分享方式:


連線到您的 Microsoft Purview,並私下且安全地掃描資料來源

在本指南中,您將瞭解如何為 Microsoft Purview 帳戶部署 帳戶、入口 網站擷取 私人端點,以存取 purview 帳戶,並使用自我裝載整合執行時間安全且私下掃描資料來源,藉此啟用端對端網路隔離。

Microsoft Purview 帳戶 私人端點可用來新增另一層安全性,方法是啟用只允許來自虛擬網路內的用戶端呼叫存取 Microsoft Purview 帳戶的案例。 此私人端點也是入口網站私人端點的必要條件。

需要 Microsoft Purview 入口 網站 私人端點,才能使用私人網路連線到 Microsoft Purview 治理入口 網站。

Microsoft Purview 可以使用擷 私人端點,掃描 Azure 或內部部署環境中的資料來源。 部署擷取私人端點時,需要部署三個私人端點資源,並將其連結至受 Microsoft Purview 管理或設定的資源:

  • Blob 私人端點會連結至 Microsoft Purview 受控儲存體帳戶。
  • 佇列私人端點會連結至 Microsoft Purview 受控儲存體帳戶。
  • 命名空間私人端點會連結至 Microsoft Purview 設定的事件中樞命名空間。

顯示 Microsoft Purview 和 Private Link 架構的圖表。

部署檢查清單

您可以使用本指南中進一步說明的其中一個部署選項,部署具有 帳戶、入口 網站擷取 私人端點的新 Microsoft Purview 帳戶,也可以選擇為現有的 Microsoft Purview 帳戶部署這些私人端點:

  1. 選擇適當的 Azure 虛擬網路和子網來部署 Microsoft Purview 私人端點。 選取下列其中一個選項:

    • 在您的 Azure 訂用帳戶中部署 新的虛擬網路
    • 在您的 Azure 訂用帳戶中找出現有的 Azure 虛擬網路和子網。
  2. 定義適當的 DNS 名稱解析方法,讓您可以存取 Microsoft Purview 帳戶,並使用私人網路掃描資料來源。 您可以使用下列任何選項:

    • 使用本指南進一步說明的步驟來部署新的 Azure DNS 區域。
    • 使用本指南進一步說明的步驟,將必要的 DNS 記錄新增至現有的 Azure DNS 區域。
    • 完成本指南中的步驟之後,請在現有的 DNS 伺服器中手動新增必要的 DNS A 記錄。
  3. 使用帳戶、入口網站和擷取私人端點部署 新的 Microsoft Purview 帳戶 ,或部署 現有 Microsoft Purview 帳戶的私人端點。

  4. 如果您的私人網路已將網路安全性群組規則設定為拒絕所有公用網際網路流量,請啟用 Azure Active Directory的存取。

  5. 在部署 Microsoft Purview 帳戶和擷取私人端點的相同 VNet 或對等互連 VNet 內部署和註冊 自我裝載整合執行時間

  6. 完成本指南之後,視需要調整 DNS 設定。

  7. 驗證管理電腦、自我裝載 IR VM 與 Microsoft Purview 資料來源之間的網路和名稱解析。

    注意事項

    如果您在部署擷取私人端點之後啟用受控事件中樞,則必須重新部署擷取私人端點。

選項 1 - 使用 帳戶、入口 網站擷取 私人端點部署新的 Microsoft Purview 帳戶

  1. 移至Azure 入口網站,然後移至Microsoft Purview 帳戶頁面。 選 取 [+ 建立 ] 以建立新的 Microsoft Purview 帳戶。

  2. 填寫基本資訊,然後在 [ 網路] 索引 標籤上,將連線方法設定為 [私人端點]。 將 [啟用私人端點] 設定為 [帳戶]、[入口網站] 和 [擷取]

  3. [帳戶和入口網站] 底 下,選取 [+ 新增 ],為您的 Microsoft Purview 帳戶新增私人端點。

    顯示建立私人端點端對端頁面選取專案的螢幕擷取畫面。

  4. 在 [ 建立私人端點 ] 頁面上,針對 Microsoft Purview 子資源選擇您的位置,提供 帳戶 私人端點的名稱,然後選取 [帳戶]。 在[網路]底下,選取您的虛擬網路和子網,然後選擇性地選取[與私人 DNS 區域整合] 以建立新的 Azure 私用 DNS區域。

    顯示 [建立帳戶私人端點] 頁面的螢幕擷取畫面。

    注意事項

    您也可以使用現有的 Azure 私用 DNS 區域,或稍後在 DNS 伺服器中手動建立 DNS 記錄。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析

  5. 選取 [確定]

