私下安全地連線到您的 Microsoft Purview 帳戶
在本指南中,您將瞭解如何部署 Microsoft Purview 帳戶的私人端點,讓您只能從 VNet 和私人網路連線到您的 Microsoft Purview 帳戶。 若要達成此目標,您必須為 Microsoft Purview 帳戶部署 帳戶 和 入口網站 私人端點。
Microsoft Purview 帳戶 私人端點可用來新增另一層安全性,方法是啟用只允許來自虛擬網路內的用戶端呼叫存取 Microsoft Purview 帳戶的案例。 此私人端點也是入口網站私人端點的必要條件。
需要 Microsoft Purview 入口 網站 私人端點,才能使用私人網路連線到 Microsoft Purview 治理入口 網站。
注意事項
如果您只建立 帳戶 和 入口網站 私人端點,將無法執行任何掃描。 若要在私人網路上啟用掃描,您也必須 建立擷取私人端點。
如需Azure Private Link服務的詳細資訊,請參閱私人連結和私人端點以深入瞭解。
部署檢查清單
您可以使用本指南中的其中一個部署選項,部署具有 帳戶 和入口 網站 私人端點的新 Microsoft Purview 帳戶,也可以選擇為現有的 Microsoft Purview 帳戶部署這些私人端點:
選擇適當的 Azure 虛擬網路和子網來部署 Microsoft Purview 私人端點。 選取下列其中一個選項:
- 在您的 Azure 訂用帳戶中部署 新的虛擬網路 。
- 在您的 Azure 訂用帳戶中找出現有的 Azure 虛擬網路和子網。
定義適當的 DNS 名稱解析方法,讓 Microsoft Purview 帳戶和入口網站可以透過私人 IP 位址存取。 您可以使用下列任何選項:
- 使用本指南進一步說明的步驟來部署新的 Azure DNS 區域。
- 使用本指南進一步說明的步驟,將必要的 DNS 記錄新增至現有的 Azure DNS 區域。
- 完成本指南中的步驟之後,請在現有的 DNS 伺服器中手動新增必要的 DNS A 記錄。
部署具有帳戶和入口網站私人端點 的新 Microsoft Purview 帳戶 ,或部署 現有 Microsoft Purview 帳戶的帳戶和入口網站私人端點。
如果您的私人網路已將網路安全性群組規則設定為拒絕所有公用網際網路流量,請啟用 Azure Active Directory的存取。
完成本指南之後,視需要調整 DNS 設定。
驗證從管理電腦到 Microsoft Purview 的網路和名稱解析。
選項 1 - 使用帳戶和入口網站私人端點部署新的 Microsoft Purview帳戶
移至Azure 入口網站,然後移至Microsoft Purview 帳戶頁面。 選 取 [+ 建立 ] 以建立新的 Microsoft Purview 帳戶。
填寫基本資訊,然後在 [ 網路] 索引 標籤上,將連線方法設定為 [私人端點]。 將 [僅啟用私人端點] 設定為 [帳戶] 和 [入口網站]。
在 [帳戶和入口網站] 底 下,選取 [+ 新增 ],為您的 Microsoft Purview 帳戶新增私人端點。
在 [ 建立私人端點 ] 頁面上,針對 Microsoft Purview 子資源選擇您的位置,提供 帳戶 私人端點的名稱,然後選取 [帳戶]。 在[網路]底下,選取您的虛擬網路和子網,然後選擇性地選取[與私人 DNS 區域整合] 以建立新的 Azure 私用 DNS區域。
注意事項
您也可以使用現有的 Azure 私用 DNS 區域,或稍後在 DNS 伺服器中手動建立 DNS 記錄。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析
選取 [確定]。
在 [建立 Microsoft Purview 帳戶 精靈] 中,再次選取 [+新增 ] 以新增 入口網站 私人端點。
在 [ 建立私人端點 ] 頁面上,針對 Microsoft Purview 子資源選擇您的位置,提供入口 網站 私人端點的名稱,然後選取 入口網站。 在[網路]底下,選取您的虛擬網路和子網,然後選擇性地選取[與私人 DNS 區域整合] 以建立新的 Azure 私用 DNS區域。
注意事項
您也可以使用現有的 Azure 私用 DNS 區域,或稍後在 DNS 伺服器中手動建立 DNS 記錄。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析
選取 [確定]。
選 取 [檢閱 + 建立]。 在 [ 檢閱 + 建立] 頁面上,Azure 會驗證您的設定。
當您看到「通過驗證」訊息時,請選取 [ 建立]。
選項 2 - 在現有的 Microsoft Purview 帳戶上啟用 帳戶 和 入口網站 私人端點
有兩種方式可以為現有的 Microsoft Purview 帳戶新增 Microsoft Purview 帳戶 和 入口網站 私人端點:
- 使用 Azure 入口網站 (Microsoft Purview 帳戶) 。
- 使用 Private Link Center。
使用 Azure 入口網站 (Microsoft Purview 帳戶)
移至Azure 入口網站,然後選取您的 Microsoft Purview 帳戶,然後在 [設定] 底下選取 [網路],然後選取 [私人端點連線]。
選 取 [+ 私人端點 ] 以建立新的私人端點。
填寫基本資訊。
