Condividi tramite

Endpoint privati per soluzioni di governance in Microsoft Purview

  • Articolo

Importante

Questo articolo illustra gli endpoint privati per le soluzioni di governance nel portale di Microsoft Purview (https://purview.microsoft.com/). Se si usa il portale di governance classico (https://web.purview.azure.com), seguire la documentazione relativa agli endpoint privati nel portale classico.

È possibile usare collegamenti privati per proteggere l'accesso a Microsoft Purview Unified Catalog e mappa dati e proteggere il traffico dati tra Microsoft Purview e le reti private. I collegamenti privati di Azure e gli endpoint privati di Rete di Azure vengono usati per instradare il traffico attraverso l'infrastruttura Microsoft, anziché usare Internet. Per altre informazioni su collegamento privato di Azure in generale, vedere: Che cos'è collegamento privato di Azure?

Un endpoint privato è una singola tecnologia direzionale che consente ai client di avviare connessioni a un determinato servizio, ma non consente al servizio di avviare una connessione alla rete dei clienti. Per i servizi multi-tenant, questo modello fornisce identificatori di collegamento per impedire l'accesso alle risorse di altri clienti ospitate all'interno dello stesso servizio. Quando si usano endpoint privati, è possibile accedere solo a un set limitato di altre risorse PaaS dai servizi che usano l'integrazione.

È possibile distribuire un endpoint privato di inserimento se è necessario analizzare le origini dati IaaS e PaaS di Azure all'interno di reti virtuali di Azure e origini dati locali tramite una connessione privata. Questo metodo garantisce l'isolamento della rete per i metadati che passano dalle origini dati ai Microsoft Purview Data Map.

È possibile distribuire un endpoint privato della piattaforma per consentire solo le chiamate client al portale di governance di Microsoft Purview che provengono dalla rete privata e connettersi al portale di governance di Microsoft Purview usando una connettività di rete privata.

Importante

Gli endpoint privati assicurano che il traffico utente e le risorse dell'organizzazione all'interno di Azure seguano il percorso di rete di collegamento privato configurato dell'organizzazione ed è possibile configurare Microsoft Purview per negare tutte le richieste dall'esterno di tale percorso di rete.

Tuttavia, per le origini esterne gli endpoint privati non gestiscono tutto il traffico di rete. Per configurare l'isolamento del traffico dall'infrastruttura non basata su Azure, ad esempio l'infrastruttura locale, è necessario configurare ExpressRoute o le reti private virtuali e usare i runtime di integrazione per proteggere ulteriormente le origini dati.

Prerequisiti

Prima di distribuire endpoint privati per le risorse di governance di Microsoft Purview e il portale di Microsoft Purview, assicurarsi di soddisfare i prerequisiti seguenti:

  1. Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
  2. Per configurare gli endpoint privati, è necessario essere un amministratore di Microsoft Purview e avere le autorizzazioni in Azure per creare e configurare risorse come macchine virtuali (VM) e reti virtuali (reti virtuali).
  3. Attualmente, le connessioni Azure Data Factory, Azure Machine Learning e Azure Synapse non sono supportate con l'endpoint privato della piattaforma e potrebbero non funzionare dopo il passaggio.

Elenco di controllo per la distribuzione

Seguendo le istruzioni riportate più avanti in questa guida, è possibile distribuire questi endpoint privati per un account Microsoft Purview esistente:

  1. Scegliere una rete virtuale di Azure appropriata e una subnet per distribuire gli endpoint privati di Microsoft Purview. Selezionare una delle opzioni seguenti:
    • Distribuire una nuova rete virtuale nella sottoscrizione di Azure.
    • Individuare una rete virtuale di Azure esistente e una subnet nella sottoscrizione di Azure.
  2. Definire un metodo di risoluzione dei nomi DNS appropriato, in modo da poter accedere all'account Microsoft Purview ed analizzare le origini dati usando una rete privata.
  3. Creare un endpoint privato della piattaforma.
  4. Abilitare gli endpoint privati di inserimento
  5. Disabilitare l'accesso pubblico per Microsoft Purview.
  6. Abilitare l'accesso a Microsoft Entra ID se la rete privata dispone di regole del gruppo di sicurezza di rete impostate per negare tutto il traffico Internet pubblico.
  7. Distribuire e registrare un runtime di integrazione self-hosted all'interno della stessa rete virtuale o di una rete virtuale con peering in cui vengono distribuiti l'account Microsoft Purview e gli endpoint privati di inserimento.
  8. Dopo aver completato questa guida, modificare le configurazioni DNS, se necessario.

