Compartilhar via

Links privados para locatários Fabric

Você pode usar links privados para fornecer acesso seguro para o tráfego de dados em Fabric. Link Privado do Azure e Pontos de Extremidade Privados do Azure Networking são usados para enviar tráfego de dados de forma privada usando a infraestrutura de rede de backbone da Microsoft em vez de atravessar a Internet. Quando conexões de link privado são usadas, essas conexões passam pelo backbone da rede privada Microsoft quando usuários do Fabric acessam recursos do Fabric. Link Privado protege o acesso de entrada dentro dos limites de um único locatário e não habilita a conectividade entre locatários. Para o compartilhamento de dados controlado entre locatários, use o compartilhamento de dados do OneLake.

Fabric dá suporte a links privados no nível do locatário e no nível da área de trabalho.

  • Links privados no nível do locatário providenciam uma política de rede para todo o locatário. Este artigo se concentra em links privados no nível do locatário.

  • Os links privados no nível do Workspace fornecem controle granular, tornando possível restringir o acesso a determinados workspaces, enquanto permitem que os outros workspaces permaneçam abertos para acesso público. Para saber mais, consulte os links privados para workspaces do Fabric.

A habilitação de pontos de extremidade privados afeta muitos itens; portanto, é aconselhável examinar este artigo inteiro antes de habilitar pontos de extremidade privados para seu tenant.

O que é um ponto de extremidade privado?

O ponto de extremidade privado garante que o tráfego nos itens de Fabric da sua organização (como carregar um arquivo para o OneLake, por exemplo) sempre siga o caminho de link privado configurado na rede da sua organização. Você pode configurar Fabric para negar todas as solicitações que não vêm do caminho de rede configurado.

Os pontos de extremidade privados não garantem que o tráfego do Fabric para suas fontes de dados externas, tanto na nuvem quanto locais, esteja seguro. Configure regras de firewall e redes virtuais para proteger ainda mais suas fontes de dados.

Um ponto de extremidade privado é uma tecnologia única e direcional que permite que os clientes iniciem conexões com um determinado serviço, mas não permite que o serviço inicie uma conexão na rede do cliente. Esse padrão de integração de ponto de extremidade privado fornece isolamento de gerenciamento, pois o serviço pode operar independentemente da configuração de política de rede do cliente. Para serviços multilocatários, este modelo de ponto de extremidade privado fornece identificadores de link para impedir acesso aos recursos de outros clientes hospedados no mesmo serviço.

O serviço Fabric implementa pontos de extremidade privados e não pontos de extremidade de serviço.

O uso de endpoints privados com o Fabric oferece os seguintes benefícios:

  • Restrinja o tráfego da Internet para o Fabric e roteie-o pela rede de backbone da Microsoft.
  • Verifique se somente computadores cliente autorizados podem acessar Fabric.
  • Esteja em conformidade com os requisitos de regulamentação e conformidade que exigem acessos privados aos seus dados e serviços de análises.

Entender a configuração do ponto de extremidade privado

Há duas configurações de locatário no portal de administração do Fabric envolvidas na configuração de Link Privado: Links Privados do Azure e Bloqueio de Acesso à Internet Pública.

Se Link Privado do Azure estiver configurado corretamente e Bloquear o acesso público à Internet estiver ativado:

  • Os itens de Fabric com suporte só são acessíveis para sua organização a partir de pontos de extremidade privados e não podem ser acessados pela Internet pública.
  • O tráfego da rede virtual destinado a pontos de extremidade e cenários que dão suporte a links privados é transportado por meio do link privado.
  • O tráfego da rede virtual direcionado para endpoints e cenários que não oferecem suporte a links privados é bloqueado pelo serviço.
  • Pode haver cenários que não dão suporte a links privados, que são bloqueados no serviço quando Block Public Internet Access está habilitado.