在 [ 資源] 索引標籤上,針對 [ 資源類型] 選取 [Microsoft.Purview/accounts]。
針對 [資源],選取 Microsoft Purview 帳戶,然後針對 [目標子資源] 選取 [帳戶]。
在 [組態] 索引標籤上,選取虛擬網路,然後選擇性地選取 [Azure 私用 DNS區域] 以建立新的 Azure DNS 區域。
注意事項
針對 DNS 設定,您也可以從下拉式清單中使用現有的 Azure 私用 DNS 區域,或稍後手動將必要的 DNS 記錄新增至 DNS 伺服器。 如需詳細資訊, 請參閱設定私人端點的 DNS 名稱解析
移至摘要頁面,然後選取 [建立 ] 以建立入口網站私人端點。
當您選取目標子資源的入口網站時,請遵循相同的步驟。
使用 Private Link 中心
前往 Azure 入口網站。
在頁面頂端的搜尋列中,搜尋私人連結,然後選取第一個選項以移至[Private Link] 窗格。
選 取 [+ 新增],然後填入基本詳細資料。
針對 [資源],選取已建立的 Microsoft Purview 帳戶。 針對 [目標子資源],選取 [帳戶]。
在 [ 組態] 索引 標籤上,選取虛擬網路和私人 DNS 區域。 移至摘要頁面,然後選取 [建立 ] 以建立帳戶私人端點。
注意事項
當您選取目標子資源的入口網站時,請遵循相同的步驟。
啟用對 Azure Active Directory 的存取
注意事項
如果您的 VM、VPN 閘道或 VNet 對等互連閘道具有公用網際網路存取權,它可以存取 Microsoft Purview 入口網站和已啟用私人端點的 Microsoft Purview 帳戶。 基於這個理由,您不需要遵循其餘的指示。 如果您的私人網路已將網路安全性群組規則設定為拒絕所有公用網際網路流量,您必須新增一些規則,以啟用 Azure Active Directory (Azure AD) 存取。 請遵循指示來執行此動作。
這些指示是針對從 Azure VM 安全地存取 Microsoft Purview 所提供的。 如果您使用 VPN 或其他 VNet 對等互連閘道,則必須遵循類似的步驟。
移至Azure 入口網站中的 VM,然後在 [設定] 底下選取 [網路]。 然後選 取 [輸出連接埠規則]、 [新增輸出連接埠規則]。
在 [ 新增輸出安全性規則] 窗格上:
- 在 [ 目的地]底下,選取 [服務標籤]。
- 在 [目的地服務標籤] 下,選取 [AzureActiveDirectory]。
- 在 [目的地埠範圍] 底下,選取 [*]。
- 在 [ 動作]底下,選取 [ 允許]。
- 在 [優先順序] 底下,值應該高於拒絕所有網際網路流量的規則。
建立規則。
請遵循相同的步驟來建立另一個規則,以允許 AzureResourceManager 服務標籤。 如果您需要存取Azure 入口網站,您也可以新增AzurePortal服務標籤的規則。
連線到 VM 並開啟瀏覽器。 選取 Ctrl+Shift+J 以移至瀏覽器主控台,然後切換至 [網路] 索引標籤以監視網路要求。 在 [URL] 方塊中輸入 web.purview.azure.com,然後嘗試使用您的 Azure AD 認證登入。 登入可能會失敗,而在主控台的 [ 網路 ] 索引標籤上,您可以看到 Azure AD 嘗試存取 aadcdn.msauth.net 但遭到封鎖。
在此情況下,請在 VM 上開啟命令提示字元、ping aadcdn.msauth.net、取得其 IP,然後在 VM 的網路安全性規則中新增 IP 的輸出連接埠規則。 將 [目的地 ] 設定為 [IP 位址] ,並將 [ 目的地 IP 位址 ] 設定為 aadcdn IP。 由於Azure Load Balancer和 Azure 流量管理員,Azure AD 內容傳遞網路 IP 可能是動態的。 取得 IP 之後,最好將它新增至 VM 的主機檔案,以強制瀏覽器造訪該 IP 以取得 Azure AD 內容傳遞網路。
建立新規則之後,請返回 VM,然後再次嘗試使用您的 Azure AD 認證登入。 如果登入成功,則 Microsoft Purview 入口網站已可供使用。 但在某些情況下,Azure AD 會重新導向至其他網域,以根據客戶的帳戶類型登入。 例如,針對 live.com 帳戶,Azure AD 會重新導向至 live.com 以登入,然後再次封鎖這些要求。 針對 Microsoft 員工帳戶,Azure AD 會存取 msft.sts.microsoft.com 以取得登入資訊。
檢查瀏覽器 [ 網路 ] 索引標籤上的網路要求,以查看哪些網域的要求遭到封鎖、重做上一個步驟以取得其 IP,並在網路安全性群組中新增輸出連接埠規則以允許該 IP 的要求。 可能的話,請將 URL 和 IP 新增至 VM 的主機檔案,以修正 DNS 解析。 如果您知道確切登入網域的 IP 範圍,您也可以直接將它們新增至網路規則。
現在您的 Azure AD 登入應該已成功。 Microsoft Purview 入口網站將會成功載入,但列出所有 Microsoft Purview 帳戶將無法運作,因為它只能存取特定的 Microsoft Purview 帳戶。 輸入
web.purview.azure.com/resource/{PurviewAccountName}
以直接造訪您成功設定私人端點的 Microsoft Purview 帳戶。