Perguntas frequentes sobre pontos de extremidade privados do Microsoft Purview e VNets Gerenciadas

Este artigo responde a perguntas comuns que clientes e equipes de campo costumam fazer sobre as configurações de rede do Microsoft Purview usando Link Privado do Azure ou VNets Gerenciadas do Microsoft Purview. Ele pretende esclarecer perguntas sobre configurações de firewall do Microsoft Purview, pontos de extremidade privados, configuração DNS e configurações relacionadas.

Para configurar o Microsoft Purview usando Link Privado, consulte Usar pontos de extremidade privados para sua conta do Microsoft Purview. Para configurar VNets Gerenciadas para uma conta do Microsoft Purview, consulte Usar uma VNet Gerenciada com sua conta do Microsoft Purview.

Perguntas comuns

Confira as respostas para as perguntas comuns a seguir.

Quando devo usar um runtime de integração auto-hospedado ou um IR Gerenciado?

Use um IR Gerenciado se:

• Sua conta do Microsoft Purview é implantada em uma das regiões com suporte para VNets Gerenciadas.
• Você está planejando examinar qualquer uma das fontes de dados com suporte pelo IR Gerenciado.

Use um runtime de integração auto-hospedado se:

• Você está planejando examinar fontes de dados no IaaS do Azure, serviços SaaS por trás da rede privada ou em sua rede local.
• A VNet gerenciada não está disponível na região em que sua conta do Microsoft Purview está implantada.
• Você está planejando examinar todas as fontes que não estão listadas em fontes com suporte da VNet IR gerenciada.

Posso usar o runtime de integração auto-hospedada e o IR Gerenciado dentro de uma conta do Microsoft Purview?

Sim. Você pode usar uma ou todas as opções de runtime em uma única conta do Microsoft Purview: IR do Azure, IR gerenciado e runtime de integração auto-hospedada. Você pode usar apenas uma opção de runtime em uma única verificação.

Qual é a finalidade de implantar o ponto de extremidade privado da conta do Microsoft Purview?

O ponto de extremidade privado da conta do Microsoft Purview é usado para adicionar outra camada de segurança, habilitando cenários em que somente chamadas de cliente originadas de dentro da rede virtual têm permissão para acessar a conta. Esse ponto de extremidade privado também é um pré-requisito para o ponto de extremidade privado do portal.

Qual é a finalidade de implantar o ponto de extremidade privado do portal do Microsoft Purview?

O ponto de extremidade privado do portal do Microsoft Purview fornece conectividade privada ao portal de governança do Microsoft Purview.

Qual é a finalidade de implantar os pontos de extremidade privados de ingestão do Microsoft Purview?

O Microsoft Purview pode verificar fontes de dados no Azure ou em um ambiente local usando pontos de extremidade privados de ingestão. Outros três recursos de ponto de extremidade privado são implantados e vinculados aos recursos gerenciados ou configurados do Microsoft Purview quando os pontos de extremidade privados de ingestão são criados:

• O blob está vinculado a uma conta de armazenamento gerenciada do Microsoft Purview.
• A fila está vinculada a uma conta de armazenamento gerenciada do Microsoft Purview.
• o namespace está vinculado a um namespace do hub de eventos configurado do Microsoft Purview.

Posso examinar uma fonte de dados por meio de um ponto de extremidade público se um ponto de extremidade privado estiver habilitado na minha conta do Microsoft Purview?

Sim. Fontes de dados que não estão conectadas por meio de um ponto de extremidade privado podem ser examinadas usando um ponto de extremidade público enquanto o Microsoft Purview está configurado para usar um ponto de extremidade privado.

Posso verificar uma fonte de dados por meio de um ponto de extremidade de serviço se um ponto de extremidade privado estiver habilitado?

Sim. Fontes de dados que não estão conectadas por meio de um ponto de extremidade privado podem ser examinadas usando um ponto de extremidade de serviço enquanto o Microsoft Purview está configurado para usar um ponto de extremidade privado.

Habilite Permitir que serviços confiáveis da Microsoft acessem os recursos dentro da configuração do ponto de extremidade de serviço do recurso de fonte de dados no Azure. Por exemplo, se você for examinar Armazenamento de Blobs do Azure em que os firewalls e as configurações de redes virtuais estão definidos como redes selecionadas, verifique se a caixa de seleção Permitir serviços confiáveis da Microsoft para acessar essa conta de armazenamento está selecionada como uma exceção.

Posso examinar uma fonte de dados por meio de um ponto de extremidade público usando o IR Gerenciado?

Sim. Se a fonte de dados tiver suporte pela VNet Gerenciada. Como pré-requisito, você precisa implantar um ponto de extremidade privado gerenciado para a fonte de dados.