  6. [帳戶和入口網站精靈] 下 ,再次選取 [+新增 ] 以新增 入口網站 私人端點。

  7. 在 [ 建立私人端點 ] 頁面上,針對 Microsoft Purview 子資源選擇您的位置,提供入口 網站 私人端點的名稱,然後選取 入口網站。 在[網路]底下,選取您的虛擬網路和子網,然後選擇性地選取[與私人 DNS 區域整合] 以建立新的 Azure 私用 DNS區域。

    顯示建立入口網站私人端點頁面的螢幕擷取畫面。

    注意事項

    您也可以使用現有的 Azure 私用 DNS 區域,或稍後在 DNS 伺服器中手動建立 DNS 記錄。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析

  8. 選取 [確定]

  9. 在 [擷取] 底下,提供您想要與私人端點配對之用帳戶、虛擬網路子網的詳細資料,以設定您的擷取私人端點。

  10. 選擇性地選取私用 DNS整合以使用 Azure 私用 DNS 區域。

    顯示 [建立私人端點概觀] 頁面的螢幕擷取畫面。

    重要事項

    請務必選取正確的 Azure 私用 DNS區域,以允許 Microsoft Purview 與資料來源之間的正確名稱解析。 您也可以使用現有的 Azure 私用 DNS 區域,或稍後在 DNS 伺服器中手動建立 DNS 記錄。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析

  11. 取 [檢閱 + 建立]。 在 [ 檢閱 + 建立] 頁面上,Azure 會驗證您的設定。

  12. 當您看到「通過驗證」訊息時,請選取 [ 建立]

選項 2 - 在現有的 Microsoft Purview 帳戶上啟用 帳戶入口網站擷取 私人端點

  1. 移至Azure 入口網站,然後選取您的 Microsoft Purview 帳戶,然後在 [設定] 底下選取 [網路],然後選取 [私人端點連線]

    顯示建立帳戶私人端點的螢幕擷取畫面。

  2. 取 [+ 私人端點 ] 以建立新的私人端點。

  3. 填寫基本資訊。

  4. 在 [ 資源] 索引標籤上,針對 [ 資源類型] 選取 [Microsoft.Purview/accounts]

  5. 針對 [資源],選取 Microsoft Purview 帳戶,然後針對 [目標子資源] 選取 [帳戶]

  6. 在 [組態] 索引標籤上,選取虛擬網路,然後選擇性地選取 [Azure 私用 DNS區域] 以建立新的 Azure DNS 區域。

    注意事項

    針對 DNS 設定,您也可以從下拉式清單中使用現有的 Azure 私用 DNS 區域,或稍後手動將必要的 DNS 記錄新增至 DNS 伺服器。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析

  7. 移至摘要頁面,然後選取 [建立 ] 以建立帳戶私人端點。

  8. 重複步驟 2 到 7,以建立入口網站私人端點。 請務必選取目標子資源的入口網站

  9. 從您的 Microsoft Purview 帳戶,在 [ 設定] 下 選取 [ 網路],然後選取 [ 擷取私人端點連線]

  10. 在 [擷取私人端點連線] 下,選取 [ + 新增 ] 以建立新的擷取私人端點。

    顯示將私人端點新增至現有帳戶的螢幕擷取畫面。

  11. 填入基本資訊,選取您現有的虛擬網路和子網詳細資料。 選擇性地選取私用 DNS整合以使用 Azure 私用 DNS 區域。 從每個清單中選取正確的 Azure 私用 DNS 區域。

    注意事項

    您也可以使用現有的 Azure 私用 DNS區域,或稍後在 DNS 伺服器中手動建立 DNS 記錄。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析

  12. 取 [建立 ] 以完成設定。

啟用對 Azure Active Directory 的存取

注意事項

如果您的 VM、VPN 閘道或 VNet 對等互連閘道具有公用網際網路存取權,它可以存取 Microsoft Purview 治理入口網站,以及啟用私人端點的 Microsoft Purview 帳戶。 基於這個理由,您不需要遵循其餘的指示。 如果您的私人網路已將網路安全性群組規則設定為拒絕所有公用網際網路流量,您必須新增一些規則,以啟用 Azure Active Directory (Azure AD) 存取。 請遵循指示來執行此動作。

這些指示是針對從 Azure VM 安全地存取 Microsoft Purview 所提供的。 如果您使用 VPN 或其他 VNet 對等互連閘道,則必須遵循類似的步驟。

  1. 移至Azure 入口網站中的 VM,然後在 [設定] 底下選取 [網路]。 然後選取 [輸出連接埠規則>][新增輸出連接埠規則]

    顯示新增輸出規則的螢幕擷取畫面。

  2. 在 [ 新增輸出安全性規則] 窗格上:

    1. 在 [ 目的地]底下,選取 [服務標籤]
    2. [目的地服務標籤] 下,選取 [AzureActiveDirectory]
    3. [目的地埠範圍] 底下,選取 [*]。
    4. 在 [ 動作]底下,選取 [ 允許]
    5. [優先順序] 底下,值應該高於拒絕所有網際網路流量的規則。

