Microsoft Purview 私人端點和受控 VNet 的常見問題

本文回答客戶和現場小組經常使用Azure Private Link或Microsoft Purview 受控 VNet 詢問 Microsoft Purview網路設定的常見問題。 其目的是要厘清有關 Microsoft Purview 防火牆設定、私人端點、DNS 設定和相關設定的問題。

若要使用 Private Link 設定 Microsoft Purview，請參閱為您的 Microsoft Purview 帳戶使用私人端點。 若要設定 Microsoft Purview 帳戶的受控 VNet，請參閱 搭配您的 Microsoft Purview 帳戶使用受控 VNet。

常見問題

請參閱下列常見問題的解答。

何時應該使用自我裝載整合執行時間或受控 IR？

如果下列狀況，請使用受控 IR：

• 您的 Microsoft Purview 帳戶會部署在受 控 VNet 的其中一個支援區域中。
• 您打算透過 Managed IR 掃描任何 支援的資料來源 。

如果是下列專案，請使用自我裝載整合執行時間：

• 您打算在 Azure IaaS、私人網路後方的 SaaS 服務或內部部署網路中掃描資料來源。
• 受控 VNet 無法在部署 Microsoft Purview 帳戶的區域中使用。
• 您打算掃描未列在受控 VNet IR 支援來源下的任何來源。

我可以在 Microsoft Purview 帳戶內同時使用自我裝載整合執行時間和受控 IR 嗎？

是的。 您可以在單一 Microsoft Purview 帳戶中使用一或所有執行時間選項：Azure IR、受控 IR 和自我裝載整合執行時間。 在單一掃描中，您只能使用一個執行時間選項。

部署 Microsoft Purview 帳戶私人端點的用途為何？

Microsoft Purview 帳戶私人端點可用來新增另一層安全性，方法是啟用只允許來自虛擬網路內的用戶端呼叫存取帳戶的案例。 此私人端點也是入口網站私人端點的必要條件。

部署 Microsoft Purview 入口網站私人端點的目的為何？

Microsoft Purview 入口網站私人端點提供與 Microsoft Purview 治理入口網站的私人連線。

部署 Microsoft Purview 擷取私人端點的目的為何？

Microsoft Purview 可以使用擷取私人端點，掃描 Azure 或內部部署環境中的資料來源。 另外三個私人端點資源會在建立擷取私人端點時部署並連結至 Microsoft Purview 管理或設定的資源：

• Blob 會連結至 Microsoft Purview 受控儲存體帳戶。
• 佇列 會連結至 Microsoft Purview 受控儲存體帳戶。
• 命名空間 會連結至 Microsoft Purview 設定的事件中樞命名空間。

如果我的 Microsoft Purview 帳戶上已啟用私人端點，我可以透過公用端點掃描資料來源嗎？

是的。 當 Microsoft Purview 設定為使用私人端點時，可以使用公用端點掃描未透過私人端點連線的資料來源。

如果已啟用私人端點，我可以透過服務端點掃描資料來源嗎？

是的。 當 Microsoft Purview 設定為使用私人端點時，可以使用服務端點掃描未透過私人端點連線的資料來源。

請確定您啟用 [允許受信任的 Microsoft 服務 存取 Azure 中資料來源資源的服務端點設定內的資源]。 例如，如果您要掃描防火牆和虛擬網路設定設為所選網路的Azure Blob 儲存體，請確定已選取 [允許受信任的 Microsoft 服務存取此儲存體帳戶] 核取方塊作為例外狀況。

