Fabric への安全なアクセスのためのプライベート リンク
プライベート リンクを使用すると、Fabric のデータ トラフィックに対して安全なアクセスを実現できます。 Azure Private Link と Azure ネットワーク プライベート エンドポイントは、インターネット経由ではなく Microsoft のバックボーン ネットワーク インフラストラクチャを使ってデータ トラフィックをプライベートに送信するために使用されます。
プライベート リンク接続が使用されているとき、Fabric ユーザーが Fabric のリソースにアクセスすると、接続は Microsoft プライベート ネットワーク バックボーンを通過します。
Azure Private Link の詳細については、「Azure Private Link とは何か?」を参照してください。
プライベート エンドポイントを有効にすると多くの項目に影響を与えるため、プライベート エンドポイントの有効化前に、この記事全体を確認してください。
プライベート エンドポイントとは
プライベート エンドポイントは、組織の Fabric アイテムに対するトラフィック (たとえば、OneLake へのファイルのアップロード) が常に組織で構成されたプライベート リンク ネットワーク パスに従うことを保証します。 構成されたネットワーク パスからのものではないすべての要求を拒否するように Fabric を構成することができます。
プライベート エンドポイントは、Fabric から外部データ ソース (クラウドかオンプレミスかを問わず) へのトラフィックが安全であることを保証するものではありません。 ご利用のデータ ソースをさらにセキュリティで保護するためのファイアウォール規則と仮想ネットワークを構成してください。
プライベート エンドポイントとは、クライアントが特定のサービスへの接続を開始できるようにするが、そのサービスが顧客ネットワークへの接続を開始することは許可しない一方向のテクノロジです。 このプライベート エンドポイント統合パターンでは、顧客のネットワーク ポリシー構成とは無関係にサービスが動作するため、管理の分離を実現することができます。 マルチテナント型のサービスの場合、このプライベート エンドポイント モデルには、同じサービス内でホストされている他の顧客のリソースにアクセスできないようにするためにリンク識別子が提供されています。
Fabric サービスでは、サービス エンドポイントではなくプライベート エンドポイントが実装されます。
Fabric でプライベート エンドポイントを使用すると、次のような利点があります。
- インターネットから Fabric へのトラフィックを制限し、Microsoft バックボーン ネットワーク経由でルーティングします。
- 承認されたクライアント マシンのみが Fabric にアクセスできるようにします。
- データおよび分析サービスへのプライベート アクセスを義務付ける規制とコンプライアンスの要件に準拠します。
プライベート エンドポイントの構成を理解する
Fabric 管理ポータルには、Private Link の構成に関連する 2 つのテナント設定があります。Azure Private Link とパブリック インターネット アクセスのブロックです。
Azure Private Link が正しく構成され、[パブリック インターネット アクセスのブロック] が有効になっている場合:
- サポートされる Fabric アイテムには、プライベート エンドポイントからのみアクセスでき、パブリック インターネットからアクセスすることはできません。
- エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
- エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートしていないシナリオは、サービスによってブロックされ、機能しません。
- プライベート リンクがサポートされないシナリオの場合、[パブリック インターネット アクセスのブロック] が有効になっていると、サービスでブロックされます。
Azure Private Link が正しく構成され、[パブリック インターネット アクセスのブロック] が無効になっている場合:
- パブリック インターネットからのトラフィックは、Fabric サービスによって許可されます。
- エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートするシナリオは、プライベート リンクを介して転送されます。
- エンドポイントを対象とする仮想ネットワークからのトラフィックと、プライベート リンクをサポートしていないシナリオは、パブリック インターネット経由で転送され、Fabric サービスによって許可されます。
- パブリック インターネット アクセスをブロックするように仮想ネットワークが構成されている場合、プライベート リンクをサポートしていないシナリオは仮想ネットワークによってブロックされ、機能しません。
Fabric エクスペリエンスにおけるプライベート リンク
OneLake
OneLake はプライベート リンクをサポートしています。 OneLake エクスプローラー、Azure Storage Explorer、PowerShell などを使い、Fabric ポータルで、または確立された仮想ネットワーク内の任意のマシンから、OneLake を探索できます。
OneLake リージョン エンドポイントを使用した直接呼び出しは、Fabric へのプライベート リンク経由では機能しません。 OneLake とリージョン エンドポイントへの接続の詳細については、「OneLake に接続する方法」を参照してください。
