ワークスペース レベルのプライベート リンクでサポートされるシナリオと制限事項

Microsoft Fabricのワークスペース レベルのプライベート リンクは、プライベート ネットワーク経由で特定のワークスペース リソースに安全に接続する方法を提供します。 この記事では、サポートされているシナリオと項目の種類について説明し、現在の制限事項を強調し、ワークスペース レベルのプライベート リンクを使用するためのベスト プラクティスとトラブルシューティングに関するガイダンスを提供します。

ワークスペース レベルのプライベート リンクでサポートされている項目の種類

ワークスペース レベルのプライベート リンクを使用して、Fabricで次の種類のアイテムに接続できます。

• Lakehouse、SQL エンドポイント、ショートカット
• OneLake エンドポイント経由の直接接続
• Notebook、Spark ジョブ定義、環境
• 機械学習実験,機械学習モデル
• パイプライン
• ジョブのコピー
• 接続されたデータファクトリー
• 倉庫
• データフロー Gen2 (CI/CD)
• 変数ライブラリ
• ミラー データベース
• Eventstream
• イベントハウス

サポートされていない項目の種類に関する注意事項

ワークスペース レベルのプライベート リンクが有効になっているワークスペースでは、次の項目の種類は現在サポートされていません。

• デプロイメントパイプライン

ワークスペースにサポートされていない項目の種類が含まれている場合、ワークスペース レベルのプライベート リンクが設定されている場合でも、ワークスペースの受信パブリック アクセスを制限することはできません。

同様に、受信パブリック アクセスを制限するようにワークスペースが既に構成されている場合、サポートされていない項目の種類をそのワークスペースに作成することはできません。

サポートされていない項目の種類を使用する場合は、次の考慮事項に注意してください。

• デプロイ パイプライン: デプロイ パイプラインに割り当てられているワークスペースは、現在ワークスペース レベルのプライベート リンクをサポートしていないので、パブリック アクセスをブロックするように構成することはできません。

サポートされている項目の種類の管理オプション

このセクションでは、Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペースでサポートされるアイテムの種類を管理する方法について説明します。

Fabric Core のサポート

v1/workspaces/{workspaceId}を含むエンドポイントを含む API は、特定のワークスペースのコンテキスト内で動作するため、ワークスペース レベルのプライベート リンクをサポートします。 これに対し、管理者 API はエンドポイントで admin/workspaces/{workspaceId} を使用し、ワークスペース レベルのプライベート リンクではカバーされません。 パブリック アクセスをブロックするためのテナント レベルの設定によって管理されるため、管理者 API は制限されたワークスペースでもアクセス可能なままになります。

• 項目 - REST API (Core): 詳細については、個々の項目の種類も確認します。
• フォルダー - REST API (Core)
• Git - REST API (Core)
• マネージド プライベート エンドポイント - REST API (Core)
• ジョブ スケジューラ - REST API (Core)
• OneLake データ アクセス セキュリティ - データ アクセス ロールの作成または更新 - REST API (コア)
• OneLake ショートカット - REST API (コア)
  • 制限付きワークスペースから、外部ストレージなどの他のデータ ソースへのショートカットを作成したり、信頼できるアクセスを使用したりできます。
  • 別の制限付きワークスペースへのショートカットを作成する場合は、マネージド プライベート エンドポイントを作成し、Azureのターゲット ワークスペース プライベート リンク サービス所有者から承認を取得する必要があります。 詳細については、「 クロスワークスペース通信」を参照してください。
  • ショートカット変換は、制限付きワークスペースでは現在サポートされていません。
• タグ - REST API (コア)
• ワークスペース - REST API (Core)
• 外部データ共有プロバイダー - REST API (Core): 受信者は、ワークスペースの完全修飾ドメイン名 (FQDN) を使用して共有 OneLake URL にアクセスする必要があります。

Lakehouse のサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内の Lakehouse を作成および管理します。

具体化されたレイク ビューのサポート (プレビュー)