我可以使用受控 IR 透過公用端點掃描資料來源嗎？

是的。 如果受控 VNet 支援資料來源。 必要條件是，您必須為數據源部署受控私人端點。

我可以使用受控 IR 透過服務端點掃描資料來源嗎？

是的。 如果受控 VNet 支援資料來源。 必要條件是，您必須為數據源部署受控私人端點。

如果公用網路存取在 Microsoft Purview 帳戶網路中設定為 [拒絕]，我可以從公用網路存取 Microsoft Purview 治理入口網站嗎？

不能。 從公用網路存取設定為 [拒絕] 的公用端點連線到 Microsoft Purview，會導致下列錯誤訊息：

「未獲授權存取此 Microsoft Purview 帳戶。 此 Microsoft Purview 帳戶位於私人端點後方。 請從相同虛擬網路中的用戶端存取帳戶， (已針對 Microsoft Purview 帳戶的私人端點設定的 VNet) 。」

在此情況下，若要開啟 Microsoft Purview 治理入口網站，請使用與 Microsoft Purview 入口網站私人端點部署在相同虛擬網路中的電腦，或使用連線到允許混合式連線的 CorpNet 的 VM。

是否可以限制僅針對私人端點擷取 (存取 Microsoft Purview 受控儲存體帳戶和事件中樞命名空間) ，但讓入口網站存取保持為跨網路使用者啟用？

是的。 您可以將 Microsoft Purview 防火牆設定為 [已停用] 僅供擷取 (預覽) 。 藉由選擇此選項，允許透過 API 和 Microsoft Purview 治理入口網站對 Microsoft Purview 帳戶進行公用網路存取，不過，公用網路存取會設定為在 Microsoft Purview 帳戶的受控儲存體帳戶和事件中樞上停用。

如果公用網路存取設定為 [允許]，是否表示任何人都可以存取受控儲存體帳戶和事件中樞命名空間？

不能。 身為受保護的資源，只有使用 RBAC 驗證配置，才能存取 Microsoft Purview 受控儲存體帳戶和事件中樞命名空間。 這些資源會以拒絕指派給所有主體的方式部署，這可防止任何應用程式、使用者或群組取得其存取權。

若要深入瞭解 Azure 拒絕指派，請參閱 瞭解 Azure 拒絕指派。

當我使用私人端點時，支援的驗證類型為何？

取決於儲存在 Azure 金鑰保存庫 中的資料來源類型所支援的驗證類型，例如 SQL 驗證、Windows 驗證、基本驗證、服務主體等。 無法使用 MSI。

當我使用受控 IR 時，支援的驗證類型為何？

取決於儲存在 Azure 金鑰保存庫 或 MSI 中的資料來源類型，例如 SQL 驗證、Windows 驗證、基本驗證、服務主體等驗證類型。

私人端點的 Microsoft Purview 需要哪些私人 DNS 區域？

針對 Microsoft Purview 帳戶 和 入口網站 私人端點：

• privatelink.purview.azure.com

針對 Microsoft Purview 擷取 私人端點：

• privatelink.blob.core.windows.net
• privatelink.queue.core.windows.net
• privatelink.servicebus.windows.net

當我部署 Microsoft Purview 私人端點時，是否必須使用專用虛擬網路和專用子網？

不能。 不過， PrivateEndpointNetworkPolicies 在部署私人端點之前，必須在目的地子網中停用 。 如果您打算跨單位掃描資料來源，請考慮將 Microsoft Purview 部署到具有透過 VNet 對等互連與內部部署網路之資料來源虛擬網路之網路連線的虛擬網路。

深入瞭解 停用私人端點的網路原則。

我可以部署 Microsoft Purview 私人端點，並使用訂用帳戶中現有的私人 DNS 區域來註冊 A 記錄嗎？

是的。 您的私人端點 DNS 區域可以集中于 Microsoft Purview 所需的所有內部 DNS 區域和所有資料來源記錄的中樞或資料管理訂用帳戶中。 建議使用此方法，讓 Microsoft Purview 使用其私人端點內部 IP 位址來解析資料來源。

