Microsoft Purview アカウントにプライベートで安全に接続する
このガイドでは、Microsoft Purview アカウントのプライベート エンドポイントを展開して、VNet とプライベート ネットワークからのみ Microsoft Purview アカウントに接続できるようにする方法について説明します。 この目標を達成するには、Microsoft Purview アカウントのアカウント と ポータル のプライベート エンドポイントをデプロイする必要があります。
重要
現在、新しい Microsoft Purview ポータルを使用する Microsoft Purview インスタンスでは 、インジェスト プライベート エンドポイントのみを使用できます。
Microsoft Purview アカウント のプライベート エンドポイントは、仮想ネットワーク内から発信されたクライアント呼び出しのみが Microsoft Purview アカウントへのアクセスを許可されるシナリオを有効にすることで、セキュリティの別の層を追加するために使用されます。 このプライベート エンドポイントは、ポータルのプライベート エンドポイントの前提条件でもあります。
プライベート ネットワークを使用して Microsoft Purview ガバナンス ポータルへの接続を有効にするには、Microsoft Purview ポータルのプライベート エンドポイントが必要です。
注:
アカウントとポータルのプライベート エンドポイントのみを作成した場合、スキャンを実行することはできません。 プライベート ネットワークでスキャンを有効にするには、 インジェスト プライベート エンドポイントも作成する必要があります。
Azure Private Link サービスの詳細については、プライベート リンクとプライベート エンドポイントに関するページを参照してください。
展開チェックリスト
このガイドを使用すると、既存の Microsoft Purview アカウントに対して次のプライベート エンドポイントをデプロイできます。
Microsoft Purview プライベート エンドポイントをデプロイする適切な Azure 仮想ネットワークとサブネットを選択します。 以下のいずれかのオプションを選択します。
- Azure サブスクリプションに 新しい仮想ネットワーク をデプロイします。
- Azure サブスクリプション内の既存の Azure 仮想ネットワークとサブネットを見つけます。
Microsoft Purview アカウントと Web ポータルにプライベート IP アドレスからアクセスできるように、適切な DNS 名前解決方法を定義します。 次のいずれかのオプションを使用できます。
- このガイドでさらに説明されている手順を使用して、新しい Azure DNS ゾーンをデプロイします。
- このガイドでさらに説明されている手順を使用して、既存の Azure DNS ゾーンに必要な DNS レコードを追加します。
- このガイドの手順を完了したら、既存の DNS サーバーに必要な DNS A レコードを手動で追加します。
既存の Microsoft Purview アカウントのアカウントとポータルのプライベート エンドポイントをデプロイします。
プライベート ネットワークのすべてのパブリック インターネット トラフィックに対してネットワーク セキュリティ グループ規則が拒否に設定されている場合は、Microsoft Entra IDへのアクセスを有効にします。
このガイドを完了したら、必要に応じて DNS 構成を調整します。
管理マシンから Microsoft Purview へのネットワークと名前解決を検証します。
アカウントとポータルのプライベート エンドポイントを有効にする
既存の Microsoft Purview アカウントの Microsoft Purview アカウント と ポータル プライベート エンドポイントを追加するには、次の 2 つの方法があります。
- Azure portal (Microsoft Purview アカウント) を使用します。
- Private Link センターを使用します。
Azure portalを使用する (Microsoft Purview アカウント)
Azure portalに移動し、Microsoft Purview アカウントを選択し、[設定] で [ネットワーク] を選択し、[プライベート エンドポイント接続] を選択します。
[ + プライベート エンドポイント ] を選択して、新しいプライベート エンドポイントを作成します。
基本情報を入力します。
[ リソース ] タブの [ リソースの種類] で、[ Microsoft.Purview/accounts] を選択します。
[ リソース] で Microsoft Purview アカウントを選択し、[ ターゲット サブリソース] で [アカウント] を選択します。
[構成] タブで仮想ネットワークを選択し、必要に応じて [Azure プライベート DNS ゾーン] を選択して新しい Azure DNS ゾーンを作成します。
注:
DNS 構成の場合は、ドロップダウン リストから既存の Azure プライベート DNS Zones を使用するか、後で必要な DNS レコードを DNS サーバーに手動で追加することもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。
概要ページに移動し、[ 作成 ] を選択してポータルのプライベート エンドポイントを作成します。
[ターゲット サブリソース] にポータルを選択する場合も同じ手順に従います。
Private Link センターを使用する
Azure portal にアクセスします。
ページの上部にある検索バーで、プライベート リンクを検索し、最初のオプションを選択して [Private Link] ウィンドウに移動します。
