Compartilhar via

Pontos finais privados para soluções de governação no Microsoft Purview

  • Artigo

Importante

Este artigo abrange pontos finais privados para soluções de governação no portal do Microsoft Purview (https://purview.microsoft.com/). Se estiver a utilizar o portal de governação clássico (https://web.purview.azure.com), siga a documentação para pontos finais privados no portal clássico.

Pode utilizar ligações privadas para proteger o acesso a Catálogo unificado do Microsoft Purview e Mapa de Dados e proteger o tráfego de dados entre o Microsoft Purview e as suas redes privadas. As ligações privadas do Azure e os pontos finais privados da Rede do Azure são utilizados para encaminhar o tráfego através da infraestrutura da Microsoft, em vez de utilizarem a Internet. Para saber mais sobre Link Privado do Azure em geral, consulte: O que é Link Privado do Azure?

Um ponto final privado é uma tecnologia única e direcional que permite que os clientes iniciem ligações a um determinado serviço, mas não permite que o serviço inicie uma ligação à rede do cliente. Para serviços multi-inquilino, este modelo fornece identificadores de ligação para impedir o acesso aos recursos de outros clientes alojados no mesmo serviço. Quando utiliza pontos finais privados, apenas um conjunto limitado de outros recursos PaaS pode ser acedido a partir de serviços através da integração.

Pode implementar um ponto final privado de ingestão se precisar de analisar origens de dados IaaS e PaaS do Azure dentro de redes virtuais do Azure e origens de dados no local através de uma ligação privada. Este método garante o isolamento de rede para os metadados que fluem das origens de dados para a Mapa de Dados do Microsoft Purview.

Pode implementar um ponto final privado de plataforma para permitir apenas chamadas de cliente para o portal de governação do Microsoft Purview com origem na rede privada e ligar ao portal de governação do Microsoft Purview através de uma conectividade de rede privada.

Importante

Os pontos finais privados garantem que o tráfego de utilizador e os recursos da sua organização no Azure seguem o caminho de rede de ligação privada configurado da sua organização e que pode configurar o Microsoft Purview para negar todos os pedidos externos a esse caminho de rede.

No entanto, para origens externas, os pontos finais privados não gerem todo o tráfego de rede. Para configurar o isolamento de tráfego de infraestruturas não baseadas no Azure, como a infraestrutura no local, tem de configurar o ExpressRoute ou redes privadas virtuais e utilizar runtimes de integração para proteger ainda mais as suas origens de dados.

Pré-requisitos

Antes de implementar pontos finais privados para os recursos de governação do Microsoft Purview e o portal do Microsoft Purview, certifique-se de que cumpre os seguintes pré-requisitos:

  1. Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
  2. Para configurar pontos finais privados, tem de ser um administrador do Microsoft Purview e ter permissões no Azure para criar e configurar recursos como máquinas virtuais (VMs) e redes virtuais (VNets).
  3. Atualmente, as ligações Azure Data Factory, Azure Machine Learning e Azure Synapse não são suportadas com o ponto final privado da plataforma e podem não funcionar após a mudança.

Lista de verificação de implantação

Seguindo as instruções neste guia, pode implementar estes pontos finais privados para uma conta do Microsoft Purview existente:

  1. Escolha uma rede virtual do Azure adequada e uma sub-rede para implementar pontos finais privados do Microsoft Purview. Selecione uma das opções a seguir:
    • Implemente uma nova rede virtual na sua subscrição do Azure.
    • Localize uma rede virtual do Azure existente e uma sub-rede na sua subscrição do Azure.
  2. Defina um método de resolução de nomes DNS adequado, para que possa aceder à conta do Microsoft Purview e analisar origens de dados através de uma rede privada.
  3. Criar um ponto final privado da plataforma.
  4. Ativar pontos finais privados de ingestão
  5. Desative o acesso público para o Microsoft Purview.
  6. Ative o acesso ao Microsoft Entra ID se a sua rede privada tiver regras de grupo de segurança de rede definidas para negar todo o tráfego público da Internet.
  7. Implemente e registe um Runtime de integração autoalojado na mesma rede virtual ou numa rede virtual em modo de peering onde os pontos finais privados de ingestão e conta do Microsoft Purview são implementados.
  8. Depois de concluir este guia, ajuste as configurações de DNS, se necessário.

