الاتصال إلى Microsoft Purview ومسح مصادر البيانات ضوئيا بشكل خاص وآمن

  • مقالة
  • قراءة خلال 9 دقائق

في هذا الدليل، ستتعلم كيفية نشر نقاط النهاية الخاصة بالحسابوالبوابة الإلكترونيةوالاستيعاب لحساب Microsoft Purview الخاص بك للوصول إلى حساب purview وفحص مصادر البيانات باستخدام وقت تشغيل تكامل مستضاف ذاتيا بشكل آمن وخاص، وبالتالي تمكين عزل الشبكة من طرف إلى طرف.

يتم استخدام نقطة النهاية الخاصة لحساب Microsoft Purview لإضافة طبقة أخرى من الأمان عن طريق تمكين السيناريوهات التي يسمح فيها فقط لمكالمات العميل التي تنشأ من داخل الشبكة الظاهرية بالوصول إلى حساب Microsoft Purview. نقطة النهاية الخاصة هذه هي أيضا شرط أساسي لنقطة النهاية الخاصة بالبوابة الإلكترونية.

مطلوب نقطة النهاية الخاصة لمدخل Microsoft Purview لتمكين الاتصال بمدخل إدارة Microsoft Purview باستخدام شبكة خاصة.

يمكن ل Microsoft Purview فحص مصادر البيانات في Azure أو بيئة محلية باستخدام نقاط النهاية الخاصة بالابتلاع . يلزم نشر ثلاثة موارد خاصة لنقاط النهاية وربطها بالموارد المدارة من Microsoft Purview عند نشر نقطة النهاية الخاصة بالابتلاع:

  • ترتبط نقطة النهاية الخاصة Blob بحساب تخزين مدار من Microsoft Purview.
  • ترتبط نقطة النهاية الخاصة في قائمة الانتظار بحساب تخزين مدار من Microsoft Purview.
  • ترتبط نقطة النهاية الخاصة بمساحة الاسم بمساحة اسم مركز الأحداث المدارة من Microsoft Purview.

Diagram that shows Microsoft Purview and Private Link architecture.

قائمة التحقق من النشر

باستخدام أحد خيارات النشر الموضحة بمزيد من التفصيل في هذا الدليل، يمكنك نشر حساب Microsoft Purview جديد باستخدام نقاط النهاية الخاصة بالحسابوالبوابة الإلكترونيةوالاستيعاب أو يمكنك اختيار نشر نقاط النهاية الخاصة هذه لحساب Microsoft Purview موجود:

  1. اختر شبكة Azure الظاهرية المناسبة وشبكة فرعية لنشر نقاط النهاية الخاصة في Microsoft Purview. اختر أحد الخيارات التالية:

    • نشر شبكة ظاهرية جديدة في اشتراك Azure الخاص بك.
    • حدد موقع شبكة Azure الظاهرية الحالية وشبكة فرعية في اشتراكك في Azure.

  2. حدد طريقة مناسبة لتحليل اسم DNS، بحيث يمكنك الوصول إلى حساب Microsoft Purview وفحص مصادر البيانات باستخدام شبكة خاصة. يمكنك استخدام أي من الخيارات التالية:

    • انشر مناطق Azure DNS الجديدة باستخدام الخطوات الموضحة بمزيد من التفصيل في هذا الدليل.
    • أضف سجلات DNS المطلوبة إلى مناطق Azure DNS الحالية باستخدام الخطوات الموضحة بمزيد من التفصيل في هذا الدليل.
    • بعد إكمال الخطوات الواردة في هذا الدليل، أضف سجلات DNS A المطلوبة في خوادم DNS الحالية يدويا.

  3. نشر حساب Microsoft Purview جديد باستخدام نقاط نهاية خاصة بالحساب والمدخل والاستيعاب، أو نشر نقاط نهاية خاصة لحساب Microsoft Purview موجود.

  4. قم بتمكين الوصول إلى Azure Active Directory إذا كانت شبكتك الخاصة تحتوي على قواعد مجموعة أمان الشبكة المعينة لرفض كل حركة مرور الإنترنت العامة.

