Private lenker for sikker tilgang til Fabric

Du kan bruke private koblinger til å gi sikker tilgang til datatrafikk i Fabric. Azure Private Link og Azure Networking private endepunkter brukes til å sende datatrafikk privat ved hjelp av Microsofts infrastruktur for ryggradsnettverk i stedet for å gå over Internett.

Når private koblingstilkoblinger brukes, går disse tilkoblingene gjennom Microsofts private nettverksrad når Fabric-brukere får tilgang til ressurser i Fabric.

Hvis du vil ha mer informasjon om Azure Private Link, kan du se Hva er Azure Private Link.

Aktivering av private endepunkter har innvirkning på mange elementer, så du bør se gjennom hele artikkelen før du aktiverer private endepunkter.

Hva er et privat endepunkt

Privat endepunkt garanterer at trafikken som går inn i organisasjonens Fabric-elementer (for eksempel opplasting av en fil til OneLake, for eksempel) alltid følger organisasjonens konfigurerte private koblingsnettverksbane. Du kan konfigurere Fabric til å avslå alle forespørsler som ikke kommer fra den konfigurerte nettverksbanen.

Private endepunkter garanterer ikke at trafikken fra Fabric til eksterne datakilder, enten i skyen eller lokalt, er sikret. Konfigurer brannmurregler og virtuelle nettverk for å sikre datakildene ytterligere.

Et privat endepunkt er én enkelt retningsteknologi som lar klienter starte tilkoblinger til en gitt tjeneste, men som ikke tillater at tjenesten starter en tilkobling til kundenettverket. Dette private endepunktintegreringsmønsteret gir administrasjonsusolasjon, siden tjenesten kan fungere uavhengig av konfigurasjon av kundenettverkspolicyer. For tjenester med flere enheter gir denne private endepunktmodellen koblingsidentifikatorer for å hindre tilgang til andre kunders ressurser som driftes i samme tjeneste.

Fabric-tjenesten implementerer private endepunkter og ikke tjenesteendepunkter.

Bruk av private endepunkter med Fabric gir følgende fordeler:

• Begrens trafikken fra Internett til Fabric og rute den gjennom Microsofts ryggradsnettverk.
• Sørg for at bare autoriserte klientmaskiner har tilgang til Fabric.
• Overholde forskriftsmessige krav og samsvarskrav som krever privat tilgang til data- og analysetjenestene dine.

Forstå privat endepunktkonfigurasjon

Det finnes to leierinnstillinger i fabric-administrasjonsportalen som er involvert i konfigurasjonen Private Link: Azure Private Links og Block Public Internet Access.

Hvis Azure Private Link er riktig konfigurert og blokker offentlig Internett-tilgang er aktivert:

• Stoffelementer som støttes, er bare tilgjengelige for organisasjonen fra private endepunkter, og er ikke tilgjengelige fra offentlig Internett.
• Trafikk fra det virtuelle nettverket som retter seg mot endepunkter og scenarioer som støtter private koblinger, transporteres via den private koblingen.
• Trafikk fra de virtuelle nettverkene som målretter mot endepunkter og scenarier som ikke støtter private koblinger, blokkeres av tjenesten, og fungerer ikke.
• Det kan være scenarioer som ikke støtter private koblinger, som derfor blokkeres i tjenesten når Blokker offentlig Internett-tilgang er aktivert.

Hvis Azure Private Link er riktig konfigurert og blokker offentlig Internett-tilgang er deaktivert:

• Trafikk fra det offentlige Internett vil bli tillatt av Fabric-tjenester.
• Trafikk fra det virtuelle nettverket som retter seg mot endepunkter og scenarioer som støtter private koblinger, transporteres via den private koblingen.
• Trafikk fra det virtuelle nettverket som retter seg mot endepunkter og scenarier som ikke støtter private koblinger, transporteres via offentlig Internett, og tillates av Fabric-tjenester.
• Hvis det virtuelle nettverket er konfigurert til å blokkere offentlig Internett-tilgang, blokkeres scenarioer som ikke støtter private koblinger av det virtuelle nettverket, og fungerer ikke.

Private Link in Fabric-opplevelser

OneLake

OneLake støtter Private Link. Du kan utforske OneLake i Fabric-portalen eller fra en hvilken som helst maskin i det etablerte virtuelle nettverket ved hjelp av OneLake-filutforsker, Azure Storage Explorer, PowerShell og mer.

Direktesamtaler ved hjelp av regionale endepunkter i OneLake fungerer ikke via privat kobling til Fabric. Hvis du vil ha mer informasjon om hvordan du kobler til OneLake og regionale endepunkter, kan du se Hvordan koble til OneLake?.