Criar uma rede virtual

Dica

Estas instruções irão criar uma rede virtual básica. Para obter mais informações sobre as opções e funcionalidades da rede virtual, veja a documentação da rede virtual.

O próximo passo é criar uma rede virtual e uma sub-rede. O número de endereços IP de que a sub-rede irá precisar é constituído pelo número de capacidades no seu inquilino mais três. Por exemplo, se estiver a criar uma sub-rede para um inquilino com sete capacidades, precisará de 10 endereços IP.

Substitua os parâmetros de exemplo na tabela seguinte pela sua própria para criar uma rede virtual e uma sub-rede.

Parâmetro Valor
<resource-group-name> myResourceGroup
<virtual-network-name> myVirtualNetwork
<region-name> EUA Central
<address-space> 10.0.0.0/16
<subnet-name> mySubnet
<subnet-address-range> 10.0.0.0/24

  1. Abra o portal do Azure.

  2. Selecione Criar um recurso > Rede > virtual ou procure Rede virtual na caixa de pesquisa.

  3. Em Criar rede virtual, introduza ou selecione as seguintes informações no separador Informações básicas :

    Configurações Valor
    Detalhes do projeto
    Assinatura Selecione a sua Subscrição do Azure
    Grupo de recursos Selecione Criar novo, introduza <resource-group-name>e, em seguida, selecione OK ou selecione um existente <resource-group-name> com base nos parâmetros.
    Detalhes da instância
    Nome Insira <virtual-network-name>

  4. Selecione o separador Endereços IP e introduza o intervalo de endereços da sub-rede.

  5. Selecione Rever + criar>Criar.

Definir um método de resolução de nomes DNS

Siga este artigo para selecionar e implementar um método de resolução de nomes DNS que se adeque às necessidades da sua organização: Configurar a Resolução de Nomes DNS para pontos finais privados.

Criar um ponto final privado de plataforma

O próximo passo é criar o ponto final privado da plataforma para o Microsoft Purview.

  1. Abra o portal do Azure.

  2. Selecione Criar uma rede de recursos >> Link Privado.

  3. No Link Privado Center - Descrição geral, na opção Para Criar uma ligação privada a um serviço, selecione Criar ponto final privado.

  4. No separador Criar um ponto final privado – Noções Básicas , introduza ou selecione as seguintes informações:

    Configurações Valor
    Detalhes do projeto
    Assinatura Selecione a sua Subscrição do Azure
    Grupo de recursos Selecione myResourceGroup. Criou isto na secção anterior
    Detalhes da instância
    Nome Introduza myPrivateEndpoint. Se este nome for utilizado, crie um nome exclusivo.
    Nome da Interface de Rede Preenchido automaticamente pelo nome da instância.
    Região Selecionado automaticamente com base no seu grupo de recursos.

  5. Quando essas informações estiverem concluídas, selecione Seguinte: Recurso e, na página Criar um ponto final privado – Recurso , introduza ou selecione as seguintes informações:

    Configurações Valor
    Método de ligação Selecionar ligar a um recurso do Azure no meu diretório
    Assinatura Selecione a sua subscrição
    Tipo de recurso Selecione Microsoft.Purview/accounts
    Recurso Selecione o recurso do Microsoft Purview
    Sub-origem de destino Plataforma

  6. Assim que essas informações forem introduzidas corretamente, selecione Seguinte: Rede Virtual e introduza ou selecione as seguintes informações:

    Configurações Valor
    REDE
    Rede virtual Selecione a rede virtual que criou anteriormente.
    Sub-rede Selecione a sub-rede que criou anteriormente.
    Configuração de IP PRIVADO Selecione Alocar dinamicamente o endereço IP.

  7. Selecione Seguinte: DNS e introduza as seguintes informações:

    Configurações Valor
    Integrar com a zona DNS privada Selecione Sim
    Assinatura Selecione a sua subscrição onde a zona DNS está configurada.
    Grupo de recursos Selecione o grupo de recursos onde a zona DNS está configurada.

  8. Selecione Seguinte: Etiquetas e, na página de etiquetas, opcionalmente, pode adicionar quaisquer etiquetas que a sua organização esteja a utilizar no Azure.

