Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode usar links privados para fornecer acesso seguro ao tráfego de dados no Fabric. Os pontos de extremidade privados do Link Privado do Azure e da Rede do Azure são usados para enviar tráfego de dados privadamente usando a infraestrutura de rede de backbone da Microsoft em vez de atravessar a Internet. Quando conexões de link privado são usadas, essas conexões passam pela rede principal privada da Microsoft quando os usuários do Fabric acessam recursos no Fabric.
O Fabric dá suporte a links privados no nível do locatário e no nível do workspace:
Os links privados no nível do locatário fornecem política de rede para todo o locatário. Este artigo se concentra em links privados no nível do locatário.
Os links privados no nível do workspace fornecem controle granular, tornando possível restringir o acesso a determinados workspaces, permitindo que o restante dos workspaces permaneça aberto para acesso público. Para saber mais, confira links privados para workspaces do Fabric.
A habilitação de pontos de extremidade privados afeta muitos itens, portanto, você deve examinar todo este artigo antes de habilitar pontos de extremidade privados para seu locatário.
O que é um ponto de extremidade privado?
O ponto de extremidade privado garante que o tráfego que entra nos itens do Fabric da sua organização (como o upload de um arquivo no OneLake, por exemplo) sempre siga o caminho de rede do link privado configurado pela sua organização. Você pode configurar o Fabric para negar todas as solicitações que não venham do caminho de rede configurado.
Os pontos de extremidade privados não garantem que o tráfego do Fabric para suas fontes de dados externas, seja na nuvem ou local, esteja seguro. Configure regras de firewall e redes virtuais para proteger ainda mais suas fontes de dados.
Um ponto de extremidade privado é uma tecnologia única e direcional que permite que os clientes iniciem conexões com um determinado serviço, mas não permite que o serviço inicie uma conexão na rede do cliente. Esse padrão de integração de ponto de extremidade privado fornece isolamento de gerenciamento, pois o serviço pode operar independentemente da configuração de política de rede do cliente. Para serviços multilocatários, esse modelo de ponto de extremidade privado fornece identificadores de link para impedir o acesso a outros recursos do cliente hospedados no mesmo serviço.
O serviço do Fabric implementa pontos de extremidade privados e não pontos de extremidade de serviço.
O uso de pontos finais privados com o Fabric oferece as seguintes vantagens:
- Restringir o tráfego da internet para o Fabric e roteá-lo pela rede de backbone da Microsoft.
- Garantir que somente computadores cliente autorizados possam acessar o Fabric.
- Cumprir os requisitos regulamentares e de conformidade que exigem acesso privado aos seus serviços de dados e análise.
Entender a configuração do ponto de extremidade privado
Há duas configurações de locatário no portal de administração do Fabric envolvidas na configuração do Link Privado: Links Privados do Azure e Bloquear Acesso Público à Internet.
Se o Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:
- Os itens do Fabric com suporte só estão acessíveis para sua organização a partir dos pontos de extremidade privados e não estão acessíveis pela Internet pública.
- O tráfego da rede virtual que tem como alvo pontos de extremidade e cenários que dão suporte a links privados é transportado pelo link privado.
- O tráfego da rede virtual direcionado a pontos de extremidade e cenários que não dão suporte a links privados são bloqueados pelo serviço.
- Pode haver cenários que não dão suporte a links privados, que são bloqueados no serviço quando o Block Public Internet Access está habilitado.
Se o Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver desabilitado:
- O tráfego da Internet pública é permitido pelos serviços do Fabric.
- O tráfego da rede virtual que tem como alvo pontos de extremidade e cenários que dão suporte a links privados é transportado pelo link privado.
- O tráfego da rede virtual direcionada a pontos de extremidade e cenários que não dão suporte a links privados é transportado pela Internet pública e é permitido pelos serviços do Fabric.
- Se a rede virtual estiver configurada para bloquear o acesso público à Internet, cenários que não dão suporte a links privados serão bloqueados pela rede virtual.
