Conecte-se de forma privada e segura à sua conta do Microsoft Purview
Neste guia, você aprenderá a implantar pontos de extremidade privados para sua conta do Microsoft Purview para permitir que você se conecte à sua conta do Microsoft Purview somente de VNets e redes privadas. Para atingir essa meta, você precisa implantar pontos de extremidade privados de conta e portal para sua conta do Microsoft Purview.
O ponto de extremidade privado da conta do Microsoft Purview é usado para adicionar outra camada de segurança, habilitando cenários em que apenas chamadas de cliente originadas de dentro da rede virtual têm permissão para acessar a conta do Microsoft Purview. Esse ponto de extremidade privado também é um pré-requisito para o ponto de extremidade privado do portal.
O ponto de extremidade privado do portal do Microsoft Purview é necessário para habilitar a conectividade com o portal de governança do Microsoft Purview usando uma rede privada.
Observação
Se você criar apenas pontos de extremidade privados de conta e portal , não poderá executar nenhuma verificação. Para habilitar a verificação em uma rede privada, você também precisará criar um ponto de extremidade privado de ingestão.
Para obter mais informações sobre Link Privado do Azure serviço, consulte links privados e pontos de extremidade privados para saber mais.
Lista de verificação de implantação
Usando uma das opções de implantação deste guia, você pode implantar uma nova conta do Microsoft Purview com pontos de extremidade privados de conta e portal ou optar por implantar esses pontos de extremidade privados para uma conta existente do Microsoft Purview:
Escolha uma rede virtual apropriada do Azure e uma sub-rede para implantar pontos de extremidade privados do Microsoft Purview. Selecione uma das opções a seguir:
- Implante uma nova rede virtual em sua assinatura do Azure.
- Localize uma rede virtual do Azure existente e uma sub-rede em sua assinatura do Azure.
Defina um método de resolução de nomes DNS apropriado para que a conta do Microsoft Purview e o portal da Web possam estar acessíveis por meio de endereços IP privados. Você pode usar qualquer uma das seguintes opções:
- Implante novas zonas DNS do Azure usando as etapas explicadas mais adiante neste guia.
- Adicione registros DNS necessários às zonas DNS existentes do Azure usando as etapas explicadas neste guia.
- Depois de concluir as etapas neste guia, adicione registros DNS A necessários em seus servidores DNS existentes manualmente.
Implante uma nova conta do Microsoft Purview com pontos de extremidade privados de conta e portal ou implante pontos de extremidade privados de conta e portal para uma conta do Microsoft Purview existente.
Habilite o acesso ao Azure Active Directory se sua rede privada tiver regras de grupo de segurança de rede definidas para negar para todo o tráfego público da Internet.
Depois de concluir este guia, ajuste as configurações de DNS, se necessário.
Valide sua rede e resolução de nomes do computador de gerenciamento para o Microsoft Purview.
Opção 1 – Implantar uma nova conta do Microsoft Purview com pontos de extremidade privados de conta e portal
Vá para o portal do Azure e vá para a página contas do Microsoft Purview. Selecione + Criar para criar uma nova conta do Microsoft Purview.
Preencha as informações básicas e, na guia Rede , defina o método de conectividade como ponto de extremidade privado. Defina habilitar o ponto de extremidade privado apenas para Conta e Portal.
Em Conta e portal , selecione + Adicionar para adicionar um ponto de extremidade privado para sua conta do Microsoft Purview.
Na página Criar um ponto de extremidade privado , para o sub-recurso do Microsoft Purview, escolha sua localização, forneça um nome para o ponto de extremidade privado da conta e selecione conta. Em rede, selecione sua rede virtual e sub-rede e, opcionalmente, selecione Integrar com a zona DNS privada para criar uma nova zona de DNS privado do Azure.
Observação
Você também pode usar suas Zonas de DNS privado do Azure existentes ou criar registros DNS em seus Servidores DNS manualmente mais tarde. Para obter mais informações, consulte Configurar a Resolução de Nomes DNS para pontos de extremidade privados
Clique em OK.
Em Criar assistente de conta do Microsoft Purview , selecione +Adicionar novamente para adicionar o ponto de extremidade privado do portal .
Na página Criar um ponto de extremidade privado , para o sub-recurso do Microsoft Purview, escolha sua localização, forneça um nome para o ponto de extremidade privado do portal e selecione portal. Em rede, selecione sua rede virtual e sub-rede e, opcionalmente, selecione Integrar com a zona DNS privada para criar uma nova zona de DNS privado do Azure.
Observação
Você também pode usar suas Zonas de DNS privado do Azure existentes ou criar registros DNS em seus Servidores DNS manualmente mais tarde. Para obter mais informações, consulte Configurar a Resolução de Nomes DNS para pontos de extremidade privados
Clique em OK.
Selecione Revisar + Criar. Na página Revisar + Criar , o Azure valida sua configuração.
Ao ver a mensagem "Validação passada", selecione Criar.
Opção 2 – Habilitar a conta e o ponto de extremidade privado do portal em contas existentes do Microsoft Purview
Há duas maneiras de adicionar a conta do Microsoft Purview e os pontos de extremidade privados do portal para uma conta existente do Microsoft Purview:
- Use o portal do Azure (conta do Microsoft Purview).
- Use o Centro de Link Privado.
Use o portal do Azure (conta do Microsoft Purview)
Vá para o portal do Azure e selecione sua conta do Microsoft Purview e, em Configurações, selecione Rede e selecione Conexões de ponto de extremidade privado.
Selecione + Ponto de extremidade privado para criar um novo ponto de extremidade privado.
