Microsoft Purview プライベート エンドポイントとマネージド VNet に関する FAQ

この記事では、Azure Private LinkまたはMicrosoft Purview Managed VNets を使用して、顧客やフィールド チームが Microsoft Purview ネットワーク構成についてよく寄せられる一般的な質問に回答します。 これは、Microsoft Purview ファイアウォール設定、プライベート エンドポイント、DNS 構成、および関連する構成に関する質問を明確にすることを目的としています。

Private Linkを使用して Microsoft Purview を設定するには、「Microsoft Purview アカウントにプライベート エンドポイントを使用する」を参照してください。 Microsoft Purview アカウントのマネージド VNet を構成するには、「Microsoft Purview アカウントでマネージド VNet を使用する」を参照してください。

よくある質問

次の一般的な質問に対する回答を確認してください。

セルフホステッド統合ランタイムまたはマネージド IR を使用する必要がある場合

マネージド IR は、次の場合に使用します。

• Microsoft Purview アカウントは、 マネージド VNet でサポートされているいずれかのリージョンにデプロイされます。
• マネージド IR で サポートされているデータ ソース のいずれかをスキャンする予定です。

次の場合は、セルフホステッド統合ランタイムを使用します。

• Azure IaaS、プライベート ネットワークの背後にある SaaS サービス、またはオンプレミス ネットワーク内のデータ ソースをスキャンする予定です。
• マネージド VNet は、Microsoft Purview アカウントがデプロイされているリージョンでは使用できません。
• マネージド VNet IR でサポートされているソースの下に一覧表示されていないソースをスキャンする予定です。

Microsoft Purview アカウント内でセルフホステッド統合ランタイムとマネージド IR の両方を使用できますか?

はい。 1 つの Microsoft Purview アカウントで、1 つまたはすべてのランタイム オプション (Azure IR、マネージド IR、セルフホステッド統合ランタイム) を使用できます。 1 回のスキャンで使用できるランタイム オプションは 1 つだけです。

Microsoft Purview アカウントのプライベート エンドポイントを展開する目的は何ですか?

Microsoft Purview アカウントのプライベート エンドポイントは、仮想ネットワーク内から発信されたクライアント呼び出しのみがアカウントへのアクセスを許可されるシナリオを有効にすることで、別のセキュリティレイヤーを追加するために使用されます。 このプライベート エンドポイントは、ポータルのプライベート エンドポイントの前提条件でもあります。

Microsoft Purview ポータルのプライベート エンドポイントを展開する目的は何ですか?

Microsoft Purview ポータルのプライベート エンドポイントは、Microsoft Purview ガバナンス ポータルへのプライベート接続を提供します。

Microsoft Purview インジェスト プライベート エンドポイントを展開する目的は何ですか?

Microsoft Purview では、インジェスト プライベート エンドポイントを使用して、Azure またはオンプレミス環境のデータ ソースをスキャンできます。 インジェスト プライベート エンドポイントの作成時に、他の 3 つのプライベート エンドポイント リソースがデプロイされ、Microsoft Purview のマネージド リソースまたは構成済みリソースにリンクされます。

• BLOB は Microsoft Purview マネージド ストレージ アカウントにリンクされています。
• キュー は Microsoft Purview マネージド ストレージ アカウントにリンクされています。
• 名前空間 は、Microsoft Purview で構成されたイベント ハブ名前空間にリンクされます。

Microsoft Purview アカウントでプライベート エンドポイントが有効になっている場合、パブリック エンドポイントを介してデータ ソースをスキャンできますか?

はい。 プライベート エンドポイントを介して接続されていないデータ ソースは、パブリック エンドポイントを使用してスキャンできますが、Microsoft Purview はプライベート エンドポイントを使用するように構成されています。

プライベート エンドポイントが有効になっている場合、サービス エンドポイントを介してデータ ソースをスキャンできますか?

はい。 プライベート エンドポイントを介して接続されていないデータ ソースは、Microsoft Purview がプライベート エンドポイントを使用するように構成されている間、サービス エンドポイントを使用してスキャンできます。

[ 信頼できる Microsoft サービス が Azure のデータ ソース リソースのサービス エンドポイント構成内のリソースにアクセスすることを許可する] を有効にしていることを確認します。 たとえば、ファイアウォールと仮想ネットワークの設定が選択したネットワークに設定されているAzure Blob Storageをスキャンする場合は、[信頼された Microsoft サービスにこのストレージ アカウントへのアクセスを許可する] チェック ボックスが例外として選択されていることを確認します。

マネージド IR を使用してパブリック エンドポイントを介してデータ ソースをスキャンできますか?

はい。 マネージド VNet でデータ ソースがサポートされている場合。 前提条件として、データ ソースのマネージド プライベート エンドポイントをデプロイする必要があります。

マネージド IR を使用してサービス エンドポイントを介してデータ ソースをスキャンできますか?

