Liaisons privées pour un accès sécurisé à Fabric

Vous pouvez utiliser des liaisons privées pour fournir un accès sécurisé au trafic de données dans Fabric. Les points de terminaison privés Azure Private Link et Azure Networking sont utilisés pour envoyer le trafic de données en mode privé en utilisant l’infrastructure du réseau principal de Microsoft au lieu de passer par Internet.

Lorsque des connexions de liaison privée sont utilisées, elles passent par le segment principal du réseau privé Microsoft lorsque les utilisateurs de Fabric accèdent à des ressources dans Fabric.

Pour en savoir plus sur Azure Private Link, consultez Qu’est-ce qu’Azure Private Link.

L’activation des points de terminaison privés a un impact sur de nombreux éléments. Veillez donc à lire cet article en entier avant d’activer les points de terminaison privés.

Qu'est-ce qu'un point de terminaison privé ?

Les points de terminaison privés garantissent que le trafic à destination des éléments Fabric de votre organisation (comme le chargement d’un fichier dans OneLake) suit toujours le chemin réseau de la liaison privée configurée de votre organisation. Vous pouvez configurer Fabric pour que le service refuse toutes les demandes qui ne viennent pas du chemin réseau configuré.

Les points de terminaison privés ne garantissent pas que le trafic provenant de Fabric en direction de vos sources de données externes, dans le cloud ou locales, est sécurisé. Configurez des règles de pare-feu et des réseaux virtuels pour sécuriser davantage vos sources de données.

Un point de terminaison privé est une technologie directionnelle qui permet aux clients d’établir des connexions à un service donné, mais qui ne permet pas au service d’établir une connexion au réseau des clients. Ce modèle d’intégration de point de terminaison privé assure l’isolement de la gestion, puisque le service peut fonctionner indépendamment de la configuration de la stratégie réseau du client. Pour les services multilocataires, ce modèle de point de terminaison privé fournit des identificateurs de liaison pour empêcher l’accès à d’autres ressources des clients hébergées au sein du même service.

Le service Fabric met en œuvre des points de terminaison privés, et non des points de terminaison de service.

L’utilisation de points de terminaison privés avec Fabric offre les avantages suivants :

  • Limitez le trafic provenant d’Internet en direction de Fabric et acheminez-le via le réseau principal Microsoft.
  • Vérifiez que seules les machines clientes autorisées peuvent accéder à Fabric.
  • Respectez les exigences réglementaires et de conformité qui imposent un accès privé à vos services de données et d’analyse.

Comprendre la configuration des points de terminaison privés

Deux paramètres de locataire dans le portail d’administration Fabric sont impliqués dans la configuration de liaisons privées : Liaisons privées Azure et Bloquer l’accès public à Internet.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est activée :

  • Les éléments Fabric pris en charge sont accessibles uniquement pour votre organisation à partir de points de terminaison privés. Ils ne sont pas accessibles depuis l’Internet public.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le service et ne fonctionneront pas.
  • Certains scénarios peuvent ne pas prendre en charge les liaisons privées et seront donc bloqués au niveau du service si le paramètre Bloquer l’accès public à Internet est activé.

Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est désactivée :

  • Le trafic provenant de l’Internet public sera autorisé par les services Fabric.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
  • Le trafic provenant des points de terminaison de ciblage du réseau virtuel et les scénarios qui ne prennent pas en charge les liaisons privées sont transportés via l’Internet public et seront autorisés par les services Fabric.
  • Si le réseau virtuel est configuré pour bloquer l’accès à l’Internet public, les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le réseau virtuel et ne fonctionneront pas.

OneLake

OneLake prend en charge Private Link. Vous pouvez explorer OneLake dans le portail Fabric ou depuis n’importe quel ordinateur au sein de votre réseau virtuel établi à l’aide de l’explorateur de fichiers OneLake, de l’Explorateur Stockage Azure, de PowerShell, etc.

Les appels directs utilisant des points de terminaison régionaux OneLake ne fonctionnent pas via une liaison privée vers Fabric. Pour plus d’informations sur la connexion à OneLake et aux points de terminaison régionaux, consultez Comment me connecter à OneLake ?.

Point de terminaison d’analytique SQL d’entrepôt et de Lakehouse

L'accès à un entrepôt ou au point de terminaison d'analytique SQL d'un Lakehouse dans le portail Fabric est protégé par Private Link. Les clients peuvent également utiliser des points de terminaison TDS (Tabular Data Stream) (par exemple, SQL Server Management Studio, Azure Data Studio) pour se connecter à un entrepôt via une liaison privée.

