连接到 Microsoft Purview,以私密且安全方式扫描数据源
本指南介绍如何为 Microsoft Purview 帐户部署帐户、 门户 和 引入 专用终结点,以便使用自承载集成运行时安全且私密地访问 purview 帐户和扫描数据源,从而实现端到端网络隔离。
Microsoft Purview 帐户 专用终结点用于通过启用仅允许从虚拟网络中发起的客户端调用访问 Microsoft Purview 帐户的方案来添加另一层安全层。 此专用终结点也是门户专用终结点的先决条件。
需要使用 Microsoft Purview 门户 专用终结点才能使用专用网络与 Microsoft Purview 治理门户 建立连接。
Microsoft Purview 可以使用 引入 专用终结点扫描 Azure 或本地环境中的数据源。 部署引入专用终结点时,需要部署三个专用终结点资源并将其链接到 Microsoft Purview 托管或配置的资源:
- Blob 专用终结点链接到 Microsoft Purview 托管存储帐户。
- 队列专用终结点链接到 Microsoft Purview 托管存储帐户。
- 命名空间专用终结点链接到 Microsoft Purview 配置的事件中心命名空间。
部署清单
使用本指南中进一步介绍的部署选项之一,可以使用 帐户、 门户 和 引入 专用终结点部署新的 Microsoft Purview 帐户,也可以选择为现有 Microsoft Purview 帐户部署这些专用终结点:
选择适当的 Azure 虚拟网络和子网来部署 Microsoft Purview 专用终结点。 选择下列选项之一:
- 在 Azure 订阅中部署 新的虚拟网络 。
- 在 Azure 订阅中找到现有的 Azure 虚拟网络和子网。
定义适当的 DNS 名称解析方法,以便可以使用专用网络访问 Microsoft Purview 帐户和扫描数据源。 可以使用以下任一选项:
- 使用本指南中进一步介绍的步骤部署新的 Azure DNS 区域。
- 使用本指南中进一步介绍的步骤,将所需的 DNS 记录添加到现有 Azure DNS 区域。
- 完成本指南中的步骤后,手动在现有 DNS 服务器中添加所需的 DNS A 记录。
使用帐户、门户和引入专用终结点部署 新的 Microsoft Purview 帐户,或者为 现有 Microsoft Purview 帐户部署专用终结点。
如果专用网络将网络安全组规则设置为拒绝所有公共 Internet 流量,则启用对 Azure Active Directory 的访问。
在部署 Microsoft Purview 帐户和引入专用终结点的同一 VNet 或对等互连 VNet 中部署和注册 自承载集成运行时 。
完成本指南后,根据需要调整 DNS 配置。
验证管理计算机、自承载 IR VM 和 Microsoft Purview 数据源之间的网络和名称解析。
注意
如果在部署引入专用终结点后启用托管事件中心,则需要重新部署引入专用终结点。
选项 1 - 使用 帐户、 门户 和 引入 专用终结点部署新的 Microsoft Purview 帐户
转到Azure 门户,然后转到 Microsoft Purview 帐户页。 选择“ + 创建 ”以创建新的 Microsoft Purview 帐户。
填写基本信息,然后在“ 网络 ”选项卡上,将连接方法设置为 “专用终结点”。 将“启用专用终结点”设置为 “帐户”、“门户”和“引入”。
在 “帐户和门户 ”下,选择“ + 添加” ,为 Microsoft Purview 帐户添加专用终结点。
在 “创建专用终结点 ”页上,对于 Microsoft Purview 子资源,选择你的位置,提供 帐户 专用终结点的名称,然后选择 帐户。 在“网络”下,选择虚拟网络和子网,并选择“与专用 DNS 区域集成”以创建新的 Azure 专用 DNS区域。
注意
还可以使用现有的 Azure 专用 DNS区域,或稍后在 DNS 服务器中手动创建 DNS 记录。 有关详细信息,请参阅 为专用终结点配置 DNS 名称解析
选择“确定”。
在 “帐户和门户 向导”下,再次选择“ +再次添加” 以添加 门户 专用终结点。