はい。 マネージド VNet でデータ ソースがサポートされている場合。 前提条件として、データ ソースのマネージド プライベート エンドポイントをデプロイする必要があります。

パブリック ネットワーク アクセスが Microsoft Purview アカウント ネットワークで [拒否] に設定されている場合、パブリック ネットワークから Microsoft Purview ガバナンス ポータルにアクセスできますか?

いいえ。 パブリック ネットワーク アクセスが [拒否] に設定されているパブリック エンドポイントから Microsoft Purview に接続すると、次のエラー メッセージが表示されます。

"この Microsoft Purview アカウントにアクセスする権限がありません。 この Microsoft Purview アカウントはプライベート エンドポイントの背後にあります。 Microsoft Purview アカウントのプライベート エンドポイント用に構成されているのと同じ仮想ネットワーク (VNet) 内のクライアントからアカウントにアクセスしてください。

この場合、Microsoft Purview ガバナンス ポータルを開くには、Microsoft Purview ポータルのプライベート エンドポイントと同じ仮想ネットワークにデプロイされているマシンを使用するか、ハイブリッド接続が許可されている CorpNet に接続されている VM を使用します。

Microsoft Purview マネージド ストレージ アカウントとイベント ハブ名前空間 (プライベート エンドポイント インジェストの場合のみ) へのアクセスを制限することはできますが、Web 全体のユーザーに対してポータル アクセスを有効にしたままにすることはできますか?

はい。 インジェスト専用 (プレビュー) では、Microsoft Purview ファイアウォール設定を [無効] に構成できます。 このオプションを選択すると、API と Microsoft Purview ガバナンス ポータルを介した Microsoft Purview アカウントへのパブリック ネットワーク アクセスが許可されますが、パブリック ネットワーク アクセスは Microsoft Purview アカウントのマネージド ストレージ アカウントとイベント ハブで無効に設定されます。

パブリック ネットワーク アクセスが [許可] に設定されている場合、マネージド ストレージ アカウントとイベント ハブ名前空間に誰でもアクセスできることを意味しますか?

いいえ。 保護されたリソースとして、Microsoft Purview マネージド ストレージ アカウントとイベント ハブ名前空間へのアクセスは、RBAC 認証スキームのみを使用して Microsoft Purview に制限されます。 これらのリソースは、すべてのプリンシパルへの拒否割り当てでデプロイされます。これにより、アプリケーション、ユーザー、またはグループがアクセスできなくなります。

Azure 拒否の割り当ての詳細については、「 Azure 拒否の割り当てについて」を参照してください。

プライベート エンドポイントを使用する場合、サポートされる認証の種類は何ですか?

Azure Key Vaultに格納されている SQL 認証、Windows 認証、基本認証、サービス プリンシパルなど、データ ソースの種類でサポートされる認証の種類によって異なります。 MSI は使用できません。

マネージド IR を使用する場合、サポートされる認証の種類は何ですか?

Azure Key Vaultまたは MSI に格納されている SQL 認証、Windows 認証、基本認証、サービス プリンシパルなど、データ ソースの種類でサポートされる認証の種類によって異なります。

プライベート エンドポイントの Microsoft Purview に必要なプライベート DNS ゾーンは何ですか?

Microsoft Purview アカウント と ポータル のプライベート エンドポイントの場合:

• privatelink.purview.azure.com

Microsoft Purview インジェスト プライベート エンドポイントの場合:

• privatelink.blob.core.windows.net
• privatelink.queue.core.windows.net
• privatelink.servicebus.windows.net

Microsoft Purview プライベート エンドポイントをデプロイするときに、専用仮想ネットワークと専用サブネットを使用する必要がありますか?

いいえ。 ただし、プライベート エンドポイントをデプロイする前に、 PrivateEndpointNetworkPolicies 宛先サブネットで無効にする必要があります。 VNet ピアリングを使用してデータ ソース仮想ネットワークへのネットワーク接続を持つ仮想ネットワークに Microsoft Purview をデプロイし、クロスプレミスでデータ ソースをスキャンする場合は、オンプレミス ネットワークにアクセスすることを検討してください。

詳細については、「 プライベート エンドポイントのネットワーク ポリシーを無効にする」を参照してください。

Microsoft Purview プライベート エンドポイントをデプロイし、サブスクリプション内の既存のプライベート DNS ゾーンを使用して A レコードを登録できますか?

はい。 プライベート エンドポイント DNS ゾーンは、Microsoft Purview とすべてのデータ ソース レコードに必要なすべての内部 DNS ゾーンのハブまたはデータ管理サブスクリプションで一元化できます。 Microsoft Purview がプライベート エンドポイントの内部 IP アドレスを使用してデータ ソースを解決できるようにするには、この方法をお勧めします。

また、既存のプライベート DNS ゾーンの 仮想ネットワークの仮想ネットワーク リンク を設定する必要もあります。

Azure 統合ランタイムを使用して、プライベート エンドポイントを介してデータ ソースをスキャンできますか?

