Fabric への安全なアクセスのためのプライベート リンク (プレビュー)

  • [アーティクル]

プライベート リンクを使用すると、Fabric のデータ トラフィックに対して安全なアクセスを実現できます。 Azure Private Link と Azure ネットワーク プライベート エンドポイントは、インターネット経由ではなく Microsoft のバックボーン ネットワーク インフラストラクチャを使ってデータ トラフィックをプライベートに送信するために使用されます。

プライベート リンク接続が使用されているとき、Fabric ユーザーが Fabric のリソースにアクセスすると、接続は Microsoft プライベート ネットワーク バックボーンを通過します。

Azure Private Link の詳細については、「Azure Private Link とは」を参照してください。

プライベート エンドポイントを有効にすると多くの項目に影響を与えるため、プライベート エンドポイントの有効化前に、この記事全体を確認してください。

プライベート エンドポイントとは

プライベート エンドポイントは、組織の Fabric アイテムに対するトラフィック (たとえば、OneLake へのファイルのアップロード) が常に組織で構成されたプライベート リンク ネットワーク パスに従うことを保証します。 構成されたネットワーク パスからのものではないすべての要求を拒否するように Fabric を構成することができます。

プライベート エンドポイントは、Fabric から外部データ ソース (クラウドかオンプレミスかを問わず) へのトラフィックが安全であることを保証するものではありません。 ご利用のデータ ソースをさらにセキュリティで保護するためのファイアウォール規則と仮想ネットワークを構成してください。

プライベート エンドポイントとは、クライアントが特定のサービスへの接続を開始できるようにするが、そのサービスが顧客ネットワークへの接続を開始することは許可しない一方向のテクノロジです。 このプライベート エンドポイント統合パターンでは、顧客のネットワーク ポリシー構成とは無関係にサービスが動作するため、管理の分離を実現することができます。 マルチテナント型のサービスの場合、このプライベート エンドポイント モデルには、同じサービス内でホストされている他の顧客のリソースにアクセスできないようにするためにリンク識別子が用意されています。

Fabric サービスでは、サービス エンドポイントではなくプライベート エンドポイントが実装されます。

Fabric でプライベート エンドポイントを使用すると、次のような利点があります。

  • インターネットから Fabric へのトラフィックを制限し、Microsoft バックボーン ネットワーク経由でルーティングします。
  • 承認されたクライアント マシンのみが Fabric にアクセスできるようにします。
  • データおよび分析サービスへのプライベート アクセスを義務付ける規制とコンプライアンスの要件に準拠します。

プライベート エンドポイントの構成を理解する

Fabric 管理ポータルには、Private Link の構成に関連する 2 つのテナント設定があります。Azure Private Linkパブリック インターネット アクセスのブロックです。

Azure Private Link が正しく構成され、[パブリック インターネット アクセスのブロック]有効になっている場合:

  • サポートされる Fabric アイテムには、プライベート エンドポイントからのみアクセスでき、パブリック インターネットからアクセスすることはできません。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートしていないシナリオは、サービスによってブロックされ、機能しません。
  • プライベート リンクがサポートされないシナリオの場合、[パブリック インターネット アクセスのブロック] が有効になっていると、サービスでブロックされます。

Azure Private Link が正しく構成され、[パブリック インターネット アクセスのブロック]無効になっている場合:

  • パブリック インターネットからのトラフィックは、Fabric サービスによって許可されます。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートしていないシナリオは、パブリック インターネット経由で転送され、Fabric サービスによって許可されます。
  • パブリック インターネット アクセスをブロックするように仮想ネットワークが構成されている場合、プライベート リンクをサポートしていないシナリオは仮想ネットワークによってブロックされ、機能しません。

OneLake

OneLake はプライベート リンクをサポートしています。 OneLake ファイル エクスプローラー、Azure Storage Explorer、PowerShell などを使用して、Fabric ポータルまたは確立された VNet 内の任意のマシンから OneLake を探索できます。

