Points de terminaison privés pour les solutions de gouvernance dans Microsoft Purview

Vous pouvez utiliser des liaisons privées pour sécuriser l’accès aux Catalogue de données Microsoft Purview et Data Map, et sécuriser le trafic de données entre Microsoft Purview et vos réseaux privés. Les liaisons privées Azure et les points de terminaison privés de mise en réseau Azure sont utilisés pour acheminer le trafic sur l’infrastructure de Microsoft, au lieu d’utiliser Internet. Pour en savoir plus sur Azure Private Link en général, consultez : Qu’est-ce que Azure Private Link ?

Un point de terminaison privé est une technologie directionnelle unique qui permet aux clients d’initier des connexions à un service donné, mais qui ne permet pas au service d’établir une connexion au réseau client. Pour les services multilocataires, ce modèle fournit des identificateurs de lien pour empêcher l’accès aux ressources d’autres clients hébergées dans le même service. Lorsque vous utilisez des points de terminaison privés, seul un ensemble limité d’autres ressources PaaS est accessible à partir des services à l’aide de l’intégration.

Vous pouvez déployer un point de terminaison privé d’ingestion si vous avez besoin d’analyser des sources de données IaaS et PaaS Azure dans des réseaux virtuels Azure et des sources de données locales via une connexion privée. Cette méthode garantit l’isolation réseau de vos métadonnées qui circulent des sources de données vers Mappage de données Microsoft Purview.

Vous pouvez déployer un point de terminaison privé de plateforme pour autoriser uniquement les appels clients vers le portail de gouvernance Microsoft Purview provenant du réseau privé et vous connecter au portail de gouvernance Microsoft Purview à l’aide d’une connectivité de réseau privé.

Configuration requise

Avant de déployer des points de terminaison privés pour vos ressources de gouvernance Microsoft Purview et le portail Microsoft Purview, vérifiez que vous remplissez les conditions préalables suivantes :

1. Un compte Azure avec un abonnement actif. Créez un compte gratuitement.
2. Pour configurer des points de terminaison privés, vous devez être administrateur Microsoft Purview et disposer des autorisations dans Azure pour créer et configurer des ressources telles que des machines virtuelles et des réseaux virtuels (VNets).
3. Actuellement, les connexions Azure Data Factory, Azure Machine Learning et Azure Synapse ne sont pas prises en charge avec le point de terminaison privé de la plateforme et peuvent ne pas fonctionner après le basculement.

Liste de vérification du déploiement

En suivant les instructions de ce guide, vous pouvez déployer ces points de terminaison privés pour un compte Microsoft Purview existant :

1. Choisissez un réseau virtuel Azure et un sous-réseau appropriés pour déployer des points de terminaison privés Microsoft Purview. Sélectionnez l’une des options suivantes :
   • Déployez un nouveau réseau virtuel dans votre abonnement Azure.
   • Localisez un réseau virtuel Azure existant et un sous-réseau dans votre abonnement Azure.
2. Définissez une méthode de résolution de noms DNS appropriée pour pouvoir accéder au compte Microsoft Purview et analyser les sources de données à l’aide d’un réseau privé.
3. Créez un point de terminaison privé de plateforme.
4. Activer les points de terminaison privés d’ingestion
5. Désactivez l’accès public pour Microsoft Purview.
6. Activez l’accès à Microsoft Entra ID si votre réseau privé a des règles de groupe de sécurité réseau définies pour refuser tout le trafic Internet public.
7. Déployez et inscrivez un runtime d’intégration auto-hébergé au sein du même réseau virtuel ou d’un réseau virtuel appairé où des points de terminaison privés d’ingestion et de compte Microsoft Purview sont déployés.
8. Une fois ce guide terminé, ajustez les configurations DNS si nécessaire.

Créer un réseau virtuel

L’étape suivante consiste à créer un réseau virtuel et un sous-réseau. Le nombre d’adresses IP dont votre sous-réseau aura besoin est constitué du nombre de capacités sur votre locataire, plus trois. Par exemple, si vous créez un sous-réseau pour un locataire avec sept capacités, vous aurez besoin de 10 adresses IP.

Remplacez les exemples de paramètres dans le tableau suivant par les vôtres pour créer un réseau virtuel et un sous-réseau.

