Compartir vía

Puntos de conexión privados para soluciones de gobernanza en Microsoft Purview

  • Artículo

Importante

En este artículo se tratan los puntos de conexión privados para las soluciones de gobernanza en el portal de Microsoft Purview (https://purview.microsoft.com/). Si usa el portal de gobernanza clásica (https://web.purview.azure.com), siga la documentación de puntos de conexión privados en el portal clásico.

Puede usar vínculos privados para proteger el acceso a la Catálogo de datos de Microsoft Purview y Data Map, y proteger el tráfico de datos entre Microsoft Purview y sus redes privadas. Los vínculos privados de Azure y los puntos de conexión privados de Redes de Azure se usan para enrutar el tráfico a través de la infraestructura de Microsoft, en lugar de usar Internet. Para obtener más información sobre Azure Private Link en general, consulte: ¿Qué es Azure Private Link?

Un punto de conexión privado es una tecnología direccional única que permite a los clientes iniciar conexiones a un servicio determinado, pero no permite que el servicio inicie una conexión a la red del cliente. En el caso de los servicios multiinquilino, este modelo proporciona identificadores de vínculo para impedir el acceso a los recursos de otros clientes hospedados en el mismo servicio. Cuando se usan puntos de conexión privados, solo se puede acceder a un conjunto limitado de otros recursos de PaaS desde los servicios mediante la integración.

Puede implementar un punto de conexión privado de ingesta si necesita examinar orígenes de datos de IaaS y PaaS de Azure dentro de redes virtuales de Azure y orígenes de datos locales a través de una conexión privada. Este método garantiza el aislamiento de red para los metadatos que fluyen desde los orígenes de datos a Mapa de datos de Microsoft Purview.

Puede implementar un punto de conexión privado de plataforma para permitir solo llamadas de cliente al portal de gobernanza de Microsoft Purview que se origina desde dentro de la red privada y conectarse al portal de gobernanza de Microsoft Purview mediante una conectividad de red privada.

Importante

Los puntos de conexión privados garantizan que el tráfico de usuarios y los recursos de la organización en Azure, sigan la ruta de acceso de red de private link configurada de la organización y que pueda configurar Microsoft Purview para denegar todas las solicitudes desde fuera de esa ruta de acceso de red.

Sin embargo, para los orígenes externos, los puntos de conexión privados no administran todo el tráfico de red. Para configurar el aislamiento de tráfico de la infraestructura no basada en Azure, como la infraestructura local, debe configurar ExpressRoute o redes privadas virtuales y usar entornos de ejecución de integración para proteger aún más los orígenes de datos.

Requisitos previos

Antes de implementar puntos de conexión privados para los recursos de gobernanza de Microsoft Purview y el portal de Microsoft Purview, asegúrese de cumplir los siguientes requisitos previos:

  1. Una cuenta de Azure con una suscripción activa. Cree una cuenta de forma gratuita.
  2. Para configurar puntos de conexión privados, debe ser administrador de Microsoft Purview y tener permisos en Azure para crear y configurar recursos como máquinas virtuales (VM) y redes virtuales (redes virtuales).
  3. Actualmente, las conexiones Azure Data Factory, Azure Machine Learning y Azure Synapse no se admiten con el punto de conexión privado de la plataforma y es posible que no funcionen después de cambiar.

Lista de comprobación de la implementación

Siguiendo las instrucciones de esta guía, puede implementar estos puntos de conexión privados para una cuenta de Microsoft Purview existente:

  1. Elija una red virtual de Azure adecuada y una subred para implementar puntos de conexión privados de Microsoft Purview. Seleccione una de las siguientes opciones:
    • Implemente una nueva red virtual en la suscripción de Azure.
    • Busque una red virtual de Azure existente y una subred en la suscripción de Azure.
  2. Defina un método de resolución de nombres DNS adecuado para que pueda acceder a la cuenta de Microsoft Purview y examinar orígenes de datos mediante una red privada.
  3. Cree un punto de conexión privado de plataforma.
  4. Habilitación de puntos de conexión privados de ingesta
  5. Deshabilite el acceso público para Microsoft Purview.
  6. Habilite el acceso a Microsoft Entra ID si la red privada tiene reglas de grupo de seguridad de red establecidas para denegar todo el tráfico público de Internet.
  7. Implemente y registre un entorno de ejecución de integración autohospedado dentro de la misma red virtual o una red virtual emparejada donde se implementan la cuenta de Microsoft Purview y los puntos de conexión privados de ingesta.
  8. Después de completar esta guía, ajuste las configuraciones de DNS si es necesario.

