連線到您的 Microsoft Purview,並私下且安全地掃描數據源
重要事項
本文涵蓋傳統 Microsoft Purview 治理入口網站 () https://web.purview.azure.com 的私人端點。 如果您使用新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) ,請遵循 Microsoft Purview 入口網站中私人端點的檔。
在本指南中,您將瞭解如何為Microsoft Purview 帳戶部署 帳戶、_portal和擷 取 私人端點,以安全且私下地使用自我裝載整合運行時間存取 purview 帳戶和掃描數據源,以啟用端對端網路隔離。=
Microsoft Purview 帳戶 私人端點可用來新增另一層安全性,方法是啟用只允許來自虛擬網路內的用戶端呼叫存取 Microsoft Purview 帳戶的案例。 此私人端點也是入口網站私人端點的必要條件。
需要Microsoft Purview 入口 網站 私人端點,才能啟用使用專用網 Microsoft Purview 治理入口 網站的連線。
Microsoft Purview 可以使用擷 取 私人端點來掃描 Azure 或內部部署環境中的數據源。 視您的帳戶部署日期和設定而定,部署私人端點時,最多需要部署三個私人端點資源,並連結至 Microsoft Purview 設定的資源:
如果您針對 kafka 通知使用受控事件中樞,命名空間私人端點會連結至 Microsoft Purview 設定的事件中樞命名空間。
如果您的帳戶是在 2023 年 12 月 15 日之前建立的:
- Blob 私人端點會連結至 Microsoft Purview 受控記憶體帳戶。
- 佇列私人端點會連結至 Microsoft Purview 受控記憶體帳戶。
如果您的帳戶是在 2023 年 12 月 15 日之後建立, (或使用 API 版本 2023-05-01-preview 部署,) :
- Blob 私人端點會連結至 Microsoft Purview 擷取記憶體。
- 佇列私人端點會連結至 Microsoft Purview 擷取記憶體。
部署檢查清單
依照本指南中的進一步指示,您可以針對現有的 Microsoft Purview 帳戶部署這些私人端點:
選擇適當的 Azure 虛擬網路和子網,以部署Microsoft Purview 私人端點。 選取下列其中一個選項:
- 在您的 Azure 訂用帳戶中部署 新的虛擬網路 。
- 在您的 Azure 訂用帳戶中找出現有的 Azure 虛擬網路和子網。
定義適當的 DNS 名稱解析方法,以便存取 Microsoft Purview 帳戶,並使用專用網掃描數據源。 您可以使用下列任何選項:
- 使用本指南進一步說明的步驟來部署新的 Azure DNS 區域。
- 使用本指南進一步說明的步驟,將必要的 DNS 記錄新增至現有的 Azure DNS 區域。
- 完成本指南中的步驟之後,請在現有的 DNS 伺服器中手動新增必要的 DNS A 記錄。
為 現有的 Microsoft Purview 帳戶部署私人端點。
如果您的專用網已將所有公用因特網流量的網路安全組規則設為拒絕,請啟用存取 Microsoft Entra ID。
在部署 Purview 帳戶和擷取私人端點的相同虛擬網路或對等互連虛擬網路內部署和註冊 自我裝載整合運行時間 Microsoft。
完成本指南之後,視需要調整 DNS 設定。
驗證管理計算機、自我裝載 IR VM 與數據源之間的網路和名稱解析,以Microsoft Purview。
注意事項
如果您在部署擷取私人端點之後,設定 自己的事件中樞命名空間 或啟用受控 事件中樞命名空間 ,則必須重新部署擷取私人端點。
啟用 帳戶 和 入口網站 私人端點
移至 Azure 入口網站,然後選取您的 Microsoft Purview 帳戶,然後在 [設定] 底下選取 [網络],然後選取 [私人端點連線]。
