次の方法で共有


Microsoft Purview プライベート エンドポイントとマネージド VNet に関する FAQ

この記事では、Azure Private LinkまたはMicrosoft Purview Managed VNets を使用して、顧客やフィールド チームが Microsoft Purview ネットワーク構成についてよく寄せられる一般的な質問に回答します。 これは、Microsoft Purview ファイアウォール設定、プライベート エンドポイント、DNS 構成、および関連する構成に関する質問を明確にすることを目的としています。

Private Linkを使用して Microsoft Purview を設定するには、「Microsoft Purview アカウントにプライベート エンドポイントを使用する」を参照してください。 Microsoft Purview アカウントのマネージド VNet を構成するには、「Microsoft Purview アカウント でマネージド仮想ネットワークを使用する」を参照してください。

セルフホステッド統合ランタイム、マネージド仮想ネットワーク IR、または Azure IR を使用する必要がある場合

詳細については、「 シナリオに適した統合ランタイム構成を選択する」を参照してください

Microsoft Purview アカウント内でセルフホステッド統合ランタイムとマネージド仮想ネットワーク IR の両方を使用できますか?

はい。 1 つの Microsoft Purview アカウントで、Azure IR、マネージド仮想ネットワーク IR、セルフホステッド統合ランタイムの 1 つまたはすべてのランタイム オプションを使用できます。 1 回のスキャンで使用できるランタイム オプションは 1 つだけです。

Microsoft Purview アカウントのプライベート エンドポイントを展開する目的は何ですか?

Microsoft Purview アカウントのプライベート エンドポイントは、仮想ネットワーク内から発信されたクライアント呼び出しのみがアカウントへのアクセスを許可されるシナリオを有効にすることで、別のセキュリティレイヤーを追加するために使用されます。 このプライベート エンドポイントは、ポータルのプライベート エンドポイントの前提条件でもあります。

Microsoft Purview ポータルのプライベート エンドポイントを展開する目的は何ですか?

Microsoft Purview ポータルのプライベート エンドポイントは、Microsoft Purview ガバナンス ポータルへのプライベート接続を提供します。

Microsoft Purview インジェスト プライベート エンドポイントを展開する目的は何ですか?

Microsoft Purview では、インジェスト プライベート エンドポイントを使用して、Azure またはオンプレミス環境のデータ ソースをスキャンできます。 インジェスト プライベート エンドポイントの作成時に、他の 3 つのプライベート エンドポイント リソースがデプロイされ、Microsoft Purview のマネージド リソースまたは構成済みリソースにリンクされます。

  • kafka 通知にマネージド Event Hubs を使用している場合、名前空間は Microsoft Purview で構成された Event Hubs 名前空間にリンクされます。
  • アカウントが 2023 年 12 月 15 日より前に作成された場合:
    • BLOB は Microsoft Purview マネージド ストレージ アカウントにリンクされています。
    • キュー は Microsoft Purview マネージド ストレージ アカウントにリンクされています。
  • アカウントが 2023 年 12 月 15 日以降に作成された場合 (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた場合):
    • BLOB は Microsoft Purview インジェスト ストレージにリンクされています。
    • キュー は Microsoft Purview インジェスト ストレージにリンクされています。

Microsoft Purview アカウントでプライベート エンドポイントが有効になっている場合、パブリック エンドポイントを介してデータ ソースをスキャンできますか?

はい。 プライベート エンドポイントを介して接続されていないデータ ソースは、パブリック エンドポイントを使用してスキャンできますが、Microsoft Purview はプライベート エンドポイントを使用するように構成されています。

プライベート エンドポイントが有効になっている場合、サービス エンドポイントを介してデータ ソースをスキャンできますか?

はい。 プライベート エンドポイントを介して接続されていないデータ ソースは、Microsoft Purview がプライベート エンドポイントを使用するように構成されている間、サービス エンドポイントを使用してスキャンできます。 詳細については、「 シナリオに適した統合ランタイム構成を選択する」を参照してください

パブリック ネットワーク アクセスが Microsoft Purview アカウント ネットワークで [拒否] に設定されている場合、パブリック ネットワークから Microsoft Purview ガバナンス ポータルにアクセスできますか?