Creare una rete virtuale

Consiglio

Queste istruzioni creeranno una rete virtuale di base. Per altre informazioni sulle opzioni e le funzionalità della rete virtuale, vedere la documentazione relativa alla rete virtuale.

Il passaggio successivo consiste nel creare una rete virtuale e una subnet. Il numero di indirizzi IP necessari per la subnet è costituito dal numero di capacità nel tenant più tre. Ad esempio, se si sta creando una subnet per un tenant con sette capacità, saranno necessari 10 indirizzi IP.

Sostituire i parametri di esempio nella tabella seguente con quelli personalizzati per creare una rete virtuale e una subnet.

Parametro Valore
<resource-group-name> myResourceGroup
<virtual-network-name> myVirtualNetwork
<region-name> Stati Uniti centrali
<address-space> 10.0.0.0/16
<subnet-name> mySubnet
<subnet-address-range> 10.0.0.0/24

  1. Apri il portale di Azure.

  2. Selezionare Crea una risorsa > Rete > virtuale o cercare Rete virtuale nella casella di ricerca.

  3. In Crea rete virtuale immettere o selezionare le informazioni seguenti nella scheda Informazioni di base :

    Impostazioni Valore
    Dettagli del progetto
    Abbonamento Selezionare la sottoscrizione di Azure
    Gruppo di risorse Selezionare Crea nuovo, immettere <resource-group-name>, quindi selezionare OK o selezionare un esistente <resource-group-name> in base ai parametri.
    Dettagli dell'istanza
    Nome Immettere <virtual-network-name>

  4. Selezionare la scheda Indirizzi IP e immettere l'intervallo di indirizzi subnet.

  5. Selezionare Rivedi e crea>crea.

Definire un metodo di risoluzione dei nomi DNS

Seguire questo articolo per selezionare e distribuire un metodo di risoluzione dei nomi DNS che soddisfi le esigenze dell'organizzazione: Configurare la risoluzione dei nomi DNS per gli endpoint privati.

Creare un endpoint privato della piattaforma

Il passaggio successivo consiste nel creare l'endpoint privato della piattaforma per Microsoft Purview.

  1. Apri il portale di Azure.

  2. Selezionare Crea una risorsa > Rete > collegamento privato.

  3. In collegamento privato Center - Panoramica selezionare Crea endpoint privato nell'opzione Creare una connessione privata a un servizio.

  4. Nella scheda Crea un endpoint privato - Nozioni di base immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    Dettagli del progetto
    Abbonamento Selezionare la sottoscrizione di Azure
    Gruppo di risorse Selezionare myResourceGroup. Questa operazione è stata creata nella sezione precedente
    Dettagli dell'istanza
    Nome Immettere myPrivateEndpoint. Se questo nome viene acquisito, creare un nome univoco.
    Nome interfaccia di rete Compilato automaticamente in base al nome dell'istanza.
    Area geografica Selezionata automaticamente in base al gruppo di risorse.

  5. Al termine di queste informazioni, selezionare Avanti: Risorsa e nella pagina Crea un endpoint privato - Risorsa immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    Metodo di connessione Selezionare Connetti a una risorsa di Azure nella directory
    Abbonamento Selezionare la sottoscrizione
    Tipo di risorsa Selezionare Microsoft.Purview/accounts
    Risorsa Selezionare la risorsa Microsoft Purview
    Sottorisorsa di destinazione Piattaforma

  6. Dopo aver inserito correttamente le informazioni, selezionare Avanti: Rete virtuale e immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    NETWORKING
    Rete virtuale Selezionare la rete virtuale creata in precedenza.
    Subnet Selezionare la subnet creata in precedenza.
    Configurazione IP PRIVATO Selezionare Alloca in modo dinamico l'indirizzo IP.

  7. Selezionare Avanti: DNS e immettere le informazioni seguenti:

    Impostazioni Valore
    Integrazione con la zona DNS privata Selezionare
    Abbonamento Selezionare la sottoscrizione in cui è configurata la zona DNS.
    Gruppo di risorse Selezionare il gruppo di risorse in cui è configurata la zona DNS.

  8. Selezionare Avanti: Tag e nella pagina dei tag è possibile aggiungere facoltativamente eventuali tag usati dall'organizzazione in Azure.

