Conectarse a Microsoft Purview y examinar orígenes de datos de forma privada y segura

Importante

En este artículo se tratan los puntos de conexión privados para el portal de gobernanza de Microsoft Purview clásico (https://web.purview.azure.com). Si usa el nuevo portal de Microsoft Purview (https://purview.microsoft.com/), siga la documentación de los puntos de conexión privados en el portal de Microsoft Purview.

En esta guía, aprenderá a implementar puntos de conexión privados de ingesta, _portal y cuenta de Microsoft Purview para acceder a la cuenta de Purview y examinar orígenes de datos mediante un entorno de ejecución de integración autohospedado de forma segura y privada, lo que permite el aislamiento de red de un extremo a otro.=

El punto de conexión privado de la cuenta de Microsoft Purview se usa para agregar otra capa de seguridad habilitando escenarios en los que solo las llamadas de cliente que se originan desde dentro de la red virtual pueden acceder a la cuenta de Microsoft Purview. Este punto de conexión privado también es un requisito previo para el punto de conexión privado del portal.

El punto de conexión privado del portal de Microsoft Purview es necesario para habilitar la conectividad con el portal de gobernanza de Microsoft Purview mediante una red privada.

Microsoft Purview puede examinar orígenes de datos en Azure o en un entorno local mediante puntos de conexión privados de ingesta . En función de la fecha y configuración de implementación de las cuentas, es necesario implementar y vincular hasta tres recursos de punto de conexión privados a los recursos configurados por Microsoft Purview cuando se implementa el punto de conexión privado de ingesta:

• Si usa un centro de eventos administrado para notificaciones kafka, un punto de conexión privado de espacio de nombres está vinculado a un espacio de nombres de Event Hubs configurado por Microsoft Purview.

• Si la cuenta se creó antes del 15 de diciembre de 2023:

  • El punto de conexión privado de blobs está vinculado a una cuenta de almacenamiento administrada de Microsoft Purview.
  • El punto de conexión privado de cola está vinculado a una cuenta de almacenamiento administrada de Microsoft Purview.

• Si la cuenta se creó después del 15 de diciembre de 2023 (o se implementó mediante la versión de API 2023-05-01-preview en adelante):

  • El punto de conexión privado de blobs está vinculado a un almacenamiento de ingesta de Microsoft Purview.
  • El punto de conexión privado de cola está vinculado a un almacenamiento de ingesta de Microsoft Purview.

  

Lista de comprobación de la implementación

Siguiendo las instrucciones de esta guía, puede implementar estos puntos de conexión privados para una cuenta de Microsoft Purview existente:

1. Elija una red virtual de Azure adecuada y una subred para implementar puntos de conexión privados de Microsoft Purview. Seleccione una de las siguientes opciones:

   • Implemente una nueva red virtual en la suscripción de Azure.
   • Busque una red virtual de Azure existente y una subred en la suscripción de Azure.

2. Defina un método de resolución de nombres DNS adecuado para que pueda acceder a la cuenta de Microsoft Purview y examinar orígenes de datos mediante una red privada. Puede usar cualquiera de las siguientes opciones:

   • Implemente nuevas zonas de Azure DNS con los pasos que se explican más adelante en esta guía.
   • Agregue los registros DNS necesarios a las zonas DNS de Azure existentes mediante los pasos que se explican más adelante en esta guía.
   • Después de completar los pasos de esta guía, agregue manualmente los registros A de DNS necesarios en los servidores DNS existentes.

3. Implemente puntos de conexión privados para una cuenta de Microsoft Purview existente.

4. Habilite el acceso a Microsoft Entra ID si la red privada tiene reglas de grupo de seguridad de red establecidas para denegar todo el tráfico público de Internet.

5. Implemente y registre el entorno de ejecución de integración autohospedado dentro de la misma red virtual o una red virtual emparejada donde se implementan la cuenta de Microsoft Purview y los puntos de conexión privados de ingesta.

6. Después de completar esta guía, ajuste las configuraciones de DNS si es necesario.

7. Valide la resolución de nombres y la red entre la máquina de administración, la máquina virtual de IR autohospedada y los orígenes de datos a Microsoft Purview.

   Nota:

   Si configura su propio espacio de nombres de Event Hubs o habilita un espacio de nombres de Event Hubs administrado después de implementar el punto de conexión privado de ingesta, tendrá que volver a implementar el punto de conexión privado de ingesta.

Habilitación del punto de conexión privado de cuenta y portal

1. Vaya a la Azure Portal y, a continuación, seleccione la cuenta de Microsoft Purview y, en Configuración, seleccione Redes y, a continuación, seleccione Conexiones de punto de conexión privado.

