Partage via

Liaisons privées pour les locataires Fabric

Vous pouvez utiliser des liaisons privées pour fournir un accès sécurisé au trafic de données dans Fabric. Les points de terminaison privés Azure Private Link et Réseau Azure sont utilisés pour envoyer le trafic de données en privé à l’aide de l’infrastructure réseau principale de Microsoft au lieu d’accéder à Internet. Lorsque des connexions de liaison privée sont utilisées, elles passent par le segment principal du réseau privé Microsoft lorsque les utilisateurs de Fabric accèdent à des ressources dans Fabric.

Fabric prend en charge les liaisons privées au niveau du locataire et au niveau de l’espace de travail :

  • Les liaisons privées au niveau du locataire fournissent une stratégie réseau à l’ensemble du locataire. Cet article se concentre sur les liens privés au niveau du locataire.

  • Les liens privés au niveau de l’espace de travail fournissent un contrôle granulaire, ce qui permet de restreindre l’accès à certains espaces de travail tout en permettant au reste des espaces de travail de rester ouverts pour l’accès public. Pour en savoir plus, consultez Les liens privés pour les espaces de travail Fabric.

L’activation des points de terminaison privés affecte de nombreux éléments. Vous devez donc passer en revue l’intégralité de cet article avant d’activer les points de terminaison privés pour votre locataire.

Qu'est-ce qu'un point de terminaison privé ?

Les points de terminaison privés garantissent que le trafic entrant dans les éléments Fabric de votre organisation, comme lors du chargement d’un fichier dans OneLake, suit toujours le chemin réseau de la liaison privée configurée de votre organisation. Vous pouvez configurer Fabric pour que le service refuse toutes les demandes qui ne viennent pas du chemin réseau configuré.

Les points de terminaison privés ne garantissent pas que le trafic provenant de Fabric en direction de vos sources de données externes, dans le cloud ou locales, est sécurisé. Configurez des règles de pare-feu et des réseaux virtuels pour sécuriser davantage vos sources de données.

Un point de terminaison privé est une technologie directionnelle qui permet aux clients d’établir des connexions à un service donné, mais qui ne permet pas au service d’établir une connexion au réseau des clients. Ce modèle d’intégration de point de terminaison privé assure l’isolement de la gestion, puisque le service peut fonctionner indépendamment de la configuration de la stratégie réseau du client. Pour les services multilocataires, ce modèle de point de terminaison privé fournit des identificateurs de liaison pour empêcher l’accès à d’autres ressources des clients hébergées au sein du même service.

Le service Fabric met en œuvre des points de terminaison privés, et non des points de terminaison de service.

L’utilisation de points de terminaison privés avec Fabric offre les avantages suivants :

  • Limitez le trafic provenant d’Internet en direction de Fabric et acheminez-le via le réseau principal Microsoft.
  • Vérifiez que seules les machines clientes autorisées peuvent accéder à Fabric.
  • Respectez les exigences réglementaires et de conformité qui imposent un accès privé à vos services de données et d’analyse.

Comprendre la configuration des points de terminaison privés

Deux paramètres de locataire dans le portail d’administration Fabric sont impliqués dans la configuration de liaisons privées : Liaisons privées Azure et Bloquer l’accès public à Internet.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est activée :

  • Les éléments Fabric pris en charge sont accessibles uniquement pour votre organisation à partir de points de terminaison privés. Ils ne sont pas accessibles depuis l’Internet public.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
  • Le trafic provenant des points de terminaison et des scénarios de ciblage de réseau virtuel qui ne prennent pas en charge les liaisons privées est bloqué par le service.
  • Il peut y avoir des scénarios qui ne prennent pas en charge les liaisons privées, qui sont bloquées au niveau du service lorsque l’accès à Internet public est activé.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est désactivée :

  • Le trafic à partir de l’Internet public est autorisé par les services Fabric.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
  • Le trafic à partir du réseau virtuel ciblant des points de terminaison et des scénarios qui ne prennent pas en charge les liaisons privées est transporté via l’Internet public et est autorisé par les services Fabric.
  • Si le réseau virtuel est configuré pour bloquer l’accès à Internet public, les scénarios qui ne prennent pas en charge les liaisons privées sont bloqués par le réseau virtuel.