OneLake リージョン エンドポイントを使用した直接呼び出しは、Fabric へのプライベート リンク経由では機能しません。 OneLake とリージョン エンドポイントへの接続の詳細については、「OneLake に接続する方法」を参照してください。

ウェアハウスとレイクハウス SQL エンドポイント

ポータルでのウェアハウスアイテムとレイクハウス SQL エンドポイントへのアクセスは、プライベート リンクによって保護されます。 表形式データ ストリーム (TDS) エンドポイント (SQL Server Management Studio、Azure Data Studio など) を使用して、プライベート リンク経由でウェアハウスに接続することもできます。

[パブリック インターネット アクセスのブロック] テナント設定が有効になっている場合、ウェアハウスのビジュアル クエリは機能しません。

レイクハウス、ノートブック、Spark ジョブ定義、環境

[Azure Private Link] テナント設定を有効にした後、最初の Spark ジョブ (ノートブックまたは Spark ジョブ定義) を実行するか、レイクハウス操作 (テーブルへの読み込み、最適化やバキュームなどのテーブル メンテナンス操作など) を実行すると、ワークスペースのマネージド仮想ネットワークが作成されます。

マネージド仮想ネットワークがプロビジョニングされると、Spark のスターター プール (デフォルトのコンピューティング オプション) は無効になります。これは、共有仮想ネットワークでホストされている事前ウォーミングされたクラスターであるためです。 Spark ジョブは、ワークスペースの専用マネージド仮想ネットワーク内でジョブを送信した時に、オンデマンドで作成されるカスタム プールで実行されます。 マネージド仮想ネットワークがワークスペースに割り当てられている場合、異なるリージョンの容量間でのワークスペースの移行はサポートされません。

プライベート リンク設定が有効になっている場合、ホーム リージョンが Fabric データ エンジニアリングをサポートしていないテナントでは、サポートしている他のリージョンの Fabric 容量を使用しても、Spark ジョブは機能しません。

詳細については、「Fabric のマネージド VNet」を参照してください。

Dataflow Gen2

データフロー Gen2 を使用して、プライベート リンクを介してデータの取得、データの変換、データフローの公開を行うことができます。 データ ソースがファイアウォールの内側にある場合は、VNet データ ゲートウェイを使用してデータ ソースに接続できます。 VNet データ ゲートウェイを使用すると、ゲートウェイ (コンピューティング) を既存の仮想ネットワークに導入できるため、マネージド ゲートウェイ エクスペリエンスが得られます。 VNet ゲートウェイ接続を使用して、プライベート リンクを必要とするテナント内のレイクハウスまたはウェアハウスに接続したり、仮想ネットワークを使用して他のデータ ソースに接続したりできます。

パイプライン

プライベート リンク経由でパイプラインに接続する場合は、データ パイプラインを使用して、パブリック エンドポイントを持つ任意のデータ ソースからプライベート リンクが有効な Microsoft Fabric のレイクハウスにデータを読み込むことができます。 顧客は、プライベート リンクを使用して、ノートブックやデータフロー アクティビティなどのアクティビティによってデータ パイプラインを作成し、運用することもできます。 ただし、現在、Fabric のプライベート リンクが有効になっている場合、データ ウェアハウスとの間でデータをコピーすることはできません。

ML モデル、テスト、および AI スキル

ML モデル、テストおよび AI スキルでは、プライベート リンクがサポートされています。

Power BI

  • インターネット アクセスが無効になっていて、Power BI セマンティック モデルまたはデータフロー Gen1 が Power BI セマンティック モデルまたはデータフロー にデータ ソースとして接続している場合、接続は失敗します。

  • Fabric でテナント設定 [Azure Private Link] が有効になっている場合、[Web に公開] はサポートされません。

  • Fabric でテナント設定 [パブリック インターネット アクセスのブロック] が有効になっている場合、メール サブスクリプションはサポートされません。

  • Fabric でテナント設定 [Azure Private Link] が有効な場合、Power BI レポートを PDF または PowerPoint でエクスポートすることはサポートされません。