Lager- og Lakehouse SQL-analyseendepunkt

Tilgang til et lager eller SQL Analytics-endepunktet for et Lakehouse i Fabric-portalen er beskyttet av Private Link. Kunder kan også bruke TDS-endepunkter (Tabular Data Stream) (for eksempel SQL Server Management Studio, Azure Data Studio) til å koble til Warehouse via privat kobling.

Visualobjektspørring i Lager fungerer ikke når tenantinnstillingen Blokker offentlig Internett-tilgang er aktivert.

Lakehouse, Notebook, Spark jobbdefinisjon, Miljø

Når du har aktivert leierinnstillingen For Azure Private Link , kjører du den første Spark-jobben (definisjon av notatblokk eller Spark-jobb) eller utfører en Lakehouse-operasjon (Last til tabell, tabellvedlikeholdsoperasjoner som Optimaliser eller Vakuum) vil resultere i oppretting av et administrert virtuelt nettverk for arbeidsområdet.

Når det administrerte virtuelle nettverket er klargjort, deaktiveres startutvalgene (standard databehandlingsalternativ) for Spark, da disse er forhåndsvarmte klynger som driftes i et delt virtuelt nettverk. Spark-jobber kjører på egendefinerte utvalg som opprettes ved behov på tidspunktet for jobbinnsending i det dedikerte administrerte virtuelle nettverket i arbeidsområdet. Arbeidsområdeoverføring på tvers av kapasiteter i ulike områder støttes ikke når et administrert virtuelt nettverk tildeles arbeidsområdet.

Når den private koblingsinnstillingen er aktivert, fungerer ikke Spark-jobber for leiere som har et hjemområde som ikke støtter Fabric Dataingeniør ing, selv om de bruker stoffkapasitet fra andre områder som gjør det.

Hvis du vil ha mer informasjon, kan du se Administrert VNet for Fabric.

Dataflyt gen2

Du kan bruke Dataflyt gen2 til å hente data, transformere data og publisere dataflyt via privat kobling. Når datakilden er bak brannmuren, kan du bruke VNet-datagatewayen til å koble til datakildene. VNet-datagatewayen aktiverer injeksjon av gatewayen (databehandling) i det eksisterende virtuelle nettverket, og gir dermed en administrert gatewayopplevelse. Du kan bruke VNet Gateway-tilkoblinger til å koble til et Lakehouse eller Warehouse i leieren som krever en privat kobling eller koble til andre datakilder med det virtuelle nettverket.

Datasamlebånd

Når du kobler til Pipeline via privat kobling, kan du bruke datasamlebåndet til å laste inn data fra en datakilde med offentlige endepunkter til et privat-link-aktivert Microsoft Fabric lakehouse. Kunder kan også redigere og operasjonalisere datasamlebånd med aktiviteter, inkludert notatblokk- og dataflytaktiviteter, ved hjelp av den private koblingen. Kopiering av data fra og inn i et datalager er imidlertid for øyeblikket ikke mulig når Fabrics private kobling er aktivert.

Ferdigheter for ML-modell, eksperiment og kunstig intelligens

ML-modell-, eksperiment- og AI-ferdigheter støtter privat kobling.

Power BI

• Hvis Internett-tilgang er deaktivert, og hvis semantisk Power BI-modell, Datamart eller Dataflyt Gen1 kobler til en Semantisk Power BI-modell eller dataflyt som datakilde, vil tilkoblingen mislykkes.

• Publiser på nett støttes ikke når leierinnstillingen Azure Private Link er aktivert i Fabric.

• E-postabonnementer støttes ikke når tenantinnstillingen Blokker offentlig Internett-tilgang er aktivert i Fabric.

• Eksport av en Power BI-rapport som PDF eller PowerPoint støttes ikke når leierinnstillingen Azure Private Link er aktivert i Fabric.

• Hvis organisasjonen bruker Azure Private Link i Fabric, vil moderne bruksdatarapporter inneholde delvise data (bare Report Open-hendelser). En gjeldende begrensning når du overfører klientinformasjon over private koblinger, hindrer fabric i å registrere rapportsidevisninger og ytelsesdata via private koblinger. Hvis organisasjonen hadde aktivert leierinnstillingene for Azure Private Link og Block Public Internet Access i Fabric, mislykkes oppdateringen for datasettet, og bruksdatarapporten viser ingen data.

Arrangementshus

Arrangementshuset støtter Private Link, som tillater sikker datainntak og spørring fra Azure Virtual Network via en privat kobling. Du kan innta data fra ulike kilder, inkludert Azure Storage-kontoer, lokale filer og Dataflyt gen2. Strømming av inntak sikrer umiddelbar datatilgjengelighet. I tillegg kan du bruke KQL-spørringer eller Spark til å få tilgang til data i et hendelseshus.

