共用方式為

Microsoft Purview 網路架構和最佳做法

  • 發行項

Microsoft Purview 資料控管解決方案是一種平臺即服務, (PaaS) 資料控管解決方案。 Microsoft Purview 帳戶具有可透過網際網路存取以連線到服務的公用端點。 不過,所有端點都會透過 Azure Active Directory (Azure AD) 登入和角色型存取控制 (RBAC) 來保護。

注意事項

這些最佳做法涵蓋 Microsoft Purview 統一資料控管解決方案的網路架構。 如需 Microsoft Purview 風險和合規性解決方案的詳細資訊, 請前往這裡。 如需一般 Microsoft Purview 的詳細資訊, 請前往這裡

若要增加一層安全性,您可以為 Microsoft Purview 帳戶建立私人端點。 您會從 Azure 中的虛擬網路取得私人 IP 位址到 Microsoft Purview 帳戶及其受控資源。 此位址會將虛擬網路與 Microsoft Purview 帳戶之間的所有流量限制為私人連結,以供使用者與 API 和 Microsoft Purview 治理入口網站互動,或掃描和擷取。

目前,Microsoft Purview 防火牆提供 purview 帳戶公用端點的存取控制。 您可以使用防火牆來允許所有存取,或在使用私人端點時封鎖透過公用端點的所有存取。 如需詳細資訊,請參 閱 Microsoft Purview 防火牆選項

根據您的網路、連線能力和安全性需求,您可以設定和維護 Microsoft Purview 帳戶來存取基礎服務或擷取。 使用此最佳做法指南來定義和準備網路環境,讓您可以存取 Microsoft Purview,並掃描來自網路或雲端的資料來源。

本指南涵蓋下列網路選項:

本指南說明一些 Microsoft Purview 最常見的網路架構案例。 雖然您不限於這些案例,但請記住當您規劃 Microsoft Purview 帳戶的網路功能時,服務 的限制

必要條件

若要瞭解哪一個網路選項最適合您的環境,建議您先執行下列動作:

選項 1:使用公用端點

根據預設,您可以透過可透過網際網路存取的公用端點來使用 Microsoft Purview 帳戶。 如果您有下列需求,請允許 Microsoft Purview 帳戶中的公用網路:

  • 掃描或連線到 Microsoft Purview 端點時,不需要私人連線。
  • 所有資料來源都是軟體即服務 (SaaS) 應用程式。
  • 所有資料來源都有可透過網際網路存取的公用端點。
  • 商務使用者需要透過網際網路存取 Microsoft Purview 帳戶和 Microsoft Purview 治理入口網站。

整合執行時間選項

若要在 Microsoft Purview 帳戶防火牆設定為允許公用存取時掃描資料來源,您可以同時使用 Azure 整合執行時間和 自我裝載整合執行時間。 使用方式取決於 資料來源的支援性

以下是一些最佳做法:

  • 您可以使用 Azure 整合執行時間或自我裝載整合執行時間來掃描 Azure 資料來源,例如Azure SQL資料庫或Azure Blob 儲存體,但建議您盡可能使用 Azure 整合執行時間來掃描 Azure 資料來源,以降低成本和管理額外負荷。

  • 若要掃描多個 Azure 資料來源,請使用公用網路和 Azure 整合執行時間。 下列步驟顯示當您使用 Azure 整合執行時間掃描 Azure 中的資料來源時,高層級的通訊流程:

    顯示 Microsoft Purview、Azure 執行時間和資料來源之間連線流程的螢幕擷取畫面。

    1. 手動或自動掃描是透過 Azure 整合執行時間從Microsoft Purview 資料對應起始。

    2. Azure 整合執行時間會連線到資料來源以擷取中繼資料。

    3. 中繼資料會在 Microsoft Purview 受控儲存體中排入佇列,並儲存在Azure Blob 儲存體中。

    4. 中繼資料會傳送至Microsoft Purview 資料對應。

  • 掃描內部部署和 VM 型資料來源一律需要使用自我裝載整合執行時間。 這些資料來源不支援 Azure 整合執行時間。 下列步驟顯示當您使用自我裝載整合執行時間掃描資料來源時,高層級的通訊流程。 第一個圖表顯示資源位於 Azure 內或 Azure VM 上的案例。 第二個圖表顯示內部部署資源的案例。 從 Microsoft Purview 的觀點來看,這兩者之間的步驟相同:

