Conectarse a Microsoft Purview y examinar orígenes de datos de forma privada y segura

En esta guía, aprenderá a implementar puntos de conexión privados de cuenta, portal e ingesta para su cuenta de Microsoft Purview para acceder a la cuenta de Purview y examinar orígenes de datos mediante un entorno de ejecución de integración autohospedado de forma segura y privada, lo que permite el aislamiento de red de un extremo a otro.

El punto de conexión privado de la cuenta de Microsoft Purview se usa para agregar otra capa de seguridad habilitando escenarios en los que solo las llamadas de cliente que se originan desde dentro de la red virtual pueden acceder a la cuenta de Microsoft Purview. Este punto de conexión privado también es un requisito previo para el punto de conexión privado del portal.

El punto de conexión privado del portal de Microsoft Purview es necesario para habilitar la conectividad con el portal de gobernanza de Microsoft Purview mediante una red privada.

Microsoft Purview puede examinar orígenes de datos en Azure o en un entorno local mediante puntos de conexión privados de ingesta . Se necesitan tres recursos de punto de conexión privados para implementarse y vincularse a recursos administrados o configurados de Microsoft Purview cuando se implementa el punto de conexión privado de ingesta:

• El punto de conexión privado de blobs está vinculado a una cuenta de almacenamiento administrada de Microsoft Purview.
• El punto de conexión privado de cola está vinculado a una cuenta de almacenamiento administrada de Microsoft Purview.
• el punto de conexión privado de espacio de nombres está vinculado a un espacio de nombres de Event Hub configurado por Microsoft Purview.

Lista de comprobación de implementación

Con una de las opciones de implementación que se explican más adelante en esta guía, puede implementar una nueva cuenta de Microsoft Purview con puntos de conexión privados de cuenta, portal e ingesta , o bien puede optar por implementar estos puntos de conexión privados para una cuenta de Microsoft Purview existente:

1. Elija una red virtual de Azure adecuada y una subred para implementar puntos de conexión privados de Microsoft Purview. Seleccione una de las siguientes opciones:

   • Implemente una nueva red virtual en la suscripción de Azure.
   • Busque una red virtual de Azure existente y una subred en la suscripción de Azure.

2. Defina un método de resolución de nombres DNS adecuado para que pueda acceder a la cuenta de Microsoft Purview y examinar orígenes de datos mediante una red privada. Puede usar cualquiera de las siguientes opciones:

   • Implemente nuevas zonas de Azure DNS con los pasos que se explican más adelante en esta guía.
   • Agregue los registros DNS necesarios a las zonas DNS de Azure existentes mediante los pasos que se explican más adelante en esta guía.
   • Después de completar los pasos de esta guía, agregue manualmente los registros A de DNS necesarios en los servidores DNS existentes.

3. Implemente una nueva cuenta de Microsoft Purview con puntos de conexión privados de cuenta, portal e ingesta, o implemente puntos de conexión privados para una cuenta de Microsoft Purview existente.

4. Habilite el acceso a Azure Active Directory si la red privada tiene reglas de grupo de seguridad de red establecidas para denegar todo el tráfico público de Internet.

5. Implemente y registre el entorno de ejecución de integración autohospedado dentro de la misma red virtual o una red virtual emparejada donde se implementan la cuenta de Microsoft Purview y los puntos de conexión privados de ingesta.

6. Después de completar esta guía, ajuste las configuraciones de DNS si es necesario.

7. Valide la resolución de nombres y la red entre la máquina de administración, la máquina virtual de IR autohospedada y los orígenes de datos a Microsoft Purview.

   Nota:

   Si habilita un centro de eventos administrado después de implementar el punto de conexión privado de ingesta, tendrá que volver a implementar el punto de conexión privado de ingesta.

