Collegamenti privati per l'accesso sicuro a Fabric (anteprima)

È possibile usare collegamenti privati per fornire l'accesso sicuro al traffico dei dati in Fabric. collegamento privato di Azure e gli endpoint privati di Rete di Azure vengono usati per inviare il traffico dati privatamente usando l'infrastruttura di rete backbone di Microsoft anziché passare attraverso Internet.

Quando si usano connessioni di collegamento privato, queste connessioni passano attraverso il backbone della rete privata Microsoft quando gli utenti di Fabric accedono alle risorse in Fabric.

Per altre informazioni sulle collegamento privato di Azure, vedere Che cos'è collegamento privato di Azure.

L'abilitazione degli endpoint privati ha un impatto su molti elementi, pertanto è consigliabile esaminare l'intero articolo prima di abilitare gli endpoint privati.

Che cos'è un endpoint privato

L'endpoint privato garantisce che il traffico che passa agli elementi dell'infrastruttura dell'organizzazione (ad esempio, il caricamento di un file in OneLake) segua sempre il percorso di rete del collegamento privato configurato dell'organizzazione. È possibile configurare Fabric per negare tutte le richieste che non provengono dal percorso di rete configurato.

Gli endpoint privati non garantiscono che il traffico da Fabric alle origini dati esterne, sia nel cloud che in locale, sia protetto. Configurare regole del firewall e reti virtuali per proteggere ulteriormente le origini dati.

Un endpoint privato è una singola tecnologia direzionale che consente ai client di avviare connessioni a un determinato servizio, ma non consente al servizio di avviare una connessione nella rete del cliente. Questo modello di integrazione dell'endpoint privato fornisce l'isolamento della gestione perché il servizio può operare indipendentemente dalla configurazione dei criteri di rete dei clienti. Per i servizi multi-tenant, questo modello di endpoint privato fornisce identificatori di collegamento per impedire l'accesso alle risorse di altri clienti ospitate nello stesso servizio.

Il servizio Fabric implementa endpoint privati e non endpoint di servizio.

L'uso di endpoint privati con Fabric offre i vantaggi seguenti:

• Limitare il traffico da Internet a Fabric e instradarlo attraverso la rete backbone Microsoft.
• Assicurarsi che solo i computer client autorizzati possano accedere a Fabric.
• Rispettare i requisiti normativi e di conformità che impongono l'accesso privato ai servizi di analisi e dati.

Informazioni sulla configurazione dell'endpoint privato

Esistono due impostazioni del tenant nel portale di amministrazione di Fabric coinvolte nella configurazione di collegamento privato: collegamento privato di Azure e Blocca accesso Internet pubblico.

Se collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è abilitato:

• Gli elementi di Fabric supportati sono accessibili solo per l'organizzazione da endpoint privati e non sono accessibili dalla rete Internet pubblica.
• Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
• Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati verrà bloccato dal servizio e non funzionerà.
• Potrebbero esserci scenari che non supportano collegamenti privati, che verranno quindi bloccati nel servizio quando è abilitato Blocca accesso Internet pubblico.

Se collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è disabilitato:

• Il traffico proveniente dalla rete Internet pubblica sarà consentito dai servizi di Infrastruttura.
• Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
• Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene trasportato tramite Internet pubblico e sarà consentito dai servizi di Infrastruttura.
• Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati verranno bloccati dalla rete virtuale e non funzioneranno.

collegamento privato nelle esperienze dell'infrastruttura

Onelake

Onelake supporta collegamento privato. È possibile esplorare Onelake nel portale di Infrastruttura o da qualsiasi computer all'interno della rete virtuale stabilita usando Esplora file di OneLake, esplora Archiviazione di Azure, PowerShell e altro ancora.

Le chiamate dirette che usano endpoint a livello di area di OneLake non funzionano tramite collegamento privato a Fabric. Per altre informazioni sulla connessione a OneLake e agli endpoint a livello di area, vedere Ricerca per categorie connettersi a OneLake?.

