Configurer et utiliser des liaisons privées
Dans Fabric, vous pouvez configurer et utiliser un point de terminaison par lequel votre organisation pourra accéder à Fabric en mode privé. Pour configurer des points de terminaison privés, vous devez être administrateur Fabric et avoir, dans Azure, les autorisations nécessaires pour créer et configurer des ressources telles que des machines virtuelles (VM) et des réseaux virtuels (VNet).
Voici les étapes à suivre pour accéder de façon sécurisée à Fabric par le biais de points de terminaison privés :
- Configurer des points de terminaison privés pour Fabric.
- Créer des services de liaison privée Microsoft.PowerBI pour la ressource Power BI dans le Portail Azure.
- Créer un réseau virtuel.
- Créer une machine virtuelle (VM).
- Créez un point de terminaison privé.
- Se connecter à une machine virtuelle à l’aide de Bastion.
- Accéder à Fabric en mode privé depuis la machine virtuelle.
- Désactiver l’accès public pour Fabric.
Les sections suivantes fournissent des informations supplémentaires pour chaque étape.
Étape 1. Configurer des points de terminaison privés pour Fabric
Connectez-vous à Fabric en tant qu’administrateur.
Recherchez et développez le paramètre Azure Private Link.
Définissez le bouton bascule sur Activé.
La configuration d’une liaison privée pour votre locataire prend environ 15 minutes. Cela inclut la configuration d’un FQDN (nom de domaine complet) distinct pour le locataire afin de permettre la communication privée avec les services Fabric.
Une fois ce processus terminé, passez à l’étape suivante.
Étape 2. Créer des services de liaison privée Microsoft.PowerBI pour la ressource Power BI dans le Portail Azure
Cette étape est utilisée pour prendre en charge l’association de point de terminaison privé Azure à votre ressource Fabric.
Connectez-vous au portail Azure.
Sélectionnez Créer une ressource.
Sous Déploiement de modèle, sélectionnez Créer.
Sur la page Déploiement personnalisé, sélectionnez Créer votre propre modèle dans l’éditeur.
Dans l’éditeur, créez la ressource Fabric suivante à l’aide du modèle ARM, comme indiqué ci-dessous, où
<resource-name>
est le nom que vous choisissez pour la ressource Fabric.<tenant-object-id>
est votre ID de client Microsoft Entra. Consultez Comment trouver votre ID de locataire Microsoft Entra.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }
Si vous utilisez un cloud Azure Government pour Power BI,
location
doit être le nom de région du locataire. Par exemple, si le locataire se trouve dans la région US Gov Texas, vous devez indiquer"location": "usgovtexas"
dans le modèle ARM. La liste des régions Power BI US Government est disponible dans l’article Power BI pour le gouvernement des États-Unis.Important
Utilisez
Microsoft.PowerBI/privateLinkServicesForPowerBI
comme valeurtype
, même si la ressource est créée pour Fabric.Enregistrez le modèle. Entrez ensuite les informations ci-dessous.
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez **Créer nouveau. Saisissez test-PL comme nom. Cliquez sur OK. Détails de l’instance Sélectionnez la région. Région Dans l’écran de vérification, sélectionnez Créer pour accepter les conditions générales.
Étape 3. Créez un réseau virtuel
La procédure suivante crée un réseau virtuel avec un sous-réseau de ressources, un sous-réseau Azure Bastion et un hôte Azure Bastion.
Le nombre d’adresses IP dont votre sous-réseau aura besoin correspond au nombre de capacités que vous avez créées sur votre client, plus quinze. Par exemple, si vous créez un sous-réseau pour un locataire avec sept capacités, vous aurez besoin de vingt-deux adresses IP.
Dans le portail Azure, recherchez et sélectionnez Réseaux virtuels.
Dans la page Réseaux virtuels, sélectionnez + Créer.
Sous l’onglet Général de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Resource group Sélectionnez test-PL, le nom que nous avons créé à l’étape 2. Détails de l’instance Nom Entrez vnet-1. Région Sélectionnez la région dans laquelle vous lancerez la connexion à Fabric. Sélectionnez Suivant pour passer à l’onglet Sécurité. Vous pouvez laisser les paramètres par défaut ou les modifier en fonction des besoins métiers.
Sélectionnez Suivant pour passer à l’onglet Adresses IP. Vous pouvez laisser les paramètres par défaut ou les modifier en fonction des besoins métiers.
Cliquez sur Enregistrer.
Sélectionnez Vérifier + créer au bas de l’écran. Quand la validation réussit, sélectionnez Créer.
Étape 4. Création d'une machine virtuelle
L’étape suivante consiste à créer une machine virtuelle.
