Condividi tramite


Connettersi in modo privato e sicuro all'account Microsoft Purview

In questa guida si apprenderà come distribuire endpoint privati per l'account Microsoft Purview per consentire la connessione all'account Microsoft Purview solo da reti virtuali e reti private. Per raggiungere questo obiettivo, è necessario distribuire gli endpoint privati dell'account e del portale per l'account Microsoft Purview.

Importante

Attualmente, le istanze di Microsoft Purview che usano il nuovo portale di Microsoft Purview possono usare solo endpoint privati di inserimento.

L'endpoint privato dell'account Microsoft Purview viene usato per aggiungere un altro livello di sicurezza abilitando scenari in cui solo le chiamate client provenienti dall'interno della rete virtuale possono accedere all'account Microsoft Purview. Questo endpoint privato è anche un prerequisito per l'endpoint privato del portale.

L'endpoint privato del portale di Microsoft Purview è necessario per abilitare la connettività al portale di governance di Microsoft Purview usando una rete privata.

Nota

Se si creano solo endpoint privati dell'account e del portale , non sarà possibile eseguire analisi. Per abilitare l'analisi in una rete privata, è anche necessario creare un endpoint privato di inserimento.

Diagramma che mostra l'architettura di Microsoft Purview e collegamento privato.

Per altre informazioni su collegamento privato di Azure servizio, vedere collegamenti privati ed endpoint privati per altre informazioni.

Elenco di controllo per la distribuzione

Usando questa guida, è possibile distribuire questi endpoint privati per un account Microsoft Purview esistente:

  1. Scegliere una rete virtuale di Azure appropriata e una subnet per distribuire gli endpoint privati di Microsoft Purview. Selezionare una delle opzioni seguenti:

    • Distribuire una nuova rete virtuale nella sottoscrizione di Azure.
    • Individuare una rete virtuale di Azure esistente e una subnet nella sottoscrizione di Azure.
  2. Definire un metodo di risoluzione dei nomi DNS appropriato, in modo che l'account Microsoft Purview e il portale Web possano essere accessibili tramite indirizzi IP privati. È possibile usare una delle opzioni seguenti:

    • Distribuire nuove zone DNS di Azure usando i passaggi illustrati più avanti in questa guida.
    • Aggiungere i record DNS necessari alle zone DNS di Azure esistenti usando i passaggi descritti più avanti in questa guida.
    • Dopo aver completato i passaggi descritti in questa guida, aggiungere manualmente i record DNS A necessari nei server DNS esistenti.
  3. Distribuire gli endpoint privati dell'account e del portale per un account Microsoft Purview esistente.

  4. Abilitare l'accesso a Microsoft Entra ID se la rete privata dispone di regole del gruppo di sicurezza di rete impostate per negare tutto il traffico Internet pubblico.

  5. Dopo aver completato questa guida, modificare le configurazioni DNS, se necessario.

  6. Convalidare la risoluzione della rete e dei nomi dal computer di gestione a Microsoft Purview.

Abilitare l'endpoint privato dell'account e del portale

Esistono due modi per aggiungere gli endpoint privati dell'account Microsoft Purview e del portale per un account Microsoft Purview esistente:

  • Usare il portale di Azure (account Microsoft Purview).
  • Usare collegamento privato Center.

Usare il portale di Azure (account Microsoft Purview)

  1. Passare alla portale di Azure, quindi selezionare l'account Microsoft Purview e in Impostazioni selezionare Rete e quindi connessioni endpoint privati.

    Screenshot che mostra la creazione di un endpoint privato dell'account.

  2. Selezionare + Endpoint privato per creare un nuovo endpoint privato.

  3. Compilare le informazioni di base.

  4. Nella scheda Risorsa selezionare Microsoft.Purview/accounts per Tipo di risorsa.

  5. In Risorsa selezionare l'account Microsoft Purview e, per Risorsa secondaria di destinazione, selezionare account.

  6. Nella scheda Configurazione selezionare la rete virtuale e, facoltativamente, selezionare Azure DNS privato zona per creare una nuova zona DNS di Azure.

    Nota

    Per la configurazione DNS, è anche possibile usare le zone di DNS privato di Azure esistenti dall'elenco a discesa o aggiungere manualmente i record DNS necessari ai server DNS in un secondo momento. Per altre informazioni, vedere Configurare la risoluzione dei nomi DNS per gli endpoint privati

  7. Passare alla pagina di riepilogo e selezionare Crea per creare l'endpoint privato del portale.

  8. Seguire la stessa procedura quando si seleziona il portale per La sottoso risorsa di destinazione.

  1. Andare al portale di Azure.

  2. Nella barra di ricerca nella parte superiore della pagina cercare il collegamento privato e passare al riquadro collegamento privato selezionando la prima opzione.

  3. Selezionare + Aggiungi e immettere i dettagli di base.

    Screenshot che mostra la creazione di endpoint privati dal centro collegamento privato.

  4. In Risorsa selezionare l'account Microsoft Purview già creato. Per Sottoso risorsa di destinazione selezionare account.

