Microsoft Purview ネットワーク アーキテクチャとベスト プラクティス

  • [アーティクル]

Microsoft Purview データ ガバナンス ソリューションは、データ ガバナンスのためのサービスとしてのプラットフォーム (PaaS) ソリューションです。 Microsoft Purview アカウントには、サービスに接続するためにインターネット経由でアクセスできるパブリック エンドポイントがあります。 ただし、すべてのエンドポイントは、Azure Active Directory (Azure AD) ログインとロールベースのアクセス制御 (RBAC) を通じてセキュリティ保護されます。

注:

これらのベスト プラクティスは、 Microsoft Purview 統合データ ガバナンス ソリューションのネットワーク アーキテクチャに関するものです。 Microsoft Purview のリスクとコンプライアンス ソリューションの詳細については、 こちらを参照してください。 Microsoft Purview 全般の詳細については、 こちらを参照してください

セキュリティを強化するために、Microsoft Purview アカウントのプライベート エンドポイントを作成できます。 Azure の仮想ネットワークから Microsoft Purview アカウントとそのマネージド リソースにプライベート IP アドレスを取得します。 このアドレスは、仮想ネットワークと Microsoft Purview アカウント間のすべてのトラフィックを、API と Microsoft Purview ガバナンス ポータルとのユーザー操作、またはスキャンとインジェストのためのプライベート リンクに制限します。

現在、Microsoft Purview ファイアウォールは、purview アカウントのパブリック エンドポイントのアクセス制御を提供します。 ファイアウォールを使用して、すべてのアクセスを許可したり、プライベート エンドポイントを使用するときにパブリック エンドポイントを介してすべてのアクセスをブロックすることができます。 詳細については、「Microsoft Purview ファイアウォール オプション」を参照してください。

ネットワーク、接続、およびセキュリティの要件に基づいて、Microsoft Purview アカウントを設定および管理して、基になるサービスまたはインジェストにアクセスできます。 このベスト プラクティス ガイドを使用して、ネットワーク環境を定義して準備し、ネットワークまたはクラウドから Microsoft Purview にアクセスしてデータ ソースをスキャンできるようにします。

このガイドでは、次のネットワーク オプションについて説明します。

このガイドでは、Microsoft Purview の最も一般的なネットワーク アーキテクチャシナリオについて説明します。 これらのシナリオに限定されるわけではありませんが、Microsoft Purview アカウントのネットワークを計画する場合は、サービスの 制限 事項に注意してください。

前提条件

環境に最適なネットワーク オプションを理解するには、最初に次のアクションを実行することをお勧めします。

オプション 1: パブリック エンドポイントを使用する

既定では、インターネット経由でアクセスできるパブリック エンドポイントを介して Microsoft Purview アカウントを使用できます。 次の要件がある場合は、Microsoft Purview アカウントでパブリック ネットワークを許可します。

  • Microsoft Purview エンドポイントをスキャンまたは接続するときにプライベート接続は必要ありません。
  • すべてのデータ ソースは、サービスとしてのソフトウェア (SaaS) アプリケーションのみです。
  • すべてのデータ ソースには、インターネット経由でアクセスできるパブリック エンドポイントがあります。
  • ビジネス ユーザーは、インターネット経由で Microsoft Purview アカウントと Microsoft Purview ガバナンス ポータルにアクセスする必要があります。

統合ランタイム オプション

Microsoft Purview アカウント ファイアウォールがパブリック アクセスを許可するように設定されている間にデータ ソースをスキャンするには、Azure 統合ランタイムと セルフホステッド統合ランタイムの両方を使用できます。 使用方法は、 データ ソースのサポート可能性によって異なります。

ベスト プラクティスを次に示します。

  • Azure 統合ランタイムまたはセルフホステッド統合ランタイムを使用して、Azure SQL Databaseや Azure Blob Storage などの Azure データ ソースをスキャンできますが、コストと管理オーバーヘッドを削減するために、Azure 統合ランタイムを使用して Azure データ ソースをスキャンすることをお勧めします。

