Collegamenti privati per i tenant di Fabric

È possibile usare collegamenti privati per fornire l'accesso sicuro per il traffico di dati in Fabric. I collegamenti privati di Azure e gli endpoint privati di Rete di Azure vengono usati per inviare il traffico dati privatamente usando l'infrastruttura di rete backbone di Microsoft anziché passare attraverso Internet. Quando si usano connessioni di collegamento privato, queste connessioni passano attraverso il backbone della rete privata Microsoft quando gli utenti di Fabric accedono alle risorse nel servizio Fabric.

Fabric supporta i collegamenti privati sia a livello di tenant che a livello di area di lavoro:

• I collegamenti privati a livello di tenant forniscono criteri di rete per l'intero tenant. Questo articolo è incentrato sui collegamenti privati a livello di tenant.

• I collegamenti privati a livello di area di lavoro forniscono un controllo granulare, rendendo possibile limitare l'accesso a determinate aree di lavoro, consentendo al resto delle aree di lavoro di rimanere aperte per l'accesso pubblico. Per ulteriori informazioni, vedere Collegamenti privati per le aree di lavoro di Fabric.

L'abilitazione degli endpoint privati influisce su molti elementi, quindi è necessario esaminare l'intero articolo prima di abilitare gli endpoint privati per il tenant.

Che cos'è un endpoint privato?

L'endpoint privato garantisce che il traffico diretto agli elementi Fabric dell'organizzazione (ad esempio, il caricamento di un file in OneLake) segua sempre il percorso della rete di collegamento privato configurato dall'organizzazione. È possibile configurare Fabric per negare tutte le richieste che non provengono dal percorso di rete configurato.

Gli endpoint privati non garantiscono che il traffico da Fabric alle origini dati esterne, sia nel cloud che in sede, sia protetto. Configurare regole del firewall e reti virtuali per proteggere ulteriormente le origini dati.

Un endpoint privato è una tecnologia unidirezionale che consente ai client di avviare connessioni a un determinato servizio, ma non consente al servizio di avviare una connessione nella rete del cliente. Questo modello di integrazione degli endpoint privati consente di ottenere l'isolamento della gestione, perché il servizio può funzionare indipendentemente dalla configurazione dei criteri di rete del cliente. Per i servizi multi-tenant, questo modello di endpoint privato fornisce gli identificatori di collegamento per impedire l'accesso alle risorse di altri clienti ospitate all'interno dello stesso servizio.

Il servizio Fabric implementa gli endpoint privati e gli endpoint non di servizio.

L'uso di endpoint privati con Fabric offre i vantaggi seguenti:

• Limitare il traffico da Internet a Fabric e instradarlo attraverso la rete backbone Microsoft.
• Assicurarsi che solo i computer client autorizzati possano accedere a Fabric.
• Rispettare i requisiti normativi e di conformità che impongono l'accesso privato ai servizi di analisi e dati.

Comprendere la configurazione dell'endpoint privato

Esistono due impostazioni del tenant nel portale di amministrazione Fabric coinvolte nella configurazione del collegamento privato Collegamenti privati di Azure e Blocca accesso Internet pubblico.

Se il collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è abilitato:

• Gli elementi supportati di Fabric sono accessibili solo per la tua organizzazione da endpoint privati e non sono accessibili da Internet pubblica.
• Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
• Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene bloccato dal servizio.
• Potrebbero esserci scenari che non supportano collegamenti privati, che vengono bloccati nel servizio quando è abilitato Blocca accesso a Internet pubblico .

Se il collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è disabilitato:

• Il traffico proveniente da Internet pubblico è consentito dai servizi di Fabric.
• Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
• Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene trasportato tramite Internet pubblico ed è consentito dai servizi di Fabric.
• Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati vengono bloccati dalla rete virtuale.

Collegamento privato nelle esperienze Fabric

OneLake

OneLake supporta il collegamento privato. È possibile esplorare OneLake nel portale Fabric o da qualsiasi computer all'interno della rete virtuale stabilita usando Esplora file OneLake, Esplora risorse di Archiviazione di Azure, PowerShell e altro ancora.