Creación de una red virtual

Sugerencia

Estas instrucciones crearán una red virtual básica. Para obtener más información sobre las características y las opciones de red virtual, consulte la documentación de la red virtual.

El siguiente paso es crear una red virtual y una subred. El número de direcciones IP que necesitará la subred se compone del número de capacidades en el inquilino más tres. Por ejemplo, si va a crear una subred para un inquilino con siete capacidades, necesitará 10 direcciones IP.

Reemplace los parámetros de ejemplo de la tabla siguiente por los suyos propios para crear una red virtual y una subred.

Parámetro Valor
<resource-group-name> myResourceGroup
<virtual-network-name> myVirtualNetwork
<region-name> Centro de EE. UU.
<address-space> 10.0.0.0/16
<subnet-name> mySubnet
<subnet-address-range> 10.0.0.0/24

  1. Abra el portal Azure.

  2. Seleccione Crear una red virtual de redes > de recursos > o busque Red virtual en el cuadro de búsqueda.

  3. En Crear red virtual, escriba o seleccione la siguiente información en la pestaña Aspectos básicos :

    Configuración Valor
    Detalles del proyecto
    Suscripción Selección de la suscripción de Azure
    Grupo de recursos Seleccione Crear nuevo, escriba <resource-group-name>y, a continuación, seleccione Aceptar o seleccione uno existente <resource-group-name> basado en parámetros.
    Detalles de la instancia
    Nombre Escriba <virtual-network-name>

  4. Seleccione la pestaña Direcciones IP y escriba el intervalo de direcciones de subred.

  5. Seleccione Revisar y crear>crear.

Definición de un método de resolución de nombres DNS

Siga este artículo para seleccionar e implementar un método de resolución de nombres DNS que apueste por las necesidades de su organización: Configurar la resolución de nombres DNS para puntos de conexión privados.

Creación de un punto de conexión privado de plataforma

El siguiente paso consiste en crear el punto de conexión privado de la plataforma para Microsoft Purview.

  1. Abra el portal Azure.

  2. Seleccione Crear un Private Link de redes > de recursos>.

  3. En Private Link Center - Overview (Centro de Private Link información general), en la opción Compilar una conexión privada a un servicio, seleccione Crear punto de conexión privado.

  4. En la pestaña Crear un punto de conexión privado- Aspectos básicos , escriba o seleccione la siguiente información:

    Configuración Valor
    Detalles del proyecto
    Suscripción Selección de la suscripción de Azure
    Grupo de recursos Seleccione myResourceGroup. Ha creado esto en la sección anterior.
    Detalles de la instancia
    Nombre Escriba myPrivateEndpoint. Si se toma este nombre, cree un nombre único.
    Nombre de la interfaz de red Se rellena automáticamente por el nombre de instancia.
    Región Se selecciona automáticamente en función del grupo de recursos.

  5. Una vez completada esa información, seleccione Siguiente: Recurso y, en la página Crear un punto de conexión privado - Recurso , escriba o seleccione la siguiente información:

    Configuración Valor
    Método connection Seleccione Conectarse a un recurso de Azure en mi directorio.
    Suscripción Selección de la suscripción
    Tipo de recurso Seleccione Microsoft.Purview/accounts
    Recurso Selección del recurso de Microsoft Purview
    Subrecurso de destino Plataforma

  6. Una vez que la información se haya introducido correctamente, seleccione Siguiente: Virtual Network y escriba o seleccione la siguiente información:

    Configuración Valor
    GESTIÓN DE REDES
    Red virtual Seleccione la red virtual que creó anteriormente.
    Subred Seleccione la subred que creó anteriormente.
    Configuración de IP privada Seleccione Asignar dinámicamente la dirección IP.

  7. Seleccione Siguiente: DNS y escriba la siguiente información:

    Configuración Valor
    Integración con zona DNS privada Seleccione Sí.
    Suscripción Seleccione la suscripción donde está configurada la zona DNS.
    Grupo de recursos Seleccione el grupo de recursos donde está configurada la zona DNS.

  8. Seleccione Siguiente: Etiquetas y, en la página etiquetas, puede agregar opcionalmente las etiquetas que use su organización en Azure.

  9. Seleccione Siguiente: Revisar y crear , que muestra la página Revisar y crear donde Azure valida la configuración. Cuando vea el mensaje Validación pasada , seleccione Crear.

