Delen via

Privékoppelingen voor Fabric-gebruikers

U kunt privékoppelingen gebruiken om beveiligde toegang te bieden voor gegevensverkeer in Fabric. Azure Private Link en Azure Privé-eindpunten van netwerken worden gebruikt om gegevensverkeer privé te verzenden met behulp van de backbone-netwerkinfrastructuur van Microsoft in plaats van via internet. Wanneer private link-verbindingen worden gebruikt, doorlopen deze verbindingen de backbone van het Microsoft privénetwerk wanneer Fabric gebruikers toegang hebben tot resources in Fabric. Private Link binnen één tenantgrens de binnenkomende toegang beveiligt en geen connectiviteit tussen tenants mogelijk maakt. Voor het delen van beheerde gegevens tussen tenants, gebruik OneLake gegevensdeling.

Fabric ondersteunt privékoppelingen op zowel tenantniveau als op werkruimteniveau:

  • Privékoppelingen op tenantniveau bieden netwerkbeleid voor de hele tenant. Dit artikel is gericht op privékoppelingen op tenantniveau.

  • Privékoppelingen op werkruimteniveau bieden gedetailleerde controle, waardoor het mogelijk is om de toegang tot bepaalde werkruimten te beperken, terwijl de rest van de werkruimten open blijven voor openbare toegang. Zie Private-koppelingen voor Fabric werkruimten voor meer informatie.

Het inschakelen van privé-eindpunten is van invloed op veel items. Lees daarom dit hele artikel voordat u privé-eindpunten inschakelt voor uw tenant.

Wat is een privé-eindpunt?

Het privé-eindpunt garandeert dat verkeer dat naar de Fabric-items van uw organisatie gaat (zoals bijvoorbeeld het uploaden van een bestand naar OneLake) altijd het geconfigureerde privékoppelingsnetwerkpad van uw organisatie volgt. U kunt Fabric configureren om alle aanvragen te weigeren die niet afkomstig zijn van het geconfigureerde netwerkpad.

Privé-eindpunten garanderen niet dat het verkeer van Fabric naar uw externe gegevensbronnen, of ze nu in de cloud of on-premises zijn, is beveiligd. Configureer firewallregels en virtuele netwerken om uw gegevensbronnen verder te beveiligen.

Een privé-eindpunt is één richtingstechnologie waarmee clients verbindingen met een bepaalde service kunnen initiëren, maar de service niet toestaat om een verbinding in het klantnetwerk te initiëren. Dit integratiepatroon voor privé-eindpunten biedt beheerisolatie omdat de service onafhankelijk van de configuratie van het netwerkbeleid van de klant kan werken. Voor multitenant-services biedt dit privé-eindpuntmodel koppelings-id's om toegang te voorkomen tot resources van andere klanten die worden gehost binnen dezelfde service.

De Fabric-service implementeert privé-eindpunten en geen service-eindpunten.

Het gebruik van privé-eindpunten met Fabric biedt de volgende voordelen:

  • Beperk verkeer van internet naar Fabric en routeer het via het Microsoft backbone-netwerk.
  • Zorg ervoor dat alleen geautoriseerde clientcomputers toegang hebben tot Fabric.
  • Voldoen aan wettelijke en nalevingsvereisten die persoonlijke toegang tot uw gegevens- en analyseservices verplicht stellen.

Configuratie van privé-eindpunten begrijpen

Er zijn twee tenantinstellingen in de Fabric beheerportal die betrokken zijn bij Private Link configuratie: Azure Private Links en Block Public Internet Access.