在 “创建专用终结点 ”页上,对于 Microsoft Purview 子资源,选择你的位置,提供 门户 专用终结点的名称并选择 门户。 在“网络”下,选择虚拟网络和子网,并选择“与专用 DNS 区域集成”以创建新的 Azure 专用 DNS区域。
注意
还可以使用现有的 Azure 专用 DNS区域,或稍后在 DNS 服务器中手动创建 DNS 记录。 有关详细信息,请参阅 为专用终结点配置 DNS 名称解析
选择“确定”。
在 “引入”下,通过提供要与专用终结点配对的 订阅、 虚拟网络和 子网 的详细信息来设置引入专用终结点。
(可选)选择“专用 DNS集成”以使用 Azure 专用 DNS 区域。
重要
请务必选择正确的 Azure 专用 DNS区域,以便在 Microsoft Purview 和数据源之间正确解析名称。 还可以使用现有的 Azure 专用 DNS区域,或稍后在 DNS 服务器中手动创建 DNS 记录。 有关详细信息,请参阅 为专用终结点配置 DNS 名称解析。
选择“审阅 + 创建”。 在“ 查看 + 创建 ”页上,Azure 将验证配置。
看到“验证已通过”消息时,请选择“ 创建”。
选项 2 - 在现有 Microsoft Purview 帐户上启用 帐户、 门户 和 引入 专用终结点
转到Azure 门户,然后选择 Microsoft Purview 帐户,在“设置”下选择“网络”,然后选择“专用终结点连接”。
选择“ + 专用终结点 ”以创建新的专用终结点。
填写基本信息。
在“ 资源 ”选项卡上,对于“ 资源类型”,选择“ Microsoft.Purview/accounts”。
对于 “资源”,请选择“Microsoft Purview 帐户”,对于 “目标子资源”,请选择“ 帐户”。
在“配置”选项卡上,选择虚拟网络,并选择“Azure 专用 DNS区域”以创建新的 Azure DNS 区域。
注意
对于 DNS 配置,还可以使用下拉列表中的现有 Azure 专用 DNS区域,或稍后手动将所需的 DNS 记录添加到 DNS 服务器。 有关详细信息,请参阅 为专用终结点配置 DNS 名称解析
转到摘要页,然后选择“ 创建 ”以创建帐户专用终结点。
重复步骤 2 到步骤 7 以创建门户专用终结点。 请确保为“目标子资源”选择门户。
在 Microsoft Purview 帐户 的“设置” 下,选择“ 网络”,然后选择“ 引入专用终结点连接”。
在“引入专用终结点连接”下,选择“ + 新建 ”以创建新的引入专用终结点。
填写基本信息,选择现有虚拟网络和子网详细信息。 (可选)选择“专用 DNS集成”以使用 Azure 专用 DNS 区域。 从每个列表中选择正确的 Azure 专用 DNS区域。
注意
还可以使用现有的 Azure 专用 DNS区域,或稍后在 DNS 服务器中手动创建 DNS 记录。 有关详细信息,请参阅 为专用终结点配置 DNS 名称解析
选择“ 创建 ”以完成设置。
启用对 Azure Active Directory 的访问
注意
如果 VM、VPN 网关或 VNet 对等互连网关具有公共 Internet 访问权限,则可以访问 Microsoft Purview 治理门户以及启用了专用终结点的 Microsoft Purview 帐户。 因此,无需按照其余说明进行操作。 如果专用网络将网络安全组规则设置为拒绝所有公共 Internet 流量,则需要添加一些规则来启用 Azure Active Directory (Azure AD) 访问。 按照说明执行此操作。
这些说明介绍了如何从 Azure VM 安全地访问 Microsoft Purview。 如果使用 VPN 或其他 VNet 对等互连网关,则必须遵循类似的步骤。
转到Azure 门户中的 VM,然后在“设置”下选择“网络”。 然后选择“ 出站端口规则>”“添加出站端口规则”。
在 “添加出站安全规则 ”窗格中:
- 在 “目标”下,选择“ 服务标记”。
- 在 “目标服务标记”下,选择“ AzureActiveDirectory”。
- 在 “目标端口范围”下,选择“*”。
- 在 “操作”下,选择“ 允许”。