Habilitación del punto de conexión privado de ingesta

  1. Vaya a la Azure Portal, busque y seleccione su cuenta de Microsoft Purview.

  2. En la cuenta de Microsoft Purview, en Configuración , seleccione Redes y, a continuación, seleccione Ingesta de conexiones de punto de conexión privado.

  3. En Conexiones de punto de conexión privado de ingesta, seleccione + Nuevo para crear un nuevo punto de conexión privado de ingesta.

  4. Rellene la información básica y seleccione la red virtual existente y los detalles de una subred. Opcionalmente, seleccione DNS privado integración para usar Azure DNS privado Zones. Seleccione Azure DNS privado Zones correcto en cada lista.

    Nota:

    También puede usar las zonas de Azure DNS privado existentes o crear registros DNS en los servidores DNS manualmente. Para obtener más información, consulte Configuración de la resolución de nombres DNS para puntos de conexión privados.

  5. Seleccione Crear para finalizar la configuración.

Deshabilitar el acceso público para Microsoft Purview

Para cortar completamente el acceso a la cuenta de Microsoft Purview desde la red pública de Internet, siga estos pasos. Esta configuración se aplica tanto al punto de conexión privado como a las conexiones de punto de conexión privado de ingesta.

  1. En el Azure Portal, vaya a la cuenta de Microsoft Purview y, en Configuración, seleccione Redes.

  2. Vaya a la pestaña Firewall y asegúrese de que el botón de alternancia esté establecido en Deshabilitar desde todas las redes.

Habilitar el acceso a Microsoft Entra ID

Nota:

Si la máquina virtual, la puerta de enlace de VPN o la puerta de enlace de emparejamiento de red virtual tienen acceso público a Internet, puede acceder al portal de gobernanza de Microsoft Purview y a la cuenta de Microsoft Purview habilitada con puntos de conexión privados. Por este motivo, no es necesario seguir el resto de las instrucciones. Si la red privada tiene establecidas reglas de grupo de seguridad de red para denegar todo el tráfico público de Internet, deberá agregar algunas reglas para habilitar Microsoft Entra ID acceso. Siga las instrucciones para hacerlo.

Estas instrucciones se proporcionan para acceder a Microsoft Purview de forma segura desde una máquina virtual de Azure. Se deben seguir pasos similares si usa VPN u otras puertas de enlace de emparejamiento de red virtual.

  1. Vaya a la máquina virtual en el Azure Portal y, en Configuración, seleccione Redes. A continuación, seleccione Reglas >de puerto de salidaAgregar regla de puerto de salida.

  2. En el panel Agregar regla de seguridad de salida :

    1. En Destino, seleccione Etiqueta de servicio.
    2. En Etiqueta de servicio de destino, seleccione AzureActiveDirectory.
    3. En Intervalos de puertos de destino, seleccione *.
    4. En Acción, seleccione Permitir.
    5. En Prioridad, el valor debe ser mayor que la regla que denegó todo el tráfico de Internet.

    Cree la regla.

  3. Siga los mismos pasos para crear otra regla para permitir la etiqueta de servicio AzureResourceManager . Si necesita acceder a la Azure Portal, también puede agregar una regla para la etiqueta de servicio AzurePortal.

  4. Conéctese a la máquina virtual y abra el explorador. Vaya a la consola del explorador seleccionando Ctrl+Mayús+J y cambie a la pestaña red para supervisar las solicitudes de red. Escriba web.purview.azure.com en el cuadro URL e intente iniciar sesión con sus credenciales de Microsoft Entra. Es probable que se produzca un error en el inicio de sesión y, en la pestaña Red de la consola, puede ver Microsoft Entra ID intentar acceder a aadcdn.msauth.net pero bloquearse.

  5. En este caso, abra un símbolo del sistema en la máquina virtual, haga ping aadcdn.msauth.net, obtenga su dirección IP y, a continuación, agregue una regla de puerto de salida para la dirección IP en las reglas de seguridad de red de la máquina virtual. Establezca destino en Direcciones IP y establezca Direcciones IP de destino en la dirección IP de aadcdn. Debido a Azure Load Balancer y Azure Traffic Manager, la dirección IP de la red de distribución de contenido de Microsoft Entra podría ser dinámica. Después de obtener su dirección IP, es mejor agregarla al archivo host de la máquina virtual para forzar al explorador a visitar esa dirección IP para obtener la Microsoft Entra Content Delivery Network.

