Freigeben über

Häufig gestellte Fragen zu privaten Microsoft Purview-Endpunkten und verwalteten VNETs

  • Artikel

In diesem Artikel werden häufig gestellte Fragen beantwortet, die Kunden und Außendienstteams häufig zu Microsoft Purview-Netzwerkkonfigurationen mit Azure Private Link oder verwalteten Microsoft Purview-VNeTs stellen. Es soll Fragen zu Microsoft Purview-Firewalleinstellungen, privaten Endpunkten, DNS-Konfiguration und verwandten Konfigurationen klären.

Informationen zum Einrichten von Microsoft Purview mithilfe von Private Link finden Sie unter Verwenden privater Endpunkte für Ihr Microsoft Purview-Konto. Informationen zum Konfigurieren verwalteter VNETs für ein Microsoft Purview-Konto finden Sie unter Verwenden eines verwalteten virtuellen Netzwerks mit Ihrem Microsoft Purview-Konto.

Wann sollte ich eine selbstgehostete Integration Runtime, eine verwaltete virtuelle Netzwerk-IR oder eine Azure IR verwenden?

Weitere Informationen finden Sie unter Auswählen der richtigen Integration Runtime-Konfiguration für Ihr Szenario.

Kann ich sowohl die selbstgehostete Integration Runtime als auch die IR für verwaltete virtuelle Netzwerke in einem Microsoft Purview-Konto verwenden?

Ja. Sie können eine oder alle Laufzeitoptionen in einem einzelnen Microsoft Purview-Konto verwenden: Azure IR, Ir für verwaltetes virtuelles Netzwerk und selbstgehostete Integration Runtime. Sie können nur eine Laufzeitoption in einer einzelnen Überprüfung verwenden.

Was ist der Zweck der Bereitstellung des privaten Endpunkts des Microsoft Purview-Kontos?

Der private Endpunkt des Microsoft Purview-Kontos wird verwendet, um eine weitere Sicherheitsebene hinzuzufügen, indem Szenarien aktiviert werden, in denen nur Clientaufrufe, die aus dem virtuellen Netzwerk stammen, auf das Konto zugreifen dürfen. Dieser private Endpunkt ist auch eine Voraussetzung für den privaten Endpunkt des Portals.

Was ist der Zweck der Bereitstellung des privaten Endpunkts des Microsoft Purview-Portals?

Der private Endpunkt des Microsoft Purview-Portals stellt private Konnektivität mit dem Microsoft Purview-Governanceportal bereit.

Was ist der Zweck der Bereitstellung der privaten Microsoft Purview-Erfassungsendpunkte?

Microsoft Purview kann Datenquellen in Azure oder einer lokalen Umgebung mithilfe privater Erfassungsendpunkte überprüfen. Drei weitere private Endpunktressourcen werden bereitgestellt und mit von Microsoft Purview verwalteten oder konfigurierten Ressourcen verknüpft, wenn private Erfassungsendpunkte erstellt werden:

  • Wenn Sie einen verwalteten Event Hubs für Kafka-Benachrichtigungen verwenden, ist der Namespace mit einem von Microsoft Purview konfigurierten Event Hubs-Namespace verknüpft.
  • Wenn Ihr Konto vor dem 15. Dezember 2023 erstellt wurde:
    • Das Blob ist mit einem verwalteten Microsoft Purview-Speicherkonto verknüpft.
    • Die Warteschlange ist mit einem verwalteten Microsoft Purview-Speicherkonto verknüpft.
  • Wenn Ihr Konto nach dem 15. Dezember 2023 erstellt wurde (oder mit der API-Version 2023-05-01-preview bereitgestellt wurde):
    • Das Blob ist mit einem Microsoft Purview-Erfassungsspeicher verknüpft.
    • Die Warteschlange ist mit einem Microsoft Purview-Erfassungsspeicher verknüpft.

Kann ich eine Datenquelle über einen öffentlichen Endpunkt überprüfen, wenn ein privater Endpunkt in meinem Microsoft Purview-Konto aktiviert ist?

Ja. Datenquellen, die nicht über einen privaten Endpunkt verbunden sind, können mithilfe eines öffentlichen Endpunkts überprüft werden, während Microsoft Purview für die Verwendung eines privaten Endpunkts konfiguriert ist.

