FAQ sur les points de terminaison privés Microsoft Purview et les réseaux virtuels managés
Cet article répond aux questions courantes que les clients et les équipes de terrain posent souvent sur les configurations réseau Microsoft Purview à l’aide de Azure Private Link ou de réseaux virtuels gérés par Microsoft Purview. Il est destiné à clarifier les questions sur les paramètres de pare-feu Microsoft Purview, les points de terminaison privés, la configuration DNS et les configurations associées.
Pour configurer Microsoft Purview à l’aide de Private Link, consultez Utiliser des points de terminaison privés pour votre compte Microsoft Purview. Pour configurer des réseaux virtuels managés pour un compte Microsoft Purview, consultez Utiliser un réseau virtuel managé avec votre compte Microsoft Purview.
Questions fréquentes
Consultez les réponses aux questions courantes suivantes.
Quand dois-je utiliser un runtime d’intégration auto-hébergé ou un runtime d’intégration managé ?
Utilisez un runtime d’intégration managé si :
- Votre compte Microsoft Purview est déployé dans l’une des régions prises en charge pour les réseaux virtuels managés.
- Vous envisagez d’analyser l’une des sources de données prises en charge par Managed IR.
Utilisez un runtime d’intégration auto-hébergé si :
- Vous envisagez d’analyser les sources de données dans Azure IaaS, les services SaaS derrière un réseau privé ou dans votre réseau local.
- Le réseau virtuel managé n’est pas disponible dans la région où votre compte Microsoft Purview est déployé.
- Vous envisagez d’analyser toutes les sources qui ne sont pas répertoriées sous Sources prises en charge par le runtime d’intégration de réseau virtuel managé.
Puis-je utiliser à la fois le runtime d’intégration auto-hébergé et le runtime d’intégration managé à l’intérieur d’un compte Microsoft Purview ?
Oui. Vous pouvez utiliser une ou toutes les options d’exécution dans un seul compte Microsoft Purview : Azure IR, Runtime d’intégration managé et runtime d’intégration auto-hébergé. Vous ne pouvez utiliser qu’une seule option d’exécution dans une seule analyse.
Quel est l’objectif du déploiement du point de terminaison privé du compte Microsoft Purview ?
Le point de terminaison privé du compte Microsoft Purview est utilisé pour ajouter une autre couche de sécurité en activant des scénarios où seuls les appels clients provenant du réseau virtuel sont autorisés à accéder au compte. Ce point de terminaison privé est également un prérequis pour le point de terminaison privé du portail.
Quel est l’objectif du déploiement du point de terminaison privé du portail Microsoft Purview ?
Le point de terminaison privé du portail Microsoft Purview fournit une connectivité privée au portail de gouvernance Microsoft Purview.
Quel est l’objectif du déploiement des points de terminaison privés d’ingestion Microsoft Purview ?
Microsoft Purview peut analyser des sources de données dans Azure ou un environnement local à l’aide de points de terminaison privés d’ingestion. Trois autres ressources de point de terminaison privé sont déployées et liées à des ressources managées ou configurées Microsoft Purview lors de la création de points de terminaison privés d’ingestion :
- L’objet blob est lié à un compte de stockage managé Microsoft Purview.
- La file d’attente est liée à un compte de stockage managé Microsoft Purview.
- l’espace de noms est lié à un espace de noms event hub configuré par Microsoft Purview.
Puis-je analyser une source de données via un point de terminaison public si un point de terminaison privé est activé sur mon compte Microsoft Purview ?
Oui. Les sources de données qui ne sont pas connectées via un point de terminaison privé peuvent être analysées à l’aide d’un point de terminaison public, tandis que Microsoft Purview est configuré pour utiliser un point de terminaison privé.
Puis-je analyser une source de données via un point de terminaison de service si un point de terminaison privé est activé ?
Oui. Les sources de données qui ne sont pas connectées via un point de terminaison privé peuvent être analysées à l’aide d’un point de terminaison de service, tandis que Microsoft Purview est configuré pour utiliser un point de terminaison privé.
Veillez à activer Autoriser les services Microsoft approuvés à accéder aux ressources à l’intérieur de la configuration du point de terminaison de service de la ressource de source de données dans Azure. Par exemple, si vous envisagez d’analyser Stockage Blob Azure dans lesquelles les paramètres de pare-feu et de réseaux virtuels sont définis sur les réseaux sélectionnés, vérifiez que la case Autoriser les services Microsoft approuvés à accéder à ce compte de stockage est cochée comme exception.
Puis-je analyser une source de données via un point de terminaison public à l’aide de Managed IR ?
Oui. Si la source de données est prise en charge par le réseau virtuel managé. En tant que prérequis, vous devez déployer un point de terminaison privé managé pour la source de données.
Puis-je analyser une source de données via un point de terminaison de service à l’aide de Managed IR ?