[ + 追加] を選択し、基本的な詳細を入力します。
[ リソース] で、既に作成されている Microsoft Purview アカウントを選択します。 [ ターゲット サブリソース] で、[ アカウント] を選択します。
[ 構成 ] タブで、仮想ネットワークとプライベート DNS ゾーンを選択します。 概要ページに移動し、[ 作成 ] を選択してアカウントのプライベート エンドポイントを作成します。
注:
[ターゲット サブリソース] にポータルを選択する場合も同じ手順に従います。
Microsoft Entra IDへのアクセスを有効にする
注:
VM、VPN ゲートウェイ、または VNet ピアリング ゲートウェイにパブリック インターネット アクセスがある場合は、プライベート エンドポイントで有効になっている Microsoft Purview ポータルと Microsoft Purview アカウントにアクセスできます。 このため、残りの手順に従う必要はありません。 プライベート ネットワークに、すべてのパブリック インターネット トラフィックを拒否するように設定されたネットワーク セキュリティ グループルールがある場合は、Microsoft Entra IDアクセスを有効にするためにいくつかのルールを追加する必要があります。 指示に従って実行します。
これらの手順は、Azure VM から Microsoft Purview に安全にアクセスするために提供されます。 VPN またはその他の仮想ネットワーク ピアリング ゲートウェイを使用している場合は、同様の手順に従う必要があります。
Azure portalで VM に移動し、[設定] で [ネットワーク] を選択します。 次 に、[送信ポート規則]、[ 送信ポート規則の追加] の順に選択します。
[ 送信セキュリティ規則の追加 ] ウィンドウで、次の操作を行います。
- [ 宛先] で、[ サービス タグ] を選択します。
- [ 宛先サービス タグ] で、[AzureActiveDirectory] を選択します。
- [ 宛先ポート範囲] で、[*] を選択します。
- [ アクション] で、[許可] を選択 します。
- [ 優先度] の値は、すべてのインターネット トラフィックを拒否したルールよりも大きくする必要があります。
ルールを作成します。
同じ手順に従って、 AzureResourceManager サービス タグを許可する別のルールを作成します。 Azure portalにアクセスする必要がある場合は、AzurePortal サービス タグのルールを追加することもできます。
VM に接続し、ブラウザーを開きます。 Ctrl + Shift + J キーを押してブラウザー コンソールに移動し、[ネットワーク] タブに切り替えてネットワーク要求を監視します。 [URL] ボックスに「web.purview.azure.com」と入力し、Microsoft Entra資格情報を使用してサインインします。 サインインが失敗する可能性があり、コンソールの [ネットワーク] タブで、aadcdn.msauth.net にアクセスしようとしているがブロックされているMicrosoft Entra IDが表示されます。
この場合は、VM でコマンド プロンプトを開き、aadcdn.msauth.net ping を実行し、その IP を取得し、VM のネットワーク セキュリティ規則に IP の送信ポート規則を追加します。 [ 宛先 ] を [IP アドレス] に設定し、[ 宛先 IP アドレス] を aadcdn IP に設定します。 Azure Load Balancerと Azure Traffic Manager により、Microsoft Entra コンテンツ配信ネットワーク IP が動的である可能性があります。 IP を取得したら、VM のホスト ファイルに追加して、ブラウザーにその IP を強制的にアクセスして、Microsoft Entraコンテンツ配信ネットワークを取得することをお勧めします。
新しいルールが作成されたら、VM に戻り、Microsoft Entra資格情報をもう一度使用してサインインを試みます。 サインインに成功すると、Microsoft Purview ポータルを使用する準備が整います。 ただし、場合によっては、Microsoft Entra IDは他のドメインにリダイレクトして、顧客のアカウントの種類に基づいてサインインします。 たとえば、live.com アカウントの場合、Microsoft Entra IDは live.com にリダイレクトしてサインインし、それらの要求は再びブロックされます。 Microsoft 従業員アカウントの場合、Microsoft Entra IDはサインイン情報の msft.sts.microsoft.com にアクセスします。
ブラウザーの [ネットワーク] タブでネットワーク要求 を 確認して、ブロックされているドメインの要求を確認し、前の手順をやり直して IP を取得し、ネットワーク セキュリティ グループに送信ポート規則を追加して、その IP の要求を許可します。 可能であれば、URL と IP を VM のホスト ファイルに追加して、DNS 解決を修正します。 正確なサインイン ドメインの IP 範囲がわかっている場合は、ネットワーク ルールに直接追加することもできます。
これで、Microsoft Entraサインインが成功します。 Microsoft Purview ポータルは正常に読み込まれますが、特定の Microsoft Purview アカウントにのみアクセスできるため、すべての Microsoft Purview アカウントの一覧表示は機能しません。 プライベート エンドポイントを正常に設定した Microsoft Purview アカウントに直接アクセスするには、「
web.purview.azure.com/resource/{PurviewAccountName}
」と入力します。