Domande frequenti sugli endpoint privati di Microsoft Purview e sulle reti virtuali gestite

Questo articolo risponde alle domande comuni che clienti e team sul campo spesso pongono sulle configurazioni di rete di Microsoft Purview usando collegamento privato di Azure o reti virtuali gestite da Microsoft Purview. Ha lo scopo di chiarire le domande sulle impostazioni del firewall di Microsoft Purview, gli endpoint privati, la configurazione DNS e le configurazioni correlate.

Per configurare Microsoft Purview usando collegamento privato, vedere Usare endpoint privati per l'account Microsoft Purview. Per configurare reti virtuali gestite per un account Microsoft Purview, vedere Usare una rete virtuale gestita con l'account Microsoft Purview.

Domande comuni

Consultare le risposte alle domande comuni seguenti.

Quando è consigliabile usare un runtime di integrazione self-hosted o un runtime di integrazione gestito?

Usare un runtime di integrazione gestito se:

• L'account Microsoft Purview viene distribuito in una delle aree supportate per le reti virtuali gestite.
• Si prevede di analizzare una qualsiasi delle origini dati supportate da Managed IR.

Usare un runtime di integrazione self-hosted se:

• Si prevede di analizzare le origini dati nei servizi IaaS di Azure, SaaS dietro la rete privata o nella rete locale.
• La rete virtuale gestita non è disponibile nell'area in cui viene distribuito l'account Microsoft Purview.
• Si prevede di analizzare tutte le origini non elencate in Origini supportate dal runtime di integrazione della rete virtuale gestita.

È possibile usare sia il runtime di integrazione self-hosted che il runtime di integrazione gestito all'interno di un account Microsoft Purview?

Sì. È possibile usare una o tutte le opzioni di runtime in un singolo account Microsoft Purview: Azure IR, Runtime di integrazione gestita e runtime di integrazione self-hosted. È possibile usare una sola opzione di runtime in una singola analisi.

Qual è lo scopo della distribuzione dell'endpoint privato dell'account Microsoft Purview?

L'endpoint privato dell'account Microsoft Purview viene usato per aggiungere un altro livello di sicurezza abilitando scenari in cui solo le chiamate client provenienti dall'interno della rete virtuale possono accedere all'account. Questo endpoint privato è anche un prerequisito per l'endpoint privato del portale.

Qual è lo scopo della distribuzione dell'endpoint privato del portale di Microsoft Purview?

L'endpoint privato del portale Microsoft Purview fornisce connettività privata al portale di governance di Microsoft Purview.

Qual è lo scopo della distribuzione degli endpoint privati di inserimento di Microsoft Purview?

Microsoft Purview può analizzare le origini dati in Azure o in un ambiente locale usando endpoint privati di inserimento. Altre tre risorse dell'endpoint privato vengono distribuite e collegate alle risorse gestite o configurate di Microsoft Purview quando vengono creati endpoint privati di inserimento:

• Il BLOB è collegato a un account di archiviazione gestito di Microsoft Purview.
• La coda è collegata a un account di archiviazione gestito di Microsoft Purview.
• lo spazio dei nomi è collegato a uno spazio dei nomi dell'hub eventi configurato da Microsoft Purview.

È possibile analizzare un'origine dati tramite un endpoint pubblico se è abilitato un endpoint privato nell'account Microsoft Purview?

Sì. Le origini dati non connesse tramite un endpoint privato possono essere analizzate usando un endpoint pubblico mentre Microsoft Purview è configurato per l'uso di un endpoint privato.

È possibile analizzare un'origine dati tramite un endpoint di servizio se è abilitato un endpoint privato?

Sì. Le origini dati non connesse tramite un endpoint privato possono essere analizzate usando un endpoint di servizio mentre Microsoft Purview è configurato per l'uso di un endpoint privato.

Assicurarsi di abilitare Consenti ai servizi Microsoft attendibili di accedere alle risorse all'interno della configurazione dell'endpoint di servizio della risorsa origine dati in Azure. Ad esempio, se si intende analizzare Archiviazione BLOB di Azure in cui le impostazioni dei firewall e delle reti virtuali sono impostate su reti selezionate, verificare che la casella di controllo Consenti ai servizi Microsoft attendibili di accedere a questo account di archiviazione sia selezionata come eccezione.

È possibile analizzare un'origine dati tramite un endpoint pubblico usando Il runtime di integrazione gestito?

Sì. Se l'origine dati è supportata dalla rete virtuale gestita. Come prerequisito, è necessario distribuire un endpoint privato gestito per l'origine dati.

È possibile analizzare un'origine dati tramite un endpoint di servizio usando Il runtime di integrazione gestito?

