Microsoft Purview に接続し、データ ソースをプライベートかつ安全にスキャンする
このガイドでは、Microsoft Purview アカウントのアカウント、 ポータル 、 インジェスト プライベート エンドポイントを展開して purview アカウントにアクセスし、セルフホステッド統合ランタイムを使用してデータ ソースを安全かつプライベートにスキャンし、エンドツーエンドのネットワーク分離を可能にする方法について説明します。
Microsoft Purview アカウント のプライベート エンドポイントは、仮想ネットワーク内から発信されたクライアント呼び出しのみが Microsoft Purview アカウントへのアクセスを許可されるシナリオを有効にすることで、セキュリティの別の層を追加するために使用されます。 このプライベート エンドポイントは、ポータルのプライベート エンドポイントの前提条件でもあります。
プライベート ネットワークを使用して Microsoft Purview ガバナンス ポータルへの接続を有効にするには、Microsoft Purview ポータルのプライベート エンドポイントが必要です。
Microsoft Purview では、 インジェスト プライベート エンドポイントを使用して、Azure またはオンプレミス環境のデータ ソースをスキャンできます。 インジェスト プライベート エンドポイントをデプロイするときに、3 つのプライベート エンドポイント リソースを展開し、Microsoft Purview マネージドリソースまたは構成済みリソースにリンクする必要があります。
- BLOB プライベート エンドポイントは、Microsoft Purview マネージド ストレージ アカウントにリンクされています。
- キュー プライベート エンドポイントは、Microsoft Purview マネージド ストレージ アカウントにリンクされています。
- 名前空間プライベート エンドポイントは、Microsoft Purview で構成された Event Hub 名前空間にリンクされます。
デプロイのチェックリスト
このガイドでさらに説明されている展開オプションのいずれかを使用して、 アカウント、 ポータル 、 インジェスト プライベート エンドポイントを使用して新しい Microsoft Purview アカウントをデプロイするか、既存の Microsoft Purview アカウントに対してこれらのプライベート エンドポイントをデプロイすることを選択できます。
Microsoft Purview プライベート エンドポイントをデプロイする適切な Azure 仮想ネットワークとサブネットを選択します。 以下のいずれかのオプションを選択します。
- Azure サブスクリプションに 新しい仮想ネットワーク をデプロイします。
- Azure サブスクリプション内の既存の Azure 仮想ネットワークとサブネットを見つけます。
Microsoft Purview アカウントにアクセスし、プライベート ネットワークを使用してデータ ソースをスキャンできるように、適切な DNS 名前解決方法を定義します。 次のいずれかのオプションを使用できます。
- このガイドでさらに説明されている手順を使用して、新しい Azure DNS ゾーンをデプロイします。
- このガイドでさらに説明されている手順を使用して、既存の Azure DNS ゾーンに必要な DNS レコードを追加します。
- このガイドの手順を完了したら、既存の DNS サーバーに必要な DNS A レコードを手動で追加します。
アカウント、ポータル、インジェストプライベート エンドポイントを使用して 新しい Microsoft Purview アカウント をデプロイするか、既存の Microsoft Purview アカウントのプライベート エンドポイントをデプロイします。
プライベート ネットワークに、すべてのパブリック インターネット トラフィックに対して拒否に設定されたネットワーク セキュリティ グループ規則がある場合は、Azure Active Directory へのアクセスを有効にします。
Microsoft Purview アカウントとインジェスト プライベート エンドポイントがデプロイされているのと同じ VNet またはピアリングされた VNet 内に セルフホステッド統合ランタイム をデプロイして登録します。
このガイドを完了したら、必要に応じて DNS 構成を調整します。
管理マシン、セルフホステッド IR VM、データ ソース間のネットワークと名前解決を Microsoft Purview に検証します。
注:
インジェスト プライベート エンドポイントをデプロイした後でマネージド イベント ハブを有効にする場合は、インジェスト プライベート エンドポイントを再デプロイする必要があります。
オプション 1 - アカウント、ポータル、インジェストプライベート エンドポイントを使用して新しい Microsoft Purview アカウントをデプロイする
Azure portalに移動し、[Microsoft Purview アカウント] ページに移動します。 [ + 作成] を 選択して、新しい Microsoft Purview アカウントを作成します。
基本情報を入力し、[ ネットワーク ] タブで接続方法を [プライベート エンドポイント] に設定します。 [プライベート エンドポイントの有効化] を [アカウント]、[ポータル]、[インジェスト] に設定します。
[ アカウントとポータル ] で [ + 追加] を選択して、Microsoft Purview アカウントのプライベート エンドポイントを追加します。
[ プライベート エンドポイントの作成 ] ページで、 Microsoft Purview サブリソースの場所を選択し、 アカウント のプライベート エンドポイントの名前を指定し、[アカウント] を選択 します。 [ネットワーク] で仮想ネットワークとサブネットを選択し、必要に応じて [プライベート DNS ゾーンと統合] を選択して、新しい Azure プライベート DNS ゾーンを作成します。
注:
