Вопросы и ответы о частных конечных точках Microsoft Purview и управляемых виртуальных сетей

В этой статье содержатся ответы на распространенные вопросы, которые клиенты и рабочие группы часто задают о конфигурациях сети Microsoft Purview с помощью Приватный канал Azure или управляемых виртуальных сетей Microsoft Purview. Он предназначен для уточнения вопросов о параметрах брандмауэра Microsoft Purview, частных конечных точках, конфигурации DNS и связанных конфигурациях.

Сведения о настройке Microsoft Purview с помощью Приватный канал см. в статье Использование частных конечных точек для учетной записи Microsoft Purview. Сведения о настройке управляемых виртуальных сетей для учетной записи Microsoft Purview см. в статье Использование управляемой виртуальной сети с учетной записью Microsoft Purview.

Часто задаваемые вопросы

Ознакомьтесь с ответами на следующие распространенные вопросы.

Когда следует использовать локальную среду выполнения интеграции или управляемую среду ir?

Используйте управляемую среду IR, если:

• Учетная запись Microsoft Purview развернута в одном из поддерживаемых регионов для управляемых виртуальных сетей.
• Вы планируете сканировать любой из поддерживаемых источников данных с помощью управляемой среды IR.

Используйте локальную среду выполнения интеграции, если:

• Вы планируете сканировать источники данных в Azure IaaS, службах SaaS за частной сетью или в локальной сети.
• Управляемая виртуальная сеть недоступна в регионе, где развернута учетная запись Microsoft Purview.
• Вы планируете сканировать все источники, которые не перечислены в разделе Поддерживаемые источники управляемой виртуальной сети IR.

Можно ли использовать локальную среду выполнения интеграции и управляемую среду ir в учетной записи Microsoft Purview?

Да. Вы можете использовать один или все параметры среды выполнения в одной учетной записи Microsoft Purview: Azure IR, Managed IR и локальная среда выполнения интеграции. При одной проверке можно использовать только один параметр среды выполнения.

Какова цель развертывания частной конечной точки учетной записи Microsoft Purview?

Частная конечная точка учетной записи Microsoft Purview используется для добавления еще одного уровня безопасности путем включения сценариев, в которых доступ к учетной записи разрешен только клиентским вызовам, исходящим из виртуальной сети. Эта частная конечная точка также является необходимым условием для частной конечной точки портала.

Какова цель развертывания частной конечной точки портала Microsoft Purview?

Частная конечная точка портала Microsoft Purview обеспечивает частное подключение к порталу управления Microsoft Purview.

Какова цель развертывания частных конечных точек приема Microsoft Purview?

Microsoft Purview может сканировать источники данных в Azure или локальной среде с помощью частных конечных точек приема. При создании частных конечных точек для приема развертываются и связаны с управляемыми или настроенными ресурсами Microsoft Purview.

• Большой двоичный объект связан с управляемой учетной записью хранения Microsoft Purview.
• Очередь связана с управляемой учетной записью хранения Microsoft Purview.
• пространство имен связано с настроенным пространством имен концентратора событий Microsoft Purview.

Можно ли сканировать источник данных через общедоступную конечную точку, если в моей учетной записи Microsoft Purview включена частная конечная точка?

Да. Источники данных, не подключенные через частную конечную точку, можно проверить с помощью общедоступной конечной точки, а Microsoft Purview настроен на использование частной конечной точки.

Можно ли сканировать источник данных через конечную точку службы, если включена частная конечная точка?

Да. Источники данных, которые не подключены через частную конечную точку, можно проверить с помощью конечной точки службы, а Microsoft Purview настроен для использования частной конечной точки.

Убедитесь, что включен параметр Разрешить доверенным службам Майкрософт доступ к ресурсам в конфигурации конечной точки службы ресурса источника данных в Azure. Например, если вы собираетесь проверить Хранилище BLOB-объектов Azure, в которых для параметров брандмауэров и виртуальных сетей заданы выбранные сети, убедитесь, что в качестве исключения установлен флажок Разрешить доверенным службам Майкрософт доступ к этой учетной записи хранения.

Можно ли сканировать источник данных через общедоступную конечную точку с помощью управляемой среды ir?

Да. Если источник данных поддерживается управляемой виртуальной сетью. В качестве необходимого условия необходимо развернуть управляемую частную конечную точку для источника данных.

Можно ли сканировать источник данных через конечную точку службы с помощью управляемой среды ir?

