重要事項
本文涵蓋傳統 Microsoft Purview 治理入口網站 (https://web.purview.azure.com) 的私人端點。 如果您使用新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) ,請遵循 Microsoft Purview 入口網站中私人端點的檔。
本文回答客戶和現場小組經常使用 Azure Private Link 或 Microsoft Purview 受控 VNet 詢問的有關 Microsoft Purview 網路設定的常見問題。 其目的是要釐清 Microsoft Purview 防火牆設定、私人端點、DNS 設定和相關設定的相關問題。
若要使用 Private Link 設定 Microsoft Purview,請參閱 針對 Microsoft Purview 帳戶使用私人端點。 若要設定 Microsoft Purview 帳戶的受控 VNet,請參閱搭配 您的 Microsoft Purview 帳戶使用受控虛擬網路。
何時應該使用自我裝載整合執行階段、受控虛擬網路 IR 或 Azure IR?
深入瞭解為您的 案例選擇正確的整合執行階段設定。
我可以在 Microsoft Purview 帳戶內同時使用自我裝載整合執行階段和受控虛擬網路 IR 嗎?
是。 您可以在單一 Microsoft Purview 帳戶中使用一或所有執行階段選項:Azure IR、受控虛擬網路 IR 和自我裝載整合執行階段。 在單一掃描中只能使用一個執行時期選項。
部署 Microsoft Purview 帳戶私人端點的目的為何?
Microsoft Purview 帳戶私人端點可用來新增另一層安全性,方法是啟用只允許源自虛擬網路內的用戶端呼叫存取帳戶的案例。 此私人端點也是入口網站私人端點的必要條件。
部署 Microsoft Purview 入口網站私人端點的目的為何?
Microsoft Purview 入口網站私人端點提供傳統 Microsoft Purview 治理入口網站的私人連線。
部署 Microsoft Purview 擷取私人端點的目的為何?
Microsoft Purview 可以使用擷取私人端點來掃描 Azure 或內部部署環境中的資料來源。 建立擷取私人端點時,會部署其他三個私人端點資源,並連結至 Microsoft Purview 受控或設定的資源:
- 如果您使用 受控事件中樞來取得 kafka 通知, 命名空間 會連結至 Microsoft Purview 設定的事件中樞命名空間。
- 如果您的帳戶是在 2023 年 12 月 15 日之前建立的:
- Blob 會連結至 Microsoft Purview 受控儲存體帳戶。
- 佇列 會連結至 Microsoft Purview 受控儲存體帳戶。
- 如果您的帳戶是在 2023 年 12 月 15 日之後建立的 (,或使用 API 版本 2023-05-01-preview 部署,) :
- Blob 會連結至 Microsoft Purview 擷取儲存體。
- 佇列 會連結至 Microsoft Purview 擷取記憶體。
如果在我的 Microsoft Purview 帳戶上啟用私人端點,我可以透過公用端點掃描數據源嗎?
是。 當 Microsoft Purview 設定為使用私人端點時,可以使用公用端點來掃描未透過私人端點連線的資料來源。
如果已啟用私人端點,我可以透過服務端點掃描資料來源嗎?
是。 當 Microsoft Purview 設定為使用私人端點時,可以使用服務端點來掃描未透過私人端點連線的資料來源。 深入瞭解為您的 案例選擇正確的整合執行階段設定。
如果 Microsoft Purview 帳戶網路中的 [公用網路存取] 設定為 [拒絕],我是否可以從公用網路存取傳統 Microsoft Purview 治理入口網站?
不能。 從公 用網路存取 設定為 [ 拒絕 ] 的公用端點連線到 Microsoft Purview 會導致下列錯誤訊息:
“無權訪問此 Microsoft Purview 帳戶。 此 Microsoft Purview 帳戶位於私人端點後方。 從已針對 Microsoft Purview 帳戶私人端點設定的相同虛擬網路 (虛擬網路) 中的用戶端存取帳戶。」
在此情況下,若要開啟傳統 Microsoft Purview 治理入口網站,請使用部署在與 Microsoft Purview 入口網站私人端點相同的虛擬網路中的電腦,或使用連線到允許混合式連線的 CorpNet 的 VM。
是否可以限制對 Microsoft Purview 受控儲存體帳戶或擷取儲存體帳戶和事件中樞命名空間 (存取,以進行私人端點擷取,) 但讓整個 Web 的使用者啟用入口網站存取權?
注意事項
只有在 202 (3 年 12 月 15 日之前建立,或使用 2023-05-01-preview) 之前的 API 版本部署,您的帳戶才會有受控儲存體帳戶。 您的帳戶只有在針對 kafka 通知設定或 在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
是。 您可以將 Purview 防火牆設定Microsoft [已停用] ,僅 (預覽) 擷取。 選擇此選項,允許透過 API 和傳統 Microsoft Purview 治理入口網站存取您的 Microsoft Purview 帳戶,但公用網路存取會在您的 Microsoft Purview 帳戶的受控儲存體帳戶上設定為停用。 您也必須確認 您的事件中樞網路設定 允許通訊。
如果公用網路存取設定為 [允許],是否表示任何人都可以存取受控儲存體帳戶或擷取儲存體帳戶和事件中樞命名空間?
注意事項
只有在 202 (3 年 12 月 15 日之前建立,或使用 2023-05-01-preview) 之前的 API 版本部署,您的帳戶才會有受控儲存體帳戶。 您的帳戶只有在針對 kafka 通知設定或 在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
不能。 作為受保護的資源,Microsoft Purview 受控儲存體帳戶和任何事件中樞命名空間的存取權僅限於使用 RBAC 驗證配置的 Microsoft Purview。 這些資源會以拒絕指派給所有主體來部署,這可防止任何應用程式、使用者或群組取得存取權。
若要深入瞭解 Azure 拒絕指派,請參閱 了解 Azure 拒絕指派。
私人端點的 Microsoft Purview 需要哪些私人 DNS 區域?
