สถาปัตยกรรมเกตเวย์ข้อมูลภายในองค์กร

ผู้ใช้ในองค์กรของคุณสามารถเข้าถึงข้อมูลภายในองค์กรที่พวกเขามีสิทธิ์เข้าถึงจากบริการในระบบคลาวด์ เช่น Power BI, Power Platform และ Microsoft Fabric แต่ก่อนที่ผู้ใช้เหล่านั้นจะสามารถเชื่อมต่อบริการระบบคลาวด์กับแหล่งข้อมูลภายในองค์กรของคุณ จําเป็นต้องติดตั้งและกําหนดค่าเกตเวย์ข้อมูลภายในองค์กร

เกตเวย์อํานวยความสะดวกในการสื่อสารเบื้องหลังที่รวดเร็วและปลอดภัย โฟลว์การสื่อสารนี้จากผู้ใช้ในระบบคลาวด์ไปยังแหล่งข้อมูลภายในองค์กรของคุณ จากนั้นกลับไปยังระบบคลาวด์

ผู้ดูแลระบบมักจะเป็นผู้ที่ติดตั้งและกําหนดค่าเกตเวย์ การดําเนินการเหล่านี้อาจจําเป็นต้องมีความรู้พิเศษเกี่ยวกับเซิร์ฟเวอร์ภายในองค์กรของคุณหรือสิทธิ์ผู้ดูแลระบบเซิร์ฟเวอร์

บทความนี้ไม่ได้ให้คําแนะนําทีละขั้นตอนเกี่ยวกับวิธีการติดตั้งและกําหนดค่าเกตเวย์ สําหรับคําแนะนํานั้น ไปที่ ติดตั้งเกตเวย์ข้อมูลภายในองค์กร บทความนี้ทําให้เข้าใจอย่างลึกขึ้นว่าเกตเวย์ทํางานอย่างไร

เกตเวย์ทำงานอย่างไร

ก่อนอื่น มาดูสิ่งที่เกิดขึ้นเมื่อคุณโต้ตอบกับองค์ประกอบที่เชื่อมต่อกับแหล่งข้อมูลภายในองค์กร

หมายเหตุ

คุณอาจจําเป็นต้องกําหนดค่าแหล่งข้อมูลสําหรับเกตเวย์ ทั้งนี้ขึ้นอยู่กับบริการระบบคลาวด์

1. บริการระบบคลาวด์สร้างคิวรีและข้อมูลประจำตัวที่เข้ารหัสลับสำหรับแหล่งข้อมูลภายในองค์กร คิวรีและข้อมูลประจําตัวจะถูกส่งไปยังคิวเกตเวย์สําหรับการประมวลผลเมื่อเกตเวย์ทําการสํารวจบริการเป็นระยะ ๆ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัสลับข้อมูลประจําตัวใน Power BI ไปที่ เอกสารทางเทคนิคเรื่องความปลอดภัยของ Power BI
2. บริการระบบคลาวด์ของเกตเวย์จะวิเคราะห์คิวรีและส่งคําขอไปยัง Azure Relay
3. Azure Relay ส่งคําขอที่ค้างอยู่ไปยังเกตเวย์เมื่อทําการสํารวจเป็นระยะ ๆ ทั้งเกตเวย์และบริการของ Power BI ถูกนํามาใช้เพื่อยอมรับการรับส่งข้อมูล TLS 1.2 เท่านั้น
4. เกตเวย์รับคิวรี ถอดรหัสข้อมูลประจำตัว และเชื่อมต่อกับแหล่งข้อมูลอย่างน้อยหนึ่งรายการที่มีข้อมูลประจำตัวเหล่านั้น
5. เกตเวย์ส่งคิวรีไปยังแหล่งข้อมูลที่จะเรียกใช้
6. ผลลัพธ์จะถูกส่งจากแหล่งข้อมูลกลับไปที่เกตเวย์ และจากนั้นไปยังบริการคลาวด์ จากนั้น บริการจะใช้ผลลัพธ์

ในขั้นตอนที่ 6 การรีเฟรชคิวรี เช่น Power BI และ Azure Analysis Services สามารถส่งกลับข้อมูลจํานวนมาก สําหรับคิวรีดังกล่าว ข้อมูลจะถูกเก็บไว้บนเครื่องเกตเวย์ชั่วคราว ที่เก็บข้อมูลนี้ยังคงดําเนินต่อจนกว่าข้อมูลทั้งหมดจะได้รับจากแหล่งข้อมูล จากนั้น ข้อมูลจะถูกส่งกลับไปยังบริการระบบคลาวด์ กระบวนการนี้เรียกว่าการสวมรอย เราขอแนะนําให้คุณใช้ไดรฟ์แบบโซลิดสแตท (SSD) เป็นที่เก็บข้อมูลการหลอกลวง

รับรองความถูกต้องไปยังแหล่งข้อมูลภายในองค์กร

ข้อมูลประจําตัวที่เก็บไว้ถูกใช้เพื่อเชื่อมต่อจากเกตเวย์ไปยังแหล่งข้อมูลภายในองค์กร เกตเวย์ใช้ข้อมูลประจําตัวที่จัดเก็บไว้เพื่อเชื่อมต่อ โดยไม่คํานึงถึงผู้ใช้ แต่อาจมีข้อยกเว้นการรับรองความถูกต้อง เช่น DirectQuery และ Live เชื่อมต่อ สําหรับ Analysis Services ใน Power BI สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัสลับข้อมูลประจําตัวใน Power BI ไปที่ เอกสารทางเทคนิคเรื่องความปลอดภัยของ Power BI

