Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Workspace outbound access protection i Microsoft Fabric gør det muligt for administratorer at sikre udgående dataforbindelser fra elementer i deres arbejdsområder til eksterne ressourcer. Med denne funktion kan administratorer blokere alle udgående forbindelser og derefter kun tillade godkendte forbindelser til eksterne ressourcer via sikre forbindelser. Du har detaljeret kontrol over din organisations datasikkerhed, fordi du kan begrænse forbindelsen til bestemte arbejdsområder, mens du giver andre mulighed for at opretholde åben adgang.
Denne artikel indeholder en oversigt over beskyttelse af udgående adgang til arbejdsområdet og dens konfigurationsindstillinger.
Notat
Ud over beskyttelse af udgående adgang tilbyder Microsoft Fabric indgående sikkerhed ved at understøtte private links. Lær mere om konfiguration af private forbindelser på lejer- og arbejdsområdeniveau.
Hvordan styres udgående adgang på arbejdsområdeniveau?
Når beskyttelse af udgående adgang er aktiveret for et arbejdsområde, blokeres alle udgående forbindelser fra arbejdsområdet som standard. Arbejdsområdeadministratorer kan derefter oprette undtagelser for at tillade specifikke udgående forbindelser. Der er to muligheder for at tillade udgående adgang:
Administrerede private endpoints, som er netværksforbindelser, der gør det muligt sikkert at forbinde arbejdsområder med understøttede eksterne datakilder over private virtuelle netværk. Du kan også forbinde til andre arbejdsområder inden for samme lejer ved at bruge administrerede private endpoints i forbindelse med Private Link-tjenesten. Administrerede private endpoints understøttes til Data Engineering og OneLake arbejdsbelastninger.
Dataforbindelsesregler, som er politikker, der tillader arbejdsområdeelementer at få adgang til eksterne tjenester via specifikke cloud- eller gateway-forbindelser. Administratorer styrer udgående forbindelse ved eksplicit at tillade eller blokere forbindelser. Dataforbindelsesregler understøttes for Data Factory-arbejdsbelastninger og spejlede databaser.
De følgende afsnit forklarer disse muligheder mere detaljeret.
Brug af administrerede private slutpunkter til at tillade udgående adgang
For Data Engineering og OneLake-arbejdsbelastninger kan administratorer bruge administrerede private endpoints til at oprette en tilladelsesliste over godkendte eksterne ressourcer, som kan tilgås fra arbejdsområdet. Som standard blokeres alle udgående forbindelser, når beskyttelse mod udgående adgang er aktiveret. Administratorer kan derefter konfigurere administrerede private slutpunkter til eksplicit at tillade forbindelser til ressourcer uden for arbejdsområdet.
I dette diagram:
Arbejdsområde A og Arbejdsområde B har begge beskyttelse af udgående adgang aktiveret. De kan forbinde til alle de ressourcer, der understøtter private endepunkter, gennem et administreret privat endepunkt fra arbejdsområdet til destinationen. Arbejdsområde A kan f.eks. oprette forbindelse til SQL-serveren, fordi det har et administreret privat slutpunkt konfigureret til SQL-serveren.
Et arbejdsområde med udgående adgangsbeskyttelse aktiveret kan forbinde til et andet arbejdsområde i samme lejer. I dette scenarie konfigureres et administreret privat endpoint i kildearbejdsområdet, der peger på målarbejdsområdet, og Private Link-tjenesten aktiveres på målarbejdsområdet. I diagrammet forbinder Workspace B til Workspace C ved hjælp af denne opsætning, hvilket tillader elementer i Workspace B (såsom genveje) at få adgang til data i Workspace C (såsom søhuse).
Flere arbejdsområder kan oprette forbindelse til den samme kilde ved at konfigurere administrerede private slutpunkter. Både arbejdsområde A og arbejdsområde B kan f.eks. oprette forbindelse til SQL-serveren, fordi administrerede private slutpunkter er konfigureret for hver af dem for denne SQL-server.
Brug af dataforbindelsesregler for at tillade udgående adgang
For Data Factory-arbejdsbelastninger kan administratorer bruge dataforbindelsesregler til at oprette en tilladelsesliste over godkendte connectors, der kan bruges inden for arbejdsområdet. Når udgående adgangsbeskyttelse er aktiveret, blokeres alle stik som standard. Administratorer kan derefter eksplicit tillade specifikke connectors og skabe en tilladelsesliste over godkendte forbindelser, som workspace-elementer kan bruge til at få adgang til eksterne tjenester.
