Partage via


Configurer et utiliser des liaisons privées

Dans Fabric, vous pouvez configurer et utiliser un point de terminaison par lequel votre organisation pourra accéder à Fabric en mode privé. Pour configurer des points de terminaison privés, vous devez être administrateur Fabric et avoir, dans Azure, les autorisations nécessaires pour créer et configurer des ressources telles que des machines virtuelles (VM) et des réseaux virtuels (VNet).

Voici les étapes à suivre pour accéder de façon sécurisée à Fabric par le biais de points de terminaison privés :

  1. Configurer des points de terminaison privés pour Fabric.
  2. Créer des services de liaison privée Microsoft.PowerBI pour la ressource Power BI dans le Portail Azure.
  3. Créer un réseau virtuel.
  4. Créer une machine virtuelle (VM).
  5. Créez un point de terminaison privé.
  6. Se connecter à une machine virtuelle à l’aide de Bastion.
  7. Accéder à Fabric en mode privé depuis la machine virtuelle.
  8. Désactiver l’accès public pour Fabric.

Les sections suivantes fournissent des informations supplémentaires pour chaque étape.

Étape 1. Configurer des points de terminaison privés pour Fabric

  1. Connectez-vous à Fabric en tant qu’administrateur.

  2. Accédez aux paramètres du locataire.

  3. Recherchez et développez le paramètre Azure Private Link.

  4. Définissez le bouton bascule sur Activé.

    Capture d’écran montrant la configuration du locataire Azure Private Link.

La configuration d’une liaison privée pour votre locataire prend environ 15 minutes. Cela inclut la configuration d’un FQDN (nom de domaine complet) distinct pour le locataire afin de permettre la communication privée avec les services Fabric.

Une fois ce processus terminé, passez à l’étape suivante.

Cette étape est utilisée pour prendre en charge l’association de point de terminaison privé Azure à votre ressource Fabric.

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Créer une ressource.

  3. Sous Déploiement de modèle, sélectionnez Créer.

    Capture d’écran du lien Créer un modèle dans la section Créer une ressource.

  4. Sur la page Déploiement personnalisé, sélectionnez Créer votre propre modèle dans l’éditeur.

    Capture d’écran de l’option Créer votre propre modèle.

  5. Dans l’éditeur, créez la ressource Fabric suivante à l’aide du modèle ARM, comme indiqué ci-dessous, où

    {
      "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {},
      "resources": [
          {
              "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
              "apiVersion": "2020-06-01",
              "name" : "<resource-name>",
              "location": "global",
              "properties" : 
              {
                   "tenantId": "<tenant-object-id>"
              }
          }
      ]
    }
    

    Si vous utilisez un cloud Azure Government pour Power BI, location doit être le nom de région du locataire. Par exemple, si le locataire se trouve dans la région US Gov Texas, vous devez indiquer "location": "usgovtexas" dans le modèle ARM. La liste des régions Power BI US Government est disponible dans l’article Power BI pour le gouvernement des États-Unis.

    Important

    Utilisez Microsoft.PowerBI/privateLinkServicesForPowerBI comme valeur type, même si la ressource est créée pour Fabric.

  6. Enregistrez le modèle. Entrez ensuite les informations ci-dessous.

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez **Créer nouveau. Saisissez test-PL comme nom. Cliquez sur OK.
    Détails de l’instance Sélectionnez la région.
    Région

    Capture d’écran de l’onglet Bases du déploiement personnalisé.

  7. Dans l’écran de vérification, sélectionnez Créer pour accepter les conditions générales.

    Capture d’écran des conditions générales de la Place de marché Azure.

Étape 3. Créez un réseau virtuel

La procédure suivante crée un réseau virtuel avec un sous-réseau de ressources, un sous-réseau Azure Bastion et un hôte Azure Bastion.

Le nombre d’adresses IP dont votre sous-réseau aura besoin correspond au nombre de capacités que vous avez créées sur votre client, plus quinze. Par exemple, si vous créez un sous-réseau pour un locataire avec sept capacités, vous aurez besoin de vingt-deux adresses IP.

  1. Dans le portail Azure, recherchez et sélectionnez Réseaux virtuels.

  2. Dans la page Réseaux virtuels, sélectionnez + Créer.

  3. Sous l’onglet Général de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-PL, le nom que nous avons créé à l’étape 2.
    Détails de l’instance
    Nom Entrez vnet-1.
    Région Sélectionnez la région dans laquelle vous lancerez la connexion à Fabric.

    Capture d’écran de l’onglet Informations de base dans Créer un réseau virtuel.

  4. Sélectionnez Suivant pour passer à l’onglet Sécurité. Vous pouvez laisser les paramètres par défaut ou les modifier en fonction des besoins métiers.

  5. Sélectionnez Suivant pour passer à l’onglet Adresses IP. Vous pouvez laisser les paramètres par défaut ou les modifier en fonction des besoins métiers.

    Capture d’écran de l’onglet Adresses IP dans Créer un réseau virtuel.

