FAQ sur les points de terminaison privés Microsoft Purview et les réseaux virtuels managés

Remarque

Le Catalogue de données Microsoft Purview remplace son nom par Microsoft Purview Unified Catalog. Toutes les fonctionnalités resteront les mêmes. Vous verrez le changement de nom lorsque la nouvelle expérience de gouvernance des données Microsoft Purview sera généralement disponible dans votre région. Vérifiez le nom dans votre région.

Cet article répond aux questions courantes que les clients et les équipes de terrain posent souvent sur les configurations réseau Microsoft Purview à l’aide de Azure Private Link ou de réseaux virtuels gérés par Microsoft Purview. Il est destiné à clarifier les questions sur les paramètres de pare-feu Microsoft Purview, les points de terminaison privés, la configuration DNS et les configurations associées.

Pour configurer Microsoft Purview à l’aide de Private Link, consultez Utiliser des points de terminaison privés pour votre compte Microsoft Purview. Pour configurer des réseaux virtuels managés pour un compte Microsoft Purview, consultez Utiliser un réseau virtuel managé avec votre compte Microsoft Purview.

Quand dois-je utiliser un runtime d’intégration auto-hébergé, un runtime d’intégration de réseau virtuel managé ou un runtime d’intégration Azure ?

Pour plus d’informations , consultez Choisir la bonne configuration du runtime d’intégration pour votre scénario.

Puis-je utiliser à la fois le runtime d’intégration auto-hébergé et le runtime d’intégration de réseau virtuel managé à l’intérieur d’un compte Microsoft Purview ?

Oui. Vous pouvez utiliser une ou toutes les options d’exécution dans un seul compte Microsoft Purview : Azure IR, Runtime d’intégration de réseau virtuel managé et runtime d’intégration auto-hébergé. Vous ne pouvez utiliser qu’une seule option d’exécution dans une seule analyse.

Quel est l’objectif du déploiement du point de terminaison privé du compte Microsoft Purview ?

Le point de terminaison privé du compte Microsoft Purview est utilisé pour ajouter une autre couche de sécurité en activant des scénarios où seuls les appels clients provenant du réseau virtuel sont autorisés à accéder au compte. Ce point de terminaison privé est également un prérequis pour le point de terminaison privé du portail.

Quel est l’objectif du déploiement du point de terminaison privé du portail Microsoft Purview ?

Le point de terminaison privé du portail Microsoft Purview fournit une connectivité privée au portail de gouvernance Microsoft Purview.

Quel est l’objectif du déploiement des points de terminaison privés d’ingestion Microsoft Purview ?

Microsoft Purview peut analyser des sources de données dans Azure ou un environnement local à l’aide de points de terminaison privés d’ingestion. Trois autres ressources de point de terminaison privé sont déployées et liées à des ressources managées ou configurées Microsoft Purview lors de la création de points de terminaison privés d’ingestion :

• Si vous utilisez un Event Hubs managé pour les notifications Kafka, l’espace de noms est lié à un espace de noms Event Hubs configuré par Microsoft Purview.
• Si votre compte a été créé avant le 15 décembre 2023 :
  • L’objet blob est lié à un compte de stockage managé Microsoft Purview.
  • La file d’attente est liée à un compte de stockage managé Microsoft Purview.
• Si votre compte a été créé après le 15 décembre 2023 (ou déployé à l’aide de la version d’API 2023-05-01-preview) :
  • L’objet blob est lié à un stockage d’ingestion Microsoft Purview.
  • La file d’attente est liée à un stockage d’ingestion Microsoft Purview.

Puis-je analyser une source de données via un point de terminaison public si un point de terminaison privé est activé sur mon compte Microsoft Purview ?

Oui. Les sources de données qui ne sont pas connectées via un point de terminaison privé peuvent être analysées à l’aide d’un point de terminaison public, tandis que Microsoft Purview est configuré pour utiliser un point de terminaison privé.

Puis-je analyser une source de données via un point de terminaison de service si un point de terminaison privé est activé ?

Oui. Les sources de données qui ne sont pas connectées via un point de terminaison privé peuvent être analysées à l’aide d’un point de terminaison de service, tandis que Microsoft Purview est configuré pour utiliser un point de terminaison privé. Pour plus d’informations , consultez Choisir la bonne configuration du runtime d’intégration pour votre scénario.

Puis-je accéder au portail de gouvernance Microsoft Purview à partir d’un réseau public si l’accès réseau public est défini sur Refuser dans la mise en réseau des comptes Microsoft Purview ?

