設定及使用私人連結

在 Fabric 中，您可以設定及使用端點，讓您的組織私下存取 Fabric。 若要設定私人端點，您必須是網狀架構系統管理員，且在 Azure 中具有建立和設定資源的許可權，例如虛擬機（VM）和虛擬網路（VNet）。

可讓您從私人端點安全地存取 Fabric 的步驟如下：

1. 設定 Fabric 的私人端點。
2. 在 Azure 入口網站 中建立Power BI資源的 Microsoft.PowerBI 私人連結服務。
3. 建立虛擬網路。
4. 建立虛擬機（VM）。
5. 建立私人端點。
6. 使用 Bastion 連線到 VM。
7. 從虛擬機私下存取網狀架構。
8. 停用 Fabric 的公用存取。

下列各節提供每個步驟的其他資訊。

步驟 1： 設定 Fabric 的私人端點

1. 以系統管理員身分登入 Fabric 。

2. 移至租用戶設定。

3. 尋找並展開 Azure Private Link 設定。

4. 將切換設定為 [已啟用]。

   

設定租使用者的私人鏈接大約需要15分鐘的時間。 這包括為租用戶設定個別的 FQDN（完整功能變數名稱），以便與網狀架構服務私下通訊。

完成此程式時，請移至下一個步驟。

步驟 2。 在 Azure 入口網站 中建立Power BI資源的 Microsoft.PowerBI 私人鏈接服務

此步驟可用來支援 Azure 私人端點與您的網狀架構資源關聯。

1. 登入 Azure 入口網站。

2. 選取 [建立資源]。

3. 在 [範本部署] 底下，選取 [建立]。

   

4. 在 [自訂部署] 頁面上，選取 [在編輯器中建置您自己的範本]。

   

5. 在編輯器中，使用ARM範本建立下列 Fabric 資源，如下所示，其中

   • <resource-name> 是您為網狀架構資源選擇的名稱。
   • <tenant-object-id> 是您的 Microsoft Entra 租使用者標識碼。 請參閱 如何尋找您的 Microsoft Entra 租用戶識別碼。

   {
     "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {},
     "resources": [
         {
             "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
             "apiVersion": "2020-06-01",
             "name" : "<resource-name>",
             "location": "global",
             "properties" : 
             {
                  "tenantId": "<tenant-object-id>"
             }
         }
     ]
   }
   

   如果您使用適用於 Power BI 的 Azure Government 雲端， location 應該是租用戶的區域名稱。 例如，如果租用戶位於US Gov Texas，您應該將 它放入 "location": "usgovtexas" ARM樣本中。 您可以在適用於美國政府的 Power BI 文章中找到 Power BI 美國政府區域清單。

   重要

   Microsoft.PowerBI/privateLinkServicesForPowerBI使用 作為type值，即使資源是針對 Fabric 建立也一樣。

6. 儲存範本。 然後輸入下列資訊。

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [新建]。 輸入test-PL 作為名稱。 選取 [確定]。
   [執行個體詳細資料]	選取區域。
   區域

   

7. 在檢閱畫面上，選取 [ 建立 ] 以接受條款和條件。

   

步驟 3： 建立虛擬網路

下列程序會建立具有資源子網路、Azure Bastion 子網路和 Azure Bastion 主機的虛擬網路。

子網所需的IP位址數目是租使用者上的容量數目加上5個。 例如，如果您要為具有七個容量的租使用者建立子網，您將需要十二個IP位址。

1. 在 Azure 入口網站中，搜尋並選取 [虛擬網路]。

2. 在 [虛擬網路] 頁面上，選取 [+ 建立]。

3. 在 [建立虛擬網路] 的 [基本] 索引標籤中，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取test-PL，這是我們在步驟 2 中建立的名稱。
   [執行個體詳細資料]
   名稱	輸入 vnet-1。
   區域	選取您要起始與 Fabric 連線的區域。

   