  5. نشر وقت تشغيل التكامل المستضاف ذاتيا وتسجيله داخل نفس VNet أو VNet نظير حيث يتم نشر حساب Microsoft Purview ونقاط النهاية الخاصة بالابتلاع.

  6. بعد الانتهاء من هذا الدليل، اضبط تكوينات DNS إذا لزم الأمر.

  7. تحقق من صحة الشبكة ودقة الاسم بين جهاز الإدارة وجهاز الأشعة تحت الحمراء المستضاف ذاتيا ومصادر البيانات إلى Microsoft Purview.

الخيار 1 - نشر حساب Microsoft Purview جديد باستخدام نقاط النهاية الخاصة بالحسابوالبوابة الإلكترونيةوالاستيعاب

  1. انتقل إلى مدخل Azure، ثم انتقل إلى صفحة حسابات Microsoft Purview . حدد + إنشاء لإنشاء حساب Microsoft Purview جديد.

  2. املأ المعلومات الأساسية، وضمن علامة التبويب الشبكة، قم بتعيين طريقة الاتصال إلى نقطة نهاية خاصة. قم بتعيين تمكين نقطة النهاية الخاصة إلى الحساب والبوابة الإلكترونية والاستيعاب.

  3. ضمن الحساب والبوابة الإلكترونية ، حدد + إضافة لإضافة نقطة نهاية خاصة لحساب Microsoft Purview الخاص بك.

    Screenshot that shows create private endpoint end-to-end page selections.

  4. في الصفحة إنشاء نقطة نهاية خاصة ، بالنسبة إلى المورد الفرعي Microsoft Purview، اختر موقعك، وقدم اسما لنقطة النهاية الخاصة بالحساب ، وحدد الحساب. ضمن الشبكات، حدد الشبكة الظاهرية والشبكة الفرعية، واختياريا، حدد التكامل مع منطقة DNS الخاصة لإنشاء منطقة DNS خاصة ب Azure جديدة.

    Screenshot that shows create account private endpoint page.

    ملاحظة

    يمكنك أيضا استخدام مناطق DNS الخاصة ب Azure الموجودة لديك أو إنشاء سجلات DNS في خوادم DNS يدويا لاحقا. لمزيد من المعلومات، راجع تكوين دقة اسم DNS لنقاط النهاية الخاصة

  5. حدد "OK".

  6. ضمن معالج الحساب والبوابة الإلكترونية، حدد مرة أخرى +إضافة مرة أخرى لإضافة نقطة نهاية خاصة بالبوابة الإلكترونية .

  7. في الصفحة إنشاء نقطة نهاية خاصة ، بالنسبة إلى المورد الفرعي ل Microsoft Purview، اختر موقعك، وقدم اسما لنقطة النهاية الخاصة بالبوابة الإلكترونية، وحدد البوابة الإلكترونية. ضمن الشبكات، حدد الشبكة الظاهرية والشبكة الفرعية، واختياريا، حدد التكامل مع منطقة DNS الخاصة لإنشاء منطقة DNS خاصة ب Azure جديدة.

    Screenshot that shows create portal private endpoint page.

    ملاحظة

    يمكنك أيضا استخدام مناطق DNS الخاصة ب Azure الموجودة لديك أو إنشاء سجلات DNS في خوادم DNS يدويا لاحقا. لمزيد من المعلومات، راجع تكوين دقة اسم DNS لنقاط النهاية الخاصة

  8. حدد "OK".

  9. ضمن الابتلاع، قم بإعداد نقاط النهاية الخاصة بالاستيعاب من خلال توفير تفاصيل للاشتراك والشبكة الافتراضية والشبكةالفرعية التي تريد إقرانها بنقطة النهاية الخاصة.

  10. اختياريا، حدد تكامل DNS الخاص لاستخدام مناطق DNS الخاصة في Azure.

    Screenshot that shows create private endpoint overview page.