Non. La connexion à Microsoft Purview à partir d’un point de terminaison public où l’accès réseau public est défini sur Refuser génère le message d’erreur suivant :

« Non autorisé à accéder à ce compte Microsoft Purview. Ce compte Microsoft Purview se trouve derrière un point de terminaison privé. Accédez au compte à partir d’un client dans le même réseau virtuel (réseau virtuel) qui a été configuré pour le point de terminaison privé du compte Microsoft Purview. »

Dans ce cas, pour ouvrir le portail de gouvernance Microsoft Purview, utilisez une machine déployée dans le même réseau virtuel que le point de terminaison privé du portail Microsoft Purview ou utilisez une machine virtuelle connectée à votre CorpNet dans laquelle la connectivité hybride est autorisée.

Est-il possible de restreindre l’accès au compte de stockage managé Microsoft Purview ou au compte de stockage d’ingestion et à l’espace de noms Event Hubs (pour l’ingestion de point de terminaison privé uniquement), mais de laisser l’accès au portail activé pour les utilisateurs sur le web ?

Remarque

Votre compte dispose uniquement d’un compte de stockage managé s’il a été créé avant le 15 décembre 2023 (ou déployé à l’aide de la version d’API antérieure à 2023-05-01-preview). Votre compte dispose uniquement d’un espace de noms Event Hubs associé s’il est configuré pour les notifications Kafka ou s’il a été créé avant le 15 décembre 2022.

Oui. Vous pouvez configurer le paramètre de pare-feu Microsoft Purview sur Désactivé pour l’ingestion uniquement (préversion). En choisissant cette option, l’accès réseau public à votre compte Microsoft Purview via l’API et le portail de gouvernance Microsoft Purview est autorisé, mais l’accès réseau public est désactivé sur le compte de stockage managé de votre compte Microsoft Purview. Vous devez également vérifier que vos paramètres réseau Event Hubs autorisent la communication.

Si l’accès réseau public est défini sur Autoriser, cela signifie-t-il que le compte de stockage managé ou le compte de stockage d’ingestion et l’espace de noms Event Hubs sont accessibles à tout le monde ?

Remarque

Votre compte dispose uniquement d’un compte de stockage managé s’il a été créé avant le 15 décembre 2023 (ou déployé à l’aide de la version d’API antérieure à 2023-05-01-preview). Votre compte dispose uniquement d’un espace de noms Event Hubs associé s’il est configuré pour les notifications Kafka ou s’il a été créé avant le 15 décembre 2022.

Non. En tant que ressources protégées, l’accès au compte de stockage managé Microsoft Purview et à tout espace de noms Event Hubs est limité à Microsoft Purview uniquement à l’aide de schémas d’authentification RBAC. Ces ressources sont déployées avec une affectation de refus à tous les principaux, ce qui empêche les applications, les utilisateurs ou les groupes d’y accéder.

Pour en savoir plus sur l’attribution de refus Azure, consultez Comprendre les affectations de refus Azure.

Quelles sont les zones DNS privées requises pour Microsoft Purview pour un point de terminaison privé ?

Pour les points de terminaison privés de compte, de portail et de plateforme Microsoft Purview :

• privatelink.purview.azure.com - pour le portail de gouvernance Microsoft Purview classique.
• privatelink.purview-service.microsoft.com - pour le portail Microsoft Purview.

Pour les points de terminaison privés d’ingestion Microsoft Purview :

• privatelink.blob.core.windows.net
• privatelink.queue.core.windows.net
• privatelink.servicebus.windows.net

Dois-je utiliser un réseau virtuel dédié et un sous-réseau dédié lorsque je déploie des points de terminaison privés Microsoft Purview ?

Non. Toutefois, PrivateEndpointNetworkPolicies doit être désactivé dans le sous-réseau de destination avant de déployer les points de terminaison privés. Envisagez de déployer Microsoft Purview dans un réseau virtuel qui dispose d’une connectivité réseau aux réseaux virtuels de source de données via le peering de réseaux virtuels et l’accès à un réseau local si vous envisagez d’analyser les sources de données entre différents locaux.

En savoir plus sur Désactiver les stratégies réseau pour les points de terminaison privés.

Puis-je déployer des points de terminaison privés Microsoft Purview et utiliser des zones DNS privées existantes dans mon abonnement pour inscrire les enregistrements A ?

Oui. Les zones DNS de votre point de terminaison privé peuvent être centralisées dans un hub ou un abonnement de gestion des données pour toutes les zones DNS internes requises pour Microsoft Purview et tous les enregistrements de source de données. Nous vous recommandons cette méthode pour permettre à Microsoft Purview de résoudre les sources de données à l’aide de leurs adresses IP internes de point de terminaison privé.

Vous devez également configurer une liaison de réseau virtuel pour les réseaux virtuels pour la zone DNS privée existante.