  • 複数の Azure データ ソースをスキャンするには、パブリック ネットワークと Azure 統合ランタイムを使用します。 次の手順では、Azure 統合ランタイムを使用して Azure 内のデータ ソースをスキャンする場合の通信フローの概要を示します。

    Microsoft Purview、Azure ランタイム、およびデータ ソース間の接続フローを示すスクリーンショット。

    1. 手動または自動スキャンは、Azure 統合ランタイムを介してMicrosoft Purview データ マップから開始されます。

    2. Azure 統合ランタイムは、データ ソースに接続してメタデータを抽出します。

    3. メタデータは Microsoft Purview マネージド ストレージにキューに格納され、Azure Blob Storage に格納されます。

    4. メタデータは、Microsoft Purview データ マップに送信されます。

  • オンプレミスと VM ベースのデータ ソースをスキャンするには、常にセルフホステッド統合ランタイムを使用する必要があります。 Azure 統合ランタイムは、これらのデータ ソースではサポートされていません。 次の手順では、セルフホステッド統合ランタイムを使用してデータ ソースをスキャンする場合の通信フローの概要を示します。 最初の図は、リソースが Azure 内または Azure 内の VM 上にあるシナリオを示しています。 2 番目の図は、オンプレミス リソースを使用したシナリオを示しています。 2 つの間の手順は、Microsoft Purview の観点からは同じです。

    Microsoft Purview、セルフホステッド ランタイム、およびデータ ソース間の接続フローを示すスクリーンショット。

    Microsoft Purview、オンプレミスのセルフホステッド ランタイム、およびオンプレミス ネットワーク内のデータ ソース間の接続フローを示すスクリーンショット。

    1. 手動または自動スキャンがトリガーされます。 Microsoft Purview は Azure Key Vault に接続して、データ ソースにアクセスするための資格情報を取得します。

    2. スキャンは、セルフホステッド統合ランタイムを介してMicrosoft Purview データ マップから開始されます。

    3. VM またはオンプレミス マシンからのセルフホステッド統合ランタイム サービスは、データ ソースに接続してメタデータを抽出します。

    4. メタデータは、セルフホステッド統合ランタイムのマシンのメモリ内で処理されます。 メタデータは Microsoft Purview マネージド ストレージにキューに格納され、Azure Blob Storage に格納されます。 実際のデータがネットワークの境界を離れることはありません。

    5. メタデータは、Microsoft Purview データ マップに送信されます。

認証オプション

Microsoft Purview でデータ ソースをスキャンする場合は、資格情報を指定する必要があります。 その後、Microsoft Purview は、移行先データ ソースの Azure 統合ランタイムを使用して、資産のメタデータを読み取ることができます。 パブリック ネットワークを使用している場合、認証オプションと要件は次の要因によって異なります。

  • データ ソースの種類。 たとえば、データ ソースが Azure SQL Databaseの場合は、各データベースにdb_datareaderアクセスできるログインを使用する必要があります。 これは、ユーザーマネージド ID または Microsoft Purview マネージド ID です。 または、db_datareaderとしてSQL Databaseに追加された Azure Active Directory のサービス プリンシパルを指定することもできます。

    データ ソースが Azure Blob Storage の場合は、Microsoft Purview マネージド ID、または Azure ストレージ アカウントの Blob Storage データ閲覧者ロールとして追加された Azure Active Directory のサービス プリンシパルを使用できます。 または、ストレージ アカウントのキーを使用します。

  • 認証の種類。 管理オーバーヘッドを減らすために、Microsoft Purview マネージド ID を使用して可能な場合は Azure データ ソースをスキャンすることをお勧めします。 その他の認証の種類については、 Microsoft Purview 内でソース認証の資格情報を設定する必要があります。

    1. Azure キー コンテナー内にシークレットを生成します。
    2. Microsoft Purview 内でキー コンテナーを登録します。
    3. Microsoft Purview 内で、キー コンテナーに保存されているシークレットを使用して新しい資格情報を作成します。

  • スキャンで使用されるランタイムの種類。 現時点では、セルフホステッド統合ランタイムで Microsoft Purview マネージド ID を使用することはできません。