1. Ouvrez le portail Azure.

2. Sélectionnez Créer une ressource > Réseau > virtuel ou recherchez Réseau virtuel dans la zone de recherche.

3. Dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :

   Paramètres	Valeur
   Détails du projet
   Abonnement	Sélectionner votre abonnement Azure
   Groupe de ressources	Sélectionnez Créer, entrez <resource-group-name>, puis SÉLECTIONNEZ OK, ou sélectionnez un existant <resource-group-name> basé sur des paramètres.
   Détails de l’instance
   Nom	Entrez <virtual-network-name>

4. Sélectionnez l’onglet Adresses IP et entrez la plage d’adresses de sous-réseau.

5. Sélectionnez Vérifier + créer>Créer.

Définir une méthode de résolution de noms DNS

Suivez cet article pour sélectionner et déployer une méthode de résolution de noms DNS qui répond aux besoins de votre organization : Configurer la résolution de noms DNS pour les points de terminaison privés.

Créer un point de terminaison privé de plateforme

L’étape suivante consiste à créer le point de terminaison privé de la plateforme pour Microsoft Purview.

1. Ouvrez le portail Azure.

2. Sélectionnez Créer une ressource > Private Link réseau>.

3. Dans Private Link Center - Vue d’ensemble, sous l’option Créer une connexion privée à un service, sélectionnez Créer un point de terminaison privé.

4. Sous l’onglet Créer un point de terminaison privé - Informations de base , entrez ou sélectionnez les informations suivantes :

   Paramètres	Valeur
   Détails du projet
   Abonnement	Sélectionner votre abonnement Azure
   Groupe de ressources	Sélectionnez myResourceGroup. Vous l’avez créé dans la section précédente
   Détails de l’instance
   Nom	Entrez myPrivateEndpoint. Si ce nom est pris, créez un nom unique.
   Nom de l’interface réseau	Renseigné automatiquement par le nom instance.
   Région	Sélectionné automatiquement en fonction de votre groupe de ressources.

5. Une fois ces informations terminées, sélectionnez Suivant : Ressource et dans la page Créer un point de terminaison privé - Ressource , entrez ou sélectionnez les informations suivantes :

   Paramètres	Valeur
   Méthode de connexion	Sélectionnez Se connecter à une ressource Azure dans mon annuaire
   Abonnement	Sélectionner votre abonnement
   Type de ressource	Sélectionnez Microsoft.Purview/accounts
   Resource	Sélectionner votre ressource Microsoft Purview
   Sous-ressource cible	Plateforme

6. Une fois que ces informations sont correctement entrées, sélectionnez Suivant : Réseau virtuel, puis entrez ou sélectionnez les informations suivantes :

   Paramètres	Valeur
   RÉSEAUTAGE
   Réseau virtuel	Sélectionnez le réseau virtuel que vous avez créé précédemment.
   Sous-réseau	Sélectionnez le sous-réseau que vous avez créé précédemment.
   Configuration d’adresse IP PRIVÉE	Sélectionnez Allouer dynamiquement l’adresse IP.

7. Sélectionnez Suivant : DNS et entrez les informations suivantes :

   Paramètres	Valeur
   Intégrer à une zone DNS privée	Sélectionnez Oui.
   Abonnement	Sélectionnez votre abonnement dans lequel votre zone DNS est configurée.
   Groupe de ressources	Sélectionnez le groupe de ressources dans lequel votre zone DNS est configurée.

8. Sélectionnez Suivant : Étiquettes. Dans la page des étiquettes, vous pouvez éventuellement ajouter les étiquettes que votre organization utilise dans Azure.

9. Sélectionnez Suivant : Vérifier + créer pour afficher la page Vérifier + créer dans laquelle Azure valide votre configuration. Lorsque le message Validation réussie s’affiche, sélectionnez Créer.

Activer le point de terminaison privé d’ingestion

1. Accédez au Portail Azure, recherchez et sélectionnez votre compte Microsoft Purview.

2. À partir de votre compte Microsoft Purview, sous Paramètres , sélectionnez Mise en réseau, puis Connexions de point de terminaison privé d’ingestion.

3. Sous Connexions de point de terminaison privé d’ingestion, sélectionnez + Nouveau pour créer un point de terminaison privé d’ingestion.

