Поделиться через

Частные конечные точки для решений управления в Microsoft Purview

  • Статья

Важно!

В этой статье рассматриваются частные конечные точки для решений управления на портале Microsoft Purview (https://purview.microsoft.com/). Если вы используете классический портал управления (https://web.purview.azure.com), следуйте документации по частным конечным точкам на классическом портале.

Вы можете использовать приватные каналы для защиты доступа к Каталог данных Microsoft Purview и карте данных, а также для защиты трафика данных между Microsoft Purview и частными сетями. Частные каналы Azure и частные конечные точки сети Azure используются для маршрутизации трафика через инфраструктуру Майкрософт вместо использования Интернета. Дополнительные сведения о Приватный канал Azure в целом см. в статье Что такое Приватный канал Azure?

Частная конечная точка — это единая направленная технология, которая позволяет клиентам инициировать подключения к определенной службе, но не позволяет службе инициировать подключение к клиентской сети. Для мультитенантных служб эта модель предоставляет идентификаторы ссылок, чтобы запретить доступ к ресурсам других клиентов, размещенным в той же службе. При использовании частных конечных точек из служб, использующих интеграцию, можно получить доступ только к ограниченному набору других ресурсов PaaS.

Вы можете развернуть частную конечную точку приема , если вам нужно проверить источники данных Azure IaaS и PaaS в виртуальных сетях Azure и локальных источниках данных через частное подключение. Этот метод обеспечивает сетевую изоляцию метаданных, передаваемых из источников данных в Схема данных Microsoft Purview.

Вы можете развернуть частную конечную точку платформы , чтобы разрешить только клиентские вызовы к порталу управления Microsoft Purview, который исходит из частной сети, и подключиться к порталу управления Microsoft Purview с помощью подключения к частной сети.

Важно!

Частные конечные точки гарантируют, что пользовательский трафик и ресурсы вашей организации в Azure соответствуют настроенному в организации сетевому пути приватного канала, и вы можете настроить Microsoft Purview, чтобы запретить все запросы извне этого сетевого пути.

Однако для внешних источников частные конечные точки не управляют всем сетевым трафиком. Чтобы настроить изоляцию трафика от инфраструктуры, не основанной на Azure, такой как локальная инфраструктура, необходимо настроить ExpressRoute или виртуальные частные сети и использовать среды выполнения интеграции для дальнейшей защиты источников данных.

Предварительные условия

Перед развертыванием частных конечных точек для ресурсов системы управления Microsoft Purview и портала Microsoft Purview убедитесь, что выполнены следующие предварительные требования:

  1. Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
  2. Чтобы настроить частные конечные точки, необходимо быть администратором Microsoft Purview и иметь разрешения в Azure на создание и настройку ресурсов, таких как виртуальные машины и виртуальные сети (виртуальные сети).
  3. В настоящее время подключения Фабрика данных Azure, Машинного обучения Azure и Azure Synapse не поддерживаются частной конечной точкой платформы и могут не работать после переключения.

Контрольный список развертывания

Следуя инструкциям, приведенным в этом руководстве, можно развернуть эти частные конечные точки для существующей учетной записи Microsoft Purview:

  1. Выберите соответствующую виртуальную сеть Azure и подсеть для развертывания частных конечных точек Microsoft Purview. Выберите один из приведенных ниже вариантов.
    • Разверните новую виртуальную сеть в подписке Azure.
    • Найдите существующую виртуальную сеть Azure и подсеть в подписке Azure.
  2. Определите соответствующий метод разрешения DNS-имен, чтобы получить доступ к учетной записи Microsoft Purview и сканировать источники данных с помощью частной сети.
  3. Создайте частную конечную точку платформы.
  4. Включение частных конечных точек приема
  5. Отключите общий доступ для Microsoft Purview.
  6. Включите доступ к Microsoft Entra ID если в вашей частной сети настроены правила группы безопасности сети, запрещающие весь общедоступный интернет-трафик.
  7. Разверните и зарегистрируйте локальную среду выполнения интеграции в той же виртуальной сети или в одноранговой виртуальной сети, где развернуты учетные записи Microsoft Purview и частные конечные точки приема.
  8. После завершения работы с этим руководством при необходимости настройте конфигурации DNS.

