Microsoft Purview 계정에 비공개로 안전하게 연결

이 가이드에서는 Microsoft Purview 계정에 대한 프라이빗 엔드포인트를 배포하여 VNet 및 프라이빗 네트워크에서만 Microsoft Purview 계정에 연결할 수 있도록 하는 방법을 알아봅니다. 이 목표를 달성하려면 Microsoft Purview 계정에 대한 계정 및 포털 프라이빗 엔드포인트를 배포해야 합니다.

Microsoft Purview 계정 프라이빗 엔드포인트는 가상 네트워크 내에서 시작된 클라이언트 호출만 Microsoft Purview 계정에 액세스할 수 있는 시나리오를 사용하도록 설정하여 다른 보안 계층을 추가하는 데 사용됩니다. 이 프라이빗 엔드포인트는 포털 프라이빗 엔드포인트의 필수 구성 요소이기도 합니다.

프라이빗 네트워크를 사용하여 Microsoft Purview 거버넌스 포털에 연결할 수 있도록 하려면 Microsoft Purview 포털 프라이빗 엔드포인트가 필요합니다.

참고

계정 및 포털 프라이빗 엔드포인트만 만드는 경우 검사를 실행할 수 없습니다. 프라이빗 네트워크에서 검사를 사용하도록 설정하려면 수집 프라이빗 엔드포인트도 만들어야 합니다.

Azure Private Link 서비스에 대한 자세한 내용은 프라이빗 링크 및 프라이빗 엔드포인트를 참조하여 자세히 알아보세요.

배포 검사 목록

이 가이드의 배포 옵션 중 하나를 사용하여 계정 및 포털 프라이빗 엔드포인트를 사용하여 새 Microsoft Purview 계정을 배포하거나 기존 Microsoft Purview 계정에 대해 이러한 프라이빗 엔드포인트를 배포하도록 선택할 수 있습니다.

1. 적절한 Azure 가상 네트워크 및 서브넷을 선택하여 Microsoft Purview 프라이빗 엔드포인트를 배포합니다. 다음 옵션 중 하나를 선택합니다.

   • Azure 구독에 새 가상 네트워크를 배포합니다.
   • Azure 구독에서 기존 Azure 가상 네트워크 및 서브넷을 찾습니다.

2. 개인 IP 주소를 통해 Microsoft Purview 계정 및 웹 포털에 액세스할 수 있도록 적절한 DNS 이름 확인 방법을 정의합니다. 다음 옵션 중에서 사용할 수 있습니다.

   • 이 가이드에서 자세히 설명한 단계를 사용하여 새 Azure DNS 영역을 배포합니다.
   • 이 가이드에서 자세히 설명한 단계를 사용하여 기존 Azure DNS 영역에 필요한 DNS 레코드를 추가합니다.
   • 이 가이드의 단계를 완료한 후 기존 DNS 서버에 필요한 DNS A 레코드를 수동으로 추가합니다.

3. 계정 및 포털 프라이빗 엔드포인트를 사용하여 새 Microsoft Purview 계정을 배포하거나 기존 Microsoft Purview 계정에 대한 계정 및 포털 프라이빗 엔드포인트를 배포합니다.

4. 프라이빗 네트워크에 모든 공용 인터넷 트래픽에 대해 거부하도록 설정된 네트워크 보안 그룹 규칙이 있는 경우 Azure Active Directory에 대한 액세스를 사용하도록 설정합니다.

5. 이 가이드를 완료한 후 필요한 경우 DNS 구성을 조정합니다.

6. 관리 컴퓨터에서 Microsoft Purview로 네트워크 및 이름 확인의 유효성을 검사합니다.

옵션 1 - 계정 및 포털 프라이빗 엔드포인트를 사용하여 새 Microsoft Purview 계정 배포

1. Azure Portal 이동한 다음 Microsoft Purview 계정 페이지로 이동합니다. + 만들기를 선택하여 새 Microsoft Purview 계정을 만듭니다.

2. 기본 정보를 입력하고 네트워킹 탭에서 연결 방법을 프라이빗 엔드포인트로 설정합니다. 프라이빗 엔드포인트 사용을 계정 및 포털로만 설정합니다.

3. 계정 및 포털에서 + 추가를 선택하여 Microsoft Purview 계정에 대한 프라이빗 엔드포인트를 추가합니다.

   

4. 프라이빗 엔드포인트 만들기 페이지의 Microsoft Purview 하위 리소스에 대해 위치를 선택하고 계정 프라이빗 엔드포인트의 이름을 제공하고 계정을 선택합니다. 네트워킹에서 가상 네트워크 및 서브넷을 선택하고 필요에 따라 프라이빗 DNS 영역과 통합을 선택하여 새 Azure 프라이빗 DNS 영역을 만듭니다.

