次の方法で共有

Fabric テナントのプライベート リンク

プライベート リンクを使用すると、Fabric のデータ トラフィックに対して安全なアクセスを実現できます。 Azure Private Link と Azure Networking プライベート エンドポイントは、インターネット経由ではなく、Microsoft のバックボーン ネットワーク インフラストラクチャを使用してデータ トラフィックをプライベートに送信するために使用されます。 プライベート リンク接続が使用されているとき、Fabric ユーザーが Fabric のリソースにアクセスすると、接続は Microsoft プライベート ネットワーク バックボーンを通過します。

Fabric では、テナント レベルとワークスペース レベルの両方でプライベート リンクがサポートされています。

  • テナント レベルのプライベート リンク は、テナント全体にネットワーク ポリシーを提供します。 この記事では、テナント レベルのプライベート リンクについて説明します。

  • ワークスペース レベルのプライベート リンク (プレビュー) を使用すると、細かい制御が可能になり、特定のワークスペースへのアクセスを制限しながら、残りのワークスペースをパブリック アクセス用に開いたままにできます。 詳細については、 Fabric ワークスペースのプライベート リンクを参照してください。

プライベート エンドポイントを有効にすると多くの項目に影響するため、テナントのプライベート エンドポイントを有効にする前に、この記事全体を確認する必要があります。

プライベート エンドポイントとは

プライベート エンドポイントは、組織の Fabric アイテムに対するトラフィック (たとえば、OneLake へのファイルのアップロード) が常に組織で構成されたプライベート リンク ネットワーク パスに従うことを保証します。 構成されたネットワーク パスからのものではないすべての要求を拒否するように Fabric を構成することができます。

プライベート エンドポイントは、Fabric から外部データ ソース (クラウドかオンプレミスかを問わず) へのトラフィックが安全であることを保証するものではありません。 ご利用のデータ ソースをさらにセキュリティで保護するためのファイアウォール規則と仮想ネットワークを構成してください。

プライベート エンドポイントとは、クライアントが特定のサービスへの接続を開始できるようにするが、そのサービスが顧客ネットワークへの接続を開始することは許可しない一方向のテクノロジです。 このプライベート エンドポイント統合パターンでは、顧客のネットワーク ポリシー構成とは無関係にサービスが動作するため、管理の分離を実現することができます。 マルチテナント型のサービスの場合、このプライベート エンドポイント モデルには、同じサービス内でホストされている他の顧客のリソースにアクセスできないようにするためにリンク識別子が提供されています。

Fabric サービスでは、サービス エンドポイントではなくプライベート エンドポイントが実装されます。

Fabric でプライベート エンドポイントを使用すると、次のような利点があります。

  • インターネットから Fabric へのトラフィックを制限し、Microsoft バックボーン ネットワーク経由でルーティングします。
  • 承認されたクライアント マシンのみが Fabric にアクセスできるようにします。
  • データおよび分析サービスへのプライベート アクセスを義務付ける規制とコンプライアンスの要件に準拠します。

プライベート エンドポイントの構成を理解する

Fabric 管理ポータルには、Private Link の構成に関連する 2 つのテナント設定があります。Azure Private Linkパブリック インターネット アクセスのブロックです。

Azure Private Link が正しく構成され、[パブリック インターネット アクセスのブロック]有効になっている場合:

  • サポートされる Fabric アイテムには、プライベート エンドポイントからのみアクセスでき、パブリック インターネットからアクセスすることはできません。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
  • プライベート リンクをサポート していない エンドポイントとシナリオを対象とする仮想ネットワークからのトラフィックは、サービスによってブロックされます。
  • プライベート リンクをサポートしていないシナリオがあり、パブリック インターネット アクセス のブロックが有効になっていると、サービスでブロックされる可能性があります。

Azure Private Link が正しく構成され、[パブリック インターネット アクセスのブロック]無効になっている場合:

  • パブリック インターネットからのトラフィックは、Fabric サービスによって許可されます。
  • エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
  • プライベート リンクをサポート していない エンドポイントとシナリオを対象とする仮想ネットワークからのトラフィックは、パブリック インターネット経由で転送され、Fabric サービスによって許可されます。
  • パブリック インターネット アクセスをブロックするように仮想ネットワークが構成されている場合、プライベート リンクをサポートしていないシナリオは仮想ネットワークによってブロックされます。

OneLake

OneLake はプライベート リンクをサポートしています。 OneLake エクスプローラー、Azure Storage Explorer、PowerShell などを使い、Fabric ポータルで、または確立された仮想ネットワーク内の任意のマシンから、OneLake を探索できます。

OneLake リージョン エンドポイントを使用した直接呼び出しは、Fabric へのプライベート リンク経由では機能しません。 OneLake とリージョン エンドポイントへの接続の詳細については、「OneLake に接続する方法」を参照してください。

ウェアハウスおよびレイクハウスSQL分析エンドポイント

Fabric ポータルでのレイクハウスのウェアハウスまたは SQL 分析エンドポイントへのアクセスは、プライベート リンクによって保護されます。 表形式データ ストリーム (TDS) エンドポイント (SQL Server Management Studio、Azure Data Studio など) を使用して、プライベート リンク経由でウェアハウスに接続することもできます。

[パブリック インターネット アクセスのブロック] テナント設定が有効になっている場合、ウェアハウスのビジュアル クエリは機能しません。

SQL データベース

Fabric ポータルで SQL データベースまたは SQL 分析エンドポイントにアクセスすることは、プライベート リンクによって保護されます。 お客様は、表形式データ ストリーム (TDS) エンドポイント (SQL Server Management Studio や Visual Studio Code など) を使用して、プライベート リンク経由で SQL データベースに接続することもできます。 SQL データベースへの接続の詳細については、「Microsoft Fabricの SQL データベースでの認証の 」を参照してください。

レイクハウス、ノートブック、Spark ジョブ定義、環境

Azure Private Link テナント設定を有効にした後、最初の Spark ジョブ (ノートブックまたは Spark ジョブ定義) を実行するか、Lakehouse 操作 (テーブルへの読み込み、最適化やバキュームなどのテーブルメンテナンス操作) を実行すると、ワークスペースのマネージド仮想ネットワークが作成されます。

マネージド仮想ネットワークがプロビジョニングされると、Spark のスターター プール (既定のコンピューティング オプション) は無効になります。これは、共有仮想ネットワークでホストされている事前ウォーミング されたクラスターであるためです。 Spark ジョブは、ワークスペースの専用マネージド仮想ネットワーク内でジョブを送信した時に、オンデマンドで作成されるカスタム プールで実行されます。 マネージド仮想ネットワークがワークスペースに割り当てられている場合、異なるリージョンの容量間でのワークスペースの移行はサポートされません。

プライベート リンク設定が有効になっている場合、ホーム リージョンが Fabric Data Engineering をサポートしていないテナントで Spark ジョブは機能しません。これは、他のリージョンの Fabric 容量を使用している場合でもです。

詳細については、「Fabric のマネージド VNet」を参照してください。

Dataflow Gen2

データフロー Gen2 を使用して、プライベート リンクを介してデータの取得、データの変換、データフローの公開を行うことができます。 データ ソースがファイアウォールの内側にある場合は、 仮想ネットワーク データ ゲートウェイ を使用してデータ ソースに接続できます。 VNet データ ゲートウェイを使用すると、ゲートウェイ (コンピューティング) を既存の仮想ネットワークに導入できるため、マネージド ゲートウェイ エクスペリエンスが得られます。 仮想ネットワーク ゲートウェイ接続を使用して、プライベート リンクを必要とするテナント内の Lakehouse または Warehouse に接続したり、仮想ネットワークを使用して他のデータ ソースに接続したりできます。

パイプライン

プライベート リンク経由でパイプラインに接続する場合は、データ パイプラインを使用して、パブリック エンドポイントを持つ任意のデータ ソースからプライベート リンクが有効な Microsoft Fabric のLakehouseにデータを読み込むことができます。 顧客は、プライベート リンクを使用して、Notebookやデータフロー アクティビティなどのアクティビティによってデータ パイプラインを作成し、運用することもできます。 ただし、現在、Fabric のプライベート リンクが有効になっている場合、データ ウェアハウスとの間でデータをコピーすることはできません。