Sì. Se l'origine dati è supportata dalla rete virtuale gestita. Come prerequisito, è necessario distribuire un endpoint privato gestito per l'origine dati.

È possibile accedere al portale di governance di Microsoft Purview da una rete pubblica se l'accesso alla rete pubblica è impostato su Nega nella rete dell'account Microsoft Purview?

No. La connessione a Microsoft Purview da un endpoint pubblico in cui l'accesso alla rete pubblica è impostato su Nega genera il messaggio di errore seguente:

"Non autorizzato ad accedere a questo account Microsoft Purview. Questo account Microsoft Purview si trova dietro un endpoint privato. Accedere all'account da un client nella stessa rete virtuale configurata per l'endpoint privato dell'account Microsoft Purview."

In questo caso, per aprire il portale di governance di Microsoft Purview, usare un computer distribuito nella stessa rete virtuale dell'endpoint privato del portale di Microsoft Purview oppure usare una macchina virtuale connessa alla rete corp in cui è consentita la connettività ibrida.

È possibile limitare l'accesso all'account di archiviazione gestita di Microsoft Purview e allo spazio dei nomi dell'hub eventi (solo per l'inserimento di endpoint privati) ma mantenere abilitato l'accesso al portale per gli utenti sul Web?

Sì. È possibile configurare l'impostazione del firewall Microsoft Purview su Disabilitato solo per l'inserimento (anteprima). Scegliendo questa opzione, l'accesso alla rete pubblica all'account Microsoft Purview tramite API e portale di governance di Microsoft Purview è consentito, tuttavia l'accesso alla rete pubblica è impostato su disabilitato nell'account di archiviazione gestito e nell'hub eventi dell'account Microsoft Purview.

Se l'accesso alla rete pubblica è impostato su Consenti, significa che l'account di archiviazione gestito e lo spazio dei nomi dell'hub eventi sono accessibili da chiunque?

No. Come risorse protette, l'accesso all'account di archiviazione gestito di Microsoft Purview e allo spazio dei nomi dell'hub eventi è limitato a Microsoft Purview solo tramite schemi di autenticazione con controllo degli accessi in base al ruolo. Queste risorse vengono distribuite con un'assegnazione negata a tutte le entità, impedendo ad applicazioni, utenti o gruppi di accedervi.

Per altre informazioni sull'assegnazione di negazione di Azure, vedere Informazioni sulle assegnazioni di negazione di Azure.

Quali sono i tipi di autenticazione supportati quando si usa un endpoint privato?

Dipende dal tipo di autenticazione supportato dal tipo di origine dati, ad esempio l'autenticazione SQL, l'autenticazione di Windows, l'autenticazione di base, l'entità servizio e così via, archiviate in Azure Key Vault. Impossibile usare l'identità del servizio gestito.

Quali sono i tipi di autenticazione supportati quando si usa Il runtime di integrazione gestito?

Dipende dal tipo di autenticazione supportato dal tipo di origine dati, ad esempio l'autenticazione SQL, l'autenticazione di Windows, l'autenticazione di base, l'entità servizio e così via, archiviate in Azure Key Vault o MSI.

Quali zone DNS private sono necessarie per Microsoft Purview per un endpoint privato?

Per gli endpoint privati dell'account Microsoft Purview e del portale :

• privatelink.purview.azure.com

Per gli endpoint privati di inserimento di Microsoft Purview:

• privatelink.blob.core.windows.net
• privatelink.queue.core.windows.net
• privatelink.servicebus.windows.net

È necessario usare una rete virtuale dedicata e una subnet dedicata quando si distribuiscono endpoint privati di Microsoft Purview?

No. Tuttavia, PrivateEndpointNetworkPolicies deve essere disabilitato nella subnet di destinazione prima di distribuire gli endpoint privati. Prendere in considerazione la distribuzione di Microsoft Purview in una rete virtuale con connettività di rete alle reti virtuali dell'origine dati tramite il peering reti virtuali e l'accesso a una rete locale se si prevede di analizzare le origini dati cross-premise.

Altre informazioni su Disabilitare i criteri di rete per gli endpoint privati.

È possibile distribuire gli endpoint privati di Microsoft Purview e usare le zone DNS private esistenti nella sottoscrizione per registrare i record A?

Sì. Le zone DNS dell'endpoint privato possono essere centralizzate in un hub o in una sottoscrizione di gestione dei dati per tutte le zone DNS interne necessarie per Microsoft Purview e tutti i record dell'origine dati. Si consiglia questo metodo per consentire a Microsoft Purview di risolvere le origini dati usando gli indirizzi IP interni dell'endpoint privato.