   

   참고

   또한 기존 Azure 프라이빗 DNS 영역을 사용하거나 나중에 DNS 서버에서 수동으로 DNS 레코드를 만들 수도 있습니다. 자세한 내용은 프라이빗 엔드포인트에 대한 DNS 이름 확인 구성을 참조하세요.

5. 확인을 선택합니다.

6. Microsoft Purview 계정 만들기 마법사에서 +추가를 다시 선택하여 포털 프라이빗 엔드포인트를 추가합니다.

7. 프라이빗 엔드포인트 만들기 페이지에서 Microsoft Purview 하위 리소스의 경우 위치를 선택하고 포털 프라이빗 엔드포인트의 이름을 제공하고 포털을 선택합니다. 네트워킹에서 가상 네트워크 및 서브넷을 선택하고 필요에 따라 프라이빗 DNS 영역과 통합을 선택하여 새 Azure 프라이빗 DNS 영역을 만듭니다.

   

   참고

   또한 기존 Azure 프라이빗 DNS 영역을 사용하거나 나중에 DNS 서버에서 수동으로 DNS 레코드를 만들 수도 있습니다. 자세한 내용은 프라이빗 엔드포인트에 대한 DNS 이름 확인 구성을 참조하세요.

8. 확인을 선택합니다.

9. 검토 + 만들기를 선택합니다. 검토 + 만들기 페이지에서 Azure는 구성의 유효성을 검사합니다.

   

10. "유효성 검사 통과" 메시지가 표시되면 만들기를 선택합니다.

옵션 2 - 기존 Microsoft Purview 계정에서 계정 및 포털 프라이빗 엔드포인트 사용

기존 Microsoft Purview 계정에 대해 Microsoft Purview 계정 및 포털 프라이빗 엔드포인트를 추가할 수 있는 두 가지 방법이 있습니다.

• Azure Portal(Microsoft Purview 계정)를 사용합니다.
• Private Link 센터를 사용합니다.

Azure Portal 사용(Microsoft Purview 계정)

1. Azure Portal 이동한 다음 Microsoft Purview 계정을 선택하고 설정에서 네트워킹을 선택한 다음 프라이빗 엔드포인트 연결을 선택합니다.

   

2. + 프라이빗 엔드포인트를 선택하여 새 프라이빗 엔드포인트를 만듭니다.

3. 기본 정보를 입력합니다.

4. 리소스 탭의 리소스 종류에 대해 Microsoft.Purview/accounts를 선택합니다.

5. 리소스의 경우 Microsoft Purview 계정을 선택하고 대상 하위 리소스에대해 계정을 선택합니다.

6. 구성 탭에서 가상 네트워크를 선택하고 필요에 따라 Azure 프라이빗 DNS 영역을 선택하여 새 Azure DNS 영역을 만듭니다.

   참고

   DNS 구성의 경우 드롭다운 목록에서 기존 Azure 프라이빗 DNS 영역을 사용하거나 나중에 DNS 서버에 필요한 DNS 레코드를 수동으로 추가할 수도 있습니다. 자세한 내용은 프라이빗 엔드포인트에 대한 DNS 이름 확인 구성을 참조하세요.

7. 요약 페이지로 이동하고 만들기 를 선택하여 포털 프라이빗 엔드포인트를 만듭니다.

8. 대상 하위 리소스에 대한 포털을 선택할 때 동일한 단계를 수행합니다.

Private Link 센터 사용

1. Azure Portal로 이동합니다.

2. 페이지 위쪽의 검색 창에서 프라이빗 링크를 검색하고 첫 번째 옵션을 선택하여 Private Link 창으로 이동합니다.

3. + 추가를 선택하고 기본 세부 정보를 입력합니다.

   

4. 리소스에 대해 이미 만든 Microsoft Purview 계정을 선택합니다. 대상 하위 리소스의 경우 계정을 선택합니다.

5. 구성 탭에서 가상 네트워크 및 프라이빗 DNS 영역을 선택합니다. 요약 페이지로 이동하고 만들기 를 선택하여 계정 프라이빗 엔드포인트를 만듭니다.

참고

대상 하위 리소스에 대한 포털을 선택할 때 동일한 단계를 수행합니다.

Azure Active Directory에 대한 액세스 사용

참고

VM, VPN Gateway 또는 VNet 피어링 게이트웨이에 공용 인터넷 액세스 권한이 있는 경우 프라이빗 엔드포인트로 사용하도록 설정된 Microsoft Purview 포털 및 Microsoft Purview 계정에 액세스할 수 있습니다. 따라서 나머지 지침을 따를 필요가 없습니다. 프라이빗 네트워크에 모든 공용 인터넷 트래픽을 거부하도록 설정된 네트워크 보안 그룹 규칙이 있는 경우 Azure Active Directory(Azure AD) 액세스를 사용하도록 설정하는 몇 가지 규칙을 추가해야 합니다. 지침에 따라 수행합니다.