    顯示 Microsoft Purview、自我裝載執行時間和資料來源之間連線流程的螢幕擷取畫面。

    顯示 Microsoft Purview、內部部署自我裝載執行時間和內部部署網路中資料來源之間連線流程的螢幕擷取畫面。

    1. 會觸發手動或自動掃描。 Microsoft Purview 會連線到 Azure 金鑰保存庫以擷取認證以存取資料來源。

    2. 掃描是透過自我裝載整合執行時間從Microsoft Purview 資料對應起始。

    3. 來自 VM 或內部部署機器的自我裝載整合執行時間服務會連線到資料來源以擷取中繼資料。

    4. 中繼資料會在機器的記憶體中處理,以供自我裝載整合執行時間使用。 中繼資料會在 Microsoft Purview 受控儲存體中排入佇列,然後儲存在 Azure Blob 儲存體 中。 實際資料永遠不會離開網路的界限。

    5. 中繼資料會傳送至Microsoft Purview 資料對應。

驗證選項

當您在 Microsoft Purview 中掃描資料來源時,您需要提供認證。 Microsoft Purview 接著可以在目的地資料來源中使用 Azure 整合執行時間來讀取資產的中繼資料。 當您使用公用網路時,驗證選項和需求會根據下列因素而有所不同:

  • 資料來源類型。 例如,如果資料來源Azure SQL資料庫,您必須使用具有每個資料庫db_datareader存取權的登入。 這可以是使用者管理的身分識別或 Microsoft Purview 受控識別。 或者,它可以是 Azure Active Directory 中的服務主體,新增至SQL Database作為db_datareader。

    如果資料來源已Azure Blob 儲存體,您可以使用 Microsoft Purview 受控識別,或在 Azure Active Directory 中新增為 Azure 儲存體帳戶上的 Blob 儲存體資料讀取者角色的服務主體。 或使用儲存體帳戶的金鑰。

  • 驗證類型。 建議您盡可能使用 Microsoft Purview 受控識別來掃描 Azure 資料來源,以減少系統管理額外負荷。 針對任何其他驗證類型,您必須在 Microsoft Purview 內設定來源驗證的認證

    1. 在 Azure 金鑰保存庫內產生秘密。
    2. 在 Microsoft Purview 中註冊金鑰保存庫。
    3. 在 Microsoft Purview 中,使用儲存在金鑰保存庫中的秘密來建立新的認證。

  • 掃描中使用的執行時間類型。 目前,您無法搭配自我裝載整合執行時間使用 Microsoft Purview 受控識別。

其他考量事項

  • 如果您選擇使用公用端點掃描資料來源,自我裝載整合執行時間 VM 必須具有資料來源和 Azure 端點的輸出存取權。

  • 自我裝載整合執行時間 VM 必須具有 對 Azure 端點的輸出連線能力。

  • 您的 Azure 資料來源必須允許公用存取。 如果資料來源上已啟用服務端點,請確定您 允許信任服務清單上的 Azure 服務 存取您的 Azure 資料來源。 服務端點會透過最佳路徑將流量從虛擬網路路由傳送至 Azure。

選項 2:使用私人端點

與其他 PaaS 解決方案類似,Microsoft Purview 不支援直接部署到虛擬網路。 因此,您無法將特定網路功能與供應專案的資源搭配使用,例如網路安全性群組、路由表或其他網路相依設備,例如Azure 防火牆。 相反地,您可以使用可在虛擬網路上啟用的私人端點。 然後,您可以停用公用網際網路存取,以安全地連線到 Microsoft Purview。

如果您有下列任何需求,就必須為您的 Microsoft Purview 帳戶使用私人端點:

  • 您必須為 Microsoft Purview 帳戶和資料來源進行端對端網路隔離。

  • 您必須封鎖對 Microsoft Purview 帳戶的公用存

  • 您的平臺即服務 (PaaS) 資料來源會與私人端點一起部署,而且您已封鎖透過公用端點的所有存取。

  • 您的內部部署或基礎結構即服務 (IaaS) 資料來源無法連線到公用端點。

設計考量

  • 若要私下且安全地連線到您的 Microsoft Purview 帳戶,您需要部署帳戶和入口網站私人端點。 例如,如果您想要透過 API 連線到 Microsoft Purview,或使用 Microsoft Purview 治理入口網站,則需要此部署。

