Private Verbindungen für den sicheren Zugriff auf Fabric (Vorschau)

Sie können private Verbindungen verwenden, um sicheren Zugriff auf den Datenverkehr in Fabric zu ermöglichen. Dazu werden private Azure Private Link- und Azure-Netzwerkendpunkte verwendet, um Datenverkehr mithilfe der Backbone-Netzwerk-Infrastruktur von Microsoft privat und nicht über das Internet zu senden.

Wenn private Link-Verbindungen verwendet werden, gehen diese Verbindungen durch das Microsoft Private Network Backbone, wenn Fabric-Benutzer auf Ressourcen in Fabric zugreifen.

Weitere Informationen zu Azure Private Link finden Sie unter Was ist Azure Private Link?.

Das Aktivieren privater Endpunkte hat Auswirkungen auf viele Elemente. Lesen Sie daher diesen Artikel vollständig durch, bevor Sie private Endpunkte aktivieren.

Was ist ein privater Endpunkt?

Der private Endpunkt garantiert, dass der Datenverkehr, der in die Fabric-Elemente Ihrer Organisation einfließt (z. B. beim Hochladen einer Datei in OneLake), immer dem von Ihrer Organisation konfigurierten privaten Netzwerkpfad folgt. Sie können Fabric so konfigurieren, dass alle Anforderungen, die nicht vom konfigurierten Netzwerkpfad stammen, abgelehnt werden.

Private Endpunkte garantieren nicht, dass der Datenverkehr von Fabric an Ihre externen Datenquellen, ob in der Cloud oder lokal, geschützt ist. Konfigurieren Sie die Firewall-Regeln und virtuelle Netzwerke, um Ihre Datenquellen weiter zu schützen.

Ein privater Endpunkt ist eine unidirektionale Technologie, die es zwar Clients ermöglicht, Verbindungen mit einem bestimmten Dienst zu initiieren, aber dem Dienst keine Möglichkeit bietet, eine Verbindung mit dem Kundennetzwerk zu initiieren. Dieses Muster für die Integration von privaten Endpunkten ermöglicht eine Isolation der Verwaltung, da der Dienst unabhängig von der Kundennetzwerk-Richtlinienkonfiguration arbeiten kann. Für Dienste mit mehreren Mandanten bietet dieses Modell für private Endpunkte Verbindungsbezeichner, um den Zugriff auf die Ressourcen anderer Kunden zu verhindern, die im selben Dienst gehostet werden.

Der Fabric-Dienst implementiert private Endpunkte und keine Dienstendpunkte.

Die Verwendung privater Endpunkte mit Fabric bietet die folgenden Vorteile:

• Beschränken Sie den Datenverkehr aus dem Internet auf Fabric, und leiten Sie ihn über das Microsoft-Backbone-Netzwerk weiter.
• Stellen Sie sicher, dass nur autorisierte Client-Computer auf Fabric zugreifen können.
• Erfüllen Sie die gesetzlichen und Compliance-Anforderungen, die einen privaten Zugriff auf Ihre Daten und Analysedienste vorschreiben.

Verständnis der Konfiguration des privaten Endpunkts

Es gibt zwei Mandanteneinstellungen im Fabric-Verwaltungsportal, die an der Konfiguration für private Links Verbindungen sind: Azure Private Links und Blockieren des öffentlichen Internetzugriffs.

Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierenaktiviert ist:

• Unterstützte Fabric-Elemente sind für Ihre Organisationen nur über private Endpunkte und nicht über das öffentliche Internet zugänglich.
• Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
• Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die keine privaten Verbindungen unterstützen, wird vom Dienst blockiert und funktioniert nicht.
• Es kann Szenarien geben, die keine privaten Verbindungen unterstützen und daher vom Dienst blockiert werden, wenn Öffentlichen Internetzugriff blockieren aktiviert ist.

Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierendeaktiviert ist:

• Der Datenverkehr aus dem öffentlichen Internet wird von Fabric-Diensten zugelassen.
• Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
• Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die keine privaten Verbindungen unterstützen, wird über das öffentliche Internet transportiert und von den Fabric-Diensten zugelassen.
• Wenn das virtuelle Netzwerk so konfiguriert ist, dass der öffentliche Internetzugang gesperrt ist, werden Szenarien, die keine privaten Verbindungen unterstützen, vom virtuellen Netzwerk blockiert und funktionieren nicht.

Private Verbindungen in Fabric-Umgebungen

OneLake

Onelake unterstützt private Verbindungen. Sie können Onelake im Fabric-Portal oder von jedem Computer in Ihrem etablierten VNet über den OneLake-Dateiexplorer, Azure Storage Explorer, PowerShell und mehr erkunden.