その他の考慮事項

  • パブリック エンドポイントを使用してデータ ソースをスキャンする場合、セルフホステッド統合ランタイム VM は、データ ソースと Azure エンドポイントへの送信アクセス権を持っている必要があります。

  • セルフホステッド統合ランタイム VM には 、Azure エンドポイントへの送信接続が必要です。

  • Azure データ ソースでは、パブリック アクセスを許可する必要があります。 データ ソースでサービス エンドポイントが有効になっている場合は、 信頼されたサービス 一覧の Azure サービスが Azure データ ソースにアクセスすることを許可していることを確認します。 サービス エンドポイントは、仮想ネットワークからのトラフィックを最適なパスを介して Azure にルーティングします。

オプション 2: プライベート エンドポイントを使用する

他の PaaS ソリューションと同様に、Microsoft Purview は仮想ネットワークへの直接デプロイをサポートしていません。 そのため、ネットワーク セキュリティ グループ、ルート テーブル、Azure Firewall などの他のネットワーク依存アプライアンスなど、オファリングのリソースで特定のネットワーク機能を使用することはできません。 代わりに、仮想ネットワークで有効にできるプライベート エンドポイントを使用できます。 その後、パブリック インターネット アクセスを無効にして、Microsoft Purview に安全に接続できます。

次のいずれかの要件がある場合は、Microsoft Purview アカウントにプライベート エンドポイントを使用する必要があります。

  • Microsoft Purview アカウントとデータ ソースには、エンドツーエンドのネットワーク分離が必要です。

  • Microsoft Purview アカウントへの パブリック アクセスをブロック する必要があります。

  • サービスとしてのプラットフォーム (PaaS) データ ソースはプライベート エンドポイントと共にデプロイされ、パブリック エンドポイントを通じてすべてのアクセスがブロックされました。

  • オンプレミスまたはサービスとしてのインフラストラクチャ (IaaS) データ ソースはパブリック エンドポイントに到達できません。

設計上の考慮事項

  • Microsoft Purview アカウントにプライベートで安全に接続するには、アカウントとポータルのプライベート エンドポイントをデプロイする必要があります。 たとえば、このデプロイは、API を介して Microsoft Purview に接続する場合や、Microsoft Purview ガバナンス ポータルを使用する場合に必要です。

  • プライベート エンドポイントを使用して Microsoft Purview ガバナンス ポータルに接続する必要がある場合は、アカウントとポータルの両方のプライベート エンドポイントをデプロイする必要があります。

  • プライベート接続を使用してデータ ソースをスキャンするには、Microsoft Purview 用に少なくとも 1 つのアカウントと 1 つのインジェスト プライベート エンドポイントを構成する必要があります。 Microsoft Purview マネージド ID 以外の認証方法を使用して、セルフホステッド統合ランタイムを使用してスキャンを構成する必要があります。

  • スキャンを設定する前に、 インジェスト プライベート エンドポイントを介してデータ ソースをスキャンするためのサポート マトリックス に関するページを参照してください。

  • DNS 要件を確認します。 ネットワーク上のカスタム DNS サーバーを使用している場合、クライアントは Microsoft Purview アカウント エンドポイントの完全修飾ドメイン名 (FQDN) をプライベート エンドポイントの IP アドレスに解決できる必要があります。

  • プライベート接続を使用して Azure データ ソースをスキャンするには、 Managed VNet Runtime を使用しますサポートされているリージョンを表示します。 このオプションを使用すると、セルフホステッド統合ランタイム マシンのデプロイと管理の管理オーバーヘッドを削減できます。

統合ランタイム オプション

  • データ ソースが Azure にある場合は、次のいずれかのランタイム オプションを選択できます。

    • マネージド VNet ランタイム。 Microsoft Purview アカウントが サポートされている任意のリージョン に展開されていて、 サポートされているデータ ソースのいずれかをスキャンする予定の場合は、このオプションを使用します。