  • 組織が Fabric で Azure Private Link を使用している場合、最新の使用状況メトリック レポートには一部のデータのみが含まれます ("レポートを開く" イベントのみ)。 クライアント情報をプライベート リンク経由で転送する場合は、現在適用される制限により、Fabric からプライベート リンクを介して [レポートページの表示] やパフォーマンスのデータをキャプチャすることができません。 組織が既に Fabric で [Azure Private Link] および [パブリック インターネット アクセスのブロック] テナント設定を有効にしている場合、データセットの更新は失敗し、使用状況メトリック レポートにはデータは表示されません。

その他の Fabric アイテム

KQL データベース、EventStream などの他の Fabric アイテムは現在プライベート リンクをサポートしていません。コンプライアンスの状態を保護するために [パブリック インターネット アクセスのブロック] テナント設定を有効にすると、自動的に無効になります。

Microsoft Purview Information Protection

現在、Microsoft Purview 情報保護でプライベート リンクはサポートされていません。 つまり、分離されたネットワークで実行されている Power BI Desktop では、[秘密度] ボタンがグレーアウトされ、ラベル情報は表示されず、.pbix ファイルの暗号化の解除は失敗します。

デスクトップでこれらの機能を有効にするために、管理者は、Microsoft Purview 情報保護、Exchange Online Protection (EOP)、Azure Information Protection (AIP) をサポートする基になるサービスのサービス タグを構成できます。 プライベート リンク分離ネットワークでサービス タグを使う場合の影響について、必ず理解しておいてください。

その他の考慮事項と制限事項

Fabric でプライベート エンドポイントを使用する際に留意する必要がある考慮事項がいくつかあります。

  • Fabric では、プライベート リンクが有効なテナントで最大 200 の容量がサポートされます。

  • Fabric 管理ポータルでプライベート リンクを有効にすると、テナントの移行がブロックされます。

  • 顧客は、1 つの VNet から複数のテナント内の Fabric リソースに接続することはできません。ただし、プライベート リンクを設定する最後のテナントにのみ接続できます。

  • プライベート リンクは、試用版の容量ではサポートされていません。

  • プライベート リンク環境を使用する場合、外部の画像またはテーマを使用することはできません。

  • 各プライベート エンドポイントは、1 つのテナントにのみ接続できます。 複数のテナントで使用されるようにプライベート リンクを設定することはできません。

  • Fabric ユーザーの場合、オンプレミス データ ゲートウェイはサポートされておらず、プライベート リンクが有効になっている場合は登録に失敗します。 ゲートウェイ コンフィギュレーターを正常に実行するには、プライベート リンクを無効にする必要があります。 VNet データ ゲートウェイは機能します。

  • PowerBI (PowerApps または LogicApps) 以外のゲートウェイ ユーザーの場合、プライベート リンクが有効になっているとゲートウェイは正しく動作しません。 考えられる回避策は、[Azure Private Link] テナント設定を無効にし、リモート リージョン (推奨リージョン以外のリージョン) でゲートウェイを構成してから、Azure Private Link を再び有効にすることです。 プライベート リンクを再び有効にすると、リモート リージョンのゲートウェイではプライベート リンクが使用されません。

  • プライベート リンクのリソース REST API はタグをサポートしていません。

  • クライアント ブラウザーから次の URL にアクセスできる必要があります。

    • 認証に必要:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.comただし、これはアカウントの種類によって異なる場合があります。

    • Data Engineering と Data Science のエクスペリエンスに必要:

      • http://res.cdn.office.net/
      • https://pypi.org/* (例: https://pypi.org/pypi/azure-storage-blob/json)
      • condaPackages のローカル静的エンドポイント
      • https://cdn.jsdelivr.net/npm/monaco-editor*

関連するコンテンツ