  • 如果您需要使用私人端點連線到 Microsoft Purview 治理入口網站,則必須同時部署帳戶和入口網站私人端點。

  • 若要透過私人連線掃描資料來源,您必須為 Microsoft Purview 設定至少一個帳戶和一個擷取私人端點。 您必須透過 Microsoft Purview 受控識別以外的驗證方法,使用自我裝載整合執行時間來設定掃描。

  • 在設定任何掃描之前,請檢閱 支援矩陣,以透過擷取私人端點掃描資料來源

  • 檢閱 DNS 需求。 如果您在網路上使用自訂 DNS 伺服器,用戶端必須能夠將 Microsoft Purview 帳戶端點的完整功能變數名稱 (FQDN) 解析為私人端點的 IP 位址。

  • 若要透過私人連線掃描 Azure 資料來源,請使用 受控 VNet 執行時間。 檢視 支援的區域。 此選項可以減少部署和管理自我裝載整合執行時間機器的系統管理額外負荷。

整合執行時間選項

  • 如果您的資料來源位於 Azure 中,您可以選擇下列任何執行時間選項:

    • 受控 VNet 執行時間。 如果您的 Microsoft Purview 帳戶部署在任何 支援的區域 ,而且您打算掃描任何 支援的資料來源,請使用此選項。

    • 自我裝載整合執行時間。

      • 如果使用自我裝載整合執行時間,您必須在部署在部署 Microsoft Purview 擷取私人端點的相同或對等互連虛擬網路內部署的 Windows 虛擬機器上,設定及使用自我裝載整合執行時間。 Azure 整合執行時間無法與擷取私人端點搭配使用。

      • 若要掃描內部部署資料來源,您也可以在內部部署 Windows 電腦或 Azure 虛擬網路內的 VM 上安裝自我裝載整合執行時間。

      • 當您搭配 Microsoft Purview 使用私人端點時,您必須允許從資料來源到部署 Microsoft Purview 私人端點之 Azure 虛擬網路上自我裝載整合 VM 的網路連線。

      • 建議您允許自動升級自我裝載整合執行時間。 請確定您在 Azure 虛擬網路或公司防火牆上開啟必要的輸出規則,以允許自動升級。 如需詳細資訊,請 參閱自我裝載整合執行時間網路需求

驗證選項

  • 您無法使用 Microsoft Purview 受控識別,透過擷取私人端點掃描資料來源。 根據資料來源類型,使用服務主體、帳戶金鑰或 SQL 驗證。

  • 請確定您的認證儲存在 Azure 金鑰保存庫中,並在 Microsoft Purview 中註冊。

  • 您必須在 Microsoft Purview 中根據您在 Azure 金鑰保存庫中建立的每個秘密建立認證。 您至少必須在 Azure 中的金鑰保存庫資源上指派 Microsoft Purview 的秘密存取清單存取權。 否則,認證將無法在 Microsoft Purview 帳戶中運作。

目前的限制

  • 當您使用私人端點進行擷取時,不支援透過擷取私人端點和自我裝載整合執行時間使用整個訂用帳戶或資源群組來掃描多個 Azure 來源。 相反地,您可以個別註冊和掃描資料來源。

  • 如需 Microsoft Purview 私人端點的相關限制,請參閱 已知限制

  • 如需Private Link服務的相關限制,請參閱Azure Private Link限制

私人端點案例

單一虛擬網路、單一區域

在此案例中,所有 Azure 資料來源、自我裝載整合執行時間 VM 和 Microsoft Purview 私人端點都會部署在 Azure 訂用帳戶的相同虛擬網路中。

如果內部部署資料來源存在,則會透過站對站 VPN 或 Azure ExpressRoute 連線來提供連線,以連線至部署 Microsoft Purview 私人端點的 Azure 虛擬網路。

此架構主要適用于小型組織或開發、測試和概念證明案例。

顯示在單一虛擬網路案例中具有私人端點的 Microsoft Purview 螢幕擷取畫面。

單一區域、多個虛擬網路

若要將 Azure 中的兩個或多個虛擬網路連線在一起,您可以使用 虛擬網路對等互連。 對等互連虛擬網路之間的網路流量是私人的,並保留在 Azure 骨幹網路上。

許多客戶會使用中樞和輪輻網路架構,在 Azure 中建置其網路基礎結構,其中:

  • 網路共用服務 (例如網路虛擬裝置、ExpressRoute/VPN 閘道或 DNS 伺服器) 部署在中樞虛擬網路中。
  • 輪輻虛擬網路會透過虛擬網路對等互連取用這些共用服務。

