Preguntas más frecuentes sobre los puntos de conexión privados y las redes virtuales administradas de Microsoft Purview
Nota:
El Catálogo de datos de Microsoft Purview está cambiando su nombre a Catálogo unificado de Microsoft Purview. Todas las características permanecerán iguales. Verá el cambio de nombre cuando la nueva experiencia de gobernanza de datos de Microsoft Purview esté disponible con carácter general en su región. Compruebe el nombre en su región.
En este artículo se responden preguntas comunes que los clientes y los equipos de campo suelen preguntar sobre las configuraciones de red de Microsoft Purview mediante Azure Private Link o redes virtuales administradas de Microsoft Purview. Está pensado para aclarar preguntas sobre la configuración del firewall de Microsoft Purview, los puntos de conexión privados, la configuración de DNS y las configuraciones relacionadas.
Para configurar Microsoft Purview mediante Private Link, consulte Uso de puntos de conexión privados para su cuenta de Microsoft Purview. Para configurar redes virtuales administradas para una cuenta de Microsoft Purview, consulte Uso de una red virtual administrada con su cuenta de Microsoft Purview.
¿Cuándo debo usar un entorno de ejecución de integración autohospedado, ir de red virtual administrada o Azure IR?
Obtenga más información en Elegir la configuración de Integration Runtime adecuada para su escenario.
¿Puedo usar integration runtime autohospedado e IR de red virtual administrada dentro de una cuenta de Microsoft Purview?
Sí. Puede usar una o todas las opciones en tiempo de ejecución en una sola cuenta de Microsoft Purview: Ir de Azure, IR de red virtual administrada y entorno de ejecución de integración autohospedado. Solo puede usar una opción en tiempo de ejecución en un solo examen.
¿Cuál es el propósito de implementar el punto de conexión privado de la cuenta de Microsoft Purview?
El punto de conexión privado de la cuenta de Microsoft Purview se usa para agregar otra capa de seguridad habilitando escenarios en los que solo se permite el acceso a la cuenta a las llamadas de cliente que se originan desde dentro de la red virtual. Este punto de conexión privado también es un requisito previo para el punto de conexión privado del portal.
¿Cuál es el propósito de implementar el punto de conexión privado del portal de Microsoft Purview?
El punto de conexión privado del portal de Microsoft Purview proporciona conectividad privada al portal de gobernanza de Microsoft Purview.
¿Cuál es el propósito de implementar los puntos de conexión privados de ingesta de Microsoft Purview?
Microsoft Purview puede examinar orígenes de datos en Azure o en un entorno local mediante puntos de conexión privados de ingesta. Otros tres recursos de punto de conexión privados se implementan y vinculan a los recursos administrados o configurados de Microsoft Purview cuando se crean puntos de conexión privados de ingesta:
- Si usa una instancia administrada de Event Hubs para notificaciones kafka, el espacio de nombres está vinculado a un espacio de nombres de Event Hubs configurado por Microsoft Purview.
- Si la cuenta se creó antes del 15 de diciembre de 2023:
- El blob está vinculado a una cuenta de almacenamiento administrada de Microsoft Purview.
- La cola está vinculada a una cuenta de almacenamiento administrada de Microsoft Purview.
- Si la cuenta se creó después del 15 de diciembre de 2023 (o se implementó mediante la versión de API 2023-05-01-preview en adelante):
- El blob está vinculado a un almacenamiento de ingesta de Microsoft Purview.
- La cola está vinculada a un almacenamiento de ingesta de Microsoft Purview.
¿Puedo examinar un origen de datos a través de un punto de conexión público si un punto de conexión privado está habilitado en mi cuenta de Microsoft Purview?
Sí. Los orígenes de datos que no están conectados a través de un punto de conexión privado se pueden examinar mediante un punto de conexión público mientras Microsoft Purview está configurado para usar un punto de conexión privado.
¿Puedo examinar un origen de datos a través de un punto de conexión de servicio si está habilitado un punto de conexión privado?
Sí. Los orígenes de datos que no están conectados a través de un punto de conexión privado se pueden examinar mediante un punto de conexión de servicio mientras Microsoft Purview está configurado para usar un punto de conexión privado. Obtenga más información en Elegir la configuración de Integration Runtime adecuada para su escenario.
¿Puedo acceder al portal de gobernanza de Microsoft Purview desde una red pública si el acceso a la red pública está establecido en Denegar en redes de cuenta de Microsoft Purview?