Да. Если источник данных поддерживается управляемой виртуальной сетью. В качестве необходимого условия необходимо развернуть управляемую частную конечную точку для источника данных.

Можно ли получить доступ к порталу управления Microsoft Purview из общедоступной сети, если для доступа к общедоступной сети задано значение Запретить в сети учетной записи Microsoft Purview?

Нет. При подключении к Microsoft Purview из общедоступной конечной точки, где для доступа к общедоступной сетизадано значение Запретить , появится следующее сообщение об ошибке:

"Не авторизован для доступа к этой учетной записи Microsoft Purview. Эта учетная запись Microsoft Purview находится за частной конечной точкой. Получите доступ к учетной записи из клиента в той же виртуальной сети, которая была настроена для частной конечной точки учетной записи Microsoft Purview.

В этом случае, чтобы открыть портал управления Microsoft Purview, используйте компьютер, развернутый в той же виртуальной сети, что и частная конечная точка портала Microsoft Purview, или виртуальную машину, подключенную к корпоративной сети, в которой разрешено гибридное подключение.

Можно ли ограничить доступ к управляемой учетной записи хранения Microsoft Purview и пространству имен концентратора событий (только для приема частных конечных точек), но сохранить доступ к порталу для пользователей в Интернете?

Да. Для параметра брандмауэра Microsoft Purview можно настроить значение Отключено только для приема (предварительная версия). При выборе этого параметра доступ к учетной записи Microsoft Purview в общедоступной сети через API и портал управления Microsoft Purview будет разрешен, однако для управляемой учетной записи хранения и концентратора событий вашей учетной записи Microsoft Purview для общедоступной сети доступ к общедоступной сети отключен.

Если для доступа к общедоступной сети задано значение Разрешить, значит ли это, что управляемая учетная запись хранения и пространство имен концентратора событий доступны любому пользователю?

Нет. В качестве защищенных ресурсов доступ к управляемой учетной записи хранения Microsoft Purview и пространству имен концентратора событий ограничен Microsoft Purview только с использованием схем проверки подлинности RBAC. Эти ресурсы развертываются с запретом назначения для всех субъектов, что предотвращает доступ к ним любым приложениям, пользователям или группам.

Дополнительные сведения о назначении запрета в Azure см. в статье Общие сведения о назначениях запрета в Azure.

Какие типы проверки подлинности поддерживаются при использовании частной конечной точки?

Зависит от типа проверки подлинности, поддерживаемого типом источника данных, таким как проверка подлинности SQL, проверка подлинности Windows, обычная проверка подлинности, субъект-служба и т. д., хранящиеся в azure Key Vault. Невозможно использовать MSI.

Какие типы проверки подлинности поддерживаются при использовании управляемой среды ir?

Зависит от типа проверки подлинности, поддерживаемого типом источника данных, таким как проверка подлинности SQL, проверка подлинности Windows, обычная проверка подлинности, субъект-служба и т. д., хранящиеся в azure Key Vault или MSI.

Какие частные зоны DNS требуются для Microsoft Purview для частной конечной точки?

Для частных конечных точек учетной записи Microsoft Purview и портала :

• privatelink.purview.azure.com

Для частных конечных точек приема Microsoft Purview:

• privatelink.blob.core.windows.net
• privatelink.queue.core.windows.net
• privatelink.servicebus.windows.net

Нужно ли использовать выделенную виртуальную сеть и выделенную подсеть при развертывании частных конечных точек Microsoft Purview?

Нет. PrivateEndpointNetworkPolicies Однако перед развертыванием частных конечных точек необходимо отключить в целевой подсети. Рассмотрите возможность развертывания Microsoft Purview в виртуальной сети, которая имеет сетевое подключение к виртуальным сетям источника данных через пиринг между виртуальными сетями и доступ к локальной сети, если вы планируете сканировать источники данных в локальной среде.

Дополнительные сведения см. в разделе Отключение политик сети для частных конечных точек.

Можно ли развернуть частные конечные точки Microsoft Purview и использовать существующие частные зоны DNS в подписке для регистрации записей A?

Да. Зоны DNS частной конечной точки могут быть централизованы в центре или подписке управления данными для всех внутренних зон DNS, необходимых для Microsoft Purview и всех записей источника данных. Мы рекомендуем этот метод, чтобы разрешить Microsoft Purview разрешать источники данных с помощью внутренних IP-адресов частной конечной точки.

Кроме того, необходимо настроить канал виртуальной сети для виртуальных сетей для существующей частной зоны DNS.

