Microsoft Purview 中治理解决方案的专用终结点
重要
本文介绍 Microsoft Purview 门户中治理解决方案的专用终结点 (https://purview.microsoft.com/) 。 如果使用经典治理门户 (https://web.purview.azure.com) ,请按照 经典门户中专用终结点的文档进行操作。
可以使用专用链接来保护对Microsoft Purview 数据目录和数据映射的访问,并保护 Microsoft Purview 与专用网络之间的数据流量。 Azure 专用链接和 Azure 网络专用终结点用于跨Microsoft基础结构路由流量,而不是使用 Internet。 若要了解有关Azure 专用链接的详细信息,请参阅:什么是Azure 专用链接?
专用终结点是一种单一定向技术,允许客户端启动到给定服务的连接,但不允许服务启动到客户网络的连接。 对于多租户服务,此模型提供链接标识符来阻止访问同一服务中托管的其他客户的资源。 使用专用终结点时,只能使用集成从服务访问一组有限的其他 PaaS 资源。
如果需要通过专用连接扫描 Azure 虚拟网络和本地数据源内的 Azure IaaS 和 PaaS 数据源,则可以部署 引入 专用终结点。 此方法可确保从数据源流向Microsoft Purview 数据映射的元数据的网络隔离。
可以部署 平台 专用终结点,以仅允许客户端调用源自专用网络内的 Microsoft Purview 治理门户,并使用专用网络连接连接到 Microsoft Purview 治理门户。
重要
专用终结点可确保组织在 Azure 中的用户流量和资源,遵循组织配置的专用链接网络路径,并且可以将 Microsoft Purview 配置为拒绝来自该网络路径外部的所有请求。
但是,对于外部源,专用终结点不会管理所有网络流量。 若要配置来自非 Azure 基础结构(例如本地基础结构)的流量隔离,需要配置 ExpressRoute 或虚拟专用网络,并使用集成运行时进一步保护数据源。
先决条件
在为 Microsoft Purview 治理资源和 Microsoft Purview 门户部署专用终结点之前,请确保满足以下先决条件:
- 具有活动订阅的 Azure 帐户。 免费创建帐户。
- 若要配置专用终结点,需要是 Microsoft Purview 管理员 ,并在 Azure 中拥有创建和配置资源的权限,例如虚拟机 (VM) 和虚拟网络 (VNet) 。
- 目前,平台专用终结点不支持Azure 数据工厂、Azure 机器学习和Azure Synapse连接,切换后可能无法正常工作。
部署检查表
按照本指南中的进一步说明,可以为现有 Microsoft Purview 帐户部署这些专用终结点:
- 选择适当的 Azure 虚拟网络和子网来部署Microsoft Purview 专用终结点。 选择下列选项之一:
- 在 Azure 订阅中部署 新的虚拟网络 。
- 在 Azure 订阅中找到现有的 Azure 虚拟网络和子网。
- 定义适当的 DNS 名称解析方法,以便可以使用专用网络访问Microsoft Purview 帐户和扫描数据源。
- 创建平台专用终结点。
- 启用引入专用终结点
- 禁用 Microsoft Purview 的公共访问。
- 如果专用网络将网络安全组规则设置为拒绝所有公共 Internet 流量,则启用对Microsoft Entra ID的访问。
- 在同一虚拟网络或对等互连虚拟网络中部署和注册 自承载集成运行时 ,其中部署了 Microsoft Purview 帐户和引入专用终结点。
- 完成本指南后,根据需要调整 DNS 配置。
创建虚拟网络
提示
这些说明将创建基本虚拟网络。 有关虚拟网络选项和功能的详细信息,请参阅 虚拟网络文档。
下一步是创建虚拟网络和子网。 子网所需的 IP 地址数由租户上的容量数加上 3 个组成。 例如,如果要为具有 7 个容量的租户创建子网,则需要 10 个 IP 地址。
将下表中的示例参数替换为自己的参数,以创建虚拟网络和子网。
| 参数 | 值 |
|---|---|
<resource-group-name> |
myResourceGroup |
<virtual-network-name> |
myVirtualNetwork |
<region-name> |
美国中部 |
<address-space> |
10.0.0.0/16 |
