Защита исходящего доступа рабочей области для семантических моделей (предварительная версия)

Семантические модели могут извлекать данные из источников внутри организации и за ее пределами — облачные базы данных, локальные системы через шлюзы, другие рабочие области Fabric и внешние службы. Составные модели добавляют другое измерение: значения фильтров из одного источника могут передаваться в другой во время операций DirectQuery, потенциально предоставляя конфиденциальные данные в журналах запросов, которые не контролируются.

Защита исходящего доступа рабочей области устраняет этот риск. При включении каждое исходящее подключение из рабочей области блокируется по умолчанию. Семантические модели могут обновлять или запрашивать данные только из тех источников данных, которые вы явно разрешили с помощью правил подключения к данным.

Как работает принудительное применение

Защита исходящего доступа оценивает привязанные подключения к данным семантической модели перед перемещением данных. Эта точка принудительного применения располагается ниже уровня преобразований Power Query, выражений M и параметров набора данных, поэтому обойти политику посредством логики запроса невозможно.

Одно и то же применение применяется ко всем режимам хранения:

• Модели импорта: подключения оцениваются во время запланированного и по запросу обновления. Если любой источник данных отсутствует в списке разрешений, весь процесс обновления завершается ошибкой.
• Модели DirectQuery: каждый запрос вычисляется во время выполнения. Запросы к заблокированным источникам возвращают ошибку, так как источник данных недоступен.
• Direct Lake в моделях конечной точки аналитики SQL (DL/SQL), : вычисляется подключение SQL Server к конечной точке аналитики SQL. Если конечная точка аналитики SQL рабочей области не разрешена, модель не может получить доступ к таблицам Delta в озерах или хранилищах в этой рабочей области.
• Модели Direct Lake on OneLake (DL/OL): оценивается подключение ADLS Gen2 к OneLake. Если URL-адрес OneLake рабочей области не разрешён, модель не сможет получить доступ к таблицам Delta этой рабочей области.

Изменения политики распространяются около 15 минут. Пока распространение не завершится, существующие подключения могут продолжать работать.

Для подключений внутри рабочей области требуются явные исключения

Защита исходящего доступа рассматривает все подключения как потенциально межрабочие, включая подключения к «lakehouse» и хранилищам в той же рабочей области, что и ваша семантическая модель. Это сделано намеренно — подключения SQL Server и подключения ADLS Gen2 не являются «осведомлёнными о рабочих областях Fabric».

Чтобы разрешить семантической модели подключаться к озеру данных или хранилищу данных в своей рабочей области:

1. Для режимов Import, DirectQuery и DL/SQL: Добавьте правило подключения к SQL Server с полным доменным именем (FQDN) конечной точки аналитики SQL. Найдите полное доменное имя в параметрах lakehouse или хранилища в разделе SQL analytics endpoint>Строка подключения SQL.

2. Для Direct Lake в режиме OneLake: Добавьте правило подключения Azure Data Lake Storage 2-го поколения с URL-адресом OneLake рабочей области. Чтобы найти этот URL-адрес, откройте свойства любой таблицы Delta, скопируйте URL-адрес и удалите всё, что идет после GUID рабочей области. Сведения о формате URL-адреса см. в разделе Connecting to Microsoft OneLake.

Настройка защиты исходящего доступа для семантических моделей

1. Подтвердите выполнение предварительных условий:

   • Рабочая область назначена емкости Fabric (F SKU).
   • Параметр клиента Настройка правил исходящей сети на уровне рабочей области включена.
   • Рабочая область содержит только элементы, поддерживающие защиту исходящего доступа. Сначала удалите все отчеты, панели мониторинга или другие неподдерживаемые элементы.

2. Включите защиту исходящего доступа для рабочей области, выполнив действия, описанные в разделе "Включение защиты исходящего доступа рабочей области".

3. Добавьте правила подключения к данным для каждого источника данных, необходимые для достижения семантических моделей:

   • Сведения об облачных источниках см. в разделе "Создание списка разрешений" с помощью правил подключения к данным.
   • Для локальных источников разрешите соответствующую виртуальную сеть или локальный шлюз данных.

4. Если семантические модели подключаются к озерам или хранилищам в той же рабочей области, добавьте исключения SQL Server и ADLS 2-го поколения, описанные в предыдущем разделе.

5. Подождите около 15 минут, пока политика будет распространяться.

6. Проверьте это, обновив модель Import или Direct Lake либо выполнив запрос к модели DirectQuery. Подключение к разрешённым назначениям выполняется успешно. Заблокированные подключения возвращают ошибку, указывающую, что политики защиты от исходящего доступа блокировали подключение. Дополнительные сведения см. в журнале обновлений.

Развертывание семантических моделей для защищенных рабочих областей

Так как Power BI отчеты не поддерживают защиту исходящего доступа, вы не можете публиковать PBIX-файлы непосредственно в защищенной рабочей области. Используйте одну из следующих альтернатив для развертывания семантической модели без отчета:

• Веб-моделирование: создайте или измените модель непосредственно на портале Fabric.
• Интеграция Git. Синхронизация определения модели из репозитория Git.
• Конвейеры развертывания Fabric: Продвигайте модель по этапам развертывания.
• Конечная точка XMLA: Используйте XMLA для чтения и записи с такими инструментами, как Tabular Editor, ALM Toolkit или SQL Server Management Studio.
• REST API: используйте конечную точку Создать элемент с определением.
• Semantic link: Развертывание из ноутбука Fabric с помощью библиотеки sempy.

Рекомендации и ограничения

• Reports и панели мониторинга не поддерживаются. Вы не можете включить защиту от исходящего доступа в рабочей области, содержащей Power BI отчеты или панели мониторинга. Сначала удалите их или разместите их в отдельной рабочей области, которая подключается к семантической модели удаленно.
• Публикация файлов PBIX заблокирована: не удается опубликовать файлы .pbix, так как встроенный отчет не поддерживается. Используйте варианты развертывания, перечисленные выше.
• Подключения в той же рабочей области требуют настроить исключения: источники данных в той же рабочей области, включая озёра-хранилища, хранилища данных и базы данных SQL, требуют явной настройки правил подключения для SQL Server и ADLS Gen2. Некоторые соединители, такие как соединитель для баз данных KQL в Eventhouse, пока не поддерживают исключения на уровне рабочей области или на уровне отдельных конечных точек. Чтобы использовать эти источники из семантической модели, необходимо разрешить весь тип соединителя.
• Требуется F SKU: для защиты исходящего доступа требуется ресурс Fabric. Рабочие области Power BI Premium (SKU P), Embedded (SKU EM) и Pro не поддерживаются.
• Задержка распространения: изменения политики вступают в силу около 15 минут.

Общие ограничения защиты исходящего доступа, которые применяются ко всем рабочим нагрузкам, см. в обзоре защиты исходящего доступа рабочей области.

Связанный контент

• Обзор защиты исходящего доступа рабочей области
• Включение защиты исходящего доступа к рабочей области
• Создание списка разрешений с помощью правил подключения к данным
• Подключение к Microsoft OneLake