Als Azure Private Link juist is geconfigureerd en Blokkering van openbare internettoegang is ingeschakeld:

  • Ondersteunde Fabric items zijn alleen toegankelijk voor uw organisatie vanaf privé-eindpunten en zijn niet toegankelijk vanaf het openbare internet.
  • Verkeer van het virtuele netwerk gericht op eindpunten en scenario's die ondersteuning bieden voor privékoppelingen, worden via de privékoppeling vervoerd.
  • Verkeer van het virtuele netwerk dat is gericht op eindpunten en scenario's die geen ondersteuning bieden voor privékoppelingen, worden geblokkeerd door de service.
  • Er kunnen scenario's zijn die geen ondersteuning bieden voor privékoppelingen, die worden geblokkeerd bij de service wanneer Openbare internettoegang blokkeren is ingeschakeld.

Als Azure Private Link correct is geconfigureerd en Blokkeren van openbare internettoegang is uitgeschakeld:

  • Verkeer vanaf het openbare internet is toegestaan door Fabric services.
  • Verkeer van het virtuele netwerk gericht op eindpunten en scenario's die ondersteuning bieden voor privékoppelingen, worden via de privékoppeling vervoerd.
  • Verkeer van het virtuele netwerk dat gericht is op eindpunten en scenario's die niet ondersteuning bieden voor privékoppelingen wordt vervoerd via het openbare internet en wordt toegestaan door Fabric services.
  • Als het virtuele netwerk is geconfigureerd om openbare internettoegang te blokkeren, worden scenario's die geen ondersteuning bieden voor privékoppelingen geblokkeerd door het virtuele netwerk.

OneLake

OneLake ondersteunt Private Link. U kunt OneLake verkennen in de Fabric-portal of vanaf elke computer in uw gevestigde virtuele netwerk met behulp van OneLake-verkenner, Azure Storage Explorer, PowerShell en meer.

Directe aanroepen met regionale OneLake-eindpunten werken niet via een privékoppeling naar Fabric. Zie Hoe kan ik verbinding maken met OneLake?voor meer informatie over het maken van verbinding met OneLake en regionale eindpunten.

Snelkoppelingen

OneLake-snelkoppelingen worden ondersteund via Private Link wanneer zowel de snelkoppelingsbron als het doel zich binnen dezelfde tenant bevinden. Wanneer u gegevens opent via een snelkoppeling via een private link-verbinding, wordt verkeer tussen OneLake en het opslagaccount waarnaar wordt verwezen, via de Microsoft privénetwerk-backbone geleid. Voor snelkoppelingen die verwijzen naar externe cloudopslag (zoals Azure Data Lake Storage of Amazon S3) moet het externe opslagaccount ook toegang tot privé-eindpunten toestaan of anderszins bereikbaar zijn vanuit het privénetwerk.

Snelkoppelingen tussen tenants (snelkoppelingen die verwijzen naar gegevens die worden gedeeld vanuit een andere Fabric tenant) worden niet ondersteund via Private Link. Voor gegevenstoegang tussen tenants gebruikt u OneLake-gegevens delen zonder Private Link.

Eindpunt voor sql-analyse van Warehouse en Lakehouse

Toegang tot een warehouse of het SQL-analyse-eindpunt van een Lakehouse in de Fabric-portal wordt beveiligd door een privékoppeling. Klanten kunnen ook TDS-eindpunten (Tabular Data Stream) gebruiken (bijvoorbeeld SQL Server Management Studio (SSMS) of de MSSQL-extensie voor Visual Studio Code) om via private link verbinding te maken met Warehouse.

Visuele query's in Warehouse werken niet wanneer de tenantinstelling Openbare internettoegang blokkeren is ingeschakeld.

SQL-database

Toegang tot een SQL-database of het SQL Analytics-eindpunt in de Fabric-portal wordt beveiligd door een privékoppeling. Klanten kunnen ook TDS-eindpunten (Tabular Data Stream) (bijvoorbeeld SQL Server Management Studio of Visual Studio Code) gebruiken om verbinding te maken met een SQL-database via een private link. Zie Authentication in SQL Database in Microsoft Fabric voor meer informatie over het maken van verbinding met een SQL-database.

