Microsoft Purview アカウントにプライベートで安全に接続する

このガイドでは、Microsoft Purview アカウントのプライベート エンドポイントを展開して、VNet とプライベート ネットワークからのみ Microsoft Purview アカウントに接続できるようにする方法について説明します。 この目標を達成するには、Microsoft Purview アカウントのアカウントポータル のプライベート エンドポイントをデプロイする必要があります。

Microsoft Purview アカウント のプライベート エンドポイントは、仮想ネットワーク内から発信されたクライアント呼び出しのみが Microsoft Purview アカウントへのアクセスを許可されるシナリオを有効にすることで、セキュリティの別の層を追加するために使用されます。 このプライベート エンドポイントは、ポータルのプライベート エンドポイントの前提条件でもあります。

プライベート ネットワークを使用して Microsoft Purview ガバナンス ポータルへの接続を有効にするには、Microsoft Purview ポータルのプライベート エンドポイントが必要です。

注:

アカウントポータルのプライベート エンドポイントのみを作成した場合、スキャンを実行することはできません。 プライベート ネットワークでスキャンを有効にするには、 インジェスト プライベート エンドポイントも作成する必要があります。

Microsoft Purview と Private Link アーキテクチャを示す図。

Azure Private Link サービスの詳細については、プライベート リンクとプライベート エンドポイントに関するページを参照してください。

デプロイのチェックリスト

このガイドの展開オプションのいずれかを使用して、 アカウントポータル のプライベート エンドポイントを使用して新しい Microsoft Purview アカウントをデプロイするか、既存の Microsoft Purview アカウントに対してこれらのプライベート エンドポイントをデプロイすることを選択できます。

  1. Microsoft Purview プライベート エンドポイントをデプロイする適切な Azure 仮想ネットワークとサブネットを選択します。 以下のいずれかのオプションを選択します。

    • Azure サブスクリプションに 新しい仮想ネットワーク をデプロイします。
    • Azure サブスクリプション内の既存の Azure 仮想ネットワークとサブネットを見つけます。
  2. Microsoft Purview アカウントと Web ポータルにプライベート IP アドレスからアクセスできるように、適切な DNS 名前解決方法を定義します。 次のいずれかのオプションを使用できます。

    • このガイドでさらに説明されている手順を使用して、新しい Azure DNS ゾーンをデプロイします。
    • このガイドでさらに説明されている手順を使用して、既存の Azure DNS ゾーンに必要な DNS レコードを追加します。
    • このガイドの手順を完了したら、既存の DNS サーバーに必要な DNS A レコードを手動で追加します。
  3. アカウントとポータルのプライベート エンドポイントを使用して 新しい Microsoft Purview アカウント をデプロイするか、 既存の Microsoft Purview アカウントのアカウントとポータルのプライベート エンドポイントをデプロイします。

  4. プライベート ネットワークに、すべてのパブリック インターネット トラフィックに対して拒否に設定されたネットワーク セキュリティ グループ規則がある場合は、Azure Active Directory へのアクセスを有効にします

  5. このガイドを完了したら、必要に応じて DNS 構成を調整します。

  6. 管理マシンから Microsoft Purview へのネットワークと名前解決を検証します。

オプション 1 - アカウントとポータルのプライベート エンドポイントを使用して新しい Microsoft Purview アカウントをデプロイする

  1. Azure portalに移動し、[Microsoft Purview アカウント] ページに移動します。 [ + 作成] を 選択して、新しい Microsoft Purview アカウントを作成します。

  2. 基本情報を入力し、[ ネットワーク ] タブで接続方法を [プライベート エンドポイント] に設定します。 [プライベート エンドポイントの有効化] を [アカウントとポータルのみ] に設定します。

  3. [ アカウントとポータル ] で [ + 追加] を選択して、Microsoft Purview アカウントのプライベート エンドポイントを追加します。

    アカウントとポータル ページの選択のためのプライベート エンドポイントの作成を示すスクリーンショット。

  4. [ プライベート エンドポイントの作成 ] ページで、 Microsoft Purview サブリソースの場所を選択し、 アカウント のプライベート エンドポイントの名前を指定し、[アカウント] を選択 します。 [ネットワーク] で仮想ネットワークとサブネットを選択し、必要に応じて [プライベート DNS ゾーンと統合] を選択して、新しい Azure プライベート DNS ゾーンを作成します。

