Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können private Verbindungen verwenden, um sicheren Zugriff auf den Datenverkehr in Fabric zu ermöglichen. Private Azure Link - und Azure Networking-Endpunkte werden verwendet, um den Datenverkehr privat über die Backbone-Netzwerkinfrastruktur von Microsoft zu senden, anstatt über das Internet zu wechseln. Wenn private Link-Verbindungen verwendet werden, gehen diese Verbindungen durch das Microsoft Private Network Backbone, wenn Fabric-Benutzer auf Ressourcen in Fabric zugreifen.
Fabric unterstützt private Links sowohl auf Mandantenebene als auch auf Arbeitsbereichsebene:
Private Links auf Mandantenebene stellen Eine Netzwerkrichtlinie für den gesamten Mandanten bereit. Dieser Artikel konzentriert sich auf private Links auf Mandantenebene.
Private Links auf Arbeitsbereichsebene bieten eine präzise Kontrolle, sodass der Zugriff auf bestimmte Arbeitsbereiche eingeschränkt werden kann, während die restlichen Arbeitsbereiche für den öffentlichen Zugriff geöffnet bleiben können. Weitere Informationen finden Sie unter "Private Links" für Fabric-Arbeitsbereiche.
Das Aktivieren privater Endpunkte wirkt sich auf viele Elemente aus, daher sollten Sie diesen gesamten Artikel überprüfen, bevor Sie private Endpunkte für Ihren Mandanten aktivieren.
Was ist ein privater Endpunkt?
Der private Endpunkt garantiert, dass der Datenverkehr, der in die Fabric-Elemente Ihrer Organisation einfließt (z. B. beim Hochladen einer Datei in OneLake), immer dem von Ihrer Organisation konfigurierten privaten Netzwerkpfad folgt. Sie können Fabric so konfigurieren, dass alle Anforderungen, die nicht vom konfigurierten Netzwerkpfad stammen, abgelehnt werden.
Private Endpunkte garantieren nicht, dass der Datenverkehr von Fabric an Ihre externen Datenquellen, ob in der Cloud oder lokal, geschützt ist. Konfigurieren Sie die Firewall-Regeln und virtuelle Netzwerke, um Ihre Datenquellen weiter zu schützen.
Ein privater Endpunkt ist eine unidirektionale Technologie, die es zwar Clients ermöglicht, Verbindungen mit einem bestimmten Dienst zu initiieren, aber dem Dienst keine Möglichkeit bietet, eine Verbindung mit dem Kundennetzwerk zu initiieren. Dieses Muster für die Integration von privaten Endpunkten ermöglicht eine Isolation der Verwaltung, da der Dienst unabhängig von der Kundennetzwerk-Richtlinienkonfiguration arbeiten kann. Für Dienste mit mehreren Mandanten bietet dieses Modell für private Endpunkte Verbindungsbezeichner, um den Zugriff auf die Ressourcen anderer Kunden zu verhindern, die im selben Dienst gehostet werden.
Der Fabric-Dienst implementiert private Endpunkte und keine Dienstendpunkte.
Die Verwendung privater Endpunkte mit Fabric bietet die folgenden Vorteile:
- Beschränken Sie den Datenverkehr aus dem Internet auf Fabric, und leiten Sie ihn über das Microsoft-Backbone-Netzwerk weiter.
- Stellen Sie sicher, dass nur autorisierte Client-Computer auf Fabric zugreifen können.
- Erfüllen Sie die gesetzlichen und Compliance-Anforderungen, die einen privaten Zugriff auf Ihre Daten und Analysedienste vorschreiben.
Verstehen der privaten Endpunktkonfiguration
Es gibt zwei Mandanteneinstellungen im Fabric-Verwaltungsportal, die an der Konfiguration von Private Link beteiligt sind: Azure Private Links und Öffentlichen Internetzugriff blockieren.
Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierenaktiviert ist:
- Unterstützte Fabric-Elemente sind für Ihre Organisationen nur über private Endpunkte und nicht über das öffentliche Internet zugänglich.
- Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
- Datenverkehr von Endpunkten und Szenarien, die private Links nicht unterstützen, werden vom Dienst blockiert.
- Es kann Szenarien geben, die private Links nicht unterstützen, die beim Aktivieren des öffentlichen Internetzugriffs am Dienst blockiert werden.
Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierendeaktiviert ist:
- Der Datenverkehr aus dem öffentlichen Internet ist von Fabric-Diensten zulässig.
- Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
- Datenverkehr von endpunkten und Szenarien, die private Links nicht unterstützen, werden über das öffentliche Internet transportiert und von Fabric-Diensten zugelassen.
- Wenn das virtuelle Netzwerk zum Blockieren des öffentlichen Internetzugriffs konfiguriert ist, werden Szenarien, die private Links nicht unterstützen, vom virtuellen Netzwerk blockiert.
Private Link in Fabric-Umgebungen
OneLake
OneLake unterstützt private Verbindungen. Sie können OneLake im Fabric-Portal oder von jedem Computer in Ihrem etablierten virtuellen Netzwerk über den OneLake-Dateiexplorer, Azure Storage Explorer, PowerShell und andere erkunden.
Direkte Anrufe mit regionalen OneLake-Endpunkten funktionieren nicht über eine private Verbindung zu Fabric. Weitere Informationen zum Herstellen einer Verbindung mit OneLake und regionalen Endpunkten finden Sie unter Wie stellt man eine Verbindung mit OneLake her?.
Warehouse- und Lakehouse-SQL-Analyseendpunkt
Der Zugriff auf ein Warehouse oder den SQL-Analyseendpunkt eines Lakehouses im Fabric-Portal ist durch einen Private Link geschützt. Kunden können auch Tabellarische Datenstrom-Endpunkte (z. B. SQL Server Management Studio (SSMS) oder die MSSQL-Erweiterung für Visual Studio Code verwenden, um über einen privaten Link eine Verbindung mit Warehouse herzustellen.
Die visuelle Abfrage in Warehouse funktioniert nicht, wenn die Einstellung Öffentlichen Internetzugriff blockieren aktiviert ist.
SQL-Datenbank
Der Zugriff auf eine SQL-Datenbank oder den SQL-Analyseendpunkt im Fabric-Portal ist durch einen privaten Link geschützt. Kunden können auch TDS-Endpunkte (Tabular Data Stream) (z. B. SQL Server Management Studio oder Visual Studio Code) verwenden, um über Private Link eine Verbindung mit der SQL-Datenbank herzustellen. Weitere Informationen zum Herstellen einer Verbindung mit einer SQL-Datenbank finden Sie unter Authentifizierung in der SQL-Datenbank in Microsoft Fabric.
Lakehouse, Notebook, Spark-Auftragsdefinition, Umgebung
Nachdem Sie die Azure Private Link-Mandanteneinstellung aktiviert haben, führt das Ausführen des ersten Spark-Auftrags (Notizbuch- oder Spark-Auftragsdefinition) oder das Ausführen eines Lakehouse-Vorgangs (Load to Table, Tabellenwartungsvorgänge wie Optimieren oder Vakuum) zur Erstellung eines verwalteten virtuellen Netzwerks für den Arbeitsbereich.
Nachdem das verwaltete virtuelle Netzwerk bereitgestellt wurde, werden die Startpools (Standard-Computeoption) für Spark deaktiviert, da sie vorwarmte Cluster sind, die in einem freigegebenen virtuellen Netzwerk gehostet werden. Spark-Aufträge werden in benutzerdefinierten Pools ausgeführt, die zum Zeitpunkt der Auftragsübermittlung im dedizierten verwalteten virtuellen Netzwerk des Arbeitsbereichs erstellt werden. Die Migration von Arbeitsbereichen zwischen Kapazitäten in verschiedenen Regionen wird nicht unterstützt, wenn Ihrem Arbeitsbereich ein verwaltetes virtuelles Netzwerk zugewiesen ist.