Lakehouse, Notebook, Spark-taakdefinitie, Omgeving

Zodra u de tenantinstelling Azure Private Link inschakelt, resulteert het uitvoeren van de eerste Spark-taak (zoals een Notebook of Spark-taakdefinitie) of het uitvoeren van een Lakehouse-bewerking (bijvoorbeeld laden naar tabel of tabelonderhoudsbewerkingen zoals Optimaliseren of Vacuüm) in het creëren van een beheerd virtueel netwerk voor de werkruimte.

Zodra het beheerde virtuele netwerk is ingericht, worden de starterspools (standaardoptie Compute) voor Spark uitgeschakeld, omdat ze vooraf gehoste clusters zijn die worden gehost in een gedeeld virtueel netwerk. Spark-taken worden uitgevoerd op aangepaste pools die op aanvraag worden gemaakt op het moment van taakindiening binnen het beheerde virtuele netwerk, specifiek toegewezen aan de werkruimte. Migratie van werkruimten tussen capaciteiten in verschillende regio's wordt niet ondersteund wanneer een beheerd virtueel netwerk wordt toegewezen aan uw werkruimte.

Wanneer de instelling voor privékoppeling is ingeschakeld, werken Spark-taken niet voor tenants waarvan de thuisregio geen ondersteuning biedt voor Fabric Data Engineering, zelfs als ze Fabric capaciteiten van andere regio's gebruiken die dat wel doen.

Zie Beheerde VNet voor Fabric voor meer informatie.

Gegevensstroom Gen2

U kunt Dataflow Gen2 gebruiken om gegevens op te halen, gegevens te transformeren en gegevensstroom te publiceren via een private link. Wanneer uw gegevensbron zich achter de firewall bevindt, kunt u de gegevensgateway van het virtuele netwerk gebruiken om verbinding te maken met uw gegevensbronnen. De VNet-gegevensgateway maakt de injectie van de gateway (compute) mogelijk in uw bestaande virtuele netwerk, waardoor een beheerde gateway-ervaring wordt geboden. U kunt gatewayverbindingen van virtuele netwerken gebruiken om verbinding te maken met een Lakehouse of Warehouse in de tenant waarvoor een privékoppeling is vereist of om verbinding te maken met andere gegevensbronnen met uw virtuele netwerk.

Pijplijn

Wanneer u verbinding maakt met Pijplijn via een privé-koppeling, kunt u de Pijplijn gebruiken om gegevens uit elke gegevensbron met openbare eindpunten te laden in een Microsoft Fabric lakehouse met privé-koppeling. Klanten kunnen pijplijnen ook ontwerpen en operationeel maken met activiteiten, waaronder notebook- en gegevensstroomactiviteiten, met behulp van de privékoppeling. Het kopiëren van gegevens uit en naar een Data Warehouse is momenteel niet mogelijk wanneer de privékoppeling van Fabric is ingeschakeld.

ML-model, experiment en gegevensagent

ML Model, Experiment en Data Agent ondersteunt private link.

Power BI

  • Als de internettoegang is uitgeschakeld en als het Power BI-semantisch model, Datamart of Dataflow Gen1 verbinding maakt met een Power BI-semantisch model of Dataflow als gegevensbron, mislukt de verbinding.

  • Publiceren op internet wordt niet ondersteund wanneer de tenantinstelling Azure Private Link is ingeschakeld in Fabric.

  • E-mailabonnementen worden niet ondersteund wanneer de tenantinstelling Blokkering van openbare internettoegang is ingeschakeld in Fabric.

  • Het exporteren van een Power BI-rapport als PDF- of PowerPoint wordt niet ondersteund wanneer de tenantinstelling Azure Private Link is ingeschakeld in Fabric.

