Configurare e usare collegamenti privati
In Fabric è possibile configurare e usare un endpoint che consenta all'organizzazione di accedere privatamente a Fabric. Per configurare gli endpoint privati è necessario essere un amministratore di Fabric e avere le autorizzazioni in Azure per creare e configurare risorse quali macchine virtuali (VM) e reti virtuali (VNet).
I passaggi che consentono di accedere in modo sicuro a Fabric da endpoint privati sono:
- Configurare endpoint privati per Fabric.
- Creare un servizio collegamento privato Microsoft.PowerBI per la risorsa di Power BI nel portale di Azure.
- Creare una rete virtuale.
- Creare una macchina virtuale (VM).
- Creare un endpoint privato.
- Connettersi a una macchina virtuale usando Azure Bastion.
- Accedere a Fabric privatamente dalla macchina virtuale.
- Disabilitare l'accesso pubblico per Fabric.
Le sezioni seguenti includono informazioni aggiuntive per ogni passaggio.
Passaggio 1: Configurare endpoint privati per Fabric.
Accedere a Fabric come amministratore.
Trovare ed espandere l'impostazione collegamento privato di Azure.
Impostare l'interruttore su Abilitato.
La configurazione di un collegamento privato per il tenant richiede circa 15 minuti. Ciò include la configurazione di un FQDN separato (nome di dominio completo) per il tenant per comunicare privatamente con i servizi di Fabric.
Al termine di questo processo, procedere al passaggio successivo.
Passaggio 2. Creare un servizio collegamento privato Microsoft.PowerBI per la risorsa di Power BI nel portale di Azure
Questo passaggio viene usato per supportare l'associazione dell'endpoint privato di Azure alla risorsa Fabric.
Accedere al portale di Azure.
Selezionare Crea una risorsa.
In Distribuzione modello selezionare Crea.
Nella pagina di distribuzione personalizzata, selezionare Creare un modello personalizzato nell'editor.
Nell'editor,, creare la risorsa Fabric seguente usando il modello di ARM, come illustrato di seguito, dove
<resource-name>
è il nome scelto per la risorsa Fabric.<tenant-object-id>
è l'ID tenant di Microsoft Entra. Vedere Come trovare l'ID tenant di Microsoft Entra.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }
Se si usa un cloud di Azure per enti pubblici per Power BI,
location
deve essere il nome dell'area del tenant. Ad esempio, se il tenant si trova in US Gov Texas, è necessario inserire"location": "usgovtexas"
nel modello di ARM. L'elenco delle aree del governo degli Stati Uniti per Power BI è disponibile nell'articolo Power BI per il governo degli Stati Uniti.Importante
Usare
Microsoft.PowerBI/privateLinkServicesForPowerBI
come valoretype
, anche se la risorsa viene creata per Fabric.Scegliere Salva per salvare il modello. Immettere quindi le informazioni seguenti.
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare **Crea nuovo. Inserisci test-PL come nome. Seleziona OK. Dettagli istanza Seleziona l'area. Paese Nella schermata di revisione selezionare Crea per accettare i termini e le condizioni.
Passaggio 3. Creare una rete virtuale
La procedura seguente crea una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Azure Bastion.
Il numero di indirizzi IP necessari alla subnet è costituito dal numero di capacità create nel tenant più 15. Ad esempio, se si crea una subnet per un tenant con sette capacità, saranno necessari 22 indirizzi IP.
Nel portale di Azure cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali selezionare + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-PL, il nome creato nel passaggio 2. Dettagli istanza Nome Immettere vnet-1. Paese Selezionare l'area in cui si avvierà la connessione a Fabric. Selezionare Avanti per passare alla scheda Sicurezza. È possibile lasciare l'impostazione predefinita o cambiare in base alle esigenze aziendali.
Selezionare Avanti per passare alla scheda Indirizzi IP. È possibile lasciare l'impostazione predefinita o cambiare in base alle esigenze aziendali.
Seleziona Salva.
Selezionare Rivedi e crea nella parte inferiore della schermata. Al termine della convalida, selezionare Crea.
Passaggio 4. Creare una macchina virtuale
Il passaggio successivo consiste nel creare una macchina virtuale.
Nella portale di Azure, accedere a Crea una risorsa > Calcolo > Macchine virtuali.
