Connettersi in modo privato e sicuro all'account Microsoft Purview
In questa guida si apprenderà come distribuire endpoint privati per l'account Microsoft Purview per consentire la connessione all'account Microsoft Purview solo da reti virtuali e reti private. Per raggiungere questo obiettivo, è necessario distribuire gli endpoint privati dell'account e del portale per l'account Microsoft Purview.
L'endpoint privato dell'account Microsoft Purview viene usato per aggiungere un altro livello di sicurezza abilitando scenari in cui solo le chiamate client provenienti dall'interno della rete virtuale possono accedere all'account Microsoft Purview. Questo endpoint privato è anche un prerequisito per l'endpoint privato del portale.
L'endpoint privato del portale di Microsoft Purview è necessario per abilitare la connettività al portale di governance di Microsoft Purview usando una rete privata.
Nota
Se si creano solo endpoint privati dell'account e del portale , non sarà possibile eseguire analisi. Per abilitare l'analisi in una rete privata, è anche necessario creare un endpoint privato di inserimento.
Per altre informazioni su collegamento privato di Azure servizio, vedere collegamenti privati ed endpoint privati per altre informazioni.
Elenco di controllo per la distribuzione
Usando una delle opzioni di distribuzione di questa guida, è possibile distribuire un nuovo account Microsoft Purview con endpoint privati dell'account e del portale oppure è possibile scegliere di distribuire questi endpoint privati per un account Microsoft Purview esistente:
Scegliere una rete virtuale di Azure appropriata e una subnet per distribuire gli endpoint privati di Microsoft Purview. Selezionare una delle opzioni seguenti:
- Distribuire una nuova rete virtuale nella sottoscrizione di Azure.
- Individuare una rete virtuale di Azure esistente e una subnet nella sottoscrizione di Azure.
Definire un metodo di risoluzione dei nomi DNS appropriato, in modo che l'account Microsoft Purview e il portale Web possano essere accessibili tramite indirizzi IP privati. È possibile usare una delle opzioni seguenti:
- Distribuire nuove zone DNS di Azure usando i passaggi illustrati più avanti in questa guida.
- Aggiungere i record DNS necessari alle zone DNS di Azure esistenti usando i passaggi descritti più avanti in questa guida.
- Dopo aver completato i passaggi descritti in questa guida, aggiungere manualmente i record DNS A necessari nei server DNS esistenti.
Distribuire un nuovo account Microsoft Purview con gli endpoint privati dell'account e del portale oppure distribuire gli endpoint privati dell'account e del portale per un account Microsoft Purview esistente.
Abilitare l'accesso ad Azure Active Directory se la rete privata dispone di regole del gruppo di sicurezza di rete impostate su deny per tutto il traffico Internet pubblico.
Dopo aver completato questa guida, modificare le configurazioni DNS, se necessario.
Convalidare la risoluzione della rete e dei nomi dal computer di gestione a Microsoft Purview.
Opzione 1: distribuire un nuovo account Microsoft Purview con endpoint privati dell'account e del portale
Passare alla portale di Azure e quindi alla pagina account Microsoft Purview. Selezionare + Crea per creare un nuovo account Microsoft Purview.
Compilare le informazioni di base e nella scheda Rete impostare il metodo di connettività su Endpoint privato. Impostare Abilita endpoint privato solo su Account e Portale.
In Account e portale selezionare + Aggiungi per aggiungere un endpoint privato per l'account Microsoft Purview.
Nella pagina Crea un endpoint privato , per la risorsa secondaria di Microsoft Purview scegliere la posizione, specificare un nome per l'endpoint privato dell'account e selezionare l'account. In Rete selezionare la rete virtuale e la subnet e, facoltativamente, selezionare Integra con la zona DNS privata per creare una nuova zona di Azure DNS privato.