<subnet-name> |
mySubnet |
<subnet-address-range> |
10.0.0.0/24 |
打开Azure 门户。
选择“ 创建资源 > 网络 > 虚拟网络” 或在搜索框中搜索 “虚拟网络 ”。
在 “创建虚拟网络”中,在“ 基本信息 ”选项卡中输入或选择以下信息:
设置 值 项目详细信息 订阅 选择 Azure 订阅 资源组 选择“ 新建”,输入 <resource-group-name>,然后选择“ 确定”,或根据参数选择现有<resource-group-name>项。实例详细信息 名称 输入 <virtual-network-name>选择“ IP 地址 ”选项卡,然后输入子网地址范围。
选择“查看 + 创建>”。
定义 DNS 名称解析方法
按照本文操作,选择并部署符合组织需求的 DNS 名称解析方法: 为专用终结点配置 DNS 名称解析。
创建平台专用终结点
下一步是为 Microsoft Purview 创建平台专用终结点。
打开Azure 门户。
选择“创建资源>网络>专用链接”。
在“专用链接中心 - 概述”中,在“与服务建立专用连接”选项下,选择“创建专用终结点”。
在 “创建专用终结点 - 基本信息 ”选项卡中,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择 Azure 订阅 资源组 选择 “myResourceGroup”。 已在上一节中创建此内容 实例详细信息 名称 输入 myPrivateEndpoint。 如果采用此名称,请创建唯一名称。 网络接口名称 由实例名称自动填充。 地区 根据资源组自动选择。 完成该信息后,选择“ 下一步: 资源 ”,然后在 “创建专用终结点 - 资源 ”页中输入或选择以下信息:
设置 值 连接方法 选择“连接到我的目录中的 Azure 资源” 订阅 选择订阅 资源类型 选择 Microsoft.Purview/accounts 资源 选择Microsoft Purview 资源 目标子资源 平台 正确输入该信息后,选择“下一步:虚拟网络”,然后输入或选择以下信息:
设置 值 联网 虚拟网络 选择之前创建的虚拟网络。 子网 选择之前创建的子网。 专用 IP 配置 选择“ 动态分配 IP 地址”。 选择“ 下一步: DNS ”并输入以下信息:
设置 值 与专用 DNS 区域集成 选择“是” 订阅 选择配置 DNS 区域的订阅。 资源组 选择配置 DNS 区域的资源组。 选择“ 下一步:标记 ”,在“标记”页上,可以选择性地添加组织在 Azure 中使用的任何标记。
选择“ 下一步: 查看 + 创建 ”,其中显示“ 查看 + 创建 ”页,其中 Azure 会验证配置。 看到 “验证已通过” 消息时,选择“ 创建”。
启用 引入 专用终结点
转到Azure 门户,搜索并选择Microsoft Purview 帐户。
从 Microsoft Purview 帐户的 “设置” 下,选择“ 网络”,然后选择“ 引入专用终结点连接”。
在“引入专用终结点连接”下,选择“ + 新建 ”以创建新的引入专用终结点。
填写基本信息,选择现有虚拟网络和子网详细信息。 (可选)选择“专用 DNS集成”以使用 Azure 专用 DNS 区域。 从每个列表中选择正确的 Azure 专用 DNS区域。
注意
还可以使用现有的 Azure 专用 DNS区域,或在 DNS 服务器中手动创建 DNS 记录。 有关详细信息,请参阅 为专用终结点配置 DNS 名称解析
选择“ 创建 ”以完成设置。
禁用 Microsoft Purview 的公共访问
若要完全从公共 Internet 切断对 Microsoft Purview 帐户的访问,请执行以下步骤。 此设置适用于专用终结点和引入专用终结点连接。
从Azure 门户转到 Microsoft Purview 帐户,然后在“设置”下,选择“网络”。
转到“ 防火墙 ”选项卡,确保切换开关设置为 “从所有网络禁用”。
启用对Microsoft Entra ID的访问
注意
如果 VM、VPN 网关或虚拟网络对等互连网关具有公共 Internet 访问权限,则它可以访问Microsoft Purview 治理门户以及启用了专用终结点的 Microsoft Purview 帐户。 因此,无需按照其余说明进行操作。 如果专用网络将网络安全组规则设置为拒绝所有公共 Internet 流量,则需要添加一些规则来启用Microsoft Entra ID访问。 按照说明执行此操作。
