الاتصال بشكل خاص وآمن إلى حساب Microsoft Purview الخاص بك

  • مقالة
  • قراءة خلال 7 دقائق

في هذا الدليل، ستتعرف على كيفية نشر نقاط النهاية الخاصة لحساب Microsoft Purview الخاص بك للسماح لك بالاتصال بحساب Microsoft Purview الخاص بك فقط من VNets والشبكات الخاصة. لتحقيق هذا الهدف، تحتاج إلى نشر نقاط النهاية الخاصة بالحسابوالبوابة الإلكترونية لحساب Microsoft Purview الخاص بك.

يتم استخدام نقطة النهاية الخاصة لحساب Microsoft Purview لإضافة طبقة أخرى من الأمان عن طريق تمكين السيناريوهات التي يسمح فيها فقط لمكالمات العميل التي تنشأ من داخل الشبكة الظاهرية بالوصول إلى حساب Microsoft Purview. نقطة النهاية الخاصة هذه هي أيضا شرط أساسي لنقطة النهاية الخاصة بالبوابة الإلكترونية.

يلزم وجود نقطة نهاية خاصة لمدخل Microsoft Purview لتمكين الاتصال بمدخل إدارة Microsoft Purview باستخدام شبكة خاصة.

ملاحظة

إذا قمت فقط بإنشاء نقاط نهاية خاصة بالحسابوالبوابة الإلكترونية ، فلن تتمكن من تشغيل أي عمليات فحص. لتمكين المسح الضوئي على شبكة خاصة ، ستحتاج إلى إنشاء نقطة نهاية خاصة بالابتلاع أيضا.

Diagram that shows Microsoft Purview and Private Link architecture.

لمزيد من المعلومات حول خدمة Azure Private Link، راجع الارتباطات الخاصة ونقاط النهاية الخاصة لمعرفة المزيد.

قائمة التحقق من النشر

باستخدام أحد خيارات النشر من هذا الدليل، يمكنك نشر حساب Microsoft Purview جديد مع نقاط النهاية الخاصة بالحسابوالبوابة الإلكترونية أو يمكنك اختيار نشر نقاط النهاية الخاصة هذه لحساب Microsoft Purview موجود:

  1. اختر شبكة Azure الظاهرية المناسبة وشبكة فرعية لنشر نقاط النهاية الخاصة في Microsoft Purview. اختر أحد الخيارات التالية:

    • نشر شبكة ظاهرية جديدة في اشتراك Azure الخاص بك.
    • حدد موقع شبكة Azure الظاهرية الحالية وشبكة فرعية في اشتراكك في Azure.

  2. حدد طريقة مناسبة لتحليل اسم DNS، بحيث يمكن الوصول إلى حساب Microsoft Purview ومدخل الويب من خلال عناوين IP الخاصة. يمكنك استخدام أي من الخيارات التالية:

    • انشر مناطق Azure DNS الجديدة باستخدام الخطوات الموضحة بمزيد من التفصيل في هذا الدليل.
    • أضف سجلات DNS المطلوبة إلى مناطق Azure DNS الحالية باستخدام الخطوات الموضحة بمزيد من التفصيل في هذا الدليل.
    • بعد إكمال الخطوات الواردة في هذا الدليل، أضف سجلات DNS A المطلوبة في خوادم DNS الحالية يدويا.

  3. نشر حساب Microsoft Purview جديد مع نقاط النهاية الخاصة بالحساب والبوابة الإلكترونية، أو نشر نقاط النهاية الخاصة بالحساب والبوابة الإلكترونية لحساب Microsoft Purview موجود.

  4. قم بتمكين الوصول إلى Azure Active Directory إذا كانت شبكتك الخاصة تحتوي على قواعد مجموعة أمان الشبكة المعينة لرفض كل حركة مرور الإنترنت العامة.

  5. بعد الانتهاء من هذا الدليل، اضبط تكوينات DNS إذا لزم الأمر.

  6. تحقق من صحة الشبكة ودقة الاسم من جهاز الإدارة إلى Microsoft Purview.