Link Privado nas experiências do Fabric
OneLake
O OneLake dá suporte a Link Privado. Você pode explorar o OneLake no portal do Fabric ou de qualquer computador dentro da sua rede virtual estabelecida usando o explorador de arquivos do OneLake, o Gerenciador de Armazenamento do Microsoft Azure, o PowerShell e muito mais.
Chamadas diretas usando pontos de extremidade regionais do OneLake não funcionam pelo link privado para o Fabric. Para obter mais informações sobre como se conectar a pontos de extremidade regionais e ao OneLake, confira Como fazer para me conectar ao OneLake?
Ponto de extremidade de análise de SQL do Warehouse e do Lakehouse
O acesso a um Warehouse ou ao ponto de extremidade de análise SQL de um Lakehouse no portal do Fabric é protegido pelo link privado. Os clientes também podem usar pontos de extremidade do Protocolo TDS (por exemplo, SQL Server Management Studio, Azure Data Studio) para se conectar ao Warehouse por um link privado.
A consulta visual no Warehouse não funciona quando a configuração de locatário Bloquear Acesso Público à Internet está habilitada.
banco de dados SQL
O acesso a um banco de dados SQL ou ao endpoint de análises SQL no portal do Fabric é protegido por um link privado. Os clientes também podem usar pontos de extremidade do Protocolo TDS (por exemplo, SQL Server Management Studio ou Visual Studio Code) para conectar ao banco de dados SQL por um link privado. Para obter mais informações sobre como se conectar a um banco de dados SQL, consulte Authentication in SQL Database in Microsoft Fabric.
Lakehouse, Notebook, definição de trabalho do Spark, Ambiente
Depois de habilitar a configuração de locatário do Link Privado do Azure , executar o primeiro trabalho do Spark (definição de trabalho do Notebook ou Spark) ou executar uma operação do Lakehouse (Carregar em Tabela, operações de manutenção de tabela como Otimizar ou Vácuo) resultará na criação de uma rede virtual gerenciada para o workspace.
Depois que a rede virtual gerenciada é provisionada, os pools ingressados (opção de computação padrão) para Spark são desabilitados, pois são clusters pré-armados hospedados em uma rede virtual compartilhada. Os trabalhos do Spark são executados em pools personalizados que são criados sob demanda no momento da inscrição do trabalho na rede virtual gerenciada dedicada do workspace. A migração dos workspaces entre capacidades em diferentes regiões não tem suporte quando uma rede virtual gerenciada é alocada para seu workspace.
Quando a configuração de link privado está habilitada, os trabalhos do Spark não funcionam para locatários cuja região inicial não dá suporte à Engenharia de Dados do Fabric, mesmo que usem capacidades do Fabric de outras regiões que o fazem.
Para obter mais informações, consulte Managed VNet for Fabric.
Fluxo de Dados Gen2
Você pode usar o Fluxo de Dados Gen2 para obter dados, transformar dados e publicar o fluxo de dados por meio de link privado. Quando a fonte de dados estiver atrás do firewall, você poderá usar o gateway de dados de rede virtual para se conectar às fontes de dados. O gateway de dados da VNet permite a injeção do gateway (computação) na sua rede virtual existente, proporcionando assim uma experiência de gateway gerenciado. Você pode usar conexões de gateway de rede virtual para se conectar a um Lakehouse ou Warehouse no locatário que requer um link privado ou conectar-se a outras fontes de dados com sua rede virtual.
Pipeline
Ao se conectar ao Pipeline por meio de um link privado, você pode usar o pipeline para carregar dados de qualquer fonte de dados com pontos de extremidade públicos em um Lakehouse do Microsoft Fabric habilitado para link privado. Os clientes também podem criar e operacionalizar pipelines com atividades, incluindo atividades de Notebook e Dataflow, usando a conexão privada. No entanto, a cópia de dados de e para um Data Warehouse não é possível no momento em que o link privado do Fabric está habilitado.
Modelo de ML, Experimento e Agente de Dados
O ML Model, Experiment e Data agent dá suporte ao link privado.