Se Link Privado do Azure estiver configurado corretamente e Bloquear o acesso público à Internet estiver desabilitado:

  • O tráfego da Internet pública é permitido pelos serviços do Fabric.
  • O tráfego da rede virtual destinado a pontos de extremidade e cenários que dão suporte a links privados é transportado por meio do link privado.
  • O tráfego da rede virtual direcionado a pontos de extremidade e cenários que não suportam links privados é encaminhado através da Internet pública e é permitido pelos serviços do Fabric.
  • Se a rede virtual estiver configurada para bloquear o acesso público à Internet, cenários que não suportam links privados serão bloqueados pela rede virtual.

OneLake

O OneLake dá suporte a Link Privado. Você pode explorar o OneLake no portal do Fabric ou em qualquer máquina em sua rede virtual estabelecida usando o Gerenciador de Arquivos do OneLake, Gerenciador de Armazenamento do Azure, PowerShell e muito mais.

Chamadas diretas usando pontos de extremidade regionais do OneLake não funcionam por meio de link privado para Fabric. Para obter mais informações sobre como se conectar ao OneLake e pontos de extremidade regionais, consulte Como conectar-se ao OneLake?.

Atalhos

Há suporte para atalhos do OneLake em Link Privado quando a origem do atalho e o destino estão dentro do mesmo locatário. Quando você acessa dados por meio de um atalho sobre uma conexão de link privado, o tráfego entre o OneLake e a conta de armazenamento referenciada percorre o backbone da rede privada Microsoft. Os atalhos que fazem referência ao armazenamento em nuvem externo (como Azure Data Lake Storage ou Amazon S3) exigem que a conta de armazenamento externo também permita acesso ao ponto de extremidade privado ou seja acessível de outra forma da rede privada.

Não há suporte para atalhos entre locatários (atalhos que fazem referência aos dados compartilhados de outro locatário Fabric) em Link Privado. Para acesso a dados entre locatários, use o compartilhamento de dados do OneLake sem Link Privado.

Ponto de extremidade de análise de SQL do Warehouse e do Lakehouse

Acessar o Warehouse ou o ponto de extremidade de análise SQL de um Lakehouse no portal Fabric, está protegido por um link privado. Os clientes também podem usar pontos de extremidade TDS (Fluxo de Dados Tabulares), como o SQL Server Management Studio (SSMS) ou a extensão MSSQL para Visual Studio Code, para se conectar ao Armazém por meio de link privado.

A consulta visual no Warehouse não funciona quando a configuração de locatário Block Public Internet Access está habilitada.

banco de dados SQL

Acessar um banco de dados SQL ou o endpoint de análises SQL no portal do Fabric é protegido por um link privado. Os clientes também podem usar pontos de extremidade do TDS (Fluxo de Dados Tabulares) (por exemplo, SQL Server Management Studio ou Visual Studio Code) para conectar ao banco de dados SQL por meio de link privado. Para obter mais informações sobre como se conectar a um banco de dados SQL, consulte Authentication no banco de dados SQL em Microsoft Fabric.

Lakehouse, Notebook, definição de trabalho do Spark, Ambiente

Depois de habilitar a configuração de locatário Link Privado do Azure, executar o primeiro trabalho Spark (tanto um Notebook quanto uma definição de trabalho Spark) ou executar uma operação em um Lakehouse (Carregar em Tabela, operações de manutenção de tabela, como Otimizar ou Vacuum) resultará na criação de uma rede virtual gerenciada para o workspace.

Depois que a rede virtual gerenciada é provisionada, os pools iniciais (opção de computação padrão) para Spark são desabilitados, pois são clusters pré-aquecidos hospedados em uma rede virtual compartilhada. Os trabalhos do Spark são executados em pools personalizados criados sob demanda no momento do envio do trabalho dentro da rede virtual gerenciada dedicada do workspace. Não há suporte para a migração de workspace entre capacidades em regiões diferentes quando uma rede virtual gerenciada é alocada para seu workspace.

Quando a configuração de link privado está habilitada, os trabalhos do Spark não funcionam para locatários cuja região inicial não dá suporte a Fabric Engenharia de Dados, mesmo que usem capacidades Fabric de outras regiões que o fazem.

