Partager via


Résolution des problèmes de configuration de point de terminaison privé pour les comptes Microsoft Purview

Ce guide récapitule les limitations connues liées à l’utilisation de points de terminaison privés pour Microsoft Purview et fournit une liste d’étapes et de solutions pour résoudre certains des problèmes les plus courants.

Limitations connues

  • Actuellement, nous ne prenons pas en charge les points de terminaison privés d’ingestion qui fonctionnent avec vos sources AWS.
  • L’analyse d’Azure Multiple Sources à l’aide du runtime d’intégration auto-hébergé n’est pas prise en charge.
  • L’utilisation du runtime d’intégration Azure pour analyser les sources de données derrière un point de terminaison privé n’est pas prise en charge.
  • Les points de terminaison privés d’ingestion peuvent être créés via l’expérience du portail de gouvernance Microsoft Purview décrite dans les étapes décrites ici. Ils ne peuvent pas être créés à partir du centre Private Link.
  • La création d’un enregistrement DNS pour les points de terminaison privés d’ingestion à l’intérieur de zones Azure DNS existantes, alors que les zones Azure DNS privé se trouvent dans un autre abonnement que les points de terminaison privés n’est pas prise en charge via l’expérience du portail de gouvernance Microsoft Purview. Un enregistrement peut être ajouté manuellement dans les zones DNS de destination de l’autre abonnement.
  • Si vous configurez votre propre espace de noms Event Hubs ou activez un espace de noms Event Hubs managé après avoir déployé un point de terminaison privé d’ingestion, vous devez redéployer le point de terminaison privé d’ingestion.
  • L’ordinateur du runtime d’intégration auto-hébergé doit être déployé dans le même réseau virtuel ou un réseau virtuel appairé où les points de terminaison privés d’ingestion et de compte Microsoft Purview sont déployés.
  • Pour connaître la limitation liée à Private Link service, consultez limites Azure Private Link.
  • Actuellement, les instances Microsoft Purview qui utilisent le nouveau portail Microsoft Purview peuvent uniquement utiliser des points de terminaison privés d’ingestion.
  1. Une fois que vous avez déployé des points de terminaison privés pour votre compte Microsoft Purview, passez en revue votre environnement Azure pour vous assurer que les ressources de point de terminaison privé sont correctement déployées. Selon votre scénario, un ou plusieurs des points de terminaison privés Azure suivants doivent être déployés dans votre abonnement Azure :

    Point de terminaison privé Point de terminaison privé affecté à Exemple
    Compte Compte Microsoft Purview mypurview-private-account
    Portail Compte Microsoft Purview mypurview-private-portal
    Ingestion Stockage (Blob)* mypurview-ingestion-blob
    Ingestion Stockage (File d’attente)* mypurview-ingestion-queue
    Ingestion Espace de noms Event Hubs** mypurview-ingestion-namespace

    Remarque

    *Si votre compte a été créé avant le 15 décembre 2023, le point de terminaison est déployé sur votre compte de stockage managé. S’il a été créé après le 10 novembre (ou déployé à l’aide de la version d’API 2023-05-01-preview), il pointe vers le stockage d’ingestion.

    **Votre compte dispose uniquement d’un espace de noms Event Hubs associé s’il est configuré pour les notifications Kafka ou créé avant le 15 décembre 2022.

  2. Si le point de terminaison privé du portail est déployé, veillez à déployer également un point de terminaison privé de compte.

  3. Si le point de terminaison privé du portail est déployé et que l’accès au réseau public est défini sur refuser dans votre compte Microsoft Purview, veillez à lancer le portail de gouvernance Microsoft Purview à partir du réseau interne.

    • Pour vérifier la résolution de noms correcte, vous pouvez utiliser un outil en ligne de commande NSlookup.exe pour interroger web.purview.azure.com. Le résultat doit retourner une adresse IP privée qui appartient au point de terminaison privé du portail.
    • Pour vérifier la connectivité réseau, vous pouvez utiliser n’importe quel outil de test réseau pour tester la connectivité sortante vers web.purview.azure.com le point de terminaison vers le port 443. La connexion doit être établie.
  4. Si azure DNS privé zones sont utilisées, assurez-vous que les zones Azure DNS requises sont déployées et qu’il existe un enregistrement DNS (A) pour chaque point de terminaison privé.

