建立已啟用資料外泄保護的工作區

  • 發行項

本文說明如何建立已啟用資料外泄保護的工作區,以及如何管理此工作區的已核准 Microsoft Entra 租使用者。

注意

建立工作區之後,您無法變更受控虛擬網路和資料外泄保護的工作區設定。

必要條件

  • 在 Azure 中建立工作區資源的許可權。
  • 建立受控私人端點的 Synapse 工作區許可權。
  • 註冊給網路資源提供者的訂用帳戶。 深入了解

請遵循快速入門:建立 Synapse 工作區 所列的步驟,開始建立工作區。 建立工作區之前,請使用下列資訊,將資料外泄保護新增至工作區。

在建立工作區時新增資料外泄保護

  1. 在 [網路] 索引標籤上,選取 [啟用受控虛擬網路] 核取方塊。
  2. 針對 [只允許輸出資料流量到已核准的目標] 選項選取 [是]。
  3. 為此工作區選擇已核准的 Microsoft Entra 租使用者。
  4. 檢閱設定並建立工作區。 Screenshot that shows a Create Synapse workspace with 'Enable manage virtual network' selected.

管理工作區的已核准 Microsoft Entra 租使用者

  1. 從工作區的Azure 入口網站,流覽至 [已核准的 Microsoft Entra 租使用者]。 工作區的已核准 Microsoft Entra 租使用者清單將會列在這裡。 預設會包含工作區的租使用者,且未列出。
  2. 使用 「+Add」 將新的租使用者納入核准清單。
  3. 若要從核准清單中移除 Microsoft Entra 租使用者,請選取租使用者,然後選取 [刪除],然後選取 [儲存]。 Create a workspace with data exfiltration protection

連線已核准 Microsoft Entra 租使用者中的 Azure 資源

您可以建立受控私人端點,以連線到位於 Microsoft Entra 租使用者中的 Azure 資源,這些資源已針對工作區核准。 請依照指南中所列的步驟來 建立受控私人端點

重要

工作區租使用者以外的租使用者中的資源不得有封鎖防火牆規則,SQL 集區才能連線到這些規則。 工作區受控虛擬網路內的資源 (例如 Spark 叢集),可以透過受控私人連結連線到防火牆保護的資源。

已知的限制

使用者可以提供環境組態檔,從 PyPI 等公用存放庫安裝 Python 套件。 在資料外流受保護的工作區中,會封鎖連往輸出存放庫的連線。 因此,不支援從 PyPI 等公用存放庫安裝的 Python 程式庫。

或者,使用者可以上傳工作區套件,或在其主要 Azure Data Lake 儲存體 帳戶內建立私人頻道。 如需詳細資訊,請造訪 Azure Synapse Analytics 中的套件管理

如果您的 Synapse 工作區使用已啟用資料外泄保護的受控虛擬網路,則從事件中樞擷取資料 到資料總管集 區將無法運作。

下一步