以私密且安全方式连接到 Microsoft Purview 帐户

本指南介绍如何为 Microsoft Purview 帐户部署专用终结点，以便仅从 VNet 和专用网络连接到 Microsoft Purview 帐户。 若要实现此目标，需要为 Microsoft Purview 帐户部署帐户 和 门户 专用终结点。

重要

目前，使用新 Microsoft Purview 门户Microsoft Purview 实例只能使用 引入专用终结点。

Microsoft Purview 帐户 专用终结点用于通过启用仅允许从虚拟网络中发起的客户端调用访问 Microsoft Purview 帐户的方案来添加另一层安全层。 此专用终结点也是门户专用终结点的先决条件。

需要 Microsoft Purview 门户 专用终结点才能使用专用网络连接到 Microsoft Purview 治理门户 。

注意

如果仅创建 帐户 和 门户 专用终结点，则无法运行任何扫描。 若要在专用网络上启用扫描，还需要 创建引入专用终结点。

有关Azure 专用链接服务的详细信息，请参阅专用链接和专用终结点以了解详细信息。

部署检查表

使用本指南，可以为现有的 Microsoft Purview 帐户部署这些专用终结点：

1. 选择适当的 Azure 虚拟网络和子网来部署Microsoft Purview 专用终结点。 选择下列选项之一：

   • 在 Azure 订阅中部署 新的虚拟网络 。
   • 在 Azure 订阅中找到现有的 Azure 虚拟网络和子网。

2. 定义适当的 DNS 名称解析方法，以便可以通过专用 IP 地址访问Microsoft Purview 帐户和 Web 门户。 可以使用以下任一选项：

   • 使用本指南中进一步介绍的步骤部署新的 Azure DNS 区域。
   • 使用本指南中进一步介绍的步骤，将所需的 DNS 记录添加到现有 Azure DNS 区域。
   • 完成本指南中的步骤后，手动在现有 DNS 服务器中添加所需的 DNS A 记录。

3. 为 现有 Microsoft Purview 帐户部署帐户和门户专用终结点。

4. 如果专用网络将网络安全组规则设置为拒绝所有公共 Internet 流量，则启用对Microsoft Entra ID的访问。

5. 完成本指南后，根据需要调整 DNS 配置。

6. 验证从管理计算机到 Microsoft Purview 的网络和名称解析。

启用 帐户 和 门户 专用终结点

可通过两种方式为现有 Microsoft Purview 帐户 添加 Microsoft Purview 帐户和 门户 专用终结点：

• 使用 Azure 门户 (Microsoft Purview 帐户) 。
• 使用专用链接中心。

使用 Azure 门户 (Microsoft Purview 帐户)

1. 转到Azure 门户，然后选择Microsoft Purview 帐户，在“设置”下选择“网络”，然后选择“专用终结点连接”。

   

2. 选择“ + 专用终结点 ”以创建新的专用终结点。

3. 填写基本信息。

4. 在“ 资源 ”选项卡上的“ 资源类型”中，选择 “Microsoft.Purview/accounts”。

5. 对于“ 资源”，请选择“Microsoft Purview 帐户”，对于 “目标子资源”，请选择“ 帐户”。

6. 在“配置”选项卡上，选择虚拟网络，并选择“Azure 专用 DNS区域”以创建新的 Azure DNS 区域。

   注意

   对于 DNS 配置，还可以使用下拉列表中的现有 Azure 专用 DNS区域，或稍后手动将所需的 DNS 记录添加到 DNS 服务器。 有关详细信息，请参阅 为专用终结点配置 DNS 名称解析

7. 转到摘要页，然后选择“ 创建 ”以创建门户专用终结点。

8. 为目标子资源选择门户时，请执行相同的步骤。

使用专用链接中心

1. 转到“Azure 门户”。

2. 在页面顶部的搜索栏中，搜索专用链接，并通过选择第一个选项转到“专用链接”窗格。

3. 选择“ + 添加”，并填写基本详细信息。

   