这些说明介绍了如何从 Azure VM 安全地访问 Microsoft Purview。 如果使用 VPN 或其他虚拟网络对等互连网关,则必须执行类似的步骤。
转到Azure 门户中的 VM,然后在“设置”下选择“网络”。 然后选择“ 出站端口规则>”“添加出站端口规则”。
在 “添加出站安全规则 ”窗格中:
- 在 “目标”下,选择“ 服务标记”。
- 在 “目标服务标记”下,选择“ AzureActiveDirectory”。
- 在 “目标端口范围”下,选择“*”。
- 在 “操作”下,选择“ 允许”。
- 在 “优先级”下,该值应高于拒绝所有 Internet 流量的规则。
创建规则。
按照相同的步骤创建另一个规则以允许 AzureResourceManager 服务标记。 如果需要访问Azure 门户,还可以为 AzurePortal 服务标记添加规则。
连接到 VM 并打开浏览器。 通过选择 Ctrl+Shift+J 转到浏览器控制台,并切换到“网络”选项卡以监视网络请求。 在 URL 框中输入 web.purview.azure.com,并尝试使用Microsoft Entra凭据登录。 登录可能会失败,在主机上的“网络”选项卡上,可以看到Microsoft Entra ID尝试访问 aadcdn.msauth.net 但遭到阻止。
在这种情况下,请在 VM 上打开命令提示符,ping aadcdn.msauth.net,获取其 IP,然后在 VM 的网络安全规则中添加 IP 的出站端口规则。 将 “目标 ”设置为 “IP 地址” ,并将 “目标 IP 地址 ”设置为 aadcdn IP。 由于Azure 负载均衡器和 Azure 流量管理器,Microsoft Entra内容分发网络 IP 可能是动态的。 获取其 IP 后,最好将其添加到 VM 的主机文件中,以强制浏览器访问该 IP 以获取Microsoft Entra内容分发网络。
创建新规则后,返回到 VM,并尝试再次使用Microsoft Entra凭据登录。 如果登录成功,则Microsoft Purview 治理门户可供使用。 但在某些情况下,Microsoft Entra ID会重定向到其他域,以便根据客户的帐户类型登录。 例如,对于 live.com 帐户,Microsoft Entra ID重定向到 live.com 登录,然后再次阻止这些请求。 对于Microsoft员工帐户,Microsoft Entra ID访问 msft.sts.microsoft.com 以获取登录信息。
检查浏览器“ 网络 ”选项卡上的网络请求,查看哪些域的请求被阻止,重做上一步以获取其 IP,并在网络安全组中添加出站端口规则以允许请求该 IP。 如果可能,请将 URL 和 IP 添加到 VM 的主机文件以修复 DNS 解析。 如果知道确切的登录域的 IP 范围,还可以直接将它们添加到网络规则中。
现在,Microsoft Entra登录应该会成功。 Microsoft Purview 治理门户将成功加载,但列出所有Microsoft Purview 帐户不起作用,因为它只能访问特定的 Microsoft Purview 帐户。 输入
web.purview.azure.com/resource/{PurviewAccountName}以直接访问已成功为其设置了专用终结点的 Microsoft Purview 帐户。
部署自承载集成运行时 (IR) 并扫描数据源
为 Microsoft Purview 部署引入专用终结点后,需要设置并注册至少一个自承载集成运行时, (IR) :
所有本地源类型(例如Microsoft SQL Server、Oracle、SAP 等)目前仅通过基于自承载 IR 的扫描受支持。 自承载 IR 必须在专用网络中运行,然后与 Azure 中的虚拟网络对等互连。
对于所有 Azure 源类型(如 Azure Blob 存储 和 Azure SQL 数据库),必须使用部署在同一虚拟网络中的自承载集成运行时显式选择运行扫描,或者部署了 Microsoft Purview 帐户和引入专用终结点的对等互连虚拟网络。
按照 创建和管理自承载集成运行时 中的步骤设置自承载 IR。 然后,通过在 “通过集成运行时连接” 下拉列表中选择该自承载 IR,在 Azure 源上设置扫描,以确保网络隔离。
重要
请确保从 Microsoft下载中心下载并安装最新版本的自承载集成运行时。