    هام

    من المهم تحديد مناطق DNS الخاصة في Azure الصحيحة للسماح بدقة الاسم الصحيحة بين Microsoft Purview ومصادر البيانات. يمكنك أيضا استخدام مناطق DNS الخاصة ب Azure الموجودة لديك أو إنشاء سجلات DNS في خوادم DNS يدويا لاحقا. لمزيد من المعلومات، راجع تكوين دقة اسم DNS لنقاط النهاية الخاصة.

  11. حدد "Review + Create". في الصفحة مراجعة + إنشاء ، يقوم Azure بالتحقق من صحة التكوين.

  12. عندما تظهر لك رسالة "تم تمرير التحقق من الصحة"، حدد إنشاء.

الخيار 2 - تمكين نقطة النهاية الخاصة بالحسابوالبوابة الإلكترونيةوالاستيعاب على حسابات Microsoft Purview الحالية

  1. انتقل إلى مدخل Azure، ثم حدد حساب Microsoft Purview الخاص بك، وضمن الإعدادات حدد الشبكات، ثم حدد اتصالات نقطة النهاية الخاصة.

    Screenshot that shows creating an account private endpoint.

  2. حدد + نقطة نهاية خاصة لإنشاء نقطة نهاية خاصة جديدة.

  3. املأ المعلومات الأساسية.

  4. في علامة التبويب مورد، بالنسبة لنوع المورد، حدد Microsoft.Purview/accounts.

  5. بالنسبة للمورد، حدد حساب Microsoft Purview، وبالنسبة للمورد الفرعي الهدف، حدد الحساب.

  6. في علامة التبويب تكوين ، حدد الشبكة الظاهرية واختياريا، حدد منطقة Azure Private DNS لإنشاء منطقة Azure DNS جديدة.

    ملاحظة

    لتكوين DNS، يمكنك أيضا استخدام مناطق DNS الخاصة ب Azure الحالية من القائمة المنسدلة أو إضافة سجلات DNS المطلوبة إلى خوادم DNS يدويا لاحقا. لمزيد من المعلومات، راجع تكوين دقة اسم DNS لنقاط النهاية الخاصة

  7. انتقل إلى صفحة الملخص، وحدد إنشاء لإنشاء نقطة النهاية الخاصة بالبوابة الإلكترونية.

  8. اتبع نفس الخطوات عند تحديد مدخلالمورد الفرعي الهدف.

  9. من حساب Microsoft Purview الخاص بك، ضمن الإعدادات حدد الشبكات، ثم حدد اتصالات نقطة النهاية الخاصة باستيعاب.

  10. ضمن اتصالات نقطة النهاية الخاصة ب Ingestion، حدد + جديد لإنشاء نقطة نهاية خاصة جديدة للاستيعاب.

    Screenshot that shows add private endpoint to existing account.

  11. املأ المعلومات الأساسية ، وحدد شبكتك الافتراضية الحالية وتفاصيل الشبكة الفرعية. اختياريا، حدد تكامل DNS الخاص لاستخدام مناطق DNS الخاصة في Azure. حدد مناطق DNS الخاصة في Azure الصحيحة من كل قائمة.

    ملاحظة

    يمكنك أيضا استخدام مناطق Azure Private DNS الحالية أو إنشاء سجلات DNS في خوادم DNS يدويا لاحقا. لمزيد من المعلومات، راجع تكوين دقة اسم DNS لنقاط النهاية الخاصة

  12. حدد إنشاء لإنهاء الإعداد.

تمكين الوصول إلى Azure Active Directory

ملاحظة

إذا كان جهاز VM أو بوابة VPN أو بوابة VNet Peering الخاصة بك متصلا عاما بالإنترنت، فيمكنه الوصول إلى مدخل Microsoft Purview وتمكين حساب Microsoft Purview باستخدام نقاط نهاية خاصة. لهذا السبب ، لا يتعين عليك اتباع بقية التعليمات. إذا كانت شبكتك الخاصة تحتوي على قواعد مجموعة أمان الشبكة المعينة لرفض كل حركة مرور الإنترنت العامة، فستحتاج إلى إضافة بعض القواعد لتمكين الوصول إلى Azure Active Directory (Azure AD). اتبع التعليمات للقيام بذلك.