Para obter mais informações, consulte Managed VNet para Fabric.

Fluxo de Dados Gen2

Você pode usar o Dataflow gen2 para obter dados, transformar dados e publicar o fluxo de dados por meio de um link privado. Quando a fonte de dados estiver atrás do firewall, você poderá usar o gateway de dados de rede virtual para se conectar às fontes de dados. O gateway de dados da VNet permite a injeção do gateway (computação) em sua rede virtual existente, proporcionando uma experiência de gateway gerenciado. Você pode usar conexões de gateway de rede virtual para se conectar a um Lakehouse ou Warehouse no locatário que requer um link privado ou conectar-se a outras fontes de dados com sua rede virtual.

Pipeline

Ao se conectar ao Pipeline por meio de um link privado, você pode usar o pipeline para carregar dados de qualquer fonte de dados com pontos de extremidade públicos em um Microsoft Fabric lakehouse habilitado para link privado. Os clientes também podem criar e operacionalizar pipelines com atividades, incluindo atividades de Notebook e Fluxo de Dados, usando o link privado. No entanto, copiar dados de e para um Data Warehouse não é possível no momento quando o link privado do Fabric está habilitado.

Modelo de ML, Experimento e Agente de Dados

O ML Model, Experiment e Data agent dá suporte a private link.

Power BI

  • Se o acesso à Internet estiver desabilitado e o modelo semântico do Power BI, Datamart ou Dataflow Gen1 se conectar a um modelo semântico Power BI ou a um fluxo de dados como fonte de dados, a conexão falhará.

  • Não há suporte para publicação na Web quando a configuração de locatário Link Privado do Azure está habilitada no Fabric.

  • Não há suporte para assinaturas de email quando a configuração do locatário Block Public Internet Access está habilitada no Fabric.

  • Não há suporte para exportar um relatório Power BI como PDF ou PowerPoint quando a configuração de locatário Link Privado do Azure estiver habilitada em Fabric.

  • Se sua organização estiver usando Link Privado do Azure em Fabric, os relatórios de métricas de uso modernos contêm dados parciais (apenas eventos do Report Open). Uma limitação atual ao transferir informações do cliente por links privados impede que Fabric capturem exibições de página de relatório e dados de desempenho em links privados. Se sua organização habilitou as configurações de locatário Link Privado do Azure e Block Public Internet Access no Fabric, a atualização do conjunto de dados falhará e o relatório de métricas de uso não mostrará nenhum dado.

  • no momento, não há suporte para Copilot para ambientes de rede Link Privado ou fechados.

  • Acesso entre locatários aos dados do OneLake, seja através de atalhos ou de compartilhamento de dados do OneLake, não é suportado pelo Azure Link Privado. Os usuários que precisam acessar dados compartilhados de outro locatário devem se conectar fora do caminho Link Privado.

Eventstream

O Eventstream dá suporte a Link Privado, permitindo a ingestão segura de dados em tempo real de várias fontes sem expor o tráfego à Internet pública. Ele também dá suporte à transformação de dados em tempo real, como filtragem e enriquecimento de fluxos de dados de entrada, antes de roteá-los para destinos dentro de Fabric.

Cenários sem suporte:

  • Não há suporte para ponto de extremidade personalizado como origem.
  • Não há suporte para ponto de extremidade personalizado como destino.
  • Não há suporte para Eventhouse como destino (com modo de ingestão direta).
  • Não há suporte para "Activator" como destino.

Data Activator

O Ativador de Dados dá suporte à ingestão de eventos do KQL/Eventhouse, Power BI e Eventos do Real-Time Hub Fabric, para Links Privados no nível do locatário. Para o nível do espaço de trabalho, o Ativador de Dados dá suporte à ingestão de eventos do KQL/Eventhouse e Eventos do Real-Time Hub Fabric.

Limitações:

  • Atualmente, o Ativador de Dados não dá suporte à ingestão do Eventstream com links privados habilitados.