Nella scheda Informazioni di base immettere o selezionare le informazioni seguenti:
Impostazioni Valore Dettagli di progetto Abbonamento Selezionare la sottoscrizione di Azure. Gruppo di risorse Selezionare il gruppo di risorse specificato nel passaggio 2. Dettagli istanza Virtual machine name Inserire un nome per la nuova macchina virtuale. Selezionare la bolla di informazioni accanto al nome del campo per visualizzare informazioni importanti sui nomi delle macchine virtuali. Paese Selezionare l'area selezionata nel passaggio 3. Opzioni di disponibilità Per i test, scegliere La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Lasciare il valore predefinito. Immagine Selezionare l'immagine desiderata. Ad esempio, scegliere Windows Server 2022. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. ACCOUNT AMMINISTRATORE Username Immettere un nome utente a scelta. Password Immettere una password a scelta. La password deve contenere almeno 12 caratteri e soddisfare i requisiti di complessità definiti. Conferma password Reimmettere la password. REGOLE PORTA IN INGRESSO Porte in ingresso pubbliche Scegliere Nessuna Selezionare Avanti: dischi.
Nella scheda Dischi, lasciare le impostazioni predefinite e selezionare Avanti: Rete.
Nella scheda Rete, selezionare le informazioni seguenti:
Impostazioni Valore Rete virtuale Selezionare la rete virtuale creata nel passaggio 3. Subnet Selezionare il valore predefinito (10.0.0.0/24) creato nel passaggio 3. Usare le impostazioni predefinite nei campi rimanenti.
Selezionare Rivedi e crea. Si viene reindirizzati alla pagina Rivedi e crea dove Azure convalida la configurazione.
Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.
Passaggio 5. Creare un endpoint privato
Il passaggio successivo consiste nel creare un endpoint privato per Fabric.
Nella casella di ricerca nella parte superiore del portale immettere Endpoint privato. Selezionare Endpoint privati.
Selezionare + Crea in Endpoint privati.
Nella scheda Informazioni di base di Crea un endpoint privato, immettere o selezionare le informazioni seguenti:
Impostazioni Valore Dettagli di progetto Abbonamento Selezionare la sottoscrizione di Azure. Gruppo di risorse Selezionare il gruppo di risorse creato nel passaggio 2. Dettagli istanza Nome Immettere FabricPrivateEndpoint. Se il nome è già usato, creare un nome univoco. Paese Selezionare l'area creata per la rete virtuale nel passaggio 3. La figura seguente mostra la finestra Crea un endpoint privato - Informazioni di base.
Selezionare Avanti: Risorsa. Nel riquadro Risorsa, immettere o selezionare le informazioni seguenti.
Impostazioni Valore Metodo di connessione Selezionare Connettersi a una risorsa di Azure nella directory. Subscription Selezionare la propria sottoscrizione. Tipo di risorsa Selezionare Microsoft.PowerBI/privateLinkServicesForPowerBI Conto risorse Scegliere la risorsa Fabric creata nel passaggio 2. Sottorisorsa di destinazione Tenant La figura seguente mostra la finestra Crea un endpoint privato - Risorsa.
Selezionare Avanti: Rete virtuale. In Rete virtuale, immettere o selezionare le informazioni seguenti.
Impostazioni Valore RETE Rete virtuale Selezionare vnet-1 creato nel passaggio 3. Subnet Selezionare subnet-1 creata nel passaggio 3. INTEGRAZIONE DNS PRIVATO Integra con la zona DNS privato Selezionare Sì. Zona DNS privato Selezionare
(Nuovo)privatelink.analysis.windows.net
(Nuovo)privatelink.pbidedicated.windows.net
(New)privatelink.prod.powerquery.microsoft.comSelezionare Avanti: Tag, quindi Avanti: Rivedi e crea.
Seleziona Crea.
Passaggio 6. Connettersi a una macchina virtuale usando Bastion
Azure Bastion protegge le macchine virtuali fornendo connettività leggera basata su browser senza la necessità di esposizione tramite indirizzi IP pubblici. Per altre informazioni, vedere Informazioni su Azure Bastion.
Connettersi alla VM attenendosi ai seguenti passaggi:
Crea una subnet denominata AzureBastionSubnet nella rete virtuale creata nel passaggio 3.
