次の方法で共有

Microsoft Purview のガバナンス ソリューションのプライベート エンドポイント

  • [アーティクル]

注:

Microsoft Purview データ カタログは、名前を Microsoft Purview 統合カタログに変更しています。 すべての機能は同じままです。 新しい Microsoft Purview データ ガバナンス エクスペリエンスがリージョンで一般公開されると、名前の変更が表示されます。 リージョン内の名前を確認します

重要

この記事では、Microsoft Purview ポータル (https://purview.microsoft.com/) のガバナンス ソリューションのプライベート エンドポイントについて説明します。 クラシック ガバナンス ポータル (https://web.purview.azure.com) を使用している場合は、 クラシック ポータルのプライベート エンドポイントに関するドキュメントに従ってください。

プライベート リンクを使用して、Microsoft Purview データ カタログとデータ マップへのアクセスをセキュリティで保護し、Microsoft Purview とプライベート ネットワーク間のデータ トラフィックをセキュリティで保護できます。 Azure プライベート リンクと Azure Networking プライベート エンドポイントは、インターネットを使用するのではなく、Microsoft のインフラストラクチャ全体にトラフィックをルーティングするために使用されます。 一般的なAzure Private Linkの詳細については、「Azure Private Linkとは」を参照してください。

プライベート エンドポイントは、クライアントが特定のサービスへの接続を開始できるが、サービスが顧客ネットワークへの接続を開始することを許可しない、単一の方向テクノロジです。 マルチテナント サービスの場合、このモデルでは、同じサービス内でホストされている他の顧客のリソースへのアクセスを防ぐためのリンク識別子が提供されます。 プライベート エンドポイントを使用する場合、統合を使用してサービスからアクセスできるのは、他の PaaS リソースの限られたセットのみです。

プライベート接続を介して Azure 仮想ネットワーク内の Azure IaaS および PaaS データ ソースとオンプレミス データ ソースをスキャンする必要がある場合は、 インジェスト プライベート エンドポイントをデプロイできます。 この方法により、データ ソースからMicrosoft Purview データ マップに流れるメタデータのネットワーク分離が保証されます。

プラットフォーム プライベート エンドポイントをデプロイして、プライベート ネットワーク内から発信される Microsoft Purview ガバナンス ポータルへのクライアント呼び出しのみを許可し、プライベート ネットワーク接続を使用して Microsoft Purview ガバナンス ポータルに接続できます。

重要

プライベート エンドポイントを使用すると、organizationのユーザー トラフィックと Azure 内のリソースが確実に実行され、organizationの構成済みのプライベート リンク ネットワーク パスに従い、そのネットワーク パスの外部からのすべての要求を拒否するように Microsoft Purview を構成できます。

ただし、外部ソースのプライベート エンドポイントでは、すべてのネットワーク トラフィックが管理されるわけではありません。 オンプレミス インフラストラクチャなど、Azure ベース以外のインフラストラクチャからのトラフィック分離を構成するには、ExpressRoute または仮想プライベート ネットワークを構成し、統合ランタイムを使用してデータ ソースをさらにセキュリティで保護する必要があります。

前提条件

Microsoft Purview ガバナンス リソースと Microsoft Purview ポータルのプライベート エンドポイントをデプロイする前に、次の前提条件を満たしていることを確認してください。

  1. アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成します。
  2. プライベート エンドポイントを構成するには、 Microsoft Purview 管理者 であり、仮想マシン (VM) や仮想ネットワーク (VNet) などのリソースを作成して構成するためのアクセス許可を Azure で持っている必要があります。
  3. 現時点では、Azure Data Factory、Azure Machine Learning、およびAzure Synapse接続はプラットフォームのプライベート エンドポイントではサポートされていないため、切り替えた後は機能しない可能性があります。