選 取 [+ 私人端點 ] 以建立新的私人端點。
填寫基本資訊。
在 [ 資源] 索引標籤上,針對 [ 資源類型] 選 取 [Microsoft.Purview/accounts]。
針對 [資源],選取 [Microsoft Purview 帳戶],然後針對 [目標子資源] 選取 [帳戶]。
在 [組態] 索引標籤上,選取虛擬網路,然後選擇性地選取 [Azure 私用 DNS 區域] 以建立新的 Azure DNS 區域。
注意事項
針對 DNS 設定,您也可以從下拉式清單中使用現有的 Azure 私用 DNS 區域,或稍後手動將必要的 DNS 記錄新增至 DNS 伺服器。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析
移至摘要頁面,然後選取 [建立 ] 以建立帳戶私人端點。
重複步驟 2 到 7,以建立入口網站私人端點。 請務必選取目標子資源的入口網站。
部署 擷取 私人端點
擷取私人端點會從所有Microsoft Purview 實例的 Azure 入口網站 部署,無論您是否使用新的 Microsoft Purview 入口網站和傳統治理入口網站。
移至 Azure 入口網站,然後搜尋並選取您的 Microsoft Purview 帳戶。
從您的 Microsoft Purview 帳戶,在 [設定] 下 選取 [ 網络],然後選取 [ 擷取私人端點連線]。
在 [擷取私人端點連線] 下,選取 [ + 新增 ] 以建立新的擷取私人端點。
填入基本資訊,選取您現有的虛擬網路和子網詳細數據。 選擇性地選取 私用 DNS 整合以使用 Azure 私用 DNS 區域。 從每個清單中選取正確的 Azure 私用 DNS 區域。
注意事項
您也可以使用現有的 Azure 私用 DNS 區域,或稍後在 DNS 伺服器中手動建立 DNS 記錄。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析
選 取 [建立 ] 以建立私人端點。
如果您還沒有整合運行時間,則必須部署自我裝載整合運行時間,以連線到具有私人端點的來源。
設定事件中樞命名空間的網路功能
如果您已設定 事件中樞來回傳送/接收事件,Microsoft Purview 的 Apache Atlas Kafka 主題,則必須確認事件中 樞網路設定 允許通訊。
將自我裝載整合運行時間部署 (IR) 並掃描您的數據源
為 Microsoft Purview 部署擷取私人端點之後,您必須設定並註冊至少一個自我裝載整合運行時間 (IR) :
所有內部部署來源類型,例如 Microsoft SQL Server、Oracle、SAP 和其他類型,目前僅透過自我裝載 IR 型掃描支援。 自我裝載 IR 必須在您的專用網內執行,然後與 Azure 中的虛擬網路對等互連。
針對 Azure Blob 儲存體 和 Azure SQL Database 等所有 Azure 來源類型,您必須明確選擇使用部署在相同虛擬網路或對等互連虛擬網路中的自我裝載整合運行時間來執行掃描,其中會部署 Microsoft Purview 帳戶和擷取私人端點。
請遵循 建立和管理自我裝載整合運行時間 中的步驟來設定自我裝載 IR。 然後在 [透過 整合運行時間連線 ] 下拉式清單中選擇該自我裝載 IR,以在 Azure 來源上設定掃描,以確保網路隔離。
重要事項
請務必從Microsoft 下載中心下載並安裝最新版的自我裝載整合運行時間。
啟用存取 Microsoft Entra ID
注意事項
如果您的 VM、VPN 閘道或 VNet 對等互連閘道具有公用因特網存取權,它可以存取 Microsoft Purview 治理入口網站,以及啟用私人端點的 Microsoft Purview 帳戶。 基於這個理由,您不需要遵循其餘的指示。 如果您的專用網已將網路安全組規則設定為拒絕所有公用因特網流量,您必須新增一些規則來啟用 Microsoft Entra ID 存取。 請遵循指示來執行此動作。