Posso examinar uma fonte de dados por meio de um ponto de extremidade de serviço usando o IR Gerenciado?

Sim. Se a fonte de dados tiver suporte pela VNet Gerenciada. Como pré-requisito, você precisa implantar um ponto de extremidade privado gerenciado para a fonte de dados.

Posso acessar o portal de governança do Microsoft Purview de uma rede pública se o acesso à rede pública estiver definido como Negar na rede de conta do Microsoft Purview?

Não. Conectar-se ao Microsoft Purview a partir de um ponto de extremidade público em que o acesso à rede pública é definido como Negar resulta na seguinte mensagem de erro:

"Não está autorizado a acessar essa conta do Microsoft Purview. Essa conta do Microsoft Purview está por trás de um ponto de extremidade privado. Acesse a conta de um cliente na mesma VNet (rede virtual) que foi configurada para o ponto de extremidade privado da conta do Microsoft Purview.".

Nesse caso, para abrir o portal de governança do Microsoft Purview, use um computador implantado na mesma rede virtual que o ponto de extremidade privado do portal do Microsoft Purview ou use uma VM conectada à sua CorpNet na qual a conectividade híbrida é permitida.

É possível restringir o acesso à conta de armazenamento gerenciada do Microsoft Purview e ao namespace do hub de eventos (somente para ingestão de ponto de extremidade privado), mas manter o acesso ao portal habilitado para usuários em toda a Web?

Sim. Você pode configurar a configuração de firewall do Microsoft Purview como Desabilitado somente para ingestão (Versão prévia). Ao escolher essa opção, o acesso à rede pública à sua conta do Microsoft Purview por meio da API e do portal de governança do Microsoft Purview é permitido, no entanto, o acesso à rede pública é definido como desabilitado na conta de armazenamento gerenciado e no hub de eventos da sua conta do Microsoft Purview.

Se o acesso à rede pública estiver definido como Permitir, isso significa que a conta de armazenamento gerenciada e o namespace do hub de eventos estarão acessíveis por qualquer pessoa?

Não. Como recursos protegidos, o acesso à conta de armazenamento gerenciado do Microsoft Purview e ao namespace do hub de eventos é restrito ao Microsoft Purview apenas usando esquemas de autenticação RBAC. Esses recursos são implantados com uma atribuição de negação a todas as entidades, o que impede que aplicativos, usuários ou grupos obtenham acesso a eles.

Para ler mais sobre a atribuição de negação do Azure, confira Entender atribuições de negação do Azure.

Quais são os tipos de autenticação com suporte quando uso um ponto de extremidade privado?

Depende do tipo de autenticação compatível com o tipo de fonte de dados, como Autenticação SQL, Autenticação do Windows, Autenticação Básica, Entidade de Serviço etc. armazenada no Azure Key Vault. O MSI não pode ser usado.

Quais são os tipos de autenticação com suporte quando uso IR Gerenciado?

Depende do tipo de autenticação compatível com o tipo de fonte de dados, como Autenticação SQL, Autenticação do Windows, Autenticação Básica, Entidade de Serviço etc. armazenado no Azure Key Vault ou MSI.

Quais zonas DNS privadas são necessárias para o Microsoft Purview para um ponto de extremidade privado?

Para a conta do Microsoft Purview e os pontos de extremidade privados do portal :

• privatelink.purview.azure.com

Para pontos de extremidade privados de ingestão do Microsoft Purview:

• privatelink.blob.core.windows.net
• privatelink.queue.core.windows.net
• privatelink.servicebus.windows.net

Preciso usar uma rede virtual dedicada e uma sub-rede dedicada quando implantar pontos de extremidade privados do Microsoft Purview?

Não. No entanto, PrivateEndpointNetworkPolicies deve ser desabilitado na sub-rede de destino antes de implantar os pontos de extremidade privados. Considere implantar o Microsoft Purview em uma rede virtual que tenha conectividade de rede com redes virtuais de origem de dados por meio do Emparelhamento de VNet e acesso a uma rede local se você planeja verificar fontes de dados entre instalações.

Leia mais sobre Desabilitar políticas de rede para pontos de extremidade privados.

Posso implantar pontos de extremidade privados do Microsoft Purview e usar zonas DNS privadas existentes na minha assinatura para registrar os registros A?

Sim. Suas zonas DNS de ponto de extremidade privado podem ser centralizadas em um hub ou assinatura de gerenciamento de dados para todas as zonas DNS internas necessárias para o Microsoft Purview e todos os registros de fonte de dados. Recomendamos esse método para permitir que o Microsoft Purview resolve fontes de dados usando seus endereços IP internos do ponto de extremidade privado.

