Criar um espaço de trabalho com a proteção contra exfiltração de dados ativada

Este artigo descreve como criar um espaço de trabalho com a proteção contra exfiltração de dados habilitada e como gerenciar os locatários aprovados do Microsoft Entra para esse espaço de trabalho.

Nota

Não é possível alterar a configuração do espaço de trabalho para a rede virtual gerenciada e a proteção contra exfiltração de dados após a criação do espaço de trabalho.

Pré-requisitos

• Permissões para criar um recurso de espaço de trabalho no Azure.
• Synapse permissões de espaço de trabalho para criar pontos de extremidade privados gerenciados.
• Subscrições registadas para o fornecedor de recursos de rede. Saiba mais.

Siga as etapas listadas em Guia de início rápido: criar um espaço de trabalho Synapse para começar a criar seu espaço de trabalho . Antes de criar seu espaço de trabalho, use as informações abaixo para adicionar proteção contra exfiltração de dados ao seu espaço de trabalho.

Adicione proteção contra exfiltração de dados ao criar seu espaço de trabalho

1. Na guia Rede, marque a caixa de seleção "Habilitar rede virtual gerenciada".
2. Selecione "Sim" para a opção "Permitir tráfego de dados de saída apenas para destinos aprovados".
3. Escolha os locatários aprovados do Microsoft Entra para este espaço de trabalho.
4. Revise a configuração e crie o espaço de trabalho.

Gerenciar locatários aprovados do Microsoft Entra para o espaço de trabalho

1. No portal do Azure do espaço de trabalho, navegue até "Locatários aprovados do Microsoft Entra". A lista de locatários aprovados do Microsoft Entra para o espaço de trabalho será listada aqui. O locatário do espaço de trabalho é incluído por padrão e não está listado.
2. Use "+Adicionar" para incluir novos locatários na lista aprovada.
3. Para remover um locatário do Microsoft Entra da lista aprovada, selecione o locatário e selecione "Excluir" e, em seguida, "Salvar".

Conectando-se a recursos do Azure em locatários aprovados do Microsoft Entra

Você pode criar pontos de extremidade privados gerenciados para se conectar aos recursos do Azure que residem em locatários do Microsoft Entra, que são aprovados para um espaço de trabalho. Siga as etapas listadas no guia para criar pontos de extremidade privados gerenciados.

Importante

Os recursos em locatários diferentes do locatário do espaço de trabalho não devem ter regras de firewall de bloqueio em vigor para que os pools SQL se conectem a eles. Os recursos dentro da rede virtual gerida da área de trabalho, como os clusters do Apache Spark, podem ligar-se através de ligações privadas geridas aos recursos protegidos pela firewall.

Limitações conhecidas

Os usuários podem fornecer um arquivo de configuração de ambiente para instalar pacotes Python de repositórios públicos como o PyPI. Em espaços de trabalho protegidos por exfiltração de dados, as conexões com repositórios de saída são bloqueadas. Como resultado, bibliotecas Python instaladas a partir de repositórios públicos como o PyPI não são suportadas.

Como alternativa, os usuários podem carregar pacotes de espaço de trabalho ou criar um canal privado em sua conta principal do Armazenamento do Azure Data Lake. Para obter mais informações, visite Gerenciamento de pacotes no Azure Synapse Analytics

A ingestão de dados de um Hub de Eventos em pools do Data Explorer não funcionará se o espaço de trabalho Synapse usar uma rede virtual gerenciada com a proteção contra exfiltração de dados habilitada.

Próximos passos

• Saiba mais sobre a proteção contra exfiltração de dados em espaços de trabalho Synapse
• Saiba mais sobre a Rede Virtual do espaço de trabalho gerenciado
• Saiba mais sobre endpoints privados gerenciados
• Criar pontos de extremidade privados gerenciados para suas fontes de dados