提供這些指示來安全地從 Azure VM 存取 Microsoft Purview。 如果您使用 VPN 或其他虛擬網路對等互連閘道,則必須遵循類似的步驟。
移至 Azure 入口網站 中的虛擬機,然後在 [網络] 底下,選取 [網络設定]。
選 取 [ + 建立埠規則]
選 取輸出埠規則
在 [ 新增輸出安全性規則] 窗格上:
- 在 [ 目的地] 底下,選取 [服務卷標]。
- 在 [目的地服務卷標] 下,選取 [AzureActiveDirectory]。
- 在 [目的地埠範圍] 底下,選取 [*]。
- 在 [ 動作] 底下,選取 [ 允許]。
- 在 [優先順序] 底下,值應該高於拒絕所有因特網流量的規則。
建立規則。
請遵循相同的步驟來建立另一個規則,以允許 AzureResourceManager 服務標籤。 如果您需要存取 Azure 入口網站,您也可以新增 AzurePortal 服務標籤的規則。
線上到 VM 並開啟瀏覽器。 選取 Ctrl+Shift+J 以移至瀏覽器主控台,然後切換至 [網络] 索引標籤以監視網路要求。 在 [URL] 方塊中輸入 web.purview.azure.com,然後嘗試使用您的 Microsoft Entra 認證登入。 登入可能會失敗,而在控制台的 [網络] 索引標籤上,您可以看到 Microsoft Entra ID 嘗試存取 aadcdn.msauth.net 但遭到封鎖。
在此情況下,請在 VM 上開啟命令提示字元、ping aadcdn.msauth.net、取得其 IP,然後在 VM 的網路安全性規則中新增 IP 的輸出埠規則。 將 [目的地 ] 設定為 [IP 位址] ,並將 [ 目的地 IP 位址 ] 設定為 aadcdn IP。 由於 Azure Load Balancer 和 Azure 流量管理員,Microsoft Entra 內容傳遞網路 IP 可能是動態的。 取得IP之後,最好將它新增至VM的主機檔案,以強制瀏覽器造訪該IP以取得 Microsoft Entra內容傳遞網路。
建立新規則之後,請返回 VM,然後再次嘗試使用您的 Microsoft Entra 認證登入。 如果登入成功,則 Microsoft Purview 治理入口網站已可供使用。 但在某些情況下,Microsoft Entra ID 會重新導向至其他網域,以根據客戶的帳戶類型登入。 例如,針對 live.com 帳戶,Microsoft Entra ID 重新導向至 live.com 以登入,然後再次封鎖這些要求。 針對Microsoft員工帳戶,Microsoft Entra ID 存取 msft.sts.microsoft.com 以取得登入資訊。
檢查瀏覽器 [ 網路 ] 索引標籤上的網路要求,以查看哪些網域的要求遭到封鎖、重做上一個步驟以取得其IP,並在網路安全組中新增輸出埠規則以允許該IP的要求。 可能的話,請將 URL 和 IP 新增至 VM 的主機檔案,以修正 DNS 解析。 如果您知道確切登入網域的IP範圍,您也可以直接將它們新增至網路規則。
現在您的 Microsoft Entra 登入應該已成功。 Microsoft Purview 治理入口網站將會成功載入,但列出所有Microsoft Purview 帳戶將無法運作,因為它只能存取特定的 Microsoft Purview 帳戶。 輸入
web.purview.azure.com/resource/{PurviewAccountName}
以直接造訪您成功設定私人端點的 Microsoft Purview 帳戶。
用來限制公用存取的防火牆
若要完全從公用因特網截斷對 Microsoft Purview 帳戶的存取,請遵循下列步驟。 此設定同時適用於私人端點和擷取私人端點連線。
從 Azure 入口網站 中,移至 Microsoft Purview 帳戶,然後在 [設定] 底下選取 [網络]。
移至 [ 防火牆] 索引 標籤,並確定切換已設定為 [ 停用所有網络]。