Частное и безопасное подключение к учетной записи Microsoft Purview

В этом руководстве вы узнаете, как развернуть частные конечные точки для учетной записи Microsoft Purview, чтобы вы могли подключаться к учетной записи Microsoft Purview только из виртуальных сетей и частных сетей. Для достижения этой цели необходимо развернуть частные конечные точки учетной записи и портала для учетной записи Microsoft Purview.

Частная конечная точка учетной записи Microsoft Purview используется для добавления еще одного уровня безопасности путем включения сценариев, в которых доступ к учетной записи Microsoft Purview разрешен только клиентским вызовам, исходящим из виртуальной сети. Эта частная конечная точка также является необходимым условием для частной конечной точки портала.

Частная конечная точка портала Microsoft Purview необходима для подключения к порталу управления Microsoft Purview с помощью частной сети.

Примечание.

Если вы создаете только частные конечные точки учетной записи и портала , вы не сможете выполнять сканирование. Чтобы включить сканирование в частной сети, необходимо также создать частную конечную точку приема.

Дополнительные сведения о службе Приватный канал Azure см. в разделе Приватные каналы и частные конечные точки.

Контрольный список развертывания

Используя один из вариантов развертывания из этого руководства, можно развернуть новую учетную запись Microsoft Purview с частными конечными точками учетной записи и портала или выбрать развертывание этих частных конечных точек для существующей учетной записи Microsoft Purview:

1. Выберите соответствующую виртуальную сеть Azure и подсеть для развертывания частных конечных точек Microsoft Purview. Выберите один из приведенных ниже вариантов.

   • Разверните новую виртуальную сеть в подписке Azure.
   • Найдите существующую виртуальную сеть Azure и подсеть в подписке Azure.

2. Определите подходящий метод разрешения DNS-имен, чтобы доступ к учетной записи Microsoft Purview и веб-порталу можно было получить через частные IP-адреса. Можно использовать любой из следующих вариантов:

   • Разверните новые зоны Azure DNS, выполнив действия, описанные далее в этом руководстве.
   • Добавьте необходимые записи DNS в существующие зоны Azure DNS, выполнив действия, описанные далее в этом руководстве.
   • После выполнения действий, описанных в этом руководстве, добавьте необходимые записи DNS A на существующие DNS-серверы вручную.

3. Развертывание новой учетной записи Microsoft Purview с частными конечными точками учетной записи и портала или развертывание частных конечных точек учетной записи и портала для существующей учетной записи Microsoft Purview.

4. Включите доступ к Azure Active Directory , если в вашей частной сети настроены правила группы безопасности сети, запрещающие весь общедоступный интернет-трафик.

5. После завершения работы с этим руководством при необходимости настройте конфигурации DNS.

6. Проверьте сеть и разрешение имен с компьютера управления на Microsoft Purview.

Вариант 1. Развертывание новой учетной записи Microsoft Purview с частными конечными точками учетной записи и портала

1. Перейдите к портал Azure, а затем перейдите на страницу учетных записей Microsoft Purview. Выберите + Создать , чтобы создать учетную запись Microsoft Purview.

2. Укажите основные сведения и на вкладке Сеть задайте для метода подключения значение Частная конечная точка. Задайте для включения частной конечной точки значение Только учетная запись и портал.

3. В разделе Учетная запись и портал выберите + Добавить , чтобы добавить частную конечную точку для учетной записи Microsoft Purview.

   

4. На странице Создание частной конечной точки для подресурса Microsoft Purview выберите свое расположение, укажите имя для частной конечной точки учетной записи и выберите учетную запись. В разделе Сеть выберите виртуальную сеть и подсеть и при необходимости выберите Интеграция с частной зоной DNS, чтобы создать новую зону azure Частная зона DNS.

   

   Примечание.

   Вы также можете использовать существующие зоны Azure Частная зона DNS или создавать записи DNS на DNS-серверах вручную позже. Дополнительные сведения см. в статье Настройка разрешения DNS-имен для частных конечных точек.