Nota
È anche possibile usare le zone di DNS privato di Azure esistenti o creare record DNS nei server DNS manualmente in un secondo momento. Per altre informazioni, vedere Configurare la risoluzione dei nomi DNS per gli endpoint privati
Seleziona OK.
Nella Creazione guidata account Microsoft Purview selezionare di nuovo +Aggiungi per aggiungere l'endpoint privato del portale .
Nella pagina Crea un endpoint privato , per la risorsa secondaria di Microsoft Purview scegliere la posizione, specificare un nome per l'endpoint privato del portale e selezionare il portale. In Rete selezionare la rete virtuale e la subnet e, facoltativamente, selezionare Integra con la zona DNS privata per creare una nuova zona di Azure DNS privato.
Nota
È anche possibile usare le zone di DNS privato di Azure esistenti o creare record DNS nei server DNS manualmente in un secondo momento. Per altre informazioni, vedere Configurare la risoluzione dei nomi DNS per gli endpoint privati
Seleziona OK.
Selezionare Rivedi e crea. Nella pagina Rivedi e crea Azure convalida la configurazione.
Quando viene visualizzato il messaggio "Convalida superata", selezionare Crea.
Opzione 2: abilitare l'endpoint privato dell'account e del portale sugli account Microsoft Purview esistenti
Esistono due modi per aggiungere gli endpoint privati dell'account Microsoft Purview e del portale per un account Microsoft Purview esistente:
- Usare il portale di Azure (account Microsoft Purview).
- Usare collegamento privato Center.
Usare il portale di Azure (account Microsoft Purview)
Passare alla portale di Azure, quindi selezionare l'account Microsoft Purview e in Impostazioni selezionare Rete e quindi connessioni endpoint privati.
Selezionare + Endpoint privato per creare un nuovo endpoint privato.
Compilare le informazioni di base.
Nella scheda Risorsa selezionare Microsoft.Purview/accounts per Tipo di risorsa.
In Risorsa selezionare l'account Microsoft Purview e, per Risorsa secondaria di destinazione, selezionare account.
Nella scheda Configurazione selezionare la rete virtuale e, facoltativamente, selezionare Azure DNS privato zona per creare una nuova zona DNS di Azure.
Nota
Per la configurazione DNS, è anche possibile usare le zone di DNS privato di Azure esistenti dall'elenco a discesa o aggiungere manualmente i record DNS necessari ai server DNS in un secondo momento. Per altre informazioni, vedere Configurare la risoluzione dei nomi DNS per gli endpoint privati
Passare alla pagina di riepilogo e selezionare Crea per creare l'endpoint privato del portale.
Seguire la stessa procedura quando si seleziona il portale per La sottoso risorsa di destinazione.
Usare il centro collegamento privato
Andare al portale di Azure.
Nella barra di ricerca nella parte superiore della pagina cercare il collegamento privato e passare al riquadro collegamento privato selezionando la prima opzione.
Selezionare + Aggiungi e immettere i dettagli di base.
In Risorsa selezionare l'account Microsoft Purview già creato. Per Sottoso risorsa di destinazione selezionare account.
Nella scheda Configurazione selezionare la rete virtuale e la zona DNS privata. Passare alla pagina di riepilogo e selezionare Crea per creare l'endpoint privato dell'account.
Nota
Seguire la stessa procedura quando si seleziona il portale per La sottoso risorsa di destinazione.
Abilitare l'accesso ad Azure Active Directory
Nota
Se la macchina virtuale, il gateway VPN o il gateway di peering reti virtuali ha accesso a Internet pubblico, può accedere al portale Di Microsoft Purview e all'account Microsoft Purview abilitato con endpoint privati. Per questo motivo, non è necessario seguire le altre istruzioni. Se la rete privata ha regole del gruppo di sicurezza di rete impostate per negare tutto il traffico Internet pubblico, sarà necessario aggiungere alcune regole per abilitare l'accesso ad Azure Active Directory (Azure AD). Seguire le istruzioni per eseguire questa operazione.
