Collegamenti privati per i tenant di Fabric

È possibile usare collegamenti privati per fornire accesso sicuro per il traffico di dati in Fabric. Azure Private Link e Azure Gli endpoint privati di rete vengono usati per inviare il traffico dati privatamente usando l'infrastruttura di rete backbone di Microsoft anziché passare attraverso Internet. Quando gli utenti di Fabric accedono alle risorse in Fabric, le connessioni private sono instradate attraverso il backbone della rete privata Microsoft. Il collegamento privato protegge l'accesso in ingresso all'interno di un singolo limite del tenant e non abilita la connettività tra tenant. Per la condivisione dei dati regolamentata tra tenant, usare invece la condivisione dei dati OneLake.

Fabric supporta i collegamenti privati sia a livello di tenant che a livello di area di lavoro:

• I collegamenti privati a livello di tenant forniscono criteri di rete per l'intero tenant. Questo articolo è incentrato sui collegamenti privati a livello di tenant.

• Collegamenti privati a livello di workspace forniscono un controllo granulare, consentendo al tempo stesso di limitare l'accesso a determinate aree di lavoro, consentendo al resto dei workspace di rimanere aperti per l'accesso pubblico. Per ulteriori informazioni, vedere Collegamenti privati per le aree di lavoro di Fabric.

L'abilitazione degli endpoint privati influisce su molti elementi, quindi è necessario esaminare l'intero articolo prima di abilitare gli endpoint privati per il tenant.

Che cos'è un endpoint privato?

L'endpoint privato garantisce che il traffico nel elementi del tessuto dell'organizzazione (ad esempio, il caricamento di un file in OneLake) segua sempre il percorso di rete configurato del collegamento privato dell'organizzazione. È possibile configurare Fabric per negare tutte le richieste che non provengono dal percorso di rete configurato.

Gli endpoint privati non garantiscono che il traffico da Fabric alle origini dati esterne, sia nel cloud che in sede, sia protetto. Configurare regole del firewall e reti virtuali per proteggere ulteriormente le origini dati.

Un endpoint privato è una tecnologia unidirezionale che consente ai client di avviare connessioni a un determinato servizio, ma non consente al servizio di avviare una connessione nella rete del cliente. Questo modello di integrazione degli endpoint privati consente di ottenere l'isolamento della gestione, perché il servizio può funzionare indipendentemente dalla configurazione dei criteri di rete del cliente. Per i servizi multi-tenant, questo modello di endpoint privato fornisce identificatori di collegamento per impedire access alle risorse di altri clienti ospitate all'interno dello stesso servizio.

Il servizio Fabric implementa gli endpoint privati e gli endpoint non di servizio.

L'uso di endpoint privati con Fabric offre i vantaggi seguenti:

• Limitare il traffico da Internet a Fabric e instradarlo attraverso la rete backbone Microsoft.
• Assicurarsi che solo le macchine client autorizzate possano accedere a Fabric.
• Rispettare i requisiti normativi e di conformità che impongono accesso privato ai servizi di dati e analisi.

Comprendere la configurazione dell'endpoint privato

Esistono due impostazioni del tenant nel portale di amministrazione di Fabric coinvolte nella configurazione di Private Link: Azure Collegamenti privati e Block Public Internet Access.

Se Azure Private Link è configurato correttamente e Blocco dell'accesso a Internet pubblico è abilitato:

• Gli elementi supportati di Fabric sono accessibili solo per la tua organizzazione da endpoint privati e non sono accessibili da Internet pubblica.
• Il traffico proveniente dalla rete virtuale che ha come obiettivo degli endpoint e scenari che supportano i collegamenti privati viene trasportato attraverso il collegamento privato.
• Il traffico dalla rete virtuale che punta a endpoint e componenti che non supportano i collegamenti privati viene bloccato dal servizio.
• Potrebbero esserci scenari che non supportano collegamenti privati, che vengono bloccati nel servizio quando Block Public Internet Access è abilitato.

