Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Você pode usar links privados para fornecer acesso seguro ao tráfego de dados no Fabric. O Azure Private Link e os pontos de extremidade privados da Rede do Azure são usados para enviar tráfego de dados de forma privada usando a infraestrutura de rede de backbone da Microsoft, em vez de atravessar a Internet. Quando conexões de link privado são usadas, essas conexões passam pelo backbone de rede privada da Microsoft quando os usuários do Fabric acessam recursos no Fabric.
O Fabric oferece suporte a links privados no nível do locatário e no nível do espaço de trabalho:
Os links privados no nível do locatário fornecem política de rede para todo o locatário. Este artigo se concentra em links privados no nível do locatário.
Os links privados no nível do espaço de trabalho fornecem controle granular, tornando possível restringir o acesso a determinados espaços de trabalho e, ao mesmo tempo, permitir que o restante dos espaços de trabalho permaneça aberto para acesso público. Para saber mais, consulte Links privados para espaços de trabalho do Fabric.
A habilitação de pontos de extremidade privados afeta muitos itens, portanto, você deve revisar este artigo inteiro antes de habilitar pontos de extremidade privados para seu locatário.
O que é um ponto final privado?
O ponto de extremidade privado garante que o tráfego que vai para os itens Fabric da sua organização (como fazer o upload de um ficheiro para o OneLake, por exemplo) siga sempre o caminho de rede de ligação privada configurado da sua organização. Você pode configurar o Fabric para negar todas as solicitações que não vêm do caminho de rede configurado.
Os endpoints privados não garantem que o tráfego do Fabric para as suas fontes de dados externas, seja na nuvem ou no local, esteja assegurado. Configure regras de firewall e redes virtuais para proteger ainda mais suas fontes de dados.
Um ponto de extremidade privado é uma tecnologia única e direcional que permite que os clientes iniciem conexões com um determinado serviço, mas não permite que o serviço inicie uma conexão com a rede do cliente. Esse padrão de integração de ponto final privado fornece isolamento de gerenciamento, uma vez que o serviço pode operar independentemente da configuração da política de rede do cliente. Para serviços multilocatário, esse modelo de ponto de extremidade privado fornece identificadores de link para impedir o acesso aos recursos de outros clientes hospedados no mesmo serviço.
O serviço Fabric implementa pontos de extremidade privados e não implementa pontos de extremidade de serviço.
O uso de endpoints privados com o Fabric oferece os seguintes benefícios:
- Restrinja o tráfego da Internet para o Fabric e encaminhe-o através da rede de backbone da Microsoft.
- Certifique-se de que apenas máquinas clientes autorizadas possam acessar o Fabric.
- Cumpra os requisitos regulamentares e de conformidade que exigem acesso privado aos seus dados e serviços de análise.
Compreender a configuração de ponto final privado
Há duas configurações de locatário no portal de administração do Fabric envolvidas na configuração de Link Privado: Links Privados do Azure e Bloquear o Acesso da Internet Pública.
Se o Azure Private Link estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:
- Os Itens Fabric suportados só são acessíveis para a sua organização a partir de pontos de extremidade privados e não são acessíveis a partir da Internet pública.
- O tráfego da rede virtual direcionado a pontos de extremidade e situações que suportam links privados é transportado através do link privado.
- O tráfego dos pontos de extremidade de segmentação da rede virtual e os cenários que não suportam links privados são bloqueados pelo serviço.
- Pode haver cenários que não suportam links privados, que são bloqueados no serviço quando Bloquear Acesso Público à Internet está habilitado.
Se o Azure Private Link estiver configurado corretamente e Bloquear o acesso à Internet pública estiver desativado:
- O tráfego da Internet pública é permitido pelos serviços de malha.
- O tráfego da rede virtual direcionado a pontos de extremidade e situações que suportam links privados é transportado através do link privado.
- O tráfego da rede virtual direcionando pontos de extremidade e cenários que não oferecem suporte a links privados é transportado pela Internet pública e é permitido pelos serviços de malha.