  9. Selezionare Avanti: Rivedi e crea che visualizza la pagina Rivedi e crea in cui Azure convalida la configurazione. Quando viene visualizzato il messaggio Convalida superata , selezionare Crea.

Abilitare l'endpoint privato di inserimento

  1. Passare alla portale di Azure, cercare e quindi selezionare l'account Microsoft Purview.

  2. Nell'account Microsoft Purview, in Impostazioni selezionare Rete e quindi selezionare Connessioni endpoint privato di inserimento.

  3. In Connessioni endpoint privato inserimento selezionare + Nuovo per creare un nuovo endpoint privato di inserimento.

  4. Compilare le informazioni di base, selezionando la rete virtuale esistente e i dettagli di una subnet. Facoltativamente, selezionare DNS privato integrazione per usare Le zone di DNS privato di Azure. Selezionare zone di Azure DNS privato corrette da ogni elenco.

    Nota

    È anche possibile usare le zone di DNS privato di Azure esistenti o creare manualmente record DNS nei server DNS. Per altre informazioni, vedere Configurare la risoluzione dei nomi DNS per gli endpoint privati

  5. Selezionare Crea per completare l'installazione.

Disabilitare l'accesso pubblico per Microsoft Purview

Per interrompere completamente l'accesso all'account Microsoft Purview da Internet pubblico, seguire questa procedura. Questa impostazione si applica sia all'endpoint privato che alle connessioni dell'endpoint privato di inserimento.

  1. Dal portale di Azure passare all'account Microsoft Purview e in Impostazioni selezionare Rete.

  2. Passare alla scheda Firewall e assicurarsi che l'interruttore sia impostato su Disabilita da tutte le reti.

Abilitare l'accesso a Microsoft Entra ID

Nota

Se la macchina virtuale, il gateway VPN o il gateway di peering di rete virtuale ha accesso a Internet pubblico, può accedere al portale di governance di Microsoft Purview e all'account Microsoft Purview abilitato con endpoint privati. Per questo motivo, non è necessario seguire le altre istruzioni. Se nella rete privata sono impostate regole del gruppo di sicurezza di rete per negare tutto il traffico Internet pubblico, è necessario aggiungere alcune regole per abilitare l'accesso Microsoft Entra ID. Seguire le istruzioni per eseguire questa operazione.

Queste istruzioni vengono fornite per accedere a Microsoft Purview in modo sicuro da una macchina virtuale di Azure. Passaggi simili devono essere eseguiti se si usa VPN o altri gateway di peering di rete virtuale.

  1. Passare alla macchina virtuale nel portale di Azure e in Impostazioni selezionare Rete. Selezionare quindi Regole porta> in uscitaAggiungi regola di porta in uscita.

  2. Nel riquadro Aggiungi regola di sicurezza in uscita :

    1. In Destinazione selezionare Tag di servizio.
    2. In Tag servizio di destinazione selezionare AzureActiveDirectory.
    3. In Intervalli di porte di destinazione selezionare *.
    4. In Azione selezionare Consenti.
    5. In Priorità il valore deve essere superiore alla regola che ha negato tutto il traffico Internet.

    Creare la regola.

  3. Seguire la stessa procedura per creare un'altra regola per consentire il tag del servizio AzureResourceManager . Se è necessario accedere alla portale di Azure, è anche possibile aggiungere una regola per il tag del servizio AzurePortal.

  4. Connettersi alla macchina virtuale e aprire il browser. Passare alla console del browser selezionando CTRL+MAIUSC+J e passare alla scheda di rete per monitorare le richieste di rete. Immettere web.purview.azure.com nella casella URL e provare ad accedere usando le credenziali di Microsoft Entra. L'accesso probabilmente avrà esito negativo e nella scheda Rete della console è possibile visualizzare Microsoft Entra ID provare ad accedere a aadcdn.msauth.net ma a bloccarsi.

  5. In questo caso, aprire un prompt dei comandi nella macchina virtuale, effettuare il ping aadcdn.msauth.net, ottenere l'IP e quindi aggiungere una regola di porta in uscita per l'IP nelle regole di sicurezza di rete della macchina virtuale. Impostare Destinazione su Indirizzi IP e Indirizzi IP di destinazione sull'indirizzo IP aadcdn. A causa di Azure Load Balancer e Gestione traffico di Azure, l'IP della rete di distribuzione del contenuto Microsoft Entra potrebbe essere dinamico. Dopo aver ottenuto il relativo IP, è meglio aggiungerlo al file host della macchina virtuale per forzare il browser a visitare tale IP per ottenere la rete di distribuzione di contenuti Microsoft Entra.

