Microsoft Purview 中治理解决方案的专用终结点

重要

本文介绍 Microsoft Purview 门户 (https://purview.microsoft.com/) 中治理解决方案的专用终结点。 如果你使用的是经典治理门户 (https://web.purview.azure.cn),请按经典门户中的专用终结点文档说明进行操作。

可以使用专用链接来保护对 Microsoft Purview 数据目录和数据映射的访问,并保护 Microsoft Purview 和专用网络之间的数据流量。 Azure 专用链接和 Azure 网络专用终结点用于跨 Microsoft 的基础结构路由流量,而不是通过 Internet 路由流量。 若要了解有关 Azure 专用链接的更多常规信息,请参阅什么是 Azure 专用链接?

专用终结点是一种单一定向技术,允许客户端启动到给定服务的连接,但不允许服务启动到客户网络的连接。 对于多租户服务,该模型提供链接标识符来防止访问同一服务内托管的、其他客户的资源。 使用专用终结点时,只能从使用该集成服务访问有限的一组其他 PaaS 资源。

如果需要通过专用连接扫描 Azure 虚拟网络内部的 Azure IaaS 和 PaaS 数据源以及本地数据源,可以部署引入专用终结点。 此方法可确保从数据源流向 Microsoft Purview 数据映射的元数据保持网络隔离。

可以部署平台专用终结点,以仅允许从专用网络内部发起的对 Microsoft Purview 治理门户的客户端调用,并使用专用网络连接来连接到 Microsoft Purview 治理门户。

重要

专用终结点可确保组织在 Azure 内的用户流量和资源遵循组织的已配置专用链接网络路径,而你可以配置 Microsoft Purview 以拒绝来自该网络路径之外的所有请求。

但是,对于外部源,专用终结点并不管理所有网络流量。 若要配置与非基于 Azure 的基础结构(如本地基础结构)的流量隔离,需要配置 ExpressRoute 或虚拟专用网络,并使用集成运行时进一步保护数据源。

先决条件

在为 Microsoft Purview 治理资源和 Microsoft Purview 门户部署专用终结点之前,请确保满足以下先决条件:

  1. 一个 Azure 帐户和一个有效的订阅。 创建帐户
  2. 若要配置专用终结点,你需要是 Microsoft Purview 管理员,并在 Azure 中拥有创建和配置虚拟机 (VM) 和虚拟网络 (VNet) 等资源的权限。
  3. 目前,Azure 数据工厂、Azure 机器学习和 Azure Synapse 连接不受平台专用终结点的支持,在进行切换后可能无法工作。

部署清单

按照本指南中的进一步说明,你可以为现有 Microsoft Purview 帐户部署这些专用终结点:

  1. 选择适当的 Azure 虚拟网络和子网来部署 Microsoft Purview 专用终结点。 选择以下选项之一:
    • 在 Azure 订阅中部署新的虚拟网络
    • 找到 Azure 订阅中现有的 Azure 虚拟网络和子网。
  2. 定义适当的 DNS 名称解析方法,以便可以使用专用网络访问 Microsoft Purview 帐户和扫描数据源。
  3. 创建平台专用终结点
  4. 启用引入专用终结点
  5. 禁用 Microsoft Purview 的公共访问
  6. 如果专用网络将网络安全组规则设置为拒绝所有公共 Internet 流量,请启用对 Microsoft Entra ID 的访问
  7. 在同一虚拟网络或部署 Microsoft Purview 帐户和引入专用终结点的对等虚拟网络中部署和注册自承载集成运行时
  8. 完成本指南后,根据需要调整 DNS 配置。

创建虚拟网络

提示

按照这些说明操作会创建一个基本的虚拟网络。 若要详细了解虚拟网络选项和功能,请参阅虚拟网络文档

下一步是创建虚拟网络和子网。 子网所需的 IP 地址数由租户上的容量数加上 3 组成。 例如,如果你为具有 7 种容量的租户创建子网,则需要 10 个 IP 地址。

将下表中的示例参数替换为自己的参数,以创建虚拟网络和子网。

参数
<resource-group-name> myResourceGroup
<virtual-network-name> myVirtualNetwork
<region-name> 美国中部
<address-space> 10.0.0.0/16
<subnet-name> mySubnet
<subnet-address-range> 10.0.0.0/24
  1. 打开 Azure 门户