No. Al conectarse a Microsoft Purview desde un punto de conexión público donde el acceso a la red pública está establecido en Denegar , se produce el siguiente mensaje de error:
"No autorizado para acceder a esta cuenta de Microsoft Purview. Esta cuenta de Microsoft Purview está detrás de un punto de conexión privado. Acceda a la cuenta desde un cliente de la misma red virtual (red virtual) que se ha configurado para el punto de conexión privado de la cuenta de Microsoft Purview".
En este caso, para abrir el portal de gobernanza de Microsoft Purview, use una máquina que se implemente en la misma red virtual que el punto de conexión privado del portal de Microsoft Purview o use una máquina virtual conectada a la red corporativa en la que se permita la conectividad híbrida.
¿Es posible restringir el acceso a la cuenta de almacenamiento administrada de Microsoft Purview o a la cuenta de almacenamiento de ingesta y al espacio de nombres de Event Hubs (solo para la ingesta de puntos de conexión privados), pero mantener habilitado el acceso al portal para los usuarios en toda la web?
Nota:
La cuenta solo tiene una cuenta de almacenamiento administrada si se creó antes del 15 de diciembre de 2023 (o se implementó mediante la versión de API anterior a 2023-05-01-preview). La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o se creó antes del 15 de diciembre de 2022.
Sí. Puede configurar el firewall de Microsoft Purview en Deshabilitado solo para la ingesta (versión preliminar). Al elegir esta opción, se permite el acceso de red pública a la cuenta de Microsoft Purview a través de la API y el portal de gobernanza de Microsoft Purview, pero el acceso a la red pública se establece en deshabilitado en la cuenta de almacenamiento administrado de la cuenta de Microsoft Purview. También debe confirmar que la configuración de red de Event Hubs permite la comunicación.
Si el acceso a la red pública está establecido en Permitir, ¿significa que cualquiera puede acceder a la cuenta de almacenamiento administrada o a la cuenta de almacenamiento de ingesta y al espacio de nombres de Event Hubs?
Nota:
La cuenta solo tiene una cuenta de almacenamiento administrada si se creó antes del 15 de diciembre de 2023 (o se implementó mediante la versión de API anterior a 2023-05-01-preview). La cuenta solo tiene un espacio de nombres de Event Hubs asociado si está configurada para notificaciones kafka o se creó antes del 15 de diciembre de 2022.
No. Como recursos protegidos, el acceso a la cuenta de almacenamiento administrado de Microsoft Purview y a cualquier espacio de nombres de Event Hubs solo está restringido a Microsoft Purview mediante esquemas de autenticación RBAC. Estos recursos se implementan con una asignación de denegación a todas las entidades de seguridad, lo que impide que las aplicaciones, los usuarios o los grupos obtengan acceso a ellas.
Para obtener más información sobre la asignación de denegación de Azure, consulte Descripción de las asignaciones de denegación de Azure.
¿Qué zonas DNS privadas son necesarias para Microsoft Purview para un punto de conexión privado?
Para los puntos de conexión privados de la cuenta, el portal y la plataforma de Microsoft Purview:
-
privatelink.purview.azure.com: para el portal de gobernanza de Microsoft Purview clásico. -
privatelink.purview-service.microsoft.com: para el portal de Microsoft Purview.
Para los puntos de conexión privados de ingesta de Microsoft Purview:
privatelink.blob.core.windows.netprivatelink.queue.core.windows.netprivatelink.servicebus.windows.net
¿Tengo que usar una red virtual dedicada y una subred dedicada al implementar puntos de conexión privados de Microsoft Purview?
No. Sin embargo, PrivateEndpointNetworkPolicies debe deshabilitarse en la subred de destino antes de implementar los puntos de conexión privados. Considere la posibilidad de implementar Microsoft Purview en una red virtual que tenga conectividad de red con redes virtuales de origen de datos a través del emparejamiento de redes virtuales y acceso a una red local si tiene previsto examinar orígenes de datos entre locales.
Obtenga más información sobre Deshabilitar directivas de red para puntos de conexión privados.
¿Puedo implementar puntos de conexión privados de Microsoft Purview y usar zonas DNS privadas existentes en mi suscripción para registrar los registros A?
Sí. Las zonas DNS de punto de conexión privado se pueden centralizar en un centro de conectividad o una suscripción de administración de datos para todas las zonas DNS internas necesarias para Microsoft Purview y todos los registros de origen de datos. Se recomienda este método para permitir que Microsoft Purview resuelva orígenes de datos mediante sus direcciones IP internas de punto de conexión privado.