  6. Una vez creada la nueva regla, vuelva a la máquina virtual e intente iniciar sesión con sus credenciales de Microsoft Entra de nuevo. Si el inicio de sesión se realiza correctamente, el portal de gobernanza de Microsoft Purview está listo para usarse. Pero en algunos casos, Microsoft Entra ID redirige a otros dominios para iniciar sesión en función del tipo de cuenta de un cliente. Por ejemplo, para una cuenta de live.com, Microsoft Entra ID redirige a live.com para iniciar sesión y, a continuación, esas solicitudes se bloquean de nuevo. En el caso de las cuentas de empleados de Microsoft, Microsoft Entra ID accede a msft.sts.microsoft.com para obtener información de inicio de sesión.

    Compruebe las solicitudes de red en la pestaña Redes del explorador para ver qué solicitudes de dominio se bloquean, vuelva a realizar el paso anterior para obtener su dirección IP y agregue reglas de puerto de salida en el grupo de seguridad de red para permitir solicitudes para esa dirección IP. Si es posible, agregue la dirección URL y la dirección IP al archivo host de la máquina virtual para corregir la resolución DNS. Si conoce los intervalos IP exactos del dominio de inicio de sesión, también puede agregarlos directamente a las reglas de red.

  7. Ahora el inicio de sesión de Microsoft Entra debería realizarse correctamente. El portal de gobernanza de Microsoft Purview se cargará correctamente, pero enumerar todas las cuentas de Microsoft Purview no funcionará porque solo puede acceder a una cuenta específica de Microsoft Purview. Escriba web.purview.azure.com/resource/{PurviewAccountName} para visitar directamente la cuenta de Microsoft Purview para la que configuró correctamente un punto de conexión privado.

Implementación de Integration Runtime autohospedado (IR) y examen de los orígenes de datos

Una vez implementados los puntos de conexión privados de ingesta para Microsoft Purview, debe configurar y registrar al menos un entorno de ejecución de integración autohospedado (IR):

  • Actualmente, todos los tipos de origen locales, como Microsoft SQL Server, Oracle, SAP y otros, solo se admiten a través de exámenes autohospedados basados en IR. El entorno de ejecución de integración autohospedado debe ejecutarse dentro de la red privada y, a continuación, emparejarse con la red virtual en Azure.

  • Para todos los tipos de origen de Azure, como Azure Blob Storage y Azure SQL Database, debe elegir explícitamente ejecutar el examen mediante un entorno de ejecución de integración autohospedado que se implemente en la misma red virtual o en una red virtual emparejada donde se implementan la cuenta de Microsoft Purview y los puntos de conexión privados de ingesta.

Siga los pasos descritos en Creación y administración de un entorno de ejecución de integración autohospedado para configurar un entorno de ejecución de integración autohospedado. A continuación, configure el examen en el origen de Azure eligiendo esa instancia de IR autohospedada en la lista desplegable Conectar a través de Integration Runtime para garantizar el aislamiento de red.

Importante

Asegúrese de descargar e instalar la versión más reciente del entorno de ejecución de integración autohospedado desde el Centro de descarga de Microsoft.

Prueba de la conexión privada

Para probar los nuevos puntos de conexión privados, puede crear una máquina virtual dentro de la red virtual privada y acceder al punto de conexión privado de la plataforma para asegurarse de que funciona.

  1. Cree una máquina virtual (VM).
  2. Conéctese a una máquina virtual mediante Escritorio remoto (RDP).
  3. Acceda a Microsoft Purview de forma privada desde la máquina virtual.

Creación de una máquina virtual (VM)

El siguiente paso es crear una máquina virtual.

  1. En la parte superior izquierda de la pantalla de la Azure Portal, seleccione Crear una máquina virtual de proceso > de recursos>.

  2. En la pestaña Aspectos básicos , escriba o seleccione la siguiente información:

    Configuración Valor
    Detalles del proyecto
    Suscripción Selección de la suscripción de Azure
    Grupo de recursos Seleccione myResourceGroup que creó en la sección anterior.
    Detalles de la instancia
    Nombre de la VM Escriba myVM.
    Región Seleccione Oeste de EE. UU.
    Opciones de disponibilidad Deje el valor predeterminado No se requiere redundancia de infraestructura.
    Imagen Seleccione Windows 10 Pro
    Size Deje el Standard DS1 v2 predeterminado
    CUENTA DE ADMINISTRADOR
    Nombre de usuario Escriba el nombre de usuario que elija.
    Password Escriba una contraseña de su elección. La contraseña debe tener al menos 12 caracteres y cumplir los requisitos de complejidad definidos.
    Confirmar contraseña Volver a escribir la contraseña
    REGLAS DE PUERTO DE ENTRADA
    Puertos de entrada públicos Deje el valor predeterminado None
    LICENCIAMIENTO
    Tengo una licencia válida Windows 10/11 Active la casilla