Oui. Si la source de données est prise en charge par le réseau virtuel managé. En tant que prérequis, vous devez déployer un point de terminaison privé managé pour la source de données.
Puis-je accéder au portail de gouvernance Microsoft Purview à partir d’un réseau public si l’accès réseau public est défini sur Refuser dans la mise en réseau des comptes Microsoft Purview ?
Non. La connexion à Microsoft Purview à partir d’un point de terminaison public où l’accès réseau public est défini sur Refuser génère le message d’erreur suivant :
« Non autorisé à accéder à ce compte Microsoft Purview. Ce compte Microsoft Purview se trouve derrière un point de terminaison privé. Accédez au compte à partir d’un client dans le même réseau virtuel (VNet) qui a été configuré pour le point de terminaison privé du compte Microsoft Purview. »
Dans ce cas, pour ouvrir le portail de gouvernance Microsoft Purview, utilisez une machine déployée dans le même réseau virtuel que le point de terminaison privé du portail Microsoft Purview ou utilisez une machine virtuelle connectée à votre CorpNet dans laquelle la connectivité hybride est autorisée.
Est-il possible de restreindre l’accès au compte de stockage managé Microsoft Purview et à l’espace de noms event hub (pour l’ingestion de point de terminaison privé uniquement) tout en conservant l’accès au portail activé pour les utilisateurs sur le web ?
Oui. Vous pouvez configurer le paramètre de pare-feu Microsoft Purview sur Désactivé pour l’ingestion uniquement (préversion). En choisissant cette option, l’accès réseau public à votre compte Microsoft Purview via l’API et le portail de gouvernance Microsoft Purview est autorisé, mais l’accès réseau public est désactivé sur le compte de stockage géré et le hub d’événements de votre compte Microsoft Purview.
Si l’accès réseau public est défini sur Autoriser, cela signifie-t-il que le compte de stockage managé et l’espace de noms Event Hub sont accessibles à tout le monde ?
Non. En tant que ressources protégées, l’accès au compte de stockage managé Microsoft Purview et à l’espace de noms event hub est limité à Microsoft Purview uniquement à l’aide de schémas d’authentification RBAC. Ces ressources sont déployées avec une affectation de refus à tous les principaux, ce qui empêche les applications, les utilisateurs ou les groupes d’y accéder.
Pour en savoir plus sur l’attribution de refus Azure, consultez Comprendre les affectations de refus Azure.
Quels sont les types d’authentification pris en charge lorsque j’utilise un point de terminaison privé ?
Dépend du type d’authentification pris en charge par le type de source de données tel que l’authentification SQL, l’authentification Windows, l’authentification de base, le principal de service, etc. stocké dans Azure Key Vault. Msi ne peut pas être utilisé.
Quels sont les types d’authentification pris en charge lorsque j’utilise Managed IR ?
Dépend du type d’authentification pris en charge par le type de source de données tel que l’authentification SQL, l’authentification Windows, l’authentification de base, le principal de service, etc. stocké dans Azure Key Vault ou MSI.
Quelles sont les zones DNS privées requises pour Microsoft Purview pour un point de terminaison privé ?
Pour les points de terminaison privés de compte et de portail Microsoft Purview :
privatelink.purview.azure.com
Pour les points de terminaison privés d’ingestion Microsoft Purview :
privatelink.blob.core.windows.net
privatelink.queue.core.windows.net
privatelink.servicebus.windows.net
Dois-je utiliser un réseau virtuel dédié et un sous-réseau dédié lorsque je déploie des points de terminaison privés Microsoft Purview ?
Non. Toutefois, PrivateEndpointNetworkPolicies
doit être désactivé dans le sous-réseau de destination avant de déployer les points de terminaison privés. Envisagez de déployer Microsoft Purview dans un réseau virtuel qui dispose d’une connectivité réseau aux réseaux virtuels de sources de données via le peering de réseaux virtuels et l’accès à un réseau local si vous envisagez d’analyser des sources de données intersite.
En savoir plus sur Désactiver les stratégies réseau pour les points de terminaison privés.
Puis-je déployer des points de terminaison privés Microsoft Purview et utiliser des zones DNS privées existantes dans mon abonnement pour inscrire les enregistrements A ?
Oui. Les zones DNS de votre point de terminaison privé peuvent être centralisées dans un hub ou un abonnement de gestion des données pour toutes les zones DNS internes requises pour Microsoft Purview et tous les enregistrements de source de données. Nous vous recommandons cette méthode pour permettre à Microsoft Purview de résoudre les sources de données à l’aide de leurs adresses IP internes de point de terminaison privé.
Vous devez également configurer une liaison de réseau virtuel pour les réseaux virtuels pour la zone DNS privée existante.
Puis-je utiliser le runtime d’intégration Azure pour analyser des sources de données via un point de terminaison privé ?