您也必須為現有私人 DNS 區域的 虛擬網路設定虛擬網路連結 。

我可以使用 Azure 整合執行時間透過私人端點掃描資料來源嗎？

不能。 您必須部署並註冊自我裝載整合執行時間，才能使用私人連線來掃描資料。 Azure 金鑰保存庫或服務主體必須作為資料來源的驗證方法。

我可以使用受控 IR 透過私人端點掃描資料來源嗎？

如果您打算使用受控 IR 來掃描任何支援的資料來源，則資料來源需要在 Microsoft Purview 受控 VNet 內建立的受控私人端點。 如需詳細資訊，請參 閱 Microsoft Purview 受控 VNet。

當您使用私人端點時，對於具有 Microsoft Purview 自我裝載整合執行時間的虛擬機器，其輸出埠和防火牆需求為何？

部署自我裝載整合執行時間的 VM 必須具有 Azure 端點的輸出存取權，以及透過埠 443 的 Microsoft Purview 私人 IP 位址。

如果已啟用私人端點，我是否需要從執行自我裝載整合執行時間的虛擬機器啟用輸出網際網路存取？

不能。 不過，執行自我裝載整合執行時間的虛擬機器應該可以使用埠 443，透過內部 IP 位址連線到您的 Microsoft Purview 實例。 使用常見的疑難排解工具進行名稱解析和連線能力測試，例如 nslookup.exe 和 Test-NetConnection。

如果我使用受控 VNet，仍然需要為我的 Microsoft Purview 帳戶部署私人端點嗎？

如果 Microsoft Purview 帳戶中的公用存取設為 拒絕，則至少需要一個帳戶和入口網站私人端點。 如果 Microsoft Purview 帳戶中的公用存取設為 拒絕 ，而且您打算使用自我裝載整合執行時間掃描其他資料來源，則至少需要一個帳戶、入口網站和擷取私人端點。

Microsoft Purview 受控 VNet 的公用端點允許哪些輸入和輸出通訊？

不允許從公用網路對受控 VNet 進行輸入通訊。 所有埠都會開啟以進行輸出通訊。 在 Microsoft Purview 中，受控 VNet 可用來私下連線到 Azure 資料來源，以在掃描期間擷取中繼資料。

當我嘗試從電腦啟動 Microsoft Purview 治理入口網站時，為什麼會收到下列錯誤訊息？

「此 Microsoft Purview 帳戶位於私人端點後方。 請從相同虛擬網路中的用戶端存取帳戶， (已針對 Microsoft Purview 帳戶的私人端點設定的 VNet) 。」

您的 Microsoft Purview 帳戶很可能是使用 Private Link 來部署，且您的 Microsoft Purview 帳戶上已停用公用存取權。 因此，您必須從具有內部網路連線至 Microsoft Purview 的虛擬機器流覽 Microsoft Purview 治理入口網站。

如果您是從混合式網路後方的 VM 連線，或使用連線到虛擬網路的跳板電腦，請使用常見的疑難排解工具進行名稱解析和連線測試，例如 nslookup.exe 和 Test-NetConnection。

1. 驗證您是否可以透過 Microsoft Purview 帳戶的私人 IP 位址解析下列位址。

   • Web.Purview.Azure.com
   • <YourPurviewAccountName>.Purview.Azure.com

2. 使用下列 PowerShell 命令，確認您 Microsoft Purview 帳戶的網路連線能力：

   Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443
   

3. 如果您使用自己的 DNS 解析基礎結構，請確認您的跨單位 DNS 設定。

如需私人端點 DNS 設定的詳細資訊，請參閱 Azure 私人端點 DNS 設定。

我可以將與 Microsoft Purview 帳戶或其受控資源相關聯的私人端點移至另一個 Azure 訂用帳戶或資源群組嗎？

不能。 不支援帳戶、入口網站或擷取私人端點的移動作業。 如需詳細資訊，請 參閱將網路資源移至新的資源群組或訂用帳戶。

後續步驟

若要使用 Private Link 設定 Microsoft Purview，請參閱為您的 Microsoft Purview 帳戶使用私人端點。