Kann ich eine Datenquelle über einen Dienstendpunkt überprüfen, wenn ein privater Endpunkt aktiviert ist?

Ja. Datenquellen, die nicht über einen privaten Endpunkt verbunden sind, können mithilfe eines Dienstendpunkts überprüft werden, während Microsoft Purview für die Verwendung eines privaten Endpunkts konfiguriert ist. Weitere Informationen finden Sie unter Auswählen der richtigen Integration Runtime-Konfiguration für Ihr Szenario.

Kann ich über ein öffentliches Netzwerk auf das Microsoft Purview-Governanceportal zugreifen, wenn der Zugriff auf öffentliches Netzwerk im Microsoft Purview-Kontonetzwerk auf Verweigern festgelegt ist?

Nein Wenn Sie von einem öffentlichen Endpunkt aus eine Verbindung mit Microsoft Purview herstellen, bei der Öffentlicher Netzwerkzugriff auf Verweigern festgelegt ist, wird die folgende Fehlermeldung angezeigt:

"Nicht autorisiert für den Zugriff auf dieses Microsoft Purview-Konto. Dieses Microsoft Purview-Konto befindet sich hinter einem privaten Endpunkt. Greifen Sie auf das Konto von einem Client im selben virtuellen Netzwerk (virtuelles Netzwerk) zu, das für den privaten Endpunkt des Microsoft Purview-Kontos konfiguriert wurde."

Verwenden Sie in diesem Fall zum Öffnen des Microsoft Purview-Governanceportals entweder einen Computer, der im selben virtuellen Netzwerk wie der private Endpunkt des Microsoft Purview-Portals bereitgestellt wird, oder einen virtuellen Computer, der mit Ihrem CorpNet verbunden ist, in dem Hybridkonnektivität zulässig ist.

Ist es möglich, den Zugriff auf das verwaltete Microsoft Purview-Speicherkonto oder das Erfassungsspeicherkonto und den Event Hubs-Namespace (nur für die Erfassung privater Endpunkte) einzuschränken, aber den Portalzugriff für Benutzer über das Web aktiviert zu lassen?

Hinweis

Ihr Konto verfügt nur über ein verwaltetes Speicherkonto, wenn es vor dem 15. Dezember 2023 erstellt wurde (oder mit einer API-Version vor 2023-05-01-preview bereitgestellt wurde). Ihrem Konto ist nur ein Event Hubs-Namespace zugeordnet, wenn er für Kafka-Benachrichtigungen konfiguriert oder vor dem 15. Dezember 2022 erstellt wurde.

Ja. Sie können die Microsoft Purview-Firewalleinstellung auf Deaktiviert für die Erfassung (Vorschau) konfigurieren. Wenn Sie diese Option auswählen, ist der Zugriff auf Ihr Microsoft Purview-Konto über die API und das Microsoft Purview-Governanceportal zulässig, der Zugriff auf öffentliche Netzwerke ist jedoch für das verwaltete Speicherkonto Ihres Microsoft Purview-Kontos auf deaktiviert festgelegt. Sie müssen auch bestätigen, dass Ihre Event Hubs-Netzwerkeinstellungen die Kommunikation zulassen.

Wenn der Zugriff über öffentliches Netzwerk auf Zulassen festgelegt ist, bedeutet dies, dass auf das verwaltete Speicherkonto oder das Speicherkonto für die Erfassung und den Event Hubs-Namespace von jedem Benutzer zugegriffen werden kann?

Hinweis

Ihr Konto verfügt nur über ein verwaltetes Speicherkonto, wenn es vor dem 15. Dezember 2023 erstellt wurde (oder mit einer API-Version vor 2023-05-01-preview bereitgestellt wurde). Ihrem Konto ist nur ein Event Hubs-Namespace zugeordnet, wenn er für Kafka-Benachrichtigungen konfiguriert oder vor dem 15. Dezember 2022 erstellt wurde.

