Häufig gestellte Fragen zu privaten Microsoft Purview-Endpunkten und verwalteten VNETs
In diesem Artikel werden häufig gestellte Fragen beantwortet, die Kunden und Außendienstteams häufig zu Microsoft Purview-Netzwerkkonfigurationen mit Azure Private Link oder verwalteten Microsoft Purview-VNeTs stellen. Es soll Fragen zu Microsoft Purview-Firewalleinstellungen, privaten Endpunkten, DNS-Konfiguration und verwandten Konfigurationen klären.
Informationen zum Einrichten von Microsoft Purview mithilfe von Private Link finden Sie unter Verwenden privater Endpunkte für Ihr Microsoft Purview-Konto. Informationen zum Konfigurieren verwalteter VNETs für ein Microsoft Purview-Konto finden Sie unter Verwenden eines verwalteten VNET mit Ihrem Microsoft Purview-Konto.
Häufige Fragen
Sehen Sie sich die Antworten auf die folgenden häufigen Fragen an.
Wann sollte ich eine selbstgehostete Integration Runtime oder eine verwaltete IR verwenden?
Verwenden Sie eine verwaltete IR, wenn:
- Ihr Microsoft Purview-Konto wird in einer der unterstützten Regionen für verwaltete VNETs bereitgestellt.
- Sie planen, eine der unterstützten Datenquellen durch die verwaltete IR zu überprüfen.
Verwenden Sie eine selbstgehostete Integration Runtime, wenn:
- Sie planen, Datenquellen in Azure IaaS, SaaS-Diensten hinter einem privaten Netzwerk oder in Ihrem lokalen Netzwerk zu überprüfen.
- Ein verwaltetes VNET ist in der Region, in der Ihr Microsoft Purview-Konto bereitgestellt wird, nicht verfügbar.
- Sie planen, alle Quellen zu überprüfen, die nicht unter Unterstützte Quellen für verwaltete VNet-IR aufgeführt sind.
Kann ich sowohl die selbstgehostete Integration Runtime als auch die verwaltete IR in einem Microsoft Purview-Konto verwenden?
Ja Sie können eine oder alle Laufzeitoptionen in einem einzelnen Microsoft Purview-Konto verwenden: Azure IR, Managed IR und selbstgehostete Integration Runtime. Sie können nur eine Laufzeitoption in einer einzelnen Überprüfung verwenden.
Was ist der Zweck der Bereitstellung des privaten Endpunkts des Microsoft Purview-Kontos?
Der private Endpunkt des Microsoft Purview-Kontos wird verwendet, um eine weitere Sicherheitsebene hinzuzufügen, indem Szenarien aktiviert werden, in denen nur Clientaufrufe, die aus dem virtuellen Netzwerk stammen, auf das Konto zugreifen dürfen. Dieser private Endpunkt ist auch eine Voraussetzung für den privaten Endpunkt des Portals.
Was ist der Zweck der Bereitstellung des privaten Endpunkts des Microsoft Purview-Portals?
Der private Endpunkt des Microsoft Purview-Portals stellt private Konnektivität mit dem Microsoft Purview-Governanceportal bereit.
Was ist der Zweck der Bereitstellung der privaten Microsoft Purview-Erfassungsendpunkte?
Microsoft Purview kann Datenquellen in Azure oder einer lokalen Umgebung mithilfe privater Erfassungsendpunkte überprüfen. Drei weitere private Endpunktressourcen werden bereitgestellt und mit von Microsoft Purview verwalteten oder konfigurierten Ressourcen verknüpft, wenn private Erfassungsendpunkte erstellt werden:
- Das Blob ist mit einem verwalteten Microsoft Purview-Speicherkonto verknüpft.
- Die Warteschlange ist mit einem verwalteten Microsoft Purview-Speicherkonto verknüpft.
- -Namespace ist mit einem von Microsoft Purview konfigurierten Event Hub-Namespace verknüpft.
Kann ich eine Datenquelle über einen öffentlichen Endpunkt überprüfen, wenn ein privater Endpunkt in meinem Microsoft Purview-Konto aktiviert ist?
Ja Datenquellen, die nicht über einen privaten Endpunkt verbunden sind, können mithilfe eines öffentlichen Endpunkts überprüft werden, während Microsoft Purview für die Verwendung eines privaten Endpunkts konfiguriert ist.
