownliste verwenden oder die erforderlichen DNS-Einträge später manuell zu Ihren DNS-Servern hinzufügen. Weitere Informationen finden Sie unter Konfigurieren der DNS-Namensauflösung für private Endpunkte.
Wechseln Sie zur Zusammenfassungsseite, und wählen Sie Erstellen aus, um den privaten Endpunkt des Portals zu erstellen.
Führen Sie die gleichen Schritte aus, wenn Sie das Portal für untere Zielressource auswählen.
Verwenden des Private Link Center
Gehen Sie zum Azure-Portal.
Suchen Sie in der Suchleiste oben auf der Seite nach privatem Link, und wechseln Sie zum Bereich Private Link, indem Sie die erste Option auswählen.
Wählen Sie + Hinzufügen aus, und geben Sie die grundlegenden Details ein.
Wählen Sie unter Ressource das bereits erstellte Microsoft Purview-Konto aus. Wählen Sie unter Zielunterressource die Option Konto aus.
Wählen Sie auf der Registerkarte Konfiguration das virtuelle Netzwerk und die private DNS-Zone aus. Wechseln Sie zur Zusammenfassungsseite, und wählen Sie Erstellen aus, um den privaten Endpunkt des Kontos zu erstellen.
Hinweis
Führen Sie die gleichen Schritte aus, wenn Sie das Portal für untere Zielressource auswählen.
Aktivieren des Zugriffs auf Microsoft Entra ID
Hinweis
Wenn Ihre VM, Ihr VPN-Gateway oder VNET-Peeringgateway über öffentlichen Internetzugriff verfügt, kann es auf das Microsoft Purview-Portal und das Microsoft Purview-Konto zugreifen, das mit privaten Endpunkten aktiviert ist. Aus diesem Grund müssen Sie die restlichen Anweisungen nicht befolgen. Wenn für Ihr privates Netzwerk Netzwerksicherheitsgruppenregeln festgelegt sind, um den gesamten öffentlichen Internetdatenverkehr zu verweigern, müssen Sie einige Regeln hinzufügen, um Microsoft Entra ID Zugriff zu ermöglichen. Befolgen Sie dazu die Anweisungen.
Diese Anweisungen werden für den sicheren Zugriff auf Microsoft Purview von einer Azure-VM bereitgestellt. Ähnliche Schritte müssen ausgeführt werden, wenn Sie VPN- oder andere Peeringgateways für virtuelle Netzwerke verwenden.
Navigieren Sie im Azure-Portal zu Ihrer VM, und wählen Sie unter Einstellungendie Option Netzwerk aus. Wählen Sie dann Ausgehende Portregeln und Dann Regel für ausgehenden Port hinzufügen aus.
Gehen Sie im Bereich Sicherheitsregel für ausgehenden Datenverkehr hinzufügen wie
- Wählen Sie unter Ziel die Option Diensttag aus.
- Wählen Sie unter Zieldiensttag die Option AzureActiveDirectory aus.
- Wählen Sie unter Zielportbereiche die Option * aus.
- Wählen Sie unter Aktion die Option Zulassen aus.
- Unter Priorität sollte der Wert höher sein als die Regel, die den gesamten Internetdatenverkehr verweigert.
Erstellen Sie die Regel.
Führen Sie die gleichen Schritte aus, um eine weitere Regel zu erstellen, um das Diensttag AzureResourceManager zuzulassen. Wenn Sie auf die Azure-Portal zugreifen müssen, können Sie auch eine Regel für das Diensttag AzurePortal hinzufügen.
Stellen Sie eine Verbindung mit der VM her, und öffnen Sie den Browser. Wechseln Sie zur Browserkonsole, indem Sie STRG+UMSCHALT+J drücken, und wechseln Sie zur Registerkarte Netzwerk, um Netzwerkanforderungen zu überwachen. Geben Sie web.purview.azure.com in das Feld URL ein, und versuchen Sie, sich mit Ihren Microsoft Entra Anmeldeinformationen anzumelden. Die Anmeldung schlägt wahrscheinlich fehl, und auf der Registerkarte Netzwerk in der Konsole sehen Sie, Microsoft Entra ID versuchen, auf aadcdn.msauth.net zuzugreifen, aber blockiert wird.
Öffnen Sie in diesem Fall eine Eingabeaufforderung auf dem virtuellen Computer, pingen Sie aadcdn.msauth.net, rufen Sie die IP-Adresse ab, und fügen Sie dann in den Netzwerksicherheitsregeln des virtuellen Computers eine Regel für ausgehenden Port für die IP-Adresse hinzu. Legen Sie ziel auf IP-Adressen und Ziel-IP-Adressen auf die aadcdn-IP-Adresse fest. Aufgrund von Azure Load Balancer und Azure Traffic Manager kann die IP-Adresse des Microsoft Entra Content Delivery Network dynamisch sein. Nachdem Sie die IP-Adresse erhalten haben, ist es besser, sie der Hostdatei des virtuellen Computers hinzuzufügen, um zu erzwingen, dass der Browser diese IP-Adresse besucht, um das Microsoft Entra Content Delivery Network abzurufen.
Nachdem die neue Regel erstellt wurde, wechseln Sie zurück zum virtuellen Computer, und versuchen Sie erneut, sich mit Ihren Microsoft Entra Anmeldeinformationen anzumelden. Wenn die Anmeldung erfolgreich ist, kann das Microsoft Purview-Portal verwendet werden. In einigen Fällen werden Microsoft Entra ID jedoch auf andere Domänen umgeleitet, um sich basierend auf dem Kontotyp eines Kunden anzumelden. Für ein live.com-Konto leitet Microsoft Entra ID beispielsweise an live.com um, um sich anzumelden, und diese Anforderungen werden dann erneut blockiert. Bei Microsoft-Mitarbeiterkonten greift Microsoft Entra ID auf msft.sts.microsoft.com für Anmeldeinformationen zu.
Überprüfen Sie die Netzwerkanforderungen auf der Registerkarte Netzwerk im Browser, um zu sehen, welche Anforderungen der Domäne blockiert werden, wiederholen Sie den vorherigen Schritt, um die IP-Adresse abzurufen, und fügen Sie regeln für ausgehenden Port in der Netzwerksicherheitsgruppe hinzu, um Anforderungen für diese IP-Adresse zuzulassen. Fügen Sie nach Möglichkeit die URL und die IP-Adresse zur Hostdatei des virtuellen Computers hinzu, um die DNS-Auflösung zu korrigieren. Wenn Sie die genauen IP-Adressbereiche der Anmeldedomäne kennen, können Sie diese auch direkt zu Netzwerkregeln hinzufügen.
Nun sollte ihre Microsoft Entra Anmeldung erfolgreich sein. Das Microsoft Purview-Portal wird erfolgreich geladen, aber das Auflisten aller Microsoft Purview-Konten funktioniert nicht, da es nur auf ein bestimmtes Microsoft Purview-Konto zugreifen kann. Geben Sie ein
web.purview.azure.com/resource/{PurviewAccountName}
, um direkt das Microsoft Purview-Konto zu besuchen, für das Sie erfolgreich einen privaten Endpunkt eingerichtet haben.