展開チェックリスト

このガイドの手順に従って、既存の Microsoft Purview アカウント用にこれらのプライベート エンドポイントをデプロイできます。

  1. Microsoft Purview プライベート エンドポイントをデプロイする適切な Azure 仮想ネットワークとサブネットを選択します。 以下のいずれかのオプションを選択します。
    • Azure サブスクリプションに 新しい仮想ネットワーク をデプロイします。
    • Azure サブスクリプション内の既存の Azure 仮想ネットワークとサブネットを見つけます。
  2. Microsoft Purview アカウントにアクセスし、プライベート ネットワークを使用してデータ ソースをスキャンできるように、適切な DNS 名前解決方法を定義します。
  3. プラットフォーム プライベート エンドポイントを作成します
  4. インジェスト プライベート エンドポイントを有効にする
  5. Microsoft Purview のパブリック アクセスを無効にします
  6. プライベート ネットワークのすべてのパブリック インターネット トラフィックに対してネットワーク セキュリティ グループ規則が拒否に設定されている場合は、Microsoft Entra IDへのアクセスを有効にします
  7. 同じ仮想ネットワーク内、または Microsoft Purview アカウントとインジェスト プライベート エンドポイントがデプロイされているピアリングされた仮想ネットワーク内に セルフホステッド統合ランタイム をデプロイして登録します。
  8. このガイドを完了したら、必要に応じて DNS 構成を調整します。

仮想ネットワークを作成する

ヒント

次の手順では、基本的な仮想ネットワークを作成します。 仮想ネットワークのオプションと機能の詳細については、 仮想ネットワークのドキュメントを参照してください

次の手順では、仮想ネットワークとサブネットを作成します。 サブネットに必要な IP アドレスの数は、テナントの容量の数と 3 つで構成されます。 たとえば、7 つの容量を持つテナントのサブネットを作成する場合は、10 個の IP アドレスが必要です。

次の表のサンプル パラメーターを独自のパラメーターに置き換えて、仮想ネットワークとサブネットを作成します。

パラメーター
<resource-group-name> myResourceGroup
<virtual-network-name> myVirtualNetwork
<region-name> 米国中部
<address-space> 10.0.0.0/16
<subnet-name> mySubnet
<subnet-address-range> 10.0.0.0/24

  1. Azure portalを開きます。

  2. [ネットワーク>仮想ネットワーク>リソースの作成] を選択するか、検索ボックスで [仮想ネットワーク] を検索します。

  3. [ 仮想ネットワークの作成] で、[ 基本 ] タブで次の情報を入力または選択します。

    Settings
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択する
    リソース グループ [ 新規作成] を選択し、「 <resource-group-name>」と入力し、[ OK] を選択するか、パラメーターに基づいて既存の <resource-group-name> を選択します。
    インスタンスの詳細
    名前 <virtual-network-name> を入力する

  4. [ IP アドレス ] タブを選択し、サブネット アドレス範囲を入力します。

  5. [ 確認と作成>作成] を選択します

DNS の名前解決方法を定義する

この記事に従って、organizationのニーズに合った DNS 名前解決方法を選択してデプロイします。プライベート エンドポイントの DNS 名前解決を構成します

プラットフォーム プライベート エンドポイントを作成する

次の手順では、Microsoft Purview のプラットフォーム プライベート エンドポイントを作成します。

  1. Azure portalを開きます。

  2. [ネットワーク > Private Link>リソースの作成] を選択します

  3. [Private Link センター - 概要] で、[サービスへのプライベート接続を構築する] オプションの下にある [プライベート エンドポイントの作成] を選択します。

  4. [ プライベート エンドポイントの作成 - 基本 ] タブで、次の情報を入力または選択します。

    Settings
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択する
    リソース グループ [myResourceGroup] を選択します。 前のセクションでこれを作成しました
    インスタンスの詳細
    名前 「myPrivateEndpoint」と入力します。 この名前を使用する場合は、一意の名前を作成します。
    ネットワーク インターフェイス名 インスタンス名で自動的に入力されます。
    Region リソース グループに基づいて自動的に選択されます。

  5. その情報が完了したら、[ 次へ: リソース ] を選択し、[ プライベート エンドポイントの作成 - リソース ] ページで、次の情報を入力または選択します。

    Settings
    接続方法 [自分のディレクトリ内の Azure リソースに接続する] を選択します
    サブスクリプション サブスクリプションを選択する
    リソースの種類 Microsoft.Purview/accounts を選択する
    リソース Microsoft Purview リソースを選択する
    ターゲット サブリソース プラットフォーム

  6. その情報が正しく入力されたら、[次へ: Virtual Network] を選択し、次の情報を入力または選択します。

    Settings
    ネットワーキング
    仮想ネットワーク 前に作成した仮想ネットワークを選択します。
    サブネット 前に作成したサブネットを選択します。
    プライベート IP 構成 [ IP アドレスを動的に割り当てる] を選択します

