保護された Microsoft Purview アカウントに Azure Data Factory を使用してアクセスする
この記事では、保護された Microsoft Purview アカウントに Azure Data Factory でアクセスする方法を、さまざまな連携シナリオ別に説明します。
Microsoft Purview プライベート エンドポイントをデプロイするシナリオ
Microsoft Purview には、ファイアウォール設定のさまざまなオプションがあります。 Data Factory 統合ランタイムの各種類について、次のパイプライン系列のサポート マトリックスを参照してください。
| Microsoft Purview のファイアウォール設定 | Azure 統合ランタイム | マネージド仮想ネットワークを使用する Azure 統合ランタイム | セルフホステッド統合ランタイム |
|---|---|---|---|
| すべてのネットワークから有効 | サポートされています | サポート対象 | サポートされています |
| インジェストでのみ無効 | サポートされています | サポートされています | サポートされています、インジェスト プライベート エンドポイントが必要です |
| すべてのネットワークから無効 | サポートされていない | サポートされています、アカウントおよびインジェスト プライベート エンドポイントが必要です | サポートされています、アカウントおよびインジェスト プライベート エンドポイントが必要です |
Azure プライベート エンドポイントを使用すれば、Microsoft Purview アカウントで、Private Link を通じて、仮想ネットワーク (VNet) からカタログへの保護されたアクセスを実行できます。 Microsoft Purview には、"アカウント" プライベート エンドポイント、"ポータル" プライベート エンドポイント、"インジェスト" プライベート エンドポイントなど、さまざまなアクセス ニーズに対応した数種類のプライベート エンドポイントが用意されています。 詳細については、Microsoft Purview プライベート エンドポイントの概要をご覧ください。
プライベート エンドポイントが必要な場合は、次の手順に従って、Data Factory が Microsoft Purview に正常に接続できるように設定してください。 統合ランタイムが Purview に接続できない場合は、アクティビティ実行の監視で系列の状態が失敗またはタイムアウトと表示され、アクティビティの実行時間が少し長くなる可能性があります (既定のタイムアウト設定は最大 2 分)。
| シナリオ | 必要な Microsoft Purview プライベート エンドポイント |
|---|---|
| パイプラインを実行して系列を Microsoft に報告する | Data Factory パイプラインで系列を Microsoft Purview にプッシュする場合: Azure Integration Runtime を使用するときは、Microsoft Purview のマネージド プライベート エンドポイントに関するセクションの手順に従って、Data Factory マネージド仮想ネットワークにマネージド プライベート エンドポイントを作成します。 - セルフホステッド統合ランタイムを使用するときは、このセクションの手順に従って、統合ランタイムの仮想ネットワークにアカウントおよびインジェスト プライベート エンドポイントを作成します。 |
| ADF UI で Microsoft を使用したデータの検出と探索 | Data Factory 作成 UI の上部中央にある検索バーで Microsoft Purview データを検索してアクションを実行するには、Data Factory Studio を起動する仮想ネットワークで、Microsoft Purview "アカウント" と "ポータル" プライベート エンドポイントを作成する必要があります。 アカウントとポータル プライベート エンドポイントの有効化に関するセクションの手順に従います。 |
Microsoft Purview のマネージド プライベート エンドポイント
マネージド プライベート エンドポイントは、Azure リソースへのプライベート リンクを作成するために、Azure Data Factory Managed Virtual Network に作成するプライベート エンドポイントです。 パイプラインを実行して、ファイアウォールで保護している Microsoft Purview アカウントに系列を報告するときは、[Virtual network configuration](仮想ネットワーク構成) オプションを有効にして Azure Integration Runtime を作成してから、次の手順で Purview の "アカウント" と "インジェスト" マネージド プライベート エンドポイントを作成します。
マネージド プライベート エンドポイントを作成する
Data Factory 作成 UI で Microsoft Purview のマネージド プライベート エンドポイントを作成するには:
[管理] ->[Microsoft Purview] に移動し、[編集] をクリックして既存の接続済み Microsoft Purview アカウントを編集するか、[Connect to a Microsoft Purview account](Microsoft Purview アカウントに接続) をクリックして新しい Microsoft Purview アカウントに接続します。
[Create managed private endpoints](マネージド プライベート エンドポイントを作成する) で [Yes](はい) を選択します。 このオプションを表示するには、[Virtual network configuration](仮想ネットワーク構成) オプションを有効にした Azure Integration Runtime が、データ ファクトリに少なくとも 1 つ必要です。
[+ すべて作成する] ボタンをクリックして、Microsoft Purview の管理対象リソース (BLOB ストレージ、キュー ストレージ、Event Hubs 名前空間) 用に、"アカウント" プライベート エンドポイントや "インジェスト" プライベート エンドポイントなどの必要な Microsoft Purview プライベート エンドポイントをバッチ作成します。 Data Factory が Microsoft Purview の管理対象リソースの情報を取得するには、Microsoft Purview アカウントに少なくとも閲覧者ロールが必要です。