Endpoint SQL warehouse e Lakehouse

L'accesso agli elementi warehouse e agli endpoint SQL lakehouse nel portale è protetto da collegamento privato. I clienti possono anche usare endpoint TDS (Tabular Data Stream) (ad esempio SQL Server Management Studio, Azure Data Studio) per connettersi al warehouse tramite collegamento privato.

La query visiva in Warehouse non funziona quando l'impostazione del tenant Blocca accesso a Internet pubblico è abilitata.

Lakehouse, Notebook, definizione del processo Spark, Ambiente

Dopo aver abilitato l'impostazione del tenant collegamento privato di Azure, l'esecuzione del primo processo Spark (definizione del processo Notebook o Spark) o l'esecuzione di un'operazione Lakehouse (Da caricare a tabella, operazioni di manutenzione tabelle come Optimize o Vacuum) comporterà la creazione di una rete virtuale gestita per l'area di lavoro.

Dopo aver effettuato il provisioning della rete virtuale gestita, i pool di avvio (opzione di calcolo predefinita) per Spark sono disabilitati, in quanto si tratta di cluster preavvisati ospitati in una rete virtuale condivisa. I processi Spark vengono eseguiti in pool personalizzati creati su richiesta al momento dell'invio di processi all'interno della rete virtuale gestita dedicata dell'area di lavoro. La migrazione dell'area di lavoro tra capacità in aree diverse non è supportata quando una rete virtuale gestita viene allocata all'area di lavoro.

Quando l'impostazione del collegamento privato è abilitata, i processi Spark non funzioneranno per i tenant la cui area principale non supporta Fabric Ingegneria dei dati, anche se usano capacità di Infrastruttura di altre aree.

Per altre informazioni, vedere Rete virtuale gestita per Infrastruttura.

Flusso di dati Gen2

È possibile usare Dataflow gen2 per ottenere dati, trasformare i dati e pubblicare il flusso di dati tramite collegamento privato. Quando l'origine dati si trova dietro il firewall, è possibile usare il gateway dati della rete virtuale per connettersi alle origini dati. Il gateway dati della rete virtuale consente l'inserimento del gateway (calcolo) nella rete virtuale esistente, offrendo così un'esperienza gateway gestita. È possibile usare le connessioni gateway di rete virtuale per connettersi a lakehouse o warehouse nel tenant che richiede un collegamento privato o connettersi ad altre origini dati con la rete virtuale.

Pipeline

Quando ci si connette alla pipeline tramite collegamento privato, è possibile usare la pipeline di dati per caricare i dati da qualsiasi origine dati con endpoint pubblici in un lakehouse di Microsoft Fabric abilitato per il collegamento privato. I clienti possono anche creare e rendere operative le pipeline di dati con attività, incluse le attività notebook e flusso di dati, usando il collegamento privato. Tuttavia, la copia di dati da e in un data warehouse non è attualmente possibile quando il collegamento privato di Fabric è abilitato.

Modello di Machine Learning, esperimento e competenza di intelligenza artificiale

La competenza Ml Model, Experiment e AI supporta il collegamento privato.

Power BI

• Se l'accesso a Internet è disabilitato e se il modello semantico di Power BI, Datamart o Dataflow Gen1 si connette a un modello semantico di Power BI o a un flusso di dati come origine dati, la connessione avrà esito negativo.

• La pubblicazione sul Web non è supportata quando l'impostazione del tenant collegamento privato di Azure è abilitata in Fabric.

• Le sottoscrizioni di posta elettronica non sono supportate quando l'impostazione del tenant Blocca accesso a Internet pubblico è abilitata in Fabric.

• L'esportazione di un report di Power BI come PDF o PowerPoint non è supportata quando l'impostazione del tenant collegamento privato di Azure è abilitata in Fabric.