    • セルフホステッド統合ランタイム。

      • セルフホステッド統合ランタイムを使用する場合は、Microsoft Purview インジェスト プライベート エンドポイントがデプロイされているのと同じ仮想ネットワークまたはピアリングされた仮想ネットワーク内にデプロイされている Windows 仮想マシンで、セルフホステッド統合ランタイムを設定して使用する必要があります。 Azure 統合ランタイムは、インジェスト プライベート エンドポイントでは機能しません。

      • オンプレミスのデータ ソースをスキャンするには、オンプレミスの Windows マシンまたは Azure 仮想ネットワーク内の VM にセルフホステッド統合ランタイムをインストールすることもできます。

      • Microsoft Purview でプライベート エンドポイントを使用する場合は、Microsoft Purview プライベート エンドポイントがデプロイされている Azure 仮想ネットワーク上のデータ ソースからセルフホステッド統合 VM へのネットワーク接続を許可する必要があります。

      • セルフホステッド統合ランタイムの自動アップグレードを許可することをお勧めします。 自動アップグレードを許可するには、Azure 仮想ネットワークまたは会社のファイアウォールで必要な送信規則を開いていることを確認します。 詳細については、「 セルフホステッド統合ランタイム ネットワーク要件」を参照してください。

認証オプション

  • Microsoft Purview マネージド ID を使用して、インジェスト プライベート エンドポイントを介してデータ ソースをスキャンすることはできません。 データ ソースの種類に基づいて、サービス プリンシパル、アカウント キー、または SQL 認証を使用します。

  • 資格情報が Azure キー コンテナーに格納され、Microsoft Purview 内に登録されていることを確認します。

  • Azure キー コンテナーで作成する各シークレットに基づいて、Microsoft Purview で資格情報を作成する必要があります。 少なくとも、Azure の Key Vault リソースで Microsoft Purview のシークレットのアクセス権を 取得 して 一覧表示 する必要があります。 それ以外の場合、資格情報は Microsoft Purview アカウントでは機能しません。

現在の制限事項

  • インジェストにプライベート エンドポイントを使用している場合、インジェスト プライベート エンドポイントとセルフホステッド統合ランタイムを使用してサブスクリプションまたはリソース グループ全体を使用して複数の Azure ソースをスキャンすることはできません。 代わりに、データ ソースを個別に登録してスキャンできます。

  • Microsoft Purview プライベート エンドポイントに関連する制限事項については、「 既知の制限事項」を参照してください。

  • Private Link サービスに関連する制限事項については、「 Azure Private Link の制限」を参照してください。

プライベート エンドポイントのシナリオ

単一仮想ネットワーク、単一リージョン

このシナリオでは、すべての Azure データ ソース、セルフホステッド統合ランタイム VM、Microsoft Purview プライベート エンドポイントが、Azure サブスクリプション内の同じ仮想ネットワークにデプロイされます。

オンプレミスのデータ ソースが存在する場合、Microsoft Purview プライベート エンドポイントがデプロイされている Azure 仮想ネットワークへのサイト間 VPN または Azure ExpressRoute 接続を介して接続が提供されます。

このアーキテクチャは、主に小規模な組織や、開発、テスト、概念実証のシナリオに適しています。

1 つの仮想ネットワーク シナリオでプライベート エンドポイントを持つ Microsoft Purview を示すスクリーンショット。

単一リージョン、複数の仮想ネットワーク

Azure 内の 2 つ以上の仮想ネットワークを一緒に接続するには、 仮想ネットワーク ピアリングを使用できます。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure バックボーン ネットワーク上に保持されます。

多くのお客様は、ハブアンドスポーク ネットワーク アーキテクチャを使用して、Azure でネットワーク インフラストラクチャを構築します。次の場所は次のとおりです。

  • ネットワーク共有サービス (ネットワーク仮想アプライアンス、ExpressRoute/VPN ゲートウェイ、DNS サーバーなど) は、ハブ仮想ネットワークにデプロイされます。
  • スポーク仮想ネットワークは、仮想ネットワーク ピアリングを介して共有サービスを使用します。