  7. [ 次へ: DNS] を選択し、次の情報を入力します。

    Settings
    プライベート DNS ゾーンとの統合 [ はい] を選択します
    サブスクリプション DNS ゾーンが構成されているサブスクリプションを選択します。
    リソース グループ DNS ゾーンが構成されているリソース グループを選択します。

  8. [次へ: タグ] を選択し、タグ ページで必要に応じて、organizationが Azure で使用しているタグを追加できます。

  9. [ 次へ: 確認と作成 ] を選択します。Azure が構成を検証する [確認と作成 ] ページが表示されます。 [検証に合格しました] メッセージが表示されたら、[作成] を選択します。

インジェスト プライベート エンドポイントを有効にする

  1. Azure portalに移動し、Microsoft Purview アカウントを検索して選択します。

  2. Microsoft Purview アカウントの [設定] で [ ネットワーク] を選択し、[ プライベート エンドポイント接続の取り込み] を選択します。

  3. [インジェスト プライベート エンドポイント接続] で、[ + 新規 ] を選択して、新しいインジェスト プライベート エンドポイントを作成します。

  4. 基本的な情報を入力し、既存の仮想ネットワークとサブネットの詳細を選択します。 必要に応じて、[プライベート DNS統合] を選択して Azure プライベート DNS Zones を使用します。 各一覧から適切な Azure プライベート DNS Zones を選択します。

    注:

    また、既存の Azure プライベート DNS ゾーンを使用したり、DNS サーバーで DNS レコードを手動で作成したりすることもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。

  5. [ 作成] を 選択して、セットアップを完了します。

Microsoft Purview のパブリック アクセスを無効にする

パブリック インターネットから Microsoft Purview アカウントへのアクセスを完全に切断するには、次の手順に従います。 この設定は、プライベート エンドポイント接続とインジェスト プライベート エンドポイント接続の両方に適用されます。

  1. Azure portalから Microsoft Purview アカウントに移動し、[設定] で [ネットワーク] を選択します。

  2. [ ファイアウォール ] タブに移動し、トグルが [ すべてのネットワークから無効にする] に設定されていることを確認します。

Microsoft Entra IDへのアクセスを有効にする

注:

VM、VPN ゲートウェイ、または仮想ネットワーク ピアリング ゲートウェイにパブリック インターネット アクセスがある場合は、Microsoft Purview ガバナンス ポータルにアクセスでき、プライベート エンドポイントで有効になっている Microsoft Purview アカウントにアクセスできます。 このため、残りの手順に従う必要はありません。 プライベート ネットワークに、すべてのパブリック インターネット トラフィックを拒否するように設定されたネットワーク セキュリティ グループルールがある場合は、Microsoft Entra IDアクセスを有効にするためにいくつかのルールを追加する必要があります。 指示に従って実行します。

これらの手順は、Azure VM から Microsoft Purview に安全にアクセスするために提供されます。 VPN またはその他の仮想ネットワーク ピアリング ゲートウェイを使用している場合は、同様の手順に従う必要があります。

  1. Azure portalで VM に移動し、[設定] で [ネットワーク] を選択します。 次に、[送信ポート規則] を選択します>送信ポート規則を追加します

  2. [ 送信セキュリティ規則の追加 ] ウィンドウで、次の操作を行います。

    1. [ 宛先] で、[ サービス タグ] を選択します。
    2. [ 宛先サービス タグ] で、[AzureActiveDirectory] を選択します。
    3. [ 宛先ポート範囲] で、[*] を選択します。
    4. [ アクション] で、[許可] を選択 します
    5. [ 優先度] の値は、すべてのインターネット トラフィックを拒否したルールよりも大きくする必要があります。

    ルールを作成します。

  3. 同じ手順に従って、 AzureResourceManager サービス タグを許可する別のルールを作成します。 Azure portalにアクセスする必要がある場合は、AzurePortal サービス タグのルールを追加することもできます。

  4. VM に接続し、ブラウザーを開きます。 Ctrl + Shift + J キーを押してブラウザー コンソールに移動し、[ネットワーク] タブに切り替えてネットワーク要求を監視します。 [URL] ボックスに「web.purview.azure.com」と入力し、Microsoft Entra資格情報を使用してサインインします。 サインインが失敗する可能性があり、コンソールの [ネットワーク] タブで、aadcdn.msauth.net にアクセスしようとしているがブロックされているMicrosoft Entra IDが表示されます。

