Microsoft Purview 中治理解決方案的私人端點
重要事項
本文涵蓋 Microsoft Purview https://purview.microsoft.com/ 入口網站 () 中治理解決方案的私人端點。 如果您使用傳統治理入口網站 (https://web.purview.azure.com) ,請遵循 傳統入口網站中私人端點的檔。
您可以使用私人連結來保護 Microsoft Purview 整合式目錄 和數據對應的存取,以及保護 Microsoft Purview 與專用網之間的數據流量。 Azure 私人連結和 Azure 網路私人端點可用來跨Microsoft基礎結構路由傳送流量,而不是使用因特網。 若要深入瞭解一般 Azure Private Link,請參閱:什麼是 Azure Private Link?
私人端點是單一方向技術,可讓用戶端起始對指定服務的連線,但不允許服務起始客戶網路的連線。 針對多租用戶服務,此模型會提供鏈接標識碼,以防止存取相同服務內裝載的其他客戶資源。 當您使用私人端點時,只能使用整合從服務存取一組有限的其他 PaaS 資源。
如果您需要透過私人連線掃描 Azure 虛擬網路和內部部署數據源內的 Azure IaaS 和 PaaS 數據源,您可以部署擷 取 私人端點。 這個方法可確保從數據源流向 Microsoft Purview 資料對應 元數據的網路隔離。
您可以部署 平臺 私人端點,只允許用戶端呼叫源自專用網內的 Microsoft Purview 治理入口網站,並使用專用網連線能力連線到 Microsoft Purview 治理入口網站。
重要事項
私人端點可確保組織在 Azure 內的使用者流量和資源,遵循您組織設定的私人連結網路路徑,而且您可以設定 Microsoft Purview 來拒絕該網路路徑外部的所有要求。
不過,針對外部來源,私人端點不會管理所有網路流量。 您必須設定 ExpressRoute 或虛擬專用網,並使用整合運行時間進一步保護您的數據源,以設定非 Azure 基礎結構的流量隔離,例如內部部署基礎結構。
必要條件
在為Microsoft Purview 治理資源和 Microsoft Purview 入口網站部署私人端點之前,請確定您符合下列必要條件:
- 具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 若要設定私人端點,您必須是 Microsoft Purview 系統管理員 ,而且在 Azure 中具有許可權,才能建立和設定資源,例如虛擬機 (VM) 和虛擬網路 (VNet) 。
- 目前平臺私人端點不支援 Azure Data Factory、Azure Machine Learning 和 Azure Synapse 連線,而且在切換之後可能無法運作。
部署檢查清單
依照本指南中的進一步指示,您可以針對現有的 Microsoft Purview 帳戶部署這些私人端點:
- 選擇適當的 Azure 虛擬網路和子網,以部署Microsoft Purview 私人端點。 選取下列其中一個選項:
- 在您的 Azure 訂用帳戶中部署 新的虛擬網路 。
- 在您的 Azure 訂用帳戶中找出現有的 Azure 虛擬網路和子網。
- 定義適當的 DNS 名稱解析方法,以便存取 Microsoft Purview 帳戶,並使用專用網掃描數據源。
- 建立平臺私人端點。
- 啟用擷取私人端點
- 停用 Microsoft Purview 的公用存取。
- 如果您的專用網已將網路安全組規則設定為拒絕所有公用因特網流量,請啟用存取 Microsoft Entra ID。
- 在部署 Purview 帳戶和擷取私人端點的相同虛擬網路或對等互連虛擬網路內部署和註冊 自我裝載整合運行時間 Microsoft。
- 完成本指南之後,視需要調整 DNS 設定。
建立虛擬網路
提示
這些指示會建立基本虛擬網路。 如需虛擬網路選項和功能的詳細資訊,請參閱 虛擬網路檔。
下一個步驟是建立虛擬網路和子網。 子網所需的IP位址數目是由租使用者上的容量數目加上三個所組成。 例如,如果您要為具有七個容量的租使用者建立子網,您將需要 10 個 IP 位址。
將下表中的範例參數取代為您自己的參數,以建立虛擬網路和子網。
| 參數 | 值 |
|---|---|
<resource-group-name> |
myResourceGroup |
<virtual-network-name> |
myVirtualNetwork |
<region-name> |
美國中部 |
<address-space> |
10.0.0.0/16 |
