Preguntas más frecuentes sobre los puntos de conexión privados y las redes virtuales administradas de Microsoft Purview
En este artículo se responden preguntas comunes que los clientes y los equipos de campo suelen preguntar sobre las configuraciones de red de Microsoft Purview mediante Azure Private Link o redes virtuales administradas de Microsoft Purview. Está pensado para aclarar preguntas sobre la configuración del firewall de Microsoft Purview, los puntos de conexión privados, la configuración de DNS y las configuraciones relacionadas.
Para configurar Microsoft Purview mediante Private Link, consulte Uso de puntos de conexión privados para su cuenta de Microsoft Purview. Para configurar redes virtuales administradas para una cuenta de Microsoft Purview, consulte Uso de una red virtual administrada con su cuenta de Microsoft Purview.
Preguntas comunes
Consulte las respuestas a las siguientes preguntas comunes.
¿Cuándo debo usar un entorno de ejecución de integración autohospedado o un entorno de ejecución de integración administrado?
Use una instancia administrada de IR si:
- La cuenta de Microsoft Purview se implementa en una de las regiones admitidas para las redes virtuales administradas.
- Está planeando examinar cualquiera de los orígenes de datos admitidos por Managed IR.
Use un entorno de ejecución de integración autohospedado si:
- Tiene previsto examinar orígenes de datos en IaaS de Azure, servicios SaaS detrás de la red privada o en la red local.
- La red virtual administrada no está disponible en la región donde se implementa la cuenta de Microsoft Purview.
- Tiene previsto examinar los orígenes que no aparecen en Orígenes compatibles con Managed VNet IR.
¿Puedo usar integration runtime autohospedado y Managed IR dentro de una cuenta de Microsoft Purview?
Sí. Puede usar una o todas las opciones en tiempo de ejecución en una sola cuenta de Microsoft Purview: Azure IR, Managed IR y el entorno de ejecución de integración autohospedado. Solo puede usar una opción en tiempo de ejecución en un solo examen.
¿Cuál es el propósito de implementar el punto de conexión privado de la cuenta de Microsoft Purview?
El punto de conexión privado de la cuenta de Microsoft Purview se usa para agregar otra capa de seguridad habilitando escenarios en los que solo se permite el acceso a la cuenta a las llamadas de cliente que se originan desde dentro de la red virtual. Este punto de conexión privado también es un requisito previo para el punto de conexión privado del portal.
¿Cuál es el propósito de implementar el punto de conexión privado del portal de Microsoft Purview?
El punto de conexión privado del portal de Microsoft Purview proporciona conectividad privada al portal de gobernanza de Microsoft Purview.
¿Cuál es el propósito de implementar los puntos de conexión privados de ingesta de Microsoft Purview?
Microsoft Purview puede examinar orígenes de datos en Azure o en un entorno local mediante puntos de conexión privados de ingesta. Otros tres recursos de punto de conexión privados se implementan y vinculan a los recursos administrados o configurados de Microsoft Purview cuando se crean puntos de conexión privados de ingesta:
- El blob está vinculado a una cuenta de almacenamiento administrada de Microsoft Purview.
- La cola está vinculada a una cuenta de almacenamiento administrada de Microsoft Purview.
- el espacio de nombres está vinculado a un espacio de nombres del centro de eventos configurado por Microsoft Purview.
¿Puedo examinar un origen de datos a través de un punto de conexión público si un punto de conexión privado está habilitado en mi cuenta de Microsoft Purview?
Sí. Los orígenes de datos que no están conectados a través de un punto de conexión privado se pueden examinar mediante un punto de conexión público mientras Microsoft Purview está configurado para usar un punto de conexión privado.
¿Puedo examinar un origen de datos a través de un punto de conexión de servicio si está habilitado un punto de conexión privado?
Sí. Los orígenes de datos que no están conectados a través de un punto de conexión privado se pueden examinar mediante un punto de conexión de servicio mientras Microsoft Purview está configurado para usar un punto de conexión privado.
Asegúrese de habilitar Permitir que los servicios de Microsoft de confianza accedan a los recursos dentro de la configuración del punto de conexión de servicio del recurso de origen de datos en Azure. Por ejemplo, si va a examinar Azure Blob Storage en los que la configuración de firewalls y redes virtuales está establecida en redes seleccionadas, asegúrese de que la casilla Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento esté seleccionada como una excepción.
¿Puedo examinar un origen de datos a través de un punto de conexión público mediante Managed IR?
Sí. Si el origen de datos es compatible con la red virtual administrada. Como requisito previo, debe implementar un punto de conexión privado administrado para el origen de datos.
¿Puedo examinar un origen de datos a través de un punto de conexión de servicio mediante Managed IR?
