Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита исходящего доступа в Microsoft Fabric позволяет администраторам обезопасить исходящие подключения данных от элементов в своих рабочих областях к внешним ресурсам. С помощью этой функции администраторы могут блокировать все исходящие подключения, а затем разрешать только утвержденные подключения к внешним ресурсам через безопасные подключения. У вас есть детальный контроль над безопасностью данных вашей организации, так как вы можете ограничить подключение для определенных рабочих областей, позволяя другим пользователям поддерживать открытый доступ.
В этой статье представлен обзор защиты исходящего доступа к рабочей области и его параметров конфигурации.
Замечание
Помимо защиты исходящего доступа, Microsoft Fabric предоставляет входящую безопасность через поддержку частных каналов. Дополнительные сведения о настройке частных ссылок на уровне клиента и уровне рабочей области.
Как осуществляется управление исходящим доступом на уровне рабочей области?
Если для рабочей области включена защита исходящего доступа, все исходящие подключения из рабочей области блокируются по умолчанию. Администраторы рабочей области могут создавать исключения для разрешения определенных исходящих подключений. Существует два варианта предоставления исходящего доступа:
Управляемые частные конечные точки, которые являются сетевыми подключениями, которые позволяют безопасно связывать элементы рабочей области с поддерживаемыми внешними источниками данных через частные виртуальные сети. Вы также можете подключиться к другим рабочим областям в одном клиенте с помощью управляемых частных конечных точек в сочетании с службой Приватный канал. Управляемые частные конечные точки поддерживаются для рабочих нагрузок в области обработки данных и OneLake.
Правила подключения к данным, которые позволяют элементам рабочей области получать доступ к внешним службам через определенные облачные подключения или подключения шлюза. Администраторы управляют исходящим подключением, явно разрешая или блокируя соединители. Правила подключения к данным поддерживаются для рабочих нагрузок фабрики данных и зеркальных баз данных.
В следующих разделах более подробно описаны эти параметры.
Использование управляемых частных конечных точек для разрешения исходящего доступа
Для рабочих нагрузок Data Engineering и OneLake администраторы могут использовать управляемые частные конечные точки для создания списка разрешенных внешних ресурсов, к которым можно получить доступ из рабочей области. По умолчанию все исходящие подключения блокируются при включенной защите исходящего доступа. Затем администраторы могут настроить управляемые частные конечные точки, чтобы явным образом разрешить подключения к ресурсам за пределами рабочей области.
На этой схеме:
Рабочая область A и Рабочая область B имеют включенную защиту исходящего доступа. Они могут подключаться ко всем ресурсам, поддерживающим частные конечные точки через управляемую частную конечную точку из рабочей области в место назначения. Например, рабочая область A может подключиться к СЕРВЕРУ SQL, так как у нее есть управляемая частная конечная точка, настроенная на СЕРВЕР SQL Server.
Рабочая область с включенной защитой исходящего доступа может подключаться к другой рабочей области в том же клиенте. В этом сценарии управляемая частная конечная точка настраивается в исходной рабочей области, указывающей на целевую рабочую область, и служба Приватный канал включена в целевой рабочей области. На схеме Рабочая область B подключается к Рабочей области C с помощью этой настройки, позволяя элементам в рабочей области B (например, ярлыкам) получить доступ к данным в Workspace C (например, lakehouses).
Несколько рабочих областей могут подключаться к одному источнику, настроив управляемые частные конечные точки. Например, как рабочая область A, так и рабочая область B могут подключаться к СЕРВЕРУ SQL Server, так как для каждого из них настроены управляемые частные конечные точки.
Использование правил подключения к данным для разрешения исходящего доступа
Для рабочих нагрузок фабрики данных администраторы могут использовать правила подключения к данным для создания списка разрешенных соединителей, которые можно использовать в рабочей области. Если включена защита исходящего доступа, все соединители блокируются по умолчанию. Затем администраторы могут явно разрешить определенные соединители, создавая список разрешенных подключений, которые элементы рабочей области могут использовать для доступа к внешним службам.