También es necesario configurar un vínculo de red virtual para las redes virtuales para la zona DNS privada existente.
¿Cuáles son los requisitos de firewall y puertos de salida para máquinas virtuales con integration runtime autohospedado para Microsoft Purview cuando se usa un punto de conexión privado?
Las máquinas virtuales en las que se implementa el entorno de ejecución de integración autohospedado deben tener acceso saliente a los puntos de conexión de Azure y una dirección IP privada de Microsoft Purview a través del puerto 443.
¿Es necesario habilitar el acceso saliente a Internet desde la máquina virtual que ejecuta el entorno de ejecución de integración autohospedado si está habilitado un punto de conexión privado?
No. Sin embargo, se espera que la máquina virtual que ejecuta el entorno de ejecución de integración autohospedado pueda conectarse a la instancia de Microsoft Purview a través de una dirección IP interna mediante el puerto 443. Use herramientas comunes de solución de problemas para la resolución de nombres y las pruebas de conectividad, como nslookup.exe y Test-NetConnection.
¿Todavía necesito implementar puntos de conexión privados para mi cuenta de Microsoft Purview si estoy usando una red virtual administrada?
Se requiere al menos una cuenta y puntos de conexión privados del portal, si el acceso público en la cuenta de Microsoft Purview está establecido en denegar. Se requiere al menos una cuenta, un portal y un punto de conexión privado de ingesta, si el acceso público en la cuenta de Microsoft Purview está establecido en denegar y tiene previsto examinar más orígenes de datos mediante un entorno de ejecución de integración autohospedado.
¿Qué comunicaciones entrantes y salientes se permiten a través del punto de conexión público para las redes virtuales administradas de Microsoft Purview?
No se permite ninguna comunicación entrante en una red virtual administrada desde la red pública. Todos los puertos se abren para las comunicaciones salientes. En Microsoft Purview, se puede usar una red virtual administrada para conectarse de forma privada a orígenes de datos de Azure para extraer metadatos durante el examen.
¿Por qué recibo el siguiente mensaje de error al intentar iniciar el portal de gobernanza de Microsoft Purview desde mi máquina?
"Esta cuenta de Microsoft Purview está detrás de un punto de conexión privado. Acceda a la cuenta desde un cliente de la misma red virtual (red virtual) que se ha configurado para el punto de conexión privado de la cuenta de Microsoft Purview".
Es probable que la cuenta de Microsoft Purview se implemente mediante Private Link y que el acceso público esté deshabilitado en su cuenta de Microsoft Purview. Como resultado, tiene que examinar el portal de gobernanza de Microsoft Purview desde una máquina virtual que tenga conectividad de red interna con Microsoft Purview.
Si se conecta desde una máquina virtual detrás de una red híbrida o mediante una máquina de salto conectada a la red virtual, use herramientas comunes de solución de problemas para la resolución de nombres y las pruebas de conectividad, como nslookup.exe y Test-NetConnection.
Valide si puede resolver las siguientes direcciones a través de las direcciones IP privadas de la cuenta de Microsoft Purview.
Web.Purview.Azure.com<YourPurviewAccountName>.Purview.Azure.com
Compruebe la conectividad de red con su cuenta de Microsoft Purview mediante el siguiente comando de PowerShell:
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443Compruebe la configuración de DNS entre locales si usa su propia infraestructura de resolución DNS.
Para obtener más información sobre la configuración de DNS para puntos de conexión privados, consulte Configuración de DNS de punto de conexión privado de Azure.
¿Puedo mover puntos de conexión privados asociados a la cuenta de Microsoft Purview o sus recursos administrados a otra suscripción o grupo de recursos de Azure?
No. No se admiten las operaciones de traslado de puntos de conexión privados de cuenta, portal o ingesta. Para obtener más información, consulte Traslado de recursos de red a un nuevo grupo de recursos o una suscripción.
¿Puedo crear varias redes virtuales administradas en distintas regiones?
Sí. Puede crear varias redes virtuales administradas en distintas regiones en una sola instancia de Microsoft Purview para que pueda acceder a los orígenes de datos disponibles en diferentes regiones. Esta característica proporciona la capacidad de:
- Cree varias redes virtuales administradas (cinco como máximo) en diferentes regiones dentro de una única instancia de Microsoft Purview.
- Aislamiento de red dentro de su propia organización para abordar posibles problemas de rendimiento de examen o residencia de datos.
Pasos siguientes
Para configurar Microsoft Purview mediante Private Link, consulte Uso de puntos de conexión privados para su cuenta de Microsoft Purview.