Le chiamate dirette che usano endpoint regionali di OneLake non funzionano tramite collegamento privato in Fabric. Per altre informazioni sulla connessione a OneLake e agli endpoint a livello di area, vedere Come ci si collega a OneLake?.

Endpoint di analisi SQL di Magazzino e Lakehouse

L'accesso a un warehouse o all'endpoint di analisi SQL di un Lakehouse nel portale di Fabric è protetto da un collegamento privato. I clienti possono anche usare endpoint TDS (Tabular Data Stream) (ad esempio SQL Server Management Studio, Azure Data Studio) per connettersi a Warehouse tramite collegamento privato.

La query visiva in Warehouse non funziona quando l'impostazione del tenant Blocca l'accesso pubblico a Internet è abilitata.

Database SQL

L'accesso a un database SQL o all'endpoint di analisi SQL nel portale Fabric è protetto tramite collegamento privato. I clienti possono usare anche gli endpoint del Tabular Data Stream (TDS), come SQL Server Management Studio o Visual Studio Code, per connettersi al database SQL tramite collegamento privato. Per altre informazioni sulla connessione a un database SQL, vedere autenticazione nel database SQL in Microsoft Fabric.

Lakehouse, Notebook, definizione di job Spark, Ambiente

Dopo aver abilitato l'impostazione del tenant Azure Private Link, l'esecuzione di un primo Spark job (Notebook o definizione del job Spark) o l'esecuzione di un'operazione Lakehouse (Caricamento su tabella, operazioni di manutenzione delle tabelle come Optimize o Vacuum) comporta la creazione di una rete virtuale gestita per l'area di lavoro.

Dopo il provisioning della rete virtuale gestita, i pool iniziali (opzione predefinita di calcolo) per Spark sono disabilitati perché sono cluster preconfigurati ospitati in una rete virtuale condivisa. I processi Spark vengono eseguiti in pool personalizzati creati su richiesta al momento dell'invio di processi all'interno della rete virtuale gestita dedicata dell'area di lavoro. La migrazione dell'area di lavoro tra capacità in aree diverse non è supportata quando una rete virtuale gestita viene allocata all'area di lavoro.

Quando l'impostazione del collegamento privato è abilitata, i processi Spark non funzionano per i tenant la cui regione principale non è supportata da Fabric Data Engineering, anche se usano capacità di Fabric da altre regioni.

Per altre informazioni, vedere Rete virtuale gestita per Fabric.

Flusso di dati Gen2

È possibile usare Dataflow Gen2 per ottenere dati, trasformare i dati e pubblicare il flusso di dati tramite collegamento privato. Quando l'origine dei dati si trova dietro il firewall, è possibile usare il gateway dati di rete virtuale per connettersi all'origine dei dati. Il gateway dati della rete virtuale consente l'inserimento del gateway (elaborazione) nella rete virtuale esistente, offrendo un'esperienza di gateway gestita. È possibile usare le connessioni gateway di rete virtuale per connettersi a Lakehouse o Warehouse nel tenant che richiede un collegamento privato o per connettersi ad altre origini dati con la rete virtuale.

Condotto

Quando ci si connette alla pipeline tramite collegamento privato, è possibile usare la pipeline per caricare dati da qualsiasi origine dati con endpoint pubblici in un lakehouse di Microsoft Fabric abilitato per il collegamento privato. I clienti possono anche creare e rendere operative le pipeline con attività, incluse le attività Notebook e Dataflow, usando il collegamento privato. Tuttavia, la copia di dati da e in un data warehouse non è attualmente possibile quando il collegamento privato di Fabric è abilitato.

Modello, esperimento e agente dati di Machine Learning

Il modello, l'esperimento e l'agente dati di ML supportano il collegamento privato.

Power BI

• Se l'accesso a Internet è disabilitato e se il modello semantico di Power BI, Datamart o Dataflow Gen1 si connette al modello semantico di Power BI o a un flusso di dati come origine dati, la connessione fallisce.

• La pubblicazione sul Web non è supportata quando l'impostazione del tenant collegamento privato di Azure è abilitata in Fabric.