  • Als uw organisatie Azure Private Link gebruikt in Fabric, bevatten moderne rapporten met metrische gegevens over gebruik gedeeltelijke gegevens (alleen open gebeurtenissen rapporteren). Een huidige beperking bij het overdragen van clientgegevens via privékoppelingen voorkomt dat Fabric weergaven van rapportpagina's en prestatiegegevens vastlegt via privékoppelingen. Als uw organisatie de tenantinstellingen Azure Private Link en Block Public Internet Access Fabric heeft ingeschakeld, mislukt het vernieuwen voor de gegevensset en worden er geen gegevens weergegeven in het rapport met metrische gegevens over gebruik.

  • Copilot wordt momenteel niet ondersteund voor Private Link of gesloten netwerkomgevingen.

  • Toegang tussen tenants tot OneLake-gegevens via snelkoppelingen of Het delen van OneLake-gegevens wordt niet ondersteund via Private Link. Gebruikers die toegang moeten hebben tot gedeelde gegevens van een andere tenant, moeten verbinding maken buiten het Private Link pad.

Gebeurtenisstroom

Eventstream biedt ondersteuning voor Private Link, waardoor veilige, realtime gegevensopname van meerdere bronnen mogelijk is zonder verkeer naar het openbare internet beschikbaar te maken. Het biedt ook ondersteuning voor realtime gegevenstransformatie, zoals filteren en verrijken van binnenkomende gegevensstromen, voordat ze naar bestemmingen binnen Fabric worden gerouterd.

Niet-ondersteunde scenario's:

  • Aangepast eindpunt als bron wordt niet ondersteund.
  • Aangepast eindpunt als bestemming wordt niet ondersteund.
  • Eventhouse als bestemming (met directe opnamemodus) wordt niet ondersteund.
  • Activator als bestemming wordt niet ondersteund.

Gegevensactivator

Data Activator ondersteunt het opnemen van gebeurtenissen uit KQL/Eventhouse, Power BI en Real-Time Hub Fabric Events voor privékoppelingen op tenantniveau. Voor werkruimteniveau ondersteunt Data Activator het opnemen van gebeurtenissen uit KQL/Eventhouse en Real-Time Hub Fabric Events.

Beperkingen:

  • Op dit moment biedt Data Activator geen ondersteuning voor opname vanuit Eventstream waarvoor Private Links is ingeschakeld.

Eventhouse

Eventhouse ondersteunt Private Link, waardoor beveiligde gegevensopname en query's vanuit uw Azure Virtual Network via een private link mogelijk zijn. U kunt gegevens uit verschillende bronnen opnemen, waaronder Azure Storage accounts, lokale bestanden en Dataflow Gen2. Streamingopname zorgt voor onmiddellijke beschikbaarheid van gegevens. Daarnaast kunt u KQL-query's of Spark gebruiken om toegang te krijgen tot gegevens in een Eventhouse.

Beperkingen:

  • Het opnemen van gegevens uit OneLake wordt niet ondersteund.
  • Het maken van een snelkoppeling naar een Eventhouse is niet mogelijk.
  • Verbinding maken met een Eventhouse in een pijplijn is niet mogelijk.
  • Het opnemen van gegevens via wachtrij-inname wordt niet ondersteund.
  • Gegevensconnectors die afhankelijk zijn van opname in de wachtrij, worden niet ondersteund.
  • Het uitvoeren van query's op een Eventhouse met T-SQL is niet mogelijk.

Oplossingen voor gezondheidszorggegevens (preview)

Klanten kunnen oplossingen voor gezondheidszorggegevens inrichten en gebruiken in Microsoft Fabric via een privékoppeling. In een tenant waarvoor Private Link is ingeschakeld, kunnen klanten de mogelijkheden voor de oplossing gezondheidszorggegevens implementeren om uitgebreide scenario's voor gegevensopname en transformatie uit te voeren voor hun klinische gegevens. Ook inbegrepen is de mogelijkheid om gezondheidszorggegevens op te nemen uit verschillende bronnen, zoals Azure Storage accounts en meer.