  5. Testez la connectivité réseau et la résolution de noms de l’ordinateur de gestion vers le point de terminaison Microsoft Purview et l’URL web purview. Si des points de terminaison privés de compte et de portail sont déployés, les points de terminaison doivent être résolus via des adresses IP privées.

    Test-NetConnection -ComputerName web.purview.azure.com -Port 443
    

    Exemple de connexion sortante réussie via une adresse IP privée :

    ComputerName     : web.purview.azure.com
    RemoteAddress    : 10.9.1.7
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.9.0.10
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName purview-test01.purview.azure.com -Port 443
    

    Exemple de connexion sortante réussie via une adresse IP privée :

    ComputerName     : purview-test01.purview.azure.com
    RemoteAddress    : 10.9.1.8
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.9.0.10
    TcpTestSucceeded : True
    
  6. Si vous avez créé votre compte Microsoft Purview après le 18 août 2021, veillez à télécharger et installer la dernière version du runtime d’intégration auto-hébergé à partir du Centre de téléchargement Microsoft.

  7. À partir de la machine virtuelle du runtime d’intégration auto-hébergé, testez la connectivité réseau et la résolution de noms sur le point de terminaison Microsoft Purview.

  8. À partir du runtime d’intégration auto-hébergé, testez la connectivité réseau et la résolution de noms aux ressources managées Microsoft Purview telles que la file d’attente d’objets blob et aux ressources secondaires comme Event Hubs via le port 443 et les adresses IP privées. (Si vous en avez besoin, remplacez le compte de stockage managé et l’espace de noms Event Hubs par les noms de ressources correspondants).

    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.blob.core.windows.net -Port 443
    

    Exemple de connexion sortante réussie au stockage Blob managé via une adresse IP privée :

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
    RemoteAddress    : 10.15.1.6
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName `scansoutdeastasiaocvseab`.queue.core.windows.net -Port 443
    

    Exemple de connexion sortante réussie au stockage de file d’attente managé via une adresse IP privée :

    ComputerName     : scansoutdeastasiaocvseab.blob.core.windows.net
    RemoteAddress    : 10.15.1.5
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
    Test-NetConnection -ComputerName `Atlas-1225cae9-d651-4039-86a0-b43231a17a4b`.servicebus.windows.net -Port 443
    

    Exemple de connexion sortante réussie à l’espace de noms Event Hubs via une adresse IP privée :

    ComputerName     : Atlas-1225cae9-d651-4039-86a0-b43231a17a4b.servicebus.windows.net
    RemoteAddress    : 10.15.1.4
    RemotePort       : 443
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 10.15.0.4
    TcpTestSucceeded : True
    
  9. À partir du réseau où se trouve la source de données, testez la connectivité réseau et la résolution de noms sur le point de terminaison Microsoft Purview et les points de terminaison de ressources managés ou configurés.

  10. Si des sources de données se trouvent dans un réseau local, passez en revue la configuration de votre redirecteur DNS. Testez la résolution de noms à partir du même réseau où se trouvent les sources de données pour le runtime d’intégration auto-hébergé, les points de terminaison Microsoft Purview et les ressources managées ou configurées. Il est prévu d’obtenir une adresse IP privée valide à partir d’une requête DNS pour chaque point de terminaison.

    Pour plus d’informations, consultez Charges de travail de réseau virtuel sans serveur DNS personnalisé et Charges de travail locales à l’aide d’un redirecteur DNS dans la configuration DNS du point de terminaison privé Azure.

  11. Si la machine de gestion et les machines virtuelles du runtime d’intégration auto-hébergé sont déployées dans un réseau local et que vous avez configuré le redirecteur DNS dans votre environnement, vérifiez les paramètres DNS et réseau dans votre environnement.

  12. Si un point de terminaison privé d’ingestion est utilisé, assurez-vous que le runtime d’intégration auto-hébergé est correctement inscrit dans le compte Microsoft Purview et s’exécute à la fois à l’intérieur de la machine virtuelle du runtime d’intégration auto-hébergé et dans le portail de gouvernance Microsoft Purview .

Erreurs et messages courants

Problème

Vous pouvez recevoir le message d’erreur suivant lors de l’exécution d’une analyse :

Internal system error. Please contact support with correlationId:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx System Error, contact support.

Cause

Cela peut indiquer des problèmes liés à la connectivité ou à la résolution de noms entre la machine virtuelle exécutant le runtime d’intégration auto-hébergé et le compte de stockage managé de Microsoft Purview ou event Hubs configurés.