Nella barra di ricerca del portale, immettere testVM creato nel passaggio 4.
Selezionare il pulsante Connetti e scegliere Connetti tramite Bastion dal menu a discesa.
Selezionare Distribuisci Bastion.
Nella pagina Bastion, immettere le credenziali di autenticazione necessarie, quindi fare clic su Connetti.
Passaggio 7. Accedere a Fabric privatamente dalla macchina virtuale
Il passaggio successivo consiste nell'accedere a Fabric privatamente dalla macchina virtuale creata nel passaggio precedente, seguendo questa procedura:
Nella macchina virtuale, aprire PowerShell.
Immetti
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net
.Si riceve una risposta simile al messaggio seguente e si può vedere che viene restituito l'indirizzo IP privato. È possibile notare che l'endpoint OneLake e l'endpoint warehouse restituiscono anche indirizzi IP privati.
Aprire il browser e passare ad app.fabric.microsoft.com per accedere privatamente a Fabric.
Passaggio 8. Disabilitare l'accesso pubblico per Fabric
Infine, facoltativamente, è possibile disabilitare l'accesso pubblico per Fabric.
Se si disabilita l'accesso pubblico per Fabric, vengono applicati determinati vincoli all'accesso ai servizi Fabric, descritti nella sezione successiva.
Importante
Quando si attiva Blocca l'accesso a Internet, alcuni elementi di Fabric non supportati verranno disabilitati. Informazioni sull'elenco completo di limitazioni e considerazioni in Informazioni sui collegamenti privati
Per disabilitare l'accesso pubblico per Fabric, accedere al servizio F come amministratore e passare al portale di amministrazione. Selezionare Impostazioni tenant e scorrere fino alla sezione Rete avanzata. Abilitare l'interruttore nell'impostazione del tenant Blocca l'accesso a Internet pubblico.
Sono necessari circa 15 minuti per consentire al sistema di disabilitare l'accesso dell'organizzazione a Fabric dalla rete Internet pubblica.
Completamento della configurazione dell'endpoint privato
Dopo aver seguito i passaggi delle sezioni precedenti e aver configurato correttamente il collegamento privato, l'organizzazione implementa collegamenti privati in base alle selezioni di configurazione seguenti, indipendentemente dal fatto che la selezione sia impostata alla configurazione iniziale o successivamente modificata.
Se il collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è abilitato:
- Fabric è accessibile solo per l'organizzazione da endpoint privati e non è accessibile dalla rete Internet pubblica.
- Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
- Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati verrà bloccato dal servizio e non funzionerà.
- Potrebbero essere presenti scenari che non supportano collegamenti privati, che verranno pertanto bloccati nel servizio quando è abilitato Blocca l'accesso a Internet pubblico.
Se il collegamento privato di Azure è configurato correttamente e Blocca l'accesso a Internet pubblico è disabilitato:
- Il traffico proveniente dalla rete Internet pubblica sarà consentito dai servizi Fabric.
- Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che supportano i collegamenti privati viene trasportato tramite il collegamento privato.
- Il traffico proveniente dagli endpoint e dagli scenari di destinazione della rete virtuale che non supportano i collegamenti privati viene trasportato tramite Internet pubblico e sarà consentito dai servizi Fabric.
- Se la rete virtuale è configurata per bloccare l'accesso a Internet pubblico, gli scenari che non supportano i collegamenti privati verranno bloccati dalla rete virtuale e non funzioneranno.
Il video seguente illustra come connettere un dispositivo mobile a Fabric usando endpoint privati:
Nota
In questo video potrebbero essere usate versioni precedenti di Power BI Desktop o del servizio Power BI.
Altre domande? Chiedere alla community di Fabric.
Disabilitare il collegamento privato
Se si vuole disabilitare l'impostazione collegamento privato, assicurarsi che tutti gli endpoint privati creati e la zona DNS privata corrispondente vengano eliminati prima di disabilitare l'impostazione. Se nella rete virtuale sono configurati endpoint privati ma collegamento privato è disabilitato, le connessioni da questa rete virtuale potrebbero non riuscire.
Se si intende disabilitare l'impostazione collegamento privato, è consigliabile farlo durante l'orario non lavorativo. Potrebbero essere necessari fino a 15 minuti di tempo di inattività per alcuni scenari per riflettere la modifica.