  2. 选择“创建资源”>“网络”>“虚拟网络”,或者在搜索框中搜索“虚拟网络”。

  3. 在“创建虚拟网络”的“基本信息”选项卡中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择 Azure 订阅
    资源组 选择“新建”,输入 <resource-group-name>,然后选择“确定”,或根据参数选择一个现有的 <resource-group-name>
    实例详细信息
    名称 输入 <virtual-network-name>
  4. 选择“IP 地址”选项卡,然后输入子网地址范围。

  5. 选择“查看 + 创建”>“创建”。

定义 DNS 名称解析方法

按照此文中的说明选择并部署最适合组织需求的 DNS 名称解析方法:为专用终结点配置 DNS 名称解析

创建平台专用终结点

下一步是为 Microsoft Purview 创建平台专用终结点。

  1. 打开 Azure 门户

  2. 选择“创建资源”>“网络”>“专用链接”

  3. 在“专用链接中心 - 概述”中的“与服务建立专用连接”选项下,选择“创建专用终结点”。

  4. 在“创建专用终结点 - 基本信息”选项卡中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择 Azure 订阅
    资源组 选择“myResourceGroup”。 已在上一部分创建此内容
    实例详细信息
    名称 输入“myPrivateEndpoint”。 如果此名称已被使用,请创建唯一的名称。
    网络接口名称 由实例名称自动填充。
    区域 根据你的资源组自动选定。
  5. 完成此信息后,选择“下一步:资源”,在“创建专用终结点 - 资源”页上,输入或选择以下信息:

    设置
    连接方法 选择“连接到我的目录中的 Azure 资源”
    订阅 选择订阅
    资源类型 选择“Microsoft.Purview/accounts”
    资源 选择你的 Microsoft Purview 资源
    目标子资源 平台
  6. 正确输入该信息后,选择“下一步: 虚拟网络”,然后输入或选择以下信息:

    设置
    网络
    虚拟网络 选择之前创建的虚拟网络。
    子网 选择此前创建的子网。
    专用 IP 配置 选择“动态分配 IP 地址”。
  7. 选择“下一步: DNS”,然后输入以下信息:

    设置
    与专用 DNS 区域集成 选择“是”
    订阅 选择在其中配置了 DNS 区域的订阅。
    资源组 选择在其中配置了 DNS 区域的资源组。
  8. 选择“下一步: 标记”,然后就可以在“标记”页上选择添加组织在 Azure 中使用的任何标记。

  9. 选择“下一步: 查看 + 创建”,此时会显示“查看 + 创建”页,Azure 会在其中验证你的配置。 看到“验证通过”消息时,选择“创建” 。

启用引入专用终结点

  1. 转到 Azure 门户,搜索并选择你的 Microsoft Purview 帐户。

  2. 从 Microsoft Purview 帐户中,在“设置”下选择“网络”,然后选择“引入专用终结点连接”。

  3. 在引入专用终结点连接下,选择“+ 新建”,以创建新的引入专用终结点。

  4. 填写基本信息,选择现有虚拟网络和子网详细信息。 或者选择“专用 DNS 集成”,以使用 Azure 专用 DNS 区域。 从每个列表中选择正确的 Azure 专用 DNS 区域。

    注意

    也可使用现有的 Azure 专用 DNS 区域,或在 DNS 服务器中手动创建 DNS 记录。 有关详细信息,请参阅为专用终结点配置 DNS 名称解析

  5. 选择“创建”以完成设置。

禁用 Microsoft Purview 的公共访问

要完全切断从公共 Internet 对 Microsoft Purview 帐户的访问,请执行这些步骤。 此设置适用于专用终结点连接和引入专用终结点连接。

  1. Azure 门户中,转到 Microsoft Purview 帐户,然后在“设置”下选择“网络”。

  2. 转到“防火墙”选项卡,确保将开关设置为“在所有网络禁用”。

启用对 Microsoft Entra ID 的访问

注意

如果 VM、VPN 网关或虚拟网络对等互连网关具有公共 Internet 访问权限,则它可以访问 Microsoft Purview 治理门户以及启用了专用终结点的 Microsoft Purview 帐户。 出于此原因,无需遵循其他说明。 如果专用网络的网络安全组规则设置为拒绝所有公共 Internet 流量,则需要添加一些规则来启用 Microsoft Entra ID 访问。 请按照这些说明进行操作。