    アカウントのプライベート エンドポイントの作成ページを示すスクリーンショット。

    注:

    また、既存の Azure プライベート DNS Zones を使用することも、後で DNS サーバーで DNS レコードを手動で作成することもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。

  5. [OK] を選択します。

  6. Microsoft Purview アカウントの作成ウィザードで、[+ 追加] をもう一度選択して、ポータルのプライベート エンドポイントを追加します。

  7. [ プライベート エンドポイントの作成 ] ページで、 Microsoft Purview サブリソースの場所を選択し、 ポータル のプライベート エンドポイントの名前を指定し、[ポータル] を選択 します。 [ネットワーク] で仮想ネットワークとサブネットを選択し、必要に応じて [プライベート DNS ゾーンと統合] を選択して、新しい Azure プライベート DNS ゾーンを作成します。

    ポータルのプライベート エンドポイントの作成ページを示すスクリーンショット。

    注:

    また、既存の Azure プライベート DNS Zones を使用することも、後で DNS サーバーで DNS レコードを手動で作成することもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。

  8. [OK] を選択します。

  9. [確認および作成] を選択します。 [ 確認と作成 ] ページで、Azure によって構成が検証されます。

    プライベート エンドポイント レビューの作成ページを示すスクリーンショット。

  10. "検証に合格しました" というメッセージが表示されたら、[ 作成] を選択します。

オプション 2 - 既存の Microsoft Purview アカウントでアカウントポータル のプライベート エンドポイントを有効にする

既存の Microsoft Purview アカウントの Microsoft Purview アカウントポータル プライベート エンドポイントを追加するには、次の 2 つの方法があります。

  • Azure portal (Microsoft Purview アカウント) を使用します。
  • Private Link センターを使用します。

Azure portalを使用する (Microsoft Purview アカウント)

  1. Azure portalに移動し、Microsoft Purview アカウントを選択し、[設定] で [ネットワーク] を選択し、[プライベート エンドポイント接続] を選択します。

    アカウントプライベート エンドポイントの作成を示すスクリーンショット。

  2. [ + プライベート エンドポイント ] を選択して、新しいプライベート エンドポイントを作成します。

  3. 基本情報を入力します。

  4. [ リソース ] タブの [ リソースの種類] で、[ Microsoft.Purview/accounts] を選択します。

  5. [ リソース] で Microsoft Purview アカウントを選択し、[ ターゲット サブリソース] で [アカウント] を選択します。

  6. [構成] タブで仮想ネットワークを選択し、必要に応じて [Azure プライベート DNS ゾーン] を選択して新しい Azure DNS ゾーンを作成します。

    注:

    DNS 構成の場合は、ドロップダウン リストから既存の Azure プライベート DNS Zones を使用するか、後で必要な DNS レコードを DNS サーバーに手動で追加することもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。

  7. 概要ページに移動し、[ 作成 ] を選択してポータルのプライベート エンドポイントを作成します。

  8. [ターゲット サブリソース] にポータルを選択する場合も同じ手順に従います。

  1. Azure portal にアクセスします。

  2. ページの上部にある検索バーで、プライベート リンクを検索し、最初のオプションを選択して [Private Link] ウィンドウに移動します。

  3. [ + 追加] を選択し、基本的な詳細を入力します。

    Private Link センターからのプライベート エンドポイントの作成を示すスクリーンショット。

  4. [ リソース] で、既に作成されている Microsoft Purview アカウントを選択します。 [ ターゲット サブリソース] で、[ アカウント] を選択します。

  5. [ 構成 ] タブで、仮想ネットワークとプライベート DNS ゾーンを選択します。 概要ページに移動し、[ 作成 ] を選択してアカウントのプライベート エンドポイントを作成します。

注:

[ターゲット サブリソース] にポータルを選択する場合も同じ手順に従います。

Azure Active Directory へのアクセスを有効にする

注:

VM、VPN ゲートウェイ、または VNet ピアリング ゲートウェイにパブリック インターネット アクセスがある場合は、プライベート エンドポイントで有効になっている Microsoft Purview ポータルと Microsoft Purview アカウントにアクセスできます。 このため、残りの手順に従う必要はありません。 プライベート ネットワークに、すべてのパブリック インターネット トラフィックを拒否するように設定されたネットワーク セキュリティ グループルールがある場合は、Azure Active Directory (Azure AD) アクセスを有効にするためにいくつかのルールを追加する必要があります。 指示に従って実行します。