Queste istruzioni vengono fornite per accedere a Microsoft Purview in modo sicuro da una macchina virtuale di Azure. Passaggi simili devono essere eseguiti se si usa VPN o altri gateway di peering reti virtuali.
Passare alla macchina virtuale nel portale di Azure e in Impostazioni selezionare Rete. Selezionare quindi Regole porta in uscita, Aggiungi regola di porta in uscita.
Nel riquadro Aggiungi regola di sicurezza in uscita :
- In Destinazione selezionare Tag di servizio.
- In Tag servizio di destinazione selezionare AzureActiveDirectory.
- In Intervalli di porte di destinazione selezionare *.
- In Azione selezionare Consenti.
- In Priorità il valore deve essere superiore alla regola che ha negato tutto il traffico Internet.
Creare la regola.
Seguire la stessa procedura per creare un'altra regola per consentire il tag del servizio AzureResourceManager . Se è necessario accedere alla portale di Azure, è anche possibile aggiungere una regola per il tag del servizio AzurePortal.
Connettersi alla macchina virtuale e aprire il browser. Passare alla console del browser selezionando CTRL+MAIUSC+J e passare alla scheda di rete per monitorare le richieste di rete. Immettere web.purview.azure.com nella casella URL e provare ad accedere usando le credenziali di Azure AD. L'accesso probabilmente avrà esito negativo e nella scheda Rete della console è possibile vedere Azure AD che tenta di accedere a aadcdn.msauth.net ma viene bloccato.
In questo caso, aprire un prompt dei comandi nella macchina virtuale, effettuare il ping aadcdn.msauth.net, ottenere l'IP e quindi aggiungere una regola di porta in uscita per l'IP nelle regole di sicurezza di rete della macchina virtuale. Impostare Destinazione su Indirizzi IP e Indirizzi IP di destinazione sull'indirizzo IP aadcdn. A causa di Azure Load Balancer e Gestione traffico di Azure, l'IP della rete per la distribuzione di contenuti di Azure AD potrebbe essere dinamico. Dopo aver ottenuto il relativo INDIRIZZO IP, è preferibile aggiungerlo al file host della macchina virtuale per forzare il browser a visitare tale IP per ottenere la rete di distribuzione di contenuti di Azure AD.
Dopo aver creato la nuova regola, tornare alla macchina virtuale e provare a eseguire di nuovo l'accesso usando le credenziali di Azure AD. Se l'accesso ha esito positivo, il portale di Microsoft Purview è pronto per l'uso. In alcuni casi, Tuttavia, Azure AD reindirizza ad altri domini per accedere in base al tipo di account di un cliente. Ad esempio, per un account live.com, Azure AD reindirizza a live.com per accedere e quindi tali richieste vengono bloccate di nuovo. Per gli account dei dipendenti Microsoft, Azure AD accede msft.sts.microsoft.com per informazioni di accesso.
Controllare le richieste di rete nella scheda Rete del browser per vedere quali richieste del dominio vengono bloccate, ripetere il passaggio precedente per ottenere l'IP e aggiungere regole di porta in uscita nel gruppo di sicurezza di rete per consentire le richieste per tale IP. Se possibile, aggiungere l'URL e l'IP al file host della macchina virtuale per correggere la risoluzione DNS. Se si conoscono esattamente gli intervalli IP del dominio di accesso, è anche possibile aggiungerli direttamente alle regole di rete.
L'accesso ad Azure AD dovrebbe ora avere esito positivo. Il portale di Microsoft Purview verrà caricato correttamente, ma l'elenco di tutti gli account Microsoft Purview non funzionerà perché può accedere solo a un account Microsoft Purview specifico. Immettere
web.purview.azure.com/resource/{PurviewAccountName}
per visitare direttamente l'account Microsoft Purview per cui è stato configurato correttamente un endpoint privato.