OneLake

OneLake prend en charge Private Link. Vous pouvez explorer OneLake dans le portail Fabric ou depuis n’importe quel ordinateur au sein de votre réseau virtuel établi à l’aide de l’explorateur de fichiers OneLake, de l’Explorateur Stockage Azure, de PowerShell, etc.

Les appels directs utilisant des points de terminaison régionaux OneLake ne fonctionnent pas via une liaison privée vers Fabric. Pour plus d’informations sur la connexion à OneLake et aux points de terminaison régionaux, consultez Comment me connecter à OneLake ?.

Point de terminaison d’analytique SQL d’entrepôt et de Lakehouse

L'accès à un entrepôt ou au point de terminaison d'analytique SQL d'un Lakehouse dans le portail Fabric est protégé par une liaison privée. Les clients peuvent également utiliser des points de terminaison TDS (Tabular Data Stream) (par exemple , SQL Server Management Studio (SSMS) ou l’extension MSSQL pour Visual Studio Code) pour se connecter à Warehouse via une liaison privée.

La requête visuelle dans un entrepôt ne fonctionne pas si le paramètre Bloquer l’accès public à Internet est activé.

Base de données SQL

L’accès à une base de données SQL ou au point de terminaison d’analytique SQL dans le portail Fabric est protégé par une liaison privée. Les clients peuvent également utiliser des points de terminaison TDS (Tabular Data Stream) (par exemple, SQL Server Management Studio ou Visual Studio Code) pour se connecter à la base de données SQL via une liaison privée. Pour plus d’informations sur la connexion à une base de données SQL, consultez Authentification dans la base de données SQL dans Microsoft Fabric.

Lakehouse, Notebook, Définition de tâche Spark, Environnement

Une fois que vous avez activé le paramètre de locataire Azure Private Link , l’exécution du premier travail Spark (notebook ou définition de travail Spark) ou l’exécution d’une opération Lakehouse (Charger sur table, opérations de maintenance de table telles que l’optimisation ou le vide) entraîne la création d’un réseau virtuel managé pour l’espace de travail.

Une fois le réseau virtuel managé approvisionné, les pools de démarrage (option de calcul par défaut) pour Spark sont désactivés, car ils sont des clusters préwarmed hébergés dans un réseau virtuel partagé. Les tâches Spark s’exécutent sur des pools personnalisés créés à la demande au moment de la soumission de tâches au sein du réseau virtuel managé dédié de l’espace de travail. La migration de l’espace de travail entre les capacités dans différentes régions n’est pas prise en charge si un réseau virtuel managé est attribué à votre espace de travail.

Lorsque le paramètre de liaison privée est activé, les travaux Spark ne fonctionnent pas pour les locataires dont la région d’accueil ne prend pas en charge l’ingénierie des données Fabric, même s’ils utilisent des capacités Fabric à partir d’autres régions qui le font.

Pour plus d’informations, consultez Réseau Virtuel géré pour Fabric.

Dataflow Gen2

Vous pouvez utiliser Dataflow Gen2 pour obtenir des données, transformer des données et publier un flux de données via une liaison privée. Lorsque votre source de données se trouve derrière le pare-feu, vous pouvez utiliser la passerelle de données de réseau virtuel pour vous connecter à vos sources de données. La passerelle de données VNet permet l’injection de la passerelle (calcul) dans votre réseau virtuel existant, ce qui offre une expérience de passerelle managée. Vous pouvez utiliser des connexions de passerelle de réseau virtuel pour vous connecter à un Lakehouse ou Warehouse dans le locataire qui nécessite une liaison privée ou vous connecter à d’autres sources de données avec votre réseau virtuel.

Canalisation

Lorsque vous vous connectez au pipeline via une liaison privée, vous pouvez utiliser le pipeline pour charger des données à partir de n’importe quelle source de données avec des points de terminaison publics dans une instance Microsoft Fabric Lakehouse avec liaison privée. Les clients peuvent également créer et opérationnaliser des pipelines avec des activités, notamment des activités Notebook et Dataflow, à l’aide de la liaison privée. Toutefois, la copie de données depuis et vers un entrepôt de données n’est actuellement pas possible si la liaison privée de Fabric est activée.

Modèle ML, expérience et agent de données

Modèle d'apprentissage automatique, expériment et agent de données supporte la liaison privée.