الخيار 1 - نشر حساب Microsoft Purview جديد مع نقاط النهاية الخاصة بالحسابوالبوابة الإلكترونية

  1. انتقل إلى مدخل Azure، ثم انتقل إلى صفحة حسابات Microsoft Purview . حدد + إنشاء لإنشاء حساب Microsoft Purview جديد.

  2. املأ المعلومات الأساسية، وضمن علامة التبويب الشبكة، قم بتعيين طريقة الاتصال إلى نقطة نهاية خاصة. قم بتعيين تمكين نقطة النهاية الخاصة إلى الحساب والبوابة الإلكترونية فقط.

  3. ضمن الحساب والبوابة الإلكترونية ، حدد + إضافة لإضافة نقطة نهاية خاصة لحساب Microsoft Purview الخاص بك.

    Screenshot that shows create private endpoint for account and portal page selections.

  4. في الصفحة إنشاء نقطة نهاية خاصة ، بالنسبة إلى المورد الفرعي Microsoft Purview، اختر موقعك، وقدم اسما لنقطة النهاية الخاصة بالحساب ، وحدد الحساب. ضمن الشبكات، حدد الشبكة الظاهرية والشبكة الفرعية، واختياريا، حدد التكامل مع منطقة DNS الخاصة لإنشاء منطقة DNS خاصة ب Azure جديدة.

    Screenshot that shows create account private endpoint page.

    ملاحظة

    يمكنك أيضا استخدام مناطق DNS الخاصة ب Azure الموجودة لديك أو إنشاء سجلات DNS في خوادم DNS يدويا لاحقا. لمزيد من المعلومات، راجع تكوين دقة اسم DNS لنقاط النهاية الخاصة

  5. حدد "OK".

  6. في معالج إنشاء حساب Microsoft Purview ، حدد +إضافة مرة أخرى لإضافة نقطة نهاية خاصة بالبوابة الإلكترونية .

  7. في الصفحة إنشاء نقطة نهاية خاصة ، بالنسبة إلى المورد الفرعي ل Microsoft Purview، اختر موقعك، وقدم اسما لنقطة النهاية الخاصة بالبوابة الإلكترونية، وحدد البوابة الإلكترونية. ضمن الشبكات، حدد الشبكة الظاهرية والشبكة الفرعية، واختياريا، حدد التكامل مع منطقة DNS الخاصة لإنشاء منطقة DNS خاصة ب Azure جديدة.

    Screenshot that shows create portal private endpoint page.

    ملاحظة

    يمكنك أيضا استخدام مناطق DNS الخاصة ب Azure الموجودة لديك أو إنشاء سجلات DNS في خوادم DNS يدويا لاحقا. لمزيد من المعلومات، راجع تكوين دقة اسم DNS لنقاط النهاية الخاصة

  8. حدد "OK".

  9. حدد "Review + Create". في الصفحة مراجعة + إنشاء ، يقوم Azure بالتحقق من صحة التكوين.

    Screenshot that shows create private endpoint review page.

  10. عندما تظهر لك رسالة "تم تمرير التحقق من الصحة"، حدد إنشاء.

الخيار 2 - تمكين نقطة النهاية الخاصة بالحسابوالبوابة الإلكترونية على حسابات Microsoft Purview الحالية

هناك طريقتان يمكنك من خلالهما إضافة حساب Microsoft Purview ونقاط النهاية الخاصة بالبوابة الإلكترونية لحساب Microsoft Purview موجود:

  • استخدم مدخل Azure (حساب Microsoft Purview).
  • استخدم مركز الروابط الخاصة.

استخدام مدخل Azure (حساب Microsoft Purview)

  1. انتقل إلى مدخل Azure، ثم حدد حساب Microsoft Purview الخاص بك، وضمن الإعدادات حدد الشبكات، ثم حدد اتصالات نقطة النهاية الخاصة.

    Screenshot that shows creating an account private endpoint.

  2. حدد + نقطة نهاية خاصة لإنشاء نقطة نهاية خاصة جديدة.