Можно ли использовать среду выполнения интеграции Azure для сканирования источников данных через частную конечную точку?

Нет. Необходимо развернуть и зарегистрировать локальную среду выполнения интеграции, чтобы сканировать данные с помощью частного подключения. Key Vault Azure или субъект-служба должны использоваться в качестве метода проверки подлинности для источников данных.

Можно ли использовать управляемое ir для сканирования источников данных через частную конечную точку?

Если вы планируете использовать управляемую среду ir для сканирования любого из поддерживаемых источников данных, для источника данных требуется управляемая частная конечная точка, созданная в управляемой виртуальной сети Microsoft Purview. Дополнительные сведения см. в статье Управляемые виртуальные сети Microsoft Purview.

Каковы требования к исходящим портам и брандмауэру для виртуальных машин с локальной средой выполнения интеграции для Microsoft Purview при использовании частной конечной точки?

Виртуальные машины, на которых развернута локальная среда выполнения интеграции, должны иметь исходящий доступ к конечным точкам Azure и частный IP-адрес Microsoft Purview через порт 443.

Нужно ли включать исходящий доступ в Интернет с виртуальной машины, на котором запущена локальная среда выполнения интеграции, если включена частная конечная точка?

Нет. Однако ожидается, что виртуальная машина под управлением локальной среды выполнения интеграции может подключаться к экземпляру Microsoft Purview через внутренний IP-адрес с помощью порта 443. Используйте распространенные средства устранения неполадок для разрешения имен и тестирования подключения, такие как nslookup.exe и Test-NetConnection.

Нужно ли развертывать частные конечные точки для учетной записи Microsoft Purview, если я использую управляемую виртуальную сеть?

Требуется по крайней мере одна учетная запись и частные конечные точки портала, если общедоступный доступ в учетной записи Microsoft Purview запрещен. Требуется по крайней мере одна учетная запись, портал и частная конечная точка приема, если общедоступный доступ в учетной записи Microsoft Purview запрещен и вы планируете сканировать дополнительные источники данных с помощью локальной среды выполнения интеграции.

Какие входящие и исходящие подключения разрешены через общедоступную конечную точку для управляемых виртуальных сетей Microsoft Purview?

В управляемую виртуальную сеть из общедоступной сети не допускается входящий обмен данными. Все порты открыты для исходящего взаимодействия. В Microsoft Purview управляемую виртуальную сеть можно использовать для частного подключения к источникам данных Azure для извлечения метаданных во время сканирования.

Почему при попытке запустить портал управления Microsoft Purview с компьютера появляется следующее сообщение об ошибке?

"Эта учетная запись Microsoft Purview находится за частной конечной точкой. Получите доступ к учетной записи из клиента в той же виртуальной сети, которая была настроена для частной конечной точки учетной записи Microsoft Purview.

Скорее всего, ваша учетная запись Microsoft Purview развернута с помощью Приватный канал а общий доступ отключен в учетной записи Microsoft Purview. В результате необходимо перейти на портал управления Microsoft Purview с виртуальной машины, которая имеет внутреннее сетевое подключение к Microsoft Purview.

Если вы подключаетесь из виртуальной машины за гибридной сетью или используете компьютер перехода, подключенный к виртуальной сети, используйте распространенные средства устранения неполадок для разрешения имен и тестирования подключения, такие как nslookup.exe и Test-NetConnection.

1. Проверьте, можно ли разрешить следующие адреса с помощью частных IP-адресов учетной записи Microsoft Purview.

   • Web.Purview.Azure.com
   • <YourPurviewAccountName>.Purview.Azure.com

2. Проверьте сетевое подключение к учетной записи Microsoft Purview с помощью следующей команды PowerShell:

   Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
   

3. Проверьте конфигурацию DNS в нескольких локальных средах, если вы используете собственную инфраструктуру разрешения DNS.

Дополнительные сведения о параметрах DNS для частных конечных точек см. в статье Настройка DNS частной конечной точки Azure.

Можно ли переместить частные конечные точки, связанные с учетной записью Microsoft Purview или ее управляемыми ресурсами, в другую подписку Или группу ресурсов Azure?

Нет. Операции перемещения для частных конечных точек учетной записи, портала или приема не поддерживаются. Дополнительные сведения см. в статье Перемещение сетевых ресурсов в новую группу ресурсов или подписку.

Дальнейшие действия

Сведения о настройке Microsoft Purview с помощью Приватный канал см. в статье Использование частных конечных точек для учетной записи Microsoft Purview.