Se Azure Private Link è configurato correttamente e Blocca l'accesso a Internet pubblico è disabilitato:

• Il traffico proveniente da Internet pubblico è consentito dai servizi di Fabric.
• Il traffico proveniente dalla rete virtuale che ha come obiettivo degli endpoint e scenari che supportano i collegamenti privati viene trasportato attraverso il collegamento privato.
• Il traffico dalla rete virtuale indirizzato verso endpoint e scenari che non supportano collegamenti privati viene trasportato tramite Internet pubblico ed è consentito dai servizi Fabric.
• Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati sono bloccati dalla rete virtuale.

Private Link negli scenari di rete di Fabric

OneLake

OneLake supporta Private Link. È possibile esplorare OneLake nel portale dell'infrastruttura o da qualsiasi computer all'interno del virtual network stabilito usando OneLake file explorer, Azure Storage Explorer, PowerShell e altro ancora.

Le chiamate dirette che usano gli endpoint regionali di OneLake non funzionano tramite un collegamento privato a Fabric. Per ulteriori informazioni sulla connessione a OneLake e agli endpoint regionali, vedere Come posso connettermi a OneLake?.

Scorciatoie

I collegamenti OneLake sono supportati tramite collegamento privato quando l'origine del collegamento e la destinazione si trovano nello stesso tenant. Quando si accede ai dati tramite un collegamento di connessione privata, il traffico tra OneLake e l'account di archiviazione di riferimento passa attraverso la dorsale della rete privata Microsoft. I collegamenti che fanno riferimento all'archiviazione cloud esterna(ad esempio Azure Data Lake Storage o Amazon S3) richiedono che l'account di archiviazione esterno consenta anche l'accesso all'endpoint privato o sia altrimenti raggiungibile dalla rete privata.

I collegamenti tra tenant (collegamenti che fanno riferimento ai dati condivisi da un altro tenant di Fabric) non sono supportati tramite Private Link. Per l'accesso ai dati tra tenant, usare la condivisione dei dati OneLake senza collegamento privato.

Endpoint di analisi SQL di Magazzino e Lakehouse

L'accesso a un warehouse o all'endpoint di analisi SQL di una Lakehouse nel portale Fabric è protetto da un collegamento privato. I clienti possono anche usare endpoint TDS (Tabular Data Stream) (ad esempio, SQL Server Management Studio (SSMS) o l'estensione MSSQL per Visual Studio Code) per connettersi al warehouse tramite private link.

La query visiva in Warehouse non funziona quando l'impostazione del tenant Block Public Internet Access è abilitata.

Database SQL

L'accesso a un database SQL o all'endpoint di analisi SQL nel portale di Fabric è protetto tramite collegamento privato. I clienti possono anche usare endpoint TDS (Tabular Data Stream) (ad esempio SQL Server Management Studio o codice Visual Studio) per connettersi al database SQL tramite private link. Per altre informazioni sulla connessione a un database SQL, vedere Autenticazione nel database SQL in Microsoft Fabric.

Lakehouse, Notebook, definizione di job Spark, Ambiente

Dopo aver abilitato l'impostazione del tenant Azure Private Link, eseguire il primo job Spark (definizione del Notebook o job Spark) o eseguire un'operazione Lakehouse (come il caricamento su tabella, operazioni di manutenzione delle tabelle come Optimize o Vacuum) comporta la creazione di una rete virtuale gestita per l'area di lavoro.

Dopo che la rete virtuale gestita è stata fornita, i pool iniziali (opzione di calcolo predefinita) per Spark sono disabilitati perché sono cluster preinicializzati ospitati in una rete virtuale condivisa. I processi Spark vengono eseguiti in pool personalizzati creati su richiesta al momento dell'invio di processi all'interno del virtual network gestito dedicato dell'area di lavoro. La migrazione degli spazi di lavoro tra capienze in regioni diverse non è supportata quando una rete virtuale gestita viene assegnata all'area di lavoro.