يتم توفير هذه الإرشادات للوصول إلى Microsoft Purview بأمان من جهاز Azure الظاهري. يجب اتباع خطوات مماثلة إذا كنت تستخدم VPN أو بوابات VNet Peering الأخرى.

  1. انتقل إلى الجهاز الظاهري في مدخل Azure، وضمن الإعدادات، حدد الشبكات. ثم حدد قواعد> المنفذ الصادرإضافة قاعدة المنفذ الصادر.

    Screenshot that shows adding an outbound rule.

  2. في جزء إضافة قاعدة أمان صادرة :

    1. ضمن الوجهة، حدد علامة الخدمة.
    2. ضمن علامة خدمة الوجهة، حدد AzureActiveDirectory.
    3. ضمن نطاقات منافذ الوجهة، حدد *.
    4. ضمن إجراء، حدد السماح.
    5. تحت الأولوية، يجب أن تكون القيمة أعلى من القاعدة التي رفضت كل حركة المرور على الإنترنت.

    إنشاء القاعدة.

    Screenshot that shows adding outbound rule details.

  3. اتبع الخطوات نفسها لإنشاء قاعدة أخرى للسماح بعلامة خدمة AzureResourceManager . إذا كنت بحاجة إلى الوصول إلى مدخل Azure، فيمكنك أيضا إضافة قاعدة لعلامة خدمة AzurePortal .

  4. الاتصال إلى الجهاز الظاهري وافتح المتصفح. انتقل إلى وحدة تحكم المستعرض عن طريق تحديد Ctrl+Shift+J، وقم بالتبديل إلى علامة تبويب الشبكة لمراقبة طلبات الشبكة. أدخل web.purview.azure.com في المربع URL، وحاول تسجيل الدخول باستخدام بيانات اعتماد Azure AD. من المحتمل أن يفشل تسجيل الدخول، وفي علامة التبويب الشبكة على وحدة التحكم، يمكنك رؤية Azure AD يحاول الوصول إلى aadcdn.msauth.net ولكن يتم حظره.

    Screenshot that shows sign-in fail details.

  5. في هذه الحالة، افتح موجه أوامر على الجهاز الظاهري أو ping aadcdn.msauth.net واحصل على عنوان IP الخاص به ثم أضف قاعدة منفذ صادر لعنوان IP في قواعد أمان الشبكة الخاصة بالجهاز الظاهري. قم بتعيين الوجهة إلى عناوين IP وقم بتعيين عناوين IP الوجهة إلى عنوان IP الخاص ب aadddn. نظرا لأن Azure Load Balancer وAzure Traffic Manager، قد يكون عنوان IP لشبكة تسليم محتوى Azure AD ديناميكيا. بعد الحصول على عنوان IP الخاص به، من الأفضل إضافته إلى ملف مضيف الجهاز الظاهري لإجبار المستعرض على زيارة عنوان IP هذا للحصول على شبكة تسليم محتوى Azure AD.

    Screenshot that shows the test ping.

    Screenshot that shows the Azure A D Content Delivery Network rule.

  6. بعد إنشاء القاعدة الجديدة، ارجع إلى الجهاز الظاهري وحاول تسجيل الدخول باستخدام بيانات اعتماد Azure AD مرة أخرى. إذا نجح تسجيل الدخول، فإن مدخل Microsoft Purview جاهز للاستخدام. ولكن في بعض الحالات، يقوم Azure AD بإعادة التوجيه إلى نطاقات أخرى لتسجيل الدخول استنادا إلى نوع حساب العميل. على سبيل المثال، بالنسبة لحساب live.com، يقوم Azure AD بإعادة التوجيه إلى live.com لتسجيل الدخول، ثم يتم حظر هذه الطلبات مرة أخرى. بالنسبة لحسابات موظفي Microsoft، يصل Azure AD إلى msft.sts.microsoft.com للحصول على معلومات تسجيل الدخول.

