Private und sichere Verbindung mit Ihrem Microsoft Purview-Konto

In diesem Leitfaden erfahren Sie, wie Sie private Endpunkte für Ihr Microsoft Purview-Konto bereitstellen, damit Sie nur über VNETs und private Netzwerke eine Verbindung mit Ihrem Microsoft Purview-Konto herstellen können. Um dieses Ziel zu erreichen, müssen Sie private Konto- und Portalendpunkte für Ihr Microsoft Purview-Konto bereitstellen.

Der private Endpunkt des Microsoft Purview-Kontos wird verwendet, um eine weitere Sicherheitsebene hinzuzufügen, indem Szenarien aktiviert werden, in denen nur Clientaufrufe, die aus dem virtuellen Netzwerk stammen, auf das Microsoft Purview-Konto zugreifen dürfen. Dieser private Endpunkt ist auch eine Voraussetzung für den privaten Endpunkt des Portals.

Der private Endpunkt des Microsoft Purview-Portals ist erforderlich, um die Konnektivität mit dem Microsoft Purview-Governanceportal über ein privates Netzwerk zu ermöglichen.

Hinweis

Wenn Sie nur private Endpunkte für Konten und Portale erstellen, können Sie keine Überprüfungen ausführen. Um die Überprüfung in einem privaten Netzwerk zu aktivieren, müssen Sie auch einen privaten Erfassungsendpunkt erstellen.

Diagramm, das die Architektur von Microsoft Purview und Private Link zeigt.

Weitere Informationen zu Azure Private Link Dienst finden Sie unter Private Links und private Endpunkte, um mehr zu erfahren.

Prüfliste für die Bereitstellung

Mithilfe einer der Bereitstellungsoptionen aus diesem Leitfaden können Sie ein neues Microsoft Purview-Konto mit privaten Endpunkten für Konto und Portal bereitstellen oder diese privaten Endpunkte für ein vorhandenes Microsoft Purview-Konto bereitstellen:

  1. Wählen Sie ein geeignetes virtuelles Azure-Netzwerk und ein Subnetz aus, um private Microsoft Purview-Endpunkte bereitzustellen. Wählen Sie eine der folgenden Optionen aus:

    • Stellen Sie ein neues virtuelles Netzwerk in Ihrem Azure-Abonnement bereit.
    • Suchen Sie ein vorhandenes virtuelles Azure-Netzwerk und ein Subnetz in Ihrem Azure-Abonnement.
  2. Definieren Sie eine geeignete DNS-Namensauflösungsmethode, damit auf das Microsoft Purview-Konto und das Webportal über private IP-Adressen zugegriffen werden kann. Sie können eine der folgenden Optionen verwenden:

    • Stellen Sie neue Azure DNS-Zonen mithilfe der schritte bereit, die weiter in diesem Leitfaden erläutert werden.
    • Fügen Sie die erforderlichen DNS-Einträge zu vorhandenen Azure DNS-Zonen hinzu, indem Sie die schritte ausführen, die weiter in diesem Leitfaden erläutert werden.
    • Nachdem Sie die Schritte in diesem Leitfaden ausgeführt haben, fügen Sie die erforderlichen DNS A-Einträge manuell zu Ihren vorhandenen DNS-Servern hinzu.
  3. Stellen Sie ein neues Microsoft Purview-Konto mit privaten Endpunkten für Das Konto und das Portal bereit, oder stellen Sie private Endpunkte für ein vorhandenes Microsoft Purview-Konto bereit.

  4. Aktivieren Sie den Zugriff auf Azure Active Directory , wenn für Ihr privates Netzwerk Netzwerksicherheitsgruppenregeln für den gesamten öffentlichen Internetdatenverkehr auf Verweigern festgelegt sind.

  5. Passen Sie nach Abschluss dieses Leitfadens bei Bedarf die DNS-Konfigurationen an.

  6. Überprüfen Sie Ihr Netzwerk und die Namensauflösung vom Verwaltungscomputer zu Microsoft Purview.