ハブアンドスポーク ネットワーク アーキテクチャでは、organizationのデータ ガバナンス チームに、仮想ネットワーク (ハブ) を含む Azure サブスクリプションを提供できます。 すべてのデータ サービスは、仮想ネットワーク ピアリングまたはサイト間 VPN 接続を介してハブ仮想ネットワークに接続されている他のいくつかのサブスクリプションに配置できます。

ハブアンドスポーク アーキテクチャでは、Microsoft Purview と 1 つ以上のセルフホステッド統合ランタイム VM をハブ サブスクリプションと仮想ネットワークにデプロイできます。 同じリージョン内の複数のサブスクリプションから、他の仮想ネットワークのデータ ソースを登録してスキャンできます。

セルフホステッド統合ランタイム VM は、アカウントとインジェストプライベート エンドポイントがデプロイされている同じ Azure 仮想ネットワークまたはピアリングされた仮想ネットワーク内にデプロイできます。

複数の仮想ネットワークのシナリオでプライベート エンドポイントを持つ Microsoft Purview を示すスクリーンショット。

必要に応じて、スポーク仮想ネットワークに別のセルフホステッド統合ランタイムをデプロイできます。

複数のリージョン、複数の仮想ネットワーク

データ ソースが 1 つ以上の Azure サブスクリプション内の複数の Azure リージョンに分散されている場合は、このシナリオを使用できます。

パフォーマンスとコストの最適化のために、データ ソースが配置されている各リージョンに 1 つ以上のセルフホステッド統合ランタイム VM をデプロイすることを強くお勧めします。

複数の仮想ネットワークと複数のリージョンのシナリオでプライベート エンドポイントを持つ Microsoft Purview を示すスクリーンショット。

マネージド Vnet ランタイムを使用してスキャンする

Microsoft Purview アカウントが サポートされている任意のリージョン にデプロイされていて、サポートされている Azure データ ソースのいずれかをスキャンする予定の場合は、マネージド VNet ランタイムを使用してプライベート ネットワーク内のデータ ソースをスキャンできます。

マネージド VNet ランタイムを使用すると、ランタイム管理の管理オーバーヘッドを最小限に抑え、全体的なスキャン期間を短縮できます。

Managed VNet Runtime を使用して Azure データ ソースをスキャンするには、データ ソースに Azure サブスクリプションにプライベート ネットワークが既に存在する場合でも、マネージド プライベート エンドポイントを Microsoft Purview Managed Virtual Network 内にデプロイする必要があります。

マネージド VNet を使用した Microsoft Purview を示すスクリーンショット。

Managed VNet Runtime でサポートされていないオンプレミスのデータ ソースまたは Azure 内の追加のデータ ソースをスキャンする必要がある場合は、Managed VNet Runtime とセルフホステッド統合ランタイムの両方をデプロイできます。

マネージド VNet と SHIR を使用した Microsoft Purview を示すスクリーンショット。

プライマリ リージョンで Microsoft Purview を使用できない場合

Microsoft Purview は、サービス ソリューションとしての Azure プラットフォームです。 サポートされている任意の Azure リージョンの Azure サブスクリプション内に Microsoft Purview アカウントをデプロイできます。

プライマリ Azure リージョンで Microsoft Purview を使用できない場合は、セカンダリ リージョンを選択して Microsoft Purview アカウントをデプロイするときに、次の要素を考慮してください。

  • データ ソースがデプロイされているプライマリ Azure リージョンと、Microsoft Purview アカウントがデプロイされるセカンダリ Azure リージョン間の待機時間を確認します。 詳細については、「 Azure ネットワークラウンドトリップ待機時間の統計」を参照してください。
  • データ所在地の要件を確認します。 Microsoft Purview データ マップでデータ ソースをスキャンすると、メタデータに関連する情報が取り込まれており、Microsoft Purview アカウントがデプロイされている Azure リージョンのデータ マップ内に格納されます。 詳細については、「 メタデータが格納されている場所」を参照してください。
  • ユーザー アクセスまたはメタデータ インジェスト用のプライベート ネットワーク接続が必要な場合は、ネットワークとセキュリティの要件を確認します。 詳細については、「 プライマリ リージョンで Microsoft Purview を使用できない場合」を参照してください。

