Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft Fabric fornece várias camadas de proteção de rede de entrada para ajudar as organizações a controlar onde as ligações de entrada podem originar-se ao aceder a itens e dados. Estas capacidades permitem que administradores de inquilinos e administradores de espaços de trabalho impõem limites de rede, restrinjam o acesso público e encaminhem as ligações de entrada através de canais privados seguros. Este artigo apresenta uma visão geral de todas as opções de proteção de entrada, como se relacionam entre si e orientações para escolher a configuração certa para o seu ambiente.
Visão geral das características de proteção de entrada
O fabrico oferece proteção de entrada em dois âmbitos:
Proteção de entrada ao nível do tenant: Os administradores de tenant configuram estas definições, que se aplicam a todos os espaços de trabalho no tenant Fabric. Incluem funcionalidades como Ligação Privada ao nível do inquilino e políticas de Acesso Condicional Microsoft Entra, que restringem onde podem ter origem as ligações de entrada.
Proteção de entrada ao nível do espaço de trabalho: Os administradores de espaços de trabalho configuram estas definições, que se aplicam a espaços de trabalho individuais. Incluem o Link Privado ao nível do espaço de trabalho e regras de firewall IP de espaço de trabalho que permitem aos administradores definir limites específicos de rede para os seus espaços de trabalho.
Ao combinar funcionalidades de proteção de entrada ao nível do inquilino e ao nível do espaço de trabalho, as organizações podem criar uma abordagem de segurança em camadas que satisfaça os seus requisitos específicos de controlo de acessos. As secções seguintes fornecem mais detalhes sobre cada funcionalidade e como interagem.
Proteção de entrada ao nível do inquilino
Os administradores de inquilinos podem configurar controlos de entrada que se aplicam a todos os espaços de trabalho, a menos que sejam ultrapassados por definições específicas de cada espaço.
- Ligação Privada ao Nível do Inquilino: Encaminha todas as ligações de entrada para recursos Fabric através do Azure Private Link, garantindo que o tráfego se origina de redes virtuais aprovadas.
- Microsoft Entra Conditional Access: Aplica políticas de acesso baseadas em identidade que podem restringir ligações de entrada com base na localização do utilizador, conformidade do dispositivo e outros fatores.
- Etiquetas de Serviço: Permitir ou bloquear o tráfego de entrada de serviços Azure específicos usando etiquetas de serviço pré-definidas.
- Ativar regras de entrada ao nível do espaço de trabalho: A definição de tenant Configurar regras de rede de entrada ao nível do espaço de trabalho permite ou impede que administradores de espaços de trabalho restrinjam o acesso público ao nível do espaço de trabalho. Por defeito, os administradores de espaços de trabalho não podem restringir o acesso público de entrada a menos que o administrador do tenant ative esta configuração. Quando ativados, os administradores de espaços de trabalho podem aplicar restrições de entrada ao nível do espaço de trabalho – incluindo ligações privadas – proporcionando às organizações uma segmentação de rede mais detalhada.
Estas funcionalidades ao nível do inquilino oferecem proteções amplas que ajudam a proteger todos os espaços de trabalho do inquilino. No entanto, as definições ao nível do espaço de trabalho podem complementá-las para um controlo mais direcionado.
Proteção de entrada ao nível do espaço de trabalho
Os administradores de espaços de trabalho podem aplicar controlos de segurança de entrada mais específicos quando o inquilino os permite.
Workspace Private Link: Permite que um workspace estabeleça um endpoint privado no Azure, garantindo que as ligações de entrada originam-se apenas de redes aprovadas.
Proteção de acesso de entrada ao espaço de trabalho: Quando o inquilino ativa regras ao nível do espaço de trabalho, os administradores do espaço podem ativar Restringir acesso público. Selecione esta opção para bloquear ligações públicas de entrada e exigir acesso de entrada através de redes privadas aprovadas.
Firewall IP do espaço de trabalho: Os administradores podem configurar regras de firewall IP do workspace para especificar quais os intervalos de IP que podem aceder aos itens do workspace. Esta funcionalidade complementa o link privado ao ativar listas de permissões granulares.
Estas camadas podem funcionar de forma independente ou em conjunto, dependendo das necessidades organizacionais.
Como interagem as definições de segurança de rede
Compreender como as definições ao nível do inquilino e ao nível do espaço de trabalho interagem é essencial para configurar o acesso seguro de entrada. A tabela seguinte mostra como as configurações de rede afetam o acesso ao portal Fabric e às APIs REST.
Os administradores de inquilinos só podem restringir o acesso público quando as ligações privadas ao nível do inquilino estão ativadas.
Tabela 1: Acesso ao portal Fabric com base nas definições de rede
| Configuração de acesso público no nível do locatário | Acesso a partir de | Posso aceder ao portal Fabric? | Posso aceder às APIs REST do Fabric? |
|---|---|---|---|
| Permitido | Internet pública | Yes | Sim, usando api.fabric.microsoft.com |
| Permitido | Rede com ligação privada do locatário | Yes | Sim, usando o FQDN específico para o inquilino |
| Permitido | Rede com ligação privada ao espaço de trabalho | Yes | Sim, usando o FQDN específico do espaço de trabalho |
| Permitido | IP permitido | Yes | Sim, usando api.fabric.microsoft.com |
| Restricted | Internet pública | Não | Não |
| Restricted | Rede com ligação privada do inquilino | Yes | Sim, usando um FQDN específico do inquilino ou o endpoint api.fabric.microsoft.com, e somente se o cliente permitir acesso público de saída. |
| Restricted | Rede com ligação privada do espaço de trabalho | Não | Sim, usando o FQDN específico do espaço de trabalho |
| Restricted | IP público permitido a nível de espaço de trabalho | Não | Sim, a usar api.fabric.microsoft.com |
| Restricted | Rede tanto com o link privado do inquilino como com o link privado do espaço de trabalho | Yes | Sim, a usar api.fabric.microsoft.com |
Considerações de planeamento para proteção de tráfego de entrada
Ao planear a proteção de entrada para o ambiente Fabric, considere os seguintes fatores:
- Tens de ser administrador Fabric para ativar regras de entrada ao nível do tenant.
- As funcionalidades ao nível do espaço de trabalho dependem das definições do inquilino.
- O link privado requer configuração Azure.
- O firewall IP permite controlo granular, mas requer um planeamento cuidadoso da IP.
- Considere se um modelo centralizado ou orientado pelo espaço de trabalho se adequa melhor ao seu ambiente.
Próximos passos
- Saiba mais sobre [Proteção de acesso de entrada no espaço de trabalho].
- Saiba mais sobre a proteção de acesso de saída do espaço de trabalho para compreender o modelo completo da rede.
- Revise a configuração do Vínculo Privado tanto ao nível do inquilino como do espaço de trabalho.
- Continue para os artigos de cenários para orientações detalhadas sobre a configuração.