gebeurtenissen voor Azure en Fabric

Fabric gebeurtenissen (zoals taak-, werkruimteitem- en OneLake-gebeurtenissen) ondersteunen Private Link op tenantniveau zonder dat dit van invloed is op de levering van gebeurtenissen, omdat deze afkomstig zijn van de tenant. Wanneer privékoppelingen op werkruimteniveau echter zijn geconfigureerd om openbare toegang te blokkeren in de werkruimte waar de gebeurtenissen vandaan komen (de bronwerkruimte), kunnen gebeurtenisgebruikers, zoals Activator-waarschuwingen of eventstreams in andere werkruimten, deze gebeurtenissen niet gebruiken, tenzij er een privékoppeling wordt tot stand gebracht vanuit het netwerk van de consument naar de bronwerkruimte.

Azure gebeurtenissen (zoals Azure Blob Storage gebeurtenissen) worden beïnvloed door privékoppelingen op tenant- en werkruimteniveau. Wanneer de tenantinstelling Blokkering van openbare internettoegang is ingeschakeld, worden Azure gebeurtenisbronnen buiten de tenant geblokkeerd voor het leveren van gebeurtenissen in Fabric geheel:

  • Nieuwe configuraties voor het verbruik van Azure gebeurtenissen worden geblokkeerd.
  • Bestaande configuraties die Azure gebeurtenissen verbruiken, stoppen met het leveren van gebeurtenissen. Het systeem detecteert de configuratiewijziging en plaatst de consument in een onderbroken status.

Wanneer u een consument configureert voor het ontvangen van Azure gebeurtenissen, wordt er bovendien een eventstream-item gemaakt in een Fabric werkruimte die de Azure bron vertegenwoordigt. Privékoppelingen op werkruimteniveau zijn van invloed op Azure gebeurtenisverbruik op dezelfde manier als Fabric gebeurtenissen: als de werkruimte met dit eventstream-item de toegang tot het openbare netwerk blokkeert, worden consumenten in andere werkruimten geblokkeerd, tenzij er een privékoppeling tot stand is gebracht.

Zie Private-koppelingen voor Azure en Fabric-gebeurtenissen voor meer informatie.

Microsoft Purview Informatiebeveiliging

Microsoft Purview Informatiebeveiliging biedt momenteel geen ondersteuning voor Private Link. Dit betekent dat in Power BI Desktop in een geïsoleerd netwerk, de knop Sensitivity is uitgegrijsd, labelinformatie niet wordt weergegeven en dat decodering van .pbix-bestanden mislukt.

Om deze mogelijkheden in Desktop in te schakelen, kunnen beheerders servicetags configureren voor de onderliggende services die Microsoft Purview Informatiebeveiliging, Exchange Online Protection (EOP) en Azure Information Protection (AIP) ondersteunen. Zorg ervoor dat u begrijpt wat de gevolgen zijn van het gebruik van servicetags in een geïsoleerd netwerk met privékoppelingen.

Gespiegelde database

Private Link wordt ondersteund voor open mirroring, Azure Cosmos DB mirroring, Azure SQL Managed Instance mirroring en SQL Server 2025 mirroring. Als voor andere typen databasespiegeling de tenantinstelling Openbare internettoegang blokkeren is ingeschakeld, voeren actieve gespiegelde databases een onderbroken status in en kan spiegeling niet worden gestart.

Als de tenantinstelling Openbare internettoegang blokkeren is ingeschakeld, moet u ervoor zorgen dat de uitgever gegevens naar de OneLake-landingszone schrijft via een privékoppeling voor open spiegeling.

API voor GraphQL

API voor GraphQL ondersteunt Private Link, waardoor beveiligde API-toegang en query's vanuit uw Azure Virtual Network via een private link mogelijk zijn.