ウェアハウスと Lakehouse SQL 分析エンドポイント
Fabric ポータルでのレイクハウスのウェアハウスまたは SQL 分析エンドポイントへのアクセスは、プライベート リンクによって保護されます。 表形式データ ストリーム (TDS) エンドポイント (SQL Server Management Studio、Azure Data Studio など) を使用して、プライベート リンク経由でウェアハウスに接続することもできます。
[パブリック インターネット アクセスのブロック] テナント設定が有効になっている場合、ウェアハウスのビジュアル クエリは機能しません。
Lakehouse、Notebook、Spark ジョブ定義、環境
[Azure Private Link] テナント設定を有効にした後、最初の Spark ジョブ (Notebookまたは Spark ジョブ定義) を実行するか、Lakehouse操作 (テーブルへの読み込み、最適化やバキュームなどのテーブル メンテナンス操作など) を実行すると、ワークスペースのマネージド仮想ネットワークが作成されます。
マネージド仮想ネットワークがプロビジョニングされると、Spark のスターター プール (デフォルトのコンピューティング オプション) は無効になります。これは、共有仮想ネットワークでホストされている事前ウォーミングされたクラスターであるためです。 Spark ジョブは、ワークスペースの専用マネージド仮想ネットワーク内でジョブを送信した時に、オンデマンドで作成されるカスタム プールで実行されます。 マネージド仮想ネットワークがワークスペースに割り当てられている場合、異なるリージョンの容量間でのワークスペースの移行はサポートされません。
プライベート リンク設定が有効になっている場合、ホーム リージョンが Fabric データ エンジニアリングをサポートしていないテナントでは、サポートしている他のリージョンの Fabric 容量を使用しても、Spark ジョブは機能しません。
詳細については、「Fabric のマネージド VNet」を参照してください。
Dataflow Gen2
データフロー Gen2 を使用して、プライベート リンクを介してデータの取得、データの変換、データフローの公開を行うことができます。 データ ソースがファイアウォールの内側にある場合は、VNet データ ゲートウェイを使用してデータ ソースに接続できます。 VNet データ ゲートウェイを使用すると、ゲートウェイ (コンピューティング) を既存の仮想ネットワークに導入できるため、マネージド ゲートウェイ エクスペリエンスが得られます。 VNet ゲートウェイ接続を使用して、プライベート リンクを必要とするテナント内のLakehouseまたはウェアハウスに接続したり、仮想ネットワークを使用して他のデータ ソースに接続したりできます。
パイプライン
プライベート リンク経由でパイプラインに接続する場合は、データ パイプラインを使用して、パブリック エンドポイントを持つ任意のデータ ソースからプライベート リンクが有効な Microsoft Fabric のLakehouseにデータを読み込むことができます。 顧客は、プライベート リンクを使用して、Notebookやデータフロー アクティビティなどのアクティビティによってデータ パイプラインを作成し、運用することもできます。 ただし、現在、Fabric のプライベート リンクが有効になっている場合、データ ウェアハウスとの間でデータをコピーすることはできません。
ML モデル、テスト、および AI スキル
ML モデル、テストおよび AI スキルでは、プライベート リンクがサポートされています。
Power BI
インターネット アクセスが無効になっていて、Power BI セマンティック モデルまたはデータフロー Gen1 が Power BI セマンティック モデルまたはデータフロー にデータ ソースとして接続している場合、接続は失敗します。
現在、Private Link を使うと Direct Lake モードはサポートされません。
Fabric でテナント設定 [Azure Private Link] が有効になっている場合、[Web に公開] はサポートされません。
Fabric でテナント設定 [パブリック インターネット アクセスのブロック] が有効になっている場合、メール サブスクリプションはサポートされません。
Fabric でテナント設定 [Azure Private Link] が有効な場合、Power BI レポートを PDF または PowerPoint でエクスポートすることはサポートされません。
組織が Fabric で Azure Private Link を使用している場合、最新の使用状況メトリック レポートには一部のデータのみが含まれます ("レポートを開く" イベントのみ)。 クライアント情報をプライベート リンク経由で転送する場合は、現在適用される制限により、Fabric からプライベート リンクを介して [レポートページの表示] やパフォーマンスのデータをキャプチャすることができません。 組織が既に Fabric で [Azure Private Link] および [パブリック インターネット アクセスのブロック] テナント設定を有効にしている場合、データセットの更新は失敗し、使用状況メトリック レポートにはデータは表示されません。
イベントハウス
イベントハウスではプライベート リンクがサポートされており、プライベート リンクを介して Azure Virtual Network からセキュリティで保護されたデータ インジェストとクエリを実行できます。 Azure ストレージ アカウント、ローカル ファイル、Dataflow Gen2 など、さまざまなソースからデータを取り込むことができます。 ストリーミング インジェストにより、即座のデータの可用性が確保されます。 さらに、KQL クエリまたは Spark を使って、Eventhouse 内のデータにアクセスできます。