Wenn die Einstellung für private Verknüpfungen aktiviert ist, funktionieren Spark-Aufträge nicht für Mandanten, deren Heimatregion Fabric Data Engineering nicht unterstützt, auch wenn sie Fabric-Kapazitäten aus anderen Regionen verwenden, die dies tun.
Weitere Informationen finden Sie unter Managed VNet for Fabric.
Dataflow Gen2
Sie können Dataflow gen2 verwenden, um Daten abzurufen, Daten zu umzuwandeln und Datenfluss über eine private Verbindung zu veröffentlichen. Wenn sich Ihre Datenquelle hinter der Firewall befindet, können Sie das Gateway für virtuelle Netzwerkdaten verwenden, um eine Verbindung mit Ihren Datenquellen herzustellen. Das VNet-Datengateway ermöglicht die Einfügung des Gateways (Compute) in Ihr vorhandenes virtuelles Netzwerk, wodurch eine verwaltete Gatewayumgebung bereitgestellt wird. Sie können virtuelle Netzwerkgatewayverbindungen verwenden, um eine Verbindung mit einem Lakehouse oder Warehouse im Mandanten herzustellen, der eine private Verbindung erfordert oder eine Verbindung mit anderen Datenquellen mit Ihrem virtuellen Netzwerk herstellt.
Rohrleitung
Wenn Sie eine Verbindung mit Pipeline über einen privaten Link herstellen, können Sie die Pipeline verwenden, um Daten aus jeder Datenquelle mit öffentlichen Endpunkten in ein privates Link-fähiges Microsoft Fabric Lakehouse zu laden. Kunden können auch Pipelines mit Aktivitäten erstellen und operationalisieren, einschließlich Notizbuch- und Datenflussaktivitäten, mithilfe des privaten Links. Das Kopieren von Daten aus und in ein Data Warehouse ist derzeit jedoch nicht möglich, wenn die private Verbindung von Fabric aktiviert ist.
ML-Modell, Experiment und Daten-Agent
ML-Modell, Experiment und Daten-Agent unterstützt private Verknüpfungen.
Power BI
Wenn der Internetzugriff deaktiviert ist und das Power BI-Semantikmodell, Datamart oder Dataflow Gen1 eine Verbindung mit einem Power BI-Semantikmodell oder Dataflow als Datenquelle herstellt, schlägt die Verbindung fehl.
Die Veröffentlichung im Web wird nicht unterstützt, wenn die Mandanteneinstellung Azure Private Link in Fabric aktiviert ist.
E-Mail-Abonnements werden nicht unterstützt, wenn die Mandanteneinstellung Öffentlichen Internetzugriff blockieren in Fabric aktiviert ist.
Das Exportieren eines Power BI-Berichts als PDF oder PowerPoint wird nicht unterstützt, wenn die Mandanteneinstellung Azure Private Link in Fabric aktiviert ist.
Wenn Ihre Organisation Azure Private Link in Fabric verwendet, enthalten moderne Nutzungsmetriken Teildaten (nur Berichte zum Öffnen von Berichten). Eine aktuelle Einschränkung bei der Übermittlung von Clientinformationen über private Verbindungen verhindert, dass Fabric Berichtsseitenaufrufe, und Leistungsdaten über private Verbindungen erfassen kann. Wenn Ihre Organisation die Azure Private Link - und Block-Mandanteneinstellungen für den öffentlichen Internetzugriff in Fabric aktiviert hat, schlägt die Aktualisierung für das Dataset fehl, und der Bericht über Nutzungsmetriken zeigt keine Daten an.
Copilot wird derzeit für Private Link- oder geschlossene Netzwerkumgebungen nicht unterstützt.
Ereignisstrom
Eventstream unterstützt Private Link, wodurch sichere Echtzeitdatenaufnahme aus mehreren Quellen ermöglicht wird, ohne Datenverkehr für das öffentliche Internet verfügbar zu machen. Außerdem unterstützt sie die Echtzeitdatentransformation, z. B. Filtern und Anreicherung eingehender Datenströme, bevor sie an Ziele innerhalb von Fabric weitergeleitet werden.