  5. Nella scheda Configurazione selezionare la rete virtuale e la zona DNS privata. Passare alla pagina di riepilogo e selezionare Crea per creare l'endpoint privato dell'account.

Nota

Seguire la stessa procedura quando si seleziona il portale per La sottoso risorsa di destinazione.

Abilitare l'accesso a Microsoft Entra ID

Nota

Se la macchina virtuale, il gateway VPN o il gateway di peering reti virtuali ha accesso a Internet pubblico, può accedere al portale Di Microsoft Purview e all'account Microsoft Purview abilitato con endpoint privati. Per questo motivo, non è necessario seguire le altre istruzioni. Se nella rete privata sono impostate regole del gruppo di sicurezza di rete per negare tutto il traffico Internet pubblico, è necessario aggiungere alcune regole per abilitare l'accesso Microsoft Entra ID. Seguire le istruzioni per eseguire questa operazione.

Queste istruzioni vengono fornite per accedere a Microsoft Purview in modo sicuro da una macchina virtuale di Azure. Passaggi simili devono essere eseguiti se si usa VPN o altri gateway di peering di rete virtuale.

  1. Passare alla macchina virtuale nel portale di Azure e in Impostazioni selezionare Rete. Selezionare quindi Regole porta in uscita, Aggiungi regola di porta in uscita.

    Screenshot che mostra l'aggiunta di una regola in uscita.

  2. Nel riquadro Aggiungi regola di sicurezza in uscita :

    1. In Destinazione selezionare Tag di servizio.
    2. In Tag servizio di destinazione selezionare AzureActiveDirectory.
    3. In Intervalli di porte di destinazione selezionare *.
    4. In Azione selezionare Consenti.
    5. In Priorità il valore deve essere superiore alla regola che ha negato tutto il traffico Internet.

    Creare la regola.

    Screenshot che mostra l'aggiunta dei dettagli delle regole in uscita.

  3. Seguire la stessa procedura per creare un'altra regola per consentire il tag del servizio AzureResourceManager . Se è necessario accedere alla portale di Azure, è anche possibile aggiungere una regola per il tag del servizio AzurePortal.

  4. Connettersi alla macchina virtuale e aprire il browser. Passare alla console del browser selezionando CTRL+MAIUSC+J e passare alla scheda di rete per monitorare le richieste di rete. Immettere web.purview.azure.com nella casella URL e provare ad accedere usando le credenziali di Microsoft Entra. L'accesso probabilmente avrà esito negativo e nella scheda Rete della console è possibile visualizzare Microsoft Entra ID provare ad accedere a aadcdn.msauth.net ma a bloccarsi.

    Screenshot che mostra i dettagli dell'esito negativo dell'accesso.

  5. In questo caso, aprire un prompt dei comandi nella macchina virtuale, effettuare il ping aadcdn.msauth.net, ottenere l'IP e quindi aggiungere una regola di porta in uscita per l'IP nelle regole di sicurezza di rete della macchina virtuale. Impostare Destinazione su Indirizzi IP e Indirizzi IP di destinazione sull'indirizzo IP aadcdn. A causa di Azure Load Balancer e Gestione traffico di Azure, l'IP della rete di distribuzione del contenuto Microsoft Entra potrebbe essere dinamico. Dopo aver ottenuto il relativo IP, è meglio aggiungerlo al file host della macchina virtuale per forzare il browser a visitare tale IP per ottenere la rete di distribuzione di contenuti Microsoft Entra.

    Screenshot che mostra il ping di test.

    Screenshot che mostra la regola Microsoft Entra Content Delivery Network.

  6. Dopo aver creato la nuova regola, tornare alla macchina virtuale e provare a eseguire di nuovo l'accesso usando le credenziali di Microsoft Entra. Se l'accesso ha esito positivo, il portale di Microsoft Purview è pronto per l'uso. In alcuni casi, tuttavia, Microsoft Entra ID reindirizza ad altri domini per accedere in base al tipo di account di un cliente. Ad esempio, per un account live.com, Microsoft Entra ID reindirizza a live.com per accedere e quindi tali richieste vengono bloccate di nuovo. Per gli account dei dipendenti Microsoft, Microsoft Entra ID accede msft.sts.microsoft.com per le informazioni di accesso.

    Controllare le richieste di rete nella scheda Rete del browser per vedere quali richieste del dominio vengono bloccate, ripetere il passaggio precedente per ottenere l'IP e aggiungere regole di porta in uscita nel gruppo di sicurezza di rete per consentire le richieste per tale IP. Se possibile, aggiungere l'URL e l'IP al file host della macchina virtuale per correggere la risoluzione DNS. Se si conoscono esattamente gli intervalli IP del dominio di accesso, è anche possibile aggiungerli direttamente alle regole di rete.

  7. L'accesso Microsoft Entra dovrebbe ora avere esito positivo. Il portale di Microsoft Purview verrà caricato correttamente, ma l'elenco di tutti gli account Microsoft Purview non funzionerà perché può accedere solo a un account Microsoft Purview specifico. Immettere web.purview.azure.com/resource/{PurviewAccountName} per visitare direttamente l'account Microsoft Purview per cui è stato configurato correttamente un endpoint privato.

Passaggi successivi