- Se a rede virtual estiver configurada para bloquear o acesso público à Internet, os cenários que não suportam links privados serão bloqueados pela rede virtual.
Link privado nas funcionalidades do Fabric
OneLago
OneLake suporta Private Link. Você pode explorar o OneLake no portal Fabric ou de qualquer máquina dentro de sua rede virtual estabelecida usando o explorador de arquivos OneLake, o Gerenciador de Armazenamento do Azure, o PowerShell e muito mais.
As chamadas diretas usando pontos de extremidade regionais do OneLake não funcionam por meio de ligação privada no Fabric. Para obter mais informações sobre como se conectar ao OneLake e pontos de extremidade regionais, consulte Como faço para me conectar ao OneLake?.
Endpoint de análises SQL para Warehouse e Lakehouse
O acesso a um armazém ou ao endpoint de análise SQL de um Lakehouse no portal do Fabric é protegido por ligações privadas. Os clientes também podem usar endpoints Tabular Data Stream (TDS) (por exemplo, SQL Server Management Studio (SSMS) ou a extensão MSSQL para Visual Studio Code) para se conectar ao Warehouse via link privado.
A consulta visual no Warehouse não funciona quando a configuração de locatário de Bloqueio de Acesso Público à Internet está ativada.
base de dados SQL
O acesso a um banco de dados SQL ou ao endpoint de análises SQL no portal Fabric é protegido por um link privado. Os clientes também podem usar pontos de extremidade TDS (Tabular Data Stream) (por exemplo, SQL Server Management Studio ou Visual Studio Code) para ligar-se à base de dados SQL através de uma ligação privada. Para obter mais informações sobre como se conectar a um banco de dados SQL, consulte Autenticação no banco de dados SQL no Microsoft Fabric.
Lakehouse, Notebook, Definição de trabalho do Spark, Ambiente
Depois de habilitar a configuração de locatário do Azure Private Link , a execução do primeiro trabalho do Spark (definição de trabalho do Notebook ou do Spark) ou a execução de uma operação do Lakehouse (Load to Table, operações de manutenção de tabela, como Otimizar ou Aspirar) resulta na criação de uma rede virtual gerenciada para o espaço de trabalho.
Depois que a rede virtual gerenciada é provisionada, os pools iniciais (opção de computação padrão) para o Spark são desativados, porque são clusters pré-aquecidos hospedados em uma rede virtual compartilhada. Os trabalhos do Spark são executados em pools personalizados que são criados sob demanda no momento do envio do trabalho na rede virtual gerenciada dedicada do espaço de trabalho. A migração de espaços de trabalho entre capacidades em diferentes regiões não é suportada quando uma rede virtual gerenciada é alocada ao seu espaço de trabalho.
Quando a configuração de link privado está habilitada, os trabalhos do Spark não funcionam para locatários cuja região de origem não oferece suporte à Engenharia de Dados de Malha, mesmo que eles usem capacidades de Malha de outras regiões que o façam.
Para obter mais informações, consulte VNet gerida para Fabric.
Fluxo de dados Gen2
Você pode usar o Dataflow gen2 para obter dados, transformar dados e publicar o fluxo de dados via link privado. Quando sua fonte de dados está atrás do firewall, você pode usar o gateway de dados de rede virtual para se conectar às suas fontes de dados. O gateway de dados VNet permite a injeção do gateway (computação) na sua rede virtual existente, fornecendo assim uma experiência de gestão de gateway. Você pode usar conexões de gateway de rede virtual para se conectar a um Lakehouse ou Warehouse no locatário que requer um link privado ou conectar-se a outras fontes de dados com sua rede virtual.
Gasoduto
Ao conectar-se ao Pipeline via ligação privada, pode-se usar o pipeline para carregar dados de qualquer fonte de dados com pontos de extremidade públicos em um ambiente Microsoft Fabric lakehouse habilitado para ligação privada. Os clientes também podem criar e operacionalizar pipelines com atividades, incluindo atividades de Notebook e Dataflow, usando o link privado. No entanto, copiar dados de e para um Data Warehouse atualmente não é possível quando o link privado do Fabric está habilitado.