Kann ich eine Datenquelle über einen Dienstendpunkt überprüfen, wenn ein privater Endpunkt aktiviert ist?
Ja Datenquellen, die nicht über einen privaten Endpunkt verbunden sind, können mithilfe eines Dienstendpunkts überprüft werden, während Microsoft Purview für die Verwendung eines privaten Endpunkts konfiguriert ist.
Stellen Sie sicher, dass Sie vertrauenswürdigen Microsoft-Diensten den Zugriff auf die Ressourcen in der Dienstendpunktkonfiguration der Datenquellenressource in Azure gestatten aktivieren. Wenn Sie beispielsweise Azure Blob Storage überprüfen möchten, in dem die Einstellungen für Firewalls und virtuelle Netzwerke auf ausgewählte Netzwerke festgelegt sind, stellen Sie sicher, dass das Kontrollkästchen Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben als Ausnahme aktiviert ist.
Kann ich eine Datenquelle über einen öffentlichen Endpunkt mithilfe der verwalteten IR überprüfen?
Ja Wenn die Datenquelle vom verwalteten VNET unterstützt wird. Als Voraussetzung müssen Sie einen verwalteten privaten Endpunkt für die Datenquelle bereitstellen.
Kann ich eine Datenquelle über einen Dienstendpunkt mithilfe der verwalteten IR überprüfen?
Ja Wenn die Datenquelle vom verwalteten VNET unterstützt wird. Als Voraussetzung müssen Sie einen verwalteten privaten Endpunkt für die Datenquelle bereitstellen.
Kann ich über ein öffentliches Netzwerk auf das Microsoft Purview-Governanceportal zugreifen, wenn der Zugriff auf öffentliches Netzwerk im Microsoft Purview-Kontonetzwerk auf Verweigern festgelegt ist?
Nein Wenn Sie von einem öffentlichen Endpunkt aus eine Verbindung mit Microsoft Purview herstellen, bei der Öffentlicher Netzwerkzugriff auf Verweigern festgelegt ist, wird die folgende Fehlermeldung angezeigt:
"Nicht autorisiert für den Zugriff auf dieses Microsoft Purview-Konto. Dieses Microsoft Purview-Konto befindet sich hinter einem privaten Endpunkt. Greifen Sie auf das Konto von einem Client im selben virtuellen Netzwerk (VNet) zu, das für den privaten Endpunkt des Microsoft Purview-Kontos konfiguriert wurde."
Verwenden Sie in diesem Fall zum Öffnen des Microsoft Purview-Governanceportals entweder einen Computer, der im selben virtuellen Netzwerk wie der private Endpunkt des Microsoft Purview-Portals bereitgestellt wird, oder einen virtuellen Computer, der mit Ihrem CorpNet verbunden ist, in dem Hybridkonnektivität zulässig ist.
Ist es möglich, den Zugriff auf das verwaltete Microsoft Purview-Speicherkonto und den Event Hub-Namespace (nur für die Erfassung privater Endpunkte) einzuschränken, aber den Portalzugriff für Benutzer über das Web aktiviert zu lassen?
Ja Sie können die Microsoft Purview-Firewalleinstellung auf Deaktiviert für die Erfassung (Vorschau) konfigurieren. Wenn Sie diese Option auswählen, ist der Zugriff auf Ihr Microsoft Purview-Konto über die API und das Microsoft Purview-Governanceportal zulässig. Der Zugriff auf öffentliche Netzwerke ist jedoch für das verwaltete Speicherkonto und den Event Hub Ihres Microsoft Purview-Kontos auf deaktiviert festgelegt.
Wenn der Zugriff auf öffentliches Netzwerk auf Zulassen festgelegt ist, bedeutet dies, dass auf das verwaltete Speicherkonto und den Event Hub-Namespace von jedem Benutzer zugegriffen werden kann?
Nein Als geschützte Ressourcen ist der Zugriff auf das verwaltete Microsoft Purview-Speicherkonto und den Event Hub-Namespace nur mit RBAC-Authentifizierungsschemas auf Microsoft Purview beschränkt. Diese Ressourcen werden mit einer Ablehnungszuweisung für alle Prinzipale bereitgestellt, die verhindert, dass Anwendungen, Benutzer oder Gruppen Zugriff auf sie erhalten.