  5. この場合は、VM でコマンド プロンプトを開き、aadcdn.msauth.net ping を実行し、その IP を取得し、VM のネットワーク セキュリティ規則に IP の送信ポート規則を追加します。 [ 宛先 ] を [IP アドレス] に設定し、[ 宛先 IP アドレス] を aadcdn IP に設定します。 Azure Load Balancerと Azure Traffic Manager により、Microsoft Entra コンテンツ配信ネットワーク IP が動的である可能性があります。 IP を取得したら、VM のホスト ファイルに追加して、ブラウザーにその IP を強制的にアクセスして、Microsoft Entraコンテンツ配信ネットワークを取得することをお勧めします。

  6. 新しいルールが作成されたら、VM に戻り、Microsoft Entra資格情報をもう一度使用してサインインを試みます。 サインインに成功した場合は、Microsoft Purview ガバナンス ポータルを使用する準備が整います。 ただし、場合によっては、Microsoft Entra IDは他のドメインにリダイレクトして、顧客のアカウントの種類に基づいてサインインします。 たとえば、live.com アカウントの場合、Microsoft Entra IDは live.com にリダイレクトしてサインインし、それらの要求は再びブロックされます。 Microsoft 従業員アカウントの場合、Microsoft Entra IDはサインイン情報の msft.sts.microsoft.com にアクセスします。

    ブラウザーの [ネットワーク] タブでネットワーク要求 確認して、ブロックされているドメインの要求を確認し、前の手順をやり直して IP を取得し、ネットワーク セキュリティ グループに送信ポート規則を追加して、その IP の要求を許可します。 可能であれば、URL と IP を VM のホスト ファイルに追加して、DNS 解決を修正します。 正確なサインイン ドメインの IP 範囲がわかっている場合は、ネットワーク ルールに直接追加することもできます。

  7. これで、Microsoft Entraサインインが成功します。 Microsoft Purview ガバナンス ポータルは正常に読み込まれますが、特定の Microsoft Purview アカウントにのみアクセスできるため、すべての Microsoft Purview アカウントの一覧表示は機能しません。 プライベート エンドポイントを正常に設定した Microsoft Purview アカウントに直接アクセスするには、「 web.purview.azure.com/resource/{PurviewAccountName} 」と入力します。

セルフホステッド統合ランタイム (IR) をデプロイし、データ ソースをスキャンする

Microsoft Purview のインジェスト プライベート エンドポイントをデプロイしたら、少なくとも 1 つのセルフホステッド統合ランタイム (IR) をセットアップして登録する必要があります。

  • 現在、Microsoft SQL Server、Oracle、SAP などのオンプレミスのすべてのソースの種類は、セルフホステッド IR ベースのスキャンでのみサポートされています。 セルフホステッド IR は、プライベート ネットワーク内で実行し、Azure で仮想ネットワークとピアリングする必要があります。

  • Azure Blob Storageや Azure SQL Database などのすべての Azure ソースの種類では、同じ仮想ネットワークまたは Microsoft Purview アカウントとインジェスト プライベート エンドポイントがデプロイされているピアリングされた仮想ネットワークにデプロイされているセルフホステッド統合ランタイムを使用して、スキャンを実行することを明示的に選択する必要があります。

セルフホステッド統合ランタイムの作成と管理に関するページの手順に従って、セルフホステッド IR を設定します。 次に、[ 統合ランタイム 経由で接続] ドロップダウン リストでそのセルフホステッド IR を選択して、Azure ソースでスキャンを設定し、ネットワークの分離を確保します。

重要

Microsoft ダウンロード センターからセルフホステッド統合ランタイムの最新バージョンをダウンロードしてインストールしてください。

プライベート接続をテストする

新しいプライベート エンドポイントをテストするには、プライベート仮想ネットワーク内に仮想マシンを作成し、プラットフォームのプライベート エンドポイントにアクセスして動作していることを確認します。

  1. 仮想マシン (VM) を作成します
  2. リモート デスクトップ (RDP) を使用して VM に接続します。
  3. 仮想マシンから Microsoft Purview にプライベートにアクセスします