プライベート リンクが有効になっているワークスペースで Fabric ポータルまたは REST API を使用して、Lakehouse の具体化されたレイク ビューを更新します。 この機能は プレビュー段階です。

倉庫のサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のウェアハウスを作成および管理します。

ワークスペース レベルのプライベートリンクでウェアハウスのコネクション・ストリングを使用するには、通常のウェアハウスのコネクション・ストリングに z{xy} を追加します。 例えば次が挙げられます。

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• ウェアハウスのワークスペース プライベート リンク サービス接続文字列を取得するには:接続文字列を取得 - REST API (ウェアハウス)

ウェアハウス接続文字列を使用すると、SQL Server Management StudioなどのツールでSQL タブラー データ ストリーム (TDS) エンドポイントを介してウェアハウスにアクセスすることもできます。 ワークスペース内のすべての SQL エンドポイントとウェアハウスは、TDS 接続用に同じ接続文字列ホスト名を共有します。 REST API を使用して接続文字列を取得する場合は、privateLinkType=Workspace フラグを使用してワークスペースのプライベート リンク接続文字列を取得します。

SQL エンドポイントのサポート

ワークスペース レベルのプライベート リンクで SQL エンドポイント 接続文字列を使用するには、通常の SQL エンドポイント 接続文字列に z{xy} を追加します。 例えば次が挙げられます。

{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com

• SQL エンドポイントのワークスペース プライベート リンク サービスの接続文字列を取得するには : Items - Get Connection String (SQL Endpoint)

ノートブックのサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のノートブックを管理します。

Livy エンドポイントのサポート

プライベート リンクが有効になっているワークスペースの Fabric ポータルまたは API を使用して、ステートメントを作成して実行するか、Livy エンドポイントを使用してバッチ ジョブを実行します。

Livy セッション ジョブは、Livy API との対話期間中アクティブなままの Spark セッションを確立します。 Livy セッションは、対話型ワークロードに最適です。 セッションはジョブの送信時に開始され、明示的に終了するか、システムが非アクティブ状態の 20 分後に終了するまで使用できます。 同じセッション内で複数のジョブを実行し、状態とキャッシュされたデータを共有できます。

Livy バッチ ジョブでは、1 回の実行のために Spark アプリケーションを送信する必要があります。 Livy セッション ジョブとは異なり、バッチ ジョブは永続的な Spark セッションを維持しません。 各 Livy バッチ ジョブは、ジョブの完了時に終了する新しい Spark セッションを開始します。 このメソッドは、キャッシュされたデータに依存しないタスクや、ジョブ間で状態を維持する必要があるタスクに適しています。

Spark ジョブ定義のサポート

プライベート リンクが有効になっているワークスペース内の Fabric ポータルまたは API を使用して、Spark ジョブ定義項目の作成、読み取り、更新、削除を行います。

環境のサポート

Fabric ポータルを使用してプライベート リンクが有効になっているワークスペース内の環境を管理するか、環境 REST API を使用して環境項目の作成、読み取り、更新、削除を行います。

機械学習実験のサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペースの機械学習実験を管理します。

機械学習モデルのサポート

Items - REST API (MLModel) を使用して、プライベート リンクで有効になっているワークスペースの機械学習モデルを管理します。

パイプライン、コピー ジョブ、およびマウントされたデータファクトリーのサポート

Fabric ポータルまたは次の REST API を使用して、プライベート リンクが有効になっているワークスペース内のパイプライン、コピー ジョブ、マウントされたデータ ファクトリを管理します。

次のシナリオはサポートされていません。

• ワークスペースのステージングは、Copy アクティビティおよびコピー ジョブのFabric Data Warehouse、Snowflake、または Teradata コネクタではサポートされていません。 代わりに外部ステージングを使用します。
• Eventhouse へのコピーはサポートされていません。

Eventstream のサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のイベントストリームを管理し、イベントストリーム項目を作成し、そのトポロジを表示します。