Nein Als geschützte Ressourcen ist der Zugriff auf das verwaltete Microsoft Purview-Speicherkonto und alle Event Hubs-Namespaces auf Microsoft Purview beschränkt, nur mit RBAC-Authentifizierungsschemas. Diese Ressourcen werden mit einer Ablehnungszuweisung für alle Prinzipale bereitgestellt, die verhindert, dass Anwendungen, Benutzer oder Gruppen Zugriff auf sie erhalten.

Weitere Informationen zur Azure-Ablehnungszuweisung finden Sie unter Grundlegendes zu Azure-Ablehnungszuweisungen.

Welche privaten DNS-Zonen sind für Microsoft Purview für einen privaten Endpunkt erforderlich?

Für private Endpunkte für Microsoft Purview-Konten, -Portal und -Plattform :

  • privatelink.purview.azure.com – für das klassische Microsoft Purview-Governanceportal.
  • privatelink.purview-service.microsoft.com – für das Microsoft Purview-Portal.

Für private Microsoft Purview-Erfassungsendpunkte :

  • privatelink.blob.core.windows.net
  • privatelink.queue.core.windows.net
  • privatelink.servicebus.windows.net

Muss ich ein dediziertes virtuelles Netzwerk und ein dediziertes Subnetz verwenden, wenn ich private Microsoft Purview-Endpunkte bereitfüge?

Nein Muss jedoch im Zielsubnetz deaktiviert werden, PrivateEndpointNetworkPolicies bevor Sie die privaten Endpunkte bereitstellen. Erwägen Sie die Bereitstellung von Microsoft Purview in einem virtuellen Netzwerk, das über Netzwerkkonnektivität mit virtuellen Datenquellennetzwerken über Peering virtueller Netzwerke und Zugriff auf ein lokales Netzwerk verfügt, wenn Sie beabsichtigen, Datenquellen standortübergreifend zu überprüfen.

Weitere Informationen finden Sie unter Deaktivieren von Netzwerkrichtlinien für private Endpunkte.

Kann ich private Microsoft Purview-Endpunkte bereitstellen und vorhandene private DNS-Zonen in meinem Abonnement verwenden, um die A-Einträge zu registrieren?

Ja. Die DNS-Zonen Ihres privaten Endpunkts können in einem Hub- oder Datenverwaltungsabonnement für alle internen DNS-Zonen zentralisiert werden, die für Microsoft Purview und alle Datenquelleneinträge erforderlich sind. Wir empfehlen diese Methode, damit Microsoft Purview Datenquellen mithilfe der internen IP-Adressen des privaten Endpunkts auflösen kann.

Außerdem müssen Sie eine virtuelle Netzwerkverbindung für virtuelle Netzwerke für die vorhandene private DNS-Zone einrichten.

Welche Ausgehenden Ports und Firewallanforderungen gelten für virtuelle Computer mit selbstgehostetem Integration Runtime für Microsoft Purview, wenn Sie einen privaten Endpunkt verwenden?

Die virtuellen Computer, auf denen die selbstgehostete Integration Runtime bereitgestellt wird, müssen über ausgehenden Zugriff auf Azure-Endpunkte und eine private Microsoft Purview-IP-Adresse über Port 443 verfügen.

Muss ich ausgehenden Internetzugriff von dem virtuellen Computer aus aktivieren, auf dem die selbstgehostete Integration Runtime ausgeführt wird, wenn ein privater Endpunkt aktiviert ist?

Nein Es wird jedoch erwartet, dass der virtuelle Computer, auf dem die selbstgehostete Integration Runtime ausgeführt wird, über eine interne IP-Adresse über Port 443 eine Verbindung mit Ihrem instance von Microsoft Purview herstellen kann. Verwenden Sie gängige Tools zur Problembehandlung für Namensauflösung und Konnektivitätstests, z. B. nslookup.exe und Test-NetConnection.

Muss ich weiterhin private Endpunkte für mein Microsoft Purview-Konto bereitstellen, wenn ich ein verwaltetes virtuelles Netzwerk verwende?

Wenn der öffentliche Zugriff im Microsoft Purview-Konto auf Verweigern festgelegt ist, sind mindestens ein Konto und ein privates Portal erforderlich. Mindestens ein Konto, ein Portal und ein privater Erfassungsendpunkt sind erforderlich, wenn der öffentliche Zugriff im Microsoft Purview-Konto auf Verweigern festgelegt ist und Sie planen, weitere Datenquellen mithilfe einer selbstgehosteten Integration Runtime zu überprüfen.