Opción 1: Implementación de una nueva cuenta de Microsoft Purview con puntos de conexión privados de cuenta, portal e ingesta

1. Vaya a la Azure Portal y, a continuación, vaya a la página Cuentas de Microsoft Purview. Seleccione + Crear para crear una nueva cuenta de Microsoft Purview.

2. Rellene la información básica y, en la pestaña Redes , establezca el método de conectividad en Punto de conexión privado. Establezca habilitar el punto de conexión privado en Cuenta, Portal e ingesta.

3. En Cuenta y portal , seleccione + Agregar para agregar un punto de conexión privado para la cuenta de Microsoft Purview.

   

4. En la página Crear un punto de conexión privado , en el sub resource de Microsoft Purview, elija su ubicación, proporcione un nombre para el punto de conexión privado de la cuenta y seleccione cuenta. En redes, seleccione la red virtual y la subred y, opcionalmente, seleccione Integrar con la zona DNS privada para crear una nueva zona de Azure DNS privado.

   

   Nota:

   También puede usar las zonas de Azure DNS privado existentes o crear registros DNS en los servidores DNS manualmente más adelante. Para obtener más información, consulte Configuración de la resolución de nombres DNS para puntos de conexión privados.

5. Seleccione Aceptar.

6. En Asistente para cuenta y portal , vuelva a seleccionar +Agregar para agregar el punto de conexión privado del portal .

7. En la página Crear un punto de conexión privado , en Sub-recurso de Microsoft Purview, elija su ubicación, proporcione un nombre para el punto de conexión privado del portal y seleccione Portal. En redes, seleccione la red virtual y la subred y, opcionalmente, seleccione Integrar con la zona DNS privada para crear una nueva zona de Azure DNS privado.

   

   Nota:

   También puede usar las zonas de Azure DNS privado existentes o crear registros DNS en los servidores DNS manualmente más adelante. Para obtener más información, consulte Configuración de la resolución de nombres DNS para puntos de conexión privados.

8. Seleccione Aceptar.

9. En Ingesta, configure los puntos de conexión privados de ingesta proporcionando detalles para Suscripción, Red virtual y Subred que desea emparejar con el punto de conexión privado.

10. Opcionalmente, seleccione DNS privado integración para usar Azure DNS privado Zones.

    

    Importante

    Es importante seleccionar zonas de Azure DNS privado correctas para permitir la resolución correcta de nombres entre Microsoft Purview y los orígenes de datos. También puede usar las zonas de Azure DNS privado existentes o crear registros DNS en los servidores DNS manualmente más adelante. Para obtener más información, consulte Configuración de la resolución de nombres DNS para puntos de conexión privados.

11. Seleccione Revisar + Crear. En la página Revisar y crear , Azure valida la configuración.

12. Cuando vea el mensaje "Validación pasada", seleccione Crear.

Opción 2: Habilitar la cuenta, el portal y el punto de conexión privado de ingesta en cuentas de Microsoft Purview existentes

1. Vaya a la Azure Portal y, a continuación, seleccione la cuenta de Microsoft Purview y, en Configuración, seleccione Redes y, a continuación, seleccione Conexiones de punto de conexión privado.

   

2. Seleccione + Punto de conexión privado para crear un nuevo punto de conexión privado.

3. Rellene la información básica.

4. En la pestaña Recurso , en Tipo de recurso, seleccione Microsoft.Purview/accounts.

5. En Recurso, seleccione la cuenta de Microsoft Purview y, en Subaprovisionamiento de destino, seleccione Cuenta.

6. En la pestaña Configuración, seleccione la red virtual y, opcionalmente, seleccione Azure DNS privado zona para crear una nueva zona DNS de Azure.

   Nota:

   Para la configuración de DNS, también puede usar las zonas de Azure DNS privado existentes en la lista desplegable o agregar manualmente los registros DNS necesarios a los servidores DNS más adelante. Para obtener más información, consulte Configuración de la resolución de nombres DNS para puntos de conexión privados.