Eventstream API では、グラフのような構造を使用して Eventstream 項目を定義します。これは、ソース、宛先、演算子、ストリームの 4 つのコンポーネントで構成されます。

現在、Eventstream では、限られたソースと宛先のセットに対してのみワークスペース Private Linkがサポートされています。 Eventstream API ペイロードにサポートされていないコンポーネントを含めた場合、要求が失敗する可能性があります。

次のシナリオはサポートされていません。

• ソースとしてのカスタム エンドポイントはサポートされていません。
• 宛先としてのカスタム エンドポイントはサポートされていません。
• 宛先としての Eventhouse (直接インジェスト モード) はサポートされていません。
• ターゲットとしてのアクティベーターはサポートされていません。

Eventhouse のサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のイベントハウスを管理します。

次のシナリオはサポートされていません。

• Eventstreams のイベントを消費する
• SQL ServerのTDSエンドポイント

データフロー Gen2 (CI/CD) のサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペースのデータフロー Gen2 を管理します。

出力先を含め、仮想ネットワーク データ ゲートウェイに基づく接続を使用する必要があります。 仮想ネットワーク データ ゲートウェイは、ワークスペースで使用されるワークスペース レベルのプライベート リンク エンドポイントと同じ仮想ネットワーク内に存在する必要があります。

Power Platform Dataflow Connector: ワークスペースのプライベート リンクが有効になっていて、そのワークスペース内の 2 つのデータフロー (データフロー A とデータフロー B) に対してパブリック アクセスが拒否されている場合、データフローはナビゲーターに表示されないため、Power Platform Dataflow Connector を使用して他のデータフローに接続することはできません。

変数ライブラリのサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内の変数ライブラリを管理します。

ミラー化されたデータベースのサポート

Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のミラー化されたデータベースを管理できます。

AzureイベントとFabric イベントのサポート

ワークスペース レベルのプライベート リンクがパブリック アクセスをブロックするようにワークスペースで構成されている場合、コンシューマーのネットワークからソース ワークスペース (イベントが発生するワークスペース) へのプライベート リンクが確立されていない限り、他のワークスペースのイベント コンシューマー (アクティベーター アラートやイベントストリームなど) は、そのワークスペース内のアイテムにサブスクライブしたり、イベントを使用したりすることはできません。

これは、すべてのFabricイベントの種類に適用されます。 たとえば、ワークスペース A にアクティベーター アラートを作成して、ワークスペース B の lakehouse からの OneLake イベントを監視する場合、ワークスペース B はソース ワークスペースです。 ワークスペース B がパブリック ネットワーク アクセスをブロックする場合、ワークスペース A のネットワークからワークスペース B へのプライベート リンクが確立されていない限り、この構成は失敗します。

Azureイベント (Azure Blob Storage イベントなど) も影響を受けます。 Azure イベントを受信するようにコンシューマーを構成すると、Azure ソースを表す eventstream 項目が Fabric ワークスペースに作成されます。 このイベントストリーム項目を含むワークスペースがパブリック ネットワーク アクセスをブロックしている場合、プライベート リンクが確立されていない限り、他のワークスペースのコンシューマーはこれらのイベントを使用できません。 さらに、Azure イベントは、テナント レベルのプライベート リンク構成の影響を受けます。Block パブリック インターネット アクセス テナント設定が有効になっている場合、テナントの外部Azureイベント ソースは、ワークスペース レベルの設定に関係なく、イベントを完全にFabricに配信できなくなります。

プライベート リンクの設定に関係なく、同じワークスペース内のイベントの使用は常に許可されます。 コンシューマーが既に構成された後にワークスペース レベルのプライベート リンク設定が変更された場合、システムは変更を検出し、構成を一時停止します。 一時停止中、イベントは最大 7 日間保持されます。 一時停止した構成の詳細については、 Real-Time ハブでの一時停止されたイベント構成に関するページを参照してください。