在中樞和輪輻網路架構中,您可以使用包含虛擬網路 (中樞) 的 Azure 訂用帳戶來提供您組織的資料控管小組。 所有資料服務都可以位於透過虛擬網路對等互連或站對站 VPN 連線連線到中樞虛擬網路的一些其他訂用帳戶中。

在中樞和輪輻架構中,您可以在中樞訂用帳戶和虛擬網路中部署 Microsoft Purview 和一或多個自我裝載整合執行時間 VM。 您可以從相同區域中的多個訂用帳戶,註冊及掃描來自其他虛擬網路的資料來源。

自我裝載整合執行時間 VM 可以部署在部署帳戶和擷取私人端點的相同 Azure 虛擬網路或對等互連虛擬網路內。

此螢幕擷取畫面顯示在多個虛擬網路案例中具有私人端點的 Microsoft Purview。

您可以選擇性地在輪輻虛擬網路中部署另一個自我裝載整合執行時間。

多個區域、多個虛擬網路

如果您的資料來源分散在一或多個 Azure 訂用帳戶中的多個 Azure 區域,您可以使用此案例。

針對效能和成本優化,強烈建議您在資料來源所在的每個區域中部署一或多個自我裝載整合執行時間 VM。

此螢幕擷取畫面顯示在多個虛擬網路和多個區域的案例中,具有私人端點的 Microsoft Purview。

使用受控 Vnet 執行時間進行掃描

如果您的 Microsoft Purview 帳戶部署在任何 支援的區域 ,而且您打算掃描任何支援的 Azure 資料來源,您可以使用受控 VNet 執行時間掃描私人網路中的資料來源。

使用受控 VNet 執行時間有助於將管理執行時間的系統管理額外負荷降至最低,並減少整體掃描持續時間。

若要使用受控 VNet 執行時間掃描任何 Azure 資料來源,即使資料來源在您的 Azure 訂用帳戶中已經有私人網路,也必須在 Microsoft Purview 受控虛擬網路內部署受控私人端點。

顯示具有受控 VNet 之 Microsoft Purview 的螢幕擷取畫面。

如果您需要掃描受控 VNet 執行時間不支援的內部部署資料來源或 Azure 中的其他資料來源,您可以部署受控 VNet 執行時間和自我裝載整合執行時間。

顯示具有受控 VNet 和 SHIR 的 Microsoft Purview 螢幕擷取畫面。

如果主要區域中無法使用 Microsoft Purview

Microsoft Purview 是 Azure 平臺即服務解決方案。 您可以在 任何支援的Azure 區域中的 Azure 訂用帳戶內部署 Microsoft Purview 帳戶。

如果主要 Azure 區域中無法使用 Microsoft Purview,請在選擇次要區域來部署 Microsoft Purview 帳戶時考慮下列因素:

  • 檢閱部署資料來源的主要 Azure 區域與將部署 Microsoft Purview 帳戶的次要 Azure 區域之間的延遲。 如需詳細資訊,請參閱 Azure 網路來回延遲統計資料
  • 檢閱您的資料落地需求。 當您在Microsoft Purview 資料對應中掃描資料來源時,中繼資料的相關資訊會內嵌並儲存在您部署 Microsoft Purview 帳戶所在 Azure 區域的資料對應內。 如需詳細資訊,請 參閱中繼資料儲存的位置
  • 如果需要私人網路連線以供使用者存取或中繼資料擷取,請檢閱您的網路和安全性需求。 如需詳細資訊,請參閱 Microsoft Purview 是否無法在您的主要區域中使用

選項 1:在次要區域中部署您的 Microsoft Purview 帳戶,並在 Azure 資料來源所在的主要區域中部署所有私人端點。 針對此案例:

  • 如果澳大利亞東南部是您所有資料來源的主要區域,而且您已在主要區域中部署所有網路資源,則這是建議的選項。
  • 在次要區域中部署 Microsoft Purview 帳戶 (例如澳大利亞東部) 。
  • 在主要區域中部署所有 Microsoft Purview 私人端點,包括帳戶、入口網站和擷取 (例如澳大利亞東南部) 。
  • 在主要區域中部署所有 Microsoft Purview 自我裝載整合執行時間 VM (例如澳大利亞東南部) 。 這有助於減少跨區域流量,因為資料對應掃描會發生在資料來源所在的本機區域中,而且只有中繼資料會內嵌在部署 Microsoft Purview 帳戶的次要區域中。
  • 如果您使用 Microsoft Purview 受控 VNet 進行中繼資料擷取,則受控 VNet 執行時間和所有受控私人端點都會自動部署在部署 Microsoft Purview 的區域 (例如澳大利亞東部) 。