  9. Selecione Seguinte: Rever + criar , que apresenta a página Rever + criar onde o Azure valida a configuração. Quando vir a mensagem Validação aprovada , selecione Criar.

Ativar o ponto final privado de ingestão

  1. Aceda à portal do Azure, procure e, em seguida, selecione a sua conta do Microsoft Purview.

  2. Na sua conta do Microsoft Purview, em Definições , selecione Rede e, em seguida, selecione Ingestão de ligações de ponto final privado.

  3. Em Ligações de ponto final privado de ingestão, selecione + Novo para criar um novo ponto final privado de ingestão.

  4. Preencha as informações básicas, selecionando a sua rede virtual existente e os detalhes de uma sub-rede. Opcionalmente, selecione DNS privado integração para utilizar zonas de DNS privado do Azure. Selecione As Zonas de DNS privado do Azure corretas em cada lista.

    Observação

    Também pode utilizar as zonas de DNS privado do Azure existentes ou criar registos DNS nos servidores DNS manualmente. Para obter mais informações, veja Configurar a Resolução de Nomes DNS para pontos finais privados

  5. Selecione Criar para concluir a configuração.

Desativar o acesso público para o Microsoft Purview

Para cortar completamente o acesso à conta do Microsoft Purview a partir da Internet pública, siga estes passos. Esta definição aplica-se ao ponto final privado e às ligações de ponto final privado de ingestão.

  1. No portal do Azure, aceda à conta do Microsoft Purview e, em Definições, selecione Rede.

  2. Aceda ao separador Firewall e certifique-se de que o botão de alternar está definido como Desativar de todas as redes.

Ativar o acesso ao Microsoft Entra ID

Observação

Se a VM, o gateway de VPN ou o gateway de peering de rede virtual tiverem acesso público à Internet, pode aceder ao portal de governação do Microsoft Purview e à conta do Microsoft Purview ativada com pontos finais privados. Por este motivo, não tem de seguir as restantes instruções. Se a sua rede privada tiver regras de grupo de segurança de rede definidas para negar todo o tráfego público da Internet, terá de adicionar algumas regras para ativar Microsoft Entra ID acesso. Siga as instruções para o fazer.

Estas instruções são fornecidas para aceder ao Microsoft Purview de forma segura a partir de uma VM do Azure. Devem ser seguidos passos semelhantes se estiver a utilizar a VPN ou outros gateways de peering de rede virtual.

  1. Aceda à VM no portal do Azure e, em Definições, selecione Rede. Em seguida, selecione Regras > de porta de saídaAdicionar regra de porta de saída.

  2. No painel Adicionar regra de segurança de saída :

    1. Em Destino, selecione Etiqueta de Serviço.
    2. Em Etiqueta de serviço de destino, selecione AzureActiveDirectory.
    3. Em Intervalos de portas de destino, selecione *.
    4. Em Ação, selecione Permitir.
    5. Em Prioridade, o valor deve ser superior à regra que negou todo o tráfego da Internet.

    Crie a regra.

  3. Siga os mesmos passos para criar outra regra para permitir a etiqueta de serviço AzureResourceManager . Se precisar de aceder ao portal do Azure, também pode adicionar uma regra para a etiqueta de serviço AzurePortal.

  4. Ligue-se à VM e abra o browser. Aceda à consola do browser ao selecionar Ctrl+Shift+J e mude para o separador de rede para monitorizar os pedidos de rede. Introduza web.purview.azure.com na caixa URL e tente iniciar sessão com as suas credenciais de Microsoft Entra. Provavelmente, o início de sessão irá falhar e, no separador Rede na consola do , pode ver Microsoft Entra ID a tentar aceder a aadcdn.msauth.net mas a ser bloqueado.

  5. Neste caso, abra uma linha de comandos na VM, faça ping aadcdn.msauth.net, obtenha o IP e, em seguida, adicione uma regra de porta de saída para o IP nas regras de segurança de rede da VM. Defina o Destino como Endereços IP e defina Endereços IP de destino para o IP aadcdn. Devido ao Azure Load Balancer e ao Gestor de Tráfego do Azure, o IP da Rede de Entrega de Conteúdos Microsoft Entra pode ser dinâmico. Depois de obter o IP, é melhor adicioná-lo ao ficheiro anfitrião da VM para forçar o browser a visitar esse IP para obter o Microsoft Entra Rede de Entrega de Conteúdos.