На схеме в рабочей области A включена защита исходящего доступа. Правила подключения к данным также настраиваются в рабочей области A, которая разрешает определенные облачные подключения или подключения шлюза. Поток данных в рабочей области A может получить доступ к хранилищу SQL Server и ADLS 2-го поколения с помощью этих разрешенных соединителей, а все остальные исходящие подключения остаются заблокированными.
Поддерживаемые типы элементов
В следующей таблице приведены поддерживаемые рабочие нагрузки и типы элементов, которые можно защитить с помощью защиты исходящего доступа к рабочей области.
| Загруженность | Механизм исключения (список разрешений) | Поддерживаемые элементы | Дополнительные сведения |
|---|---|---|---|
| Инженерия данных | Управляемые частные конечные точки |
|
Защита исходящего доступа рабочей области для рабочих нагрузок проектирования данных |
| Data Factory | Правила подключения к данным |
|
Защита исходящего доступа из рабочей области для Data Factory |
| Обработка и анализ данных | Неприменимо |
|
Защита исходящего доступа среды обработки данных для науки о данных |
| Хранилище данных | Неприменимо |
|
Защита исходящего доступа для рабочих нагрузок в среде хранилища данных |
| Аналитика в режиме реального времени | Правила подключения к данным |
|
Защита исходящего доступа рабочей области для аналитики Real-Time |
| Зеркальные базы данных | Правила подключения к данным | Microsoft Fabric зеркальные базы данных от:
|
Защита исходящего доступа рабочей среды для отраженных баз данных |
| OneLake | Управляемые частные конечные точки |
|
Защита исходящего доступа рабочей области для OneLake |
Соображения и ограничения
В этом разделе описываются важные рекомендации и ограничения при использовании защиты исходящего доступа к рабочей области.
Регионы
- Защита исходящего доступа доступна только в регионах, где поддерживаются нагрузки инженерии данных Fabric. Для получения дополнительной информации см. раздел Overview of managed private endpoints for Microsoft Fabric.
Лицензирование и емкость
Защита исходящего доступа поддерживается только для рабочих областей, размещенных на SKU платформы Fabric. Другие типы емкости и пробные версии SKU F не поддерживаются.
Убедитесь, что вы повторно зарегистрировали функцию
Microsoft.Networkна вашей подписке в портале Azure.
Рабочие области с неподдерживаемыми артефактами
Если рабочая область содержит неподдерживаемые артефакты, администраторы рабочих областей не могут включить защиту исходящего доступа, пока эти артефакты не будут удалены.
Если в рабочей области включена защита исходящего доступа, администраторы рабочих областей не могут добавлять неподдерживаемые артефакты. Сначала необходимо отключить защиту исходящего доступа, а затем администраторы рабочей области могут добавлять неподдерживаемые артефакты.
Общие ограничения
Защита исходящего доступа к рабочей области не поддерживается для существующих рабочих областей, которые уже содержат семантическую модель в Lakehouse.
В рабочих областях с включенной защитой исходящего доступа запросы к файлам хранилища данных из записных книжек, использующих схему
dbo, не поддерживаются, так как доступ к путям на основе схемы не поддерживается. Чтобы запросить хранилище из записных книжек, используйте вместо этого параметр T-SQL.В данный момент защита исходящего доступа рабочей области не совместима с OneLake Diagnostics. Если вы хотите, чтобы диагностика OneLake и защита исходящего доступа работали вместе, необходимо выбрать lakehouse в той же рабочей области.
Защита исходящего доступа к рабочей области в настоящее время несовместима с Fabric доступом к внешним данным. Списки разрешений между клиентами не поддерживаются с защитой исходящего доступа рабочей области.
Правила подключения к данным
ограничение портала Fabric с частными ссылками
В настоящее время пользовательский интерфейс портала Fabric не поддерживает настройку правил подключения к данным, если частные ссылки включены на уровне рабочей области или клиента. Чтобы настроить защиту исходящего доступа с правилами подключения к данным при включении частных ссылок, используйте REST API правил исходящего шлюза (подробнее).