Weitere Informationen zur Azure-Ablehnungszuweisung finden Sie unter Grundlegendes zu Azure-Ablehnungszuweisungen.
Welche Authentifizierungstypen werden unterstützt, wenn ich einen privaten Endpunkt verwende?
Hängt vom Authentifizierungstyp ab, der vom Datenquellentyp unterstützt wird, z. B. SQL-Authentifizierung, Windows-Authentifizierung, Standardauthentifizierung, Dienstprinzipal usw., die in Azure Key Vault gespeichert sind. MSI kann nicht verwendet werden.
Welche Authentifizierungstypen werden unterstützt, wenn ich die verwaltete IR verwende?
Hängt vom Authentifizierungstyp ab, der vom Datenquellentyp unterstützt wird, z. B. SQL-Authentifizierung, Windows-Authentifizierung, Standardauthentifizierung, Dienstprinzipal usw., die in Azure Key Vault oder MSI gespeichert sind.
Welche privaten DNS-Zonen sind für Microsoft Purview für einen privaten Endpunkt erforderlich?
Für private Endpunkte des Microsoft Purview-Kontos und -Portals :
privatelink.purview.azure.com
Für private Microsoft Purview-Erfassungsendpunkte :
privatelink.blob.core.windows.net
privatelink.queue.core.windows.net
privatelink.servicebus.windows.net
Muss ich ein dediziertes virtuelles Netzwerk und ein dediziertes Subnetz verwenden, wenn ich private Microsoft Purview-Endpunkte bereitfüge?
Nein Muss jedoch im Zielsubnetz deaktiviert werden, PrivateEndpointNetworkPolicies
bevor Sie die privaten Endpunkte bereitstellen. Erwägen Sie die Bereitstellung von Microsoft Purview in einem virtuellen Netzwerk, das über Netzwerkkonnektivität mit virtuellen Datenquellennetzwerken über VNET-Peering und Zugriff auf ein lokales Netzwerk verfügt, wenn Sie beabsichtigen, datenquellenübergreifende Datenquellen zu überprüfen.
Weitere Informationen finden Sie unter Deaktivieren von Netzwerkrichtlinien für private Endpunkte.
Kann ich private Microsoft Purview-Endpunkte bereitstellen und vorhandene private DNS-Zonen in meinem Abonnement verwenden, um die A-Einträge zu registrieren?
Ja Die DNS-Zonen Ihres privaten Endpunkts können in einem Hub- oder Datenverwaltungsabonnement für alle internen DNS-Zonen zentralisiert werden, die für Microsoft Purview und alle Datenquelleneinträge erforderlich sind. Wir empfehlen diese Methode, damit Microsoft Purview Datenquellen mithilfe der internen IP-Adressen des privaten Endpunkts auflösen kann.
Außerdem müssen Sie eine virtuelle Netzwerkverbindung für virtuelle Netzwerke für die vorhandene private DNS-Zone einrichten.
Kann ich Azure Integration Runtime verwenden, um Datenquellen über einen privaten Endpunkt zu überprüfen?
Nein Sie müssen eine selbstgehostete Integration Runtime bereitstellen und registrieren, um Daten mithilfe privater Konnektivität zu überprüfen. Azure Key Vault oder Dienstprinzipal muss als Authentifizierungsmethode für Datenquellen verwendet werden.
Kann ich die verwaltete IR verwenden, um Datenquellen über einen privaten Endpunkt zu überprüfen?
Wenn Sie planen, die verwaltete IR zum Überprüfen einer der unterstützten Datenquellen zu verwenden, erfordert die Datenquelle einen verwalteten privaten Endpunkt, der in microsoft Purview Managed VNet erstellt wird. Weitere Informationen finden Sie unter Verwaltete Microsoft Purview-VNETs.
Welche Ausgehenden Ports und Firewallanforderungen gelten für virtuelle Computer mit selbstgehostetem Integration Runtime für Microsoft Purview, wenn Sie einen privaten Endpunkt verwenden?
Die virtuellen Computer, auf denen die selbstgehostete Integration Runtime bereitgestellt wird, müssen über ausgehenden Zugriff auf Azure-Endpunkte und eine private Microsoft Purview-IP-Adresse über Port 443 verfügen.