Modelo de ML, experimento e agente de dados
O agente de Modelo, Experimento e Dados de ML suporta ligação privada.
Power BI
Se o acesso à Internet estiver desabilitado e se o modelo semântico do Power BI, Datamart ou Dataflow Gen1 se conectar a um modelo semântico do Power BI ou Dataflow como uma fonte de dados, a conexão falhará.
Não há suporte para publicar na Web quando a definição do locatário Azure Private Link está habilitada no Fabric.
As subscrições de email não são suportadas quando a definição de locatário Bloquear acesso à Internet pública está ativada na malha.
Não é suportada a exportação de um relatório do Power BI como PDF ou PowerPoint quando a definição de inquilino Azure Private Link está habilitada na Malha.
Se sua organização estiver usando o Azure Private Link no Fabric, os relatórios de métricas de uso modernos conterão dados parciais (somente eventos Report Open). Uma limitação atual ao transferir informações do cliente por links privados impede que o Fabric capture visualizações de página de relatório e dados de desempenho em links privados. Se sua organização habilitou as configurações de locatário do Azure Private Link e Block Public Internet Access na Malha, a atualização do conjunto de dados falhará e o relatório de métricas de uso não mostrará nenhum dado.
Atualmente, o Copilot não é suportado para ambientes Private Link ou de rede fechada.
Eventstream
O Eventstream suporta Private Link, permitindo a ingestão segura de dados em tempo real de várias fontes sem expor o tráfego à Internet pública. Ele também suporta transformação de dados em tempo real, como filtragem e enriquecimento de fluxos de dados de entrada, antes de roteá-los para destinos dentro da malha.
Cenários sem suporte:
- Não há suporte para o ponto de extremidade personalizado como origem.
- Não há suporte para Custom Endpoint como destino.
- O Eventhouse como destino (com modo de ingestão direta) não é suportado.
- Não há suporte para o ativador como destino.
Casa de eventos
O Eventhouse suporta o Private Link, permitindo a ingestão segura de dados e consultas a partir da sua Rede Virtual do Azure através de uma ligação privada. Você pode ingerir dados de várias fontes, incluindo contas de Armazenamento do Azure, arquivos locais e Dataflow Gen2. A ingestão de streaming garante a disponibilidade imediata dos dados. Além disso, você pode utilizar consultas KQL ou Spark para acessar dados dentro de uma Eventhouse.
Limitações:
- Não há suporte para a ingestão de dados do OneLake.
- Não é possível criar um atalho para a Eventhouse.
- Não é possível ligar-se a um Eventhouse num pipeline.
- Não há suporte para a ingestão de dados através de ingestão em fila.
- Não há suporte para conectores de dados que utilizem ingestão em fila.
- Consultar uma casa de eventos usando T-SQL não é possível.
Soluções de dados de cuidados de saúde (pré-visualização)
Os clientes podem provisionar e utilizar soluções de dados de saúde no Microsoft Fabric por meio de um link privado. Em um locatário onde o link privado está habilitado, os clientes podem implantar recursos de solução de dados da Healthcare para executar cenários abrangentes de ingestão e transformação de dados para seus dados clínicos. Também está incluída a capacidade de ingerir dados de saúde de várias fontes, como contas de Armazenamento do Azure e muito mais.
Eventos Fabric
Os Eventos Fabric oferecem suporte à Ligação Privada sem afetar a entrega de eventos, porque os eventos têm origem no inquilino.
Eventos do Azure
Os Eventos do Azure dão suporte ao Link Privado com o seguinte comportamento quando a configuração de locatário Bloquear Acesso Público à Internet está habilitada:
- Novas configurações para consumir eventos do Azure (por exemplo, eventos de Armazenamento de Blob do Azure) serão impedidas de serem entregues.
- As configurações existentes que consomem eventos do Azure impedirão que novos eventos sejam entregues.