- 在 “优先级”下,该值应高于拒绝所有 Internet 流量的规则。
创建规则。
按照相同的步骤创建另一个规则以允许 AzureResourceManager 服务标记。 如果需要访问Azure 门户,还可以为 AzurePortal 服务标记添加规则。
连接到 VM 并打开浏览器。 通过选择 Ctrl+Shift+J 转到浏览器控制台,并切换到“网络”选项卡以监视网络请求。 在“URL”框中输入 web.purview.azure.com,并尝试使用 Azure AD 凭据登录。 登录可能会失败,在控制台的“ 网络 ”选项卡上,可以看到 Azure AD 尝试访问 aadcdn.msauth.net 但遭到阻止。
在这种情况下,请在 VM 上打开命令提示符,ping aadcdn.msauth.net,获取其 IP,然后在 VM 的网络安全规则中添加 IP 的出站端口规则。 将 “目标 ”设置为 “IP 地址” ,并将 “目标 IP 地址 ”设置为 aadcdn IP。 由于Azure 负载均衡器和 Azure 流量管理器,Azure AD 内容分发网络 IP 可能是动态的。 获取其 IP 后,最好将其添加到 VM 的主机文件中,以强制浏览器访问该 IP 以获取 Azure AD 内容分发网络。
创建新规则后,返回到 VM 并再次尝试使用 Azure AD 凭据登录。 如果登录成功,则 Microsoft Purview 治理门户可供使用。 但在某些情况下,Azure AD 会重定向到其他域,以便根据客户的帐户类型登录。 例如,对于 live.com 帐户,Azure AD 会重定向到 live.com 登录,然后再次阻止这些请求。 对于 Microsoft 员工帐户,Azure AD 访问 msft.sts.microsoft.com 以获取登录信息。
检查浏览器“ 网络 ”选项卡上的网络请求,查看哪些域的请求被阻止,重做上一步以获取其 IP,并在网络安全组中添加出站端口规则以允许请求该 IP。 如果可能,请将 URL 和 IP 添加到 VM 的主机文件以修复 DNS 解析。 如果知道确切的登录域的 IP 范围,还可以直接将它们添加到网络规则中。
现在,Azure AD 登录应该会成功。 Microsoft Purview 治理门户将成功加载,但列出所有 Microsoft Purview 帐户不起作用,因为它只能访问特定的 Microsoft Purview 帐户。 输入
web.purview.azure.com/resource/{PurviewAccountName}以直接访问已成功为其设置了专用终结点的 Microsoft Purview 帐户。
部署自承载集成运行时 (IR) 并扫描数据源。
为 Microsoft Purview 部署引入专用终结点后,需要设置并注册至少一个自承载集成运行时 (IR) :
所有本地源类型(如 Microsoft SQL Server、Oracle、SAP 等)目前仅通过基于自承载 IR 的扫描得到支持。 自承载 IR 必须在专用网络中运行,然后与 Azure 中的虚拟网络对等互连。
对于所有 Azure 源类型(如 Azure Blob 存储 和 Azure SQL 数据库),必须使用部署在同一 VNet 或部署 Microsoft Purview 帐户和引入专用终结点的对等互连 VNet 中部署的自承载集成运行时来显式选择运行扫描。
按照 创建和管理自承载集成运行时 中的步骤设置自承载 IR。 然后,通过在 “通过集成运行时连接” 下拉列表中选择该自承载 IR,在 Azure 源上设置扫描,以确保网络隔离。
重要
请确保从 Microsoft 下载中心下载并安装最新版本的自承载集成运行时。
用于限制公共访问的防火墙
若要从公共 Internet 完全切断对 Microsoft Purview 帐户的访问,请执行以下步骤。 此设置适用于专用终结点和引入专用终结点连接。
从Azure 门户转到 Microsoft Purview 帐户,然后在“设置”下选择“网络”。
转到“ 防火墙 ”选项卡,确保切换开关设置为 “从所有网络禁用”。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