オプション 1: セカンダリ リージョンに Microsoft Purview アカウントをデプロイし、Azure データ ソースがあるプライマリ リージョンにすべてのプライベート エンドポイントをデプロイします。 このシナリオの場合:

  • これは、オーストラリア南東部がすべてのデータ ソースのプライマリ リージョンであり、プライマリ リージョンにすべてのネットワーク リソースがデプロイされている場合に推奨されるオプションです。
  • セカンダリ リージョン (オーストラリア東部など) に Microsoft Purview アカウントをデプロイします。
  • アカウント、ポータル、インジェストを含むすべての Microsoft Purview プライベート エンドポイントをプライマリ リージョン (オーストラリア南東部など) にデプロイします。
  • プライマリ リージョン (オーストラリア南東部など) にすべての Microsoft Purview セルフホステッド統合ランタイム VM をデプロイします。 これにより、データ マップ スキャンは、データ ソースが配置され、Microsoft Purview アカウントが展開されているセカンダリ リージョンにメタデータのみが取り込まれるローカル リージョンで行われるので、リージョン間のトラフィックを削減するのに役立ちます。
  • メタデータ インジェストに Microsoft Purview Managed VNets を使用する場合、マネージド VNet ランタイムとすべてのマネージド プライベート エンドポイントは、Microsoft Purview がデプロイされているリージョン (オーストラリア東部など) に自動的にデプロイされます。

オプション 2: Microsoft Purview アカウントをセカンダリ リージョンにデプロイし、プライマリリージョンとセカンダリ リージョンにプライベート エンドポイントをデプロイします。 このシナリオの場合:

  • このオプションは、プライマリ リージョンとセカンダリ リージョンの両方にデータ ソースがあり、ユーザーがプライマリ リージョンを介して接続されている場合に推奨されます。
  • セカンダリ リージョン (オーストラリア東部など) に Microsoft Purview アカウントをデプロイします。
  • Microsoft Purview ガバナンス ポータルへのユーザー アクセスのために、プライマリ リージョン (オーストラリア南東部など) に Microsoft Purview ガバナンス ポータルのプライベート エンドポイントをデプロイします。
  • プライマリ リージョン (オーストラリア南東部など) に Microsoft Purview アカウントとインジェスト プライベート エンドポイントをデプロイして、プライマリ リージョン内のローカルでデータ ソースをスキャンします。
  • セカンダリ リージョン (オーストラリア東部など) に Microsoft Purview アカウントとインジェスト プライベート エンドポイントを展開し、セカンダリ リージョン内のローカルでデータ ソースをスキャンします。
  • Microsoft Purview セルフホステッド統合ランタイム VM をプライマリ リージョンとセカンダリ リージョンの両方にデプロイします。 これにより、データ マップ スキャン トラフィックをローカル リージョンに保持し、セカンダリ リージョン (オーストラリア東部など) で構成されているMicrosoft Purview データ マップにメタデータのみを送信するのに役立ちます。
  • メタデータ インジェストに Microsoft Purview Managed VNets を使用する場合、マネージド VNet ランタイムとすべてのマネージド プライベート エンドポイントは、Microsoft Purview がデプロイされているリージョン (オーストラリア東部など) に自動的にデプロイされます。

プライベート エンドポイントを使用した DNS 構成

複数の Microsoft Purview アカウントの名前解決

organizationでプライベート エンドポイントを使用して複数の Microsoft Purview アカウントをデプロイして管理する必要がある場合は、次の推奨事項に従うことをお勧めします。

  1. Microsoft Purview アカウントごとに少なくとも 1 つの アカウント プライベート エンドポイントをデプロイします。
  2. Microsoft Purview アカウントごとに少なくとも 1 つの インジェスト プライベート エンドポイントのセットをデプロイします。
  3. Azure 環境のいずれかの Microsoft Purview アカウントに 1 つの ポータル プライベート エンドポイントをデプロイします。 解決するポータル プライベート エンドポイント用の 1 つの DNS A レコードをweb.purview.azure.com作成します。 ポータルのプライベート エンドポイントは、同じ Azure 仮想ネットワーク内のすべての purview アカウント、または VNet ピアリングを介して接続された仮想ネットワークで使用できます。