いいえ。 パブリック ネットワーク アクセス[拒否] に設定されているパブリック エンドポイントから Microsoft Purview に接続すると、次のエラー メッセージが表示されます。

"この Microsoft Purview アカウントにアクセスする権限がありません。 この Microsoft Purview アカウントはプライベート エンドポイントの背後にあります。 Microsoft Purview アカウントのプライベート エンドポイント用に構成されているのと同じ仮想ネットワーク (仮想ネットワーク) 内のクライアントからアカウントにアクセスします。

この場合、Microsoft Purview ガバナンス ポータルを開くには、Microsoft Purview ポータルのプライベート エンドポイントと同じ仮想ネットワークにデプロイされているマシンを使用するか、ハイブリッド接続が許可されている CorpNet に接続されている VM を使用します。

Microsoft Purview マネージド ストレージ アカウントまたはインジェスト ストレージ アカウントと Event Hubs 名前空間 (プライベート エンドポイント インジェストのみ) へのアクセスを制限することはできますが、Web 全体のユーザーに対してポータル アクセスを有効にしたままにすることはできますか?

注:

アカウントにマネージド ストレージ アカウントがあるのは、2023 年 12 月 15 日より前に作成された場合 (または 2023-05-01-preview 以前の API バージョンを使用してデプロイされた場合のみ) です。 アカウントに関連付けられている Event Hubs 名前空間があるのは、 Kafka 通知用に構成されている 場合、または 2022 年 12 月 15 日より前に作成された場合のみです。

はい。 インジェスト専用 (プレビュー) では、Microsoft Purview ファイアウォール設定を [無効] に構成できます。 このオプションを選択すると、API と Microsoft Purview ガバナンス ポータルを介した Microsoft Purview アカウントへのパブリック ネットワーク アクセスが許可されますが、パブリック ネットワーク アクセスは Microsoft Purview アカウントのマネージド ストレージ アカウントで無効に設定されます。 また、 Event Hubs ネットワーク設定で通信が 許可されていることを確認する必要もあります。

パブリック ネットワーク アクセスが [許可] に設定されている場合、マネージド ストレージ アカウントまたはインジェスト ストレージ アカウントと Event Hubs 名前空間に誰でもアクセスできることを意味しますか?

注:

アカウントにマネージド ストレージ アカウントがあるのは、2023 年 12 月 15 日より前に作成された場合 (または 2023-05-01-preview 以前の API バージョンを使用してデプロイされた場合のみ) です。 アカウントに関連付けられている Event Hubs 名前空間があるのは、 Kafka 通知用に構成されている 場合、または 2022 年 12 月 15 日より前に作成された場合のみです。

いいえ。 保護されたリソースとして、Microsoft Purview マネージド ストレージ アカウントと Event Hubs 名前空間へのアクセスは、RBAC 認証スキームのみを使用して Microsoft Purview に制限されます。 これらのリソースは、すべてのプリンシパルへの拒否割り当てでデプロイされます。これにより、アプリケーション、ユーザー、またはグループがアクセスできなくなります。

Azure 拒否の割り当ての詳細については、「 Azure 拒否の割り当てについて」を参照してください。

プライベート エンドポイントの Microsoft Purview に必要なプライベート DNS ゾーンは何ですか?

Microsoft Purview アカウントポータルプラットフォーム のプライベート エンドポイントの場合:

  • privatelink.purview.azure.com - 従来の Microsoft Purview ガバナンス ポータル用。
  • privatelink.purview-service.microsoft.com - Microsoft Purview ポータル用。

Microsoft Purview インジェスト プライベート エンドポイントの場合:

  • privatelink.blob.core.windows.net
  • privatelink.queue.core.windows.net
  • privatelink.servicebus.windows.net

Microsoft Purview プライベート エンドポイントをデプロイするときに、専用仮想ネットワークと専用サブネットを使用する必要がありますか?

いいえ。 ただし、プライベート エンドポイントをデプロイする前に、宛先サブネットで PrivateEndpointNetworkPolicies を無効にする必要があります。 クロスプレミスでデータ ソースをスキャンする予定の場合は、仮想ネットワーク ピアリングとオンプレミス ネットワークへのアクセスを通じて、データ ソース仮想ネットワークへのネットワーク接続を持つ仮想ネットワークに Microsoft Purview をデプロイすることを検討してください。

詳細については、「 プライベート エンドポイントのネットワーク ポリシーを無効にする」を参照してください。

Microsoft Purview プライベート エンドポイントをデプロイし、サブスクリプション内の既存のプライベート DNS ゾーンを使用して A レコードを登録できますか?

はい。 プライベート エンドポイント DNS ゾーンは、Microsoft Purview とすべてのデータ ソース レコードに必要なすべての内部 DNS ゾーンのハブまたはデータ管理サブスクリプションで一元化できます。 Microsoft Purview がプライベート エンドポイントの内部 IP アドレスを使用してデータ ソースを解決できるようにするには、この方法をお勧めします。

また、既存のプライベート DNS ゾーンの 仮想ネットワークの仮想ネットワーク リンク を設定する必要もあります。

プライベート エンドポイントを使用する場合、Microsoft Purview のセルフホステッド統合ランタイムを使用する仮想マシンの送信ポートとファイアウォールの要件は何ですか?