5. Нажмите кнопку ОК.

6. В мастере создания учетной записи Microsoft Purview выберите +Добавить еще раз, чтобы добавить частную конечную точку портала .

7. На странице Создание частной конечной точки для подресурса Microsoft Purview выберите свое расположение, укажите имя для частной конечной точки портала и выберите портал. В разделе Сеть выберите виртуальную сеть и подсеть и при необходимости выберите Интеграция с частной зоной DNS, чтобы создать новую зону azure Частная зона DNS.

   

   Примечание.

   Вы также можете использовать существующие зоны Azure Частная зона DNS или создавать записи DNS на DNS-серверах вручную позже. Дополнительные сведения см. в статье Настройка разрешения DNS-имен для частных конечных точек.

8. Нажмите кнопку ОК.

9. Нажмите Проверить и создать. На странице Проверка и создание Azure проверяет конфигурацию.

   

10. Когда появится сообщение "Проверка пройдена", нажмите кнопку Создать.

Вариант 2. Включение частной конечной точки учетной записи и портала в существующих учетных записях Microsoft Purview

Существует два способа добавить учетную запись Microsoft Purview и частные конечные точки портала для существующей учетной записи Microsoft Purview:

• Используйте портал Azure (учетная запись Microsoft Purview).
• Используйте центр Приватный канал.

Использование портал Azure (учетная запись Microsoft Purview)

1. Перейдите к портал Azure, а затем выберите учетную запись Microsoft Purview, а затем в разделе Параметры выберите Сеть, а затем выберите Подключения к частной конечной точке.

   

2. Выберите + Частная конечная точка , чтобы создать новую частную конечную точку.

3. Заполните основные сведения.

4. На вкладке Ресурс в поле Тип ресурса выберите Microsoft.Purview/accounts.

5. В поле Ресурс выберите учетную запись Microsoft Purview, а в поле Целевой подресурс выберите учетная запись.

6. На вкладке Конфигурация выберите виртуальную сеть и при необходимости выберите Azure Частная зона DNS зону, чтобы создать новую зону Azure DNS.

   Примечание.

   Для настройки DNS можно также использовать существующие зоны Azure Частная зона DNS из раскрывающегося списка или добавить необходимые записи DNS на DNS-серверы вручную позже. Дополнительные сведения см. в статье Настройка разрешения DNS-имен для частных конечных точек.

7. Перейдите на страницу сводки и выберите Создать , чтобы создать частную конечную точку портала.

8. Выполните те же действия при выборе портала для целевого подресурса.

Использование центра Приватный канал

1. Перейдите на портал Azure.

2. В строке поиска в верхней части страницы найдите приватную ссылку и перейдите в область Приватный канал, выбрав первый вариант.

3. Выберите + Добавить и введите основные сведения.

   

4. В поле Ресурс выберите уже созданную учетную запись Microsoft Purview. В поле Целевой подресурс выберите учетная запись.

5. На вкладке Конфигурация выберите виртуальную сеть и частную зону DNS. Перейдите на страницу сводки и выберите Создать , чтобы создать частную конечную точку учетной записи.

Примечание.

Выполните те же действия при выборе портала для целевого подресурса.

Включение доступа к Azure Active Directory

Примечание.

Если виртуальная машина, VPN-шлюз или шлюз пиринга виртуальных сетей имеет общедоступный доступ к Интернету, она может получить доступ к порталу Microsoft Purview и учетной записи Microsoft Purview, включенной с частными конечными точками. По этой причине вам не нужно следовать остальным инструкциям. Если в вашей частной сети настроены правила группы безопасности сети, запрещающие весь общедоступный интернет-трафик, необходимо добавить некоторые правила, чтобы включить доступ к Azure Active Directory (Azure AD). Следуйте инструкциям.