Você também é obrigado a configurar um link de rede virtual para redes virtuais para a zona DNS privada existente.

Posso usar o runtime de integração do Azure para verificar fontes de dados por meio de um ponto de extremidade privado?

Não. Você precisa implantar e registrar um runtime de integração auto-hospedado para verificar dados usando conectividade privada. O Azure Key Vault ou Entidade de Serviço deve ser usado como o método de autenticação para fontes de dados.

Posso usar o IR Gerenciado para verificar fontes de dados por meio de um ponto de extremidade privado?

Se você estiver planejando usar o IR Gerenciado para examinar qualquer uma das fontes de dados com suporte, a fonte de dados exigirá um ponto de extremidade privado gerenciado criado dentro da VNet Gerenciada do Microsoft Purview. Para obter mais informações, consulte VNets Gerenciadas do Microsoft Purview.

Quais são as portas de saída e os requisitos de firewall para máquinas virtuais com runtime de integração auto-hospedada para o Microsoft Purview quando você usa um ponto de extremidade privado?

As VMs nas quais o runtime de integração auto-hospedada é implantado devem ter acesso de saída aos pontos de extremidade do Azure e a um endereço IP privado do Microsoft Purview por meio da porta 443.

Preciso habilitar o acesso à Internet de saída da máquina virtual que executa o runtime de integração auto-hospedada se um ponto de extremidade privado estiver habilitado?

Não. No entanto, espera-se que a máquina virtual que executa o runtime de integração auto-hospedada possa se conectar à sua instância do Microsoft Purview por meio de um endereço IP interno usando a porta 443. Use ferramentas comuns de solução de problemas para a resolução de nomes e testes de conectividade, como nslookup.exe e Test-NetConnection.

Ainda preciso implantar pontos de extremidade privados para minha conta do Microsoft Purview se estiver usando a VNet Gerenciada?

Pelo menos uma conta e pontos de extremidade privados do portal são necessários, se o acesso público na conta do Microsoft Purview for definido como negado. Pelo menos uma conta, ponto de extremidade privado de portal e ingestão são necessários, se o acesso público na conta do Microsoft Purview estiver definido como negado e você estiver planejando examinar fontes de dados adicionais usando um runtime de integração auto-hospedada.

Quais comunicações de entrada e saída são permitidas por meio do ponto de extremidade público para VNets Gerenciadas do Microsoft Purview?

Nenhuma comunicação de entrada é permitida em uma VNet Gerenciada da rede pública. Todas as portas são abertas para comunicações de saída. No Microsoft Purview, uma VNet Gerenciada pode ser usada para se conectar privadamente a fontes de dados do Azure para extrair metadados durante a verificação.

Por que recebo a seguinte mensagem de erro quando tento iniciar o portal de governança do Microsoft Purview do meu computador?

"Essa conta do Microsoft Purview está por trás de um ponto de extremidade privado. Acesse a conta de um cliente na mesma VNet (rede virtual) que foi configurada para o ponto de extremidade privado da conta do Microsoft Purview.".

É provável que sua conta do Microsoft Purview seja implantada usando Link Privado e o acesso público esteja desabilitado em sua conta do Microsoft Purview. Como resultado, você precisa navegar pelo portal de governança do Microsoft Purview de uma máquina virtual que tenha conectividade de rede interna com o Microsoft Purview.

Se você estiver se conectando de uma VM por trás de uma rede híbrida ou usando uma máquina de salto conectada à sua rede virtual, use ferramentas comuns de solução de problemas para a resolução de nomes e testes de conectividade, como nslookup.exe e Test-NetConnection.

1. Valide se você puder resolve os seguintes endereços por meio dos endereços IP privados da sua conta do Microsoft Purview.

   • Web.Purview.Azure.com
   • <YourPurviewAccountName>.Purview.Azure.com

2. Verifique a conectividade de rede com sua conta do Microsoft Purview usando o seguinte comando do PowerShell:

   Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
   

3. Verifique sua configuração de DNS entre instalações se você usar sua própria infraestrutura de resolução DNS.

Para obter mais informações sobre as configurações de DNS para pontos de extremidade privados, consulte Configuração de DNS do ponto de extremidade privado do Azure.

Posso mover pontos de extremidade privados associados à conta do Microsoft Purview ou seus recursos gerenciados para outra assinatura ou grupo de recursos do Azure?

Não. Não há suporte para operações de movimentação de pontos de extremidade privados de Conta, Portal ou Ingestão. Para obter mais informações, consulte Mover recursos de rede para um novo grupo de recursos ou assinatura.

Próximas etapas

Para configurar o Microsoft Purview usando Link Privado, consulte Usar pontos de extremidade privados para sua conta do Microsoft Purview.