ML モデル、実験、データ エージェント

ML モデル、実験、およびデータ エージェントでは、プライベート リンクがサポートされています。

Power BI

  • インターネット アクセスが無効になっており、Power BI セマンティック モデル、Datamart、または Dataflow Gen1 がデータ ソースとして Power BI セマンティック モデルまたはデータフローに接続すると、接続は失敗します。

  • Fabric でテナント設定 [Azure Private Link] が有効になっている場合、[Web に公開] はサポートされません。

  • Fabric でテナント設定 [パブリック インターネット アクセスのブロック] が有効になっている場合、メール サブスクリプションはサポートされません。

  • Fabric でテナント設定 [Azure Private Link] が有効な場合、Power BI レポートを PDF または PowerPoint でエクスポートすることはサポートされません。

  • 組織が Fabric で Azure Private Link を使用している場合、最新の使用状況メトリック レポートには部分的なデータが含まれます (レポートを開くイベントのみ)。 クライアント情報をプライベート リンク経由で転送する場合は、現在適用される制限により、Fabric からプライベート リンクを介して [レポートページの表示] やパフォーマンスのデータをキャプチャすることができません。 組織で Fabric で Azure Private LinkBlock Public Internet Access テナント設定を有効にした場合、データセットの更新は失敗し、使用状況メトリック レポートにはデータが表示されません。

  • Copilot は、現在、Private Link またはクローズド ネットワーク環境ではサポートされていません。

Eventstream

Eventstream は Private Link をサポートしており、パブリック インターネットにトラフィックを公開することなく、複数のソースからの安全でリアルタイムのデータ インジェストを可能にします。 また、受信データ ストリームを Fabric 内の宛先にルーティングする前に、受信データ ストリームのフィルター処理やエンリッチメントなど、リアルタイムのデータ変換もサポートします。

サポートされていないシナリオ:

  • ソースとしてのカスタム エンドポイントはサポートされていません。
  • 宛先としてのカスタム エンドポイントはサポートされていません。
  • 宛先としての Eventhouse (直接インジェスト モード) はサポートされていません。
  • ターゲットとしてのアクティベーターはサポートされていません。

イベントハウス

イベントハウスではプライベート リンクがサポートされており、プライベート リンクを介して Azure Virtual Network からセキュリティで保護されたデータ インジェストとクエリを実行できます。 Azure ストレージ アカウント、ローカル ファイル、Dataflow Gen2 など、さまざまなソースからデータを取り込むことができます。 ストリーミング インジェストにより、即座のデータの可用性が確保されます。 さらに、KQL クエリまたは Spark を使って、Eventhouse 内のデータにアクセスできます。

制限事項:

  • OneLake からのデータの取り込みはサポートされていません。
  • Eventhouse へのショートカットを作成することはできません。
  • データ パイプライン内の Eventhouse に接続することはできません。
  • キューイングされたインジェストを使用したデータの取り込みはサポートされていません。
  • キューに依存したデータ取り込みを行うデータコネクタはサポートされていません。
  • T-SQL を使って Eventhouse のクエリを実行することはできません。

医療データ ソリューション (プレビュー)

顧客は、プライベート リンクを介して Microsoft Fabric の医療データ ソリューションをプロビジョニングして利用できます。 プライベート リンクが有効になっているテナントでは、医療データ ソリューション機能をデプロイして、臨床データの包括的なデータ インジェストと変換のシナリオを実行できます。 また、Azure Storage アカウントなど、さまざまなソースから医療データを取り込む機能も含まれています。

Microsoft Purview 情報保護

現在、Microsoft Purview 情報保護でプライベート リンクはサポートされていません。 つまり、分離されたネットワークで実行されている Power BI Desktop では、[ 秘密度 ] ボタンが淡色表示され、ラベル情報が表示されない、 .pbix ファイルの暗号化解除が失敗します。