Создание виртуальной сети

Совет

Эти инструкции помогут создать базовую виртуальную сеть. Дополнительные сведения о параметрах и функциях виртуальной сети см. в документации по виртуальной сети.

Следующим шагом является создание виртуальной сети и подсети. Количество IP-адресов, необходимых подсети, состоит из количества емкостей в клиенте плюс три. Например, если вы создаете подсеть для клиента с семью емкостями, вам потребуется 10 IP-адресов.

Замените примеры параметров в следующей таблице собственными, чтобы создать виртуальную сеть и подсеть.

Параметр Значение
<resource-group-name> myResourceGroup
<virtual-network-name> myVirtualNetwork
<region-name> Центральная часть США
<address-space> 10.0.0.0/16
<subnet-name> mySubnet
<subnet-address-range> 10.0.0.0/24

  1. Откройте портал Azure.

  2. Выберите Создать ресурс > Сеть > Виртуальная сеть или выполните поиск по запросу Виртуальная сеть в поле поиска.

  3. В разделе Создание виртуальной сети введите или выберите следующие сведения на вкладке Основные сведения :

    Параметры Значение
    Сведения о проекте
    Подписка Выберите подписку Azure
    Группа ресурсов Выберите Создать, введите <resource-group-name>, а затем нажмите кнопку ОК или выберите существующий <resource-group-name> на основе параметров.
    Сведения об экземпляре
    Имя Введите <virtual-network-name>

  4. Выберите вкладку IP-адреса и введите диапазон адресов подсети.

  5. Выберите Просмотр и создание>Создать.

Определение метода разрешения DNS-имен

Следуйте инструкциям из этой статьи, чтобы выбрать и развернуть метод разрешения DNS-имен, который соответствует потребностям вашей организации: Настройка разрешения DNS-имен для частных конечных точек.

Создание частной конечной точки платформы

Следующим шагом является создание частной конечной точки платформы для Microsoft Purview.

  1. Откройте портал Azure.

  2. Выберите Создать ресурс > Сетевой > Приватный канал.

  3. В центре Приватный канал — обзор в разделе Создание частного подключения к службе выберите Создать частную конечнуюточку.

  4. На вкладке Создание частной конечной точки — основные сведения введите или выберите следующие сведения:

    Параметры Значение
    Сведения о проекте
    Подписка Выберите подписку Azure
    Группа ресурсов Выберите myResourceGroup. Вы создали это в предыдущем разделе
    Сведения об экземпляре
    Имя Введите myPrivateEndpoint. Если используется это имя, создайте уникальное имя.
    Имя сетевого интерфейса Автоматически заполняется именем экземпляра.
    Region Выбирается автоматически в зависимости от группы ресурсов.

  5. Когда эти сведения будут заполнены, выберите Далее: Ресурс и на странице Создание частной конечной точки — Ресурс введите или выберите следующие сведения:

    Параметры Значение
    Метод подключения Выберите подключение к ресурсу Azure в моем каталоге
    Подписка Выберите подписку
    Тип ресурса Выберите Microsoft.Purview/accounts
    Ресурс Выбор ресурса Microsoft Purview
    Целевой подресурс Платформа

  6. После правильного ввода этой информации выберите Далее: виртуальная сеть введите или выберите следующие сведения:

    Параметры Значение
    СЕТИ
    Виртуальная сеть Выберите созданную ранее виртуальную сеть.
    Подсеть Выберите созданную ранее подсеть.
    Конфигурация ЧАСТНОГО IP-адреса Выберите Динамически выделять IP-адрес.

  7. Выберите Далее: DNS и введите следующие сведения:

    Параметры Значение
    Интеграция с частной зоной DNS Выберите Да.
    Подписка Выберите подписку, в которой настроена зона DNS.
    Группа ресурсов Выберите группу ресурсов, в которой настроена зона DNS.

  8. Выберите Далее: Теги и на странице тегов можно при необходимости добавить все теги, которые ваша организация использует в Azure.

  9. Выберите Далее: проверка и создание , чтобы отобразить страницу Проверка и создание , где Azure проверяет вашу конфигурацию. Когда появится сообщение Проверка пройдена , нажмите кнопку Создать.

Включение частной конечной точки приема

  1. Перейдите к портал Azure, найдите и выберите учетную запись Microsoft Purview.