  3. Seleccione Siguiente: Discos.

  4. En la pestaña Discos , deje los valores predeterminados y seleccione Siguiente: Redes.

  5. En la pestaña Redes , seleccione la siguiente información:

    Configuración Valor
    Red virtual Deje el valor predeterminado MyVirtualNetwork.
    Espacio de direcciones Deje el valor predeterminado 10.0.0.0/24
    Subred Deje el valor predeterminado mySubnet (10.0.0.0/24)
    IP pública Deje el valor predeterminado (nuevo) myVM-ip
    Puertos de entrada públicos Seleccione Permitir seleccionado.
    Selección de puertos de entrada Seleccione RDP.

  6. Seleccione Revisar y crear. Se le llevará a la página Revisar y crear donde Azure valida la configuración.

  7. Cuando vea el mensaje Validación pasada , seleccione Crear.

Conexión a una máquina virtual mediante Escritorio remoto (RDP)

Después de crear la máquina virtual, denominada myVM, conéctese a ella desde Internet mediante los pasos siguientes:

  1. En la barra de búsqueda del portal, escriba myVM.

  2. Seleccione el botón Conectar y elija RDP en el menú desplegable.

  3. Escriba una dirección IP y, a continuación, seleccione Descargar archivo RDP. Azure crea un archivo de Protocolo de Escritorio remoto (.rdp) y lo descarga en el equipo.

  4. Abra el archivo .rdp para iniciar conexión a Escritorio remoto y, a continuación, seleccione Conectar.

  5. Escriba el nombre de usuario y la contraseña que especificó al crear la máquina virtual en el paso anterior.

  6. Seleccione Aceptar.

  7. Es posible que reciba una advertencia de certificado durante el proceso de inicio de sesión. Si recibe una advertencia de certificado, seleccione o Continuar.

Acceso privado a Microsoft Purview desde la máquina virtual

El siguiente paso consiste en acceder a Microsoft Purview de forma privada, desde la máquina virtual que creó en el paso anterior, mediante los pasos siguientes:

  1. En el Escritorio remoto de myVM, abra PowerShell.

  2. Escriba nslookup <tenant-object-id>-api.purview-service.microsoft.com.

  3. Recibirá una respuesta similar al siguiente mensaje:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    <tenantid>-api.purview-service.microsoft.com
Address:  10.5.0.4

  4. Abra el explorador y vaya a https://purview.microsoft.com para acceder a Microsoft Purview de forma privada.

Finalización de la configuración del punto de conexión privado

Una vez que haya seguido los pasos descritos en las secciones anteriores y el vínculo privado se haya configurado correctamente, su organización implementa vínculos privados en función de las siguientes selecciones de configuración, independientemente de si la selección se establece en la configuración inicial o después cambia.

Si Azure Private Link está configurado correctamente y bloquear el acceso público a Internet está habilitado:

  • Microsoft Purview solo es accesible para su organización desde puntos de conexión privados y no es accesible desde la red pública de Internet.
  • El tráfico de los puntos de conexión y escenarios de destino de la red virtual que admiten vínculos privados se transporta a través del vínculo privado.
  • El servicio bloqueará el tráfico desde los puntos de conexión y escenarios de destino de la red virtual que no* admiten vínculos privados y no funcionará.
  • Puede haber escenarios que no admitan vínculos privados, por lo que se bloquearán en el servicio cuando se habilite Bloquear el acceso público a Internet .

Si Azure Private Link está configurado correctamente y bloquear el acceso público a Internet está deshabilitado:

  • Los servicios de Microsoft Purview permitirán el tráfico desde la red pública de Internet.
  • El tráfico de los puntos de conexión y escenarios de destino de la red virtual que admiten vínculos privados se transporta a través del vínculo privado.
  • El tráfico desde los puntos de conexión y escenarios de destino de la red virtual que no* admiten vínculos privados se transporta a través de la Red Pública de Internet y los servicios de Microsoft Purview lo permitirán.
  • Si la red virtual está configurada para bloquear el acceso público a Internet, la red virtual bloqueará los escenarios que no admiten vínculos privados y no funcionarán.