I diagrammet er udgående adgangsbeskyttelse aktiveret i Workspace A. Dataforbindelser er også konfigureret i Workspace A, hvilket tillader specifikke cloud- eller gateway-forbindelser. Dataflowet i Workspace A kan få adgang til SQL Server og ADLS Gen2 Storage via disse tilladte connectors, mens alle andre udgående forbindelser forbliver blokerede.
Understøttede varetyper
Følgende tabel opsummerer de understøttede arbejdsbelastninger og varetyper, der kan beskyttes ved hjælp af workspace outbound access protection.
| Arbejdsbyrde | Undtagelsesmekanisme (tilladelsesliste) | Understøttede elementer | Flere oplysninger |
|---|---|---|---|
| Data Engineering | Administrerede private endepunkter |
|
Workspace outbound access protection for data engineering-arbejdsbelastninger |
| Data Factory | Dataforbindelsesregler |
|
Workspace outbound access protection for Data Factory |
| Datavidenskab | Ikke relevant |
|
Workspace udgående adgangsbeskyttelse for Data Science |
| data warehouse | Ikke relevant |
|
Workspace outbound adgangsbeskyttelse for datawarehouse-arbejdsbelastninger |
| Intelligence i realtid | Dataforbindelsesregler |
|
Workspace udgående adgangsbeskyttelse for Real-Time Intelligence |
| Spejlede databaser | Dataforbindelsesregler | Microsoft Fabric spejlede databaser fra:
|
Workspace outbound access protection for spejlede databaser |
| OneLake | Administrerede private endepunkter |
|
Workspace udgående adgangsbeskyttelse for OneLake |
Overvejelser og begrænsninger
Dette afsnit beskriver vigtige overvejelser og begrænsninger ved brug af beskyttelse mod udgående adgang til arbejdsområdet.
Regioner
- Udgående adgangsbeskyttelse er kun tilgængelig i regioner, hvor Fabric Data Engineering-arbejdsbelastninger understøttes. For mere information, se Oversigt over administrerede private endepunkter for Microsoft Fabric.
Licensering og kapacitet
Outbound access protection understøtter kun arbejdsområder, der hostes på Fabric SKUs. Andre kapacitetstyper og F-SKU-prøveversioner understøttes ikke.
Sørg for at genregistrere funktionen
Microsoft.Networkpå dit abonnement i Azure-portalen.
Arbejdsområder med ikke-understøttede artefakter
Hvis et arbejdsområde indeholder ikke-understøttede artefakter, kan administratorer af arbejdsområder ikke aktivere beskyttelse af udgående adgang, før disse artefakter er fjernet.
Hvis beskyttelse af udgående adgang er aktiveret i et arbejdsområde, kan administratorer af arbejdsområder ikke tilføje ikke-understøttede artefakter. Beskyttelse af udgående adgang skal først deaktiveres, og derefter kan arbejdsområdeadministratorer tilføje ikke-understøttede artefakter.
Generelle begrænsninger
Beskyttelse af udgående adgang til arbejdsområder understøttes ikke for eksisterende arbejdsområder, der allerede indeholder en semantisk model i et søhus.
I arbejdsområder med udgående adgangsbeskyttelse aktiveret understøttes det ikke forespørgsel af datalager-filstier fra notebooks, der bruger skemaet
dbo, fordi adgang til skemabaserede stier ikke understøttes. Hvis du vil forespørge lagerstedet fra notesbøger, skal du i stedet bruge indstillingen T-SQL.Workspaces udgående adgangsbeskyttelse er i øjeblikket ikke kompatibel med OneLake Diagnostics. Hvis du har brug for, at OneLake-diagnostik og udgående adgangsbeskyttelse fungerer sammen, skal du vælge et søhus i samme arbejdsområde.
Workspace outbound access-beskyttelse er i øjeblikket ikke kompatibel med Fabric ekstern datadeling. Cross-tenant tilladelseslister understøttes ikke med udgående adgangsbeskyttelse i arbejdsområdet.
Dataforbindelsesregler
Fabric-portalbegrænsning med private links
Fabric-portalens UI understøtter i øjeblikket ikke konfiguration af dataforbindelsesregler, hvis private links er aktiveret enten på arbejdsområde- eller lejerniveau. For at opsætte outbound access-beskyttelse med dataforbindelsesregler, når private links er aktiveret, brug Outbound Gateway Rules REST API (læs mere).