7. Vaya a la página de resumen y seleccione Crear para crear el punto de conexión privado de la cuenta.

8. Repita los pasos del 2 al 7 para crear el punto de conexión privado del portal. Asegúrese de seleccionar portal para El sub recurso de destino.

9. En la cuenta de Microsoft Purview, en Configuración , seleccione Redes y, a continuación, seleccione Ingesta de conexiones de punto de conexión privado.

10. En Conexiones de punto de conexión privado de ingesta, seleccione + Nuevo para crear un nuevo punto de conexión privado de ingesta.

    

11. Rellene la información básica y seleccione la red virtual existente y los detalles de una subred. Opcionalmente, seleccione DNS privado integración para usar Azure DNS privado Zones. Seleccione Azure DNS privado Zones correcto en cada lista.

    Nota:

    También puede usar las zonas de Azure DNS privado existentes o crear registros DNS en los servidores DNS manualmente más adelante. Para obtener más información, consulte Configuración de la resolución de nombres DNS para puntos de conexión privados.

12. Seleccione Crear para finalizar la configuración.

Habilitación del acceso a Azure Active Directory

Nota:

Si la máquina virtual, la puerta de enlace de VPN o la puerta de enlace de emparejamiento de red virtual tienen acceso público a Internet, puede acceder al portal de gobernanza de Microsoft Purview y a la cuenta de Microsoft Purview habilitada con puntos de conexión privados. Por este motivo, no es necesario seguir el resto de las instrucciones. Si la red privada tiene establecidas reglas de grupo de seguridad de red para denegar todo el tráfico público de Internet, deberá agregar algunas reglas para habilitar el acceso a Azure Active Directory (Azure AD). Siga las instrucciones para hacerlo.

Estas instrucciones se proporcionan para acceder a Microsoft Purview de forma segura desde una máquina virtual de Azure. Se deben seguir pasos similares si usa VPN u otras puertas de enlace de emparejamiento de red virtual.

1. Vaya a la máquina virtual en el Azure Portal y, en Configuración, seleccione Redes. A continuación, seleccione Reglas >de puerto de salidaAgregar regla de puerto de salida.

   

2. En el panel Agregar regla de seguridad de salida :

   1. En Destino, seleccione Etiqueta de servicio.
   2. En Etiqueta de servicio de destino, seleccione AzureActiveDirectory.
   3. En Intervalos de puertos de destino, seleccione *.
   4. En Acción, seleccione Permitir.
   5. En Prioridad, el valor debe ser mayor que la regla que denegó todo el tráfico de Internet.

   Cree la regla.

   

3. Siga los mismos pasos para crear otra regla para permitir la etiqueta de servicio AzureResourceManager . Si necesita acceder a la Azure Portal, también puede agregar una regla para la etiqueta de servicio AzurePortal.

4. Conéctese a la máquina virtual y abra el explorador. Vaya a la consola del explorador seleccionando Ctrl+Mayús+J y cambie a la pestaña red para supervisar las solicitudes de red. Escriba web.purview.azure.com en el cuadro URL e intente iniciar sesión con sus credenciales de Azure AD. Es probable que se produzca un error en el inicio de sesión y, en la pestaña Red de la consola, puede ver que Azure AD intenta acceder a aadcdn.msauth.net pero se bloquea.

   

5. En este caso, abra un símbolo del sistema en la máquina virtual, haga ping aadcdn.msauth.net, obtenga su dirección IP y, a continuación, agregue una regla de puerto de salida para la dirección IP en las reglas de seguridad de red de la máquina virtual. Establezca destino en Direcciones IP y establezca Direcciones IP de destino en la dirección IP de aadcdn. Debido a Azure Load Balancer y Azure Traffic Manager, la dirección IP de la red de entrega de contenido de Azure AD podría ser dinámica. Después de obtener su dirección IP, es mejor agregarla al archivo host de la máquina virtual para forzar al explorador a visitar esa dirección IP para obtener la red de entrega de contenido de Azure AD.

