Partager via

Configurer et utiliser des liaisons privées au niveau du locataire

Microsoft Fabric prend en charge l’accès sécurisé aux données via des liaisons privées, qui utilisent Azure Private Link et des points de terminaison privés pour router le trafic via le réseau principal du réseau privé de Microsoft plutôt que sur l’Internet public. Vous pouvez configurer des liaisons privées au niveau du locataire et de l’espace de travail. Cet article explique comment configurer des liens privés pour un locataire Fabric.

Avant de commencer, passez en revue les informations contenues dans les liens privés pour les locataires Fabric. Pour configurer des points de terminaison privés, vous devez être administrateur Fabric et avoir, dans Azure, les autorisations nécessaires pour créer et configurer des ressources telles que des machines virtuelles (VM) et des réseaux virtuels (VNet).

Étape 1. Configurer des points de terminaison privés pour Fabric

  1. Connectez-vous à Fabric en tant qu’administrateur.

  2. Accédez aux paramètres du locataire.

  3. Recherchez et développez le paramètre Azure Private Link.

  4. Définissez le bouton bascule sur Activé.

    Capture d’écran montrant la configuration du locataire Azure Private Link.

La configuration d’une liaison privée pour votre locataire prend environ 15 minutes, notamment la configuration d’un nom de domaine complet distinct (nom de domaine complet) pour que le locataire communique en privé avec les services Fabric.

Une fois ce processus terminé, passez à l’étape suivante.

Cette étape est utilisée pour prendre en charge l’association de point de terminaison privé Azure à votre ressource Fabric.

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Créer une ressource.

  3. Sous Déploiement de modèle, sélectionnez Créer.

    Capture d’écran du lien Créer un modèle dans la section Créer une ressource.

  4. Sur la page Déploiement personnalisé, sélectionnez Créer votre propre modèle dans l’éditeur.

    Capture d’écran de l’option Créer votre propre modèle.

  5. Dans l’éditeur, créez la ressource Fabric suivante à l’aide du modèle ARM comme indiqué, où

    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}

    Si vous utilisez un cloud Azure Government pour Power BI, location doit être le nom de région du locataire. Par exemple, si le locataire se trouve dans la région US Gov Texas, vous devez indiquer "location": "usgovtexas" dans le modèle ARM. La liste des régions Power BI US Government est disponible dans l’article Power BI pour le gouvernement des États-Unis.

    Important

    Utilisez Microsoft.PowerBI/privateLinkServicesForPowerBI comme valeur type, même si la ressource est créée pour Fabric.

  6. Enregistrez le modèle. Entrez ensuite les informations ci-dessous.

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    groupe de ressources Sélectionnez **Créer nouveau. Saisissez test-PL comme nom. Cliquez sur OK.
    Détails de l’instance Sélectionnez la région.
    Région

    Capture d’écran de l’onglet Bases du déploiement personnalisé.

  7. Dans l’écran de vérification, sélectionnez Créer pour accepter les conditions générales.

    Capture d’écran des conditions générales de la Place de marché Azure.

Étape 3. Créez un réseau virtuel

La procédure suivante crée un réseau virtuel avec un sous-réseau de ressources, un sous-réseau Azure Bastion et un hôte Azure Bastion.

Le nombre d’adresses IP dont votre sous-réseau a besoin est le nombre de capacités que vous avez créées sur votre locataire plus 15. Par exemple, si vous créez un sous-réseau pour un locataire avec sept capacités, vous avez besoin de 22 adresses IP.

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche, entrez réseaux virtuels et sélectionnez-le dans les résultats de la recherche.

  3. Dans la page Réseaux virtuels, sélectionnez + Créer.

  4. Sous l’onglet Général de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Subscription Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez le groupe de ressources que vous avez créé précédemment pour le service de liaison privée, tel que test-PL.
    Nom Entrez un nom pour votre réseau virtuel, tel que vnet-1.
    Region Sélectionnez la région dans laquelle vous lancerez la connexion à Fabric.

    Capture d’écran de l’onglet Informations de base dans Créer un réseau virtuel.

  5. Sélectionnez Suivant pour passer à l’onglet Sécurité . Vous pouvez conserver les paramètres par défaut ou les modifier en fonction des exigences de votre organisation.

  6. Sélectionnez Suivant pour passer à l’onglet Adresses IP . Vous pouvez conserver les paramètres par défaut ou les modifier en fonction des exigences de votre organisation.

    Capture d’écran de l’onglet Adresses IP dans Créer un réseau virtuel.

  7. Cliquez sur Enregistrer.

  8. Sélectionnez Vérifier + créer au bas de l’écran. Quand la validation réussit, sélectionnez Créer.

Étape 4. Création d'une machine virtuelle

L’étape suivante consiste à créer une machine virtuelle.