  6. Cliquez sur Enregistrer.

  7. Sélectionnez Vérifier + créer au bas de l’écran. Quand la validation réussit, sélectionnez Créer.

Étape 4. Création d'une machine virtuelle

L’étape suivante consiste à créer une machine virtuelle.

  1. Dans le portail Azure, sélectionnez Créer une ressource > Calcul > Machines virtuelles.

  2. Sous l’onglet Informations de base, entrez ou sélectionnez les informations suivantes :

    Paramètres Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Resource group Sélectionnez le groupe de ressources que vous avez indiqué à l’étape 2.
    Détails de l’instance
    Nom de la machine virtuelle Entrez le nom de la nouvelle machine virtuelle. Sélectionnez la bulle d’informations en regard du nom du champ pour afficher des informations importantes sur les noms des machines virtuelles.
    Région Sélectionnez la région que vous avez sélectionnée à l’étape 3.
    Options de disponibilité Pour les tests, choisissez Aucune redondance d’infrastructure requise.
    Type de sécurité Conservez la valeur par défaut.
    Image Sélectionnez l’image souhaitée. Par exemple, choisissez Windows Server 2022.
    Architecture de machine virtuelle Laissez la valeur par défaut x64.
    Taille Sélectionnez une taille.
    COMPTE ADMINISTRATEUR
    Nom d’utilisateur Entrez un nom d’utilisateur de votre choix.
    Mot de passe Entrez un mot de passe de votre choix. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies.
    Confirmer le mot de passe Retapez le mot de passe.
    RÈGLES DES PORTS D’ENTRÉE
    Aucun port d’entrée public Choisissez Aucun(e).

    Capture d’écran de l’onglet Informations de base dans la page créer un ordinateur virtuel.

  3. Sélectionnez Suivant : Disques.

  4. Sous l’onglet Disques, conservez les valeurs par défaut et sélectionnez Suivant : Mise en réseau.

  5. Sous l’onglet Mise en réseau, sélectionnez les informations suivantes :

    Paramètres Valeur
    Réseau virtuel Sélectionnez le réseau virtuel que vous avez créé à l’étape 3.
    Sous-réseau Sélectionnez la valeur par défaut (10.0.0.0/24) que vous avez créée à l’étape 3.

    Conservez les valeurs par défaut pour les autres champs.

    Capture d’écran de l’option Créer un mappage réseau machines virtuelles.

  6. Sélectionnez Revoir + créer. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.

  7. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

Étape 5. Créer un Private Endpoint

L’étape suivante consiste à créer un point de terminaison privé pour Fabric.

  1. Dans la zone de recherche située en haut du portail, entrez Point de terminaison privé. Sélectionnez Points de terminaison privés.

  2. Sélectionnez + Créer dans Points de terminaison privés.

  3. Sous l’onglet Général de Créer un point de terminaison privé, entrez ou sélectionnez les informations suivantes :

    Paramètres Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Resource group Sélectionnez le groupe de ressources que vous avez créé à l’étape 2.
    Détails de l’instance
    Nom Saisissez FabricPrivateEndpoint. Si ce nom est utilisé, créez un nom unique.
    Région Sélectionnez la région que vous avez créée pour votre réseau virtuel à l’étape 3.

    L’image suivante montre la fenêtre Créer un point de terminaison privé - Général.

    Capture d’écran de l’onglet Informations de base dans Créer un point de terminaison privé.

  4. Sélectionnez Suivant : Ressource. Dans le volet Ressource, saisissez ou sélectionnez les informations suivantes :

    Paramètres Valeur
    Méthode de connexion Sélectionnez Se connecter à une ressource Azure dans mon répertoire.
    Abonnement Sélectionnez votre abonnement.
    Type de ressource Sélectionnez Microsoft.PowerBI/privateLinkServicesForPowerBI
    Ressource Choisissez la ressource Fabric que vous avez créée à l’étape 2.
    Sous-ressource cible Locataire

    L’image suivante montre la fenêtre Créer un point de terminaison privé - Ressource.

    Capture d’écran de la fenêtre Ressources dans Créer un point de terminaison privé.

  5. Sélectionnez Suivant : réseau virtuel. Dans Réseau virtuel, entrez ou sélectionnez les informations suivantes.

    Paramètres Valeur
    MISE EN RÉSEAU
    Réseau virtuel Sélectionnez le réseau virtuel vnet-1 que vous avez créé à l’étape 3.
    Sous-réseau Sélectionnez le sous réseau subnet-1 que vous avez créé à l’étape 3.
    INTÉGRATION À DNS PRIVÉ
    Intégrer à une zone DNS privée Sélectionnez Oui.
    Zone DNS privée Sélectionnez
    (New)privatelink.analysis.windows.net
    (New)privatelink.pbidedicated.windows.net
    (New)privatelink.prod.powerquery.microsoft.com

    Capture d’écran de la fenêtre DNS Créer un point de terminaison privé.

