保護輸入流量
輸入流量是從網際網路進入 Fabric 的流量。 本文說明保護 Microsoft Fabric、私人連結 和 Entra 條件式存取中輸入流量的兩種方式之間的差異。 使用本文來決定哪一種方法最適合您的組織。
私人連結 (選項 1,客戶 Vnet) - Fabric 會使用虛擬網路的私人 IP 位址。 端點可讓網路中的使用者使用私人連結,透過私人 IP 位址與 Fabric 通訊。
Entra 條件式存取 - (選項 2,使用者) - 當使用者驗證存取權時,會根據一組可能包含 IP 位址、位置和受控裝置的原則來判定。
流量進入 Fabric 後,即會由 Microsoft Entra ID 進行驗證,這是 Microsoft 365、OneDrive 和 Dynamics 365 所用的相同驗證方法。 Microsoft Entra ID 驗證可讓使用者從任何裝置和任何網路,安全地連線至雲端應用程式,無論是在家、遠端或公司辦公室。
Fabric 後端平台受到虛擬網路的保護,並非直接從公用網際網路存取,而是透過安全端點存取。 若要了解流量在 Fabric 中的保護方式,請檢閱 Fabric 的架構圖表。
根據預設,Fabric 會使用內部 Microsoft 骨幹網路在體驗之間進行通訊。 當 Power BI 報告從 OneLake 載入資料時,資料會經過內部 Microsoft 網路。 此組態不同於必須設定多個平台即服務 (PaaS) 服務,以透過私人網路彼此連線。 瀏覽器或 SQL Server Management Studio (SSMS) 和 Fabric 等用戶端之間的輸入通訊會使用 TLS 1.2 通訊協定,並儘可能交涉至 TLS 1.3。
Fabric 的預設安全性設定包括:
用於驗證每個要求的 Microsoft Entra ID。
成功驗證後,要求會透過安全的 Microsoft 受控端點,路由至適當的後端服務。
Fabric 中體驗間的內部流量會透過 Microsoft 骨幹路由。
用戶端與 Fabric 之間的流量會至少使用傳輸層安全性 (TLS) 1.2 通訊協定來加密。
額外的條件式存取
與 Fabric 的每個互動會使用 Microsoft Entra ID 進行驗證。 Microsoft Entra ID 以零信任資訊安全模型為基礎,假設您並未在組織的網路周邊受到完整保護。 零信任將身分識別視為安全性的主要周邊,而不是將網路視為安全性邊界。
若要在驗證時判斷存取權,您可以根據使用者識別、裝置上下文、位置、網路和應用程式敏感性來定義並強制執行條件式存取原則。 例如,您可以要求多重要素驗證、裝置合規性或核准的應用程式,以在 Fabric 中存取您的資料和資源。 您還可以封鎖或限制具風險位置、裝置或網路的存取。
條件式存取原則可協助您保護資料和應用程式,而不會影響使用者的生產力和體驗。 以下是您可以使用條件式存取強制執行的一些存取限制範例。
定義 IP 清單,以取得 Fabric 的輸入連線能力。
使用多重要素驗證 (MFA)。
根據來源國家/地區或裝置類型等參數來限制流量。
Fabric 不支援其他驗證方法,例如,依賴使用者名稱和密碼的帳戶金鑰或 SQL 驗證。
設定條件式存取
若要在 Fabric 中設定條件式存取,您必須選取多個與 Fabric 相關的 Azure 服務,例如 Power BI、Azure 資料總管、Azure SQL 資料庫,以及 Azure 儲存體。
注意
條件式存取對於某些客戶而言可能過於廣泛,因為任何原則都會套用至 Fabric 和相關 Azure 服務。
授權
條件式存取需要 Microsoft Entra ID P1 授權。 這些授權通常在您的組織已提供,因為它們與其他 Microsoft 產品共用,例如 Microsoft 365。 若要尋找您的需求的正確授權,請參閱授權需求。
信任存取
即使您的資料儲存在私人網路,Fabric 也不需要位於私人網路中。 使用 PaaS 服務時,通常會將計算置於與儲存體帳戶相同的私人網路中。 不過,使用 Fabric 時不需要此服務。 若要啟用對 Fabric 的信任存取,您可以使用內部部署的資料閘道、受信任的工作區存取和受控私人端點等功能。 如需詳細資訊,請參閱 Microsoft Fabric 中的安全性。
私人連結
使用私人端點時,您的服務會從虛擬網路指派私人 IP 位址。 端點可讓網路中的其他資源透過私人 IP 位址與服務通訊。
使用私人連結,從服務到其中一個子網的通道會建立私人頻道。 從外部裝置的通訊會透過通道和服務,從其 IP 位址移至該子網中的私人端點。
實作私人連結時,無法再透過公用網際網路存取 Fabric。 若要存取 Fabric,所有使用者必須透過私人網路建立連線。 與 Fabric 的所有通訊都需要私人網路,包括檢視瀏覽器中的 Power BI 報告,以及使用 SQL Server Management Studio (SSMS) 連線至 SQL 連接字串,例如 <guid_unique_your_item>.datawarehouse.fabric.microsoft.com。
內部部署網路
如果您使用內部部署網路,您可以使用 ExpressRoute 循環或站對站 VPN 將其擴充至 Azure 虛擬網絡 (VNet),以使用私人連線存取 Fabric。
頻寬
使用私人連結時,Fabric 的所有流量都會透過私人端點傳輸,因而造成潛在的頻寬問題。 使用者無法再從其區域載入全域分散式非資料相關資源,例如 Fabric 使用的映像 .css 和 .html 檔案。 這些資源會從私人端點的位置載入。 例如,對於具有美國私人端點的澳洲使用者,流量會先前往美國。 這會增加載入時間,並可能會降低效能。
成本
私人連結的成本和 ExpressRoute 頻寬增加,以允許您網路的私人連線,可能會將成本新增至您的組織。
考量與限制
透過私人連結,您將關閉 Fabric 與公用網際網路的連線。 因此,您需要考慮許多考慮和限制。