これらの手順は、Azure VM から Microsoft Purview に安全にアクセスするために提供されます。 VPN またはその他の VNet ピアリング ゲートウェイを使用している場合は、同様の手順に従う必要があります。

  1. Azure portalで VM に移動し、[設定] で [ネットワーク] を選択します。 次 に、[送信ポート規則]、[ 送信ポート規則の追加] の順に選択します。

    送信規則の追加を示すスクリーンショット。

  2. [ 送信セキュリティ規則の追加 ] ウィンドウで、次の操作を行います。

    1. [ 宛先] で、[ サービス タグ] を選択します。
    2. [ 宛先サービス タグ] で、[AzureActiveDirectory] を選択します。
    3. [ 宛先ポート範囲] で、[*] を選択します。
    4. [ アクション] で、[許可] を選択 します
    5. [ 優先度] の値は、すべてのインターネット トラフィックを拒否したルールよりも大きくする必要があります。

    ルールを作成します。

    送信ルールの詳細の追加を示すスクリーンショット。

  3. 同じ手順に従って、 AzureResourceManager サービス タグを許可する別のルールを作成します。 Azure portalにアクセスする必要がある場合は、AzurePortal サービス タグのルールを追加することもできます。

  4. VM に接続し、ブラウザーを開きます。 Ctrl + Shift + J キーを押してブラウザー コンソールに移動し、[ネットワーク] タブに切り替えてネットワーク要求を監視します。 [URL] ボックスに「web.purview.azure.com」と入力し、Azure AD 資格情報を使用してサインインを試みます。 サインインが失敗する可能性があり、コンソールの [ ネットワーク ] タブで、Azure AD が aadcdn.msauth.net にアクセスしようとしているがブロックされているのを確認できます。

    サインイン失敗の詳細を示すスクリーンショット。

  5. この場合は、VM でコマンド プロンプトを開き、aadcdn.msauth.net ping を実行し、その IP を取得し、VM のネットワーク セキュリティ規則に IP の送信ポート規則を追加します。 [ 宛先 ] を [IP アドレス] に設定し、[ 宛先 IP アドレス] を aadcdn IP に設定します。 Azure Load Balancerと Azure Traffic Manager により、Azure AD コンテンツ配信ネットワーク IP が動的である可能性があります。 IP を取得したら、VM のホスト ファイルに追加して、ブラウザーにその IP を強制的にアクセスして Azure AD コンテンツ配信ネットワークを取得することをお勧めします。

    テスト ping を示すスクリーンショット。

    Azure A D コンテンツ配信ネットワークルールを示すスクリーンショット。

  6. 新しいルールが作成されたら、VM に戻り、Azure AD 資格情報をもう一度使用してサインインを試みます。 サインインに成功すると、Microsoft Purview ポータルを使用する準備が整います。 ただし、場合によっては、Azure AD は他のドメインにリダイレクトして、顧客のアカウントの種類に基づいてサインインします。 たとえば、live.com アカウントの場合、Azure AD はサインインに live.com にリダイレクトし、それらの要求は再びブロックされます。 Microsoft 従業員アカウントの場合、Azure AD はサインイン情報の msft.sts.microsoft.com にアクセスします。

    ブラウザーの [ネットワーク] タブでネットワーク要求 確認して、ブロックされているドメインの要求を確認し、前の手順をやり直して IP を取得し、ネットワーク セキュリティ グループに送信ポート規則を追加して、その IP の要求を許可します。 可能であれば、URL と IP を VM のホスト ファイルに追加して、DNS 解決を修正します。 正確なサインイン ドメインの IP 範囲がわかっている場合は、ネットワーク ルールに直接追加することもできます。

  7. これで、Azure AD のサインインが成功します。 Microsoft Purview ポータルは正常に読み込まれますが、特定の Microsoft Purview アカウントにのみアクセスできるため、すべての Microsoft Purview アカウントの一覧表示は機能しません。 「」と入力 web.purview.azure.com/resource/{PurviewAccountName} して、プライベート エンドポイントを正常に設定した Microsoft Purview アカウントに直接アクセスします。

次の手順