Quando l'impostazione del collegamento privato è abilitata, i processi Spark non funzionano per i tenant la cui regione principale non supporta Fabric Data Engineering, anche se utilizzano capacità Fabric provenienti da altre regioni che lo fanno.

Per altre informazioni, vedere Rete virtuale gestita per Fabric.

Flusso di dati Gen2

È possibile usare Dataflow gen2 per ottenere dati, trasformare i dati e pubblicare il flusso di dati tramite private link. Quando l'origine dati si trova dietro il firewall, è possibile usare il gateway dati di rete virtuale virtual network data gateway per connettersi alle origini dati. Il gateway dati della rete virtuale consente l'inserimento del gateway nella rete virtuale esistente, offrendo un'esperienza di gateway gestita. È possibile utilizzare le connessioni del gateway della rete virtuale per connettersi a un "lakehouse" o un "warehouse" nel tenant che necessita di un "private link" o per connettersi ad altre origini dati con la rete virtuale.

Condotto

Quando ci si connette alla pipeline tramite private link, è possibile usare la pipeline per caricare i dati da qualsiasi origine dati con endpoint pubblici in un Microsoft Fabric lakehouse abilitato per il collegamento privato. I clienti possono anche creare e rendere operativi pipelines con attività, incluse le attività Notebook e Dataflow, utilizzando il collegamento privato. Tuttavia, la copia di dati da e in un Data Warehouse non è attualmente possibile quando l'private link di Fabric è abilitato.

Modello, esperimento e agente dati di Machine Learning

Modello ML, Esperimento e Agente dati supportano il collegamento privato.

Power BI

• Se l'accesso a internet è disabilitato e se il modello semantico di Power BI, Datamart o Dataflow Gen1 si connette a un modello semantico di Power BI o a un Dataflow come origine dati, la connessione non riesce.

• La pubblicazione sul Web non è supportata quando l'impostazione del tenant Azure Private Link è abilitata in Fabric.

• Le sottoscrizioni di posta elettronica non sono supportate quando l'impostazione del tenant Block Public Internet Access è abilitata in Fabric.

• L'esportazione di un report di Power BI come PDF o PowerPoint non è supportata quando l'impostazione del tenant Azure Private Link è abilitata in Fabric.

• Se l'organizzazione usa Azure Private Link in Fabric, i moderni report sulle metriche di utilizzo contengono dati parziali (solo eventi di apertura report). Una limitazione attuale per il trasferimento di informazioni client su collegamenti privati impedisce l'acquisizione da parte di Fabric di visualizzazioni di pagine del report e dati sulle prestazioni tramite collegamenti privati. Se l'organizzazione ha abilitato le impostazioni Azure Private Link e Block Public Internet Access tenant in Fabric, l'aggiornamento del set di dati non riesce e il report sulle metriche di utilizzo non mostra dati.

• Copilot non è attualmente supportato per gli ambienti di rete Private Link o chiusi.

• L'accesso tra tenant ai dati di OneLake tramite collegamenti rapidi o condivisione dei dati di OneLake non è supportato tramite Private Link. Gli utenti che devono accedere ai dati condivisi da un altro tenant devono connettersi all'esterno del percorso del collegamento privato.

Flusso di eventi

Eventstream supporta Private Link, abilitando l'inserimento di dati in tempo reale sicuro da più origini senza esporre il traffico a Internet pubblico. Supporta anche la trasformazione dei dati in tempo reale, ad esempio il filtro e l'arricchimento dei flussi di dati in ingresso, prima di instradarli alle destinazioni all'interno di Fabric.

Scenari non supportati:

• L'endpoint personalizzato come origine non è supportato.
• L'endpoint personalizzato come destinazione non è supportato.
• La eventhouse come destinazione (con modalità di inserimento diretto) non è supportata.
• L'attivatore come destinazione non è supportato.