  6. Dopo aver creato la nuova regola, tornare alla macchina virtuale e provare a eseguire di nuovo l'accesso usando le credenziali di Microsoft Entra. Se l'accesso ha esito positivo, il portale di governance di Microsoft Purview è pronto per l'uso. In alcuni casi, tuttavia, Microsoft Entra ID reindirizza ad altri domini per accedere in base al tipo di account di un cliente. Ad esempio, per un account live.com, Microsoft Entra ID reindirizza a live.com per accedere e quindi tali richieste vengono bloccate di nuovo. Per gli account dei dipendenti Microsoft, Microsoft Entra ID accede msft.sts.microsoft.com per le informazioni di accesso.

    Controllare le richieste di rete nella scheda Rete del browser per vedere quali richieste del dominio vengono bloccate, ripetere il passaggio precedente per ottenere l'IP e aggiungere regole di porta in uscita nel gruppo di sicurezza di rete per consentire le richieste per tale IP. Se possibile, aggiungere l'URL e l'IP al file host della macchina virtuale per correggere la risoluzione DNS. Se si conoscono esattamente gli intervalli IP del dominio di accesso, è anche possibile aggiungerli direttamente alle regole di rete.

  7. L'accesso Microsoft Entra dovrebbe ora avere esito positivo. Il portale di governance di Microsoft Purview verrà caricato correttamente, ma l'elenco di tutti gli account Microsoft Purview non funzionerà perché può accedere solo a un account Microsoft Purview specifico. Immettere web.purview.azure.com/resource/{PurviewAccountName} per visitare direttamente l'account Microsoft Purview per cui è stato configurato correttamente un endpoint privato.

Distribuire il runtime di integrazione self-hosted e analizzare le origini dati

Dopo aver distribuito gli endpoint privati di inserimento per Microsoft Purview, è necessario configurare e registrare almeno un runtime di integrazione self-hosted:

  • Tutti i tipi di origine locali, ad esempio Microsoft SQL Server, Oracle, SAP e altri, sono attualmente supportati solo tramite analisi basate su runtime di integrazione self-hosted. Il runtime di integrazione self-hosted deve essere eseguito all'interno della rete privata e quindi essere sottoposto a peering con la rete virtuale in Azure.

  • Per tutti i tipi di origine di Azure, ad esempio Archiviazione BLOB di Azure e Azure SQL Database, è necessario scegliere in modo esplicito di eseguire l'analisi usando un runtime di integrazione self-hosted distribuito nella stessa rete virtuale o una rete virtuale con peering in cui vengono distribuiti l'account Microsoft Purview e gli endpoint privati di inserimento.

Seguire la procedura descritta in Creare e gestire un runtime di integrazione self-hosted per configurare un runtime di integrazione self-hosted. Configurare quindi l'analisi nell'origine Azure scegliendo il runtime di integrazione self-hosted nell'elenco a discesa Connetti tramite runtime di integrazione per garantire l'isolamento della rete.

Importante

Assicurarsi di scaricare e installare la versione più recente del runtime di integrazione self-hosted dall'Area download Microsoft.

Testare la connessione privata

Per testare i nuovi endpoint privati, è possibile creare una macchina virtuale all'interno della rete virtuale privata e accedere all'endpoint privato della piattaforma per assicurarsi che funzioni.

  1. Creare una macchina virtuale.Create a virtual machine (VM).
  2. Connettersi a una macchina virtuale usando Desktop remoto (RDP).
  3. Accedere privatamente a Microsoft Purview dalla macchina virtuale.

Creare una macchina virtuale (VM)

Il passaggio successivo consiste nel creare una macchina virtuale.

  1. Nella parte superiore sinistra della schermata nella portale di Azure selezionare Crea una macchina virtuale di calcolo > della risorsa>.