Preencha as informações básicas.
Na guia Recurso , para tipo de recurso, selecione Microsoft.Purview/accounts.
Para Recurso, selecione a conta do Microsoft Purview e, para o sub-recurso De destino, selecione conta.
Na guia Configuração, selecione a rede virtual e, opcionalmente, selecione Azure DNS privado zona para criar uma nova Zona DNS do Azure.
Observação
Para configuração DNS, você também pode usar suas Zonas de DNS privado existentes do Azure na lista suspensa ou adicionar os registros DNS necessários aos servidores DNS manualmente mais tarde. Para obter mais informações, consulte Configurar a Resolução de Nomes DNS para pontos de extremidade privados
Acesse a página de resumo e selecione Criar para criar o ponto de extremidade privado do portal.
Siga as mesmas etapas ao selecionar o portal para o sub-recurso De destino.
Usar o Centro de Link Privado
Acesse o Portal do Azure.
Na barra de pesquisa na parte superior da página, pesquise o link privado e vá para o painel Link Privado selecionando a primeira opção.
Selecione + Adicionar e preencha os detalhes básicos.
Para Recurso, selecione a conta já criada do Microsoft Purview. Para sub-recurso de destino, selecione conta.
Na guia Configuração , selecione a rede virtual e a zona DNS privada. Acesse a página de resumo e selecione Criar para criar o ponto de extremidade privado da conta.
Observação
Siga as mesmas etapas ao selecionar o portal para o sub-recurso De destino.
Habilitar o acesso ao Azure Active Directory
Observação
Se a VM, o gateway de VPN ou o gateway de emparelhamento da VNet tiver acesso público à Internet, ele poderá acessar o portal do Microsoft Purview e a conta do Microsoft Purview habilitada com pontos de extremidade privados. Por esse motivo, você não precisa seguir o restante das instruções. Se sua rede privada tiver regras de grupo de segurança de rede definidas para negar todo o tráfego público da Internet, você precisará adicionar algumas regras para habilitar o acesso do Azure Active Directory (Azure AD). Siga as instruções para fazer isso.
Essas instruções são fornecidas para acessar o Microsoft Purview com segurança de uma VM do Azure. Etapas semelhantes devem ser seguidas se você estiver usando VPN ou outros gateways de emparelhamento de VNet.
Acesse sua VM no portal do Azure e, em Configurações, selecione Rede. Em seguida, selecione Regras de porta de saída, Adicionar regra de porta de saída.
No painel Adicionar regra de segurança de saída :
- Em Destino, selecione Marca de Serviço.
- Em Marca de serviço de destino, selecione AzureActiveDirectory.
- Em Intervalos de porta de destino, selecione *.
- Em Ação, selecione Permitir.
- Em Prioridade, o valor deve ser maior do que a regra que negou todo o tráfego da Internet.
Crie a regra.
Siga as mesmas etapas para criar outra regra para permitir a marca de serviço AzureResourceManager . Se você precisar acessar o portal do Azure, também poderá adicionar uma regra para a marca de serviço do AzurePortal.
Conecte-se à VM e abra o navegador. Vá para o console do navegador selecionando Ctrl+Shift+J e alterne para a guia de rede para monitorar solicitações de rede. Insira web.purview.azure.com na caixa URL e tente entrar usando suas credenciais de Azure AD. A entrada provavelmente falhará e, na guia Rede no console, você pode ver Azure AD tentando acessar aadcdn.msauth.net mas sendo bloqueado.
Nesse caso, abra um prompt de comando na VM, ping aadcdn.msauth.net, obtenha seu IP e adicione uma regra de porta de saída para o IP nas regras de segurança de rede da VM. Defina o Destino como Endereços IP e defina endereços IP de destino para o IP aadcdn. Devido ao Azure Load Balancer e ao Gerenciador de Tráfego do Azure, o IP da Rede de Distribuição de Conteúdo Azure AD pode ser dinâmico. Depois de obter seu IP, é melhor adicioná-lo ao arquivo de host da VM para forçar o navegador a visitar esse IP para obter o Azure AD Rede de Entrega de Conteúdo.
Depois que a nova regra for criada, volte para a VM e tente entrar usando suas credenciais de Azure AD novamente. Se a entrada for bem-sucedida, o portal do Microsoft Purview estará pronto para uso. Mas, em alguns casos, Azure AD redireciona para outros domínios para entrar com base no tipo de conta de um cliente. Por exemplo, para uma conta live.com, Azure AD redireciona para live.com entrar e, em seguida, essas solicitações são bloqueadas novamente. Para contas de funcionários da Microsoft, Azure AD acessa msft.sts.microsoft.com para obter informações de entrada.
Verifique as solicitações de rede na guia Rede do navegador para ver quais solicitações de domínio estão sendo bloqueadas, refazer a etapa anterior para obter seu IP e adicionar regras de porta de saída no grupo de segurança de rede para permitir solicitações para esse IP. Se possível, adicione a URL e o IP ao arquivo host da VM para corrigir a resolução DNS. Se você souber os intervalos de IP exatos do domínio de entrada, também poderá adicioná-los diretamente às regras de rede.
Agora sua Azure AD entrada deve ser bem-sucedida. O portal do Microsoft Purview será carregado com êxito, mas listar todas as contas do Microsoft Purview não funcionará porque só pode acessar uma conta específica do Microsoft Purview. Insira
web.purview.azure.com/resource/{PurviewAccountName}
para visitar diretamente a conta do Microsoft Purview para a qual você configurou com êxito um ponto de extremidade privado.