  6. Depois de criar a nova regra, volte à VM e tente iniciar sessão com as credenciais do Microsoft Entra novamente. Se o início de sessão for bem-sucedido, o portal de governação do Microsoft Purview estará pronto para ser utilizado. No entanto, em alguns casos, Microsoft Entra ID redireciona para outros domínios para iniciar sessão com base no tipo de conta de um cliente. Por exemplo, para uma conta live.com, Microsoft Entra ID redireciona para live.com para iniciar sessão e, em seguida, esses pedidos são novamente bloqueados. Para contas de funcionários da Microsoft, Microsoft Entra ID acede a msft.sts.microsoft.com para obter informações de início de sessão.

    Verifique os pedidos de rede no separador Rede do browser para ver que pedidos de domínio estão a ser bloqueados, refazer o passo anterior para obter o IP e adicionar regras de porta de saída no grupo de segurança de rede para permitir pedidos para esse IP. Se possível, adicione o URL e o IP ao ficheiro anfitrião da VM para corrigir a resolução de DNS. Se souber os intervalos de IP exatos do domínio de início de sessão, também pode adicioná-los diretamente às regras de rede.

  7. Agora, o início de sessão Microsoft Entra deverá ser bem-sucedido. O portal de governação do Microsoft Purview será carregado com êxito, mas a listagem de todas as contas do Microsoft Purview não funcionará porque só pode aceder a uma conta específica do Microsoft Purview. Introduza web.purview.azure.com/resource/{PurviewAccountName} para visitar diretamente a conta do Microsoft Purview para a qual configurou com êxito um ponto final privado.

Implementar o runtime de integração autoalojado (IR) e analisar as origens de dados

Depois de implementar pontos finais privados de ingestão para o Microsoft Purview, tem de configurar e registar pelo menos um runtime de integração autoalojado (IR):

  • Todos os tipos de origem no local, como o Microsoft SQL Server, Oracle, SAP e outros, são atualmente suportados apenas através de análises baseadas em IR autoalojadas. O IR autoalojado tem de ser executado na sua rede privada e, em seguida, estar em modo de peering com a sua rede virtual no Azure.

  • Para todos os tipos de origem do Azure, como Armazenamento de Blobs do Azure e Base de Dados SQL do Azure, tem de optar explicitamente por executar a análise através de um runtime de integração autoalojado implementado na mesma rede virtual ou numa rede virtual em modo de peering onde os pontos finais privados de ingestão e conta do Microsoft Purview são implementados.

Siga os passos em Criar e gerir um runtime de integração autoalojado para configurar um IR autoalojado. Em seguida, configure a análise na origem do Azure ao selecionar esse IR autoalojado na lista pendente Ligar através do runtime de integração para garantir o isolamento da rede.

Importante

Certifique-se de que transfere e instala a versão mais recente do runtime de integração autoalojado a partir do centro de transferências da Microsoft.

Testar a ligação privada

Para testar os novos pontos finais privados, pode criar uma máquina virtual na sua rede virtual privada e aceder ao ponto final privado da plataforma para garantir que está a funcionar.

  1. Criar uma máquina virtual (VM).
  2. Ligar a uma VM com o Ambiente de Trabalho Remoto (RDP).
  3. Aceda ao Microsoft Purview em privado a partir da máquina virtual.

Criar uma máquina virtual (VM)

O próximo passo é criar uma VM.

  1. No canto superior esquerdo do ecrã no portal do Azure, selecione > Criar uma Máquina Virtual de Computação de recursos>.

  2. No separador Informações básicas , introduza ou selecione as seguintes informações:

    Configurações Valor
    Detalhes do projeto
    Assinatura Selecione a sua Subscrição do Azure
    Grupo de recursos Selecione myResourceGroup que criou na secção anterior
    Detalhes da instância
    Nome da máquina virtual Introduzir myVM
    Região Selecione E.U.A. Oeste
    Opções de disponibilidade Deixe a predefinição Sem redundância de infraestrutura necessária
    Image Selecione Windows 10 Pro
    Tamanho Mantenha a predefinição Standard DS1 v2
    CONTA DE ADMINISTRADOR
    Nome de usuário Introduza um nome de utilizador à sua escolha
    Senha Introduza uma palavra-passe à sua escolha. A palavra-passe tem de ter, pelo menos, 12 carateres e cumprir os requisitos de complexidade definidos
    Confirmar senha Reintroduzir palavra-passe
    REGRAS DE PORTA DE ENTRADA
    Portas de entrada pública Deixe a predefinição Nenhum
    LICENCIAMENTO
    Tenho uma licença de Windows 10/11 elegível Selecione a caixa