测试专用连接
若要测试新的专用终结点,可以在专用虚拟网络中创建虚拟机,并访问平台专用终结点以确保其正常工作。
创建虚拟机 (VM)
下一步是创建 VM。
在Azure 门户屏幕的左上角,选择“创建资源>计算>虚拟机”。
在“ 基本信息 ”选项卡中,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择 Azure 订阅 资源组 选择在上一部分创建的 myResourceGroup 实例详细信息 VM 名称 输入 myVM 地区 选择“ 美国西部” 状态选项 保留默认值 “不需要基础结构冗余” 图像 选择Windows 10 专业版 Size 保留默认Standard DS1 v2 管理员帐户 用户名 输入你选择的用户名 Password 输入你选择的密码。 密码长度必须至少为 12 个字符,并且必须满足 定义的复杂性要求 确认密码 重新输入密码 入站端口规则 公共入站端口 保留默认值 “无” 发 牌 我拥有符合条件的 Windows 10/11 许可证 选中框 选择“ 下一步:磁盘”。
在“ 磁盘 ”选项卡中,保留默认值,然后选择“ 下一步:网络”。
在“ 网络 ”选项卡中,选择以下信息:
设置 值 虚拟网络 保留默认 的 MyVirtualNetwork 地址空间 保留默认值 10.0.0.0/24 子网 保留默认 mySubnet (10.0.0.0/24) 公共 IP 保留默认 (新) myVM-ip 公共入站端口 选择 “允许”已选中 选择入站端口 选择 RDP 然后“审阅 + 创建”。 你将访问“ 查看 + 创建 ”页,其中 Azure 会验证配置。
看到 “验证已通过” 消息时,选择“ 创建”。
使用远程桌面 (RDP) 连接到 VM
创建名为 myVM 的 VM 后,使用以下步骤从 Internet 连接到它:
在门户的搜索栏中,输入 myVM。
选择“ 连接 ”按钮,然后从下拉菜单中选择“ RDP ”。
输入 IP 地址,然后选择“ 下载 RDP 文件”。 Azure 创建远程桌面协议 (.rdp) 文件,并将其下载到计算机。
打开 .rdp 文件以启动远程桌面连接,然后选择“ 连接”。
输入在上一步中创建 VM 时指定的用户名和密码。
选择“确定”。
在登录过程中,可能会收到证书警告。 如果收到证书警告,请选择“ 是 ”或“ 继续”。
从 VM 以私密Microsoft访问 Purview
下一步是使用以下步骤从在上一步中创建的虚拟机私下访问 Microsoft Purview:
在 myVM 的远程桌面中,打开 PowerShell。
输入
nslookup <tenant-object-id>-api.purview-service.microsoft.com。收到类似于以下消息的响应:
Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: <tenantid>-api.purview-service.microsoft.com Address: 10.5.0.4打开浏览器,转到 https://purview.microsoft.com 以私下访问 Microsoft Purview。
完成专用终结点配置
按照前面部分中的步骤操作并成功配置专用链接后,组织将根据以下配置选择实现专用链接,无论选择是在初始配置上设置还是稍后更改。
如果正确配置了Azure 专用链接,并且启用了“阻止公共 Internet 访问”:
- Microsoft Purview 只能供组织从专用终结点访问,不能从公共 Internet 访问。
- 来自虚拟网络目标终结点和支持专用链接的方案的流量通过专用链接传输。
- 来自面向终结点的虚拟网络的流量以及不支持专用链接的方案将被服务阻止,并且不起作用。
- 可能存在不支持专用链接的方案,因此启用“ 阻止公共 Internet 访问 ”后,会在服务中阻止专用链接。
如果正确配置了Azure 专用链接并禁用了“阻止公共 Internet 访问”:
- Microsoft Purview 服务将允许来自公共 Internet 的流量
- 来自虚拟网络目标终结点和支持专用链接的方案的流量通过专用链接传输。
- 来自不支持专用链接的虚拟网络终结点和方案的流量通过公共 Internet 传输,Microsoft Purview 服务将允许。
- 如果虚拟网络配置为阻止公共 Internet 访问,则不支持专用链接的方案将被虚拟网络阻止,并且不起作用。