Proteção de Informações do Microsoft Purview
Atualmente, a Proteção de Informações do Microsoft Purview não oferece suporte ao Private Link. Isso significa que, no Power BI Desktop em execução em uma rede isolada, o botão Sensibilidade fica acinzentado, as informações do rótulo não aparecem e a descriptografia dos arquivos .pbix falha.
Para habilitar esses recursos na Área de Trabalho, os administradores podem configurar marcas de serviço para os serviços subjacentes que oferecem suporte à Proteção de Informações do Microsoft Purview, Proteção do Exchange Online (EOP) e Proteção de Informações do Azure (AIP). Certifique-se de entender as implicações do uso de tags de serviço em uma rede isolada de links privados.
Banco de dados espelhado
O link privado é suportado para espelhamento aberto, espelhamento Azure Cosmos DB, espelhamento Azure SQL Managed Instance e espelhamento SQL Server 2025. Para outros tipos de espelhamento de bases de dados, se a definição do inquilino de Bloquear acesso público à Internet estiver ativada, as bases de dados espelhadas ativas entrarão em estado de pausa e o espelhamento não poderá ser iniciado.
Para espelhamento aberto, quando a configuração Bloquear acesso público à Internet do locatário estiver habilitada, certifique-se de que o editor grava dados na zona de aterragem do OneLake através de um link privado.
Outras considerações e limitações
Existem várias considerações a ter em mente ao trabalhar com endpoints privados no Fabric:
O Fabric suporta até 450 capacidades em um locatário onde o Private Link está habilitado.
Quando a capacidade é recém-criada, ela não suporta link privado até que seu ponto de extremidade seja refletido na zona DNS privada, o que pode levar até 24 horas.
A migração de locatários é bloqueada quando o Private Link é ativado no portal de administração do Fabric.
Os clientes não podem se conectar aos recursos do Fabric em vários locatários do mesmo local de rede (depende de onde você configura os registros DNS), mas apenas o último locatário a configurar o Private Link.
O link privado não é compatível com a versão de teste. Ao acessar o Fabric por meio do tráfego do Private Link, a capacidade de avaliação não funciona.
Quaisquer usos de imagens ou temas externos não estão disponíveis quando se utiliza um ambiente de link privado.
Cada endereço de acesso privado pode estar conectado a apenas um inquilino. Não é possível configurar um link privado para ser usado por mais de um locatário.
Não há suporte para cenários entre locatários. Isso significa que não há suporte para a configuração de um ponto de extremidade privado em nível de locatário em um locatário do Azure para se conectar diretamente a um serviço de Link Privado em outro locatário.
Para utilizadores do Fabric: gateways de dados no local não são suportados e falham ao registar quando o Private Link está habilitado. Para executar o configurador de gateway com êxito, o Private Link deve ser desativado. Saiba mais sobre este cenário. Os gateways de dados de rede virtual funcionam. Para obter mais informações, consulte estas considerações.
Para usuários de gateway que não sejam do PowerBI (PowerApps ou LogicApps): O gateway de dados local não é suportado quando o Private Link está habilitado. Recomendamos explorar o uso do gateway de dados de rede virtual, que pode ser usado com links privados.
Os Links Privados não funcionam com o diagnóstico de download do VNet Data Gateway.
O aplicativo Microsoft Fabric Capacity Metrics não oferece suporte ao Private Link.
A guia OneLake Catalog - Govern não está disponível quando o Private Link é ativado.
As APIs REST do recurso de links privados não suportam tags.
Os seguintes URLs devem estar acessíveis a partir do navegador do cliente:
Necessário para autenticação.
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.com-
login.live.com, embora possa ser diferente com base no tipo de conta.
Necessário para as experiências de Engenharia de Dados e Ciência de Dados:
http://res.cdn.office.net/https://aznbcdn.notebooks.azure.net/-
https://pypi.org/*(por exemplo,https://pypi.org/pypi/azure-storage-blob/json) - endereços locais estáticos para pacotes conda
https://cdn.jsdelivr.net/npm/monaco-editor*