<subnet-name> |
mySubnet |
<subnet-address-range> |
10.0.0.0/24 |
開啟 Azure 入口網站。
選 取 [建立資源 > 網络 > ] [虛擬網络] ,或在搜尋方塊中搜尋 [虛擬網络 ]。
在 [建立虛擬網络] 中,於 [基本] 索引標籤中輸入或選 取 下列資訊:
設定 值 項目詳細數據 訂閱 選取您的 Azure 訂用帳戶 資源群組 選 取[新建]、輸入 <resource-group-name>,然後選取 [ 確定],或根據參數選取現有的<resource-group-name>。實例詳細數據 名稱 輸入 <virtual-network-name>選取 [IP 位址] 索引 卷標,然後輸入子網位址範圍。
選 取 [檢閱 + 建立>]。
定義 DNS 名稱解析方法
請遵循這篇文章來選取和部署符合貴組織需求的 DNS 名稱解析方法: 設定私人端點的 DNS 名稱解析。
建立平臺私人端點
下一個步驟是建立 Microsoft Purview 的平臺私人端點。
開啟 Azure 入口網站。
選取 [建立資源>網络 > Private Link]。
在 [Private Link 中心 - 概觀] 的 [建置服務的私人連線] 選項下,選取 [建立私人端點]。
在 [ 建立私人端點 - 基本] 索引標籤中 ,輸入或選取下列資訊:
設定 值 項目詳細數據 訂閱 選取您的 Azure 訂用帳戶 資源群組 選取 [myResourceGroup]。 您已在上一節中建立此專案 實例詳細數據 名稱 輸入 myPrivateEndpoint。 如果使用此名稱,請建立唯一的名稱。 網路介面名稱 由實例名稱自動填入。 區域 根據您的資源群組自動選取。 該資訊完成後,請選取 [下一步:資源] ,然後在 [ 建立私人端點 - 資源 ] 頁面中,輸入或選取下列資訊:
設定 值 Connection 方法 選取 [連線到我目錄中的 Azure 資源] 訂閱 選取您的訂用帳戶 資源類型 選 取 Microsoft.Purview/accounts 資源 選取您的 Microsoft Purview 資源 目標子資源 平台 正確輸入該信息之後,請選取 [下一步:虛擬網路],然後輸入或選取下列資訊:
設定 值 聯網 虛擬網路 選取您稍早建立的虛擬網路。 子網路 選取您稍早建立的子網。 私人IP組態 選 取 [動態配置 IP 位址]。 選 取 [下一步:DNS] ,然後輸入下列資訊:
設定 值 與私人 DNS 區域整合 選取 [是] 訂閱 選取 DNS 區域設定所在的訂用帳戶。 資源群組 選取 DNS 區域設定所在的資源群組。 選 取 [下一步:卷標 ],您可以在 [標記] 頁面上選擇性地新增組織在 Azure 中使用的任何卷標。
選 取 [下一步:檢閱 + 建立] ,其中會顯示 Azure 驗證設定的 [ 檢閱 + 建立 ] 頁面。 當您看到 驗證傳遞 的訊息時,請選取 [ 建立]。
啟用 擷取 私人端點
移至 Azure 入口網站,搜尋並選取您的 Microsoft Purview 帳戶。
從您的 Microsoft Purview 帳戶,在 [設定] 下 選取 [ 網络],然後選取 [ 擷取私人端點連線]。
在 [擷取私人端點連線] 下,選取 [ + 新增 ] 以建立新的擷取私人端點。
填入基本資訊,選取您現有的虛擬網路和子網詳細數據。 選擇性地選取 私用 DNS 整合以使用 Azure 私用 DNS 區域。 從每個清單中選取正確的 Azure 私用 DNS 區域。
注意事項
您也可以使用現有的 Azure 私用 DNS 區域,或在 DNS 伺服器中手動建立 DNS 記錄。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析
選 取 [建立 ] 以完成設定。
停用 Microsoft Purview 的公用存取
若要完全從公用因特網截斷對 Microsoft Purview 帳戶的存取,請遵循下列步驟。 此設定同時適用於私人端點和擷取私人端點連線。
從 Azure 入口網站,移至 Microsoft Purview 帳戶,然後在 [設定] 底下選取 [網络]。
移至 [ 防火牆] 索引 標籤,並確定切換已設定為 [ 停用所有網络]。
啟用存取 Microsoft Entra ID
注意事項
如果您的 VM、VPN 閘道或虛擬網路對等互連閘道具有公用因特網存取權,它可以存取 Microsoft Purview 治理入口網站,以及啟用私人端點的 Microsoft Purview 帳戶。 基於這個理由,您不需要遵循其餘的指示。 如果您的專用網已將網路安全組規則設定為拒絕所有公用因特網流量,您必須新增一些規則來啟用 Microsoft Entra ID 存取。 請遵循指示來執行此動作。