4. 選取 [下一步 ] 以繼續進行 [ 安全性] 索引標籤。您可以保留為預設值，或根據商務需求變更。

5. 選取 [下一步 ] 以繼續進行 [ IP 位址] 索引標籤。您可以保留為預設值，或根據商務需求變更。

   

6. 選取 [儲存]。

7. 選取畫面底部的 [ 檢閱 + 建立 ]。 通過驗證後，選取 [建立]。

步驟 4. 建立虛擬機器

下一個步驟是建立虛擬機。

1. 在 Azure 入口網站 中，移至建立資源>計算>虛擬機。

2. 在 [基本] 索引標籤上，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的 Azure [訂用帳戶]。
   資源群組	選取您在步驟 2 中提供的資源群組。
   [執行個體詳細資料]
   虛擬機器名稱	輸入新虛擬機器的名稱。 選取功能變數名稱旁的資訊泡泡，以查看虛擬機名稱的重要資訊。
   區域	選取您在步驟 3 中選取的區域。
   可用性選項	若要進行測試，請選擇 [不需要基礎結構備援]
   安全性類型	保留預設值。
   映像	選取您想要的影像。 例如，選擇 [Windows Server 2022]。
   VM 架構	保留預設值 [x64]。
   大小	選取大小。
   系統管理員帳戶
   使用者名稱	輸入您選擇的使用者名稱。
   密碼	輸入您選擇的密碼。 密碼長度至少必須有 12 個字元，而且符合定義的複雜度需求。
   確認密碼	重新輸入密碼。
   輸入連接埠規則
   公用輸入連接埠	選擇 [無]。

   

3. 完成時，選取 [下一步: 磁碟]。

4. 在 [磁碟] 索引標籤上，保留預設值，然後選取 [下一步：網络]。

5. 在 [ 網络] 索引 標籤上，選取下列資訊：

   設定	值
   虛擬網路	選取您在步驟 3 中建立的虛擬網路。
   子網路	選取您在步驟 3 中建立的預設 （10.0.0.0.0/24）。

   針對其餘欄位，您會保留預設值。

   

6. 選取 [檢閱 + 建立]。 您會移至 [檢閱 + 建立] 頁面，其中 Azure 會驗證您的設定。

7. 當您看到 [驗證成功] 訊息時，請選取 [建立]。

步驟 5： 建立私人端點

下一個步驟是建立 Fabric 的私人端點。

1. 在入口網站頂端的搜尋方塊中，輸入私人端點。 選取 [私人端點]。

2. 在[私人端點] 中選取 [+ 建立]。

3. 在 [建立私人端點] 的 [基本] 索引標籤上，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的 Azure [訂用帳戶]。
   資源群組	選取您在步驟 2 中建立的資源群組。
   [執行個體詳細資料]
   名稱	輸入 FabricPrivateEndpoint。 如果此名稱已被使用，請建立唯一名稱。
   區域	在步驟 3 中，選取您為虛擬網路建立的區域。

   下圖顯示 [ 建立私人端點 - 基本] 視窗。

   

4. 選取 [下一步：資源]。 在 [ 資源 ] 窗格中，輸入或選取下列資訊：

   設定	值
   連線方式	選取 [連線到我目錄中的 Azure 資源]。
   訂用帳戶	選取您的訂用帳戶。
   資源類型	選取 Microsoft.PowerBI/privateLinkServicesForPowerBI
   資源	選擇您在步驟 2 中建立的網狀架構資源。
   目標子資源	租用戶

   下圖顯示 [ 建立私人端點 - 資源 ] 視窗。

   

5. 選取 [下一步：虛擬網路]。 在 [建立虛擬網路] 中，輸入或選取下列資訊。

   設定	值
   網路
   虛擬網路	選取您在步驟 3 中建立的 vnet-1。
   子網路	選取您在步驟 3 中建立的 subnet-1。
   私人 DNS 整合
   與私人 DNS 區域整合	選取 [是]。
   私人 DNS 區域	選取 （新）privatelink.analysis.windows.net （新）privatelink.pbidedicated.windows.net （新增）privatelink.prod.powerquery.microsoft.com

   