Muss ich ausgehenden Internetzugriff von dem virtuellen Computer aus aktivieren, auf dem die selbstgehostete Integration Runtime ausgeführt wird, wenn ein privater Endpunkt aktiviert ist?
Nein Es wird jedoch erwartet, dass der virtuelle Computer, auf dem die selbstgehostete Integration Runtime ausgeführt wird, über eine interne IP-Adresse über Port 443 eine Verbindung mit Ihrem instance von Microsoft Purview herstellen kann. Verwenden Sie gängige Tools zur Problembehandlung für Namensauflösung und Konnektivitätstests, z. B. nslookup.exe und Test-NetConnection.
Muss ich weiterhin private Endpunkte für mein Microsoft Purview-Konto bereitstellen, wenn ich ein verwaltetes VNET verwende?
Wenn der öffentliche Zugriff im Microsoft Purview-Konto auf Verweigern festgelegt ist, sind mindestens ein Konto und ein privates Portal erforderlich. Mindestens ein Konto, ein Portal und ein privater Erfassungsendpunkt sind erforderlich, wenn der öffentliche Zugriff im Microsoft Purview-Konto auf Verweigern festgelegt ist und Sie planen, zusätzliche Datenquellen mithilfe einer selbstgehosteten Integration Runtime zu überprüfen.
Welche eingehende und ausgehende Kommunikation ist über einen öffentlichen Endpunkt für verwaltete Microsoft Purview-VNETs zulässig?
Es ist keine eingehende Kommunikation in ein verwaltetes VNET aus einem öffentlichen Netzwerk zulässig. Alle Ports werden für die ausgehende Kommunikation geöffnet. In Microsoft Purview kann ein verwaltetes VNET verwendet werden, um eine private Verbindung mit Azure-Datenquellen herzustellen, um während der Überprüfung Metadaten zu extrahieren.
Warum erhalte ich die folgende Fehlermeldung, wenn ich versuche, das Microsoft Purview-Governanceportal von meinem Computer aus zu starten?
"Dieses Microsoft Purview-Konto befindet sich hinter einem privaten Endpunkt. Greifen Sie auf das Konto von einem Client im selben virtuellen Netzwerk (VNet) zu, das für den privaten Endpunkt des Microsoft Purview-Kontos konfiguriert wurde."
Wahrscheinlich wird Ihr Microsoft Purview-Konto mithilfe von Private Link bereitgestellt, und der öffentliche Zugriff ist für Ihr Microsoft Purview-Konto deaktiviert. Daher müssen Sie das Microsoft Purview-Governanceportal von einem virtuellen Computer aus durchsuchen, der über interne Netzwerkkonnektivität mit Microsoft Purview verfügt.
Wenn Sie eine Verbindung von einem virtuellen Computer hinter einem Hybridnetzwerk herstellen oder einen mit Ihrem virtuellen Netzwerk verbundenen Jumpcomputer verwenden, verwenden Sie gängige Tools zur Problembehandlung für Namensauflösung und Konnektivitätstests, z. B. nslookup.exe und Test-NetConnection.
Überprüfen Sie, ob Sie die folgenden Adressen über die privaten IP-Adressen Ihres Microsoft Purview-Kontos auflösen können.
Web.Purview.Azure.com
<YourPurviewAccountName>.Purview.Azure.com
Überprüfen Sie die Netzwerkkonnektivität mit Ihrem Microsoft Purview-Konto mithilfe des folgenden PowerShell-Befehls:
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
Überprüfen Sie Ihre standortübergreifende DNS-Konfiguration, wenn Sie Ihre eigene DNS-Auflösungsinfrastruktur verwenden.
Weitere Informationen zu DNS-Einstellungen für private Endpunkte finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
Kann ich private Endpunkte, die einem Microsoft Purview-Konto oder dessen verwalteten Ressourcen zugeordnet sind, in ein anderes Azure-Abonnement oder eine andere Ressourcengruppe verschieben?
Nein Verschiebungsvorgänge für private Endpunkte "Konto", "Portal" oder "Erfassung" werden nicht unterstützt. Weitere Informationen finden Sie unter Verschieben von Netzwerkressourcen in eine neue Ressourcengruppe oder ein neues Abonnement.
Nächste Schritte
Informationen zum Einrichten von Microsoft Purview mithilfe von Private Link finden Sie unter Verwenden privater Endpunkte für Ihr Microsoft Purview-Konto.