4. Renseignez les informations de base, en sélectionnant votre réseau virtuel existant et les détails d’un sous-réseau. Si vous le souhaitez, sélectionnez intégration DNS privé pour utiliser Azure DNS privé Zones. Sélectionnez zones de DNS privé Azure correctes dans chaque liste.

   Remarque

   Vous pouvez également utiliser vos zones Azure DNS privé existantes ou créer manuellement des enregistrements DNS dans vos serveurs DNS. Pour plus d’informations, consultez Configurer la résolution de noms DNS pour les points de terminaison privés.

5. Sélectionnez Créer pour terminer l’installation.

Désactiver l’accès public pour Microsoft Purview

Pour couper complètement l’accès au compte Microsoft Purview à partir de l’Internet public, procédez comme suit. Ce paramètre s’applique aux connexions de point de terminaison privé et de point de terminaison privé d’ingestion.

1. À partir de la Portail Azure, accédez au compte Microsoft Purview, puis sous Paramètres, sélectionnez Mise en réseau.

2. Accédez à l’onglet Pare-feu et vérifiez que le bouton bascule est défini sur Désactiver sur tous les réseaux.

Activer l’accès à Microsoft Entra ID

Ces instructions sont fournies pour accéder à Microsoft Purview en toute sécurité à partir d’une machine virtuelle Azure. Des étapes similaires doivent être suivies si vous utilisez un VPN ou d’autres passerelles de peering de réseaux virtuels.

1. Accédez à votre machine virtuelle dans le Portail Azure, puis sous Paramètres, sélectionnez Mise en réseau. Sélectionnez ensuite Règles >de port de trafic sortantAjouter une règle de port de trafic sortant.

2. Dans le volet Ajouter une règle de sécurité de trafic sortant :

   1. Sous Destination, sélectionnez Étiquette de service.
   2. Sous Étiquette de service de destination, sélectionnez AzureActiveDirectory.
   3. Sous Plages de ports de destination, sélectionnez *.
   4. Sous Action, sélectionnez Autoriser.
   5. Sous Priorité, la valeur doit être supérieure à la règle qui a refusé tout le trafic Internet.

   Créez la règle.

3. Suivez les mêmes étapes pour créer une autre règle afin d’autoriser l’étiquette de service AzureResourceManager . Si vous avez besoin d’accéder à la Portail Azure, vous pouvez également ajouter une règle pour l’étiquette de service AzurePortal.

4. Connectez-vous à la machine virtuelle et ouvrez le navigateur. Accédez à la console du navigateur en sélectionnant Ctrl+Maj+J, puis basculez vers l’onglet réseau pour surveiller les demandes réseau. Entrez web.purview.azure.com dans la zone URL, puis essayez de vous connecter à l’aide de vos informations d’identification Microsoft Entra. La connexion échouera probablement, et sous l’onglet Réseau de la console, vous pouvez voir Microsoft Entra ID essayant d’accéder à aadcdn.msauth.net mais se bloquer.

5. Dans ce cas, ouvrez une invite de commandes sur la machine virtuelle, effectuez un test ping aadcdn.msauth.net, obtenez son adresse IP, puis ajoutez une règle de port de trafic sortant pour l’adresse IP dans les règles de sécurité réseau de la machine virtuelle. Définissez destination sur Adresses IP et adresses IP de destination sur l’adresse IP aadcdn. En raison de Azure Load Balancer et d’Azure Traffic Manager, l’adresse IP du réseau de distribution de contenu Microsoft Entra peut être dynamique. Une fois que vous avez obtenu son adresse IP, il est préférable de l’ajouter au fichier hôte de la machine virtuelle pour forcer le navigateur à accéder à cette adresse IP afin d’obtenir le réseau de distribution de contenu Microsoft Entra.

6. Une fois la nouvelle règle créée, revenez à la machine virtuelle et essayez de vous connecter à nouveau en utilisant vos informations d’identification Microsoft Entra. Si la connexion réussit, le portail de gouvernance Microsoft Purview est prêt à être utilisé. Mais dans certains cas, Microsoft Entra ID redirige vers d’autres domaines pour se connecter en fonction du type de compte d’un client. Par exemple, pour un compte live.com, Microsoft Entra ID redirige vers live.com pour se connecter, puis ces demandes sont à nouveau bloquées. Pour les comptes d’employés Microsoft, Microsoft Entra ID accède msft.sts.microsoft.com pour les informations de connexion.