Nicht unterstützte Szenarien:
- Benutzerdefinierter Endpunkt als Quelle wird nicht unterstützt.
- Benutzerdefinierter Endpunkt als Ziel wird nicht unterstützt.
- Eventhouse als Ziel (mit direktem Aufnahmemodus) wird nicht unterstützt.
- Aktivator als Ziel wird nicht unterstützt.
Eventhouse
Eventhouse unterstützt die private Verbindung und ermöglicht so die sichere Aufnahme und Abfrage von Daten aus Ihrem Azure Virtual Network über eine private Verbindung. Sie können Daten aus verschiedenen Quellen einlesen, darunter Azure Storage-Konten, lokale Dateien und Dataflow Gen2. Die Streaming-Ingestion gewährleistet die sofortige Verfügbarkeit der Daten. Außerdem können Sie KQL-Abfragen oder Spark verwenden, um auf Daten in einem Eventhouse zuzugreifen.
Einschränkungen:
- Das Einlesen von Daten aus OneLake wird nicht unterstützt.
- Das Erstellen einer Verknüpfung mit einem Eventhouse ist nicht möglich.
- Eine Verbindung zu einem Eventhouse innerhalb einer Pipeline ist nicht möglich.
- Die Erfassung von Daten aus der Warteschlange wird nicht unterstützt.
- Datenconnectors, die die Datenerfassung aus der Warteschlange verwenden, werden nicht unterstützt.
- Das Abfragen eines Eventhouse mit T-SQL ist nicht möglich.
Lösungen für Gesundheitsdaten (Vorschau)
Kunden können Datenlösungen im Gesundheitswesen in Microsoft Fabric über einen privaten Link bereitstellen und nutzen. In einem Mandanten, in dem der private Link aktiviert ist, können Kunden Funktionen für die Datenlösung im Gesundheitswesen bereitstellen, um umfassende Datenaufnahme- und Transformationsszenarien für ihre klinischen Daten auszuführen. Darüber hinaus ist die Möglichkeit enthalten, Gesundheitsdaten aus verschiedenen Quellen, z. B. Azure Storage-Konten, aufzunehmen und vieles mehr.
Fabric-Ereignisse
Fabric-Ereignisse unterstützen Private Links, ohne die Ereignisübermittlung zu beeinträchtigen, da die Ereignisse aus dem Inneren des Mandanten stammen.
Azure-Ereignisse
Azure Events unterstützen Private Links mit dem folgenden Verhalten, wenn die Mandanteneinstellung "Öffentlichen Internetzugriff blockieren" aktiviert ist.
- Neue Konfigurationen zur Nutzung von Azure-Ereignissen (z. B. Azure Blob Storage-Ereignisse) werden daran gehindert, zugestellt zu werden.
- Vorhandene Konfigurationen, die Azure-Ereignisse verwenden, verhindern, dass neue Ereignisse übermittelt werden.
Microsoft Purview Informationsschutz
Microsoft Purview Information Protection bietet derzeit keine Unterstützung für Private Link. Dies bedeutet, dass in Power BI Desktop, der in einem isolierten Netzwerk ausgeführt wird, die Schaltfläche " Vertraulichkeit " abgeblendet ist, Bezeichnungsinformationen nicht angezeigt werden und die Entschlüsselung von PBIX-Dateien fehlschlägt.
Um diese Funktionen in Desktop zu aktivieren, können Administratoren Dienst-Tags für die zugrunde liegenden Dienste konfigurieren, die Microsoft Purview Information Protection, Exchange Online Protection (EOP) und Azure Information Protection (AIP) unterstützen. Stellen Sie sicher, dass Sie die Auswirkungen der Verwendung von Diensttags in einem isolierten Netzwerk für private Verbindungen verstehen.