Option 1: Bereitstellen eines neuen Microsoft Purview-Kontos mit privaten Endpunkten für Konto und Portal

  1. Wechseln Sie zum Azure-Portal und dann zur Seite Microsoft Purview-Konten. Wählen Sie + Erstellen aus, um ein neues Microsoft Purview-Konto zu erstellen.

  2. Geben Sie die grundlegenden Informationen ein, und legen Sie auf der Registerkarte Netzwerk die Konnektivitätsmethode auf Privater Endpunkt fest. Legen Sie privaten Endpunkt aktivieren auf Nur Konto und Portal fest.

  3. Wählen Sie unter Konto und Portaldie Option + Hinzufügen aus, um einen privaten Endpunkt für Ihr Microsoft Purview-Konto hinzuzufügen.

    Screenshot: Erstellen eines privaten Endpunkts für die Auswahl von Konto- und Portalseiten

  4. Wählen Sie auf der Seite Privaten Endpunkt erstellen für die Unterressource Microsoft Purview Ihren Standort aus, geben Sie einen Namen für den privaten Endpunkt des Kontos an, und wählen Sie Konto aus. Wählen Sie unter Netzwerk Ihr virtuelles Netzwerk und Subnetz und optional Integration in private DNS-Zone aus, um eine neue Azure Privates DNS-Zone zu erstellen.

    Screenshot: Seite zum Erstellen eines privaten Endpunkts für das Konto

    Hinweis

    Sie können auch Ihre vorhandenen Azure Privates DNS Zones verwenden oder DNS-Einträge in Ihren DNS-Servern später manuell erstellen. Weitere Informationen finden Sie unter Konfigurieren der DNS-Namensauflösung für private Endpunkte.

  5. Wählen Sie OK aus.

  6. Wählen Sie im Assistenten zum Erstellen eines Microsoft Purview-Kontos erneut +Hinzufügen aus, um einen privaten Endpunkt für das Portal hinzuzufügen.

  7. Wählen Sie auf der Seite Privaten Endpunkt erstellen für die Unterressource Microsoft Purview Ihren Standort aus, geben Sie einen Namen für den privaten Endpunkt des Portals an, und wählen Sie Portal aus. Wählen Sie unter Netzwerk Ihr virtuelles Netzwerk und Subnetz und optional Integration in private DNS-Zone aus, um eine neue Azure Privates DNS-Zone zu erstellen.

    Screenshot: Seite zum Erstellen eines privaten Endpunkts im Portal

    Hinweis

    Sie können auch Ihre vorhandenen Azure Privates DNS Zones verwenden oder DNS-Einträge in Ihren DNS-Servern später manuell erstellen. Weitere Informationen finden Sie unter Konfigurieren der DNS-Namensauflösung für private Endpunkte.

  8. Wählen Sie OK aus.

  9. Wählen Sie Überprüfen und erstellen aus. Auf der Seite Überprüfen + erstellen überprüft Azure Ihre Konfiguration.

    Screenshot: Seite

  10. Wenn die Meldung "Überprüfung erfolgreich" angezeigt wird, wählen Sie Erstellen aus.

Option 2: Aktivieren des privaten Endpunkts für Konto und Portal für vorhandene Microsoft Purview-Konten

Es gibt zwei Möglichkeiten, wie Sie ein Microsoft Purview-Konto und private Portal-Endpunkte für ein vorhandenes Microsoft Purview-Konto hinzufügen können:

  • Verwenden Sie das Azure-Portal (Microsoft Purview-Konto).
  • Verwenden Sie das Private Link Center.

Verwenden des Azure-Portal (Microsoft Purview-Konto)

  1. Wechseln Sie zum Azure-Portal, und wählen Sie dann Ihr Microsoft Purview-Konto aus, und wählen Sie unter Einstellungendie Option Netzwerk und dann Private Endpunktverbindungen aus.