   Vérifiez les demandes de mise en réseau dans l’onglet Réseau du navigateur pour voir les requêtes du domaine qui sont bloquées, rétablissez l’étape précédente pour obtenir son adresse IP et ajoutez des règles de port sortant dans le groupe de sécurité réseau pour autoriser les demandes pour cette adresse IP. Si possible, ajoutez l’URL et l’adresse IP au fichier hôte de la machine virtuelle pour corriger la résolution DNS. Si vous connaissez les plages d’adresses IP exactes du domaine de connexion, vous pouvez également les ajouter directement aux règles de mise en réseau.

7. Votre Microsoft Entra connexion doit maintenant réussir. Le portail de gouvernance Microsoft Purview se chargera correctement, mais la liste de tous les comptes Microsoft Purview ne fonctionnera pas, car il ne peut accéder qu’à un compte Microsoft Purview spécifique. Entrez web.purview.azure.com/resource/{PurviewAccountName} pour accéder directement au compte Microsoft Purview pour lequel vous avez correctement configuré un point de terminaison privé.

Déployer le runtime d’intégration (IR) auto-hébergé et analyser vos sources de données

Une fois que vous avez déployé des points de terminaison privés d’ingestion pour votre Microsoft Purview, vous devez configurer et inscrire au moins un runtime d’intégration auto-hébergé (IR) :

• Tous les types de sources locales tels que Microsoft SQL Server, Oracle, SAP et autres sont actuellement pris en charge uniquement par le biais d’analyses basées sur le runtime d’intégration auto-hébergé. Le runtime d’intégration auto-hébergé doit s’exécuter dans votre réseau privé, puis être appairé avec votre réseau virtuel dans Azure.

• Pour tous les types de sources Azure comme Stockage Blob Azure et Azure SQL Database, vous devez choisir explicitement d’exécuter l’analyse à l’aide d’un runtime d’intégration auto-hébergé qui est déployé dans le même réseau virtuel ou un réseau virtuel appairé où les points de terminaison privés de compte Et d’ingestion Microsoft Purview sont déployés.

Suivez les étapes décrites dans Créer et gérer un runtime d’intégration auto-hébergé pour configurer un runtime d’intégration auto-hébergé. Configurez ensuite votre analyse sur la source Azure en choisissant ce runtime d’intégration auto-hébergé dans la liste déroulante Se connecter via le runtime d’intégration pour garantir l’isolation du réseau.

Tester votre connexion privée

Pour tester vos nouveaux points de terminaison privés, vous pouvez créer une machine virtuelle au sein de votre réseau virtuel privé et accéder à votre point de terminaison privé de plateforme pour vous assurer qu’il fonctionne.

1. Créez une machine virtuelle.
2. Connectez-vous à une machine virtuelle à l’aide du Bureau à distance (RDP).
3. Accédez à Microsoft Purview en privé à partir de la machine virtuelle.

Créer une machine virtuelle

L’étape suivante consiste à créer une machine virtuelle.

1. Dans le coin supérieur gauche de l’écran de votre Portail Azure, sélectionnez Créer une ressource > Machine virtuelle de calcul>.

2. Sous l’onglet Informations de base , entrez ou sélectionnez les informations suivantes :

   Paramètres	Valeur
   Détails du projet
   Abonnement	Sélectionner votre abonnement Azure
   Groupe de ressources	Sélectionnez myResourceGroup que vous avez créé dans la section précédente
   Détails de l’instance
   Nom de la machine virtuelle	Entrez myVM
   Région	Sélectionnez USA Ouest
   Options de disponibilité	Conservez la valeur par défaut Aucune redondance d’infrastructure requise
   Image	Sélectionner Windows 10 Professionnel
   Taille	Conservez la valeur par défaut Standard DS1 v2
   COMPTE ADMINISTRATEUR
   Nom d’utilisateur	Entrez un nom d’utilisateur de votre choix
   Mot de passe	Entrez un mot de passe de votre choix. Le mot de passe doit contenir au moins 12 caractères et répondre aux exigences de complexité définies
   Confirmer le mot de passe	Entrez à nouveau le mot de passe
   RÈGLES DE PORT D’ENTRÉE
   Ports entrants publics	Conservez la valeur par défaut None
   LICENCES
   J’ai une licence Windows 10/11 éligible	Cochez la case