Begrensninger:

• Inntak av data fra OneLake støttes ikke.
• Det er ikke mulig å opprette en snarvei til et hendelseshus.
• Det er ikke mulig å koble til et hendelseshus i et datasamlebånd.
• Inntak av data ved hjelp av inninntak i kø støttes ikke.
• Datakoblinger som er avhengige av inntak i kø, støttes ikke.
• Det er ikke mulig å spørre et hendelseshus ved hjelp av T-SQL.

Dataløsninger for helsetjenester (forhåndsversjon)

Kunder kan klargjøre og bruke Healthcare-dataløsninger i Microsoft Fabric via en privat kobling. I en leier som er aktivert med en privat kobling, kan kunder distribuere funksjoner for dataløsninger for healthcare for å utføre omfattende datainntaks- og transformasjonsscenarioer for sine kliniske data. Dette inkluderer muligheten til å innta helsedata fra ulike kilder, for eksempel Azure Storage-kontoer og mer.

Andre stoffelementer

Andre Fabric-elementer, for eksempel Eventstream, støtter for øyeblikket ikke Private Link, og deaktiveres automatisk når du aktiverer tenantinnstillingen Blokker offentlig Internett-tilgang for å beskytte samsvarsstatus.

Microsoft Purview informasjonsbeskyttelse

Microsoft Purview informasjonsbeskyttelse støtter for øyeblikket ikke Private Link. Dette betyr at i Power BI Desktop som kjører i et isolert nettverk, er følsomhetsknappen nedtonet, etikettinformasjon vises ikke, og dekryptering av PBIX-filer vil mislykkes.

Hvis du vil aktivere disse funksjonene i Desktop, kan administratorer konfigurere servicekoder for de underliggende tjenestene som støtter Microsoft Purview informasjonsbeskyttelse, Exchange Online Protection (EOP) og Azure Information Protection (AIP). Kontroller at du forstår konsekvensene av å bruke servicekoder i et isolert nettverk med private koblinger.

Andre hensyn og begrensninger

Det er flere hensyn å huske på mens du arbeider med private endepunkter i Fabric:

• Fabric støtter opptil 450 kapasiteter i en tenant der Private Link er aktivert.

• Når kapasiteten nylig er opprettet, vil den ikke støtte privat kobling før endepunktet gjenspeiles i den private DNS-sonen. Dette kan ta opptil 24 timer.

• Leieroverføring blokkeres når Privat kobling er aktivert i administrasjonsportalen for Fabric.

• Kunder kan ikke koble til Fabric-ressurser i flere leiere fra ett virtuelt nettverk, men heller bare den siste leieren som konfigurerer Privat kobling.

• Privat kobling støtter ikke i prøveversjonskapasitet. Når du får tilgang til Fabric via Private Link-trafikk, fungerer ikke prøvekapasiteten.

• All bruk av eksterne bilder eller temaer er ikke tilgjengelig når du bruker et privat koblingsmiljø.

• Hvert private endepunkt kan bare kobles til én leier. Du kan ikke konfigurere en privat kobling som skal brukes av mer enn én leier.

• For Fabric-brukere: Lokale datagatewayer støttes ikke og kan ikke registreres når Privat kobling er aktivert. Hvis du vil kjøre gateway-konfiguratoren, må privat kobling være deaktivert. Mer informasjon om dette scenarioet. VNet-datagatewayer fungerer. Hvis du vil ha mer informasjon, kan du se disse vurderingene.

• For ikke-PowerBI-gatewaybrukere (PowerApps eller LogicApps): Den lokale datagatewayen fungerer ikke som den skal når Privat kobling er aktivert. Vi anbefaler at du utforsker bruken av VNET-datagatewayen, som kan brukes med private koblinger. En mulig løsning er å deaktivere leierinnstillingen for Azure Private Link , konfigurere gatewayen i et eksternt område (et annet område enn det anbefalte området), og deretter aktivere Azure Private Link på nytt. Når Privat kobling er aktivert på nytt, bruker ikke gatewayen i det eksterne området private koblinger. Vi gir imidlertid ikke støtte for dette scenarioet.

• Rest-API-er for private koblinger støtter ikke koder.

• Følgende URL-adresser må være tilgjengelige fra klientleseren:

  • Obligatorisk for godkjenning:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, men dette kan være forskjellig basert på kontotype.

  • Obligatorisk for Dataingeniør- og datavitenskapsopplevelsene:

    • http://res.cdn.office.net/
    • https://aznbcdn.notebooks.azure.net/
    • https://pypi.org/* (for eksempel https://pypi.org/pypi/azure-storage-blob/json)
    • lokale statiske endepunkter for condaPackages
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Relatert innhold

• Konfigurere og bruke sikre private endepunkter
• Administrert VNet for Fabric
• Betinget tilgang
• Slik finner du leier-ID-en for Microsoft Entra