    Screenshot: Erstellen eines privaten Kontoendpunkts

  2. Wählen Sie + Privater Endpunkt aus, um einen neuen privaten Endpunkt zu erstellen.

  3. Geben Sie die grundlegenden Informationen ein.

  4. Wählen Sie auf der Registerkarte Ressource für Ressourcentypdie Option Microsoft.Purview/accounts aus.

  5. Wählen Sie für Ressource das Microsoft Purview-Konto und für Zielunterressource die Option Konto aus.

  6. Wählen Sie auf der Registerkarte Konfiguration das virtuelle Netzwerk und optional Azure Privates DNS Zone aus, um eine neue Azure DNS-Zone zu erstellen.

    Hinweis

    Für die DNS-Konfiguration können Sie auch Ihre vorhandenen Azure Privates DNS Zones aus der Dropdownliste verwenden oder die erforderlichen DNS-Einträge später manuell zu Ihren DNS-Servern hinzufügen. Weitere Informationen finden Sie unter Konfigurieren der DNS-Namensauflösung für private Endpunkte.

  7. Wechseln Sie zur Zusammenfassungsseite, und wählen Sie Erstellen aus, um den privaten Endpunkt des Portals zu erstellen.

  8. Führen Sie die gleichen Schritte aus, wenn Sie das Portal für untere Zielressource auswählen.

  1. Gehen Sie zum Azure-Portal.

  2. Suchen Sie in der Suchleiste oben auf der Seite nach privatem Link, und wechseln Sie zum Bereich Private Link, indem Sie die erste Option auswählen.

  3. Wählen Sie + Hinzufügen aus, und geben Sie die grundlegenden Details ein.

    Screenshot: Erstellen privater Endpunkte aus dem Private Link Center

  4. Wählen Sie unter Ressource das bereits erstellte Microsoft Purview-Konto aus. Wählen Sie unter Zielunterressource die Option Konto aus.

  5. Wählen Sie auf der Registerkarte Konfiguration das virtuelle Netzwerk und die private DNS-Zone aus. Wechseln Sie zur Zusammenfassungsseite, und wählen Sie Erstellen aus, um den privaten Endpunkt des Kontos zu erstellen.

Hinweis

Führen Sie die gleichen Schritte aus, wenn Sie das Portal für untere Zielressource auswählen.

Aktivieren des Zugriffs auf Azure Active Directory

Hinweis

Wenn Ihre VM, Ihr VPN-Gateway oder VNET-Peeringgateway über öffentlichen Internetzugriff verfügt, kann es auf das Microsoft Purview-Portal und das Microsoft Purview-Konto zugreifen, das mit privaten Endpunkten aktiviert ist. Aus diesem Grund müssen Sie die restlichen Anweisungen nicht befolgen. Wenn für Ihr privates Netzwerk Regeln für Netzwerksicherheitsgruppen festgelegt sind, um den gesamten öffentlichen Internetdatenverkehr zu verweigern, müssen Sie einige Regeln hinzufügen, um den Zugriff auf Azure Active Directory (Azure AD) zu aktivieren. Befolgen Sie dazu die Anweisungen.

Diese Anweisungen werden für den sicheren Zugriff auf Microsoft Purview von einer Azure-VM bereitgestellt. Ähnliche Schritte müssen ausgeführt werden, wenn Sie VPN- oder andere VNET-Peeringgateways verwenden.

  1. Navigieren Sie im Azure-Portal zu Ihrer VM, und wählen Sie unter Einstellungendie Option Netzwerk aus. Wählen Sie dann Ausgehende Portregeln und Dann Regel für ausgehenden Port hinzufügen aus.

    Screenshot: Hinzufügen einer Ausgangsregel

  2. Gehen Sie im Bereich Sicherheitsregel für ausgehenden Datenverkehr hinzufügen wie

    1. Wählen Sie unter Ziel die Option Diensttag aus.
    2. Wählen Sie unter Zieldiensttag die Option AzureActiveDirectory aus.
    3. Wählen Sie unter Zielportbereiche die Option * aus.
    4. Wählen Sie unter Aktion die Option Zulassen aus.
    5. Unter Priorität sollte der Wert höher sein als die Regel, die den gesamten Internetdatenverkehr verweigert.

    Erstellen Sie die Regel.