Eventhouse

O Eventhouse dá suporte a Link Privado, permitindo a ingestão segura de dados e a consulta de sua Rede Virtual do Azure por meio de um private link. Você pode ingerir dados de várias fontes, incluindo contas Armazenamento do Azure, arquivos locais e Dataflow Gen2. A ingestão de streaming garante a disponibilidade imediata dos dados. Além disso, você pode utilizar consultas KQL ou Spark para acessar dados no Eventhouse.

Limitações:

  • Não há suporte para a ingestão de dados do OneLake.
  • Não é possível criar um atalho para uma Eventhouse.
  • Não é possível conectar-se a um Eventhouse em um pipeline.
  • Não há suporte para a ingestão de dados usando a ingestão em fila.
  • Não há suporte para conectores de dados que dependem de ingestão em fila.
  • Não é possível consultar uma Eventhouse usando T-SQL.

Soluções de dados para o setor de saúde (versão prévia)

Os clientes podem provisionar e utilizar soluções de dados de saúde em Microsoft Fabric por meio de um link privado. Em um locatário em que private link está habilitado, os clientes podem implantar recursos de solução de dados de saúde para executar cenários abrangentes de ingestão e transformação de dados para seus dados clínicos. Também está incluída a capacidade de ingerir dados de saúde de várias fontes, como contas Armazenamento do Azure e muito mais.

Eventos de Azure e Fabric

Eventos do Fabric (como eventos de trabalho, eventos de item de workspace e eventos do OneLake) dão suporte a Link Privado ao nível do locatário sem afetar a entrega de eventos, pois se originam de dentro do locatário. No entanto, quando os links privados no nível do workspace são configurados para bloquear o acesso público no workspace em que os eventos se originam (o workspace de origem), os consumidores de eventos, como alertas do Ativador ou fluxos de eventos em outros workspaces, são impedidos de consumir esses eventos, a menos que um link privado seja estabelecido da rede do consumidor para o workspace de origem.

Eventos do Azure (como eventos do Armazenamento de Blobs do Azure) são afetados por links privados no nível do tenant e do espaço de trabalho. Quando a configuração de locatário Block Public Internet Access estiver habilitada, fontes de eventos do Azure fora do locatário serão impedidas inteiramente de fornecer eventos no Fabric.

  • Novas configurações para consumir Azure eventos são bloqueadas.
  • As configurações existentes que consomem eventos Azure param de fornecer eventos. O sistema detecta a alteração de configuração e coloca o consumidor em um estado em pausa.

Além disso, quando você configura um consumidor para receber eventos Azure, um item de fluxo de eventos é criado em um workspace Fabric para representar a origem do Azure. Os links privados no nível do workspace afetam o consumo de eventos do Azure da mesma forma que os eventos do Fabric: se o workspace que contém esse item de fluxo de eventos bloquear o acesso à rede pública, os consumidores em outros workspaces serão bloqueados, a menos que um link privado seja estabelecido.

Para obter mais informações, consulte Links privados para eventos do Azure e do Fabric.

Proteção de Informações do Microsoft Purview

Proteção de Informações do Microsoft Purview atualmente não dá suporte a Link Privado. Isso significa que, no Power BI Desktop em execução em uma rede isolada, o botão Sensitivity está esmaecido, as informações do rótulo não aparecem e a descriptografia dos arquivos .pbix falha.

Para habilitar esses recursos no Desktop, os administradores podem configurar marcas de serviço para os serviços subjacentes que dão suporte a Proteção de Informações do Microsoft Purview, Proteção do Exchange Online (EOP) e Proteção de Informações do Azure (AIP). Certifique-se de entender as implicações do uso de marcas de serviço em uma rede isolada de links privados.

Banco de dados espelhado

Há suporte para link privado para espelhamento open, espelhamento Azure Cosmos DB, espelhamento Instância Gerenciada de SQL do Azure e espelhamento SQL Server 2025. Para outros tipos de espelhamento de banco de dados, se a configuração de locatário Bloquear acesso à Internet pública estiver ativada, os bancos de dados espelhados ativos entrarão em estado de pausa, e o espelhamento não poderá ser iniciado.