仮想マシン (VM) を作成する

次の手順では、VM を作成します。

  1. Azure portalの画面の左上にある [コンピューティング >仮想マシン] > [リソースの作成] を選択します。

  2. [ 基本 ] タブで、次の情報を入力または選択します。

    Settings
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択する
    リソース グループ 前のセクションで作成した myResourceGroup を選択します
    インスタンスの詳細
    VM 名 「myVM」と入力します
    Region 米国西部を選択する
    空き時間のオプション 既定の [インフラストラクチャの冗長性は必要ありません] のままにします
    イメージ [Windows 10 Pro] を選択します
    Size DS1 v2 Standard既定値のままにします
    管理者アカウント
    Username 選択したユーザー名を入力します
    Password 選択したパスワードを入力します。 パスワードは 12 文字以上で、定義された複雑さの要件を満たしている必要があります
    パスワードの確認入力 パスワードを再入力する
    受信ポート規則
    パブリック受信ポート 既定の [なし] のままにします
    ライセンス
    対象となるWindows 10/11 ライセンスを持っている チェック ボックスをオンにする

  3. [ 次へ: ディスク] を選択します

  4. [ ディスク ] タブで、既定値のままにし、[ 次へ: ネットワーク] を選択します。

  5. [ネットワーク] タブ 、次の情報を選択します。

    Settings
    仮想ネットワーク 既定の MyVirtualNetwork のままにします
    アドレス スペース 既定値は 10.0.0.0/24 のままにします
    サブネット 既定の mySubnet のままにします (10.0.0.0/24)
    パブリック IP 既定の (新しい) myVM-ip のままにします
    パブリック受信ポート [ 許可] を選択
    受信ポートを選択する RDP を選択する

  6. [確認 + 作成] を選びます。 Azure が構成を検証する [確認と作成 ] ページに移動します。

  7. [検証に合格しました] メッセージが表示されたら、[作成] を選択します。

リモート デスクトップ (RDP) を使用して VM に接続する

myVM と呼ばれる VM を作成した後、次の手順を使用してインターネットから VM に接続します。

  1. ポータルの検索バーに「 myVM」と入力します。

  2. [ 接続 ] ボタンを選択し、ドロップダウン メニューから [RDP ] を選択します。

  3. IP アドレスを入力し、[ RDP ファイルのダウンロード] を選択します。 Azure によってリモート デスクトップ プロトコル (.rdp) ファイルが作成され、お使いのコンピューターにダウンロードされます。

  4. .rdp ファイルを開いてリモート デスクトップ接続を開始し、[接続] を選択します。

  5. 前の手順で VM を作成するときに指定したユーザー名とパスワードを入力します。

  6. [OK] を選択します。

  7. サインイン プロセス中に証明書の警告が表示される場合があります。 証明書の警告が表示された場合は、[ はい ] または [続行] を選択します。

VM から Microsoft Purview にプライベートにアクセスする

次の手順では、次の手順を使用して、前の手順で作成した仮想マシンから Microsoft Purview にプライベートにアクセスします。

  1. myVM のリモート デスクトップで、PowerShell を開きます。

  2. nslookup <tenant-object-id>-api.purview-service.microsoft.com を入力します。

  3. 次のような応答が表示されます。

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    <tenantid>-api.purview-service.microsoft.com
Address:  10.5.0.4

  4. ブラウザーを開き、[ https://purview.microsoft.com ] に移動して Microsoft Purview に非公開でアクセスします。

プライベート エンドポイント構成の完了

前のセクションの手順に従い、プライベート リンクが正常に構成されると、organizationは、最初の構成時に選択内容が設定されているか、後で変更されたかに関係なく、次の構成の選択に基づいてプライベート リンクを実装します。

Azure Private Linkが適切に構成され、パブリック インターネット アクセスのブロック有効になっている場合:

  • Microsoft Purview には、プライベート エンドポイントからorganizationに対してのみアクセスでき、パブリック インターネットからはアクセスできません。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
  • エンドポイントと*サポートプライベート リンクをサポートしていないシナリオを対象とする仮想ネットワークからのトラフィックは、サービスによってブロックされ、機能しません。
  • プライベート リンクをサポートしていないシナリオが考えられます。そのため、 パブリック インターネット アクセス のブロックが有効になっていると、サービスでブロックされます。

Azure Private Linkが適切に構成され、パブリック インターネット アクセスのブロック無効になっている場合:

  • パブリック インターネットからのトラフィックは、Microsoft Purview サービスによって許可されます
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
  • エンドポイントをターゲットとする仮想ネットワークからのトラフィックと、プライベート リンクをサポートしていない* シナリオは、パブリック インターネット経由で転送され、Microsoft Purview サービスによって許可されます。
  • パブリック インターネット アクセスをブロックするように仮想ネットワークが構成されている場合、プライベート リンクをサポートしていないシナリオは仮想ネットワークによってブロックされ、機能しません。