È anche necessario configurare un collegamento di rete virtuale per le reti virtuali per la zona DNS privata esistente.

È possibile usare il runtime di integrazione di Azure per analizzare le origini dati tramite un endpoint privato?

No. È necessario distribuire e registrare un runtime di integrazione self-hosted per analizzare i dati usando la connettività privata. È necessario usare Azure Key Vault o l'entità servizio come metodo di autenticazione per le origini dati.

È possibile usare Il runtime di integrazione gestito per analizzare le origini dati tramite un endpoint privato?

Se si prevede di usare Managed IR per analizzare una delle origini dati supportate, l'origine dati richiede un endpoint privato gestito creato all'interno della rete virtuale gestita di Microsoft Purview. Per altre informazioni, vedere Reti virtuali gestite di Microsoft Purview.

Quali sono le porte in uscita e i requisiti del firewall per le macchine virtuali con runtime di integrazione self-hosted per Microsoft Purview quando si usa un endpoint privato?

Le macchine virtuali in cui viene distribuito il runtime di integrazione self-hosted devono avere accesso in uscita agli endpoint di Azure e un indirizzo IP privato di Microsoft Purview tramite la porta 443.

È necessario abilitare l'accesso Internet in uscita dalla macchina virtuale che esegue il runtime di integrazione self-hosted se è abilitato un endpoint privato?

No. Tuttavia, si prevede che la macchina virtuale che esegue il runtime di integrazione self-hosted possa connettersi all'istanza di Microsoft Purview tramite un indirizzo IP interno usando la porta 443. Usare strumenti comuni per la risoluzione dei nomi e il test della connettività, ad esempio nslookup.exe e Test-NetConnection.

È ancora necessario distribuire endpoint privati per l'account Microsoft Purview se si usa la rete virtuale gestita?

Sono necessari almeno un account e un endpoint privato del portale, se l'accesso pubblico nell'account Microsoft Purview è impostato su deny. Sono necessari almeno un account, un portale e un endpoint privato di inserimento, se l'accesso pubblico nell'account Microsoft Purview è impostato su deny e si prevede di analizzare origini dati aggiuntive usando un runtime di integrazione self-hosted.

Quali comunicazioni in ingresso e in uscita sono consentite tramite endpoint pubblico per le reti virtuali gestite di Microsoft Purview?

Non è consentita alcuna comunicazione in ingresso in una rete virtuale gestita dalla rete pubblica. Tutte le porte vengono aperte per le comunicazioni in uscita. In Microsoft Purview è possibile usare una rete virtuale gestita per connettersi privatamente alle origini dati di Azure per estrarre i metadati durante l'analisi.

Perché viene visualizzato il messaggio di errore seguente quando si tenta di avviare il portale di governance di Microsoft Purview dal computer?

"Questo account Microsoft Purview si trova dietro un endpoint privato. Accedere all'account da un client nella stessa rete virtuale configurata per l'endpoint privato dell'account Microsoft Purview."

È probabile che l'account Microsoft Purview venga distribuito usando collegamento privato e l'accesso pubblico sia disabilitato nell'account Microsoft Purview. Di conseguenza, è necessario esplorare il portale di governance di Microsoft Purview da una macchina virtuale con connettività di rete interna a Microsoft Purview.

Se ci si connette da una macchina virtuale dietro una rete ibrida o si usa una jump machine connessa alla rete virtuale, usare strumenti comuni per la risoluzione dei nomi e il test della connettività, ad esempio nslookup.exe e Test-NetConnection.

1. Verificare se è possibile risolvere gli indirizzi seguenti tramite gli indirizzi IP privati dell'account Microsoft Purview.

   • Web.Purview.Azure.com
   • <YourPurviewAccountName>.Purview.Azure.com

2. Verificare la connettività di rete all'account Microsoft Purview usando il comando di PowerShell seguente:

   Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
   

3. Verificare la configurazione DNS cross-premise se si usa un'infrastruttura di risoluzione DNS personalizzata.

Per altre informazioni sulle impostazioni DNS per gli endpoint privati, vedere Configurazione DNS dell'endpoint privato di Azure.

È possibile spostare gli endpoint privati associati all'account Microsoft Purview o alle relative risorse gestite in un'altra sottoscrizione o gruppo di risorse di Azure?

No. Le operazioni di spostamento per gli endpoint privati account, portale o inserimento non sono supportate. Per altre informazioni, vedere Spostare le risorse di rete in un nuovo gruppo di risorse o una nuova sottoscrizione.

Passaggi successivi

Per configurare Microsoft Purview usando collegamento privato, vedere Usare endpoint privati per l'account Microsoft Purview.