セルフホステッド統合ランタイムがデプロイされる VM には、Azure エンドポイントへの送信アクセスと、ポート 443 を介した Microsoft Purview プライベート IP アドレスが必要です。

プライベート エンドポイントが有効になっている場合、セルフホステッド統合ランタイムを実行している仮想マシンからの送信インターネット アクセスを有効にする必要がありますか?

いいえ。 ただし、セルフホステッド統合ランタイムを実行している仮想マシンは、ポート 443 を使用して内部 IP アドレスを介して Microsoft Purview のインスタンスに接続できる必要があります。 nslookup.exe や Test-NetConnection などの名前解決と接続テストには、一般的なトラブルシューティング ツールを使用します。

マネージド仮想ネットワークを使用している場合、Microsoft Purview アカウントのプライベート エンドポイントをデプロイする必要はありますか?

Microsoft Purview アカウントのパブリック アクセスが 拒否に設定されている場合は、少なくとも 1 つのアカウントとポータルのプライベート エンドポイントが必要です。 Microsoft Purview アカウントのパブリック アクセスが 拒否 に設定されていて、セルフホステッド統合ランタイムを使用してより多くのデータ ソースをスキャンする予定の場合は、少なくとも 1 つのアカウント、ポータル、インジェスト プライベート エンドポイントが必要です。

Microsoft Purview Managed VNet のパブリック エンドポイントを介して許可される受信および送信通信は何ですか?

パブリック ネットワークからマネージド仮想ネットワークへの受信通信は許可されません。 すべてのポートが送信通信用に開かれます。 Microsoft Purview では、マネージド仮想ネットワークを使用して Azure データ ソースにプライベートに接続し、スキャン中にメタデータを抽出できます。

コンピューターから Microsoft Purview ガバナンス ポータルを起動しようとすると、次のエラー メッセージが表示されるのはなぜですか?

"この Microsoft Purview アカウントはプライベート エンドポイントの背後にあります。 Microsoft Purview アカウントのプライベート エンドポイント用に構成されているのと同じ仮想ネットワーク (仮想ネットワーク) 内のクライアントからアカウントにアクセスします。

Microsoft Purview アカウントは、Private Linkを使用して展開され、Microsoft Purview アカウントでパブリック アクセスが無効になっている可能性があります。 その結果、Microsoft Purview への内部ネットワーク接続を持つ仮想マシンから Microsoft Purview ガバナンス ポータルを参照する必要があります。

ハイブリッド ネットワークの背後にある VM から接続している場合、または仮想ネットワークに接続されているジャンプ マシンを使用している場合は、名前解決と接続テストに一般的なトラブルシューティング ツール (nslookup.exe や Test-NetConnection など) を使用します。

  1. Microsoft Purview アカウントのプライベート IP アドレスを使用して、次のアドレスを解決できるかどうかを検証します。

    • Web.Purview.Azure.com
    • <YourPurviewAccountName>.Purview.Azure.com
  2. 次の PowerShell コマンドを使用して、Microsoft Purview アカウントへのネットワーク接続を確認します。

    Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
    
  3. 独自の DNS 解決インフラストラクチャを使用する場合は、クロスプレミス DNS 構成を確認します。

プライベート エンドポイントの DNS 設定の詳細については、「 Azure プライベート エンドポイントの DNS 構成」を参照してください。

Microsoft Purview アカウントまたはそのマネージド リソースに関連付けられているプライベート エンドポイントを別の Azure サブスクリプションまたはリソース グループに移動できますか?

いいえ。 アカウント、ポータル、インジェスト プライベート エンドポイントの移動操作はサポートされていません。 詳細については、「 ネットワーク リソースを新しいリソース グループまたはサブスクリプションに移動する」を参照してください。

異なるリージョンに複数のマネージド仮想ネットワークを作成できますか?

はい。 1 つの Microsoft Purview インスタンス内の異なるリージョン間で複数のマネージド仮想ネットワークを作成して、異なるリージョンで使用可能なデータ ソースにアクセスできます。 この機能により、次の機能が提供されます。

  • 1 つの Microsoft Purview インスタンス内の異なるリージョン間で複数のマネージド仮想ネットワーク (最大 5 つ) を作成します。
  • データ所在地やスキャン パフォーマンスに関する潜在的な問題に対処するために、独自のorganization内のネットワーク分離。

次の手順

Private Linkを使用して Microsoft Purview を設定するには、「Microsoft Purview アカウントにプライベート エンドポイントを使用する」を参照してください。