Поделиться через

Частное и безопасное подключение к учетной записи Microsoft Purview

  • Статья

В этом руководстве вы узнаете, как развернуть частные конечные точки для учетной записи Microsoft Purview, чтобы вы могли подключаться к учетной записи Microsoft Purview только из виртуальных сетей и частных сетей. Для достижения этой цели необходимо развернуть частные конечные точки учетной записи и портала для учетной записи Microsoft Purview.

Важно!

В настоящее время экземпляры Microsoft Purview, использующие новый портал Microsoft Purview , могут использовать только частные конечные точки приема.

Частная конечная точка учетной записи Microsoft Purview используется для добавления еще одного уровня безопасности путем включения сценариев, в которых доступ к учетной записи Microsoft Purview разрешен только клиентским вызовам, исходящим из виртуальной сети. Эта частная конечная точка также является необходимым условием для частной конечной точки портала.

Частная конечная точка портала Microsoft Purview необходима для подключения к порталу управления Microsoft Purview с помощью частной сети.

Примечание.

Если вы создаете только частные конечные точки учетной записи и портала , вы не сможете выполнять сканирование. Чтобы включить сканирование в частной сети, необходимо также создать частную конечную точку приема.

Схема, на которую показана архитектура Microsoft Purview и Приватный канал.

Дополнительные сведения о службе Приватный канал Azure см. в разделе Приватные каналы и частные конечные точки.

Контрольный список развертывания

С помощью этого руководства можно развернуть следующие частные конечные точки для существующей учетной записи Microsoft Purview:

  1. Выберите соответствующую виртуальную сеть Azure и подсеть для развертывания частных конечных точек Microsoft Purview. Выберите один из приведенных ниже вариантов.

    • Разверните новую виртуальную сеть в подписке Azure.
    • Найдите существующую виртуальную сеть Azure и подсеть в подписке Azure.

  2. Определите подходящий метод разрешения DNS-имен, чтобы доступ к учетной записи Microsoft Purview и веб-порталу можно было получить через частные IP-адреса. Можно использовать любой из следующих вариантов:

    • Разверните новые зоны Azure DNS, выполнив действия, описанные далее в этом руководстве.
    • Добавьте необходимые записи DNS в существующие зоны Azure DNS, выполнив действия, описанные далее в этом руководстве.
    • После выполнения действий, описанных в этом руководстве, добавьте необходимые записи DNS A на существующие DNS-серверы вручную.

  3. Развертывание частных конечных точек учетной записи и портала для существующей учетной записи Microsoft Purview.

  4. Включите доступ к Microsoft Entra ID если в вашей частной сети настроены правила группы безопасности сети, запрещающие весь общедоступный интернет-трафик.

  5. После завершения работы с этим руководством при необходимости настройте конфигурации DNS.

  6. Проверьте сеть и разрешение имен с компьютера управления на Microsoft Purview.

Включение частной конечной точки учетной записи и портала

Существует два способа добавить учетную запись Microsoft Purview и частные конечные точки портала для существующей учетной записи Microsoft Purview:

  • Используйте портал Azure (учетная запись Microsoft Purview).
  • Используйте центр Приватный канал.

Использование портал Azure (учетная запись Microsoft Purview)

  1. Перейдите к портал Azure, а затем выберите учетную запись Microsoft Purview, а затем в разделе Параметры выберите Сеть, а затем выберите Подключения к частной конечной точке.

    Снимок экрана: создание частной конечной точки учетной записи.

  2. Выберите + Частная конечная точка , чтобы создать новую частную конечную точку.

  3. Заполните основные сведения.

  4. На вкладке Ресурс в поле Тип ресурса выберите Microsoft.Purview/accounts.

  5. В поле Ресурс выберите учетную запись Microsoft Purview, а в поле Целевой подресурс выберите учетная запись.

  6. На вкладке Конфигурация выберите виртуальную сеть и при необходимости выберите Azure Частная зона DNS зону, чтобы создать новую зону Azure DNS.

    Примечание.

    Для настройки DNS можно также использовать существующие зоны Azure Частная зона DNS из раскрывающегося списка или добавить необходимые записи DNS на DNS-серверы вручную позже. Дополнительные сведения см. в статье Настройка разрешения DNS-имен для частных конечных точек.

  7. Перейдите на страницу сводки и выберите Создать , чтобы создать частную конечную точку портала.

  8. Выполните те же действия при выборе портала для целевого подресурса.

  1. Перейдите на портал Azure.

  2. В строке поиска в верхней части страницы найдите приватную ссылку и перейдите в область Приватный канал, выбрав первый вариант.

  3. Выберите + Добавить и введите основные сведения.

    Снимок экрана: создание частных конечных точек из центра Приватный канал.

  4. В поле Ресурс выберите уже созданную учетную запись Microsoft Purview. В поле Целевой подресурс выберите учетная запись.