Quelles sont les exigences en matière de ports de sortie et de pare-feu pour les machines virtuelles avec runtime d’intégration auto-hébergé pour Microsoft Purview lorsque vous utilisez un point de terminaison privé ?

Les machines virtuelles dans lesquelles le runtime d’intégration auto-hébergé est déployé doivent disposer d’un accès sortant aux points de terminaison Azure et d’une adresse IP privée Microsoft Purview via le port 443.

Dois-je activer l’accès Internet sortant à partir de la machine virtuelle exécutant le runtime d’intégration auto-hébergé si un point de terminaison privé est activé ?

Non. Toutefois, il est prévu que la machine virtuelle exécutant le runtime d’intégration auto-hébergé puisse se connecter à votre instance de Microsoft Purview via une adresse IP interne à l’aide du port 443. Utilisez les outils de résolution des problèmes courants pour la résolution de noms et les tests de connectivité, tels que nslookup.exe et Test-NetConnection.

Dois-je toujours déployer des points de terminaison privés pour mon compte Microsoft Purview si j’utilise un réseau virtuel managé ?

Au moins un compte et un point de terminaison privé du portail sont requis si l’accès public dans le compte Microsoft Purview est défini sur refuser. Au moins un compte, un portail et un point de terminaison privé d’ingestion sont requis si l’accès public dans le compte Microsoft Purview est défini sur refuser et que vous envisagez d’analyser d’autres sources de données à l’aide d’un runtime d’intégration auto-hébergé.

Quelles communications entrantes et sortantes sont autorisées via un point de terminaison public pour les réseaux virtuels managés Microsoft Purview ?

Aucune communication entrante n’est autorisée dans un réseau virtuel managé à partir d’un réseau public. Tous les ports sont ouverts pour les communications sortantes. Dans Microsoft Purview, un réseau virtuel managé peut être utilisé pour se connecter en privé à des sources de données Azure afin d’extraire des métadonnées pendant l’analyse.

Pourquoi le message d’erreur suivant s’affiche-t-il lorsque j’essaie de lancer le portail de gouvernance Microsoft Purview à partir de mon ordinateur ?

« Ce compte Microsoft Purview se trouve derrière un point de terminaison privé. Accédez au compte à partir d’un client dans le même réseau virtuel (réseau virtuel) qui a été configuré pour le point de terminaison privé du compte Microsoft Purview. »

Il est probable que votre compte Microsoft Purview soit déployé à l’aide de Private Link et que l’accès public soit désactivé sur votre compte Microsoft Purview. Par conséquent, vous devez parcourir le portail de gouvernance Microsoft Purview à partir d’une machine virtuelle disposant d’une connectivité réseau interne à Microsoft Purview.

Si vous vous connectez à partir d’une machine virtuelle derrière un réseau hybride ou à l’aide d’une machine de saut connectée à votre réseau virtuel, utilisez les outils de résolution des problèmes courants pour la résolution de noms et les tests de connectivité, tels que nslookup.exe et Test-NetConnection.

1. Vérifiez si vous pouvez résoudre les adresses suivantes via les adresses IP privées de votre compte Microsoft Purview.

   • Web.Purview.Azure.com
   • <YourPurviewAccountName>.Purview.Azure.com

2. Vérifiez la connectivité réseau à votre compte Microsoft Purview à l’aide de la commande PowerShell suivante :

   Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
   

3. Vérifiez votre configuration DNS intersite si vous utilisez votre propre infrastructure de résolution DNS.

Pour plus d’informations sur les paramètres DNS pour les points de terminaison privés, consultez Configuration DNS du point de terminaison privé Azure.

Puis-je déplacer des points de terminaison privés associés à un compte Microsoft Purview ou à ses ressources managées vers un autre abonnement ou groupe de ressources Azure ?

Non. Les opérations de déplacement pour les points de terminaison privés de compte, de portail ou d’ingestion ne sont pas prises en charge. Pour plus d’informations, consultez Déplacer des ressources réseau vers un nouveau groupe de ressources ou un nouvel abonnement.

Puis-je créer plusieurs réseaux virtuels managés dans différentes régions ?

Oui. Vous pouvez créer plusieurs réseaux virtuels managés dans différentes régions dans une seule instance Microsoft Purview afin d’accéder aux sources de données disponibles dans différentes régions. Cette fonctionnalité permet d’effectuer les opérations suivantes :

• Créez plusieurs réseaux virtuels managés (cinq au maximum) dans différentes régions au sein d’un même instance Microsoft Purview.
• L’isolation réseau au sein de votre propre organization pour résoudre les problèmes potentiels de résidence des données ou de performances d’analyse.

Étapes suivantes

Pour configurer Microsoft Purview à l’aide de Private Link, consultez Utiliser des points de terminaison privés pour votre compte Microsoft Purview.