Welche eingehende und ausgehende Kommunikation ist über einen öffentlichen Endpunkt für verwaltete Microsoft Purview-VNETs zulässig?

Es ist keine eingehende Kommunikation in ein verwaltetes virtuelles Netzwerk aus einem öffentlichen Netzwerk zulässig. Alle Ports werden für die ausgehende Kommunikation geöffnet. In Microsoft Purview kann ein verwaltetes virtuelles Netzwerk verwendet werden, um eine private Verbindung mit Azure-Datenquellen herzustellen, um während der Überprüfung Metadaten zu extrahieren.

Warum erhalte ich die folgende Fehlermeldung, wenn ich versuche, das Microsoft Purview-Governanceportal von meinem Computer aus zu starten?

"Dieses Microsoft Purview-Konto befindet sich hinter einem privaten Endpunkt. Greifen Sie auf das Konto von einem Client im selben virtuellen Netzwerk (virtuelles Netzwerk) zu, das für den privaten Endpunkt des Microsoft Purview-Kontos konfiguriert wurde."

Wahrscheinlich wird Ihr Microsoft Purview-Konto mithilfe von Private Link bereitgestellt, und der öffentliche Zugriff ist für Ihr Microsoft Purview-Konto deaktiviert. Daher müssen Sie das Microsoft Purview-Governanceportal von einem virtuellen Computer aus durchsuchen, der über interne Netzwerkkonnektivität mit Microsoft Purview verfügt.

Wenn Sie eine Verbindung von einem virtuellen Computer hinter einem Hybridnetzwerk herstellen oder einen mit Ihrem virtuellen Netzwerk verbundenen Jumpcomputer verwenden, verwenden Sie gängige Tools zur Problembehandlung für Namensauflösung und Konnektivitätstests, z. B. nslookup.exe und Test-NetConnection.

  1. Überprüfen Sie, ob Sie die folgenden Adressen über die privaten IP-Adressen Ihres Microsoft Purview-Kontos auflösen können.

    • Web.Purview.Azure.com
    • <YourPurviewAccountName>.Purview.Azure.com

  2. Überprüfen Sie die Netzwerkkonnektivität mit Ihrem Microsoft Purview-Konto mithilfe des folgenden PowerShell-Befehls:

    Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443

  3. Überprüfen Sie Ihre standortübergreifende DNS-Konfiguration, wenn Sie Ihre eigene DNS-Auflösungsinfrastruktur verwenden.

Weitere Informationen zu DNS-Einstellungen für private Endpunkte finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.

Kann ich private Endpunkte, die einem Microsoft Purview-Konto oder dessen verwalteten Ressourcen zugeordnet sind, in ein anderes Azure-Abonnement oder eine andere Ressourcengruppe verschieben?

Nein Verschiebungsvorgänge für private Endpunkte "Konto", "Portal" oder "Erfassung" werden nicht unterstützt. Weitere Informationen finden Sie unter Verschieben von Netzwerkressourcen in eine neue Ressourcengruppe oder ein neues Abonnement.

Kann ich mehrere verwaltete virtuelle Netzwerke in verschiedenen Regionen erstellen?

Ja. Sie können mehrere verwaltete virtuelle Netzwerke in verschiedenen Regionen in einem einzelnen Microsoft Purview-instance erstellen, sodass Sie auf Datenquellen zugreifen können, die in verschiedenen Regionen verfügbar sind. Dieses Feature bietet folgende Möglichkeiten:

  • Erstellen Sie mehrere verwaltete virtuelle Netzwerke (maximal fünf) in verschiedenen Regionen innerhalb einer einzelnen Microsoft Purview-instance.
  • Netzwerkisolation innerhalb Ihrer eigenen organization, um potenzielle Probleme mit der Datenresidenz oder Scanleistung zu beheben.

Nächste Schritte

Informationen zum Einrichten von Microsoft Purview mithilfe von Private Link finden Sie unter Verwenden privater Endpunkte für Ihr Microsoft Purview-Konto.