    تحقق من طلبات الشبكات في علامة التبويب الشبكات في المستعرض لمعرفة طلبات المجال التي يتم حظرها، وأعد تنفيذ الخطوة السابقة للحصول على عنوان IP الخاص به، وأضف قواعد المنفذ الصادر في مجموعة أمان الشبكة للسماح بطلبات عنوان IP هذا. إذا كان ذلك ممكنا، أضف عنوان URL وعنوان IP إلى ملف مضيف الجهاز الظاهري لإصلاح دقة DNS. إذا كنت تعرف نطاقات IP الخاصة بنطاق تسجيل الدخول بالضبط، فيمكنك أيضا إضافتها مباشرة إلى قواعد الشبكة.

  7. الآن يجب أن يكون تسجيل الدخول إلى Azure AD ناجحا. سيتم تحميل مدخل Microsoft Purview بنجاح، ولكن لن يعمل إدراج كافة حسابات Microsoft Purview لأنه لا يمكنه الوصول إلا إلى حساب Microsoft Purview محدد. أدخل web.purview.azure.com/resource/{PurviewAccountName} لزيارة حساب Microsoft Purview مباشرة الذي قمت بإعداد نقطة نهاية خاصة له بنجاح.

انشر وقت تشغيل التكامل المستضاف ذاتيا (IR) وافحص مصادر البيانات.

بمجرد نشر نقاط النهاية الخاصة بالاستيعاب ل Microsoft Purview، تحتاج إلى إعداد وقت تشغيل تكامل واحد على الأقل مستضاف ذاتيا (IR) وتسجيله:

  • يتم حاليا دعم جميع أنواع المصادر المحلية مثل Microsoft SQL Server و Oracle و SAP وغيرها فقط من خلال عمليات الفحص المستندة إلى الأشعة تحت الحمراء المستضافة ذاتيا. يجب تشغيل الأشعة تحت الحمراء المستضافة ذاتيا داخل شبكتك الخاصة ثم يتم إقرانها بشبكتك الظاهرية في Azure.

  • بالنسبة لجميع أنواع مصادر Azure مثل Azure Blob Storage وقاعدة بيانات Azure SQL، يجب أن تختار صراحة تشغيل الفحص باستخدام وقت تشغيل تكامل مستضاف ذاتيا يتم نشره في نفس VNet أو VNet نظير حيث يتم نشر حساب Microsoft Purview ونقاط النهاية الخاصة للابتلاع.

اتبع الخطوات الواردة في إنشاء وقت تشغيل تكامل مستضاف ذاتيا وإدارته لإعداد IR مستضاف ذاتيا . ثم قم بإعداد الفحص الخاص بك على مصدر Azure عن طريق اختيار IR المستضاف ذاتيا في القائمة المنسدلة الاتصال عبر وقت تشغيل التكامل لضمان عزل الشبكة.

Screenshot that shows running an Azure scan by using self-hosted IR.

هام

تأكد من تنزيل أحدث إصدار من وقت تشغيل التكامل المستضاف ذاتيا وتثبيته من مركز تنزيل Microsoft.

جدران الحماية لتقييد الوصول العام

لقطع الوصول إلى حساب Microsoft Purview تماما من الإنترنت العام، اتبع الخطوات التالية. ينطبق هذا الإعداد على كل من اتصالات نقطة النهاية الخاصة ونقطة النهاية الخاصة بالابتلاع.

  1. انتقل إلى حساب Microsoft Purview من مدخل Azure، وضمن الإعدادات>الشبكات، حدد اتصالات نقطة النهاية الخاصة.

  2. انتقل إلى علامة التبويب جدار الحماية ، وتأكد من تعيين مفتاح التبديل إلى رفض.

    Screenshot that shows private endpoint firewall settings.

الخطوات التالية