  1. Connectez-vous au portail Azure.

  2. Accédez à Créer des machines virtuelles de calcul > de ressources>.

  3. Sous l’onglet Informations de base, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Subscription Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez le même groupe de ressources que celui que vous avez utilisé précédemment lors de la création du service de liaison privée.
    Nom de la machine virtuelle Entrez le nom de la nouvelle machine virtuelle. Sélectionnez la bulle d’informations en regard du nom du champ pour afficher des informations importantes sur les noms des machines virtuelles.
    Region Sélectionnez la même région que celle utilisée précédemment lors de la création du réseau virtuel.
    Options de disponibilité Pour les tests, choisissez Aucune redondance d’infrastructure requise.
    Type de sécurité Conservez la valeur par défaut.
    Image Sélectionnez l’image souhaitée. Par exemple, choisissez Windows Server 2022.
    Architecture de machine virtuelle Laissez la valeur par défaut x64.
    Taille Sélectionnez une taille.
    Nom d’utilisateur Entrez un nom d’utilisateur de votre choix.
    Mot de passe Entrez un mot de passe de votre choix. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies.
    Confirmer le mot de passe Retapez le mot de passe.
    Ports entrants publics Choisissez Aucun(e).

    Capture d’écran de l’onglet Informations de base dans la page créer un ordinateur virtuel.

  4. Sélectionnez Suivant : Disques.

  5. Sous l’onglet Disques, conservez les valeurs par défaut et sélectionnez Suivant : Mise en réseau.

  6. Sous l’onglet Mise en réseau, sélectionnez les informations suivantes :

    Paramètre Valeur
    Réseau virtuel Sélectionnez le réseau virtuel que vous avez créé précédemment pour ce déploiement.
    Sous-réseau Sélectionnez le sous-réseau par défaut (par exemple, 10.0.0.0/24) que vous avez créé précédemment dans le cadre de la configuration du réseau virtuel.

    Pour le reste des champs, conservez les valeurs par défaut.

    Capture d’écran de l’option Créer un mappage réseau machines virtuelles.

  7. Sélectionnez Revoir + créer. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.

  8. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

Étape 5. Créer un Private Endpoint

L’étape suivante consiste à créer un point de terminaison privé pour Fabric.

  1. Dans la zone de recherche située en haut du portail, entrez Point de terminaison privé. Sélectionnez Points de terminaison privés.

  2. Sélectionnez + Créer dans Points de terminaison privés.

  3. Sous l’onglet Général de Créer un point de terminaison privé, entrez ou sélectionnez les informations suivantes :

    Paramètres Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    groupe de ressources Sélectionnez le groupe de ressources que vous avez créé précédemment lors de la création du service de liaison privée dans Azure.
    Détails de l’instance
    Nom Saisissez FabricPrivateEndpoint. Si ce nom est utilisé, créez un nom unique.
    Région Sélectionnez la région que vous avez créée précédemment pour votre réseau virtuel.

    L’image suivante montre la fenêtre Créer un point de terminaison privé - Général.

    Capture d’écran de l’onglet Informations de base dans Créer un point de terminaison privé.

  4. Sélectionnez Suivant : Ressource. Dans le volet Ressource, saisissez ou sélectionnez les informations suivantes :

    Paramètres Valeur
    Méthode de connexion Sélectionnez Se connecter à une ressource Azure dans mon répertoire.
    Abonnement Sélectionnez votre abonnement.
    Type de ressource Sélectionnez Microsoft.PowerBI/privateLinkServicesForPowerBI
    Ressource Choisissez la ressource Fabric que vous avez créée précédemment lors de la création du service de liaison privée dans Azure.
    Sous-ressource cible Locataire

    L’image suivante montre la fenêtre Créer un point de terminaison privé - Ressource.

    Capture d’écran de la fenêtre Ressources dans Créer un point de terminaison privé.

  5. Sélectionnez Suivant : réseau virtuel. Dans Réseau virtuel, entrez ou sélectionnez les informations suivantes.

    Paramètres Valeur
    MISE EN RÉSEAU
    Réseau virtuel Sélectionnez le nom du réseau virtuel que vous avez créé précédemment (par exemple vnet-1).
    Sous-réseau Sélectionnez le nom de sous-réseau que vous avez créé précédemment (par exemple , sous-réseau-1).
    INTÉGRATION À DNS PRIVÉ
    Intégrer à une zone DNS privée Sélectionnez Oui.
    Zone DNS privée Sélectionnez
    (New)privatelink.analysis.windows.net
    (New)privatelink.pbidedicated.windows.net
    (New)privatelink.prod.powerquery.microsoft.com

    Capture d’écran de la fenêtre DNS Créer un point de terminaison privé.

  6. Sélectionnez Suivant : Balises, puis Suivant : Vérifier + créer.

  7. Sélectionnez Créer.

Étape 6. Se connecter à une machine virtuelle à l’aide de Bastion

Azure Bastion protège vos machines virtuelles en fournissant une connectivité légère basée sur un navigateur, sans qu’il soit nécessaire de les exposer via des adresses IP publiques. Pour plus d’informations, consultez Présentation d’Azure Bastion.