詳細については、「Azure および Fabric イベントのPrivate リンクを参照してください。

サポートされている管理ツールとサポートされていない管理ツール

• Fabric ポータルまたは REST API を使用して、ワークスペースのプライベート リンクが有効になっているワークスペース内のすべてのサポートされている項目の種類を管理できます。 ワークスペースでパブリック アクセスが許可されている場合、Fabric ポータルは引き続きパブリック接続を使用して機能します。 受信パブリック アクセスを拒否するようにワークスペースが構成されている場合は、Fabric ポータルでアクセスできるのは、要求がワークスペースの関連付けられているプライベート エンドポイントから送信された場合のみです。 パブリック接続または別のプライベート エンドポイントからアクセスしようとすると、Fabric ポータルに "アクセス制限付き" メッセージが表示されます。
• ワークスペース レベルのプライベート リンクを使用している場合、監視ハブ レベル 2 (L2) ページへのディープリンクが正常に機能しない可能性があります。 L2 ページにアクセスするには、まず、Fabric ポータルで監視ハブのレベル 1 (L1) ページに移動します。
• SQL Server Management Studio (SSMS) は、ワークスペース レベルのプライベート リンク経由でウェアハウスに接続するためにサポートされています。
• Storage Explorerは、ワークスペース レベルのプライベート リンクと共に使用できます。
• Azure Storage Explorer、PowerShell、AzCopy、およびその他のAzure Storageツールは、プライベート リンクを介して OneLake に接続できます。
• OneLake エクスプローラーを使用するには、パブリック アクセスまたはテナント プライベート リンクを使用して、テナントにアクセスできる必要があります。

考慮事項と制限事項

• ワークスペース レベルのプライベート リンク機能は、Fabric容量 (F SKU) でのみサポートされます。 Premium (P SKU) や試用版の容量など、その他の容量はサポートされていません。
• 既存のプライベート リンク サービスが設定されている場合、ワークスペースは削除できません。
• ワークスペースごとに作成できるプライベート リンク サービスは 1 つだけで、各ワークスペースに含めることができるプライベート リンク サービスは 1 つだけです。 ただし、1 つのプライベート リンク サービスに対して複数のプライベート エンドポイントを作成できます。
• ワークスペースのプライベート エンドポイントの制限は 100 です。 この制限を引き上げる必要がある場合は、サポート チケットを作成します。
• テナントごとに作成できるワークスペース PLS の制限: 500。 この制限を引き上げる必要がある場合は、サポート チケットを作成します。
• 1 分あたり最大 10 個のワークスペース プライベート リンク サービスを作成できます。
• Fabric ポータル UI では、現在、ワークスペースの受信保護 (ワークスペース レベルのプライベート リンク) と送信アクセス保護の両方を同時に有効にすることはできません。 両方の設定を一緒に構成するには、 ワークスペース - ネットワーク通信ポリシーの設定 API を使用します。これにより、受信と送信の保護ポリシーを完全に管理できます。
• データ エンジニアリング ワークロードの場合:
  • ワークスペース レベルのプライベート リンクが有効になっているワークスペースの Lakehouse ファイルまたはテーブルに対してクエリを実行するには、ワークスペース間で管理されるプライベート エンドポイント接続を作成して、他のワークスペース内のリソースにアクセスする必要があります。
  • 相対パスまたは完全パスを使用して、同じワークスペース内のファイルまたはテーブルに対してクエリを実行したり、クロスワークスペースマネージド プライベート エンドポイント接続を使用して別のワークスペースからアクセスしたりできます。 別のワークスペースにある Lakehouse 内のファイルを読み取る場合は、ワークスペース ID と lakehouse ID (表示名ではなく) を含む完全修飾パスを使用します。 この方法により、Spark セッションでパスを正しく解決でき、ソケット タイムアウト エラーが回避されます。 詳細については、こちらを参照してください。
• 変数ライブラリにパイプラインからアクセスすることはできません。
• イベントハウスでのPrivate Linkに関する現在の制限事項:
  • Copilot機能: 既知の回帰バグにより、機械学習ワークロードの機能が制限される場合があります。
  • Eventstream pull: Eventstream ワークロードは現在、完全なポーリング機能をサポートしていません。
  • Fabricは現在、Azure Event Hubs統合をサポートしていません。
  • OneLake 経由でのキューインジェストは現在利用できません。