  5. На вкладке Конфигурация выберите виртуальную сеть и частную зону DNS. Перейдите на страницу сводки и выберите Создать , чтобы создать частную конечную точку учетной записи.

Примечание.

Выполните те же действия при выборе портала для целевого подресурса.

Включение доступа к Microsoft Entra ID

Примечание.

Если виртуальная машина, VPN-шлюз или шлюз пиринга виртуальных сетей имеет общедоступный доступ к Интернету, она может получить доступ к порталу Microsoft Purview и учетной записи Microsoft Purview, включенной с частными конечными точками. По этой причине вам не нужно следовать остальным инструкциям. Если в вашей частной сети установлены правила группы безопасности сети, запрещающие весь общедоступный интернет-трафик, необходимо добавить некоторые правила, чтобы включить доступ Microsoft Entra ID. Следуйте инструкциям.

Эти инструкции предоставляются для безопасного доступа к Microsoft Purview с виртуальной машины Azure. Аналогичные действия необходимо выполнить, если вы используете VPN или другие шлюзы пиринга виртуальной сети.

  1. Перейдите к виртуальной машине в портал Azure и в разделе Параметры выберите Сеть. Затем выберите Правила исходящего порта, Добавить правило исходящего порта.

    Снимок экрана: добавление правила для исходящего трафика.

  2. На панели Добавление правила безопасности для исходящего трафика выполните следующие действия.

    1. В разделе Назначение выберите Тег службы.
    2. В разделе Тег службы назначения выберите AzureActiveDirectory.
    3. В разделе Диапазоны портов назначения выберите *.
    4. В разделе Действие выберите Разрешить.
    5. В разделе Приоритет значение должно быть выше правила, запрещающего весь интернет-трафик.

    Создайте правило.

    Снимок экрана: добавление сведений о правиле для исходящего трафика.

  3. Выполните те же действия, чтобы создать другое правило для разрешения тега службы AzureResourceManager . Если вам нужно получить доступ к портал Azure, можно также добавить правило для тега службы AzurePortal.

  4. Подключитесь к виртуальной машине и откройте браузер. Перейдите в консоль браузера, нажав клавиши CTRL+SHIFT+J, и перейдите на вкладку "Сеть", чтобы отслеживать сетевые запросы. Введите web.purview.azure.com в поле URL-адрес и попытайтесь войти с помощью учетных данных Microsoft Entra. Вероятно, вход завершится ошибкой, и на вкладке Сеть на консоли вы увидите, Microsoft Entra ID пытается получить доступ к aadcdn.msauth.net, но блокируется.

    Снимок экрана: сведения о сбое входа.

  5. В этом случае откройте командную строку на виртуальной машине, проверьте связь aadcdn.msauth.net, получите его IP-адрес, а затем добавьте правило исходящего порта для IP-адреса в правилах безопасности сети виртуальной машины. Задайте для параметра Назначениезначение IP-адреса, а ip-адреса назначения — IP-адрес aadcdn. Из-за Azure Load Balancer и диспетчера трафика Azure IP-адрес сети доставки содержимого Microsoft Entra может быть динамическим. После получения IP-адреса лучше добавить его в файл узла виртуальной машины, чтобы заставить браузер посетить этот IP-адрес, чтобы получить Microsoft Entra сеть доставки содержимого.

    Снимок экрана, на котором показана проверка проверки.

    Снимок экрана: правило сети доставки содержимого Microsoft Entra.

  6. После создания нового правила вернитесь к виртуальной машине и повторите попытку входа, используя учетные данные Microsoft Entra. Если вход выполнен успешно, портал Microsoft Purview готов к использованию. Но в некоторых случаях Microsoft Entra ID перенаправления на другие домены для входа в зависимости от типа учетной записи клиента. Например, для учетной записи live.com Microsoft Entra ID перенаправления на live.com для входа, а затем эти запросы снова блокируются. Для учетных записей сотрудников Майкрософт Microsoft Entra ID обращается к msft.sts.microsoft.com для получения сведений о входе.

    Проверьте сетевые запросы на вкладке "Сеть " браузера, чтобы узнать, какие запросы домена блокируются, повторите предыдущий шаг, чтобы получить его IP-адрес, и добавьте правила исходящего порта в группу безопасности сети, чтобы разрешить запросы для этого IP-адреса. По возможности добавьте URL-адрес и IP-адрес в файл узла виртуальной машины, чтобы исправить разрешение DNS. Если вы знаете точные диапазоны IP-адресов домена входа, вы также можете напрямую добавить их в сетевые правила.

  7. Теперь ваш Microsoft Entra вход должен быть успешным. Портал Microsoft Purview загрузится успешно, но перечисление всех учетных записей Microsoft Purview не будет работать, так как он может получить доступ только к определенной учетной записи Microsoft Purview. Введите web.purview.azure.com/resource/{PurviewAccountName} , чтобы напрямую посетить учетную запись Microsoft Purview, для которую вы успешно настроили частную конечную точку.

Дальнейшие действия