Gespiegelte Datenbanken
Private Verknüpfung wird für offene Spiegelung, Azure Cosmos DB-Spiegelung, Azure SQL Managed Instance-Spiegelung und SQL Server 2025-Spiegelung unterstützt. Wenn die Einstellung für den Öffentlichen Internetzugriff aktiviert ist, geben aktive gespiegelte Datenbanken für andere Arten der Datenbankspiegelung einen angehaltenen Zustand ein, und die Spiegelung kann nicht gestartet werden.For other types of database mirroring, if the Block public Internet access tenant setting is enabled, active mirrored databases enter a paused state, and mirroring can't be started.
Stellen Sie für die offene Spiegelung sicher, dass der Herausgeber Daten über einen privaten Link in die OneLake-Zielzone schreibt, wenn die Einstellung für den öffentlichen Internetzugriffaktiviert ist.
Weitere Überlegungen und Einschränkungen
Bei der Arbeit mit privaten Endpunkten in Fabric sind mehrere Aspekte zu beachten:
Fabric unterstützt bis zu 450 Kapazitäten in einem Mandanten, wenn die private Verbindung aktiviert ist.
Wenn die Kapazität neu erstellt wird, wird die private Verknüpfung erst unterstützt, wenn ihr Endpunkt in der privaten DNS-Zone widergespiegelt wird, was bis zu 24 Stunden dauern kann.
Wenn die private Verbindung im Verwaltungsportal aktiviert ist, wird die Mandantenmigration blockiert.
Kunden können keine Verbindung mit Fabric-Ressourcen in mehreren Mandanten von demselben Netzwerkstandort aus herstellen (es hängt davon ab, wie die DNS-Einträge konfiguriert sind), sondern nur mit dem letzten Mandanten, der Private Link eingerichtet hat.
Private Link wird in der Testkapazität nicht unterstützt. Beim Zugriff auf Fabric über Private Link funktioniert die Testkapazität nicht.
Jegliche Verwendung externer Bilder oder Designs ist nicht möglich, wenn eine Umgebung mit einer privaten Verbindung verwendet wird.
Jeder private Endpunkt kann nur mit einem Mandanten verbunden werden. Sie können keine private Verbindung einrichten, die von mehr als einem Mandanten verwendet werden kann.
Mandantenübergreifende Szenarien werden nicht unterstützt. Dies bedeutet, dass das Einrichten eines privaten Endpunkts auf Mandantenebene in einem Azure-Mandanten, um eine direkte Verbindung mit einem Privaten Link-Dienst in einem anderen Mandanten herzustellen, nicht unterstützt wird.
Für Fabric-Benutzer: Lokale Daten-Gateways werden nicht unterstützt und können nicht registriert werden, wenn Private Link aktiviert ist. Um den Gateway-Konfigurator erfolgreich auszuführen, müssen sie die private Verbindung deaktivieren. Weitere Informationen zu diesem Szenario. Virtuelle Netzwerkdatengateways funktionieren. Weitere Informationen finden Sie unter diesen Überlegungen.
Für Nicht-Power BI Gateway-Benutzer (PowerApps oder LogicApps): Das lokale Datengateway wird nicht unterstützt, wenn Private Link aktiviert ist. Es wird empfohlen, die Verwendung des Virtuellen Netzwerkdatengateways zu untersuchen, das mit privaten Links verwendet werden kann.
Private Links funktionieren nicht mit der Downloaddiagnose des VNet-Datengateways.
Die Microsoft Fabric-Kapazitätsmetriken-App unterstützt keine private Verknüpfung.
Der OneLake-Katalog – Registerkarte "Steuern" ist nicht verfügbar, wenn der private Link aktiviert ist.
Die REST-APIs für private Verbindungsressourcen unterstützen keine Tags.
Auf die folgenden URLs muss über den Clientbrowser zugegriffen werden:
Erforderlich für die Authentifizierung:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.com-
login.live.com, obwohl sie je nach Kontotyp unterschiedlich sein kann.
Erforderlich für die Data Engineering und Data Science Erfahrungen:
http://res.cdn.office.net/https://aznbcdn.notebooks.azure.net/-
https://pypi.org/*(z. B.https://pypi.org/pypi/azure-storage-blob/json) - Lokale statische Endpunkte für condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*