Para espelhamento aberto, quando a configuração de locatário Bloquear o acesso à Internet pública estiver ativada, verifique se o publicador grava dados na zona de destino do OneLake por meio de um link privado.

API para GraphQL

A API para GraphQL dá suporte a Link Privado, permitindo acesso seguro à API e consulta da sua rede virtual do Azure por meio de um Link Privado.

Limitations:

  • Não há suporte para o painel de monitoramento de API e o registro em log com base no Monitoramento do Workspace.
  • As Entidades de Serviço (SPN) têm suporte como clientes; no entanto, não é possível usar uma entidade de serviço para criar uma credencial salva para acesso entre a API e a fonte de dados.
  • Não é suportado ter a API de artefato GraphQL e o artefato da fonte de dados em duas regiões de capacidade distintas quando o acesso público está desabilitado. Você receberá um erro de autenticação neste cenário.

Outras considerações e limitações

Há várias considerações a serem levadas em conta ao trabalhar com endpoints privados no Fabric.

  • Fabric dá suporte a até 450 capacidades em um locatário em que Link Privado está habilitado.

  • Quando uma capacidade é recém-criada, ela não dá suporte a link privado até que seu endpoint seja refletido na zona de DNS privada, o que pode levar até 24 horas.

  • A migração de locatário é bloqueada quando Link Privado é ativado no portal de administração do Fabric.

  • Os clientes não podem se conectar a recursos Fabric em vários locatários do mesmo local de rede (dependendo de onde os registros DNS são configurados), mas sim apenas ao último locatário que configurou o Link Privado.

  • Private link não é compatível com a capacidade do modo Avaliação. Ao acessar o Fabric por meio de tráfego do Link Privado, a capacidade de teste não funciona.

  • Qualquer uso de imagens ou temas externos não está disponível quando se usa um ambiente de link privado.

  • Cada ponto de extremidade privado pode ser conectado a apenas um locatário. Não é possível configurar um private link a ser usado por mais de um locatário.

  • Não há suporte para cenários entre locatários. Isso significa que não há suporte para a configuração de um ponto de extremidade privado em nível de locatário em um locatário do Azure para se conectar diretamente a um serviço Azure Link Privado em outro.

  • Link Privado opera dentro de um único limite de assinante. os recursos de compartilhamento de dados entre locatários do Fabric (como compartilhamento de dados do OneLake e atalhos entre locatários) usam controles de acesso separados e não exigem ou dão suporte a Link Privado. Para compartilhar dados entre locatários, configure as permissões de compartilhamento de dados do OneLake.

  • Para usuários Fabric: os gateways de dados locais não têm suporte e não são registrados quando Link Privado está habilitado. Para executar o configurador de gateway com êxito, Link Privado deve ser desabilitado. Saiba mais sobre esse cenário. Gateways de dados de rede virtuais funcionam. Para obter mais informações, confira estas considerações.

  • Para usuários do Gateway que não são do PowerBI (PowerApps ou LogicApps): o Gateway de dados local não tem suporte quando Link Privado está habilitado. Recomendamos explorar o uso do gateway de dados da rede virtual , que pode ser usado com links privados.

  • Os Links Privados não funcionam com o diagnóstico de download do Gateway de Dados da VNet.

  • O aplicativo de Métricas de Capacidade do Microsoft Fabric não dá suporte a Link Privado.

  • A guia Catálogo do OneLake – Governança não está disponível quando Link Privado é ativado.

  • As APIs REST para recursos de links privados não dão suporte para etiquetas.

  • Os seguintes URLs devem estar acessíveis no navegador do cliente:

    • Necessário para autenticação:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.com, embora possa ser diferente com base no tipo de conta.

    • Obrigatório para as experiências de Engenharia de Dados e Ciência de Dados:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (por exemplo, https://pypi.org/pypi/azure-storage-blob/json)
      • pontos de extremidade estáticos locais para condaPackages
      • https://cdn.jsdelivr.net/npm/monaco-editor*

Conteúdo relacionado

  • Last updated on