  2. В учетной записи Microsoft Purview в разделе Параметры выберите Сеть, а затем выберите Прием подключений к частной конечной точке.

  3. В разделе Подключения частных конечных точек приема выберите + Создать , чтобы создать новую частную конечную точку приема.

  4. Укажите основные сведения, выбрав существующую виртуальную сеть и сведения о подсети. При необходимости выберите Частная зона DNS интеграции, чтобы использовать Зоны Частная зона DNS Azure. Выберите правильные зоны Azure Частная зона DNS в каждом списке.

    Примечание.

    Вы также можете использовать существующие зоны Azure Частная зона DNS или создавать записи DNS на DNS-серверах вручную. Дополнительные сведения см. в статье Настройка разрешения DNS-имен для частных конечных точек.

  5. Нажмите кнопку Создать , чтобы завершить настройку.

Отключение общедоступного доступа для Microsoft Purview

Чтобы полностью отключить доступ к учетной записи Microsoft Purview из общедоступного Интернета, выполните следующие действия. Этот параметр применяется как к частной конечной точке, так и к подключениям к частной конечной точке приема.

  1. В портал Azure перейдите к учетной записи Microsoft Purview и в разделе Параметры выберите Сеть.

  2. Перейдите на вкладку Брандмауэр и убедитесь, что переключатель установлен в значение Отключить от всех сетей.

Включение доступа к Microsoft Entra ID

Примечание.

Если виртуальная машина, VPN-шлюз или шлюз пиринга виртуальной сети имеет общедоступный доступ к Интернету, она может получить доступ к порталу управления Microsoft Purview и учетной записи Microsoft Purview, включенной с частными конечными точками. По этой причине вам не нужно следовать остальным инструкциям. Если в вашей частной сети установлены правила группы безопасности сети, запрещающие весь общедоступный интернет-трафик, необходимо добавить некоторые правила, чтобы включить доступ Microsoft Entra ID. Следуйте инструкциям.

Эти инструкции предоставляются для безопасного доступа к Microsoft Purview с виртуальной машины Azure. При использовании VPN или других шлюзов пиринга виртуальных сетей необходимо выполнить аналогичные действия.

  1. Перейдите к виртуальной машине в портал Azure и в разделе Параметры выберите Сеть. Затем выберите Правила исходящего порта>Добавить правило исходящего порта.

  2. На панели Добавление правила безопасности для исходящего трафика выполните следующие действия.

    1. В разделе Назначение выберите Тег службы.
    2. В разделе Тег службы назначения выберите AzureActiveDirectory.
    3. В разделе Диапазоны портов назначения выберите *.
    4. В разделе Действие выберите Разрешить.
    5. В разделе Приоритет значение должно быть выше правила, запрещающего весь интернет-трафик.

    Создайте правило.

  3. Выполните те же действия, чтобы создать другое правило для разрешения тега службы AzureResourceManager . Если вам нужно получить доступ к портал Azure, можно также добавить правило для тега службы AzurePortal.

  4. Подключитесь к виртуальной машине и откройте браузер. Перейдите в консоль браузера, нажав клавиши CTRL+SHIFT+J, и перейдите на вкладку "Сеть", чтобы отслеживать сетевые запросы. Введите web.purview.azure.com в поле URL-адрес и попытайтесь войти с помощью учетных данных Microsoft Entra. Вероятно, вход завершится ошибкой, и на вкладке Сеть на консоли вы увидите, Microsoft Entra ID пытается получить доступ к aadcdn.msauth.net, но блокируется.

  5. В этом случае откройте командную строку на виртуальной машине, проверьте связь aadcdn.msauth.net, получите его IP-адрес, а затем добавьте правило исходящего порта для IP-адреса в правилах безопасности сети виртуальной машины. Задайте для параметра Назначениезначение IP-адреса, а ip-адреса назначения — IP-адрес aadcdn. Из-за Azure Load Balancer и диспетчера трафика Azure IP-адрес сети доставки содержимого Microsoft Entra может быть динамическим. После получения IP-адреса лучше добавить его в файл узла виртуальной машины, чтобы заставить браузер посетить этот IP-адрес, чтобы получить Microsoft Entra сеть доставки содержимого.