这些说明用于指导从 Azure VM 安全地访问 Microsoft Purview。 如果使用 VPN 或其他虚拟网络对等互连网关,则必须执行类似的步骤。

  1. 在 Azure 门户中转到你的 VM,并在“设置”下选择“网络”。 然后选择“出站端口规则”>“添加出站端口规则”。

  2. 在“添加出站安全规则”窗格中:

    1. 在“目标”下,选择“服务标记”。
    2. 在“目标服务标记”下,选择“AzureActiveDirectory”。
    3. 在“目标端口范围”下,选择 *。
    4. 在“操作”下,选择“允许”。
    5. 在“优先级”下,该值应高于拒绝所有 Internet 流量的规则。

    创建规则。

  3. 按照相同的步骤创建另一个规则以允许“AzureResourceManager”服务标记。 如果需要访问 Azure 门户,还可以为“AzurePortal”服务标记添加规则。

  4. 连接到 VM 并打开浏览器。 选择 Ctrl+Shift+J 转到浏览器控制台,并切换到“网络”选项卡以监视网络请求。 在 URL 框中输入“web.purview.azure.cn”,并尝试使用 Microsoft Entra 凭据登录。 登录可能会失败,并且在控制台上的“网络”选项卡中,可以看到 Microsoft Entra ID 尝试访问 aadcdn.msauth.net 但被阻止。

  5. 在这种情况下,请在 VM 上打开命令提示符并运行 ping aadcdn.msauth.net 命令,获取其 IP,然后为 VM 的网络安全规则中的 IP 添加出站端口规则。 将“目标”设置为“IP 地址”,并将“目标 IP 地址”设置为 aadcdn IP。 由于 Azure 负载均衡器和 Azure 流量管理器,Microsoft Entra 内容分发网络 IP 可能是动态的。 获取其 IP 后,最好将它添加到 VM 的主机文件以强制浏览器访问该 IP,从而获取 Microsoft Entra 内容分发网络。

  6. 创建新规则后,返回到 VM,再次尝试使用 Microsoft Entra 凭据登录。 如果登录成功,则 Microsoft Purview 治理门户可供使用。 但在某些情况下,Microsoft Entra ID 会根据客户的帐户类型重定向到其他域来进行登录。 例如,对于 live.com 帐户,Microsoft Entra ID 会重定向到 live.com 进行登录,然后这些请求会再次被阻止。 对于 Microsoft 员工帐户,Microsoft Entra ID 将访问 msft.sts.microsoft.com 以获取登录信息。

    在浏览器“网络”选项卡中检查网络请求以查看哪些域的请求被阻止,重新执行上一步以获取其 IP,并在网络安全组中添加出站端口规则以允许对该 IP 的请求。 如果可能,将 URL 和 IP 添加到 VM 的主机文件以修复 DNS 解析。 如果知道确切的登录域 IP 范围,还可以直接将它们添加到网络规则。

  7. 现在,你的 Microsoft Entra 登录应该会成功。 Microsoft Purview 治理门户将成功加载,但列出所有 Microsoft Purview 帐户将不起作用,因为它只能访问特定的 Microsoft Purview 帐户。 输入 web.purview.azure.cn/resource/{PurviewAccountName} 以直接访问已成功设置专用终结点的 Microsoft Purview 帐户。

部署自承载集成运行时 (IR) 并扫描数据源

为 Microsoft Purview 部署引入专用终结点后,需要设置并注册至少一个自承载集成运行时 (IR):

  • 目前,所有本地源类型(例如 SAP 等)当前仅支持基于自承载 IR 的扫描。 自承载 IR 必须在专用网络中运行,然后与你在 Azure 中的虚拟网络对等互连。

  • 对于 Azure Blob 存储和 Azure SQL 数据库等所有 Azure 源类型,必须显式选择使用部署在以下位置的自承载集成运行时来运行扫描:同一虚拟网络中或部署 Microsoft Purview“帐户”和“引入”专用终结点的对等虚拟网络中。

按照创建和管理自承载集成运行时中的步骤设置自承载 IR。 然后,在“通过集成运行时进行连接”下拉框中选择该自承载 IR 以确保网络隔离,以在 Azure 源上设置扫描。