デスクトップでこれらの機能を有効にするために、管理者は、Microsoft Purview 情報保護、Exchange Online Protection (EOP)、Azure 情報保護 (AIP) をサポートする基になるサービスのサービス タグを構成できます。 プライベート リンク分離ネットワークでサービス タグを使う場合の影響について、必ず理解しておいてください。

ミラー データベース

プライベート リンクは、 オープン ミラーリングAzure Cosmos DB ミラーリングでサポートされています。 他の種類のデータベース ミラーリングでは、[ パブリック インターネット アクセスのブロック ] テナント設定が 有効になっている場合、アクティブなミラー化されたデータベースは一時停止状態になり、ミラーリングを開始できません。

オープン ミラーリングの場合、[ パブリック インターネット アクセスのブロック ] テナント設定が 有効になっている場合は、公開元がプライベート リンクを介して OneLake ランディング ゾーンにデータを書き込みます。

その他の考慮事項と制限事項

Fabric でプライベート エンドポイントを使用する際に留意する必要がある考慮事項がいくつかあります。

  • Fabric では、プライベート リンクが有効なテナントで最大 450 の容量がサポートされます。

  • 容量が新しく作成されると、そのエンドポイントがプライベート DNS ゾーンに反映されるまで、プライベート リンクはサポートされません。これには最大 24 時間かかることがあります。

  • Fabric 管理ポータルでプライベート リンクを有効にすると、テナントの移行がブロックされます。

  • お客様は、同じネットワークの場所から複数のテナントの Fabric リソースに接続することはできません (DNS レコードを構成する場所によって異なります)。ただし、Private Link を設定する最後のテナントのみです。

  • プライベート リンクは、試用版の容量ではサポートされていません。 Private Link トラフィック経由で Fabric にアクセスする場合、試用容量は機能しません。

  • プライベート リンク環境を使用する場合、外部の画像またはテーマを使用することはできません。

  • 各プライベート エンドポイントは、1 つのテナントにのみ接続できます。 複数のテナントで使用されるようにプライベート リンクを設定することはできません。

  • テナント間のシナリオはサポートされていません。 つまり、ある Azure テナントでテナント レベルのプライベート エンドポイントを設定して、別のテナントの Private Link サービスに直接接続することはできません。

  • Fabric ユーザーの場合、オンプレミス データ ゲートウェイはサポートされておらず、プライベート リンクが有効になっている場合は登録に失敗します。 ゲートウェイ コンフィギュレーターを正常に実行するには、プライベート リンクを無効にする必要があります。 このシナリオに関して説明します。 仮想ネットワーク データ ゲートウェイは機能します。 詳細については、「次の考慮事項」を参照してください。

  • PowerBI (PowerApps または LogicApps) 以外のゲートウェイ ユーザーの場合: Private Link が有効になっている場合、オンプレミス データ ゲートウェイはサポートされません。 プライベート リンクで使用できる 仮想ネットワーク データ ゲートウェイの使用を検討することをお勧めします。

  • プライベート リンクは、VNet Data Gateway のダウンロード診断では機能しません。

  • Microsoft Fabric 容量メトリック アプリでは、Private Link はサポートされていません。

  • Private Link がアクティブ化されている場合、[OneLake Catalog - Govern]\(OneLake カタログ - 管理\) タブは使用できません。

  • プライベート リンクのリソース REST API はタグをサポートしていません。

  • クライアント ブラウザーから次の URL にアクセスできる必要があります。

    • 認証に必要:

      • login.microsoftonline.com
      • aadcdn.msauth.net
      • msauth.net
      • msftauth.net
      • graph.microsoft.com
      • login.live.comアカウントの種類によって異なる場合があります。

    • Data Engineering と Data Science のエクスペリエンスに必要:

      • http://res.cdn.office.net/
      • https://aznbcdn.notebooks.azure.net/
      • https://pypi.org/* (例: https://pypi.org/pypi/azure-storage-blob/json)
      • condaPackages のローカル静的エンドポイント
      • https://cdn.jsdelivr.net/npm/monaco-editor*

関連するコンテンツ