• Le sottoscrizioni e-mail non sono supportate quando l'impostazione del tenant Blocca accesso pubblico a Internet è abilitata in Fabric.

• L'esportazione di un report Power BI in formato PDF o PowerPoint non è supportata quando l'impostazione del tenant Azure Private Link è abilitata in Fabric.

• Se l'organizzazione usa il collegamento privato di Azure in Fabric, i report sulle metriche di utilizzo moderni contengono dati parziali (solo eventi Report Open). Una limitazione attuale per il trasferimento di informazioni client su collegamenti privati impedisce l'acquisizione da parte di Fabric di visualizzazioni di pagine del report e dati sulle prestazioni tramite collegamenti privati. Se l'organizzazione ha abilitato le impostazioni del tenant di Collegamento privato di Azure e Blocca accesso a Internet pubblico in Fabric, l'aggiornamento del set di dati ha esito negativo e il report sulle metriche di utilizzo non mostra dati.

• Copilot non è attualmente supportato per gli ambienti di rete privati o chiusi.

Flusso di eventi

Eventstream supporta il collegamento privato, abilitando l'inserimento di dati in tempo reale sicuro da più origini senza esporre il traffico a Internet pubblico. Supporta anche la trasformazione dei dati in tempo reale, ad esempio il filtro e l'arricchimento dei flussi di dati in ingresso, prima di instradarli alle destinazioni all'interno di Fabric.

Scenari non supportati:

• L'endpoint personalizzato come origine non è supportato.
• L'endpoint personalizzato come destinazione non è supportato.
• La eventhouse come destinazione (con modalità di inserimento diretto) non è supportata.
• L'attivatore come destinazione non è supportato.

Eventhouse

Eventhouse supporta un collegamento privato, consentendo l'acquisizione e l'esecuzione sicura di query dalla rete virtuale di Azure tramite un collegamento privato. È possibile inserire dati da varie origini, tra cui account Archiviazione di Azure, file locali e Dataflow Gen2. L'inserimento in streaming garantisce la disponibilità immediata dei dati. Inoltre, è possibile usare query KQL o Spark per accedere ai dati all'interno di un'istanza di Eventhouse.

Limitazioni:

• L'inserimento di dati da OneLake non è supportato.
• Non è possibile creare un collegamento a una "casa degli eventi".
• La connessione a una eventhouse in una pipeline non è possibile.
• L'inserimento di dati tramite l'inserimento in coda non è supportato.
• I connettori dati che si basano sull'inserimento in coda non sono supportati.
• L'esecuzione di query su una eventhouse con T-SQL non è possibile.

Soluzioni per i dati sanitari (anteprima)

I clienti possono effettuare il provisioning e usare soluzioni dati per il settore sanitario in Microsoft Fabric tramite un collegamento privato. In un tenant in cui è abilitato il collegamento privato, i clienti possono distribuire funzionalità della soluzione dati per il settore sanitario per eseguire scenari completi di inserimento e trasformazione dei dati per i dati clinici. È inclusa anche la possibilità di inserire dati sanitari da varie origini, ad esempio account di archiviazione di Azure e altro ancora.

Eventi dell'infrastruttura

Gli eventi "Fabric" supportano il Private Link senza influire sul recapito degli eventi, poiché gli eventi provengono dall'interno del tenant.

Eventi di Azure

Gli eventi di Azure supportano il collegamento privato con il comportamento seguente quando l'impostazione del tenant Blocca accesso Internet pubblico è abilitata:

• Le nuove configurazioni per l'utilizzo degli eventi di Azure (ad esempio, gli eventi di Archiviazione BLOB di Azure) non verranno recapitate.
• Le configurazioni esistenti che usano eventi di Azure impediranno il recapito di nuovi eventi.

Microsoft Purview Protezione delle Informazioni

Microsoft Purview Information Protection attualmente non supporta i collegamenti privati. Ciò significa che in Power BI Desktop in esecuzione in una rete isolata, il pulsante Riservatezza è disattivato, le informazioni sulle etichette non vengono visualizzate e la decrittografia dei file con estensione pbix non riesce.