複数の Microsoft Purview アカウントのプライベート エンドポイントと DNS レコードを処理する方法を示すスクリーンショット。

このシナリオは、複数の Microsoft Purview アカウントが複数のサブスクリプションと、VNet ピアリングを介して接続されている複数の VNet に展開されている場合にも適用されます。 ポータル プライベート エンドポイントは、主に Microsoft Purview ガバナンス ポータルに関連する静的資産をレンダリングするため、Microsoft Purview アカウントに依存しないため、VNet が接続されている場合、Azure 環境内のすべての Microsoft Purview アカウントにアクセスするために必要な ポータル プライベート エンドポイントは 1 つだけです。

複数の vnet 内の複数の Microsoft Purview アカウントのプライベート エンドポイントと DNS レコードを処理する方法を示すスクリーンショット。

注:

Microsoft Purview アカウントが分離されたネットワーク セグメント化で展開されるシナリオでは、Microsoft Purview アカウントごとに個別の ポータル プライベート エンドポイントを展開する必要がある場合があります。 Microsoft Purview ポータル は、顧客情報を含まない、すべての顧客向けの静的なコンテンツです。 必要に応じて、パブリック ネットワーク (ポータル プライベート エンドポイントなし) を使用して、エンド ユーザーがインターネットの起動 web.purview.azure.com を許可されている場合に起動できます。

オプション 3: プライベート エンドポイントとパブリック エンドポイントの両方を使用する

データ ソースのサブセットがプライベート エンドポイントを使用するオプションを選択できます。同時に、次のいずれかをスキャンする必要があります。

  • サービス エンドポイントで構成されているその他のデータ ソース
  • インターネット経由でアクセスできるパブリック エンドポイントを持つデータ ソース

インジェスト プライベート エンドポイントを使用して一部のデータ ソースをスキャンし、パブリック エンドポイントまたはサービス エンドポイントを使用して一部のデータ ソースをスキャンする必要がある場合は、次のことができます。

  1. Microsoft Purview アカウントにプライベート エンドポイントを使用します。
  2. Microsoft Purview アカウントのすべてのネットワークから [パブリック ネットワーク アクセス] を [有効] に設定します。

統合ランタイム オプション

  • プライベート エンドポイントで構成された Azure データ ソースをスキャンするには、Microsoft Purview アカウントとインジェスト プライベート エンドポイントがデプロイされているのと同じ仮想ネットワークまたはピアリングされた仮想ネットワーク内にデプロイされている Windows 仮想マシンで、セルフホステッド統合ランタイムを設定して使用する必要があります。

    Microsoft Purview でプライベート エンドポイントを使用している場合は、Microsoft Purview プライベート エンドポイントがデプロイされている Azure 仮想ネットワーク上のデータ ソースからセルフホステッド統合 VM へのネットワーク接続を許可する必要があります。

  • パブリック エンドポイントを許可するように構成されている Azure データ ソースをスキャンするには、Azure 統合ランタイムを使用できます。

  • オンプレミスのデータ ソースをスキャンするには、オンプレミスの Windows マシンまたは Azure 仮想ネットワーク内の VM にセルフホステッド統合ランタイムをインストールすることもできます。

  • セルフホステッド統合ランタイムの自動アップグレードを許可することをお勧めします。 自動アップグレードを許可するには、Azure 仮想ネットワークまたは会社のファイアウォールで必要な送信規則を開いていることを確認します。 詳細については、「 セルフホステッド統合ランタイム ネットワーク要件」を参照してください。

認証オプション

  • パブリック エンドポイントを許可するように構成されている Azure データ ソースをスキャンするには、データ ソースの種類に基づいて任意の認証オプションを使用できます。

  • インジェスト プライベート エンドポイントを使用して、プライベート エンドポイントで構成されている Azure データ ソースをスキャンする場合:

    • Microsoft Purview マネージド ID は使用できません。 代わりに、データ ソースの種類に基づいて、サービス プリンシパル、アカウント キー、または SQL 認証を使用します。