Sí. Si el origen de datos es compatible con la red virtual administrada. Como requisito previo, debe implementar un punto de conexión privado administrado para el origen de datos.
¿Puedo acceder al portal de gobernanza de Microsoft Purview desde una red pública si el acceso a la red pública está establecido en Denegar en redes de cuenta de Microsoft Purview?
No. Al conectarse a Microsoft Purview desde un punto de conexión público donde el acceso a la red pública está establecido en Denegar , se produce el siguiente mensaje de error:
"No autorizado para acceder a esta cuenta de Microsoft Purview. Esta cuenta de Microsoft Purview está detrás de un punto de conexión privado. Acceda a la cuenta desde un cliente de la misma red virtual (VNet) que se ha configurado para el punto de conexión privado de la cuenta de Microsoft Purview".
En este caso, para abrir el portal de gobernanza de Microsoft Purview, use una máquina que se implemente en la misma red virtual que el punto de conexión privado del portal de Microsoft Purview o use una máquina virtual conectada a la red corporativa en la que se permita la conectividad híbrida.
¿Es posible restringir el acceso a la cuenta de almacenamiento administrada de Microsoft Purview y al espacio de nombres del centro de eventos (solo para la ingesta de puntos de conexión privados), pero mantener habilitado el acceso al portal para los usuarios en la web?
Sí. Puede configurar el firewall de Microsoft Purview en Deshabilitado solo para la ingesta (versión preliminar). Al elegir esta opción, se permite el acceso de red pública a la cuenta de Microsoft Purview a través de la API y el portal de gobernanza de Microsoft Purview, pero el acceso a la red pública se establece en deshabilitado en la cuenta de almacenamiento administrado y el centro de eventos de la cuenta de Microsoft Purview.
Si el acceso a la red pública está establecido en Permitir, ¿significa que cualquiera puede acceder a la cuenta de almacenamiento administrada y al espacio de nombres del centro de eventos?
No. Como recursos protegidos, el acceso a la cuenta de almacenamiento administrado de Microsoft Purview y al espacio de nombres del centro de eventos está restringido a Microsoft Purview solo mediante esquemas de autenticación RBAC. Estos recursos se implementan con una asignación de denegación a todas las entidades de seguridad, lo que impide que las aplicaciones, los usuarios o los grupos obtengan acceso a ellas.
Para obtener más información sobre la asignación de denegación de Azure, consulte Descripción de las asignaciones de denegación de Azure.
¿Cuáles son los tipos de autenticación admitidos cuando uso un punto de conexión privado?
Depende del tipo de autenticación admitido por el tipo de origen de datos, como la autenticación de SQL, la autenticación de Windows, la autenticación básica, la entidad de servicio, etc. almacenada en Azure Key Vault. No se puede usar MSI.
¿Cuáles son los tipos de autenticación admitidos cuando uso Managed IR?
Depende del tipo de autenticación admitido por el tipo de origen de datos, como autenticación de SQL, autenticación de Windows, autenticación básica, entidad de servicio, etc. almacenado en Azure Key Vault o MSI.
¿Qué zonas DNS privadas son necesarias para Microsoft Purview para un punto de conexión privado?
Para los puntos de conexión privados de portal y cuenta de Microsoft Purview:
privatelink.purview.azure.com
Para los puntos de conexión privados de ingesta de Microsoft Purview:
privatelink.blob.core.windows.netprivatelink.queue.core.windows.netprivatelink.servicebus.windows.net
¿Tengo que usar una red virtual dedicada y una subred dedicada al implementar puntos de conexión privados de Microsoft Purview?
No. Sin embargo, PrivateEndpointNetworkPolicies debe deshabilitarse en la subred de destino antes de implementar los puntos de conexión privados. Considere la posibilidad de implementar Microsoft Purview en una red virtual que tenga conectividad de red con redes virtuales de origen de datos a través del emparejamiento de red virtual y acceso a una red local si tiene previsto examinar orígenes de datos entre locales.
Obtenga más información sobre Deshabilitar directivas de red para puntos de conexión privados.
¿Puedo implementar puntos de conexión privados de Microsoft Purview y usar zonas DNS privadas existentes en mi suscripción para registrar los registros A?
Sí. Las zonas DNS de punto de conexión privado se pueden centralizar en un centro de conectividad o una suscripción de administración de datos para todas las zonas DNS internas necesarias para Microsoft Purview y todos los registros de origen de datos. Se recomienda este método para permitir que Microsoft Purview resuelva orígenes de datos mediante sus direcciones IP internas de punto de conexión privado.
También es necesario configurar un vínculo de red virtual para las redes virtuales para la zona DNS privada existente.