重要

确保从 Microsoft 下载中心下载并安装自承载集成运行时的最新版本。

测试专用连接

若要测试新的专用终结点,可以在专用虚拟网络中创建一个虚拟机并访问平台专用终结点以确保其正常运行。

  1. 创建虚拟机 (VM)
  2. 使用远程桌面 (RDP) 连接到 VM
  3. 以私密方式从虚拟机访问 Microsoft Purview

创建虚拟机 (VM)

下一步是创建 VM。

  1. 在 Azure 门户屏幕的左上方,选择“创建资源”>“计算”>“虚拟机”。

  2. 在“基本信息”中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择 Azure 订阅
    资源组 选择在上一部分中创建的 myResourceGroup
    实例详细信息
    VM 名称 输入“myVM”
    区域 选择“中国北部 3”
    可用性选项 保留默认值“不需要基础结构冗余”
    映像 选择“Windows 10 专业版”
    大小 保留默认值“标准 DS1 v2”
    管理员帐户
    用户名 输入所选用户名
    密码 输入所选密码。 密码必须至少 12 个字符,且符合定义的复杂性要求
    确认密码 重新输入密码
    入站端口规则
    公共入站端口 保留默认值“无”
    许可
    我拥有符合条件的 Windows 10/11 许可证 选中对应框
  3. 在完成时选择“下一步:磁盘”

  4. 在“磁盘”选项卡中保留默认值,然后选择“下一步: 网络”。

  5. 在“网络”选项卡中,选择以下信息:

    设置
    虚拟网络 保留默认值“MyVirtualNetwork”
    地址空间 保留默认值“10.0.0.0/24”
    子网 保留默认值“mySubnet (10.0.0.0/24)”
    公共 IP 保留默认值“(新) myVM-ip”
    公共入站端口 选择“允许所选项”
    选择入站端口 选择“RDP”
  6. 选择“查看 + 创建”。 随后你会转到“查看 + 创建”页,Azure 将在此页面验证配置。

  7. 看到“验证通过”消息时,选择“创建” 。

使用远程桌面 (RDP) 连接到 VM

创建名为“myVM”的 VM 后,使用以下步骤从 Internet 连接到它:

  1. 在门户的搜索栏中,输入“myVM”。

  2. 选择“连接”按钮,然后从下拉菜单中选择“RDP”。

  3. 输入 IP 地址,然后选择“下载 RDP 文件”。 Azure 会创建远程桌面协议 ( .rdp) 文件,并将其下载到计算机。

  4. 打开 .rdp 文件以启动远程桌面连接,然后选择“连接”。

  5. 输入在上一步中创建 VM 时指定的用户名和密码。

  6. 选择“确定” 。

  7. 你可能会在登录过程中收到证书警告。 如果收到证书警告,请选择“确定”或“继续” 。

以私密方式从 VM 访问 Microsoft Purview

下一步是通过以下步骤从上一步创建的虚拟机以私密方式访问 Microsoft Purview:

  1. 在 myVM 的远程桌面中,打开 PowerShell。

  2. 输入 nslookup <tenant-object-id>-api.purview-service.microsoft.com

  3. 你应会收到类似于下面消息的响应:

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    <tenantid>-api.purview-service.microsoft.com
    Address:  10.5.0.4
    
  4. 打开浏览器并转到 https://purview.microsoft.com,以私密方式访问 Microsoft Purview。

完成专用终结点配置

当你按照前面部分中的步骤操作并成功配置专用链接后,组织会根据以下配置选择来实现专用链接,不管该选择是在初始配置的基础上设置的还是后来更改的。

如果正确配置了 Azure 专用链接并启用了“阻止公共 Internet 访问”:

  • 组织只能从专用终结点访问 Microsoft Purview,无法从公共 Internet 进行访问。
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 来自虚拟网络且针对那些不支持专用链接的终结点和方案的流量会被服务阻止,不起作用。
  • 可能存在不支持专用链接的方案,因此在启用“阻止公共 Internet 访问”时,系统会在服务处阻止专用链接。

如果正确配置了 Azure 专用链接并禁用了“阻止公共 Internet 访问”:

  • Microsoft Purview 服务会允许来自公共 Internet 的流量
  • 虚拟网络(面向终结点和支持专用链接的方案)中的流量通过专用链接进行传输。
  • 来自虚拟网络且针对那些不支持专用链接的终结点和方案的流量通过公共 Internet 传输,会被 Microsoft Purview 服务允许。
  • 如果虚拟网络配置为阻止公共 Internet 访问,则不支持专用链接的方案会被虚拟网络阻止,不起作用。