Non. Vous devez déployer et inscrire un runtime d’intégration auto-hébergé pour analyser les données à l’aide d’une connectivité privée. Azure Key Vault ou principal de service doit être utilisé comme méthode d’authentification pour les sources de données.
Puis-je utiliser managed IR pour analyser des sources de données via un point de terminaison privé ?
Si vous envisagez d’utiliser managed IR pour analyser l’une des sources de données prises en charge, la source de données nécessite un point de terminaison privé managé créé dans le réseau virtuel managé Microsoft Purview. Pour plus d’informations, consultez Réseaux virtuels managés Microsoft Purview.
Quelles sont les exigences en matière de ports de sortie et de pare-feu pour les machines virtuelles avec runtime d’intégration auto-hébergé pour Microsoft Purview lorsque vous utilisez un point de terminaison privé ?
Les machines virtuelles dans lesquelles le runtime d’intégration auto-hébergé est déployé doivent disposer d’un accès sortant aux points de terminaison Azure et d’une adresse IP privée Microsoft Purview via le port 443.
Dois-je activer l’accès Internet sortant à partir de la machine virtuelle exécutant le runtime d’intégration auto-hébergé si un point de terminaison privé est activé ?
Non. Toutefois, il est prévu que la machine virtuelle exécutant le runtime d’intégration auto-hébergé puisse se connecter à votre instance de Microsoft Purview via une adresse IP interne à l’aide du port 443. Utilisez les outils de résolution des problèmes courants pour la résolution de noms et les tests de connectivité, tels que nslookup.exe et Test-NetConnection.
Dois-je toujours déployer des points de terminaison privés pour mon compte Microsoft Purview si j’utilise un réseau virtuel managé ?
Au moins un compte et un point de terminaison privé du portail sont requis si l’accès public dans le compte Microsoft Purview est défini sur refuser. Au moins un compte, un portail et un point de terminaison privé d’ingestion sont requis si l’accès public dans le compte Microsoft Purview est défini sur refuser et que vous envisagez d’analyser des sources de données supplémentaires à l’aide d’un runtime d’intégration auto-hébergé.
Quelles communications entrantes et sortantes sont autorisées via un point de terminaison public pour les réseaux virtuels managés Microsoft Purview ?
Aucune communication entrante n’est autorisée dans un réseau virtuel managé à partir d’un réseau public. Tous les ports sont ouverts pour les communications sortantes. Dans Microsoft Purview, un réseau virtuel managé peut être utilisé pour se connecter en privé à des sources de données Azure afin d’extraire des métadonnées pendant l’analyse.
Pourquoi le message d’erreur suivant s’affiche-t-il lorsque j’essaie de lancer le portail de gouvernance Microsoft Purview à partir de mon ordinateur ?
« Ce compte Microsoft Purview se trouve derrière un point de terminaison privé. Accédez au compte à partir d’un client dans le même réseau virtuel (VNet) qui a été configuré pour le point de terminaison privé du compte Microsoft Purview. »
Il est probable que votre compte Microsoft Purview soit déployé à l’aide de Private Link et que l’accès public soit désactivé sur votre compte Microsoft Purview. Par conséquent, vous devez parcourir le portail de gouvernance Microsoft Purview à partir d’une machine virtuelle disposant d’une connectivité réseau interne à Microsoft Purview.
Si vous vous connectez à partir d’une machine virtuelle derrière un réseau hybride ou à l’aide d’une machine de saut connectée à votre réseau virtuel, utilisez les outils de résolution des problèmes courants pour la résolution de noms et les tests de connectivité, tels que nslookup.exe et Test-NetConnection.
Vérifiez si vous pouvez résoudre les adresses suivantes via les adresses IP privées de votre compte Microsoft Purview.
Web.Purview.Azure.com
<YourPurviewAccountName>.Purview.Azure.com
Vérifiez la connectivité réseau à votre compte Microsoft Purview à l’aide de la commande PowerShell suivante :
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
Vérifiez votre configuration DNS intersite si vous utilisez votre propre infrastructure de résolution DNS.
Pour plus d’informations sur les paramètres DNS pour les points de terminaison privés, consultez Configuration DNS du point de terminaison privé Azure.
Puis-je déplacer des points de terminaison privés associés à un compte Microsoft Purview ou à ses ressources managées vers un autre abonnement ou groupe de ressources Azure ?
Non. Les opérations de déplacement pour les points de terminaison privés de compte, de portail ou d’ingestion ne sont pas prises en charge. Pour plus d’informations, consultez Déplacer des ressources réseau vers un nouveau groupe de ressources ou un nouvel abonnement.
Prochaines étapes
Pour configurer Microsoft Purview à l’aide de Private Link, consultez Utiliser des points de terminaison privés pour votre compte Microsoft Purview.