6. 選取 [下一步：標記]，然後選取 [下一步：檢閱 + 建立]。

7. 選取 建立。

步驟 6。 使用 Bastion 連線到 VM

Azure Bastion 藉由提供輕量型瀏覽器型連線功能來保護虛擬機，而不需要透過公用IP位址公開它們。 如需詳細資訊，請參閱 什麼是 Azure Bastion？。

使用下列步驟連線到您的 VM：

1. 在您在步驟 3 中建立的虛擬網路中，建立名為 AzureBastionSubnet 的子網。

   

2. 在入口網站的搜尋列中，輸入我們在步驟 4 中建立的 testVM。

3. 選取 [ 連線] 按鈕，然後從下拉功能表中選擇 [透過 Bastion 連線]。

   

4. 選取 [部署 Bastion]。

5. 在 Bastion 頁面上，輸入必要的驗證認證，然後按一下 [連線]。

步驟 7。 從 VM 私下存取網狀架構

下一個步驟是使用下列步驟，從您在上一個步驟中建立的虛擬機私下存取 Fabric：

1. 在虛擬機中，開啟PowerShell。

2. 輸入 nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net。

3. 您會收到類似下列訊息的回應，並可以看到傳回私人IP位址。 您可以看到 Onelake 端點和倉儲端點也會傳回私人 IP。

   

4. 開啟瀏覽器，然後移至 app.fabric.microsoft.com 私下存取 Fabric。

步驟 8。 停用 Fabric 的公用存取

最後，您可以選擇性地停用 Fabric 的公用存取。

如果您停用 Fabric 的公用存取，則會就地設定對 Fabric 服務存取的特定限制，如下一節所述。

重要

當您開啟 [ 封鎖因特網存取] 時，將會停用某些不支援的 Fabric 專案。 了解關於私人連結中 限制和考慮的完整清單

若要停用 Fabric 的公用存取，請以系統管理員身分登入 Fabric ，然後瀏覽至 系統管理入口網站。 選取 [租用戶設定 ]，然後捲動至 [ 進階網络] 區 段。 啟用 [封鎖公用因特網存取租使用者] 設定中的切換按鈕。

系統大約需要 15 分鐘的時間，才能停用組織從公用因特網存取 Fabric。

完成私人端點組態

遵循先前各節中的步驟並成功設定私人鏈接之後，您的組織會根據下列組態選取項目來實作私人連結，不論選取專案是在初始設定或後續變更時設定。

如果已正確設定 Azure Private Link 並啟用封鎖公用因特網存取：

• 網狀架構只能從私人端點存取您的組織，而且無法從公用因特網存取。
• 來自以端點為目標的虛擬網路流量，以及支援私人連結的案例，會透過私人鏈接傳輸。
• 來自以端點和 不支援 私人連結之案例為目標的虛擬網路流量將會遭到服務封鎖，而且無法運作。
• 在某些情況下不支援私人連結，因此會在啟用封鎖公用因特網存取時封鎖服務。

如果已正確設定 Azure Private Link 並停用封鎖公用因特網存取：

• 網狀架構服務將允許來自公用因特網的流量。
• 來自以端點為目標的虛擬網路流量，以及支援私人連結的案例，會透過私人鏈接傳輸。
• 來自以端點和 不支援 私人連結之案例為目標的虛擬網路流量會透過公用因特網傳輸，而且網狀架構服務會允許。
• 如果虛擬網路設定為封鎖公用因特網存取，則不支援私人連結的案例將會遭到虛擬網路封鎖，而且無法運作。

下列影片示範如何使用私人端點，將行動裝置連線到 Fabric：

注意

這段影片可能會使用舊版 Power BI Desktop 或 Power BI 服務。

更多問題嗎？ 詢問網狀架構社群。

停用 Private Link

如果您想要停用私人連結設定，請先確定您建立的所有私人端點，並在停用私人連結設定之前刪除對應的私人 DNS 區域。 如果您的 VNet 已設定私人端點，但已停用私人連結，則來自此 VNet 的連線可能會失敗。

相關內容

• 關於私人連結