Power BI

  • Si l’accès à Internet est désactivé et si le modèle sémantique Power BI, Datamart ou Dataflow Gen1 se connecte à un modèle sémantique Power BI ou à un dataflow en tant que source de données, la connexion échoue.

  • La fonctionnalité Publier sur le web n’est pas prise en charge si le paramètre de locataire Azure Private Link est activé dans Fabric.

  • Les abonnements par e-mail ne sont pas pris en charge si le paramètre de locataire Bloquer l’accès public à Internet est activé dans Fabric.

  • L’exportation d’un rapport Power BI au format PDF ou PowerPoint n’est pas prise en charge si le paramètre Azure Private Link est activé dans Fabric.

  • Si votre organisation utilise Azure Private Link dans Fabric, les rapports de métriques d’utilisation modernes contiennent des données partielles (seuls les événements d’ouverture de rapport). Une limitation actuelle lors du transfert d’informations client par le biais de liaisons privées empêche Fabric de capturer les vues de pages de rapport et les données de performances par le biais de liaisons privées. Si votre organisation a activé les paramètres du locataire Azure Private Link et Bloquer l’accès à Internet public dans Fabric, l’actualisation du jeu de données échoue et le rapport des métriques d’utilisation n’affiche aucune donnée.

  • Copilot n’est actuellement pas pris en charge pour les environnements réseau privés ou fermés.

Eventstream

Eventstream prend en charge Private Link, ce qui permet l’ingestion de données sécurisée en temps réel à partir de plusieurs sources sans exposer le trafic vers l’Internet public. Il prend également en charge la transformation de données en temps réel, comme le filtrage et l’enrichissement des flux de données entrants, avant de les router vers des destinations dans Fabric.

Scénarios non pris en charge :

  • Le point de terminaison personnalisé en tant que source n’est pas pris en charge.
  • Le point de terminaison personnalisé comme destination n’est pas pris en charge.
  • Eventhouse en tant que destination (avec mode d’ingestion directe) n’est pas pris en charge.
  • L’activateur en tant que destination n’est pas pris en charge.

Eventhouse

L’Eventhouse prend en charge la liaison privée, ce qui permet l’ingestion et l’interrogation des données sécurisées à partir de votre réseau virtuel Azure via une liaison privée. Vous pouvez ingérer des données à partir de différentes sources, notamment les comptes de stockage Azure, les fichiers locaux et Dataflow Gen2. L'ingestion en temps réel garantit la disponibilité immédiate des données. En outre, vous pouvez utiliser des requêtes KQL ou Spark pour accéder aux données dans un Eventhouse.

Limites :

  • L’ingestion de données à partir de OneLake n’est pas prise en charge.
  • La création d’un raccourci vers un Eventhouse n’est pas possible.
  • La connexion à un "Eventhouse" dans un pipeline n'est pas possible.
  • L’ingestion de données à l’aide de l’ingestion mise en file d’attente n’est pas prise en charge.
  • Les connecteurs de données qui s’appuient sur l’ingestion mise en file d’attente ne sont pas pris en charge.
  • L’interrogation d’un Eventhouse à l’aide de T-SQL n’est pas possible.

Solutions de données de santé (préversion)

Les clients peuvent approvisionner et utiliser des solutions de données de santé dans Microsoft Fabric via une liaison privée. Dans un locataire où une liaison privée est activée, les clients peuvent déployer des fonctionnalités de solution de données de santé pour exécuter des scénarios complets d’ingestion et de transformation des données pour leurs données cliniques. Également inclus est la possibilité d’ingérer des données de soins de santé à partir de différentes sources, telles que des comptes de stockage Azure, et bien plus encore.

Événements de fabric

Les Fabric Events prennent en charge Private Link sans affecter la remise des événements, car les événements proviennent au sein du locataire.

Événements Azure

Les événements Azure prennent en charge Private Link avec le comportement suivant lorsque le paramètre bloquer l’accès à Internet public est activé :

  • De nouvelles configurations pour consommer des événements Azure (par exemple, les événements stockage Blob Azure) sont bloquées.
  • Les configurations existantes consommant des événements Azure empêchent la remise de nouveaux événements.