  6. После создания нового правила вернитесь к виртуальной машине и повторите попытку входа, используя учетные данные Microsoft Entra. Если вход выполнен успешно, портал управления Microsoft Purview готов к использованию. Но в некоторых случаях Microsoft Entra ID перенаправления на другие домены для входа в зависимости от типа учетной записи клиента. Например, для учетной записи live.com Microsoft Entra ID перенаправления на live.com для входа, а затем эти запросы снова блокируются. Для учетных записей сотрудников Майкрософт Microsoft Entra ID обращается к msft.sts.microsoft.com для получения сведений о входе.

    Проверьте сетевые запросы на вкладке "Сеть " браузера, чтобы узнать, какие запросы домена блокируются, повторите предыдущий шаг, чтобы получить его IP-адрес, и добавьте правила исходящего порта в группу безопасности сети, чтобы разрешить запросы для этого IP-адреса. По возможности добавьте URL-адрес и IP-адрес в файл узла виртуальной машины, чтобы исправить разрешение DNS. Если вы знаете точные диапазоны IP-адресов домена входа, вы также можете напрямую добавить их в сетевые правила.

  7. Теперь ваш Microsoft Entra вход должен быть успешным. Портал управления Microsoft Purview загрузится успешно, но список всех учетных записей Microsoft Purview не будет работать, так как он может получить доступ только к определенной учетной записи Microsoft Purview. Введите web.purview.azure.com/resource/{PurviewAccountName} , чтобы напрямую посетить учетную запись Microsoft Purview, для которую вы успешно настроили частную конечную точку.

Развертывание локальной среды выполнения интеграции (IR) и проверка источников данных

После развертывания частных конечных точек приема для Microsoft Purview необходимо настроить и зарегистрировать по крайней мере одну локальную среду выполнения интеграции (IR):

  • Все локальные типы источников, такие как Microsoft SQL Server, Oracle, SAP и другие, в настоящее время поддерживаются только с помощью локальной проверки на основе IR. Локальная среда ir должна выполняться в частной сети, а затем выполнять пиринг с виртуальной сетью в Azure.

  • Для всех типов источников Azure, таких как Хранилище BLOB-объектов Azure и база данных Azure SQL, необходимо явно выбрать запуск проверки с помощью локальной среды выполнения интеграции, развернутой в той же виртуальной сети или в пиринговой виртуальной сети, где развернуты учетные записи Microsoft Purview и частные конечные точки приема.

Выполните действия, описанные в разделе Создание локальной среды выполнения интеграции и управление ею , чтобы настроить локальную среду выполнения интеграции. Затем настройте проверку в источнике Azure, выбрав локальную среду ir в раскрывающемся списке Подключиться через среду выполнения интеграции , чтобы обеспечить сетевую изоляцию.

Важно!

Убедитесь, что вы скачали и установили последнюю версию локальной среды выполнения интеграции из Центра загрузки Майкрософт.

Проверка частного подключения

Чтобы протестировать новые частные конечные точки, можно создать виртуальную машину в частной виртуальной сети и получить доступ к частной конечной точке платформы, чтобы убедиться, что она работает.

  1. Создайте виртуальную машину.
  2. Подключение к виртуальной машине с помощью удаленного рабочего стола (RDP).
  3. Доступ к Microsoft Purview в частном порядке с виртуальной машины.

Создание виртуальной машины

Следующим шагом является создание виртуальной машины.

  1. В левой верхней части экрана в портал Azure выберите Создать ресурс > Вычислительная > виртуальная машина.

  2. На вкладке Основные сведения введите или выберите следующие сведения:

    Параметры Значение
    Сведения о проекте
    Подписка Выберите подписку Azure
    Группа ресурсов Выберите myResourceGroup , созданный в предыдущем разделе.
    Сведения об экземпляре
    Имя виртуальной машины Введите myVM
    Region Выберите Западная часть США
    Параметры доступности Оставьте значение по умолчанию Не требуется избыточность инфраструктуры.
    Image Выберите Windows 10 Pro
    Размер Оставьте значение по умолчанию Standard DS1 версии 2
    УЧЕТНАЯ ЗАПИСЬ АДМИНИСТРАТОРА
    Username Введите имя пользователя по своему выбору
    Пароль Введите пароль по своему усмотрению. Пароль должен содержать не менее 12 символов и соответствовать определенным требованиям к сложности.
    Подтвердить пароль Повторно введите пароль
    ПРАВИЛА ВХОДЯЩИХ ПОРТОВ
    Общедоступные входящие порты Оставьте значение по умолчанию None
    ЛИЦЕНЗИРОВАНИЕ
    У меня есть лицензия Windows 10/11 Установите флажок

  3. Выберите Далее: диски.