Power BI
Se o acesso à Internet estiver desabilitado e se o modelo semântico do Power BI, Datamart ou Dataflow Gen1 se conectar a um modelo semântico do Power BI ou fluxo de dados como uma fonte de dados, a conexão falhará.
Não há suporte para publicação na Web quando a configuração de locatário Link Privado do Azure está habilitada no Fabric.
As assinaturas de email não têm suporte quando a configuração de locatário Bloquear Acesso Público à Internet está habilitada no Fabric.
A exportação de um relatório do Power BI como PDF ou PowerPoint não tem suporte quando a configuração de locatário Link Privado do Azure está habilitada no Fabric.
Se sua organização estiver usando o Link Privado do Azure no Fabric, os relatórios de métricas de uso modernos conterão dados parciais (somente eventos do Report Open). Uma limitação atual na transferência de informações do cliente por meio de links privados impede que o Fabric capture dados de desempenho e visualizações de páginas de relatórios por meio de links privados. Se sua organização tiver habilitado as configurações de locatário do Link Privado do Azure e Bloquear Acesso à Internet Pública no Fabric, a atualização do conjunto de dados falhará e o relatório de métricas de uso não mostrará nenhum dado.
Atualmente, não há suporte para o Copilot para o Link Privado ou para ambientes de rede fechados.
Eventstream
O Eventstream dá suporte ao Link Privado, permitindo a ingestão segura de dados em tempo real de várias fontes sem expor o tráfego à Internet pública. Ele também dá suporte à transformação de dados em tempo real, como filtragem e enriquecimento de fluxos de dados de entrada, antes de roteá-los para destinos dentro do Fabric.
Cenários sem suporte:
- Não há suporte para ponto de extremidade personalizado como origem.
- Não há suporte para ponto de extremidade personalizado como destino.
- Não há suporte para eventhouse como destino (com modo de ingestão direta).
- Não há suporte para o ativador como destino.
Eventhouse
O Eventhouse dá suporte ao Link Privado, permitindo a ingestão e a consulta seguras de dados de sua Rede Virtual do Azure por meio de um link privado. Você pode ingerir dados de várias fontes, incluindo contas de Armazenamento do Microsoft Azure, arquivos locais e Fluxo de Dados Gen2. A ingestão de streaming garante a disponibilidade imediata dos dados. Além disso, é possível usar consultas KQL ou Spark para acessar dados dentro de uma Eventhouse.
Limitações:
- Não há suporte para a ingestão de dados do OneLake.
- Não é possível criar um atalho para uma Eventhouse.
- Não é possível conectar-se a um Eventhouse em um pipeline.
- Não há suporte para a ingestão de dados usando a ingestão em fila.
- Não há suporte para conectores de dados que dependem de ingestão em fila.
- Não é possível consultar uma Eventhouse usando T-SQL.
Soluções de dados para o setor de saúde (versão prévia)
Os clientes podem provisionar e utilizar as soluções de dados da área de saúde no Microsoft Fabric por meio de um link privado. Em um locatário em que o link privado está habilitado, os clientes podem implantar recursos de solução de dados de saúde para executar cenários abrangentes de ingestão e transformação de dados para seus dados clínicos. Também está incluída a capacidade de ingerir dados de assistência médica de várias fontes, como contas do Armazenamento do Azure e muito mais.
Eventos de Rede
Os Fabric Events dão suporte ao Link Privado sem afetar a entrega de eventos, pois os eventos se originam de dentro do tenant.
Eventos do Azure
Os Eventos do Azure oferecem suporte ao Link Privado com o seguinte comportamento quando a configuração do locatário para bloquear o acesso à Internet pública estiver habilitada:
- Novas configurações para consumir eventos do Azure (por exemplo, eventos do Armazenamento de Blobs do Azure) serão impedidas de serem entregues.
- As configurações existentes que consomem eventos do Azure impedirão que novos eventos sejam entregues.
Proteção de Informações do Microsoft Purview
No momento, a Proteção de Informações do Microsoft Purview não dá suporte ao Link Privado. Isso significa que, no Power BI Desktop em execução em uma rede isolada, o botão Confidencialidade está esmaecido, as informações do rótulo não são exibidas e a descriptografia de arquivos .pbix falha.