Per abilitare queste funzionalità in Desktop, gli amministratori possono configurare i tag di servizio per i servizi sottostanti che supportano Microsoft Purview Information Protection, Exchange Online Protection (EOP) e Azure Information Protection (AIP). Assicurarsi di comprendere le implicazioni dell'uso dei tag di servizio in una rete isolata di collegamenti privati.

Database con mirroring

Il collegamento privato è supportato per il mirroring aperto, il mirroring di Azure Cosmos DB e il mirroring di SQL Server 2025 (con SQL Server 2025 CTP 2.0 o versione successiva). Per altri tipi di mirroring del database, se l'impostazione Blocca l'accesso a Internet pubblico è abilitata, i database attivi con mirroring entrano in uno stato di pausa e il mirroring non può essere avviato.

Per il mirroring aperto, quando l'impostazione del tenant Blocca l'accesso a Internet pubblico è abilitata, assicurarsi che l'editore trasferisca i dati nella zona di atterraggio di OneLake tramite un collegamento privato.

Altre considerazioni e limitazioni

Ci sono diverse considerazioni da tenere a mente quando si lavora con gli endpoint privati in Fabric:

• Fabric supporta fino a 450 capacità in un tenant in cui il collegamento privato è abilitato.

• Quando una capacità viene creata, non supporta il collegamento privato fino a quando l'endpoint non viene riflesso nella zona DNS privata, che può richiedere fino a 24 ore.

• La migrazione del tenant è bloccata quando il collegamento privato è attivato nel portale di amministrazione Fabric.

• I clienti non possono connettersi alle risorse di Fabric in più tenant dalla stessa posizione di rete (dipende dalla posizione in cui si configurano i record DNS), ma solo all'ultimo tenant che ha configurato il Private Link.

• La capacità di prova non supporta il collegamento privato. Quando si accede a Fabric tramite traffico Private Link, la capacità di prova non funziona.

• Eventuali immagini o temi esterni non sono disponibili quando si usa un ambiente con collegamenti privati.

• Ogni endpoint privato può essere connesso a un solo tenant. Non è possibile configurare un collegamento privato da usare da più tenant.

• Gli scenari tra tenant non sono supportati. Ciò significa che la configurazione di un endpoint privato a livello di tenant in un tenant di Azure per connettersi direttamente a un servizio collegamento privato in un altro tenant non è supportata.

• Per gli utenti Fabric, il gateway dati locale non è supportato e non riesce a eseguire la registrazione quando sono abilitati i collegamenti privati. Per eseguire correttamente il configuratore gateway, è necessario disabilitare i collegamenti privati. Ulteriori informazioni su questo scenario. I gateway di dati della rete virtuale funzionano. Per maggiori informazioni, leggere queste considerazioni.

• Per gli utilizzatori del gateway non PowerBI (PowerApps o LogicApps): il gateway dati locale non è supportato quando è abilitato il Private Link. È consigliabile esplorare l'uso del gateway di dati della rete virtuale, che può essere utilizzato con collegamenti privati.

• I collegamenti privati non funzionano con la diagnostica di download del gateway dati della rete virtuale.

• L'app Microsoft Fabric Capacity Metrics non supporta il collegamento privato.

• La scheda OneLake Catalog - Govern non è disponibile quando viene attivato il collegamento privato.

• Le API REST delle risorse dei collegamenti privati non supportano i tag.

• Gli URL seguenti devono essere accessibili dal browser client:

  • Necessario per l'autenticazione:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, anche se potrebbe essere diverso in base al tipo di account.

  • Obbligatorio per le esperienze di Data Engineering e Data Science:

    • http://res.cdn.office.net/
    • https://aznbcdn.notebooks.azure.net/
    • https://pypi.org/* (ad esempio, https://pypi.org/pypi/azure-storage-blob/json)
    • endpoint statici locali per pacchetti conda
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Contenuto correlato

• Rete virtuale gestita per Fabric
• Accesso condizionale
• Come trovare l'ID tenant di Microsoft Entra