La requête visuelle dans un entrepôt ne fonctionne pas si le paramètre Bloquer l’accès public à Internet est activé.

Lakehouse, Notebook, Définition de tâche Spark, Environnement

Une fois que vous avez activé le paramètre de locataire Azure Private Link, un réseau virtuel managé sera créé pour l’espace de travail lors de l’exécution de la première tâche Spark (notebook ou définition de tâche Spark) ou de la réalisation d’une opération Lakehouse (Charger dans une table ou une opération de maintenance de table telle qu’Optimiser ou Nettoyer).

Une fois le réseau virtuel managé approvisionné, les pools de démarrage (option de calcul par défaut) pour Spark sont désactivés, car il s’agit de clusters préchauffés hébergés dans un réseau virtuel partagé. Les tâches Spark s’exécutent sur des pools personnalisés créés à la demande au moment de la soumission de tâches au sein du réseau virtuel managé dédié de l’espace de travail. La migration de l’espace de travail entre les capacités dans différentes régions n’est pas prise en charge si un réseau virtuel managé est attribué à votre espace de travail.

Si le paramètre de liaison privée est activé, les tâches Spark ne fonctionnent pas pour les locataires dont la région d’origine ne prend pas en charge Ingénieurs de données Fabric, même s’ils utilisent des capacités Fabric à partir d’autres régions qui prennent en charge cette expérience.

Pour plus d’informations, consultez VNet managé pour Fabric.

Dataflow Gen2

Vous pouvez utiliser Dataflow Gen2 pour obtenir des données, transformer des données et publier un flux de données via une liaison privée. Si votre source de données se trouve derrière le pare-feu, vous pouvez utiliser la passerelle de données VNet pour vous connecter à vos sources de données. La passerelle de données VNet permet l’injection de la passerelle (calcul) dans votre réseau virtuel existant, ce qui offre une expérience de passerelle managée. Vous pouvez utiliser des connexions de passerelle VNet pour vous connecter à un Lakehouse ou un entrepôt dans le locataire qui nécessite une liaison privée ou vous connecter à d’autres sources de données avec votre réseau virtuel.

Pipeline

Si vous vous connectez au pipeline par le biais d’une liaison privée, vous pouvez utiliser le pipeline de données pour charger des données à partir de n’importe quelle source de données avec des points de terminaison publics dans un lakehouse Microsoft Fabric avec liaison privée. Les clients peuvent également créer et opérationnaliser des pipelines de données avec des activités, notamment des activités de notebook et de flux de données, à l’aide de la liaison privée. Toutefois, la copie de données depuis et vers un entrepôt de données n’est actuellement pas possible si la liaison privée de Fabric est activée.

Modèle de ML, expérience et compétence en matière d’IA

Les modèles de ML, les essais et les compétences en matière d’IA prennent en charge les liaisons privées.

Power BI

  • Si l’accès à Internet est désactivé et si le modèle sémantique Power BI, Datamart ou Dataflow Gen1 se connecte à un modèle sémantique Power BI ou Dataflow en tant que source de données, la connexion échouera.

  • Le mode Direct Lake n’est actuellement pas pris en charge par Private Link.

  • La fonctionnalité Publier sur le web n’est pas prise en charge si le paramètre de locataire Azure Private Link est activé dans Fabric.

  • Les abonnements par e-mail ne sont pas pris en charge si le paramètre de locataire Bloquer l’accès public à Internet est activé dans Fabric.

  • L’exportation d’un rapport Power BI au format PDF ou PowerPoint n’est pas prise en charge si le paramètre Azure Private Link est activé dans Fabric.

  • Si votre organisation utilise Azure Private Link dans Fabric, les rapports de métriques d’utilisation modernes contiendront des données partielles (uniquement les événements d’ouverture de rapport). Une limitation actuelle lors du transfert d’informations client par le biais de liaisons privées empêche Fabric de capturer les vues de pages de rapport et les données de performances par le biais de liaisons privées. Si votre organisation a activé les paramètres de locataire Azure Private Link et Bloquer l’accès à l’Internet public dans Fabric, l’actualisation du jeu de données échoue et le rapport des métriques d’utilisation ne montre aucune donnée.

Eventhouse

L’Eventhouse prend en charge la liaison privée, ce qui permet l’ingestion et l’interrogation des données sécurisées à partir de votre réseau virtuel Azure via une liaison privée. Vous pouvez ingérer des données à partir de différentes sources, notamment les comptes de stockage Azure, les fichiers locaux et Dataflow Gen2. L’ingestion de diffusion en continu garantit la disponibilité immédiate des données. En outre, vous pouvez utiliser des requêtes KQL ou Spark pour accéder aux données dans un Eventhouse.