Attivatore di dati

Data Activator supporta l'ingestione di eventi da KQL/Eventhouse, Power BI e Real-Time Hub Fabric Events per Private Links a livello di tenant. Per il livello dell'area di lavoro, Data Activator supporta l'inserimento di eventi da KQL/Eventhouse e dagli eventi di Hub Fabric in tempo reale.

Limitazioni:

• Attualmente, Data Activator non supporta l'inserimento da Eventstream con collegamenti privati abilitati.

Eventhouse

Eventhouse supporta Private Link, consentendo l'inserimento e l'interrogazione sicuri dalla rete virtuale di Azure tramite un collegamento privato. È possibile inserire dati da varie origini, tra cui account Azure Storage, file locali e Dataflow Gen2. L'inserimento in streaming garantisce la disponibilità immediata dei dati. Inoltre, è possibile usare query KQL o Spark per accedere ai dati all'interno di un'istanza di Eventhouse.

Limitazioni:

• L'inserimento di dati da OneLake non è supportato.
• Non è possibile creare un collegamento a una "casa degli eventi".
• La connessione a una eventhouse in una pipeline non è possibile.
• L'inserimento di dati tramite l'inserimento in coda non è supportato.
• I connettori dati che si basano sull'inserimento in coda non sono supportati.
• L'esecuzione di query su una eventhouse con T-SQL non è possibile.

Soluzioni per i dati sanitari (anteprima)

I clienti possono configurare e utilizzare soluzioni per i dati del settore sanitario in Microsoft Fabric tramite un collegamento privato. In un tenant in cui private link è abilitato, i clienti possono distribuire funzionalità della soluzione dati per il settore sanitario per eseguire scenari completi di inserimento e trasformazione dei dati per i dati clinici. È inclusa anche la possibilità di inserire dati sanitari da varie origini, ad esempio Azure Storage account e altro ancora.

Eventi dell'infrastruttura

Gli eventi Fabric supportano Private Link senza influire sul recapito degli eventi, perché provengono dall'interno del tenant.

eventi Azure

Azure Events supportano Private Link con il seguente comportamento quando l'impostazione Blocca l'accesso diretto a Internet per il tenant è abilitata.

• Le nuove configurazioni per l'utilizzo di eventi Azure (ad esempio, eventi Azure Blob Storage) non verranno recapitate.
• Le configurazioni esistenti che utilizzano Azure eventi impediranno il recapito di nuovi eventi.

Microsoft Purview Protezione delle Informazioni

Microsoft Purview Information Protection attualmente non supporta Private Link. Ciò significa che in Power BI Desktop in esecuzione in una rete isolata, il pulsante Riservatezza è disattivato, le informazioni sulle etichette non vengono visualizzate e la decrittografia dei file con estensione pbix non riesce.

Per abilitare queste funzionalità in Desktop, gli amministratori possono configurare i tag service per i servizi sottostanti che supportano Microsoft Purview Information Protection, Exchange Online Protection (EOP) e Azure Information Protection (AIP). Assicurarsi di comprendere le implicazioni dell'uso dei tag di servizio in una rete isolata di collegamenti privati.

Database con mirroring

Private link è supportato per open mirroring, mirroring di Azure Cosmos DB, mirroring di Azure SQL Managed Instance e mirroring di SQL Server 2025. Per altri tipi di mirroring del database, se l'impostazione del tenant Block public Internet access è enabled, i database con mirroring attivi immettono uno stato sospeso e il mirroring non può essere avviato.

Per il mirroring aperto, quando l'impostazione del tenant Block public Internet access è abilitata, è necessario assicurarsi che il publisher scriva i dati nella zona di destinazione OneLake tramite un collegamento privato.

API per l'interfaccia GraphQL

L'API per GraphQL supporta Private Link, consentendo accesso e l'esecuzione di query sicure dalle reti virtuali di Azure tramite un collegamento privato.