Эти инструкции предоставляются для безопасного доступа к Microsoft Purview с виртуальной машины Azure. Аналогичные действия необходимо выполнить, если вы используете VPN или другие шлюзы пиринга виртуальных сетей.

1. Перейдите к виртуальной машине в портал Azure и в разделе Параметры выберите Сеть. Затем выберите Правила исходящего порта, Добавить правило исходящего порта.

   

2. На панели Добавление правила безопасности для исходящего трафика выполните следующие действия.

   1. В разделе Назначение выберите Тег службы.
   2. В разделе Тег службы назначения выберите AzureActiveDirectory.
   3. В разделе Диапазоны портов назначения выберите *.
   4. В разделе Действие выберите Разрешить.
   5. В разделе Приоритет значение должно быть выше правила, запрещающего весь интернет-трафик.

   Создайте правило.

   

3. Выполните те же действия, чтобы создать другое правило для разрешения тега службы AzureResourceManager . Если вам нужно получить доступ к портал Azure, можно также добавить правило для тега службы AzurePortal.

4. Подключитесь к виртуальной машине и откройте браузер. Перейдите в консоль браузера, нажав клавиши CTRL+SHIFT+J, и перейдите на вкладку "Сеть", чтобы отслеживать сетевые запросы. Введите web.purview.azure.com в поле URL-адрес и попытайтесь войти с помощью учетных данных Azure AD. Вероятно, вход завершится ошибкой, и на вкладке Сеть на консоли вы увидите, Azure AD пытается получить доступ к aadcdn.msauth.net, но блокируется.

   

5. В этом случае откройте командную строку на виртуальной машине, проверьте связь aadcdn.msauth.net, получите его IP-адрес, а затем добавьте правило исходящего порта для IP-адреса в правилах безопасности сети виртуальной машины. Задайте для параметра Назначениезначение IP-адреса, а ip-адреса назначения — IP-адрес aadcdn. Из-за Azure Load Balancer и диспетчера трафика Azure IP-адрес сети доставки содержимого Azure AD может быть динамическим. После получения IP-адреса лучше добавить его в файл узла виртуальной машины, чтобы заставить браузер посетить этот IP-адрес, чтобы получить Azure AD сеть доставки содержимого.

   

   

6. После создания нового правила вернитесь к виртуальной машине и повторите попытку входа с помощью учетных данных Azure AD. Если вход выполнен успешно, портал Microsoft Purview готов к использованию. Но в некоторых случаях Azure AD перенаправляет на другие домены для входа в зависимости от типа учетной записи клиента. Например, для учетной записи live.com Azure AD перенаправления на live.com для входа, а затем эти запросы снова блокируются. Для учетных записей сотрудников Майкрософт Azure AD обращается к msft.sts.microsoft.com для получения сведений о входе.

   Проверьте сетевые запросы на вкладке "Сеть " браузера, чтобы узнать, какие запросы домена блокируются, повторите предыдущий шаг, чтобы получить его IP-адрес, и добавьте правила исходящего порта в группу безопасности сети, чтобы разрешить запросы для этого IP-адреса. По возможности добавьте URL-адрес и IP-адрес в файл узла виртуальной машины, чтобы исправить разрешение DNS. Если вы знаете точные диапазоны IP-адресов домена входа, вы также можете напрямую добавить их в сетевые правила.

7. Теперь вход Azure AD должен быть успешным. Портал Microsoft Purview загрузится успешно, но перечисление всех учетных записей Microsoft Purview не будет работать, так как он может получить доступ только к определенной учетной записи Microsoft Purview. Введите web.purview.azure.com/resource/{PurviewAccountName} , чтобы напрямую посетить учетную запись Microsoft Purview, для которую вы успешно настроили частную конечную точку.

Дальнейшие действия

• Проверка разрешения для частных конечных точек
• Управление источниками данных в Microsoft Purview
• Устранение неполадок с конфигурацией частной конечной точки для учетной записи Microsoft Purview