    建立規則。

    顯示新增輸出規則詳細資料的螢幕擷取畫面。

  3. 請遵循相同的步驟來建立另一個規則,以允許 AzureResourceManager 服務標籤。 如果您需要存取Azure 入口網站,您也可以新增AzurePortal服務標籤的規則。

  4. 連線到 VM 並開啟瀏覽器。 選取 Ctrl+Shift+J 以移至瀏覽器主控台,然後切換至 [網路] 索引標籤以監視網路要求。 在 [URL] 方塊中輸入 web.purview.azure.com,然後嘗試使用您的 Azure AD 認證登入。 登入可能會失敗,而在主控台的 [ 網路 ] 索引標籤上,您可以看到 Azure AD 嘗試存取 aadcdn.msauth.net 但遭到封鎖。

    顯示登入失敗詳細資料的螢幕擷取畫面。

  5. 在此情況下,請在 VM 上開啟命令提示字元、ping aadcdn.msauth.net、取得其 IP,然後在 VM 的網路安全性規則中新增 IP 的輸出連接埠規則。 將 [目的地 ] 設定為 [IP 位址] ,並將 [ 目的地 IP 位址 ] 設定為 aadcdn IP。 由於Azure Load Balancer和 Azure 流量管理員,Azure AD 內容傳遞網路 IP 可能是動態的。 取得 IP 之後,最好將它新增至 VM 的主機檔案,以強制瀏覽器造訪該 IP 以取得 Azure AD 內容傳遞網路。

    顯示測試 Ping 的螢幕擷取畫面。

    顯示 Azure A D 內容傳遞網路規則的螢幕擷取畫面。

  6. 建立新規則之後,請返回 VM,然後再次嘗試使用您的 Azure AD 認證登入。 如果登入成功,則 Microsoft Purview 治理入口網站已可供使用。 但在某些情況下,Azure AD 會重新導向至其他網域,以根據客戶的帳戶類型登入。 例如,針對 live.com 帳戶,Azure AD 會重新導向至 live.com 以登入,然後再次封鎖這些要求。 針對 Microsoft 員工帳戶,Azure AD 會存取 msft.sts.microsoft.com 以取得登入資訊。

    檢查瀏覽器 [ 網路 ] 索引標籤上的網路要求,以查看哪些網域的要求遭到封鎖、重做上一個步驟以取得其 IP,並在網路安全性群組中新增輸出連接埠規則以允許該 IP 的要求。 可能的話,請將 URL 和 IP 新增至 VM 的主機檔案,以修正 DNS 解析。 如果您知道確切登入網域的 IP 範圍,您也可以直接將它們新增至網路規則。

  7. 現在您的 Azure AD 登入應該已成功。 Microsoft Purview 治理入口網站將會成功載入,但列出所有 Microsoft Purview 帳戶將無法運作,因為它只能存取特定的 Microsoft Purview 帳戶。 輸入 web.purview.azure.com/resource/{PurviewAccountName} 以直接造訪您成功設定私人端點的 Microsoft Purview 帳戶。

將自我裝載整合執行時間部署 (IR) 並掃描您的資料來源。

為 Microsoft Purview 部署擷取私人端點之後,您必須設定並註冊至少一個自我裝載整合執行時間 (IR) :

  • Microsoft SQL Server、Oracle、SAP 等所有內部部署來源類型目前僅透過自我裝載 IR 型掃描支援。 自我裝載 IR 必須在您的私人網路內執行,然後與 Azure 中的虛擬網路對等互連。

  • 針對 Azure Blob 儲存體 和 Azure SQL Database 等所有 Azure 來源類型,您必須明確選擇使用部署在相同 VNet 或部署 Microsoft Purview 帳戶和擷取私人端點之對等互連 VNet 中的自我裝載整合執行時間來執行掃描。

請遵循 建立和管理自我裝載整合執行時間 中的步驟來設定自我裝載 IR。 然後在 [透過 整合執行時間聯 機] 下拉式清單中選擇該自我裝載 IR,以在 Azure 來源上設定掃描,以確保網路隔離。

顯示使用自我裝載 IR 執行 Azure 掃描的螢幕擷取畫面。

重要事項

請務必從 Microsoft 下載中心下載並安裝最新版的自我裝載整合執行時間。

用來限制公用存取的防火牆

若要完全從公用網際網路中斷對 Microsoft Purview 帳戶的存取,請遵循下列步驟。 此設定同時適用于私人端點和擷取私人端點連線。

  1. Azure 入口網站,移至 Microsoft Purview 帳戶,然後在 [設定] 底下選取 [網路]

  2. 移至 [ 防火牆] 索引 標籤,並確定切換已設定為 [ 停用所有網路]

    顯示私人端點防火牆設定的螢幕擷取畫面。

後續步驟