Limitations:

  • Api-bewakingsdashboard en logboekregistratie op basis van werkruimtebewaking worden niet ondersteund.
  • Service-principals (SPN) worden ondersteund als clients, maar het is niet mogelijk om een service-principal te gebruiken om opgeslagen inloggegevens te maken voor toegang tot de API en de gegevensbron.
  • Api voor GraphQL-artefacten en het gegevensbronartefact in twee verschillende capaciteitsregio's worden niet ondersteund wanneer de openbare toegang is uitgeschakeld. In dit scenario krijgt u een verificatiefout.

Andere overwegingen en beperkingen

Er zijn verschillende overwegingen waarmee u rekening moet houden bij het werken met privé-eindpunten in Fabric:

  • Fabric ondersteunt maximaal 450 capaciteiten in een tenant waarvoor Private Link is ingeschakeld.

  • Wanneer de capaciteit nieuw is gemaakt, biedt deze geen ondersteuning voor private link totdat het eindpunt wordt weergegeven in de privé-DNS-zone, wat tot 24 uur kan duren.

  • Tenantmigratie wordt geblokkeerd wanneer Private Link is ingeschakeld in de Fabric beheerportal.

  • Klanten kunnen geen verbinding maken met Fabric resources in meerdere tenants vanaf dezelfde netwerklocatie (is afhankelijk van waar u DNS-records configureert), maar alleen de laatste tenant om Private Link in te stellen.

  • Private Link biedt geen ondersteuning voor de capaciteit van de proefversie. Wanneer u Fabric opent via Private Link verkeer, werkt de proefcapaciteit niet.

  • Gebruik van externe afbeeldingen of thema's is niet beschikbaar wanneer u een private link-omgeving gebruikt.

  • Elk privé-eindpunt kan slechts met één tenant worden verbonden. U kunt geen privékoppeling instellen voor gebruik door meer dan één tenant.

  • Scenario's voor meerdere tenants worden niet ondersteund. Dit betekent dat het instellen van een privé-eindpunt op tenantniveau in een Azure tenant om rechtstreeks verbinding te maken met een Private Link-service in een andere tenant niet wordt ondersteund.

  • Private Link werkt binnen één tenantgrens. Fabric's functies voor het delen van gegevens met meerdere tenants (zoals het delen van OneLake-gegevens en snelkoppelingen tussen tenants) gebruiken afzonderlijke toegangsbesturingselementen en vereisen of ondersteunen Private Link niet. Als u gegevens wilt delen tussen tenants, configureert u in plaats daarvan machtigingen voor het delen van gegevens in OneLake.

  • Voor Fabric gebruikers: on-premises gegevensgateways worden niet ondersteund en kunnen niet worden geregistreerd wanneer Private Link is ingeschakeld. Als u de gatewayconfigurator wilt uitvoeren, moet Private Link zijn uitgeschakeld. Meer informatie over dit scenario. Gegevensgateways voor virtuele netwerken werken. Zie deze overwegingen voor meer informatie.

  • Voor niet-Power BI-gatewaygebruikers (PowerApps of LogicApps): de on-premises gegevensgateway wordt niet ondersteund wanneer Private Link is ingeschakeld. We raden u aan om het gebruik van de gegevensgateway van het virtuele netwerk te verkennen, die kan worden gebruikt met privékoppelingen.

  • Private Links werkt niet met downloaddiagnostiek van de VNet Data Gateway.

  • De app Microsoft Fabric Capacity Metrics biedt geen ondersteuning voor Private Link.

  • Het tabblad OneLake Catalog - Beheren is niet beschikbaar wanneer Private Link is geactiveerd.

  • REST API's voor privékoppelingen bieden geen ondersteuning voor tags.

  • De volgende URL's moeten toegankelijk zijn vanuit de clientbrowser:

    • Vereist voor verificatie:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, hoewel het mogelijk anders is op basis van accounttype.

    • Vereist voor de Data-engineer- en Datawetenschap ervaringen:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (bijvoorbeeld, https://pypi.org/pypi/azure-storage-blob/json)
      • lokale statische eindpunten voor condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Gerelateerde inhoud

  • Last updated on