• OneLake Catalog - Govern タブは、Private Linkがアクティブになると使用できません。
• ワークスペースレベルのプライベート リンクがワークスペースに対して有効になっている場合、OneLake Security は現在サポートされていません。
• ワークスペースレベルのプライベート リンクがワークスペースに対して有効になっている場合、ワークスペースの監視は現在サポートされていません。

Azure のロールベースのアクセス制御 (RBAC) とワークスペース レベルのプライベート リンク

ワークスペース レベルのプライベート リンクと関連するプライベート エンドポイントのプロビジョニングと管理には、特定のAzure RBAC アクセス許可が必要です。 これらのアクセス許可のスコープを狭くするには、リソース グループ レベルで必要なVirtual Network、Private Link、プライベート エンドポイントのアクションのみを付与するカスタム Azure ロールを定義し、所有者や共同作成者などの広範なロールを割り当てずに委任された管理を有効にすることができます。 次のカスタム ロール定義は、仮想ネットワーク、サブネット、Fabricワークスペースのプライベート リンク、および特定のグループをスコープとしたプライベート エンドポイントを作成するために必要なアクセス許可を提供します。

{
  "Name": "Custom Fabric WSPL role",
  "Description": "Read access to resource group, create private endpoints for Fabric WSPL",
  "Actions": [
    "*/read",
    "Microsoft.Network/virtualNetworks/write",
    "Microsoft.Network/virtualNetworks/subnets/write",
    "Microsoft.Network/privateEndpoints/write",
    "Microsoft.Network/privateEndpoints/delete",
    "Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
    "Microsoft.Network/virtualNetworks/subnets/join/action",
    "Microsoft.Network/virtualNetworks/join/action",
    "Microsoft.Network/privateDnsZones/join/action",
    "Microsoft.Network/privateDnsZones/write",
    "Microsoft.Network/privateDnsZones/delete",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
    "Microsoft.Network/privateDnsZones/virtualNetworkLinks/delete",
    "Microsoft.Resources/deployments/validate/action",
    "Microsoft.Resources/deployments/write",
    "Microsoft.Fabric/privateLinkServicesForFabric/*",
    "Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
  ],
  "NotActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/<replace-with-subscription-id>/resourceGroups/<replace-with-resource-group>"
  ]
}

一般的なエラーとトラブルシューティング

受信ポリシーにより拒否されたリクエスト

パブリック アクセスを制限するように構成されたワークスペースにアクセスしようとすると、ユーザーは次のエラーが発生します。

   "errorCode": "RequestDeniedByInboundPolicy",
   "message": "Request is denied due to inbound communication policy"

• 原因: このエラーは、ワークスペースの通信ポリシーで許可されていないネットワークの場所から要求が行われた場合に発生します。

• 軽減策:

  1. 許可されているネットワークの場所に存在するかどうかを確認します。
  2. ワークスペース レベルのプライベート リンクを使用してワークスペースにアクセスする場合は、ワークスペースの FQDN を使用していることを確認します。

ワークスペース内のサポートされていない項目

パブリック アクセスを制限するようにワークスペースを設定しようとすると、ユーザーは次のエラーが発生します。

   "errorCode": "InboundRestrictionNotEligible",
   "message": "This workspace contains items that do not comply with requested policy"

• 原因: このエラーは、ワークスペースレベルのプライベート リンクと互換性のない 1 つ以上の項目がワークスペースに含まれているために発生します。 その結果、パブリック アクセスを制限するようにワークスペースを構成することはできません。

• 軽減策: このワークスペースでサポートされていない項目を削除するか、代わりに別のワークスペースを使用します。

関連コンテンツ

• プライベート リンクについて
• ワークスペース レベルのプライベート リンクを設定して使用する