• Se l'organizzazione usa collegamento privato di Azure in Fabric, i report sulle metriche di utilizzo moderni conterranno dati parziali (solo eventi Di apertura report). Una limitazione corrente quando si trasferiscono informazioni client su collegamenti privati impedisce a Fabric di acquisire visualizzazioni pagina report e dati sulle prestazioni su collegamenti privati. Se l'organizzazione ha abilitato le impostazioni del tenant collegamento privato di Azure e Blocca accesso Internet pubblico in Fabric, l'aggiornamento del set di dati ha esito negativo e il report sulle metriche di utilizzo non mostra alcun dato.

Altri elementi dell'infrastruttura

Altri elementi dell'infrastruttura, ad esempio il database KQL e EventStream, non supportano attualmente collegamento privato e vengono disabilitati automaticamente quando si attiva l'impostazione del tenant Blocca accesso Internet pubblico per proteggere lo stato di conformità.

Microsoft Purview Information Protection

Microsoft Purview Information Protection attualmente non supporta collegamento privato. Ciò significa che in Power BI Desktop in esecuzione in una rete isolata, il pulsante Riservatezza verrà disattivato, le informazioni sull'etichetta non verranno visualizzate e la decrittografia dei file con estensione pbix avrà esito negativo.

Per abilitare queste funzionalità in Desktop, gli amministratori possono configurare i tag di servizio per i servizi sottostanti che supportano Microsoft Purview Information Protection, Exchange Online Protection (EOP) e Azure Information Protection (AIP). Assicurarsi di comprendere le implicazioni dell'uso dei tag di servizio in una rete isolata di collegamenti privati.

Altre considerazioni e limitazioni

Durante l'uso di endpoint privati in Fabric, tenere presenti diverse considerazioni:

• Fabric supporta fino a 200 capacità in un tenant in cui collegamento privato è abilitato.

• La migrazione del tenant viene bloccata quando collegamento privato è attivata nel portale di amministrazione di Fabric.

• I clienti non possono connettersi alle risorse di Fabric in più tenant da una singola rete virtuale, ma solo l'ultimo tenant da configurare collegamento privato.

• Il collegamento privato non supporta la capacità di valutazione.

• Gli usi di immagini o temi esterni non sono disponibili quando si usa un ambiente di collegamento privato.

• Ogni endpoint privato può essere connesso a un solo tenant. Non è possibile configurare un collegamento privato da usare da più tenant.

• Per gli utenti di Fabric: i gateway dati locali non sono supportati e non vengono registrati quando collegamento privato è abilitato. Per eseguire correttamente il configuratore del gateway, collegamento privato deve essere disabilitato. I gateway dati della rete virtuale funzioneranno.

• Per gli utenti del gateway non PowerBI (PowerApps o LogicApps): il gateway non funziona correttamente quando collegamento privato è abilitato. Una possibile soluzione alternativa consiste nel disabilitare l'impostazione del tenant collegamento privato di Azure, configurare il gateway in un'area remota (un'area diversa dall'area consigliata), quindi riabilitare collegamento privato di Azure. Dopo che collegamento privato è stato riabilitato, il gateway nell'area remota non userà collegamenti privati.

• Le API REST delle risorse dei collegamenti privati non supportano i tag.

• Gli URL seguenti devono essere accessibili dal browser client:

  • Obbligatorio per l'autenticazione:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, anche se questo può essere diverso in base al tipo di account.

  • Obbligatorio per le esperienze di data science e Ingegneria dei dati:

    • http://res.cdn.office.net/
    • https://pypi.org/* (ad esempio, https://pypi.org/pypi/azure-storage-blob/json)
    • endpoint statici locali per condaPackage
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Contenuto correlato

• Configurare e usare endpoint privati sicuri
• Rete virtuale gestita per Infrastruttura
• Accesso condizionale
• Come trovare l'ID tenant di Microsoft Entra