Connectez-vous à votre machine virtuelle en procédant comme suit :

  1. Dans le réseau virtuel que vous avez créé précédemment, ajoutez un nouveau sous-réseau nommé AzureBastionSubnet.

    Capture d’écran de Créer AzureBastionSubnet.

  2. Dans la barre de recherche du portail, tapez le nom de la machine virtuelle que vous avez créée précédemment, puis sélectionnez-le dans les résultats de la recherche.

  3. Sélectionnez le bouton Se connecter, puis choisissez Se connecter via Bastion dans le menu déroulant.

    Capture d’écran de l’option Connexion via Bastion.

  4. Sélectionnez Déployer Bastion.

  5. Dans la page Bastion , entrez les informations d’identification d’authentification requises, puis sélectionnez Se connecter.

Étape 7. Accéder à Fabric en mode privé à partir de la machine virtuelle

L’étape suivante consiste à accéder à Fabric en mode privé, à partir de la machine virtuelle que vous avez créée à l’étape précédente, en procédant comme suit :

  1. Sur la machine virtuelle, ouvrez PowerShell.

  2. Saisissez nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Vous recevez une réponse semblable au message suivant et vous pouvez voir que l’adresse IP privée est renvoyée. Vous pouvez voir que le point de terminaison OneLake et le point de terminaison Warehouse renvoient également des adresses IPs privées.

    Capture d’écran de Windows PowerShell montrant les adresses IP renvoyées.

  4. Ouvrez le navigateur et allez sur app.fabric.microsoft.com pour accéder à Fabric en mode privé.

Étape 8 : Désactiver l’accès public pour Fabric

Enfin, vous pouvez éventuellement désactiver l’accès public pour Fabric.

Si vous désactivez l’accès public pour Fabric, certaines contraintes d’accès aux services Fabric sont mises en place, comme décrit dans la section suivante.

Important

Lorsque vous activez l’accès Internet bloqué, certains éléments fabric non pris en charge deviennent désactivés. Découvrez la liste complète des limitations et considérations relatives aux liens privés.

Pour désactiver l’accès public pour Fabric, connectez-vous au service Fabric en tant qu’administrateur, et accédez au portail Administration. Sélectionnez Paramètres du locataire et faites défiler le contenu jusqu’à la section Mise en réseau avancée. Activez le bouton bascule dans le paramètre de locataire Bloquer l’accès public à Internet.

Capture d’écran montrant l’activation du paramètre de blocage de l’accès à Internet public pour les locataires.

Il faut environ 15 minutes au système pour désactiver l’accès de votre organisation à Fabric à partir de l’Internet public.

Achèvement de la configuration du point de terminaison privé

Une fois que vous avez effectué les étapes décrites dans les sections précédentes et que la liaison privée est correctement configurée, votre organisation implémente des liens privés en fonction des sélections de configuration suivantes, que la sélection soit définie lors de la configuration initiale ou modifiée ultérieurement.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est activée :

  • Fabric est accessible uniquement pour votre organisation à partir de points de terminaison privés. Le service n’est pas disponible depuis l’Internet public.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
  • Le trafic provenant des points de terminaison et des scénarios de ciblage de réseau virtuel qui ne prennent pas en charge les liaisons privées est bloqué par le service.
  • Il peut y avoir des scénarios qui ne prennent pas en charge les liaisons privées, qui sont bloquées au niveau du service lorsque l’accès à Internet public est activé.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est désactivée :

  • Le trafic à partir de l’Internet public est autorisé par les services Fabric.
  • Le trafic à partir du réseau virtuel ciblant les points de terminaison et les scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
  • Le trafic à partir du réseau virtuel ciblant des points de terminaison et des scénarios qui ne prennent pas en charge les liaisons privées est transporté via l’Internet public et est autorisé par les services Fabric.
  • Si le réseau virtuel est configuré pour bloquer l’accès à Internet public, les scénarios qui ne prennent pas en charge les liaisons privées sont bloqués par le réseau virtuel.

La vidéo suivante montre comment connecter un appareil mobile à Fabric à l’aide de points de terminaison privés :

Remarque

Cette vidéo peut utiliser des versions antérieures de Power BI Desktop ou le service Power BI.

D’autres questions ? Demandez à la communauté Fabric.

Si vous souhaitez désactiver le paramètre Lien privé, assurez-vous que tous les points de terminaison privés que vous avez créés et la zone DNS privée correspondante sont supprimés avant de désactiver le paramètre. Si votre réseau virtuel a des points de terminaison privés configurés mais que Private Link est désactivé, les connexions de ce réseau virtuel peuvent échouer.

Si vous souhaitez désactiver le paramètre Private Link, il est recommandé de le faire pendant les heures non commerciales. Le temps d’arrêt peut prendre jusqu’à 15 minutes pour que certains scénarios reflètent la modification.

Contenu connexe

  • Last updated on