    Screenshot: Hinzufügen von Details zur Ausgangsregel

  3. Führen Sie die gleichen Schritte aus, um eine weitere Regel zu erstellen, um das Diensttag AzureResourceManager zuzulassen. Wenn Sie auf die Azure-Portal zugreifen müssen, können Sie auch eine Regel für das Diensttag AzurePortal hinzufügen.

  4. Stellen Sie eine Verbindung mit der VM her, und öffnen Sie den Browser. Wechseln Sie zur Browserkonsole, indem Sie STRG+UMSCHALT+J drücken, und wechseln Sie zur Registerkarte Netzwerk, um Netzwerkanforderungen zu überwachen. Geben Sie web.purview.azure.com in das Feld URL ein, und versuchen Sie, sich mit Ihren Azure AD-Anmeldeinformationen anzumelden. Die Anmeldung schlägt wahrscheinlich fehl, und auf der Registerkarte Netzwerk in der Konsole können Sie sehen, dass Azure AD versucht, auf aadcdn.msauth.net zuzugreifen, aber blockiert wird.

    Screenshot: Details zum Anmeldefehler

  5. Öffnen Sie in diesem Fall eine Eingabeaufforderung auf dem virtuellen Computer, pingen Sie aadcdn.msauth.net, rufen Sie die IP-Adresse ab, und fügen Sie dann in den Netzwerksicherheitsregeln des virtuellen Computers eine Regel für ausgehenden Port für die IP-Adresse hinzu. Legen Sie ziel auf IP-Adressen und Ziel-IP-Adressen auf die aadcdn-IP-Adresse fest. Aufgrund von Azure Load Balancer und Azure Traffic Manager kann die IP-Adresse des Azure AD Content Delivery Network dynamisch sein. Nachdem Sie die IP-Adresse erhalten haben, ist es besser, sie der Hostdatei des virtuellen Computers hinzuzufügen, um zu erzwingen, dass der Browser diese IP-Adresse besucht, um das Azure AD Content Delivery Network abzurufen.

    Screenshot: Test-Ping

    Screenshot: Azure AD Content Delivery Network-Regel

  6. Nachdem die neue Regel erstellt wurde, wechseln Sie zurück zum virtuellen Computer, und versuchen Sie erneut, sich mit Ihren Azure AD-Anmeldeinformationen anzumelden. Wenn die Anmeldung erfolgreich ist, kann das Microsoft Purview-Portal verwendet werden. In einigen Fällen leitet Azure AD jedoch auf andere Domänen um, um sich basierend auf dem Kontotyp eines Kunden anzumelden. Für ein live.com-Konto leitet Azure AD beispielsweise an live.com um, um sich anzumelden, und diese Anforderungen werden dann erneut blockiert. Für Microsoft-Mitarbeiterkonten greift Azure AD auf msft.sts.microsoft.com zu, um Anmeldeinformationen zu erhalten.

    Überprüfen Sie die Netzwerkanforderungen auf der Registerkarte Netzwerk im Browser, um zu sehen, welche Anforderungen der Domäne blockiert werden, wiederholen Sie den vorherigen Schritt, um die IP-Adresse abzurufen, und fügen Sie regeln für ausgehenden Port in der Netzwerksicherheitsgruppe hinzu, um Anforderungen für diese IP-Adresse zuzulassen. Fügen Sie nach Möglichkeit die URL und die IP-Adresse zur Hostdatei des virtuellen Computers hinzu, um die DNS-Auflösung zu korrigieren. Wenn Sie die genauen IP-Adressbereiche der Anmeldedomäne kennen, können Sie diese auch direkt zu Netzwerkregeln hinzufügen.

  7. Jetzt sollte Ihre Azure AD-Anmeldung erfolgreich sein. Das Microsoft Purview-Portal wird erfolgreich geladen, aber das Auflisten aller Microsoft Purview-Konten funktioniert nicht, da es nur auf ein bestimmtes Microsoft Purview-Konto zugreifen kann. Geben Sie ein web.purview.azure.com/resource/{PurviewAccountName} , um direkt das Microsoft Purview-Konto zu besuchen, für das Sie erfolgreich einen privaten Endpunkt eingerichtet haben.

Nächste Schritte