Begrænsning af regionstilgængelighed
Regler for dataforbindelse er endnu ikke tilgængelige i følgende region:
- Qatar Central
Interne (Fabric) forbindelsestyper med granularitet på arbejdsområdesniveau
Arbejdsområdeadministratorer kan angive, hvilke arbejdsområder der er tilladt som destinationer for bestemte objekttyper. For eksempel kan administratorer under Lakehouse-forbindelsestypen tilføje arbejdsområder til en tilladelsesliste, hvilket gør det muligt at tilgå Lakehouses i disse arbejdsområder. Følgende Fabric-forbindelsestyper understøtter granularitet på arbejdsområde-niveau:
- Dataflow
- Fabric SQL-database
- Lakehouse
- Lagersted
Andre Fabric-forbindelsestyper, såsom Datamarts, KQL Database, Fabric Data Pipelines og CopyJob, understøtter ikke granularitet på arbejdsområde-niveau. For disse forbindelsestyper kan administratorer ikke specificere individuelle arbejdsområder i tilladelseslisten.
Eksterne forbindelsestyper med endepunktsgranularitet
Nogle eksterne forbindelsestyper, såsom SQL Server, Azure Data Lake Gen2, Azure Databricks og Web, understøtter endpoint-niveau granularitet. Workspace-administratorer kan angive godkendte endepunkter som undtagelser, så udgående forbindelser kun kan tillades til disse endepunkter.
Oversigt over stikgranularitet
Følgende tabel opsummerer det granularitetsniveau, der understøttes af forskellige stiktyper til beskyttelse af udgående adgang.
- Endpoint betyder, at du kan tillade adgang til specifikke eksterne endpoints.
- Workspace betyder, at du kan give adgang til specifikke workspaces.
| Connector-type | Granulering |
|---|---|
| web | Slutpunkt |
| SharePoint | Slutpunkt |
| Analysetjenester | Slutpunkt |
| SQL Server | Slutpunkt |
| OData | Slutpunkt |
| AzureDataLakeStorage | Slutpunkt |
| AzureBlobs | Slutpunkt |
| Dataflows | Workspace |
| Snowflake | Slutpunkt |
| PostgreSQL | Slutpunkt |
| Databricks | Slutpunkt |
| HttpServer | Slutpunkt |
| RestService | Slutpunkt |
| Amazon S3 | Slutpunkt |
| Web v2 | Slutpunkt |
| Min SQL | Slutpunkt |
| Dataverse CommonDataService | Slutpunkt |
| Lakehouse | Workspace |
| Lagersted | Workspace |
| Fabric SQL-database | Workspace |
| Notesbog | Workspace |
| Definition af Spark-job | Workspace |
Lejeradministrations-API til arbejdsområde-netværkspolitikker
Fabric administratorer kan overvåge og revidere netværkskommunikationspolitikker, der er konfigureret på tværs af arbejdsområder i deres lejer ved hjælp af Workspaces - List Networking Communication Policies admin API'en. Dette API giver indsigt i, hvilke arbejdsområder der har indgående eller udgående adgangsbeskyttelse aktiveret, og hvilke specifikke politikker der er konfigureret. Kalderen skal være Fabric-administrator eller autentificere ved hjælp af en serviceprincipal, og API'et kræver Tenant.Read.All eller Tenant.ReadWrite.All tilladelser. For detaljeret API-dokumentation, herunder anmodningsformat, svarskema og eksempler, se Workspaces - List Networking Communication Policies.
Nøglefunktioner
API'et gør det muligt for administratorer at:
- Se alle beskyttede arbejdsområder: Hent en liste over alle arbejdsområder, der har indgående eller udgående adgangsbeskyttelse aktiveret i lejeren.
- Revider sikkerhedskonfigurationer: Gennemgå de specifikke indgående og udgående politikker, der er konfigureret for hvert arbejdsområde, inklusive standardhandlinger og undtagelsesregler.
- Overvåg overholdelse: Verificér, at arbejdsområdets netværkspolitikker stemmer overens med organisationens sikkerhedskrav og governance-standarder.
- Understøt sikkerhedsoperationer: Muliggør automatiserede sikkerhedsrevisioner, compliance-kontroller og rapporteringsworkflows.
Returnerede oplysninger
For hvert arbejdsområde med adgangsbeskyttelse aktiveret returnerer API'en:
- Workspace ID: Den unikke identifikator for arbejdsområdet
- Indgående politikker: Offentlige adgangsregler (Tillad eller afvis)
-
Udgående policer:
- Offentlige adgangsregler (Tillad eller afbyd)
- Forbindelsesregler med tilladte endepunkter eller arbejdsområder
- Gateway-regler med tilladte gateways
- Git-adgangsregler