  3. املأ المعلومات الأساسية.

  4. في علامة التبويب مورد، بالنسبة لنوع المورد، حدد Microsoft.Purview/accounts.

  5. بالنسبة للمورد، حدد حساب Microsoft Purview، وبالنسبة للمورد الفرعي الهدف، حدد الحساب.

  6. في علامة التبويب تكوين ، حدد الشبكة الظاهرية واختياريا، حدد منطقة Azure Private DNS لإنشاء منطقة Azure DNS جديدة.

    ملاحظة

    لتكوين DNS، يمكنك أيضا استخدام مناطق DNS الخاصة ب Azure الحالية من القائمة المنسدلة أو إضافة سجلات DNS المطلوبة إلى خوادم DNS يدويا لاحقا. لمزيد من المعلومات، راجع تكوين دقة اسم DNS لنقاط النهاية الخاصة

  7. انتقل إلى صفحة الملخص، وحدد إنشاء لإنشاء نقطة النهاية الخاصة بالبوابة الإلكترونية.

  8. اتبع نفس الخطوات عند تحديد مدخلالمورد الفرعي الهدف.

  1. انتقل إلى مدخل Azure.

  2. في شريط البحث أعلى الصفحة، ابحث عن رابط خاص وانتقل إلى جزء الارتباط الخاص عن طريق تحديد الخيار الأول.

  3. حدد + إضافة، واملأ التفاصيل الأساسية.

    Screenshot that shows creating private endpoints from the Private Link Center.

  4. بالنسبة إلى المورد، حدد حساب Microsoft Purview الذي تم إنشاؤه بالفعل. بالنسبة إلى المورد الفرعي المستهدف، حدد الحساب.

  5. في علامة التبويب تكوين ، حدد الشبكة الظاهرية ومنطقة DNS الخاصة. انتقل إلى صفحة الملخص، وحدد إنشاء لإنشاء نقطة النهاية الخاصة بالحساب.

ملاحظة

اتبع نفس الخطوات عند تحديد مدخلالمورد الفرعي الهدف.

تمكين الوصول إلى Azure Active Directory

ملاحظة

إذا كان جهاز VM أو بوابة VPN أو بوابة VNet Peering الخاصة بك متصلا عاما بالإنترنت، فيمكنه الوصول إلى مدخل Microsoft Purview وتمكين حساب Microsoft Purview باستخدام نقاط نهاية خاصة. لهذا السبب ، لا يتعين عليك اتباع بقية التعليمات. إذا كانت شبكتك الخاصة تحتوي على قواعد مجموعة أمان الشبكة المعينة لرفض كل حركة مرور الإنترنت العامة، فستحتاج إلى إضافة بعض القواعد لتمكين الوصول إلى Azure Active Directory (Azure AD). اتبع التعليمات للقيام بذلك.

يتم توفير هذه الإرشادات للوصول إلى Microsoft Purview بأمان من جهاز Azure الظاهري. يجب اتباع خطوات مماثلة إذا كنت تستخدم VPN أو بوابات VNet Peering الأخرى.

  1. انتقل إلى الجهاز الظاهري في مدخل Azure، وضمن الإعدادات، حدد الشبكات. ثم حدد قواعد المنفذ الصادر، إضافة قاعدة المنفذ الصادر.

    Screenshot that shows adding an outbound rule.

  2. في جزء إضافة قاعدة أمان صادرة :

    1. ضمن الوجهة، حدد علامة الخدمة.
    2. ضمن علامة خدمة الوجهة، حدد AzureActiveDirectory.
    3. ضمن نطاقات منافذ الوجهة، حدد *.
    4. ضمن إجراء، حدد السماح.
    5. تحت الأولوية، يجب أن تكون القيمة أعلى من القاعدة التي رفضت كل حركة المرور على الإنترنت.

    إنشاء القاعدة.

    Screenshot that shows adding outbound rule details.