  4. На вкладке Диски оставьте значения по умолчанию и выберите Далее: Сеть.

  5. На вкладке Сеть выберите следующие сведения:

    Параметры Значение
    Виртуальная сеть Оставьте myVirtualNetwork по умолчанию
    Адресное пространство Оставьте значение по умолчанию 10.0.0.0/24
    Подсеть Оставьте mySubnet по умолчанию (10.0.0.0/24)
    Общедоступный IP-адрес Оставьте значение по умолчанию (новое) myVM-ip
    Общедоступные входящие порты Выберите Разрешить выбранный
    Выбор входящих портов Выберите RDP

  6. Выберите Проверить и создать. Вы перейдете на страницу Проверка и создание , где Azure проверяет вашу конфигурацию.

  7. Когда появится сообщение Проверка пройдена , нажмите кнопку Создать.

Подключение к виртуальной машине с помощью удаленного рабочего стола (RDP)

После создания виртуальной машины с именем myVM подключитесь к ней из Интернета, выполнив следующие действия.

  1. В строке поиска портала введите myVM.

  2. Нажмите кнопку Подключиться и выберите RDP в раскрывающемся меню.

  3. Введите IP-адрес, а затем выберите Скачать RDP-файл. Azure создает RDP-файл протокола удаленного рабочего стола и загружает его на компьютер.

  4. Откройте RDP-файл , чтобы запустить подключение к удаленному рабочему столу, а затем выберите Подключиться.

  5. Введите имя пользователя и пароль, указанные при создании виртуальной машины на предыдущем шаге.

  6. Нажмите OK.

  7. Во время входа может появиться предупреждение о сертификате. Если появится предупреждение о сертификате, выберите Да или Продолжить.

Частный доступ к Microsoft Purview с виртуальной машины

Следующим шагом является частный доступ к Microsoft Purview из виртуальной машины, созданной на предыдущем шаге, с помощью следующих шагов:

  1. В удаленном рабочем столе myVM откройте PowerShell.

  2. Введите nslookup <tenant-object-id>-api.purview-service.microsoft.com.

  3. Вы получите ответ, аналогичный следующему сообщению:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    <tenantid>-api.purview-service.microsoft.com
Address:  10.5.0.4

  4. Откройте браузер и перейдите по адресу https://purview.microsoft.com , чтобы получить доступ к Microsoft Purview в частном порядке.

Завершение настройки частной конечной точки

После того как вы выполнили действия, описанные в предыдущих разделах, и приватный канал успешно настроен, ваша организация реализует приватные ссылки на основе следующих вариантов конфигурации, независимо от того, задан ли этот выбор при первоначальной конфигурации или позже.

Если Приватный канал Azure настроена правильно и включена блокировка общедоступного доступа к Интернету:

  • Microsoft Purview доступен только для вашей организации из частных конечных точек и недоступен из общедоступного Интернета.
  • Трафик из виртуальной сети, предназначенный для конечных точек и сценариев, поддерживающих приватные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенный для конечных точек и сценариев, которые не поддерживают приватные каналы, будет заблокирован службой и не будет работать.
  • Могут быть сценарии, которые не поддерживают приватные каналы, которые, следовательно, будут заблокированы в службе, когда включена блокировка общедоступного доступа к Интернету .

Если Приватный канал Azure настроены правильно и отключена блокировка общедоступного доступа к Интернету:

  • Трафик из общедоступного Интернета будет разрешен службами Microsoft Purview
  • Трафик из виртуальной сети, предназначенный для конечных точек и сценариев, поддерживающих приватные каналы, передается через приватный канал.
  • Трафик из виртуальной сети, предназначенный для конечных точек и сценариев, которые не поддерживают приватные каналы, передается через общедоступный Интернет и будет разрешен службами Microsoft Purview.
  • Если виртуальная сеть настроена для блокировки общедоступного доступа к Интернету, сценарии, которые не поддерживают приватные каналы, будут заблокированы виртуальной сетью и не будут работать.