이러한 지침은 Azure VM에서 Microsoft Purview에 안전하게 액세스하기 위해 제공됩니다. VPN 또는 다른 VNet 피어링 게이트웨이를 사용하는 경우 유사한 단계를 따라야 합니다.

1. Azure Portal VM으로 이동하고 설정에서 네트워킹을 선택합니다. 그런 다음 아웃바운드 포트 규칙, 아웃바운드 포트 규칙 추가를 선택합니다.

   

2. 아웃바운드 보안 규칙 추가 창에서 다음을 수행합니다.

   1. 대상에서 서비스 태그를 선택합니다.
   2. 대상 서비스 태그에서 AzureActiveDirectory를 선택합니다.
   3. 대상 포트 범위에서 *를 선택합니다.
   4. 작업에서 허용을 선택합니다.
   5. 우선 순위에서 값은 모든 인터넷 트래픽을 거부한 규칙보다 높아야 합니다.

   규칙을 만듭니다.

   

3. 동일한 단계에 따라 AzureResourceManager 서비스 태그를 허용하는 다른 규칙을 만듭니다. Azure Portal 액세스해야 하는 경우 AzurePortal 서비스 태그에 대한 규칙을 추가할 수도 있습니다.

4. VM에 연결하고 브라우저를 엽니다. Ctrl+Shift+J를 선택하여 브라우저 콘솔로 이동하고 네트워크 탭으로 전환하여 네트워크 요청을 모니터링합니다. URL 상자에 web.purview.azure.com 입력하고 Azure AD 자격 증명을 사용하여 로그인합니다. 로그인이 실패할 수 있으며 콘솔의 네트워크 탭에서 aadcdn.msauth.net 액세스하려고 하지만 차단되는 Azure AD 확인할 수 있습니다.

   

5. 이 경우 VM에서 명령 프롬프트를 열고 ping aadcdn.msauth.net 해당 IP를 가져와서 VM의 네트워크 보안 규칙에서 IP에 대한 아웃바운드 포트 규칙을 추가합니다. 대상을 IP 주소로 설정하고 대상 IP 주소를 aadcdn IP로 설정합니다. Azure Load Balancer 및 Azure Traffic Manager로 인해 Azure AD Content Delivery Network IP가 동적일 수 있습니다. IP를 받은 후 VM의 호스트 파일에 추가하여 브라우저가 해당 IP를 강제로 방문하여 Azure AD Content Delivery Network를 가져오는 것이 좋습니다.

   

   

6. 새 규칙을 만든 후 VM으로 돌아가서 Azure AD 자격 증명을 다시 사용하여 로그인합니다. 로그인이 성공하면 Microsoft Purview 포털을 사용할 준비가 된 것입니다. 그러나 경우에 따라 Azure AD 고객의 계정 유형에 따라 로그인하도록 다른 도메인으로 리디렉션됩니다. 예를 들어 live.com 계정의 경우 Azure AD 로그인할 live.com 리디렉션한 다음 해당 요청이 다시 차단됩니다. Microsoft 직원 계정의 경우 Azure AD 로그인 정보에 대한 msft.sts.microsoft.com 액세스합니다.

   브라우저 네트워킹 탭에서 네트워킹 요청을 확인하여 차단되는 도메인의 요청을 확인하고, 이전 단계를 다시 실행하여 IP를 가져오고, 네트워크 보안 그룹에 아웃바운드 포트 규칙을 추가하여 해당 IP에 대한 요청을 허용합니다. 가능하면 VM의 호스트 파일에 URL 및 IP를 추가하여 DNS 확인을 수정합니다. 정확한 로그인 도메인의 IP 범위를 알고 있는 경우 네트워킹 규칙에 직접 추가할 수도 있습니다.

7. 이제 Azure AD 로그인에 성공해야 합니다. Microsoft Purview 포털은 성공적으로 로드되지만 특정 Microsoft Purview 계정에만 액세스할 수 있으므로 모든 Microsoft Purview 계정을 나열해도 작동하지 않습니다. 프라이빗 엔드포인트를 성공적으로 설정한 Microsoft Purview 계정을 직접 방문하려면 를 입력 web.purview.azure.com/resource/{PurviewAccountName} 합니다.

다음 단계

• 프라이빗 엔드포인트에 대한 확인 확인
• Microsoft Purview에서 데이터 원본 관리
• Microsoft Purview 계정에 대한 프라이빗 엔드포인트 구성 문제 해결