Condividi tramite

Creare un elenco di elementi consentiti usando endpoint privati gestiti

Quando la protezione dell'accesso in uscita è abilitata per un'area di lavoro, tutte le connessioni in uscita vengono bloccate per impostazione predefinita. È quindi possibile consentire l'accesso a origini dati esterne o ad altre aree di lavoro configurando endpoint privati gestiti:

  • Per le connessioni a origini dati esterne, usare endpoint privati gestiti.
  • Per le connessioni ad altre aree di lavoro, usare endpoint privati gestiti insieme al servizio Collegamento privato.

Questo articolo illustra come creare endpoint privati gestiti per entrambi questi scenari.

Annotazioni

Prima di creare endpoint privati gestiti, assicurarsi di aver completato i passaggi per abilitare la protezione dell'accesso in uscita per l'area di lavoro.

Consentire l'accesso in uscita a un'origine esterna

Per abilitare l'accesso in uscita a origini dati esterne che supportano endpoint privati gestiti, creare un endpoint privato gestito nell'area di lavoro con la protezione dell'accesso in uscita abilitata. Il diagramma seguente illustra l'area di lavoro 1, con protezione dell'accesso in uscita attivata, che si connette in modo sicuro a un'origine dati esterna tramite un endpoint privato gestito.

Diagramma che mostra una connessione da un'area di lavoro a un'origine dati.

Per abilitare questo scenario, seguire questa procedura:

  1. Assicurarsi che la protezione dell'accesso in uscita sia abilitata per l'area di lavoro.

  2. Accedere a Fabric come amministratore dell'area di lavoro e creare un endpoint privato gestito passando a Impostazioni area di lavoro>Sicurezza di rete>Endpoint privati gestiti>Crea. Per la procedura dettagliata, vedere Creare un endpoint privato gestito.

Dopo aver approvato e creato l'endpoint privato gestito nella fonte dati esterna, gli oggetti nell'area di lavoro protetta per l'accesso outbound possono connettersi alla fonte dati.

Consentire l'accesso in uscita a un'altra area di lavoro nel tenant

Per connettersi a un'altra area di lavoro nel tenant, usare endpoint privati gestiti e il servizio Collegamento privato per abilitare connessioni in uscita sicure. Come descritto in questa sezione, crea un servizio Private Link per l'area di lavoro di destinazione (Workspace 2 nel diagramma) distribuendo un modello ARM (Azure Resource Manager), e quindi crea un endpoint privato gestito nell'area di lavoro con accesso in uscita protetto (Workspace 1) per connettersi all'area di lavoro di destinazione.

Diagramma che mostra una connessione da un'area di lavoro abilitata per la protezione dell'accesso in uscita a un'altra area di lavoro.

  1. Accedi al portale di Azure.

  2. Nella barra di ricerca del portale di Azure cercare distribuire un modello personalizzato e quindi selezionarlo nelle opzioni disponibili.

  3. Nella pagina Distribuzione personalizzata selezionare Compila un modello personalizzato nell'editor.

  4. Nell'editor creare una risorsa fabric usando il modello di Resource Manager seguente, dove:

    • <resource-name> è il nome scelto per la risorsa infrastruttura.
    • <tenant-object-id> è l'ID tenant di Microsoft Entra. Vedere Come trovare l'ID tenant di Microsoft Entra.
    • <workspace-id> è l'ID dell'area di lavoro per l'area di lavoro di destinazione. Lo trovi nell'URL dell'area di lavoro dopo group.
    {
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
    {
      "type": "Microsoft.Fabric/privateLinkServicesForFabric",
      "apiVersion": "2024-06-01",
      "name": "<resource-name>",
      "location": "global",
      "properties": {
        "tenantId": "<tenant-id>",
        "workspaceId": "<workspace-id>"
      }
    }
  ]
}

    Annotazioni

    Dopo la distribuzione, è possibile trovare i dettagli del servizio Collegamento privato nel file JSON di output. Copiare l'ID risorsa del servizio Collegamento privato da usare nel passaggio successivo. È anche possibile trovare la risorsa servizio Collegamento privato nel gruppo di risorse, ma è necessario selezionare Mostra risorse nascoste.

Creare un endpoint privato gestito nell'area di lavoro protetta

Creare un endpoint privato gestito nell'area di lavoro protetta dall'accesso in uscita (area di lavoro 1) per consentire l'accesso all'area di lavoro di destinazione (area di lavoro 2).

  1. Nel portale Fabric, aprire l'area di lavoro con protezione dell'accesso in uscita abilitata.

  2. Selezionare Impostazioni area di lavoro>Connessioni in uscita.

  3. Nella pagina Sicurezza di rete , in Endpoint privati gestiti, selezionare Crea.

  4. Immettere un nome per l'endpoint privato gestito.

  5. In Identificatore risorsa incollare l'ID risorsa del servizio Collegamento privato creato nella sezione precedente. È anche possibile trovare l'ID risorsa nel portale di Azure aprendo il servizio Collegamento privato in Resource Manager e selezionando Visualizzazione JSON per aprire la risorsa JSON.

    Screenshot che mostra il codice JSON della risorsa con l'ID risorsa.

  6. In Sotto-risorsa di destinazione selezionare Area di lavoro. Successivamente, seleziona Crea.

    Screenshot che mostra la pagina per la creazione di un endpoint privato gestito.

Importante

Lo stato di attivazione visualizza Provisioning e lo stato di approvazione è vuoto, ovvero la richiesta dell'endpoint privato gestito è in attesa di approvazione. Un amministratore del tenant deve approvare la richiesta come descritto nella sezione successiva.

Approvare la connessione all'endpoint privato gestito

Un amministratore tenant deve approvare la richiesta di endpoint privato gestito in sospeso completando i passaggi seguenti.

  1. Accedi al portale di Azure.

  2. Cerca e seleziona Private Link Services.

  3. Selezionare Connessioni in sospeso.

  4. Selezionare la connessione con il nome specificato nel modello e quindi selezionare Approva.

    Screenshot del pulsante per l'approvazione della connessione.

  5. Dopo circa 15 minuti, controllare lo stato dell'endpoint privato gestito: nel portale Fabric aprire l'area di lavoro protetta per l'accesso in uscita e passare a Impostazioni dell’>Connettività in uscita. Nella pagina Sicurezza di rete verificare che lo stato di attivazione sia Completato e che lo stato di approvazione sia Approvato.

    Screenshot che mostra la connessione attivata e approvata.

L'endpoint privato gestito tra aree di lavoro è ora configurato tra l'area di lavoro protetta per l'accesso in uscita e l'area di lavoro di destinazione. Gli amministratori e i collaboratori dell'area di lavoro possono ora connettersi agli artefatti nell'area di lavoro di destinazione dall'area di lavoro protetta dall'accesso in uscita.

Contenuti correlati

  • Last updated on