Dans le portail Azure, sélectionnez Créer une ressource > Calcul > Machines virtuelles.
Sous l’onglet Informations de base, entrez ou sélectionnez les informations suivantes :
Paramètres Valeur Détails du projet Abonnement Sélectionnez votre abonnement Azure. Resource group Sélectionnez le groupe de ressources que vous avez indiqué à l’étape 2. Détails de l’instance Nom de la machine virtuelle Entrez le nom de la nouvelle machine virtuelle. Sélectionnez la bulle d’informations en regard du nom du champ pour afficher des informations importantes sur les noms des machines virtuelles. Région Sélectionnez la région que vous avez sélectionnée à l’étape 3. Options de disponibilité Pour les tests, choisissez Aucune redondance d’infrastructure requise. Type de sécurité Conservez la valeur par défaut. Image Sélectionnez l’image souhaitée. Par exemple, choisissez Windows Server 2022. Architecture de machine virtuelle Laissez la valeur par défaut x64. Taille Sélectionnez une taille. COMPTE ADMINISTRATEUR Nom d’utilisateur Entrez un nom d’utilisateur de votre choix. Mot de passe Entrez un mot de passe de votre choix. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies. Confirmer le mot de passe Retapez le mot de passe. RÈGLES DES PORTS D’ENTRÉE Aucun port d’entrée public Choisissez Aucun(e). Sélectionnez Suivant : Disques.
Sous l’onglet Disques, conservez les valeurs par défaut et sélectionnez Suivant : Mise en réseau.
Sous l’onglet Mise en réseau, sélectionnez les informations suivantes :
Paramètres Valeur Réseau virtuel Sélectionnez le réseau virtuel que vous avez créé à l’étape 3. Sous-réseau Sélectionnez la valeur par défaut (10.0.0.0/24) que vous avez créée à l’étape 3. Conservez les valeurs par défaut pour les autres champs.
Sélectionnez Revoir + créer. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.
Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.
Étape 5. Créer un Private Endpoint
L’étape suivante consiste à créer un point de terminaison privé pour Fabric.
Dans la zone de recherche située en haut du portail, entrez Point de terminaison privé. Sélectionnez Points de terminaison privés.
Sélectionnez + Créer dans Points de terminaison privés.
Sous l’onglet Général de Créer un point de terminaison privé, entrez ou sélectionnez les informations suivantes :
Paramètres Valeur Détails du projet Abonnement Sélectionnez votre abonnement Azure. Resource group Sélectionnez le groupe de ressources que vous avez créé à l’étape 2. Détails de l’instance Nom Saisissez FabricPrivateEndpoint. Si ce nom est utilisé, créez un nom unique. Région Sélectionnez la région que vous avez créée pour votre réseau virtuel à l’étape 3. L’image suivante montre la fenêtre Créer un point de terminaison privé - Général.
Sélectionnez Suivant : Ressource. Dans le volet Ressource, saisissez ou sélectionnez les informations suivantes :
Paramètres Valeur Méthode de connexion Sélectionnez Se connecter à une ressource Azure dans mon répertoire. Abonnement Sélectionnez votre abonnement. Type de ressource Sélectionnez Microsoft.PowerBI/privateLinkServicesForPowerBI Ressource Choisissez la ressource Fabric que vous avez créée à l’étape 2. Sous-ressource cible Locataire L’image suivante montre la fenêtre Créer un point de terminaison privé - Ressource.
Sélectionnez Suivant : réseau virtuel. Dans Réseau virtuel, entrez ou sélectionnez les informations suivantes.
Paramètres Valeur MISE EN RÉSEAU Réseau virtuel Sélectionnez le réseau virtuel vnet-1 que vous avez créé à l’étape 3. Sous-réseau Sélectionnez le sous réseau subnet-1 que vous avez créé à l’étape 3. INTÉGRATION À DNS PRIVÉ Intégrer à une zone DNS privée Sélectionnez Oui. Zone DNS privée Sélectionnez
(New)privatelink.analysis.windows.net
(New)privatelink.pbidedicated.windows.net
(New)privatelink.prod.powerquery.microsoft.comSélectionnez Suivant : Balises, puis Suivant : Vérifier + créer.
Sélectionnez Créer.
Étape 6. Se connecter à une machine virtuelle à l’aide de Bastion
Azure Bastion protège vos machines virtuelles en fournissant une connectivité légère basée sur un navigateur, sans qu’il soit nécessaire de les exposer via des adresses IP publiques. Pour plus d’informations, consultez Présentation d’Azure Bastion.
