Microsoft Purview アカウントにプライベート エンドポイントを使用する
この記事では、Microsoft Purview のプライベート エンドポイントを構成する方法について説明します。
概念の概要
Microsoft Purview アカウントの Azure プライベート エンドポイントを使用すると、仮想ネットワーク (VNet) 上のユーザーがPrivate Link経由でカタログに安全にアクセスできます。 プライベート エンドポイントは、Microsoft Purview アカウントの VNet アドレス空間からの IP アドレスを使用します。 VNet 上のクライアントと Microsoft Purview アカウント間のネットワーク トラフィックは、VNet と Microsoft バックボーン ネットワーク上のプライベート リンクを経由します。
Microsoft Purview アカウント のプライベート エンドポイントをデプロイして、プライベート ネットワーク内から発信された Microsoft Purview へのクライアント呼び出しのみを許可できます。
プライベート ネットワーク接続を使用して Microsoft Purview ガバナンス ポータルに接続するには、 ポータル のプライベート エンドポイントをデプロイします。
プライベート接続を介して Azure 仮想ネットワーク内の Azure IaaS および PaaS データ ソースとオンプレミス データ ソースをスキャンする必要がある場合は、 インジェスト プライベート エンドポイントをデプロイできます。 この方法により、データ ソースからMicrosoft Purview データ マップに流れるメタデータのネットワーク分離が保証されます。
前提条件
Microsoft Purview アカウントのプライベート エンドポイントを展開する前に、次の前提条件を満たしていることを確認してください。
- アクティブなサブスクリプションを持つ Azure アカウント。
無料でアカウントを作成します。
- 既存の Azure 仮想ネットワーク。 新しい Azure 仮想ネットワーク がない場合は、デプロイします。
Microsoft Purview プライベート エンドポイントのデプロイ シナリオ
プライベート エンドポイントを使用して Microsoft Purview アカウントの展開を実行するには、次の推奨チェックリストを使用します。
| シナリオ | 目標 |
|---|---|
| シナリオ 1 - Microsoft Purview に接続し、データ ソースをプライベートかつ安全にスキャンする | プライベート エンドポイント経由でのみ Microsoft Purview アカウントへのアクセスを制限する必要があります。これには、Microsoft Purview ガバナンス ポータル、Atlas API へのアクセス、セルフホステッド統合ランタイムを使用してオンプレミスと Azure (ただし仮想ネットワーク内) のデータ ソースをスキャンし、エンドツーエンドのネットワーク分離を確保する必要があります。 ( アカウント、 ポータル 、 インジェスト プライベート エンドポイントをデプロイします)。 |
| シナリオ 2 - Microsoft Purview アカウントにプライベートで安全に接続する | プライベート エンドポイントを介した Microsoft Purview ガバナンス ポータルと Atlas API へのアクセスを含め、 Microsoft Purview アカウントへのアクセスを有効にする必要があります。 ( アカウント と ポータル のプライベート エンドポイントをデプロイします)。 |
| シナリオ 3 - マネージド Virtual Networkを使用してデータ ソースを安全にスキャンする | 仮想ネットワークまたはセルフホステッド統合ランタイム VM を管理することなく、Azure データ ソースを安全にスキャンする必要があります。 (Microsoft Purview、マネージド ストレージ アカウント、Azure データ ソース用のマネージド プライベート エンドポイントをデプロイします)。 |
インジェスト プライベート エンドポイントを使用したデータ ソースのスキャンのサポート マトリックス
Microsoft Purview アカウントで インジェスト プライベート エンドポイントが使用され、データ ソースに対するパブリック アクセスが無効になっているシナリオでは、Microsoft Purview はプライベート エンドポイントの背後にある次のデータ ソースをスキャンできます。
| プライベート エンドポイントの背後にあるデータ ソース | 統合ランタイムの種類 | 資格情報の種類 |
|---|---|---|
| Azure Blob Storage | Self-Hosted IR | サービス プリンシパル |
| Azure Blob Storage | Self-Hosted IR | アカウント キー |
| Azure Data Lake Storage Gen 2 | Self-Hosted IR | サービス プリンシパル |
| Azure Data Lake Storage Gen 2 | Self-Hosted IR | アカウント キー |
| Azure SQL データベース | Self-Hosted IR | SQL 認証 |
| Azure SQL データベース | Self-Hosted IR | サービス プリンシパル |
| Azure SQL Managed Instance | Self-Hosted IR | SQL 認証 |
| Azure Cosmos DB | Self-Hosted IR | アカウント キー |
| SQL Server | Self-Hosted IR | SQL 認証 |
| Azure Synapse Analytics | Self-Hosted IR | サービス プリンシパル |
| Azure Synapse Analytics | Self-Hosted IR | SQL 認証 |
| Power BI テナント (同じテナント) | Self-Hosted IR | 委任された認証 |
よく寄せられる質問
Microsoft Purview でのプライベート エンドポイントのデプロイに関連する FAQ については、「 Microsoft Purview プライベート エンドポイントに関する FAQ」を参照してください。
トラブルシューティング ガイド
Microsoft Purview アカウントのプライベート エンドポイント構成のトラブルシューティングについては、「 Microsoft Purview アカウントのプライベート エンドポイント構成のトラブルシューティング」を参照してください。
既知の制限
Microsoft Purview プライベート エンドポイントに関連する現在の制限事項の一覧については、「 Microsoft Purview プライベート エンドポイントの既知の制限事項」を参照してください。