提供這些指示來安全地從 Azure VM 存取 Microsoft Purview。 如果您使用 VPN 或其他虛擬網路對等互連閘道,則必須遵循類似的步驟。
移至 Azure 入口網站 中的 VM,然後在 [設定] 底下選取 [網络]。 然後選 取 [輸出埠規則>][新增輸出埠規則]。
在 [ 新增輸出安全性規則] 窗格上:
- 在 [ 目的地] 底下,選取 [服務卷標]。
- 在 [目的地服務卷標] 下,選取 [AzureActiveDirectory]。
- 在 [目的地埠範圍] 底下,選取 [*]。
- 在 [ 動作] 底下,選取 [ 允許]。
- 在 [優先順序] 底下,值應該高於拒絕所有因特網流量的規則。
建立規則。
請遵循相同的步驟來建立另一個規則,以允許 AzureResourceManager 服務標籤。 如果您需要存取 Azure 入口網站,您也可以新增 AzurePortal 服務標籤的規則。
線上到 VM 並開啟瀏覽器。 選取 Ctrl+Shift+J 以移至瀏覽器主控台,然後切換至 [網络] 索引標籤以監視網路要求。 在 URL 方塊中輸入 web.purview.azure.com,然後嘗試使用您的 Microsoft Entra 認證登入。 登入可能會失敗,而在控制台的 [網络] 索引標籤上,您可以看到 Microsoft Entra ID 嘗試存取 aadcdn.msauth.net 但遭到封鎖。
在此情況下,請在 VM 上開啟命令提示字元、ping aadcdn.msauth.net、取得其 IP,然後在 VM 的網路安全性規則中新增 IP 的輸出埠規則。 將 [目的地 ] 設定為 [IP 位址] ,並將 [ 目的地 IP 位址 ] 設定為 aadcdn IP。 由於 Azure Load Balancer 和 Azure 流量管理員,Microsoft Entra 內容傳遞網路 IP 可能是動態的。 取得IP之後,最好將它新增至VM的主機檔案,以強制瀏覽器造訪該IP以取得 Microsoft Entra內容傳遞網路。
建立新規則之後,請返回 VM,然後再次嘗試使用您的 Microsoft Entra 認證登入。 如果登入成功,則 Microsoft Purview 治理入口網站已可供使用。 但在某些情況下,Microsoft Entra ID 會重新導向至其他網域,以根據客戶的帳戶類型登入。 例如,針對 live.com 帳戶,Microsoft Entra ID 重新導向至 live.com 以登入,然後再次封鎖這些要求。 針對Microsoft員工帳戶,Microsoft Entra ID 存取 msft.sts.microsoft.com 以取得登入資訊。
檢查瀏覽器 [ 網路 ] 索引標籤上的網路要求,以查看哪些網域的要求遭到封鎖、重做上一個步驟以取得其IP,並在網路安全組中新增輸出埠規則以允許該IP的要求。 可能的話,請將 URL 和 IP 新增至 VM 的主機檔案,以修正 DNS 解析。 如果您知道確切登入網域的IP範圍,您也可以直接將它們新增至網路規則。
現在您的 Microsoft Entra 登入應該會成功。 Microsoft Purview 治理入口網站將會成功載入,但列出所有Microsoft Purview 帳戶將無法運作,因為它只能存取特定的 Microsoft Purview 帳戶。 輸入
web.purview.azure.com/resource/{PurviewAccountName}以直接造訪您成功設定私人端點的 Microsoft Purview 帳戶。
將自我裝載整合運行時間部署 (IR) 並掃描您的數據源
為 Microsoft Purview 部署擷取私人端點之後,您必須設定並註冊至少一個自我裝載整合運行時間 (IR) :
所有內部部署來源類型,例如 Microsoft SQL Server、Oracle、SAP 和其他類型,目前僅透過自我裝載 IR 型掃描支援。 自我裝載 IR 必須在您的專用網內執行,然後與 Azure 中的虛擬網路對等互連。
對於所有 Azure 來源類型,例如 Azure Blob 儲存體 和 Azure SQL Database,您必須明確選擇使用部署在相同虛擬網路或對等互連虛擬網路中的自我裝載整合運行時間來執行掃描,其中會部署 Microsoft Purview 帳戶和擷取私人端點。
請遵循 建立和管理自我裝載整合運行時間 中的步驟來設定自我裝載 IR。 然後在 [透過 整合運行時間連線 ] 下拉式清單中選擇該自我裝載 IR,以在 Azure 來源上設定掃描,以確保網路隔離。