   

2. Seleccione + Punto de conexión privado para crear un nuevo punto de conexión privado.

3. Rellene la información básica.

4. En la pestaña Recurso , en Tipo de recurso, seleccione Microsoft.Purview/accounts.

5. En Recurso, seleccione la cuenta de Microsoft Purview y, en Subaprovisionamiento de destino, seleccione Cuenta.

6. En la pestaña Configuración, seleccione la red virtual y, opcionalmente, seleccione Azure DNS privado zona para crear una nueva zona DNS de Azure.

   Nota:

   Para la configuración de DNS, también puede usar las zonas de Azure DNS privado existentes en la lista desplegable o agregar manualmente los registros DNS necesarios a los servidores DNS más adelante. Para obtener más información, consulte Configuración de la resolución de nombres DNS para puntos de conexión privados.

7. Vaya a la página de resumen y seleccione Crear para crear el punto de conexión privado de la cuenta.

8. Repita los pasos del 2 al 7 para crear el punto de conexión privado del portal. Asegúrese de seleccionar portal para El sub recurso de destino.

Implementación del punto de conexión privado de ingesta

Los puntos de conexión privados de ingesta se implementan desde el Azure Portal para todas las instancias de Microsoft Purview, independientemente de si usa el nuevo portal de Microsoft Purview y el portal de gobernanza clásico.

1. Vaya al Azure Portal y, a continuación, busque y seleccione su cuenta de Microsoft Purview.

2. En la cuenta de Microsoft Purview, en Configuración , seleccione Redes y, a continuación, seleccione Ingesta de conexiones de punto de conexión privado.

3. En Conexiones de punto de conexión privado de ingesta, seleccione + Nuevo para crear un nuevo punto de conexión privado de ingesta.

   

4. Rellene la información básica y seleccione la red virtual existente y los detalles de una subred. Opcionalmente, seleccione DNS privado integración para usar Azure DNS privado Zones. Seleccione Azure DNS privado Zones correcto en cada lista.

   Nota:

   También puede usar las zonas de Azure DNS privado existentes o crear registros DNS en los servidores DNS manualmente más adelante. Para obtener más información, consulte Configuración de la resolución de nombres DNS para puntos de conexión privados.

5. Seleccione Crear para crear el punto de conexión privado.

6. Si aún no tiene uno, debe implementar un entorno de ejecución de integración autohospedado para conectarse a los orígenes con puntos de conexión privados.

Configuración de redes para el espacio de nombres de Event Hubs

Si ha configurado una instancia de Event Hubs para enviar o recibir eventos desde y hacia los temas de Apache Atlas Kafka de Microsoft Purview, debe confirmar que la configuración de red de Event Hubs permite la comunicación.

Implementación de Integration Runtime autohospedado (IR) y examen de los orígenes de datos

Una vez implementados los puntos de conexión privados de ingesta para Microsoft Purview, debe configurar y registrar al menos un entorno de ejecución de integración autohospedado (IR):

• Actualmente, todos los tipos de origen locales, como Microsoft SQL Server, Oracle, SAP y otros, solo se admiten a través de exámenes autohospedados basados en IR. El entorno de ejecución de integración autohospedado debe ejecutarse dentro de la red privada y, a continuación, emparejarse con la red virtual en Azure.

• Para todos los tipos de origen de Azure, como Azure Blob Storage y Azure SQL Database, debe elegir explícitamente ejecutar el examen mediante un entorno de ejecución de integración autohospedado que se implemente en la misma red virtual o en una red virtual emparejada donde se implementan la cuenta de Microsoft Purview y los puntos de conexión privados de ingesta.

Siga los pasos descritos en Creación y administración de un entorno de ejecución de integración autohospedado para configurar un entorno de ejecución de integración autohospedado. A continuación, configure el examen en el origen de Azure eligiendo esa instancia de IR autohospedada en la lista desplegable Conectar a través de Integration Runtime para garantizar el aislamiento de red.

Importante

Asegúrese de descargar e instalar la versión más reciente del entorno de ejecución de integración autohospedado desde el Centro de descarga de Microsoft.

Habilitar el acceso a Microsoft Entra ID

Nota:

Si la máquina virtual, la puerta de enlace de VPN o la puerta de enlace de emparejamiento de red virtual tienen acceso público a Internet, puede acceder al portal de gobernanza de Microsoft Purview y a la cuenta de Microsoft Purview habilitada con puntos de conexión privados. Por este motivo, no es necesario seguir el resto de las instrucciones. Si la red privada tiene establecidas reglas de grupo de seguridad de red para denegar todo el tráfico público de Internet, deberá agregar algunas reglas para habilitar Microsoft Entra ID acceso. Siga las instrucciones para hacerlo.