Ограничения на доступность региона
Правила подключения к данным пока недоступны в следующем регионе:
- Qatar Central
Внутренние типы подключений (Fabric) с степенью детализации на уровне рабочей области
Администраторы рабочей области могут указать, какие рабочие области разрешены в качестве назначений для определенных типов элементов. Например, в типе подключения Lakehouse администраторы могут добавлять рабочие области в список разрешённых, что позволяет получить доступ к Lakehouses в этих областях. Типы подключений Fabric, поддерживающие гранулярность на уровне рабочей области:
- Поток данных
- база данных SQL Fabric
- Lakehouse
- Склад
- Notebook
- Определение задания Spark
Другие типы подключений Fabric, такие как Datamarts, база данных KQL, конвейеры данных Fabric и CopyJob, не поддерживают степень детализации на уровне рабочей области. Для этих типов подключений администраторы не могут указывать отдельные рабочие области в списке разрешений.
Внешние типы подключений с степенью детализации конечной точки
Некоторые типы внешних подключений, такие как SQL Server, Azure Data Lake 2-го поколения, Azure Databricks и Web, поддерживают степень детализации на уровне конечной точки. Администраторы рабочей области могут указывать утвержденные конечные точки в качестве исключений, разрешая исходящие подключения только к этим конечным точкам.
Сводка по детализации соединителя
В следующей таблице приводится сводка уровня детализации, поддерживаемого различными типами соединителей для защиты исходящего доступа.
- Конечная точка означает, что вы можете разрешить доступ к определенным внешним конечным точкам.
- Рабочая область означает, что вы можете разрешить доступ к определенным рабочим областям.
| Тип соединителя | Степень детализации |
|---|---|
| Интернет | Endpoint |
| SharePoint | Endpoint |
| AnalysisServices | Endpoint |
| SQL Server | Endpoint |
| OData | Endpoint |
| AzureDataLakeStorage | Endpoint |
| Объекты хранения Azure Blobs | Endpoint |
| Dataflows | Workspace |
| Snowflake | Endpoint |
| PostgreSQL | Endpoint |
| Databricks | Endpoint |
| HttpServer | Endpoint |
| RestService | Endpoint |
| Amazon S3 | Endpoint |
| Веб-версия 2 | Endpoint |
| Мой SQL | Endpoint |
| Dataverse CommonDataService | Endpoint |
| Lakehouse | Workspace |
| Склад | Workspace |
| база данных SQL Fabric | Workspace |
| Notebook | Workspace |
| Определение задания Spark | Workspace |
API администратора арендатора для сетевых политик рабочего пространства
Администраторы Fabric могут отслеживать и проверять политики сетевого общения, настроенные в рабочих областях в их клиенте, с использованием административного API Workspaces — List Networking Communication Policies. Этот API предоставляет представление о том, какие рабочие области имеют включенную или исходящую защиту доступа и какие политики настроены. Вызывающий объект должен быть администратором Fabric или пройти аутентификацию с помощью сервисного принципала, а для API требуется разрешение Tenant.Read.All или Tenant.ReadWrite.All. Подробную документацию по API, включая формат запроса, схему ответа и примеры, см. в разделе "Рабочие области" — список политик сетевой связи.
Ключевые возможности
API позволяет администраторам:
- Просмотр всех защищенных рабочих областей: получение списка всех рабочих областей с включенной защитой для входящего или исходящего доступа в клиенте.
- Аудит конфигураций безопасности. Просмотрите определенные политики входящего и исходящего трафика, настроенные для каждой рабочей области, включая действия по умолчанию и правила исключений.
- Мониторинг соответствия. Убедитесь, что политики сети рабочей области соответствуют требованиям безопасности организации и стандартам управления.
- Поддержка операций безопасности: включение автоматизированных аудита безопасности, проверок соответствия требованиям и рабочих процессов отчетности.
Возвращенные сведения
Для каждой рабочей области с включенной защитой доступа API возвращает следующее:
- Идентификатор рабочей области: уникальный идентификатор рабочей области
- Политики входящего трафика: правила общедоступного доступа (разрешить или запретить)
-
Политики исходящего трафика:
- Правила общедоступного доступа (разрешить или запретить)
- Правила соединения с разрешенными конечными точками или рабочими пространствами
- Правила шлюза с разрешенными шлюзами
- Правила доступа Git