  6. Sélectionnez Suivant : Balises, puis Suivant : Vérifier + créer.

  7. Sélectionnez Créer.

Étape 6. Se connecter à une machine virtuelle à l’aide de Bastion

Azure Bastion protège vos machines virtuelles en fournissant une connectivité légère basée sur un navigateur, sans qu’il soit nécessaire de les exposer via des adresses IP publiques. Pour plus d’informations, consultez Présentation d’Azure Bastion.

Connectez-vous à votre machine virtuelle en procédant comme suit :

  1. Créez un sous-réseau appelé AzureBastionSubnet dans le réseau virtuel que vous avez créé à l’étape 3.

    Capture d’écran de Créer AzureBastionSubnet.

  2. Dans la barre de recherche du portail, saisissez testVM, la machine virtuelle que vous avez créée à l’étape 4.

  3. Sélectionnez le bouton Se connecter, puis choisissez Se connecter via Bastion dans le menu déroulant.

    Capture d’écran de l’option Connexion via Bastion.

  4. Sélectionnez Déployer Bastion.

  5. Dans la page Bastion, entrez les informations d’identification d’authentification requises, puis cliquez sur Se connecter.

Étape 7. Accéder à Fabric en mode privé à partir de la machine virtuelle

L’étape suivante consiste à accéder à Fabric en mode privé, à partir de la machine virtuelle que vous avez créée à l’étape précédente, en procédant comme suit :

  1. Sur la machine virtuelle, ouvrez PowerShell.

  2. Saisissez nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.

  3. Vous recevez une réponse semblable au message suivant et vous pouvez voir que l’adresse IP privée est renvoyée. Vous pouvez voir que le point de terminaison OneLake et le point de terminaison de l’entrepôt renvoient également des adresses IP privées.

    Capture d’écran de Windows PowerShell montrant les adresses IP renvoyées.

  4. Ouvrez le navigateur et allez sur app.fabric.microsoft.com pour accéder à Fabric en mode privé.

Étape 8 : Désactiver l’accès public pour Fabric

Enfin, vous pouvez éventuellement désactiver l’accès public pour Fabric.

Si vous désactivez l’accès public pour Fabric, certaines contraintes d’accès aux services Fabric sont mises en place, comme décrit dans la section suivante.

Important

Lorsque vous activez l’accès Internet bloqué, certains éléments Fabric non pris en charge sont désactivés. Découvrez la liste complète des limitations et considérations dans à propos des liens privés

Pour désactiver l’accès public pour Fabric, connectez-vous au service Fabric en tant qu’administrateur, et accédez au portail Administration. Sélectionnez Paramètres du locataire et faites défiler le contenu jusqu’à la section Mise en réseau avancée. Activez le bouton bascule dans le paramètre de locataire Bloquer l’accès public à Internet.

Capture d’écran montrant l’activation du paramètre de blocage de l’accès à Internet public pour les locataires.

Il faut environ 15 minutes au système pour désactiver l’accès de votre organisation à Fabric à partir de l’Internet public.

Achèvement de la configuration du point de terminaison privé

Une fois que vous avez suivi les étapes décrites dans les sections précédentes et que la liaison privée a été correctement configurée, votre organisation implémente des liaisons privées en fonction des sélections de configuration suivantes, que la sélection soit définie lors de la configuration initiale ou qu’elle ait été modifiée par la suite.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est activée :

  • Fabric est accessible uniquement pour votre organisation à partir de points de terminaison privés. Le service n’est pas disponible depuis l’Internet public.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le service et ne fonctionneront pas.
  • Certains scénarios peuvent ne pas prendre en charge les liaisons privées et seront donc bloqués au niveau du service si le paramètre Bloquer l’accès public à Internet est activé.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est désactivée :

  • Le trafic provenant de l’Internet public sera autorisé par les services Fabric.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et les scénarios qui ne prennent pas en charge les liaisons privées sont transportés via l’Internet public et seront autorisés par les services Fabric.
  • Si le réseau virtuel est configuré pour bloquer l’accès à l’Internet public, les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le réseau virtuel et ne fonctionneront pas.

La vidéo suivante montre comment connecter un appareil mobile à Fabric à l’aide de points de terminaison privés :

Remarque

Cette vidéo peut utiliser des versions antérieures de Power BI Desktop ou le service Power BI.

D’autres questions ? Demandez à la communauté Fabric.

Si vous souhaitez désactiver le paramètre Private Link, vérifiez que tous les points de terminaison privés que vous avez créés et que la zone DNS privée correspondante est supprimée avant de désactiver le paramètre. Si votre réseau virtuel a des points de terminaison privés configurés mais que Private Link est désactivé, les connexions de ce réseau virtuel peuvent échouer.

Si vous souhaitez désactiver le paramètre Private Link, il est recommandé de le faire pendant les heures non ouvrées. Le temps d’arrêt peut prendre jusqu’à 15 minutes pour que certains scénarios reflètent la modification.