  2. Nella scheda Informazioni di base immettere o selezionare le informazioni seguenti:

    Impostazioni Valore
    Dettagli del progetto
    Abbonamento Selezionare la sottoscrizione di Azure
    Gruppo di risorse Selezionare myResourceGroup creato nella sezione precedente
    Dettagli dell'istanza
    Nome della macchina virtuale Immettere myVM
    Area geografica Selezionare Stati Uniti occidentali
    Opzioni disponibilità Lasciare l'impostazione predefinita Nessuna ridondanza dell'infrastruttura richiesta
    Immagine Selezionare Windows 10 Pro
    Dimensioni Lasciare il Standard predefinito DS1 v2
    ACCOUNT AMMINISTRATORE
    Username Immettere un nome utente a scelta
    Password Immettere una password a scelta. La password deve avere una lunghezza di almeno 12 caratteri e soddisfare i requisiti di complessità definiti
    Confermare password Immettere di nuovo la password
    REGOLE DI PORTA IN INGRESSO
    Porte in entrata pubbliche Lasciare il valore predefinito Nessuno
    LICENZE
    Ho una licenza Windows 10/11 idonea Selezionare la casella

  3. Selezionare Avanti: Dischi.

  4. Nella scheda Dischi lasciare le impostazioni predefinite e selezionare Avanti: Rete.

  5. Nella scheda Rete selezionare le informazioni seguenti:

    Impostazioni Valore
    Rete virtuale Lasciare l'impostazione predefinita MyVirtualNetwork
    Spazio indirizzo Lasciare il valore predefinito 10.0.0.0/24
    Subnet Lasciare l'impostazione predefinita mySubnet (10.0.0.0/24)
    IP pubblico Lasciare il valore predefinito (nuovo) myVM-ip
    Porte in entrata pubbliche Selezionare Consenti selezionata
    Selezionare le porte in ingresso Selezionare RDP

  6. Seleziona Rivedi + Crea. Viene visualizzata la pagina Rivedi e crea in cui Azure convalida la configurazione.

  7. Quando viene visualizzato il messaggio Convalida superata , selezionare Crea.

Connettersi a una macchina virtuale tramite Desktop remoto (RDP)

Dopo aver creato la macchina virtuale, denominata myVM, connettersi a essa da Internet seguendo questa procedura:

  1. Nella barra di ricerca del portale immettere myVM.

  2. Selezionare il pulsante Connetti e scegliere RDP dal menu a discesa.

  3. Immettere un indirizzo IP e quindi selezionare Scarica file RDP. Azure crea un file RDP (Remote Desktop Protocol) e lo scarica nel computer.

  4. Aprire il file con estensione rdp per avviare Connessione Desktop remoto e quindi selezionare Connetti.

  5. Immettere il nome utente e la password specificati durante la creazione della macchina virtuale nel passaggio precedente.

  6. Selezionare OK.

  7. Durante il processo di accesso potrebbe essere visualizzato un avviso di certificato. Se viene visualizzato un avviso per il certificato, selezionare o Continua.

Accedere privatamente a Microsoft Purview dalla macchina virtuale

Il passaggio successivo consiste nell'accedere privatamente a Microsoft Purview dalla macchina virtuale creata nel passaggio precedente, seguendo questa procedura:

  1. In Desktop remoto di myVM aprire PowerShell.

  2. Immettere nslookup <tenant-object-id>-api.purview-service.microsoft.com.

  3. Si riceve una risposta simile al messaggio seguente:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    <tenantid>-api.purview-service.microsoft.com
Address:  10.5.0.4

  4. Aprire il browser e passare a https://purview.microsoft.com per accedere privatamente a Microsoft Purview.

Completamento della configurazione dell'endpoint privato

Dopo aver seguito i passaggi descritti nelle sezioni precedenti e aver configurato correttamente il collegamento privato, l'organizzazione implementa i collegamenti privati in base alle selezioni di configurazione seguenti, indipendentemente dal fatto che la selezione venga impostata in base alla configurazione iniziale o successiva.

Se collegamento privato di Azure è configurato correttamente e blocca l'accesso pubblico a Internet è abilitato:

  • Microsoft Purview è accessibile solo per l'organizzazione da endpoint privati e non è accessibile da Internet pubblico.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano* i collegamenti privati verrà bloccato dal servizio e non funzionerà.
  • Potrebbero esserci scenari che non supportano i collegamenti privati, che pertanto verranno bloccati nel servizio quando è abilitato Blocca l'accesso Pubblico a Internet .

Se collegamento privato di Azure è configurato correttamente e blocca l'accesso pubblico a Internet è disabilitato:

  • Il traffico da Internet pubblico sarà consentito dai servizi Microsoft Purview
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
  • Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene trasportato tramite Internet pubblico e sarà consentito dai servizi Microsoft Purview.
  • Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati verranno bloccati dalla rete virtuale e non funzioneranno."