選項 2:在次要區域中部署您的 Microsoft Purview 帳戶,並在主要和次要區域中部署私人端點。 針對此案例:

  • 如果您在主要和次要區域中都有資料來源,且使用者透過主要區域連線,則建議使用此選項。
  • 在次要區域中部署 Microsoft Purview 帳戶 (例如澳大利亞東部) 。
  • 在主要區域中部署 Microsoft Purview 治理入口網站私人端點 (例如,澳大利亞東南部) ,以供使用者存取 Microsoft Purview 治理入口網站。
  • 在主要區域中部署 Microsoft Purview 帳戶和擷取私人端點 (例如,澳大利亞東南部) 在主要區域本機掃描資料來源。
  • 在次要區域中部署 Microsoft Purview 帳戶和擷取私人端點 (例如,澳大利亞東部) 在次要區域本機掃描資料來源。
  • 在主要和次要區域中部署 Microsoft Purview 自我裝載整合執行時間 VM。 這有助於將資料對應掃描流量保留在本機區域,並只將中繼資料傳送至在次要區域 (中設定的Microsoft Purview 資料對應,例如澳大利亞東部) 。
  • 如果您使用 Microsoft Purview 受控 VNet 進行中繼資料擷取,則受控 VNet 執行時間和所有受控私人端點都會自動部署在部署 Microsoft Purview 的區域 (例如澳大利亞東部) 。

具有私人端點的 DNS 設定

多個 Microsoft Purview 帳戶的名稱解析

如果您的組織需要使用私人端點部署和維護多個 Microsoft Purview 帳戶,建議您遵循這些建議:

  1. 為每個 Microsoft Purview 帳戶部署至少一個 帳戶 私人端點。
  2. 為每個 Microsoft Purview 帳戶部署至少一組 擷取 私人端點。
  3. 為 Azure 環境中的其中一個 Microsoft Purview 帳戶部署一個 入口網站 私人端點。 為 入口網站 私人端點建立一筆 DNS A 記錄以解析 web.purview.azure.com 。 入口 網站 私人端點可供相同 Azure 虛擬網路中的所有 purview 帳戶使用,或是透過 VNet 對等互連連線的虛擬網路中使用。

顯示如何處理多個 Microsoft Purview 帳戶的私人端點和 DNS 記錄的螢幕擷取畫面。

如果多個 Microsoft Purview 帳戶部署在多個訂用帳戶和透過 VNet 對等互連連線的多個 VNet 上,也適用此案例。 入口網站 私人端點主要呈現與 Microsoft Purview 治理入口網站相關的靜態資產,因此它與 Microsoft Purview 帳戶無關,因此,如果 VNet 已連線,則只需要一個 入口網站 私人端點,即可造訪 Azure 環境中的所有 Microsoft Purview 帳戶。

顯示如何處理多個 vnet 中多個 Microsoft Purview 帳戶的私人端點和 DNS 記錄的螢幕擷取畫面。

注意事項

在 Microsoft Purview 帳戶部署在隔離的網路區隔中的情況下,您可能需要為每個 Microsoft Purview 帳戶 部署個別的 入口網站私人端點。 Microsoft Purview 入口網站 是所有客戶的靜態內容,不含任何客戶資訊。 您可以選擇性地使用公用網路, (不使用入口網站私人端點,) 允許您的終端使用者啟動網際網路時啟動 web.purview.azure.com

選項 3:同時使用私人和公用端點

您可以選擇一個選項,讓資料來源的子集使用私人端點,同時,您需要掃描下列其中一項:

  • 使用服務端點設定的其他資料來源
  • 具有可透過網際網路存取之公用端點的資料來源

如果您需要使用擷取私人端點和使用公用端點或服務端點來掃描某些資料來源,您可以:

  1. 針對您的 Microsoft Purview 帳戶使用私人端點。
  2. [公用網路存取]設定為 [從 Microsoft Purview 帳戶上的所有網路啟用]。

整合執行時間選項

  • 若要掃描以私人端點設定的 Azure 資料來源,您必須在部署在相同或對等互連虛擬網路內部署 Microsoft Purview 帳戶和擷取私人端點的 Windows 虛擬機器上,設定並使用自我裝載整合執行時間。

