Partager via


Se connecter de manière privée et sécurisée à votre compte Microsoft Purview

Dans ce guide, vous allez apprendre à déployer des points de terminaison privés pour votre compte Microsoft Purview afin de vous permettre de vous connecter à votre compte Microsoft Purview uniquement à partir de réseaux virtuels et de réseaux privés. Pour atteindre cet objectif, vous devez déployer des points de terminaison privés de compte et de portail pour votre compte Microsoft Purview.

Le point de terminaison privé du compte Microsoft Purview est utilisé pour ajouter une autre couche de sécurité en activant des scénarios où seuls les appels clients provenant du réseau virtuel sont autorisés à accéder au compte Microsoft Purview. Ce point de terminaison privé est également un prérequis pour le point de terminaison privé du portail.

Le point de terminaison privé du portail Microsoft Purview est requis pour permettre la connectivité au portail de gouvernance Microsoft Purview à l’aide d’un réseau privé.

Remarque

Si vous créez uniquement des points de terminaison privés de compte et de portail , vous ne pourrez pas exécuter d’analyse. Pour activer l’analyse sur un réseau privé, vous devez également créer un point de terminaison privé d’ingestion.

Diagramme montrant l’architecture de Microsoft Purview et Private Link.

Pour plus d’informations sur Azure Private Link service, consultez liaisons privées et points de terminaison privés pour en savoir plus.

Liste de contrôle du déploiement

À l’aide de l’une des options de déploiement de ce guide, vous pouvez déployer un nouveau compte Microsoft Purview avec des points de terminaison privés de compte et de portail , ou vous pouvez choisir de déployer ces points de terminaison privés pour un compte Microsoft Purview existant :

  1. Choisissez un réseau virtuel Azure et un sous-réseau appropriés pour déployer des points de terminaison privés Microsoft Purview. Sélectionnez l’une des options suivantes :

    • Déployez un nouveau réseau virtuel dans votre abonnement Azure.
    • Localisez un réseau virtuel Azure existant et un sous-réseau dans votre abonnement Azure.
  2. Définissez une méthode de résolution de noms DNS appropriée pour que le compte Microsoft Purview et le portail web soient accessibles via des adresses IP privées. Vous pouvez utiliser l’une des options suivantes :

    • Déployez de nouvelles zones Azure DNS en suivant les étapes décrites plus loin dans ce guide.
    • Ajoutez les enregistrements DNS requis aux zones Azure DNS existantes en suivant les étapes décrites plus loin dans ce guide.
    • Après avoir effectué les étapes décrites dans ce guide, ajoutez manuellement les enregistrements DNS A requis dans vos serveurs DNS existants.
  3. Déployez un nouveau compte Microsoft Purview avec des points de terminaison privés de compte et de portail, ou déployez des points de terminaison privés de compte et de portail pour un compte Microsoft Purview existant.

  4. Activez l’accès à Azure Active Directory si votre réseau privé a des règles de groupe de sécurité réseau définies pour refuser tout le trafic Internet public.

  5. Une fois ce guide terminé, ajustez les configurations DNS si nécessaire.

  6. Validez votre réseau et la résolution de noms de l’ordinateur de gestion vers Microsoft Purview.

Option 1 : Déployer un nouveau compte Microsoft Purview avec des points de terminaison privés de compte et de portail

  1. Accédez au Portail Azure, puis à la page des comptes Microsoft Purview. Sélectionnez + Créer pour créer un compte Microsoft Purview.

  2. Renseignez les informations de base et, sous l’onglet Mise en réseau , définissez la méthode de connectivité sur Point de terminaison privé. Définissez Activer le point de terminaison privé sur Compte et portail uniquement.

  3. Sous Compte et portail, sélectionnez + Ajouter pour ajouter un point de terminaison privé pour votre compte Microsoft Purview.

    Capture d’écran montrant la création d’un point de terminaison privé pour les sélections de pages de compte et de portail.

  4. Dans la page Créer un point de terminaison privé , pour la sous-ressource Microsoft Purview, choisissez votre emplacement, fournissez un nom pour point de terminaison privé de compte et sélectionnez compte. Sous Mise en réseau, sélectionnez votre réseau virtuel et votre sous-réseau, puis, si vous le souhaitez, sélectionnez Intégrer à une zone DNS privée pour créer une zone Azure DNS privé.

    Capture d’écran montrant la page créer un point de terminaison privé de compte.

    Remarque

    Vous pouvez également utiliser vos zones azure DNS privé existantes ou créer manuellement des enregistrements DNS dans vos serveurs DNS. Pour plus d’informations, consultez Configurer la résolution de noms DNS pour les points de terminaison privés.