次のページで、プライベート エンドポイントの名前を指定します。 インジェスト プライベート エンドポイントの名前も、これとサフィックスを使用して生成されます。
[Create](作成) をクリックしてプライベート エンドポイントを作成します。 作成後 4 つのプライベート エンドポイント要求が生成されるので、Microsoft Purview の所有者がこれらを承認する必要があります。
Microsoft Purview UI でのみ、マネージド プライベート エンドポイントをこのように一括作成できます。 プログラムを使用してマネージド プライベート エンドポイントを作成する場合は、これらのプライベート エンドポイントを個別に作成する必要があります。 Microsoft Purview 管理対象リソースの情報は、Azure portal -> 目的の Microsoft Purview アカウント -> [Managed resources](管理対象リソース) で見られます。
プライベート エンドポイントの接続を承認する
Microsoft Purview マネージド プライベート エンドポイントを作成すると、はじめは Pending (保留) の状態になっています。 Microsoft Purview の所有者は、リソースごとにプライベート エンドポイントの接続を承認する必要があります。
Microsoft Purview プライベート エンドポイントの接続を承認する権限がある場合は、Data Factory UI で次の手順を実行します。
- [管理] ->[Microsoft Purview] ->[編集] の順に移動します
- プライベート エンドポイントのリストで、各プライベート エンドポイント名の隣の [Edit](編集) (鉛筆ボタン) をクリックします
- [Manage approvals in Azure portal](Azure portal で承認を管理) をクリックしてリソースに移動します。
- そのリソースで、[ネットワーク] ->[プライベート エンドポイントの接続] または [インジェスト プライベート エンドポイント接続] に移動して承認を行います。 プライベート エンドポイントは
data_factory_name.your_defined_private_endpoint_nameという名前になっており、“Requested by data_factory_name” (data_factory_name の要求による) という説明が付いています。 - すべてのプライベート エンドポイントに対しこの操作を繰り返します。
Microsoft Purview プライベート エンドポイントの接続を承認する権限がない場合は、次の手順を実行するよう Microsoft Purview アカウントの所有者に依頼します。
Microsoft Purview ポータルを使用する Microsoft Purview アカウントの場合:
- Azure portal ‐> [Microsoft Purview アカウント] に移動します。
- [ネットワーク] ->[インジェスト プライベート エンドポイント接続] を選択して承認します。 プライベート エンドポイントは
data_factory_name.your_defined_private_endpoint_nameという名前になっており、“Requested by data_factory_name” (data_factory_name の要求による) という説明が付いています。
従来の Microsoft Purview ガバナンス ポータル を使用する Microsoft Purview アカウントの場合:
- "アカウント" プライベート エンドポイントについては、Azure portal -> 目的の Microsoft Purview アカウント -> [Networking](ネットワーク) -> 承認するプライベート エンドポイントの接続、に移動します。
- アカウントが 2023 年 11 月 10 日以降に作成された場合 (または API バージョン 2023-05-01-preview 以降を使用してデプロイされた場合):
- Azure portal ‐> [Microsoft Purview アカウント] に移動します。
- [ネットワーク] ->[インジェスト プライベート エンドポイント接続] を選択して承認します。 プライベート エンドポイントは
data_factory_name.your_defined_private_endpoint_nameという名前になっており、“Requested by data_factory_name” (data_factory_name の要求による) という説明が付いています。
- アカウントが 2023 年 11 月 10 日より前に作成された場合 (または 2023-05-01-preview より前のバージョンの API を使用してデプロイされた場合):
Azure portal -> [Microsoft Purview アカウン]ト -> [管理対象リソース] に移動します。
ストレージ アカウントと Event Hubs 名前空間をそれぞれ選択し、>[ネットワーク - プライベート エンドポイント接続] ページでプライベート エンドポイント接続を承認します。
ヒント
アカウントには、Kafka 通知用に構成された場合にのみ、マネージド Event Hubs 名前空間が含まれます。
マネージド プライベート エンドポイントを監視する
Microsoft Purview でマネージド プライベート エンドポイントを作成したら、2 つの場所でそれを監視できます。
- [管理] ->[Microsoft Purview] ->[編集] と移動して、既存の接続済み Microsoft Purview アカウントを開きます。 関連するすべてのプライベート エンドポイントを表示するには、Data Factory で Microsoft Purview 管理対象リソースの情報を取得するために、Microsoft Purview アカウントで少なくとも閲覧者ロールを持っている必要があります。 そうしないと、警告の付いたアカウント プライベート エンドポイントしか表示されません。
- [管理] ->[マネージド プライベート エンドポイント] に移動すると、データ ファクトリーに作成したすべてのマネージド プライベート エンドポイントを見ることができます。 Microsoft Purview アカウントで少なくとも閲覧者ロールを持っていれば、関連するエンドポイント同士をグループ化した形で、Microsoft Purview のプライベート エンドポイントが表示されます。 そうでない場合は、リスト上に個別に表示されます。