Connectez-vous à votre machine virtuelle en procédant comme suit :
Créez un sous-réseau appelé AzureBastionSubnet dans le réseau virtuel que vous avez créé à l’étape 3.
Dans la barre de recherche du portail, saisissez testVM, la machine virtuelle que vous avez créée à l’étape 4.
Sélectionnez le bouton Se connecter, puis choisissez Se connecter via Bastion dans le menu déroulant.
Sélectionnez Déployer Bastion.
Dans la page Bastion, entrez les informations d’identification d’authentification requises, puis cliquez sur Se connecter.
Étape 7. Accéder à Fabric en mode privé à partir de la machine virtuelle
L’étape suivante consiste à accéder à Fabric en mode privé, à partir de la machine virtuelle que vous avez créée à l’étape précédente, en procédant comme suit :
Sur la machine virtuelle, ouvrez PowerShell.
Saisissez
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
.Vous recevez une réponse semblable au message suivant et vous pouvez voir que l’adresse IP privée est renvoyée. Vous pouvez voir que le point de terminaison OneLake et le point de terminaison Warehouse renvoient également des adresses IPs privées.
Ouvrez le navigateur et allez sur app.fabric.microsoft.com pour accéder à Fabric en mode privé.
Étape 8 : Désactiver l’accès public pour Fabric
Enfin, vous pouvez éventuellement désactiver l’accès public pour Fabric.
Si vous désactivez l’accès public pour Fabric, certaines contraintes d’accès aux services Fabric sont mises en place, comme décrit dans la section suivante.
Important
Lorsque vous activez l’accès Internet bloqué, certains éléments Fabric non pris en charge sont désactivés. Découvrez la liste complète des limitations et considérations dans à propos des liens privés
Pour désactiver l’accès public pour Fabric, connectez-vous au service Fabric en tant qu’administrateur, et accédez au portail Administration. Sélectionnez Paramètres du locataire et faites défiler le contenu jusqu’à la section Mise en réseau avancée. Activez le bouton bascule dans le paramètre de locataire Bloquer l’accès public à Internet.
Il faut environ 15 minutes au système pour désactiver l’accès de votre organisation à Fabric à partir de l’Internet public.
Achèvement de la configuration du point de terminaison privé
Une fois que vous avez suivi les étapes décrites dans les sections précédentes et que la liaison privée a été correctement configurée, votre organisation implémente des liaisons privées en fonction des sélections de configuration suivantes, que la sélection soit définie lors de la configuration initiale ou qu’elle ait été modifiée par la suite.
Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est activée :
- Fabric est accessible uniquement pour votre organisation à partir de points de terminaison privés. Le service n’est pas disponible depuis l’Internet public.
- Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
- Le trafic provenant des points de terminaison de ciblage du réseau virtuel et les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le service et ne fonctionneront pas.
- Certains scénarios peuvent ne pas prendre en charge les liaisons privées et seront donc bloqués au niveau du service si le paramètre Bloquer l’accès public à Internet est activé.
Si Azure Private Link est correctement configuré et que l’option Bloquer l’accès public à Internet est désactivée :
- Le trafic provenant de l’Internet public sera autorisé par les services Fabric.
- Le trafic provenant des points de terminaison de ciblage du réseau virtuel et des scénarios qui prennent en charge les liaisons privées est transporté via la liaison privée.
- Le trafic provenant des points de terminaison de ciblage du réseau virtuel et les scénarios qui ne prennent pas en charge les liaisons privées sont transportés via l’Internet public et seront autorisés par les services Fabric.
- Si le réseau virtuel est configuré pour bloquer l’accès à l’Internet public, les scénarios qui ne prennent pas en charge les liaisons privées seront bloqués par le réseau virtuel et ne fonctionneront pas.
La vidéo suivante montre comment connecter un appareil mobile à Fabric à l’aide de points de terminaison privés :
Remarque
Cette vidéo peut utiliser des versions antérieures de Power BI Desktop ou le service Power BI.
D’autres questions ? Demandez à la communauté Fabric.
Désactiver la liaison privée
Si vous souhaitez désactiver le paramètre Lien privé, assurez-vous que tous les points de terminaison privés que vous avez créés et la zone DNS privée correspondante sont supprimés avant de désactiver le paramètre. Si votre VNet dispose de points de terminaison privés configurés mais que le lien privé est désactivé, les connexions à partir de ce VNet peuvent échouer.
Si vous souhaitez désactiver le paramètre Lien privé, il est recommandé de le faire en dehors des heures ouvrables. Il faudra peut-être jusqu'à 15 minutes d'indisponibilité pour que certains scénarios reflètent le changement.