    當您使用私人端點搭配 Microsoft Purview 時,您必須允許從資料來源到部署 Microsoft Purview 私人端點之 Azure 虛擬網路上自我裝載整合 VM 的網路連線。

  • 若要掃描設定為允許公用端點的 Azure 資料來源,您可以使用 Azure 整合執行時間。

  • 若要掃描內部部署資料來源,您也可以在內部部署 Windows 電腦或 Azure 虛擬網路內的 VM 上安裝自我裝載整合執行時間。

  • 建議您允許自我裝載整合執行時間的自動升級。 請確定您在 Azure 虛擬網路或公司防火牆上開啟必要的輸出規則,以允許自動升級。 如需詳細資訊,請 參閱自我裝載整合執行時間網路需求

驗證選項

  • 若要掃描設定為允許公用端點的 Azure 資料來源,您可以根據資料來源類型使用任何驗證選項。

  • 如果您使用擷取私人端點來掃描以私人端點設定的 Azure 資料來源:

    • 您無法使用 Microsoft Purview 受控識別。 相反地,請根據資料來源類型使用服務主體、帳戶金鑰或 SQL 驗證。

    • 請確定您的認證儲存在 Azure 金鑰保存庫中,並在 Microsoft Purview 中註冊。

    • 您必須在 Microsoft Purview 中根據您在 Azure 金鑰保存庫中建立的每個秘密來建立認證。 至少指派Azure 中金鑰保存庫資源上 Microsoft Purview 秘密的 get 和list存取權。 否則,認證將無法在 Microsoft Purview 帳戶中運作。

選項 4:僅使用私人端點進行擷取

如果您需要下列專案,您可以選擇此選項:

  • 使用擷取私人端點掃描所有資料來源。
  • 受控資源必須設定為停用公用網路。
  • 允許透過公用網路存取 Microsoft Purview 治理入口網站。

若要啟用此選項:

  1. 設定 Microsoft Purview 帳戶的擷取私人端點。
  2. [公用網路存取] 設定 為 [已停用],以便僅 (Microsoft Purview 帳戶上的預覽) 進行擷取。

整合執行時間選項

請遵循選項 2 的建議。

驗證選項

請遵循選項 2 的建議。

自我裝載整合執行時間網路和 Proxy 建議

若要跨內部部署和 Azure 網路掃描資料來源,您可能需要針對本檔稍早所述的任何案例,部署及使用 Azure VNet 或內部部署網路內的一或多部 自我裝載整合執行時間虛擬機器

  • 若要簡化管理,請盡可能使用 Azure 執行時間和 Microsoft Purview 受控執行時間 來掃描 Azure 資料來源。

  • 自我裝載整合執行時間服務可以透過埠 443 透過公用或私人網路與 Microsoft Purview 通訊。 如需詳細資訊,請參閱 自我裝載整合執行時間網路需求

  • 一個自我裝載整合執行時間 VM 可用來掃描 Microsoft Purview 中的一或多個資料來源,不過,自我裝載整合執行時間必須只註冊 Microsoft Purview,而且不能同時用於Azure Data Factory或Azure Synapse。

  • 您可以在一個 Microsoft Purview 帳戶中註冊並使用一或多個自我裝載整合執行時間。 建議您在資料來源所在的每個區域或內部部署網路中,至少放置一個自我裝載整合執行時間 VM。

  • 建議針對每個自我裝載整合執行時間 VM 的必要容量定義基準,並根據需求調整 VM 容量。

  • 建議您盡可能透過私人網路設定自我裝載整合執行時間 VM 與 Microsoft Purview 與其受控資源之間的網路連線。

  • 如果已啟用自動更新,則允許對 download.microsoft.com 的輸出連線。

  • 如果自我裝載整合執行時間 VM 部署在 Azure VNet 或透過 ExpressRoute 或站對站 VPN 連線連線到 Azure 的內部部署網路中,則自我裝載整合執行時間服務不需要輸出網際網路連線。 在此情況下,掃描和中繼資料擷取程式可以透過私人網路完成。

  • 自我裝載整合執行時間可以直接或透過 Proxy 伺服器與 Microsoft Purview 及其受控資源通訊。 如果自我裝載整合執行時間 VM 位於 Azure VNet 內,或是透過 ExpressRoute 或站對站 VPN 連線連線,請避免使用 Proxy 設定。

  • 如果您需要搭配 Proxy 設定使用自我裝載整合執行時間,請檢閱支援的 案例

後續步驟