重要事項
請務必從Microsoft 下載中心下載並安裝最新版的自我裝載整合運行時間。
測試您的私人連線
若要測試新的私人端點,您可以在私人虛擬網路內建立虛擬機,並存取您的平臺私人端點,以確保其運作正常。
建立虛擬機 (VM)
下一個步驟是建立 VM。
在您 Azure 入口網站 畫面的左上角,選取 [建立資源>計算>虛擬機]。
在 [ 基本] 索引標籤中 ,輸入或選取下列資訊:
設定 值 項目詳細數據 訂閱 選取您的 Azure 訂用帳戶 資源群組 選取您在上一節中建立的 myResourceGroup 實例詳細數據 VM 名稱 輸入 myVM 區域 選取 [美國西部] 可預約時間選項 保留預設 [不需要基礎結構備援] 影像 選取 [Windows 10 專業版 大小 保留預設 Standard DS1 v2 系統管理員帳戶 使用者名稱 輸入您選擇的用戶名稱 密碼 輸入您選擇的密碼。 密碼長度至少必須為 12 個字元,且符合定義的 複雜性需求 確認密碼 重新輸入密碼 輸入埠規則 公用輸入通訊埠 保留預設 [ 無] 發 牌 我有合格的 Windows 10/11 授權 複選框 選 取 [下一步:磁碟]。
在 [ 磁碟] 索引標籤中 ,保留預設值,然後選取 [ 下一步:網络]。
在 [ 網络] 索引標籤 中,選取下列資訊:
設定 值 虛擬網路 保留預設 的 MyVirtualNetwork 地址空間 保留預設 值 10.0.0.0/24 子網路 保留預設 的 mySubnet (10.0.0.0/24) 公用 IP 將預設 值保留 (新的) myVM-ip 公用輸入通訊埠 選 取 [允許選取] 選取輸入埠 選取 RDP 然後 [檢閱 + 建立]。 系統會帶您前往 Azure 驗證設定的 [ 檢閱 + 建立 ] 頁面。
當您看到 驗證傳遞 的訊息時,請選取 [ 建立]。
使用遠端桌面連線到 VM (RDP)
建立名為 myVM 的 VM 之後,請使用下列步驟從因特網連線到 VM:
在入口網站的搜尋列中,輸入 myVM。
選取 [ 連線] 按鈕,然後從下拉功能表中選擇 [RDP ]。
輸入IP位址,然後選取 [下載 RDP 檔案]。 Azure 會建立遠端桌面通訊協定 (.rdp) 檔案,並將它下載到您的電腦。
開啟 .rdp 檔案以啟動遠端桌面連線,然後選取 [ 連線]。
輸入您在上一個步驟中建立 VM 時指定的使用者名稱和密碼。
選取 [確定]。
您可能會在登入程式期間收到憑證警告。 如果您收到憑證警告,請選取 [ 是 ] 或 [ 繼續]。
從 VM 私下存取 Microsoft Purview
下一個步驟是使用下列步驟,從您在上一個步驟中建立的虛擬機,私下存取 Microsoft Purview:
在 myVM 的遠端桌面中,開啟 PowerShell。
輸入
nslookup <tenant-object-id>-api.purview-service.microsoft.com。您會收到類似下列訊息的回應:
Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: <tenantid>-api.purview-service.microsoft.com Address: 10.5.0.4開啟瀏覽器,並前往 https://purview.microsoft.com 以私人方式存取 Microsoft Purview。
完成私人端點設定
一旦您已遵循上一節中的步驟並成功設定私人連結,您的組織就會根據下列組態選取專案來實作私人連結,不論選取專案是在初始設定或更新版本變更時設定。
如果 Azure Private Link 已正確設定,且已啟用[封鎖公用因特網存取]:
- Microsoft Purview 只能讓您的組織從私人端點存取,而且無法從公用因特網存取。
- 來自以端點為目標的虛擬網路流量,以及支援私人連結的案例會透過私人鏈接傳輸。
- 來自以端點為目標的虛擬網路流量,以及不支援私人連結的案例,將會遭到服務封鎖,且無法運作。
- 可能有不支援私人連結的案例,因此在啟用 封鎖公 用因特網存取時,服務會遭到封鎖。
如果 Azure Private Link 已正確設定,且已停用 [封鎖公用因特網存取]:
- Microsoft Purview 服務會允許來自公用因特網的流量
- 來自以端點為目標的虛擬網路流量,以及支援私人連結的案例會透過私人鏈接傳輸。
- 來自以端點為目標的虛擬網路流量,以及不支援私人連結的案例,會透過公用因特網傳輸,並由 Microsoft Purview 服務允許。
- 如果虛擬網路設定為封鎖公用因特網存取,則不支援私人連結的案例會遭到虛擬網路封鎖,且無法運作。