  3. Selecione Seguinte: Discos.

  4. No separador Discos , deixe as predefinições e selecione Seguinte: Rede.

  5. No separador Rede , selecione as seguintes informações:

    Configurações Valor
    Rede virtual Deixe o MyVirtualNetwork predefinido
    Espaço de endereçamento Deixe a predefinição 10.0.0.0/24
    Sub-rede Deixe a mySubnet predefinida (10.0.0.0/24)
    IP público Deixe a predefinição (nova) myVM-ip
    Portas de entrada pública Selecione Permitir selecionado
    Selecionar portas de entrada Selecione RDP

  6. Selecione Rever + criar. É levado para a página Rever + criar , onde o Azure valida a configuração.

  7. Quando vir a mensagem Validação aprovada , selecione Criar.

Ligar a uma VM com o Ambiente de Trabalho Remoto (RDP)

Depois de criar a VM, denominada myVM, ligue-se à mesma a partir da Internet através dos seguintes passos:

  1. Na barra de pesquisa do portal, introduza myVM.

  2. Selecione o botão Ligar e escolha RDP no menu pendente.

  3. Introduza um endereço IP e, em seguida, selecione Transferir Ficheiro RDP. O Azure cria um ficheiro de Protocolo de Ambiente de Trabalho Remoto (.rdp) e transfere-o para o seu computador.

  4. Abra o ficheiro .rdp para iniciar a Ligação ao Ambiente de Trabalho Remoto e, em seguida, selecione Ligar.

  5. Introduza o nome de utilizador e a palavra-passe que especificou ao criar a VM no passo anterior.

  6. Selecione OK.

  7. Poderá receber um aviso de certificado durante o processo de início de sessão. Se receber um aviso de certificado, selecione Sim ou Continuar.

Aceder ao Microsoft Purview em privado a partir da VM

O passo seguinte é aceder ao Microsoft Purview em privado, a partir da máquina virtual que criou no passo anterior, através dos seguintes passos:

  1. No Ambiente de Trabalho Remoto da myVM, abra o PowerShell.

  2. Digite nslookup <tenant-object-id>-api.purview-service.microsoft.com.

  3. Recebe uma resposta semelhante à seguinte mensagem:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    <tenantid>-api.purview-service.microsoft.com
Address:  10.5.0.4

  4. Abra o browser e aceda a https://purview.microsoft.com aceder ao Microsoft Purview em privado.

Conclusão da configuração do ponto final privado

Depois de seguir os passos nas secções anteriores e a ligação privada ser configurada com êxito, a sua organização implementa ligações privadas com base nas seguintes seleções de configuração, quer a seleção esteja definida após a configuração inicial ou posteriormente alterada.

Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso à Internet pública estiver ativado:

  • O Microsoft Purview só está acessível para a sua organização a partir de pontos finais privados e não está acessível a partir da Internet pública.
  • O tráfego da rede virtual destinado a pontos finais e cenários que suportam ligações privadas são transportados através da ligação privada.
  • O tráfego da rede virtual destinado a pontos finais e cenários que não suportam ligações privadas será bloqueado pelo serviço e não funcionará.
  • Podem existir cenários que não suportam ligações privadas, pelo que serão bloqueados no serviço quando a opção Bloquear acesso à Internet pública estiver ativada.

Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver desativado:

  • O tráfego da Internet pública será permitido pelos serviços do Microsoft Purview
  • O tráfego da rede virtual destinado a pontos finais e cenários que suportam ligações privadas são transportados através da ligação privada.
  • O tráfego da rede virtual destinado a pontos finais e cenários que não suportam ligações privadas é transportado através da Internet pública e será permitido pelos serviços do Microsoft Purview.
  • Se a rede virtual estiver configurada para bloquear o acesso público à Internet, os cenários que não suportam ligações privadas serão bloqueados pela rede virtual e não funcionarão."