Estas instrucciones se proporcionan para acceder a Microsoft Purview de forma segura desde una máquina virtual de Azure. Se deben seguir pasos similares si usa VPN u otras puertas de enlace de emparejamiento de red virtual.

1. Vaya a la máquina virtual en el Azure Portal y, en Redes, seleccione Configuración de red.

2. Seleccionar + Crear regla de puerto

3. Seleccionar regla de puerto de salida

   

4. En el panel Agregar regla de seguridad de salida :

   1. En Destino, seleccione Etiqueta de servicio.
   2. En Etiqueta de servicio de destino, seleccione AzureActiveDirectory.
   3. En Intervalos de puertos de destino, seleccione *.
   4. En Acción, seleccione Permitir.
   5. En Prioridad, el valor debe ser mayor que la regla que denegó todo el tráfico de Internet.

   Cree la regla.

   

5. Siga los mismos pasos para crear otra regla para permitir la etiqueta de servicio AzureResourceManager . Si necesita acceder a la Azure Portal, también puede agregar una regla para la etiqueta de servicio AzurePortal.

6. Conéctese a la máquina virtual y abra el explorador. Vaya a la consola del explorador seleccionando Ctrl+Mayús+J y cambie a la pestaña red para supervisar las solicitudes de red. Escriba web.purview.azure.com en el cuadro URL e intente iniciar sesión con sus credenciales de Microsoft Entra. Es probable que se produzca un error en el inicio de sesión y, en la pestaña Red de la consola, puede ver Microsoft Entra ID intentar acceder a aadcdn.msauth.net pero bloquearse.

   

7. En este caso, abra un símbolo del sistema en la máquina virtual, haga ping aadcdn.msauth.net, obtenga su dirección IP y, a continuación, agregue una regla de puerto de salida para la dirección IP en las reglas de seguridad de red de la máquina virtual. Establezca destino en Direcciones IP y establezca Direcciones IP de destino en la dirección IP de aadcdn. Debido a Azure Load Balancer y Azure Traffic Manager, la dirección IP de la red de distribución de contenido de Microsoft Entra podría ser dinámica. Después de obtener su dirección IP, es mejor agregarla al archivo host de la máquina virtual para forzar al explorador a visitar esa dirección IP para obtener la Microsoft Entra Content Delivery Network.

   

   

8. Una vez creada la nueva regla, vuelva a la máquina virtual e intente iniciar sesión con sus credenciales de Microsoft Entra de nuevo. Si el inicio de sesión se realiza correctamente, el portal de gobernanza de Microsoft Purview está listo para usarse. Pero en algunos casos, Microsoft Entra ID redirige a otros dominios para iniciar sesión en función del tipo de cuenta de un cliente. Por ejemplo, para una cuenta de live.com, Microsoft Entra ID redirige a live.com para iniciar sesión y, a continuación, esas solicitudes se bloquean de nuevo. En el caso de las cuentas de empleados de Microsoft, Microsoft Entra ID accede a msft.sts.microsoft.com para obtener información de inicio de sesión.

   Compruebe las solicitudes de red en la pestaña Redes del explorador para ver qué solicitudes de dominio se bloquean, vuelva a realizar el paso anterior para obtener su dirección IP y agregue reglas de puerto de salida en el grupo de seguridad de red para permitir solicitudes para esa dirección IP. Si es posible, agregue la dirección URL y la dirección IP al archivo host de la máquina virtual para corregir la resolución DNS. Si conoce los intervalos IP exactos del dominio de inicio de sesión, también puede agregarlos directamente a las reglas de red.

9. Ahora el inicio de sesión de Microsoft Entra debería realizarse correctamente. El portal de gobernanza de Microsoft Purview se cargará correctamente, pero enumerar todas las cuentas de Microsoft Purview no funcionará porque solo puede acceder a una cuenta específica de Microsoft Purview. Escriba web.purview.azure.com/resource/{PurviewAccountName} para visitar directamente la cuenta de Microsoft Purview para la que configuró correctamente un punto de conexión privado.

Firewalls para restringir el acceso público

Para cortar completamente el acceso a la cuenta de Microsoft Purview desde la red pública de Internet, siga estos pasos. Esta configuración se aplica tanto al punto de conexión privado como a las conexiones de punto de conexión privado de ingesta.

1. En el Azure Portal, vaya a la cuenta de Microsoft Purview y, en Configuración, seleccione Redes.

2. Vaya a la pestaña Firewall y asegúrese de que el botón de alternancia esté establecido en Deshabilitar desde todas las redes.

   

Pasos siguientes

• Comprobación de la resolución de puntos de conexión privados
• Administración de orígenes de datos en Microsoft Purview
• Solución de problemas de configuración de punto de conexión privado para la cuenta de Microsoft Purview