¿Puedo usar Azure Integration Runtime para examinar orígenes de datos a través de un punto de conexión privado?
No. Tiene que implementar y registrar un entorno de ejecución de integración autohospedado para examinar los datos mediante conectividad privada. Azure Key Vault o entidad de servicio deben usarse como método de autenticación para orígenes de datos.
¿Puedo usar Managed IR para examinar orígenes de datos a través de un punto de conexión privado?
Si tiene previsto usar Managed IR para examinar cualquiera de los orígenes de datos admitidos, el origen de datos requiere un punto de conexión privado administrado creado dentro de la red virtual administrada de Microsoft Purview. Para obtener más información, consulte Redes virtuales administradas de Microsoft Purview.
¿Cuáles son los requisitos de firewall y puertos de salida para máquinas virtuales con integration runtime autohospedado para Microsoft Purview cuando se usa un punto de conexión privado?
Las máquinas virtuales en las que se implementa el entorno de ejecución de integración autohospedado deben tener acceso saliente a los puntos de conexión de Azure y una dirección IP privada de Microsoft Purview a través del puerto 443.
¿Es necesario habilitar el acceso saliente a Internet desde la máquina virtual que ejecuta el entorno de ejecución de integración autohospedado si está habilitado un punto de conexión privado?
No. Sin embargo, se espera que la máquina virtual que ejecuta el entorno de ejecución de integración autohospedado pueda conectarse a la instancia de Microsoft Purview a través de una dirección IP interna mediante el puerto 443. Use herramientas comunes de solución de problemas para la resolución de nombres y las pruebas de conectividad, como nslookup.exe y Test-NetConnection.
¿Todavía tengo que implementar puntos de conexión privados para mi cuenta de Microsoft Purview si estoy usando una red virtual administrada?
Se requiere al menos una cuenta y puntos de conexión privados del portal, si el acceso público en la cuenta de Microsoft Purview está establecido en denegar. Se requiere al menos una cuenta, un portal y un punto de conexión privado de ingesta, si el acceso público en la cuenta de Microsoft Purview está establecido en denegar y tiene previsto examinar orígenes de datos adicionales mediante un entorno de ejecución de integración autohospedado.
¿Qué comunicaciones entrantes y salientes se permiten a través del punto de conexión público para las redes virtuales administradas de Microsoft Purview?
No se permite ninguna comunicación entrante en una red virtual administrada desde la red pública. Todos los puertos se abren para las comunicaciones salientes. En Microsoft Purview, se puede usar una red virtual administrada para conectarse de forma privada a orígenes de datos de Azure para extraer metadatos durante el examen.
¿Por qué recibo el siguiente mensaje de error al intentar iniciar el portal de gobernanza de Microsoft Purview desde mi máquina?
"Esta cuenta de Microsoft Purview está detrás de un punto de conexión privado. Acceda a la cuenta desde un cliente de la misma red virtual (VNet) que se ha configurado para el punto de conexión privado de la cuenta de Microsoft Purview".
Es probable que la cuenta de Microsoft Purview se implemente mediante Private Link y que el acceso público esté deshabilitado en su cuenta de Microsoft Purview. Como resultado, tiene que examinar el portal de gobernanza de Microsoft Purview desde una máquina virtual que tenga conectividad de red interna con Microsoft Purview.
Si se conecta desde una máquina virtual detrás de una red híbrida o mediante una máquina de salto conectada a la red virtual, use herramientas comunes de solución de problemas para la resolución de nombres y las pruebas de conectividad, como nslookup.exe y Test-NetConnection.
Valide si puede resolver las siguientes direcciones a través de las direcciones IP privadas de la cuenta de Microsoft Purview.
Web.Purview.Azure.com<YourPurviewAccountName>.Purview.Azure.com
Compruebe la conectividad de red con su cuenta de Microsoft Purview mediante el siguiente comando de PowerShell:
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443Compruebe la configuración de DNS entre locales si usa su propia infraestructura de resolución DNS.
Para obtener más información sobre la configuración de DNS para puntos de conexión privados, consulte Configuración de DNS de punto de conexión privado de Azure.
¿Puedo mover puntos de conexión privados asociados a la cuenta de Microsoft Purview o sus recursos administrados a otra suscripción o grupo de recursos de Azure?
No. No se admiten las operaciones de traslado de puntos de conexión privados de cuenta, portal o ingesta. Para obtener más información, consulte Traslado de recursos de red a un nuevo grupo de recursos o una suscripción.
Siguientes pasos
Para configurar Microsoft Purview mediante Private Link, consulte Uso de puntos de conexión privados para su cuenta de Microsoft Purview.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de