  3. اتبع الخطوات نفسها لإنشاء قاعدة أخرى للسماح بعلامة خدمة AzureResourceManager . إذا كنت بحاجة إلى الوصول إلى مدخل Azure، فيمكنك أيضا إضافة قاعدة لعلامة خدمة AzurePortal .

  4. الاتصال إلى الجهاز الظاهري وافتح المتصفح. انتقل إلى وحدة تحكم المستعرض عن طريق تحديد Ctrl+Shift+J، وقم بالتبديل إلى علامة تبويب الشبكة لمراقبة طلبات الشبكة. أدخل web.purview.azure.com في المربع URL، وحاول تسجيل الدخول باستخدام بيانات اعتماد Azure AD. من المحتمل أن يفشل تسجيل الدخول، وفي علامة التبويب الشبكة على وحدة التحكم، يمكنك رؤية Azure AD يحاول الوصول إلى aadcdn.msauth.net ولكن يتم حظره.

    Screenshot that shows sign-in fail details.

  5. في هذه الحالة، افتح موجه أوامر على الجهاز الظاهري أو ping aadcdn.msauth.net واحصل على عنوان IP الخاص به ثم أضف قاعدة منفذ صادر لعنوان IP في قواعد أمان الشبكة الخاصة بالجهاز الظاهري. قم بتعيين الوجهة إلى عناوين IP وقم بتعيين عناوين IP الوجهة إلى عنوان IP الخاص ب aadddn. نظرا لأن Azure Load Balancer وAzure Traffic Manager، قد يكون عنوان IP لشبكة تسليم محتوى Azure AD ديناميكيا. بعد الحصول على عنوان IP الخاص به، من الأفضل إضافته إلى ملف مضيف الجهاز الظاهري لإجبار المستعرض على زيارة عنوان IP هذا للحصول على شبكة تسليم محتوى Azure AD.

    Screenshot that shows the test ping.

    Screenshot that shows the Azure A D Content Delivery Network rule.

  6. بعد إنشاء القاعدة الجديدة، ارجع إلى الجهاز الظاهري وحاول تسجيل الدخول باستخدام بيانات اعتماد Azure AD مرة أخرى. إذا نجح تسجيل الدخول، فإن مدخل Microsoft Purview جاهز للاستخدام. ولكن في بعض الحالات، يقوم Azure AD بإعادة التوجيه إلى نطاقات أخرى لتسجيل الدخول استنادا إلى نوع حساب العميل. على سبيل المثال، بالنسبة لحساب live.com، يقوم Azure AD بإعادة التوجيه إلى live.com لتسجيل الدخول، ثم يتم حظر هذه الطلبات مرة أخرى. بالنسبة لحسابات موظفي Microsoft، يصل Azure AD إلى msft.sts.microsoft.com للحصول على معلومات تسجيل الدخول.

    تحقق من طلبات الشبكات في علامة التبويب الشبكات في المستعرض لمعرفة طلبات المجال التي يتم حظرها، وأعد تنفيذ الخطوة السابقة للحصول على عنوان IP الخاص به، وأضف قواعد المنفذ الصادر في مجموعة أمان الشبكة للسماح بطلبات عنوان IP هذا. إذا كان ذلك ممكنا، أضف عنوان URL وعنوان IP إلى ملف مضيف الجهاز الظاهري لإصلاح دقة DNS. إذا كنت تعرف نطاقات IP الخاصة بنطاق تسجيل الدخول بالضبط، فيمكنك أيضا إضافتها مباشرة إلى قواعد الشبكة.

  7. الآن يجب أن يكون تسجيل الدخول إلى Azure AD ناجحا. سيتم تحميل مدخل Microsoft Purview بنجاح، ولكن لن يعمل إدراج كافة حسابات Microsoft Purview لأنه لا يمكنه الوصول إلا إلى حساب Microsoft Purview محدد. أدخل web.purview.azure.com/resource/{PurviewAccountName} لزيارة حساب Microsoft Purview مباشرة الذي قمت بإعداد نقطة نهاية خاصة له بنجاح.

الخطوات التالية