制限事項:
- OneLake からのデータの取り込みはサポートされていません。
- Eventhouse へのショートカットを作成することはできません。
- データ パイプライン内の Eventhouse に接続することはできません。
- キューに置かれたインジェストを使用したデータの取り込みはサポートされていません。
- キューに置かれたインジェストに依存するデータ コネクタはサポートされていません。
- T-SQL を使って Eventhouse のクエリを実行することはできません。
医療データ ソリューション (プレビュー)
顧客は、プライベート リンクを介して Microsoft Fabric の医療データ ソリューションをプロビジョニングして利用できます。 プライベート リンクが有効になっているテナント内では、医療データ ソリューション機能をデプロイして、臨床データの包括的なデータ インジェストと変換のシナリオを実行できます。 これには、Azure Storage アカウントなど、さまざまなソースから医療データを取り込む機能が含まれます。
その他の Fabric アイテム
イベント ストリーム などの他の Fabric アイテムは現在プライベート リンクをサポートしていません。コンプライアンスの状態を保護するために [パブリック インターネット アクセスのブロック] テナント設定を有効にすると、自動的に無効になります。
Microsoft Purview 情報保護
現在、Microsoft Purview 情報保護でプライベート リンクはサポートされていません。 つまり、分離されたネットワークで実行されている Power BI Desktop では、[機密度] ボタンがグレーアウトされ、ラベル情報は表示されず、.pbix ファイルの暗号化の解除は失敗します。
デスクトップでこれらの機能を有効にするために、管理者は、Microsoft Purview 情報保護、Exchange Online Protection (EOP)、Azure 情報保護 (AIP) をサポートする基になるサービスのサービス タグを構成できます。 プライベート リンク分離ネットワークでサービス タグを使う場合の影響について、必ず理解しておいてください。
その他の考慮事項と制限事項
Fabric でプライベート エンドポイントを使用する際に留意する必要がある考慮事項がいくつかあります。
Fabric では、プライベート リンクが有効なテナントで最大 450 の容量がサポートされます。
容量が新しく作成されると、そのエンドポイントがプライベート DNS ゾーンに反映されるまで、プライベート リンクはサポートされません。 これには最大で 24 時間かかる可能性があります。
Fabric 管理ポータルでプライベート リンクを有効にすると、テナントの移行がブロックされます。
顧客は、1 つの Virtual Network から複数のテナント内の Fabric リソースに接続することはできません。ただし、プライベート リンクを設定する最後のテナントにのみ接続できます。
プライベート リンクは、試用版の容量ではサポートされていません。 Private Link トラフィック経由で Fabric にアクセスする場合、試用版容量は機能しません。
プライベート リンク環境を使用する場合、外部の画像またはテーマを使用することはできません。
各プライベート エンドポイントは、1 つのテナントにのみ接続できます。 複数のテナントで使用されるようにプライベート リンクを設定することはできません。
Fabric ユーザーの場合、オンプレミス データ ゲートウェイはサポートされておらず、プライベート リンクが有効になっている場合は登録に失敗します。 ゲートウェイ コンフィギュレーターを正常に実行するには、プライベート リンクを無効にする必要があります。 このシナリオに関して説明します。 VNet データ ゲートウェイは機能します。 詳細については、「次の考慮事項」を参照してください。
PowerBI 以外 (PowerApps または LogicApps) のゲートウェイ ユーザーの場合、Private Link が有効になっていると、オンプレミス データ ゲートウェイはサポートされません。 プライベート リンクで使用できる VNET データ ゲートウェイの使用を検討することをお勧めします。
プライベート リンクは、VNet データ ゲートウェイのダウンロード診断では機能しません。
プライベート リンクのリソース REST API はタグをサポートしていません。
クライアント ブラウザーから次の URL にアクセスできる必要があります。
認証に必要:
login.microsoftonline.com
aadcdn.msauth.net
msauth.net
msftauth.net
graph.microsoft.com
login.live.com
ただし、これはアカウントの種類によって異なる場合があります。
Data Engineering と Data Science のエクスペリエンスに必要:
http://res.cdn.office.net/
https://aznbcdn.notebooks.azure.net/
https://pypi.org/*
(例:https://pypi.org/pypi/azure-storage-blob/json
)- condaPackages のローカル静的エンドポイント
https://cdn.jsdelivr.net/npm/monaco-editor*