   

   

6. Una vez creada la nueva regla, vuelva a la máquina virtual e intente iniciar sesión con las credenciales de Azure AD de nuevo. Si el inicio de sesión se realiza correctamente, el portal de gobernanza de Microsoft Purview está listo para usarse. Pero en algunos casos, Azure AD redirige a otros dominios para iniciar sesión en función del tipo de cuenta de un cliente. Por ejemplo, para una cuenta de live.com, Azure AD redirige a live.com para iniciar sesión y, a continuación, esas solicitudes se bloquean de nuevo. En el caso de las cuentas de empleados de Microsoft, Azure AD accede a msft.sts.microsoft.com para obtener información de inicio de sesión.

   Compruebe las solicitudes de red en la pestaña Redes del explorador para ver qué solicitudes de dominio se bloquean, vuelva a realizar el paso anterior para obtener su dirección IP y agregue reglas de puerto de salida en el grupo de seguridad de red para permitir solicitudes para esa dirección IP. Si es posible, agregue la dirección URL y la dirección IP al archivo host de la máquina virtual para corregir la resolución DNS. Si conoce los intervalos IP exactos del dominio de inicio de sesión, también puede agregarlos directamente a las reglas de red.

7. Ahora el inicio de sesión de Azure AD debería ser correcto. El portal de gobernanza de Microsoft Purview se cargará correctamente, pero enumerar todas las cuentas de Microsoft Purview no funcionará porque solo puede acceder a una cuenta específica de Microsoft Purview. Escriba web.purview.azure.com/resource/{PurviewAccountName} para visitar directamente la cuenta de Microsoft Purview para la que configuró correctamente un punto de conexión privado.

Implemente el entorno de ejecución de integración autohospedado (IR) y examine los orígenes de datos.

Una vez implementados los puntos de conexión privados de ingesta para Microsoft Purview, debe configurar y registrar al menos un entorno de ejecución de integración autohospedado (IR):

• Actualmente, todos los tipos de origen locales, como Microsoft SQL Server, Oracle, SAP y otros, solo se admiten a través de exámenes autohospedados basados en IR. El entorno de ejecución de integración autohospedado debe ejecutarse dentro de la red privada y, a continuación, emparejarse con la red virtual en Azure.

• Para todos los tipos de origen de Azure, como Azure Blob Storage y Azure SQL Database, debe elegir explícitamente ejecutar el examen mediante un entorno de ejecución de integración autohospedado que se implemente en la misma red virtual o en una red virtual emparejada donde se implementan la cuenta de Microsoft Purview y los puntos de conexión privados de ingesta.

Siga los pasos descritos en Creación y administración de un entorno de ejecución de integración autohospedado para configurar un entorno de ejecución de integración autohospedado. A continuación, configure el examen en el origen de Azure eligiendo esa instancia de IR autohospedada en la lista desplegable Conectar a través de Integration Runtime para garantizar el aislamiento de red.

Importante

Asegúrese de descargar e instalar la versión más reciente del entorno de ejecución de integración autohospedado desde el Centro de descarga de Microsoft.

Firewalls para restringir el acceso público

Para cortar completamente el acceso a la cuenta de Microsoft Purview desde la red pública de Internet, siga estos pasos. Esta configuración se aplica tanto al punto de conexión privado como a las conexiones de punto de conexión privado de ingesta.

1. En el Azure Portal, vaya a la cuenta de Microsoft Purview y, en Configuración, seleccione Redes.

2. Vaya a la pestaña Firewall y asegúrese de que el botón de alternancia esté establecido en Deshabilitar desde todas las redes.

   

Siguientes pasos

• Comprobación de la resolución de puntos de conexión privados
• Administración de orígenes de datos en Microsoft Purview
• Solución de problemas de configuración de punto de conexión privado para la cuenta de Microsoft Purview