Skapa en arbetsyta med dataexfiltreringsskydd aktiverat

Den här artikeln beskriver hur du skapar en arbetsyta med dataexfiltreringsskydd aktiverat och hur du hanterar godkända Microsoft Entra-klienter för den här arbetsytan.

Kommentar

Du kan inte ändra arbetsytans konfiguration för hanterat virtuellt nätverk och dataexfiltreringsskydd när arbetsytan har skapats.

Förutsättningar

• Behörigheter för att skapa en arbetsyteresurs i Azure.
• Synapse-arbetsytans behörigheter för att skapa hanterade privata slutpunkter.
• Prenumerationer som registrerats för nätverksresursprovidern. Läs mer.

Följ stegen i Snabbstart: Skapa en Synapse-arbetsyta för att komma igång med att skapa din arbetsyta. Innan du skapar din arbetsyta använder du informationen nedan för att lägga till dataexfiltreringsskydd på din arbetsyta.

Lägga till dataexfiltreringsskydd när du skapar din arbetsyta

1. På fliken Nätverk markerar du kryssrutan "Aktivera hanterat virtuellt nätverk".
2. Välj "Ja" för alternativet "Tillåt endast utgående datatrafik till godkända mål".
3. Välj godkända Microsoft Entra-klienter för den här arbetsytan.
4. Granska konfigurationen och skapa arbetsytan.

Hantera godkända Microsoft Entra-klienter för arbetsytan

1. Från arbetsytans Azure-portal går du till "Godkända Microsoft Entra-klienter". Listan över godkända Microsoft Entra-klienter för arbetsytan visas här. Arbetsytans klientorganisation ingår som standard och visas inte.
2. Använd "+Lägg till" för att inkludera nya klienter i listan över godkända klienter.
3. Om du vill ta bort en Microsoft Entra-klientorganisation från den godkända listan väljer du klientorganisationen och väljer "Ta bort" och sedan "Spara".

Anslut till Azure-resurser i godkända Microsoft Entra-klienter

Du kan skapa hanterade privata slutpunkter för att ansluta till Azure-resurser som finns i Microsoft Entra-klienter, som är godkända för en arbetsyta. Följ stegen i guiden för att skapa hanterade privata slutpunkter.

Viktigt!

Andra resurser i klientorganisationer än arbetsytans klient får inte ha blockerande brandväggsregler på plats för att SQL-poolerna ska kunna ansluta till dem. Resurser i arbetsytans hanterade virtuella nätverk, till exempel Spark-kluster, kan ansluta via hanterade privata länkar till brandväggsskyddade resurser.

Kända begränsningar

Användare kan tillhandahålla en miljökonfigurationsfil för att installera Python-paket från offentliga lagringsplatser som PyPI. I dataexfiltreringsskyddade arbetsytor blockeras anslutningar till utgående lagringsplatser. Därför stöds inte Python-bibliotek som installerats från offentliga lagringsplatser som PyPI.

Alternativt kan användare ladda upp arbetsytepaket eller skapa en privat kanal i sitt primära Azure Data Lake Storage-konto. Mer information finns i Pakethantering i Azure Synapse Analytics

Inmatning av data från en händelsehubb till Data Explorer-pooler fungerar inte om din Synapse-arbetsyta använder ett hanterat virtuellt nätverk med dataexfiltreringsskydd aktiverat.

Nästa steg

• Läs mer om dataexfiltreringsskydd i Synapse-arbetsytor
• Läs mer om virtuellt nätverk för hanterad arbetsyta
• Läs mer om hanterade privata slutpunkter
• Skapa hanterade privata slutpunkter till dina datakällor