Protection des informations Microsoft Purview

La protection des informations Microsoft Purview ne prend pas actuellement en charge Private Link. Cela signifie que dans Power BI Desktop s’exécutant dans un réseau isolé, le bouton Sensibilité est grisé, les informations d’étiquette ne s’affichent pas et le déchiffrement des fichiers .pbix échoue.

Pour activer ces fonctionnalités dans Desktop, les administrateurs peuvent configurer des étiquettes de service pour les services sous-jacents qui prennent en charge Protection des données Microsoft Purview, Exchange Online Protection (EOP) et Azure Information Protection (AIP). Vous devez bien comprendre ce qu’implique l’utilisation d’étiquettes de service dans un réseau isolé de liaisons privées.

Base de données miroir

La liaison privée est prise en charge pour la mise en miroir ouverte, la mise en miroir Azure Cosmos DB, la mise en miroir Azure SQL Managed Instance et la mise en miroir SQL Server 2025. Pour d’autres types de mise en miroir de bases de données, si le paramètre de locataire Bloquer l’accès à Internet public est activé, les bases de données mises en miroir actives entrent dans un état suspendu et la mise en miroir ne peut pas être démarrée.

Pour la mise en miroir ouverte, lorsque le paramètre Bloquer l’accès à Internet public est activé, vérifiez que l’éditeur écrit des données dans la zone d’atterrissage OneLake via une liaison privée.

Autres considérations et limitations

Tenez compte des points suivants lorsque vous utilisez des points de terminaison privés dans Fabric :

  • Fabric prend en charge jusqu’à 450 capacités dans un client où Private Link est activé.

  • Lorsque la capacité est nouvellement créée, elle ne prend pas en charge la liaison privée tant que son point de terminaison n’est pas reflété dans la zone DNS privée, ce qui peut prendre jusqu’à 24 heures.

  • La migration du locataire est bloquée si Private Link est activé dans le portail d’administration Fabric.

  • Les clients ne peuvent pas se connecter aux ressources Fabric dans plusieurs locataires à partir du même emplacement réseau, car cela dépend de la configuration des enregistrements DNS. Seul le dernier locataire ayant configuré Private Link peut être accédé.

  • La liaison privée privé n’est pas prise en charge dans le cadre de la capacité d’évaluation gratuite. Lors de l’accès à Fabric via le trafic Private Link, la capacité d’évaluation ne fonctionne pas.

  • Vous ne pouvez pas utiliser d’images ou de thèmes externes dans un environnement de liaison privée.

  • Chaque point de terminaison privé peut être connecté à un seul locataire. Vous ne pouvez pas configurer une liaison privée destinée à être utilisée par plusieurs locataires.

  • Les scénarios interlocataires ne sont pas pris en charge. Cela signifie que la configuration d’un point de terminaison privé au niveau du locataire dans un locataire Azure pour se connecter directement à un service Private Link dans un autre locataire n’est pas prise en charge.

  • Pour les utilisateurs Fabric : les passerelles de données locales ne sont pas prises en charge et leur enregistrement échoue lorsque Private Link est activé. Pour que le configurateur de passerelle puisse s’exécuter correctement, Private Link doit être désactivé. En savoir plus sur ce scénario Les passerelles de données de réseau virtuel fonctionnent. Pour plus d’informations, voir ces observations.

  • Pour les utilisateurs de passerelle non PowerBI (PowerApps ou LogicApps): la passerelle de données locale n’est pas prise en charge lorsque Private Link est activé. Nous vous recommandons d’explorer l’utilisation de la passerelle de données de réseau virtuel, qui peut être utilisée avec des liens privés.

  • Les liens privés ne fonctionnent pas avec les diagnostics de téléchargement de la passerelle de données du réseau virtuel.

  • L’application Métriques de capacité Microsoft Fabric ne prend pas en charge Private Link.

  • L’onglet Catalogue OneLake - Gouvernance n’est pas disponible lorsque Private Link est activé.

  • Les API REST des ressources de liens privés ne prennent pas en charge les étiquettes.

  • Les URL suivantes doivent être accessibles depuis le navigateur client :

    • Requis pour l’authentification :

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, même s’il peut être différent en fonction du type de compte.

    • Requises pour les expériences d'ingénierie des données et de science des données :

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (par exemple, https://pypi.org/pypi/azure-storage-blob/json)
      • points de terminaison statiques locaux pour condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Contenu connexe

  • Last updated on