Para habilitar esses recursos na Área de Trabalho, os administradores podem configurar marcas de serviço para os serviços subjacentes que dão suporte à Proteção de Informações do Microsoft Purview, Proteção do Exchange Online (EOP) e Proteção de Informações do Azure (AIP). Certifique-se de entender as implicações do uso de marcas de serviço em uma rede isolada de links privados.
Banco de dados espelhado
Há suporte para o link privado para espelhamento aberto, espelhamento do Azure Cosmos DB e espelhamento do SQL Server 2025 (usando o SQL Server 2025 CTP 2.0 ou versão superior). Para outros tipos de espelhamento de banco de dados, se a configuração bloquear o locatário de acesso à Internet pública estiver habilitada, os bancos de dados espelhados ativos entrarão em um estado em pausa e o espelhamento não poderá ser iniciado.
Para espelhamento aberto, quando a configuração bloquear locatário de acesso à Internet pública estiver habilitada, verifique se o editor grava dados na zona de destino do OneLake por meio de um link privado.
Outras considerações e limitações
Há várias considerações que devem ser levadas em conta ao lidar com endpoints privados no Fabric.
O Fabric dá suporte para até 450 capacidades em um locatário em que o Link privado está habilitado.
Quando a capacidade é criada recentemente, ela não dá suporte ao link privado até que seu ponto de extremidade seja refletido na zona DNS privada, o que pode levar até 24 horas.
A migração do locatário é bloqueada quando o Link privado está ativado no portal de administração do Fabric.
Os clientes não podem se conectar aos recursos do Fabric em vários locatários do mesmo local de rede (depende de onde você configura registros DNS), mas apenas o último locatário a configurar o Link Privado.
Não há suporte para link privado na capacidade de Avaliação gratuita. Ao acessar o Fabric por meio do tráfego de Link Privado, a capacidade de avaliação não funciona.
Qualquer uso de imagens ou temas externos não está disponível quando se usa um ambiente de link privado.
Cada ponto de extremidade privado pode ser conectado a apenas um locatário. Não é possível configurar um link privado para ser usado por mais de um locatário.
Não há suporte para cenários entre locatários. Isso significa que não há suporte para a configuração de um ponto de extremidade privado no nível do locatário em um locatário do Azure para se conectar diretamente a um serviço de Link Privado em outro locatário.
Para usuários da rede Fabric: não há suporte para gateways de dados locais e não é possível se registrar quando o Link privado está habilitado. Para executar o configurador de gateway com êxito, o Link privado deve estar desativado. Saiba mais sobre esse cenário. Os gateways de dados de rede virtual funcionam. Para obter mais informações, confira estas considerações.
Para usuários do Gateway que não sejam do PowerBI (PowerApps ou LogicApps): o gateway de dados local não tem suporte quando o Link Privado está habilitado. Recomendamos explorar o uso do gateway de dados de rede virtual, que pode ser usado com links privados.
Os Links Privados não funcionam com o diagnóstico de download do Gateway de Dados da VNet.
O aplicativo Métricas de Capacidade do Microsoft Fabric não dá suporte ao Link Privado.
A guia Catálogo do OneLake – Govern não está disponível quando o Link Privado é ativado.
As APIs REST para recursos de links privados não dão suporte para etiquetas.
Os seguintes URLs devem estar acessíveis no navegador do cliente:
Necessário para autenticação:
login.microsoftonline.comaadcdn.msauth.netmsauth.netmsftauth.netgraph.microsoft.com-
login.live.com, embora possa ser diferente com base no tipo de conta.
Obrigatório para as experiências de Engenharia de Dados e Ciência de Dados:
http://res.cdn.office.net/https://aznbcdn.notebooks.azure.net/-
https://pypi.org/*(por exemplo,https://pypi.org/pypi/azure-storage-blob/json) - pontos de extremidade estáticos locais para condaPackages
https://cdn.jsdelivr.net/npm/monaco-editor*