Direkte Anrufe mit regionalen OneLake-Endpunkten funktionieren nicht über eine private Verbindung zu Fabric. Weitere Informationen zum Herstellen einer Verbindung mit OneLake und regionalen Endpunkten finden Sie unter Wie stellt man eine Verbindung mit OneLake her?.

SQL-Endpunkt für Warehouse und Lakehouse

Der Zugriff auf Warehouse-Elemente und Lakehouse SQL-Endpunkte im Portal wird durch Private Link geschützt. Kunden können auch Tabular Data Stream (TDS)-Endpunkte (z. B. SQL Server Management Studio, Azure Data Studio) verwenden, um eine Verbindung zum Warehouse über Private Link herzustellen.

Die visuelle Abfrage in Warehouse funktioniert nicht, wenn die Einstellung Öffentlichen Internetzugriff blockieren aktiviert ist.

Lakehouse, Notebook, Spark-Auftragsdefinition, Umgebung

Sobald Sie die Azure Private Link-Mandanteneinstellung aktiviert haben, führt die Ausführung des ersten Spark-Jobs (Notebook oder Spark-Job-Definition) oder die Durchführung einer Lakehouse-Operation (Load to Table, Tabellenwartungsoperationen wie Optimize oder Vacuum) zur Erstellung eines verwalteten virtuellen Netzwerks für den Arbeitsbereich.

Sobald das verwaltete virtuelle Netzwerk eingerichtet ist, werden die Starterpools (Standardoption Compute) für Spark deaktiviert, da es sich dabei um vorgefertigte Cluster handelt, die in einem gemeinsamen virtuellen Netzwerk gehostet werden. Spark-Aufträge werden in benutzerdefinierten Pools ausgeführt, die zum Zeitpunkt der Auftragsübermittlung im dedizierten verwalteten virtuellen Netzwerk des Arbeitsbereichs erstellt werden. Die Migration von Arbeitsbereichen zwischen Kapazitäten in verschiedenen Regionen wird nicht unterstützt, wenn Ihrem Arbeitsbereich ein verwaltetes virtuelles Netzwerk zugewiesen ist.

Wenn die Einstellung " Private Verbindung" aktiviert ist, funktionieren Spark-Aufträge nicht für Mandanten, deren Heimatregion keine Unterstützung für Fabric Data Engineering bietet, selbst wenn sie Fabric-Kapazitäten aus anderen Regionen nutzen, die dies tun.

Weitere Informationen finden Sie unter Managed VNet for Fabric.

Dataflow Gen2

Sie können Dataflow gen2 verwenden, um Daten abzurufen, Daten zu umzuwandeln und Datenfluss über eine private Verbindung zu veröffentlichen. Wenn sich Ihre Datenquelle hinter der Firewall befindet, können Sie das VNet-Datengateway verwenden, um eine Verbindung mit Ihren Datenquellen herzustellen. Das VNet-Datengateway ermöglicht die Einfügung des Gateways (Compute) in Ihr vorhandenes virtuelles Netzwerk, wodurch eine verwaltete Gatewayumgebung bereitgestellt wird. Sie können VNet-Gatewayverbindungen verwenden, um eine Verbindung mit einem Lakehouse oder Warehouse im Mandanten herzustellen, der eine private Verbindung erfordert oder eine Verbindung mit anderen Datenquellen mit Ihrem virtuellen Netzwerk herstellt.

Pipeline

Wenn Sie eine Verbindung mit Pipeline über eine private Verbindung herstellen, können Sie die Daten-Pipeline verwenden, um Daten aus einer beliebigen Datenquelle mit öffentlichen Endpunkten in ein privates, verbindungsfähiges Microsoft Fabric Lakehouse zu laden. Kunden können auch Daten-Pipelines mit Aktivitäten, einschließlich Notebook- und Dataflow-Aktivitäten, erstellen und betreiben, indem sie die private Verbindung nutzen. Das Kopieren von Daten aus und in ein Data Warehouse ist derzeit jedoch nicht möglich, wenn die private Verbindung von Fabric aktiviert ist.

ML-Modell, -Experiment und KI-Fertigkeit

ML-Modell, -Experiment und KI-Fertigkeit unterstützen private Verbindungen.

Power BI

• Wenn der Internetzugriff deaktiviert ist und das Power BI-Semantikmodell, Datamart oder der Dataflow Gen1 eine Verbindung mit einem Power BI-Semantikmodell oder -Dataflow als Datenquelle herstellt, wird ein Verbindungsfehler auftreten.

• Die Veröffentlichung im Web wird nicht unterstützt, wenn die Mandanteneinstellung Azure Private Link in Fabric aktiviert ist.

• E-Mail-Abonnements werden nicht unterstützt, wenn die Mandanteneinstellung Öffentlichen Internetzugriff blockieren in Fabric aktiviert ist.