    • 資格情報が Azure キー コンテナーに格納され、Microsoft Purview 内に登録されていることを確認します。

    • Azure Key Vault で作成する各シークレットに基づいて、Microsoft Purview で資格情報を作成する必要があります。 少なくとも、Azure の Key Vault リソースで Microsoft Purview のシークレットの 取得一覧表示 のアクセスを割り当てます。 それ以外の場合、資格情報は Microsoft Purview アカウントでは機能しません。

オプション 4: インジェストにのみプライベート エンドポイントを使用する

次の操作を行う必要がある場合は、このオプションを選択できます。

  • インジェスト プライベート エンドポイントを使用して、すべてのデータ ソースをスキャンします。
  • パブリック ネットワークを無効にするには、マネージド リソースを構成する必要があります。
  • パブリック ネットワークを介して Microsoft Purview ガバナンス ポータルへのアクセスを有効にします。

このオプションを有効にするには:

  1. Microsoft Purview アカウントのインジェスト プライベート エンドポイントを構成します。
  2. Microsoft Purview アカウントインジェスト専用 (プレビュー) で、[パブリック ネットワーク アクセス] を [無効] に設定します。

統合ランタイム オプション

オプション 2 の推奨事項に従います。

認証オプション

オプション 2 の推奨事項に従います。

セルフホステッド統合ランタイム ネットワークとプロキシに関する推奨事項

オンプレミスおよび Azure ネットワーク全体でデータ ソースをスキャンするには、このドキュメントで前述したシナリオのいずれかに対して、Azure VNet またはオンプレミス ネットワーク内に 1 つまたは複数の セルフホステッド統合ランタイム仮想マシン をデプロイして使用する必要がある場合があります。

  • 管理を簡略化するために、可能であれば、Azure ランタイムと Microsoft Purview Managed ランタイム を使用して Azure データ ソースをスキャンします。

  • セルフホステッド統合ランタイム サービスは、ポート 443 経由でパブリックまたはプライベート ネットワークを介して Microsoft Purview と通信できます。 詳細については、「 セルフホステッド統合ランタイム ネットワーク要件」を参照してください。

  • 1 つのセルフホステッド統合ランタイム VM を使用して Microsoft Purview 内の 1 つまたは複数のデータ ソースをスキャンできますが、セルフホステッド統合ランタイムは Microsoft Purview にのみ登録する必要があり、Azure Data Factory または Azure Synapse に同時に使用することはできません。

  • 1 つの Microsoft Purview アカウントで、1 つまたは複数のセルフホステッド統合ランタイムを登録して使用できます。 データ ソースが存在するリージョンまたはオンプレミス ネットワークごとに、セルフホステッド統合ランタイム VM を少なくとも 1 つ配置することをお勧めします。

  • セルフホステッド統合ランタイム VM ごとに必要な容量のベースラインを定義し、必要に応じて VM 容量をスケーリングすることをお勧めします。

  • 可能であれば、セルフホステッド統合ランタイム VM と Microsoft Purview とそのマネージド リソース間のネットワーク接続をプライベート ネットワーク経由で設定することをお勧めします。

  • 自動更新が有効になっている場合は、download.microsoft.com への送信接続を許可します。

  • セルフホステッド統合ランタイム サービスは、セルフホステッド統合ランタイム VM が Azure VNet または ExpressRoute またはサイト間 VPN 接続を介して Azure に接続されているオンプレミス ネットワークにデプロイされている場合、送信インターネット接続を必要としません。 この場合、スキャンとメタデータの取り込みプロセスはプライベート ネットワークを介して実行できます。

  • セルフホステッド統合ランタイムは、Microsoft Purview とそのマネージド リソースを直接、または プロキシ サーバーを介して通信できます。 セルフホステッド統合ランタイム VM が Azure VNet 内にある場合、または ExpressRoute またはサイト間 VPN 接続を介して接続されている場合は、プロキシ設定を使用しないでください。

  • プロキシ設定でセルフホステッド統合ランタイムを使用する必要がある場合は、サポートされているシナリオを確認します。

次の手順