4. 对于 “资源”，请选择已Microsoft Purview 帐户创建的。 对于 “目标子资源”，选择“ 帐户”。

5. 在“ 配置 ”选项卡上，选择虚拟网络和专用 DNS 区域。 转到摘要页，然后选择“ 创建 ”以创建帐户专用终结点。

注意

为目标子资源选择门户时，请执行相同的步骤。

启用对Microsoft Entra ID的访问

注意

如果 VM、VPN 网关或 VNet 对等互连网关具有公共 Internet 访问权限，则它可以访问 Microsoft Purview 门户以及使用专用终结点启用的 Microsoft Purview 帐户。 因此，无需按照其余说明进行操作。 如果专用网络将网络安全组规则设置为拒绝所有公共 Internet 流量，则需要添加一些规则来启用Microsoft Entra ID访问。 按照说明执行此操作。

这些说明介绍了如何从 Azure VM 安全地访问 Microsoft Purview。 如果使用 VPN 或其他虚拟网络对等网关，则必须遵循类似的步骤。

1. 转到Azure 门户中的 VM，然后在“设置”下选择“网络”。 然后依次选择“ 出站端口规则”、“ 添加出站端口规则”。

   

2. 在 “添加出站安全规则 ”窗格中：

   1. 在 “目标”下，选择“ 服务标记”。
   2. 在 “目标服务标记”下，选择“ AzureActiveDirectory”。
   3. 在 “目标端口范围”下，选择“*”。
   4. 在 “操作”下，选择“ 允许”。
   5. 在 “优先级”下，该值应高于拒绝所有 Internet 流量的规则。

   创建规则。

   

3. 按照相同的步骤创建另一个规则以允许 AzureResourceManager 服务标记。 如果需要访问Azure 门户，还可以为 AzurePortal 服务标记添加规则。

4. 连接到 VM 并打开浏览器。 通过选择 Ctrl+Shift+J 转到浏览器控制台，并切换到“网络”选项卡以监视网络请求。 在 URL 框中输入 web.purview.azure.com，并尝试使用Microsoft Entra凭据登录。 登录可能会失败，在主机上的“网络”选项卡上，可以看到Microsoft Entra ID尝试访问 aadcdn.msauth.net 但遭到阻止。

   

5. 在这种情况下，请在 VM 上打开命令提示符，ping aadcdn.msauth.net，获取其 IP，然后在 VM 的网络安全规则中添加 IP 的出站端口规则。 将 “目标 ”设置为 “IP 地址” ，并将 “目标 IP 地址 ”设置为 aadcdn IP。 由于Azure 负载均衡器和 Azure 流量管理器，Microsoft Entra内容分发网络 IP 可能是动态的。 获取其 IP 后，最好将其添加到 VM 的主机文件中，以强制浏览器访问该 IP 以获取Microsoft Entra内容分发网络。

   

   

6. 创建新规则后，返回到 VM，并尝试再次使用Microsoft Entra凭据登录。 如果登录成功，则Microsoft Purview 门户即可使用。 但在某些情况下，Microsoft Entra ID会重定向到其他域，以便根据客户的帐户类型登录。 例如，对于 live.com 帐户，Microsoft Entra ID重定向到 live.com 登录，然后再次阻止这些请求。 对于Microsoft员工帐户，Microsoft Entra ID访问 msft.sts.microsoft.com 以获取登录信息。

   检查浏览器“ 网络 ”选项卡上的网络请求，查看哪些域的请求被阻止，重做上一步以获取其 IP，并在网络安全组中添加出站端口规则以允许请求该 IP。 如果可能，请将 URL 和 IP 添加到 VM 的主机文件以修复 DNS 解析。 如果知道确切的登录域的 IP 范围，还可以直接将它们添加到网络规则中。

7. 现在，Microsoft Entra登录应该会成功。 Microsoft Purview 门户将成功加载，但列出所有Microsoft Purview 帐户不起作用，因为它只能访问特定的 Microsoft Purview 帐户。 输入 web.purview.azure.com/resource/{PurviewAccountName} 以直接访问已成功为其设置了专用终结点的 Microsoft Purview 帐户。

后续步骤

• 验证专用终结点的解析
• 在 Microsoft Purview 中管理数据源
• 排查 Microsoft Purview 帐户的专用终结点配置问题