Limites :

  • L’ingestion de données à partir de OneLake n’est pas prise en charge.
  • La création d’un raccourci vers un Eventhouse n’est pas possible.
  • La connexion à un Eventhouse dans un pipeline de données n’est pas possible.
  • L’ingestion de données à l’aide de l’ingestion mise en file d’attente n’est pas prise en charge.
  • Les connecteurs de données qui s’appuient sur l’ingestion mise en file d’attente ne sont pas pris en charge.
  • L’interrogation d’un Eventhouse à l’aide de T-SQL n’est pas possible.

Solutions de données de santé (préversion)

Les clients peuvent approvisionner et utiliser des solutions de données de santé dans Microsoft Fabric via une liaison privée. Dans un locataire disposant d'une liaison privée, les clients peuvent déployer les fonctionnalités de la solution de données de santé afin d'exécuter des scénarios complets d'ingestion et de transformation de données pour leurs données cliniques. Cela inclut la possibilité d'ingérer des grilles de données de santé provenant de différentes sources, telles que les compte de stockage Azure, et plus encore.

Autres éléments Fabric

D'autres éléments Fabric, tels qu’Eventstream, ne prennent pas actuellement en charge la liaison privée et sont automatiquement désactivés lorsque vous activez le paramètre Bloquer l’accès public à Internet du client afin de protéger l’état de conformité.

Protection des informations Microsoft Purview

Protection des données Microsoft Purview ne prend pas en charge Private Link. Cela signifie que dans Power BI Desktop s’exécutant dans un réseau isolé, le bouton Sensibilité est grisé, les informations d’étiquette ne s’affichent pas et le déchiffrement des fichiers .pbix échoue.

Pour activer ces fonctionnalités dans Desktop, les administrateurs peuvent configurer des étiquettes de service pour les services sous-jacents qui prennent en charge Protection des données Microsoft Purview, Exchange Online Protection (EOP) et Azure Information Protection (AIP). Vous devez bien comprendre ce qu’implique l’utilisation d’étiquettes de service dans un réseau isolé de liaisons privées.

Autres considérations et limitations

Tenez compte des points suivants lorsque vous utilisez des points de terminaison privés dans Fabric :

  • Fabric prend en charge jusqu’à 450 capacités dans un client où Private Link est activé.

  • Lorsque de la capacité vient d’être créée, elle ne prend pas en charge la liaison privée tant que son point de terminaison n’est pas reflété dans la zone DNS privée. L’opération peut prendre jusqu’à 24 heures.

  • La migration du locataire est bloquée si Private Link est activé dans le portail d’administration Fabric.

  • Les clients ne peuvent pas se connecter aux ressources Fabric dans plusieurs locataires à partir d’un seul VNet, mais seulement au dernier locataire à avoir configuré Private Link.

  • La liaison privée privé n’est pas prise en charge dans le cadre de la capacité d’évaluation gratuite. Lors de l’accès à Fabric via le trafic de liaison privée, la capacité d’évaluation ne fonctionne pas.

  • Vous ne pouvez pas utiliser d’images ou de thèmes externes dans un environnement de liaison privée.

  • Chaque point de terminaison privé peut être connecté à un seul locataire. Vous ne pouvez pas configurer une liaison privée destinée à être utilisée par plusieurs locataires.

  • Pour les utilisateurs Fabric : les passerelles de données locales ne sont pas prises en charge et leur enregistrement échoue lorsque Private Link est activé. Pour que le configurateur de passerelle puisse s’exécuter correctement, Private Link doit être désactivé. En savoir plus sur ce scénario Les passerelles de données VNet fonctionneront. Pour plus d’informations, voir ces observations.

  • Pour les utilisateurs de passerelle autre que Power BI (PowerApps ou LogicApps) : la passerelle de données locale n’est pas prise en charge si Private Link est activé. Nous vous recommandons d’explorer l’utilisation de la passerelle de données VNET, qui peut être utilisée avec des liaisons privées.

  • Les liaisons privées ne fonctionnent pas avec les diagnostics de téléchargement de passerelle de données de réseau virtuel.

  • Les API REST de ressources de liaisons privées ne prennent pas en charge les étiquettes.

  • Les URL suivantes doivent être accessibles depuis le navigateur client :

    • Requis pour l’authentification :

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, bien que cela puisse être différent en fonction du type de compte.
    • Requises pour les expériences Ingénieurs de données et Science des données :

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (par exemple, https://pypi.org/pypi/azure-storage-blob/json)
      • points de terminaison statiques locaux pour condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*