  5. Sélectionnez OK.

  6. Dans l’Assistant Création d’un compte Microsoft Purview , sélectionnez à nouveau +Ajouter pour ajouter un point de terminaison privé du portail .

  7. Dans la page Créer un point de terminaison privé , pour la sous-ressource Microsoft Purview, choisissez votre emplacement, fournissez un nom pour le point de terminaison privé du portail et sélectionnez portail. Sous Mise en réseau, sélectionnez votre réseau virtuel et votre sous-réseau, puis, si vous le souhaitez, sélectionnez Intégrer à une zone DNS privée pour créer une zone Azure DNS privé.

    Capture d’écran montrant la page créer un point de terminaison privé du portail.

    Remarque

    Vous pouvez également utiliser vos zones azure DNS privé existantes ou créer manuellement des enregistrements DNS dans vos serveurs DNS. Pour plus d’informations, consultez Configurer la résolution de noms DNS pour les points de terminaison privés.

  8. Sélectionnez OK.

  9. SélectionnezRéviser + créer. Dans la page Vérifier + créer , Azure valide votre configuration.

    Capture d’écran montrant la page de révision créer un point de terminaison privé.

  10. Lorsque le message « Validation réussie » s’affiche, sélectionnez Créer.

Option 2 : Activer le point de terminaison privé du compte et du portail sur les comptes Microsoft Purview existants

Il existe deux façons d’ajouter des points de terminaison privés de compte Microsoft Purview et de portail pour un compte Microsoft Purview existant :

  • Utilisez le Portail Azure (compte Microsoft Purview).
  • Utilisez le Centre Private Link.

Utiliser le Portail Azure (compte Microsoft Purview)

  1. Accédez à la Portail Azure, puis sélectionnez votre compte Microsoft Purview, puis, sous Paramètres, sélectionnez Mise en réseau, puis Connexions de point de terminaison privé.

    Capture d’écran montrant la création d’un point de terminaison privé de compte.

  2. Sélectionnez + Point de terminaison privé pour créer un point de terminaison privé.

  3. Renseignez les informations de base.

  4. Sous l’onglet Ressource , pour Type de ressource, sélectionnez Microsoft.Purview/accounts.

  5. Pour Ressource, sélectionnez le compte Microsoft Purview et, pour Sous-ressource cible, sélectionnez Compte.

  6. Sous l’onglet Configuration, sélectionnez le réseau virtuel et éventuellement, sélectionnez Zone Azure DNS privé pour créer une zone Azure DNS.

    Remarque

    Pour la configuration DNS, vous pouvez également utiliser vos zones Azure DNS privé existantes dans la liste déroulante ou ajouter manuellement les enregistrements DNS requis à vos serveurs DNS ultérieurement. Pour plus d’informations, consultez Configurer la résolution de noms DNS pour les points de terminaison privés.

  7. Accédez à la page de résumé, puis sélectionnez Créer pour créer le point de terminaison privé du portail.

  8. Suivez les mêmes étapes lorsque vous sélectionnez portail pour Sous-ressource cible.

  1. Accédez au Portail Azure.

  2. Dans la barre de recherche en haut de la page, recherchez Private Link et accédez au volet Private Link en sélectionnant la première option.

  3. Sélectionnez + Ajouter, puis renseignez les détails de base.

    Capture d’écran montrant la création de points de terminaison privés à partir du centre Private Link.

  4. Pour Ressource, sélectionnez le compte Microsoft Purview déjà créé. Pour Sous-ressource cible, sélectionnez compte.

  5. Sous l’onglet Configuration , sélectionnez le réseau virtuel et la zone DNS privée. Accédez à la page de résumé, puis sélectionnez Créer pour créer le point de terminaison privé du compte.

Remarque

Suivez les mêmes étapes lorsque vous sélectionnez portail pour Sous-ressource cible.

Activer l’accès à Azure Active Directory

Remarque

Si votre machine virtuelle, passerelle VPN ou passerelle de peering de réseaux virtuels dispose d’un accès Internet public, elle peut accéder au portail Microsoft Purview et au compte Microsoft Purview activé avec des points de terminaison privés. Pour cette raison, vous n’avez pas besoin de suivre le reste des instructions. Si votre réseau privé a des règles de groupe de sécurité réseau définies pour refuser tout le trafic Internet public, vous devez ajouter des règles pour activer l’accès à Azure Active Directory (Azure AD). Suivez les instructions pour ce faire.