Résolution

Vérifiez si la résolution de noms réussit entre la machine virtuelle exécutant le Self-Hosted Integration Runtime et la file d’attente d’objets blob managés Microsoft Purview ou les event Hubs configurés via le port 443 et les adresses IP privées (étape 8 ci-dessus).

Problème

Vous pouvez recevoir le message d’erreur suivant lors de l’exécution d’une nouvelle analyse :

message: Unable to setup config overrides for this scan. Exception:'Type=Microsoft.WindowsAzure.Storage.StorageException,Message=The remote server returned an error: (404) Not Found.,Source=Microsoft.WindowsAzure.Storage,StackTrace= at Microsoft.WindowsAzure.Storage.Core.Executor.Executor.EndExecuteAsync[T](IAsyncResult result)

Cause

Cela peut indiquer l’exécution d’une version antérieure du runtime d’intégration auto-hébergé. Vous devez utiliser le runtime d’intégration auto-hébergé version 5.9.7885.3 ou ultérieure.

Résolution

Mettez à niveau le runtime d’intégration auto-hébergé vers la version 5.9.7885.3.

Problème

Le déploiement du compte Microsoft Purview avec point de terminaison privé a échoué avec Azure Policy erreur de validation pendant le déploiement.

Cause

Cette erreur suggère qu’il peut y avoir une affectation de Azure Policy existante sur votre abonnement Azure qui empêche le déploiement de l’une des ressources Azure requises.

Résolution

Passez en revue vos affectations de Azure Policy existantes et assurez-vous que le déploiement des ressources Azure suivantes est autorisé dans votre abonnement Azure.

Remarque

Selon votre scénario, vous devrez peut-être déployer un ou plusieurs des types de ressources Azure suivants :

  • Microsoft Purview (Microsoft.Purview/Accounts)
  • Point de terminaison privé (Microsoft.Network/privateEndpoints)
  • zones DNS privé (Microsoft.Network/privateDnsZones)
  • Espace de noms du hub d’événements (Microsoft.EventHub/namespaces)
  • Compte de stockage (Microsoft.Storage/storageAccounts)

Problème

Non autorisé à accéder à ce compte Microsoft Purview. Ce compte Microsoft Purview se trouve derrière un point de terminaison privé. Accédez au compte à partir d’un client dans le même réseau virtuel (réseau virtuel) que celui configuré pour le point de terminaison privé du compte Microsoft Purview.

Cause

L’utilisateur tente de se connecter à Microsoft Purview à partir d’un point de terminaison public ou à l’aide de points de terminaison publics Microsoft Purview où l’accès réseau public est défini sur Refuser.

Résolution

Dans ce cas, pour ouvrir le portail de gouvernance Microsoft Purview, utilisez une machine déployée dans le même réseau virtuel que le point de terminaison privé du portail de gouvernance Microsoft Purview, ou utilisez une machine virtuelle connectée à votre CorpNet dans laquelle la connectivité hybride est autorisée.

Problème

Vous pouvez recevoir le message d’erreur suivant lors de l’analyse d’un serveur SQL, à l’aide d’un runtime d’intégration auto-hébergé :

Message=This implementation is not part of the Windows Platform FIPS validated cryptographic algorithms

Cause

L’ordinateur du runtime d’intégration auto-hébergé a activé le mode FIPS. Les normes FIPS (Federal Information Processing Standards) définissent un certain ensemble d’algorithmes de chiffrement qui sont autorisés à être utilisés. Lorsque le mode FIPS est activé sur l’ordinateur, certaines classes de chiffrement dont dépendent les processus appelés sont bloquées dans certains scénarios.

Résolution

Désactivez le mode FIPS sur le serveur d’intégration auto-hébergé.

Étapes suivantes

Si votre problème n’est pas répertorié dans cet article ou si vous ne pouvez pas le résoudre, obtenez de l’aide en visitant l’un des canaux suivants :

  • Obtenez des réponses d’experts via Microsoft Q&A.
  • Connectez-vous avec @AzureSupport. Cette ressource Microsoft Azure officielle sur Twitter permet d’améliorer l’expérience client en connectant la communauté Azure aux réponses, au support et aux experts appropriés.
  • Si vous avez toujours besoin d’aide, accédez au site support Azure et sélectionnez Envoyer une demande de support.