3. Sélectionnez Suivant : Disques.

4. Sous l’onglet Disques , conservez les valeurs par défaut et sélectionnez Suivant : Mise en réseau.

5. Sous l’onglet Mise en réseau , sélectionnez les informations suivantes :

   Paramètres	Valeur
   Réseau virtuel	Conservez la valeur par défaut MyVirtualNetwork
   Espace d’adressage	Conservez la valeur par défaut 10.0.0.0/24
   Sous-réseau	Conservez la valeur par défaut mySubnet (10.0.0.0/24)
   Adresse IP publique	Conservez la valeur par défaut (nouveau) myVM-ip
   Ports entrants publics	Sélectionnez Autoriser sélectionné.
   Sélectionner les ports d’entrée	Sélectionner RDP

6. Sélectionnez Examiner et créer. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.

7. Lorsque le message Validation réussie s’affiche, sélectionnez Créer.

Se connecter à une machine virtuelle à l’aide du Bureau à distance (RDP)

Après avoir créé votre machine virtuelle, appelée myVM, connectez-vous à celle-ci à partir d’Internet en procédant comme suit :

1. Dans la barre de recherche du portail, entrez myVM.

2. Sélectionnez le bouton Se connecter , puis choisissez RDP dans le menu déroulant.

3. Entrez une adresse IP, puis sélectionnez Télécharger le fichier RDP. Azure crée un fichier .rdp (Remote Desktop Protocol) et le télécharge sur votre ordinateur.

4. Ouvrez le fichier .rdp pour démarrer la connexion Bureau à distance, puis sélectionnez Se connecter.

5. Entrez le nom d’utilisateur et le mot de passe que vous avez spécifiés lors de la création de la machine virtuelle à l’étape précédente.

6. Sélectionnez OK.

7. Vous pouvez recevoir un avertissement de certificat pendant le processus de connexion. Si vous recevez un avertissement de certificat, sélectionnez Oui ou Continuer.

Accéder à Microsoft Purview en privé à partir de la machine virtuelle

L’étape suivante consiste à accéder à Microsoft Purview en privé, à partir de la machine virtuelle que vous avez créée à l’étape précédente, en procédant comme suit :

1. Dans le Bureau à distance de myVM, ouvrez PowerShell.

2. Entrez nslookup <tenant-object-id>-api.purview-service.microsoft.com.

3. Vous recevez une réponse similaire au message suivant :

   Server:  UnKnown
   Address:  168.63.129.16
   
   Non-authoritative answer:
   Name:    <tenantid>-api.purview-service.microsoft.com
   Address:  10.5.0.4
   

4. Ouvrez le navigateur et accédez à https://purview.microsoft.com pour accéder à Microsoft Purview en privé.

Fin de la configuration du point de terminaison privé

Une fois que vous avez suivi les étapes des sections précédentes et que la liaison privée a été correctement configurée, votre organization implémente des liaisons privées en fonction des sélections de configuration suivantes, que la sélection soit définie lors de la configuration initiale ou modifiée ultérieurement.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès à l’Internet public est activée :

• Microsoft Purview n’est accessible que pour vos organization à partir de points de terminaison privés et n’est pas accessible à partir de l’Internet public.
• Le trafic provenant du réseau virtuel ciblant les points de terminaison et les scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
• Le trafic provenant du réseau virtuel ciblant des points de terminaison et des scénarios qui ne prennent pas en charge les liaisons privées sera bloqué par le service et ne fonctionnera pas.
• Il peut y avoir des scénarios qui ne prennent pas en charge les liaisons privées, qui sont donc bloquées au niveau du service lorsque l’option Bloquer l’accès à l’Internet public est activée.

Si Azure Private Link est correctement configuré et si l’option Bloquer l’accès à l’Internet public est désactivée :

• Le trafic en provenance de l’Internet public sera autorisé par les services Microsoft Purview
• Le trafic provenant du réseau virtuel ciblant les points de terminaison et les scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
• Le trafic provenant du réseau virtuel ciblant des points de terminaison et des scénarios qui ne prennent pas en charge les liaisons privées est transporté via l’Internet public et sera autorisé par les services Microsoft Purview.
• Si le réseau virtuel est configuré pour bloquer l’accès Internet public, les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le réseau virtuel et ne fonctionneront pas.