また、既存の Azure プライベート DNS Zones を使用することも、後で DNS サーバーで DNS レコードを手動で作成することもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。
[OK] を選択します。
[ アカウントとポータル ウィザード] で、もう一度 [+ 追加] をもう一度選択して 、ポータル のプライベート エンドポイントを追加します。
[ プライベート エンドポイントの作成 ] ページで、 Microsoft Purview サブリソースの場所を選択し、 ポータル のプライベート エンドポイントの名前を指定し、[ポータル] を選択 します。 [ネットワーク] で仮想ネットワークとサブネットを選択し、必要に応じて [プライベート DNS ゾーンと統合] を選択して、新しい Azure プライベート DNS ゾーンを作成します。
注:
また、既存の Azure プライベート DNS Zones を使用することも、後で DNS サーバーで DNS レコードを手動で作成することもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。
[OK] を選択します。
[ インジェスト] で、プライベート エンドポイントとペアリングする サブスクリプション、 仮想ネットワーク、 サブネット の詳細を指定して、インジェスト プライベート エンドポイントを設定します。
必要に応じて、[プライベート DNS統合] を選択して Azure プライベート DNS Zones を使用します。
重要
Microsoft Purview とデータ ソースの間で適切な名前解決を許可するには、適切な Azure プライベート DNS Zones を選択することが重要です。 また、既存の Azure プライベート DNS Zones を使用することも、後で DNS サーバーで DNS レコードを手動で作成することもできます。 詳細については、「 プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。
[確認および作成] を選択します。 [ 確認と作成 ] ページで、Azure によって構成が検証されます。
"検証に合格しました" というメッセージが表示されたら、[ 作成] を選択します。
オプション 2 - 既存の Microsoft Purview アカウントでアカウント、 ポータル 、 インジェスト プライベート エンドポイントを有効にする
Azure portalに移動し、Microsoft Purview アカウントを選択し、[設定] で [ネットワーク] を選択し、[プライベート エンドポイント接続] を選択します。
[ + プライベート エンドポイント ] を選択して、新しいプライベート エンドポイントを作成します。
基本情報を入力します。
[ リソース ] タブの [ リソースの種類] で、[ Microsoft.Purview/accounts] を選択します。
[ リソース] で Microsoft Purview アカウントを選択し、[ ターゲット サブリソース] で [アカウント] を選択します。
[構成] タブで仮想ネットワークを選択し、必要に応じて [Azure プライベート DNS ゾーン] を選択して新しい Azure DNS ゾーンを作成します。
注:
DNS 構成の場合は、ドロップダウン リストから既存の Azure プライベート DNS Zones を使用するか、後で必要な DNS レコードを DNS サーバーに手動で追加することもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。
概要ページに移動し、[ 作成 ] を選択してアカウントのプライベート エンドポイントを作成します。
手順 2 ~ 7 を繰り返して、ポータルのプライベート エンドポイントを作成します。 [ターゲット サブリソース] にポータルを選択していることを確認します。
Microsoft Purview アカウントの [設定] で [ ネットワーク] を選択し、[ プライベート エンドポイント接続の取り込み] を選択します。
[インジェスト プライベート エンドポイント接続] で、[ + 新規 ] を選択して、新しいインジェスト プライベート エンドポイントを作成します。
基本的な情報を入力し、既存の仮想ネットワークとサブネットの詳細を選択します。 必要に応じて、[プライベート DNS統合] を選択して Azure プライベート DNS Zones を使用します。 各一覧から適切な Azure プライベート DNS Zones を選択します。
注:
また、既存の Azure プライベート DNS ゾーンを使用したり、後で DNS サーバーで DNS レコードを手動で作成したりすることもできます。 詳細については、「プライベート エンドポイントの DNS 名前解決を構成する」を参照してください。
[ 作成] を 選択して、セットアップを完了します。
Azure Active Directory へのアクセスを有効にする
注:
VM、VPN ゲートウェイ、または VNet ピアリング ゲートウェイにパブリック インターネット アクセスがある場合は、Microsoft Purview ガバナンス ポータルにアクセスでき、プライベート エンドポイントで有効になっている Microsoft Purview アカウントにアクセスできます。 このため、残りの手順に従う必要はありません。 プライベート ネットワークに、すべてのパブリック インターネット トラフィックを拒否するように設定されたネットワーク セキュリティ グループルールがある場合は、Azure Active Directory (Azure AD) アクセスを有効にするためにいくつかのルールを追加する必要があります。 指示に従って実行します。
これらの手順は、Azure VM から Microsoft Purview に安全にアクセスするために提供されます。 VPN またはその他の VNet ピアリング ゲートウェイを使用している場合は、同様の手順に従う必要があります。
Azure portalで VM に移動し、[設定] で [ネットワーク] を選択します。 次に、[送信ポート規則][送信ポート規則>の追加] を選択します。