いいえ。 プライベート接続を使用してデータをスキャンするには、セルフホステッド統合ランタイムをデプロイして登録する必要があります。 Azure Key Vaultまたはサービス プリンシパルは、データ ソースの認証方法として使用する必要があります。

マネージド IR を使用して、プライベート エンドポイントを介してデータ ソースをスキャンできますか?

マネージド IR を使用してサポートされているデータ ソースのいずれかをスキャンする予定の場合、データ ソースには Microsoft Purview Managed VNet 内に作成されたマネージド プライベート エンドポイントが必要です。 詳細については、「 Microsoft Purview Managed VNets」を参照してください。

プライベート エンドポイントを使用する場合、Microsoft Purview のセルフホステッド統合ランタイムを使用する仮想マシンの送信ポートとファイアウォールの要件は何ですか?

セルフホステッド統合ランタイムがデプロイされる VM には、Azure エンドポイントへの送信アクセスと、ポート 443 を介した Microsoft Purview プライベート IP アドレスが必要です。

プライベート エンドポイントが有効になっている場合、セルフホステッド統合ランタイムを実行している仮想マシンからの送信インターネット アクセスを有効にする必要がありますか?

いいえ。 ただし、セルフホステッド統合ランタイムを実行している仮想マシンは、ポート 443 を使用して内部 IP アドレスを介して Microsoft Purview のインスタンスに接続できる必要があります。 nslookup.exe や Test-NetConnection などの名前解決と接続テストには、一般的なトラブルシューティング ツールを使用します。

Managed VNet を使用している場合でも、Microsoft Purview アカウントのプライベート エンドポイントをデプロイする必要がありますか?

Microsoft Purview アカウントのパブリック アクセスが 拒否に設定されている場合は、少なくとも 1 つのアカウントとポータルのプライベート エンドポイントが必要です。 Microsoft Purview アカウントのパブリック アクセスが 拒否 に設定されていて、セルフホステッド統合ランタイムを使用して追加のデータ ソースをスキャンする予定の場合は、少なくとも 1 つのアカウント、ポータル、インジェスト プライベート エンドポイントが必要です。

Microsoft Purview Managed VNet のパブリック エンドポイントを介して許可される受信および送信通信は何ですか?

パブリック ネットワークからマネージド VNet への受信通信は許可されません。 すべてのポートが送信通信用に開かれます。 Microsoft Purview では、マネージド VNet を使用して Azure データ ソースにプライベートに接続し、スキャン中にメタデータを抽出できます。

コンピューターから Microsoft Purview ガバナンス ポータルを起動しようとすると、次のエラー メッセージが表示されるのはなぜですか?

"この Microsoft Purview アカウントはプライベート エンドポイントの背後にあります。 Microsoft Purview アカウントのプライベート エンドポイント用に構成されているのと同じ仮想ネットワーク (VNet) 内のクライアントからアカウントにアクセスしてください。

Microsoft Purview アカウントは、Private Linkを使用して展開され、Microsoft Purview アカウントでパブリック アクセスが無効になっている可能性があります。 その結果、Microsoft Purview への内部ネットワーク接続を持つ仮想マシンから Microsoft Purview ガバナンス ポータルを参照する必要があります。

ハイブリッド ネットワークの背後にある VM から接続している場合、または仮想ネットワークに接続されているジャンプ マシンを使用している場合は、名前解決と接続テストに一般的なトラブルシューティング ツール (nslookup.exe や Test-NetConnection など) を使用します。

1. Microsoft Purview アカウントのプライベート IP アドレスを使用して、次のアドレスを解決できるかどうかを検証します。

   • Web.Purview.Azure.com
   • <YourPurviewAccountName>.Purview.Azure.com

2. 次の PowerShell コマンドを使用して、Microsoft Purview アカウントへのネットワーク接続を確認します。

   Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
   

3. 独自の DNS 解決インフラストラクチャを使用する場合は、クロスプレミス DNS 構成を確認します。

プライベート エンドポイントの DNS 設定の詳細については、「 Azure プライベート エンドポイントの DNS 構成」を参照してください。

Microsoft Purview アカウントまたはそのマネージド リソースに関連付けられているプライベート エンドポイントを別の Azure サブスクリプションまたはリソース グループに移動できますか?

いいえ。 アカウント、ポータル、インジェスト プライベート エンドポイントの移動操作はサポートされていません。 詳細については、「 ネットワーク リソースを新しいリソース グループまたはサブスクリプションに移動する」を参照してください。

次の手順

Private Linkを使用して Microsoft Purview を設定するには、「Microsoft Purview アカウントにプライベート エンドポイントを使用する」を参照してください。