• Das Exportieren eines Power BI-Berichts als PDF oder PowerPoint wird nicht unterstützt, wenn die Mandanteneinstellung Azure Private Link in Fabric aktiviert ist.

• Wenn Ihre Organisation Azure Private Link in Fabric verwendet, enthalten Berichte für moderne Nutzungsmetriken partielle Daten (nur Berichtsöffnungsereignisse). Eine aktuelle Einschränkung beim Übertragen von Clientinformationen über private Verbindungen verhindert, dass Fabric Berichtsseitenaufrufe und Leistungsdaten über Private Link erfassen kann. Wenn Ihr Unternehmen die Mandanteneinstellungen Azure Private Link und Öffentlichen Internetzugriff blockieren in Fabric aktiviert hat, schlägt die Aktualisierung des Datensatzes fehl und der Bericht zu den Verwendungskennzahlen zeigt keine Daten an.

Andere Fabric-Elemente

Andere Fabric-Elemente, wie z. B. KQL-Datenbank und EventStream, unterstützen derzeit keine private Verbindung und werden automatisch deaktiviert, wenn Sie die Einstellung Öffentlichen Internetzugriff blockieren aktivieren, um den Compliance-Status zu schützen.

Microsoft Purview Information Protection

Microsoft Purview Information Protection bietet derzeit keine Unterstützung für Private Link. Das bedeutet, dass in Power BI Desktop, das in einem isolierten Netzwerk ausgeführt wird, die Schaltfläche Sensitivity grau dargestellt wird, die Etiketteninformationen nicht angezeigt werden und die Entschlüsselung von .pbix-Dateien fehlschlägt.

Um diese Funktionen in Desktop zu aktivieren, können Administratoren Dienst-Tags für die zugrunde liegenden Dienste konfigurieren, die Microsoft Purview Information Protection, Exchange Online Protection (EOP) und Azure Information Protection (AIP) unterstützen. Stellen Sie sicher, dass Sie die Auswirkungen der Verwendung von Diensttags in einem isolierten Netzwerk für private Verbindungen verstehen.

Weitere Überlegungen und Einschränkungen

Bei der Arbeit mit privaten Endpunkten in Fabric sind mehrere Aspekte zu beachten:

• Fabric unterstützt bis zu 200 Kapazitäten in einem Mandanten, wenn die private Verbindung aktiviert ist.

• Wenn die private Verbindung im Verwaltungsportal aktiviert ist, wird die Mandantenmigration blockiert.

• Kunden können sich nicht mit Fabric-Ressourcen in mehreren Mandanten von einem einzigen VNet aus verbinden, sondern nur mit dem letzten Mandanten, der die private Verbindung eingerichtet hat.

• Private Verbindungen werden in der Testkapazität nicht unterstützt.

• Jegliche Verwendung externer Bilder oder Designs ist nicht möglich, wenn eine Umgebung mit einer privaten Verbindung verwendet wird.

• Jeder private Endpunkt kann nur mit einem Mandanten verbunden werden. Sie können keine private Verbindung einrichten, die von mehr als einem Mandanten verwendet werden kann.

• Für Fabric-Benutzer: Lokale Daten-Gateways werden nicht unterstützt und können nicht registriert werden, wenn private Verbindungen aktiviert sind. Um den Gateway-Konfigurator erfolgreich auszuführen, müssen sie die private Verbindung deaktivieren. VNet-Datengateways funktionieren.

• Bei Nicht-PowerBI-Gatewaybenutzern (PowerApps oder LogicApps)funktioniert das Gateway nicht ordnungsgemäß, wenn private Verbindungen aktiviert sind. Eine mögliche Umgehung ist die Deaktivierung der Azure Private Link-Mandanteneinstellung, die Konfiguration des Gateways in einer entfernten Region (einer anderen als der empfohlenen Region) und die erneute Aktivierung von Azure Private Link. Nachdem die private Verbindung wieder aktiviert wurde, verwendet das Gateway in der Remoteregion keine privaten Verbindungen mehr.

• Die REST-APIs für private Verbindungsressourcen unterstützen keine Tags.

• Auf die folgenden URLs muss über den Clientbrowser zugegriffen werden:

  • Erforderlich für die Authentifizierung:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, obwohl dies je nach Kontotyp unterschiedlich sein kann.

  • Erforderlich für die Data Engineering und Data Science Erfahrungen:

    • http://res.cdn.office.net/
    • https://pypi.org/* (z. B. https://pypi.org/pypi/azure-storage-blob/json)
    • Lokale statische Endpunkte für condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Zugehöriger Inhalt

• Einrichten und Verwenden sicherer privater Endpunkte
• Verwaltetes VNet für Fabric
• Bedingter Zugriff
• Ermitteln Ihrer Microsoft Entra-Mandanten-ID