[ 送信セキュリティ規則の追加 ] ウィンドウで、次の操作を行います。
- [ 宛先] で、[ サービス タグ] を選択します。
- [ 宛先サービス タグ] で、[AzureActiveDirectory] を選択します。
- [ 宛先ポート範囲] で、[*] を選択します。
- [ アクション] で、[許可] を選択 します。
- [ 優先度] の値は、すべてのインターネット トラフィックを拒否したルールよりも大きくする必要があります。
ルールを作成します。
同じ手順に従って、 AzureResourceManager サービス タグを許可する別のルールを作成します。 Azure portalにアクセスする必要がある場合は、AzurePortal サービス タグのルールを追加することもできます。
VM に接続し、ブラウザーを開きます。 Ctrl + Shift + J キーを押してブラウザー コンソールに移動し、[ネットワーク] タブに切り替えてネットワーク要求を監視します。 [URL] ボックスに「web.purview.azure.com」と入力し、Azure AD 資格情報を使用してサインインを試みます。 サインインが失敗する可能性があり、コンソールの [ ネットワーク ] タブで、Azure AD が aadcdn.msauth.net にアクセスしようとしているがブロックされているのを確認できます。
この場合は、VM でコマンド プロンプトを開き、aadcdn.msauth.net ping を実行し、その IP を取得し、VM のネットワーク セキュリティ規則に IP の送信ポート規則を追加します。 [ 宛先 ] を [IP アドレス] に設定し、[ 宛先 IP アドレス] を aadcdn IP に設定します。 Azure Load Balancerと Azure Traffic Manager により、Azure AD コンテンツ配信ネットワーク IP が動的である可能性があります。 IP を取得したら、VM のホスト ファイルに追加して、ブラウザーにその IP を強制的にアクセスして Azure AD コンテンツ配信ネットワークを取得することをお勧めします。
新しいルールが作成されたら、VM に戻り、Azure AD 資格情報をもう一度使用してサインインを試みます。 サインインに成功した場合は、Microsoft Purview ガバナンス ポータルを使用する準備が整います。 ただし、場合によっては、Azure AD は他のドメインにリダイレクトして、顧客のアカウントの種類に基づいてサインインします。 たとえば、live.com アカウントの場合、Azure AD はサインインに live.com にリダイレクトし、それらの要求は再びブロックされます。 Microsoft 従業員アカウントの場合、Azure AD はサインイン情報の msft.sts.microsoft.com にアクセスします。
ブラウザーの [ネットワーク] タブでネットワーク要求 を 確認して、ブロックされているドメインの要求を確認し、前の手順をやり直して IP を取得し、ネットワーク セキュリティ グループに送信ポート規則を追加して、その IP の要求を許可します。 可能であれば、URL と IP を VM のホスト ファイルに追加して、DNS 解決を修正します。 正確なサインイン ドメインの IP 範囲がわかっている場合は、ネットワーク ルールに直接追加することもできます。
これで、Azure AD のサインインが成功します。 Microsoft Purview ガバナンス ポータルは正常に読み込まれますが、特定の Microsoft Purview アカウントにのみアクセスできるため、すべての Microsoft Purview アカウントの一覧表示は機能しません。 「」と入力
web.purview.azure.com/resource/{PurviewAccountName}
して、プライベート エンドポイントを正常に設定した Microsoft Purview アカウントに直接アクセスします。
セルフホステッド統合ランタイム (IR) をデプロイし、データ ソースをスキャンします。
Microsoft Purview のインジェスト プライベート エンドポイントをデプロイしたら、少なくとも 1 つのセルフホステッド統合ランタイム (IR) をセットアップして登録する必要があります。
現在、Microsoft SQL Server、Oracle、SAP などのオンプレミスのすべてのソースの種類は、セルフホステッド IR ベースのスキャンでのみサポートされています。 セルフホステッド IR は、プライベート ネットワーク内で実行し、Azure で仮想ネットワークとピアリングする必要があります。
Azure Blob Storage や Azure SQL Database などのすべての Azure ソースの種類について、同じ VNet にデプロイされているセルフホステッド統合ランタイムまたは Microsoft Purview アカウントとインジェスト プライベート エンドポイントがデプロイされているピアリングされた VNet を使用して、スキャンを明示的に実行する必要があります。
セルフホステッド統合ランタイムの作成と管理に関するページの手順に従って、セルフホステッド IR を設定します。 次に、[ 統合ランタイム 経由で接続] ドロップダウン リストでそのセルフホステッド IR を選択して、Azure ソースでスキャンを設定し、ネットワークの分離を確保します。
重要
Microsoft ダウンロード センターからセルフホステッド統合ランタイムの最新バージョンをダウンロードしてインストールしてください。
パブリック アクセスを制限するファイアウォール
パブリック インターネットから Microsoft Purview アカウントへのアクセスを完全に切断するには、次の手順に従います。 この設定は、プライベート エンドポイント接続とインジェスト プライベート エンドポイント接続の両方に適用されます。
Azure portalから Microsoft Purview アカウントに移動し、[設定] で [ネットワーク] を選択します。
[ ファイアウォール ] タブに移動し、トグルが [ すべてのネットワークから無効にする] に設定されていることを確認します。