ลงชื่อเข้าใช้บัญชี

คุณลงชื่อเข้าใช้ด้วยบัญชีที่ทํางานหรือบัญชีโรงเรียน บัญชีนี้คือบัญชีองค์กรของคุณ ถ้าคุณลงทะเบียนรับข้อเสนอ Office 365 และไม่ได้ใส่ที่อยู่อีเมลที่ทํางานจริงของคุณ ชื่อบัญชีของคุณอาจมีลักษณะเหมือนnancy@contoso.onmicrosoft.com บริการระบบคลาวด์จัดเก็บบัญชีของคุณภายในผู้เช่าในรหัส Microsoft Entra ในกรณีส่วนใหญ่ ชื่อผู้ใช้หลัก (UPN) ของบัญชี Microsoft Entra ID ของคุณตรงกับที่อยู่อีเมลของคุณ

ความปลอดภัยการรับส่งข้อมูลเครือข่าย

การรับส่งข้อมูลไปที่จากเกตเวย์ไปยัง Azure Relay ไปยังคลัสเตอร์ Backend ของ Power BI ปริมาณการใช้งานนี้ไม่ได้เป็นการสํารวจอินเทอร์เน็ตสาธารณะ การรับส่งข้อมูลภายใน Azure ทั้งหมดจะผ่านแกนกลางของ Azure

Microsoft Entra ID

บริการระบบคลาวด์ของ Microsoft ใช้ Microsoft Entra ID เพื่อรับรองความถูกต้องของผู้ใช้ รหัส Microsoft Entra คือผู้เช่าที่ประกอบด้วยกลุ่มความปลอดภัยและชื่อผู้ใช้ โดยทั่วไปแล้ว ที่อยู่อีเมลที่คุณใช้สําหรับการลงชื่อเข้าใช้จะเหมือนกับ UPN ของบัญชีของคุณ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการรับรองความถูกต้องใน Power BI ให้ไปที่ เอกสารทางเทคนิคเรื่องความปลอดภัยของ Power BI

ฉันจะทราบได้อย่างไรว่า UPN ของฉันเป็นอะไร

คุณอาจไม่ทราบ UPN ของคุณ และคุณอาจไม่ใช่ผู้ดูแลระบบโดเมน เมื่อต้องการค้นหา UPN สําหรับบัญชีของคุณ ให้เรียกใช้คําสั่งต่อไปนี้จากเวิร์กสเตชันของคุณ: whoami /upn

แม้ว่าผลลัพธ์จะมีลักษณะเหมือนกับที่อยู่อีเมล แต่จะเป็น UPN บนบัญชีโดเมนภายในเครื่องของคุณ

ซิงโครไนซ์ Active Directory ในองค์กรกับ Microsoft Entra ID

คุณต้องการให้บัญชี Active Directory ในองค์กรแต่ละรายการของคุณตรงกับบัญชี Microsoft Entra ID เนื่องจาก UPN สําหรับบัญชีทั้งสองต้องเหมือนกัน

บริการระบบคลาวด์ทราบเกี่ยวกับบัญชีผู้ใช้ภายใน Microsoft Entra ID เท่านั้น ไม่สําคัญว่าคุณเพิ่มบัญชีใน Active Directory ในองค์กรของคุณ หากบัญชีนั้นไม่อยู่ใน Microsoft Entra ID บัญชีนั้นจะไม่สามารถใช้ได้

มีหลายวิธีในการจับคู่บัญชี Active Directory ในองค์กรของคุณกับ Microsoft Entra ID

• เพิ่มบัญชีด้วยตนเองไปยัง Microsoft Entra ID

  สร้างบัญชีผู้ใช้บนพอร์ทัล Azure หรือภายในศูนย์การจัดการ Microsoft 365 ตรวจสอบให้แน่ใจว่าชื่อบัญชีผู้ใช้ตรงกับ UPN ของบัญชี Active Directory ในองค์กร

• ใช้เครื่องมือ Microsoft Entra ID เชื่อมต่อ เพื่อซิงโครไนซ์บัญชีภายในเครื่องเข้ากับผู้เช่า Microsoft Entra ID ของคุณ

  เครื่องมือ Microsoft Entra ID เชื่อมต่อมีตัวเลือกสําหรับการซิงโครไนซ์ไดเรกทอรีและการตั้งค่าการรับรองความถูกต้อง ตัวเลือกเหล่านี้รวมถึงการซิงค์แฮชรหัสผ่าน การรับรองความถูกต้องแบบพาส-ทรู และสหพันธ์ ถ้าคุณไม่ใช่ผู้ดูแลระบบผู้เช่าหรือผู้ดูแลระบบโดเมนภายใน ให้ติดต่อผู้ดูแลระบบ IT ของคุณเพื่อขอรับรหัส Microsoft Entra เชื่อมต่อกําหนดค่าไว้

Microsoft Entra ID เชื่อมต่อทําให้แน่ใจว่า Microsoft Entra ID UPN ของคุณตรงกับ UPN Active Directory ภายในเครื่องของคุณ การจับคู่นี้จะช่วยถ้าคุณกําลังใช้การเชื่อมต่อสดของ Analysis Services ด้วย Power BI หรือความสามารถในการลงชื่อเข้าระบบครั้งเดียว (SSO)

หมายเหตุ

การรวมบัญชีผู้ใช้ด้วยเครื่องมือ Microsoft Entra ID เชื่อมต่อ จะสร้างบัญชีผู้ใช้ใหม่ภายในผู้เช่า Microsoft Entra ID ของคุณ

ขั้นตอนถัดไป

• คําถามที่ถามบ่อยเกี่ยวกับเกตเวย์ข้อมูลภายในองค์กร
• Azure Relay
• เชื่อมต่อ Microsoft Entra ID