針對 Microsoft Purview 帳戶、 入口網站和 平臺 私人端點:
-
privatelink.purview.azure.com- 適用於傳統 Microsoft Purview 治理入口網站。 -
privatelink.purview-service.microsoft.com- 適用於 Microsoft Purview 入口網站。
針對 Microsoft Purview 擷取私人 端點:
privatelink.blob.core.windows.netprivatelink.queue.core.windows.netprivatelink.servicebus.windows.net
部署 Microsoft Purview 私人端點時,我是否必須使用專用虛擬網路和專用子網?
不能。 不過,必須先在目的地子網路中停用, PrivateEndpointNetworkPolicies 才能部署專用端點。 如果您打算跨內部部署掃描數據源,請考慮將 Microsoft Purview 部署到虛擬網路中,該虛擬網路透過虛擬網路對等互連和存取內部部署網路,與資料來源虛擬網路具有網路連線能力。
深入瞭解 停用私人端點的網路原則。
我可以部署 Microsoft Purview 私人端點,並在訂用帳戶中使用現有的私人 DNS 區域來註冊 A 記錄嗎?
是。 您的私人端點 DNS 區域可以集中在中樞或資料管理訂用帳戶中,以取得 Microsoft Purview 和所有資料來源記錄所需的所有內部 DNS 區域。 我們建議使用此方法,以允許 Microsoft Purview 使用其私人端點內部 IP 位址來解析數據源。
您也必須為現有私人 DNS 區域的虛擬網路設定虛擬 網路連結 。
當您使用私人端點時,具有 Microsoft Purview 自我裝載整合執行階段的虛擬機器的輸出埠和防火牆需求為何?
部署自我裝載整合執行階段的 VM 必須具有 Azure 端點的輸出存取權,以及透過埠 443 的 Microsoft Purview 私人 IP 位址。
如果已啟用私人端點,我是否需要從執行自我裝載整合執行階段的虛擬機器啟用輸出因特網存取?
不能。 不過,執行自我裝載整合執行階段的虛擬機器預期可以使用埠 443 透過內部 IP 位址連線到 Microsoft Purview 執行個體。 使用常見的疑難排解工具進行名稱解析和連線測試,例如 nslookup.exe 和 Test-NetConnection。
如果我使用受控虛擬網路,是否仍需要為我的 Microsoft Purview 帳戶部署私人端點?
如果 Microsoft Purview 帳戶中的公用存取設定為 拒絕,則至少需要一個帳戶和入口網站私人端點。 如果 Microsoft Purview 帳戶中的公用存取設定為 拒絕 ,而且您打算使用自我裝載整合執行階段掃描更多資料來源,則至少需要一個帳戶、入口網站和擷取私人端點。
允許透過 Microsoft Purview 受控 VNet 的公用端點進行哪些輸入和輸出通訊?
不允許從公用網路輸入受控虛擬網路的輸入通訊。 所有埠都會開啟以供輸出通訊。 在 Microsoft Purview 中,受控虛擬網路可用來私下連線到 Azure 資料來源,以在掃描期間擷取中繼資料。
為什麼當我嘗試從我的電腦啟動傳統 Microsoft Purview 治理入口網站時,會收到下列錯誤訊息?
“這個 Microsoft Purview 帳戶位於私人端點後面。 從已針對 Microsoft Purview 帳戶私人端點設定的相同虛擬網路 (虛擬網路) 中的用戶端存取帳戶。」
您的 Microsoft Purview 帳戶可能是使用 Private Link 部署的,而且您的 Microsoft Purview 帳戶已停用公用存取。 因此,您必須從具有內部網路連線能力至 Microsoft Purview 的虛擬機器流覽 clssic Microsoft Purview 治理入口網站。
如果您從混合式網路後方的 VM 連線,或使用連線到虛擬網路的跳躍機器,請使用常見的疑難排解工具進行名稱解析和連線測試,例如 nslookup.exe 和 Test-NetConnection。
驗證您是否可以透過 Microsoft Purview 帳戶的私人 IP 位址解析下列位址。
Web.Purview.Azure.com<YourPurviewAccountName>.Purview.Azure.com
使用下列 PowerShell 命令,確認 Microsoft Purview 帳戶的網路連線能力:
Test-NetConnection -ComputerName <YourPurviewAccountName>.Purview.Azure.com -Port 443如果您使用自己的 DNS 解析基礎結構,請驗證您的跨內部部署 DNS 組態。
如需私人端點 DNS 設定的詳細資訊,請參閱 Azure 私人端點 DNS 設定。
我可以將與 Microsoft Purview 帳戶或其受控資源相關聯的私人端點移至另一個 Azure 訂用帳戶或資源群組嗎?
不能。 不支援帳戶、入口網站或擷取私人端點的移動作業。 如需詳細資訊,請參閱 將網路資源移至新的資源群組或訂用帳戶。
我可以在不同的區域中建立多個受控虛擬網路嗎?
是。 您可以在單一 Microsoft Purview 實例中跨不同區域建立多個受控虛擬網路,以便存取不同區域中可用的資料來源。 此功能提供以下功能:
- 在單一 Microsoft Purview 實例內,跨不同區域建立多個受控虛擬網路 (最多五個) 。
- 在您自己的組織內進行網路隔離,以解決潛在的資料駐留或掃描效能問題。
後續步驟
若要使用 Private Link 設定 Microsoft Purview,請參閱 針對 Microsoft Purview 帳戶使用私人端點。