Limitations:

• Il dashboard di monitoraggio delle API e la registrazione basati sul monitoraggio dell'area di lavoro non sono supportati.
• Le entità servizio (SPN) sono supportate come client, ma non è possibile usare un'entità servizio per creare una credenziale salvata per access tra l'API e l'origine dati.
• Se l'API per l'artefatto GraphQL e l'artefatto dell'origine dati appartiene a due aree di capacità diverse non è supportata quando l'accesso pubblico è disabilitato. In questo scenario verrà visualizzato un errore di autenticazione.

Altre considerazioni e limitazioni

Ci sono diverse considerazioni da tenere a mente quando si lavora con gli endpoint privati in Fabric:

• Fabric supporta fino a 450 capacità in un tenant in cui Private Link è abilitato.

• Quando la capacità viene appena creata, non supporta il collegamento privato finché l'endpoint non viene riflesso nella zona DNS privata, il che può richiedere fino a 24 ore.

• La migrazione del tenant viene bloccata quando Private Link è attivata nel portale di amministrazione di Fabric.

• I clienti non possono connettersi alle risorse di Fabric in più tenant dalla stessa posizione di rete (dipende da dove si configurano i record DNS), ma piuttosto solo l'ultimo tenant che ha impostato *Private Link*.

• Collegamento privato non è supportato in modalità di prova. Quando si accede a Fabric tramite traffico Private Link, la capacità di valutazione non funziona.

• L'uso di immagini o temi esterni non è disponibile quando si utilizza un ambiente di collegamento privato.

• Ogni endpoint privato può essere connesso a un solo tenant. Non è possibile configurare un private link da usare da più tenant.

• Gli scenari tra tenant non sono supportati. Ciò significa che la configurazione di un endpoint privato a livello di tenant in un tenant Azure per connettersi direttamente a un servizio Private Link in un altro tenant non è supportata.

• Il Private Link funziona all'interno di un singolo confine del tenant. Le funzionalità di condivisione dei dati tra tenant di Fabric, ad esempio la condivisione dei dati di OneLake e i collegamenti tra tenant, usano controlli di accesso separati e non richiedono o supportano il collegamento privato. Per condividere i dati tra tenant, configurare invece le autorizzazioni di condivisione dei dati di OneLake.

• For Fabric users: i gateway dati locali non sono supportati e non vengono registrati quando Private Link è abilitato. Per eseguire correttamente il configuratore del gateway, Private Link deve essere disabilitato. Ulteriori informazioni su questo scenario. I gateway dati della rete virtuale funzionano. Per maggiori informazioni, leggere queste considerazioni.

• Per gli utenti del gateway che non utilizzano PowerBI (PowerApps o LogicApps): il gateway dati in locale non è supportato quando Private Link è abilitato. Si consiglia di esplorare l'uso del gateway dati della rete virtuale, che può essere utilizzato con collegamenti privati.

• I collegamenti privati non funzionano con la diagnostica di download del gateway dati della rete virtuale.

• L'app Microsoft Fabric Capacity Metrics non supporta Private Link.

• La scheda OneLake Catalog - Govern non è disponibile quando viene attivata Private Link.

• Le API REST delle risorse dei collegamenti privati non supportano i tag.

• Gli URL seguenti devono essere accessibili dal browser client:

  • Necessario per l'autenticazione:

    • login.microsoftonline.com
    • aadcdn.msauth.net
    • msauth.net
    • msftauth.net
    • graph.microsoft.com
    • login.live.com, anche se potrebbe essere diverso in base al tipo di account.

  • Obbligatorio per le esperienze di Data Engineering e Data Science:

    • http://res.cdn.office.net/
    • https://aznbcdn.notebooks.azure.net/
    • https://pypi.org/* (ad esempio, https://pypi.org/pypi/azure-storage-blob/json)
    • endpoint statici locali per pacchetti conda
    • https://cdn.jsdelivr.net/npm/monaco-editor*

Contenuto correlato

• Rete virtuale gestita per Fabric
• Accesso condizionale
• Come trovare l'ID tenant di Microsoft Entra