Ces instructions sont fournies pour accéder à Microsoft Purview en toute sécurité à partir d’une machine virtuelle Azure. Des étapes similaires doivent être suivies si vous utilisez un VPN ou d’autres passerelles de peering de réseaux virtuels.

  1. Accédez à votre machine virtuelle dans le Portail Azure, puis sous Paramètres, sélectionnez Mise en réseau. Sélectionnez ensuite Règles de port de trafic sortant, Ajouter une règle de port de trafic sortant.

    Capture d’écran montrant l’ajout d’une règle de trafic sortant.

  2. Dans le volet Ajouter une règle de sécurité de trafic sortant :

    1. Sous Destination, sélectionnez Étiquette de service.
    2. Sous Étiquette de service de destination, sélectionnez AzureActiveDirectory.
    3. Sous Plages de ports de destination, sélectionnez *.
    4. Sous Action, sélectionnez Autoriser.
    5. Sous Priorité, la valeur doit être supérieure à la règle qui a refusé tout le trafic Internet.

    Créez la règle.

    Capture d’écran montrant l’ajout des détails de la règle de trafic sortant.

  3. Suivez les mêmes étapes pour créer une autre règle afin d’autoriser l’étiquette de service AzureResourceManager . Si vous avez besoin d’accéder à la Portail Azure, vous pouvez également ajouter une règle pour l’étiquette de service AzurePortal.

  4. Connectez-vous à la machine virtuelle et ouvrez le navigateur. Accédez à la console du navigateur en sélectionnant Ctrl+Maj+J, puis basculez vers l’onglet réseau pour surveiller les demandes réseau. Entrez web.purview.azure.com dans la zone URL et essayez de vous connecter à l’aide de vos informations d’identification Azure AD. La connexion échoue probablement et, sous l’onglet Réseau de la console, vous pouvez voir Azure AD qui tente d’accéder à aadcdn.msauth.net mais est bloqué.

    Capture d’écran montrant les détails de l’échec de la connexion.

  5. Dans ce cas, ouvrez une invite de commandes sur la machine virtuelle, effectuez un test ping aadcdn.msauth.net, obtenez son adresse IP, puis ajoutez une règle de port de trafic sortant pour l’adresse IP dans les règles de sécurité réseau de la machine virtuelle. Définissez destination sur Adresses IP et adresses IP de destination sur l’adresse IP aadcdn. En raison de Azure Load Balancer et d’Azure Traffic Manager, l’adresse IP du réseau de distribution de contenu Azure AD peut être dynamique. Une fois que vous avez obtenu son adresse IP, il est préférable de l’ajouter au fichier hôte de la machine virtuelle pour forcer le navigateur à accéder à cette adresse IP pour obtenir le réseau de distribution de contenu Azure AD.

    Capture d’écran montrant le test ping.

    Capture d’écran montrant la règle de réseau de distribution de contenu Azure AD.

  6. Une fois la nouvelle règle créée, revenez à la machine virtuelle et essayez de vous connecter à nouveau en utilisant vos informations d’identification Azure AD. Si la connexion réussit, le portail Microsoft Purview est prêt à être utilisé. Mais dans certains cas, Azure AD redirige vers d’autres domaines pour se connecter en fonction du type de compte d’un client. Par exemple, pour un compte live.com, Azure AD redirige vers live.com pour se connecter, puis ces demandes sont à nouveau bloquées. Pour les comptes d’employés Microsoft, Azure AD accède à msft.sts.microsoft.com pour les informations de connexion.

    Vérifiez les demandes de mise en réseau dans l’onglet Réseau du navigateur pour voir les requêtes du domaine qui sont bloquées, rétablissez l’étape précédente pour obtenir son adresse IP et ajoutez des règles de port sortant dans le groupe de sécurité réseau pour autoriser les demandes pour cette adresse IP. Si possible, ajoutez l’URL et l’adresse IP au fichier hôte de la machine virtuelle pour corriger la résolution DNS. Si vous connaissez les plages d’adresses IP exactes du domaine de connexion, vous pouvez également les ajouter directement aux règles de mise en réseau.

  7. Votre connexion à Azure AD doit maintenant réussir. Le portail Microsoft Purview se chargera correctement, mais la liste de tous les comptes Microsoft Purview ne fonctionnera pas, car elle ne peut accéder qu’à un compte Microsoft Purview spécifique. Entrez web.purview.azure.com/resource/{PurviewAccountName} pour accéder directement au compte Microsoft Purview pour lequel vous avez correctement configuré un point de terminaison privé.

Prochaines étapes