Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Fabric tilbyr flere lag med innkommende nettverksbeskyttelse for å hjelpe organisasjoner med å kontrollere hvor innkommende tilkoblinger kan oppstå når de får tilgang til elementer og data. Disse funksjonene gjør det mulig for leietakeradministratorer og arbeidsområdeadministratorer å håndheve nettverksgrenser, begrense offentlig tilgang og rute innkommende tilkoblinger gjennom sikre private kanaler. Denne artikkelen gir en oversikt over alle alternativer for innkommende beskyttelse, hvordan de henger sammen, og veiledning for å velge riktig konfigurasjon for ditt miljø.
Oversikt over innkommende beskyttelsesfunksjoner
Fabric gir innkommende beskyttelse på to skjermer:
Innkommende beskyttelse på leietakernivå: Leietakeradministratorer konfigurerer disse innstillingene, som gjelder på tvers av alle arbeidsområder i Fabric-leietakeren. De inkluderer funksjoner som private link-policyer på leietakernivå og Microsoft Entra Conditional Access som begrenser hvor innkommende tilkoblinger kan oppstå.
Innkommende beskyttelse på arbeidsområdenivå: Arbeidsområdeadministratorer konfigurerer disse innstillingene, som gjelder for individuelle arbeidsområder. De inkluderer private lenke- og arbeidsområde-IP-brannmurregler som lar administratorer definere spesifikke nettverksgrenser for sine arbeidsområder.
Ved å kombinere innkommende beskyttelse på leietakernivå og arbeidsplassnivå, kan organisasjoner skape en lagdelt sikkerhetstilnærming som oppfyller deres spesifikke tilgangskontrollkrav. De følgende seksjonene gir flere detaljer om hver funksjon og hvordan de samhandler.
Innkommende beskyttelse på leietakernivå
Leietakeradministratorer kan konfigurere innkommende kontroller som gjelder for alle arbeidsområder med mindre de overstyres av arbeidsplassspesifikke innstillinger.
- Leietakernivå Private Link: Ruter alle innkommende tilkoblinger til Fabric-ressurser gjennom Azure Private Link, og sikrer at trafikken kommer fra godkjente virtuelle nettverk.
- Microsoft Entra Conditional Access: Håndhever identitetsbaserte tilgangspolicyer som kan begrense innkommende tilkoblinger basert på brukerens plassering, enhetsoverholdelse og andre faktorer.
- Tjenestetagger: Tillat eller blokker innkommende trafikk fra spesifikke Azure-tjenester ved å bruke forhåndsdefinerte tjenestetagger.
- Aktiver innkommende regler på arbeidsområdenivå: Leietakerinnstillingen Konfigurer arbeidsområde-nivå innkommende nettverksregler tillater eller forhindrer arbeidsområdeadministratorer i å begrense offentlig tilgang på arbeidsområdenivå. Som standard kan ikke arbeidsområdeadministratorer begrense innkommende offentlig tilgang med mindre leietakeradministratoren aktiverer denne innstillingen. Når det er aktivert, kan arbeidsområdeadministratorer anvende arbeidsområdenivå-innkommende begrensninger – inkludert private lenker – noe som gir organisasjoner finere nettverkssegmentering.
Disse funksjonene på leietakernivå gir brede beskyttelser som hjelper til med å sikre alle arbeidsplasser i leietakeren. Likevel kan innstillinger på arbeidsplassnivå utfylle dem for mer målrettet kontroll.
Innkommende beskyttelse på arbeidsplassnivå
Workspace-administratorer kan anvende mer spesifikke innkommende sikkerhetskontroller når leietakeren tillater det.
Workspace Private Link: Lar et arbeidsområde etablere et privat endepunkt i Azure, slik at innkommende tilkoblinger kun kommer fra godkjente nettverk.
Innkommende tilgangsbeskyttelse for arbeidsområdet: Når leietakeren aktiverer arbeidsområde-nivå-regler, kan arbeidsområdets administratorer slå av Begrens offentlig tilgang. Velg dette alternativet for å blokkere offentlige innkommende tilkoblinger og kreve innkommende tilgang gjennom godkjente private nettverk.
IP-brannmur for arbeidsområdet: Administratorer kan konfigurere IP-brannmurregler for arbeidsområdet for å spesifisere hvilke IP-områder som kan få tilgang til arbeidsområdets elementer. Denne funksjonen utfyller privat lenke ved å muliggjøre granulære tillitslister.
Disse lagene kan fungere uavhengig eller sammen, avhengig av organisatoriske behov.
Hvordan nettverkssikkerhetsinnstillinger samhandler
Å forstå hvordan leietaker- og arbeidsplassnivå-innstillinger samhandler er essensielt for å konfigurere sikker innkommende tilgang. Tabellen nedenfor viser hvordan nettverkskonfigurasjoner påvirker tilgangen til Fabric-portalen og REST-API-ene.
Leietakeradministratorer kan kun begrense offentlig tilgang når private lenker på leietakernivå er aktivert.
Tabell 1: Tilgang til Fabric-portalen basert på nettverksinnstillinger
| Innstilling for offentlig tilgang på leiernivå | Tilgang fra | Kan jeg få tilgang til Fabric-portalen? | Kan jeg få tilgang til Fabric REST API-er? |
|---|---|---|---|
| Tillatt | Offentlig internett | Ja | Ja, ved å bruke api.fabric.microsoft.com |
| Tillatt | Nettverk med privat leietaker-link | Ja | Ja, ved å bruke den leietakerspesifikke FQDN |
| Tillatt | Nettverk med privat arbeidsområde-link | Ja | Ja, ved å bruke arbeidsplass-spesifikke FQDN |
| Tillatt | Tillatt IP | Ja | Ja, ved å bruke api.fabric.microsoft.com |
| Begrenset | Offentlig internett | Nei | Nei |
| Begrenset | Nettverk med privat leietaker-link | Ja | Ja, ved bruk av tenant-spesifikk FQDN eller api.fabric.microsoft.com endepunkt, og kun hvis klienten tillater utgående offentlig tilgang |
| Begrenset | Nettverk med privat arbeidsområde-link | Nei | Ja, ved å bruke arbeidsplass-spesifikke FQDN |
| Begrenset | Tillatt offentlig IP på arbeidsplassnivå | Nei | Ja, ved å bruke api.fabric.microsoft.com |
| Begrenset | Nettverk med både privat leietakerlink og arbeidsplass-privat link | Ja | Ja, ved å bruke api.fabric.microsoft.com |
Planleggingshensyn for innkommende beskyttelse
Når du planlegger innkommende beskyttelse for ditt tekstilmiljø, bør du vurdere følgende faktorer:
- Du må være en Fabric-administrator for å aktivere innkommende regler på leietakernivå.
- Funksjoner på arbeidsplassnivå avhenger av leietakerinnstillinger.
- Privat lenke krever Azure-konfigurasjon.
- IP-brannmur gir mulighet for detaljert kontroll, men krever nøye IP-planlegging.
- Vurder om en sentralisert eller arbeidsplassdrevet modell passer best for ditt miljø.
Neste trinn
- Lær mer om [Workspace innkommende tilgangsbeskyttelse].
- Lær mer om beskyttelse av utgående tilgang i arbeidsområdet for å forstå hele nettverksmodellen.
- Gjennomgå Private Link-konfigurasjon både på leietaker- og arbeidsområdenivå.
- Fortsett til scenario-artiklene for detaljert oppsettveiledning.