Einrichten und Verwenden privater Links auf Mandantenebene

Microsoft Fabric unterstützt den sicheren Datenzugriff über private Links, die Azure Private Link und private Endpunkte verwenden, um Datenverkehr über das private Netzwerk-Backbone von Microsoft anstatt über das öffentliche Internet weiterzuleiten. Sie können private Links sowohl auf Mandantenebene als auch auf Arbeitsbereichsebene konfigurieren. In diesem Artikel wird erläutert, wie Private Links für einen Fabric-Mandanten eingerichtet werden.

Bevor Sie beginnen, überprüfen Sie die Informationen in privaten Links für Fabric-Mandanten. Sie müssen Fabric-Administrator*in sein und in Azure über Berechtigungen zum Erstellen und Konfigurieren von Ressourcen wie virtuellen Computern (VMs) und virtuellen Netzwerken (VNets) verfügen, um private Endpunkte konfigurieren zu können.

Schritt 1. Einrichten privater Endpunkte für Fabric

Melden Sie sich bei Fabric als Administrator an.
Wechseln Sie zu den Mandanteneinstellungen.
Suchen und erweitern Sie die Einstellung Azure Private Link.
Schalten Sie auf Aktiviert um.

Es dauert etwa 15 Minuten, einen privaten Link für Ihren Mandanten zu konfigurieren, einschließlich der Konfiguration eines separaten FQDN (vollqualifizierter Domänenname) für den Mandanten, um privat mit Fabric-Diensten zu kommunizieren.

Wenn dieser Vorgang abgeschlossen ist, fahren Sie mit dem nächsten Schritt fortf.

Schritt 2. Erstellen Sie im Azure-Portal einen privaten Microsoft.PowerBI verknüpften Dienst für Power BI-Ressourcen

Dieser Schritt wird verwendet, um die Azure privater Endpunkt-Zuordnung mit Ihrer Fabric-Ressource zu unterstützen.

Melden Sie sich beim Azure-Portal an.
Wählen Sie Ressource erstellen.
Wählen Sie unter Vorlagenbereitstellung die Option Erstellen aus.
Wählen Sie auf der Seite Benutzerdefinierte Bereitstellung die Option Eigene Vorlage im Editor erstellen aus.
Erstellen Sie im Editor die folgenden Fabric-Ressourcen mit der ARM-Vorlage, wie gezeigt, wo
- <resource-name> ist der Name, den Sie für die Fabric-Ressource auswählen.
- <tenant-object-id> ist Ihre Microsoft Entra-Mandanten-ID. Siehe Ermitteln Ihrer Microsoft Entra-Mandanten-ID.
```
{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}
```
Wenn Sie eine Azure Government Cloud für Power BI verwenden, sollte location der Regionsname des Mandanten sein. Wenn sich der Mandant beispielsweise in US Gov Texas befindet, sollten Sie "location": "usgovtexas" in die ARM-Vorlage einfügen. Die Liste der Power BI-Regionen der US-Regierung finden Sie im Artikel zu Power BI for US Government.

Wichtig

Verwenden Sie Microsoft.PowerBI/privateLinkServicesForPowerBI als Wert type, auch wenn die Ressource für Fabric erstellt wird.

Speichern Sie die Vorlage. Geben Sie anschließend die folgenden Informationen ein.

Einstellung	Wert
Projektdetails
Subscription	Wählen Sie Ihr Abonnement aus.
Ressourcengruppe	Wählen Sie **Neu erstellen. Geben Sie test-PL als Namen ein. Wählen Sie OK aus.
Instanzendetails	Wählen Sie die Region aus.
Region

Screenshot des Tabs „Grundlagen“ in der benutzerdefinierten Bereitstellung.

Wählen Sie auf dem Überprüfungsbildschirm Erstellen aus, um die Bestimmungen zu akzeptieren.

Schritt 3. Erstellen eines virtuellen Netzwerks

Mit der folgenden Prozedur wird ein virtuelles Netzwerk mit einem Ressourcensubnetz, einem Azure Bastion-Subnetz und einem Azure Bastionhost erstellt.

Die Anzahl der IP-Adressen, die Ihr Subnetz benötigt, ist die Anzahl der Kapazitäten, die Sie auf Ihrem Mandanten erstellt haben, plus 15. Wenn Sie beispielsweise ein Subnetz für einen Mandanten mit sieben Kapazitäten erstellen, benötigen Sie 22 IP-Adressen.

Melden Sie sich beim Azure-Portal an.
Geben Sie im Suchfeld virtuelle Netzwerke ein, und wählen Sie sie in den Suchergebnissen aus.
Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

Einstellung	Wert
Subscription	Wählen Sie Ihr Abonnement aus.
Ressourcengruppe	Wählen Sie die Ressourcengruppe aus, die Sie zuvor für den privaten Linkdienst erstellt haben, z. B. test-PL.
Name	Geben Sie einen Namen für Ihr virtuelles Netzwerk ein, z. B. vnet-1.
Region	Wählen Sie den Bereich aus, in dem Sie die Verbindung mit Fabric initiieren.

Screenshot: Registerkarte „Allgemeine Informationen“ unter „Virtuelles Netzwerk erstellen“.

Wählen Sie "Weiter" aus, um zur Registerkarte " Sicherheit " zu wechseln. Sie können die Standardeinstellungen beibehalten oder entsprechend den Anforderungen Ihrer Organisation ändern.
Wählen Sie "Weiter" aus, um zur Registerkarte " IP-Adressen " zu wechseln. Sie können die Standardeinstellungen beibehalten oder entsprechend den Anforderungen Ihrer Organisation ändern.
Wählen Sie Speichern.
Wählen Sie unten auf dem Bildschirm die Option Überprüfen + erstellen aus. Klicken Sie nach der Validierung auf Erstellen.

Schritt 4. Erstellen eines virtuellen Computers

Der nächste Schritt ist das Erstellen eines virtuellen Computers.

Melden Sie sich beim Azure-Portal an.
Wechseln Sie zu "Erstellen einer ressource > compute > virtual machines".

Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen an, oder wählen Sie sie aus:

Einstellung	Wert
Subscription	Wählen Sie Ihr Azure-Abonnement aus.
Ressourcengruppe	Wählen Sie dieselbe Ressourcengruppe aus, die Sie zuvor beim Erstellen des privaten Linkdiensts verwendet haben.
Name des virtuellen Computers	Geben Sie einen Namen für den neuen virtuellen Computer ein. Wählen Sie die Infoblase neben dem Feldnamen aus, um wichtige Informationen zu Namen virtueller Computer anzuzeigen.
Region	Wählen Sie dieselbe Region aus, die Sie zuvor beim Erstellen des virtuellen Netzwerks verwendet haben.
Verfügbarkeitsoptionen	Wählen Sie als Test Keine Infrastrukturredundanz erforderlich aus
Sicherheitstyp	Übernehmen Sie den Standardwert.
Bild	Wählen Sie das gewünschte Bild aus. Wählen Sie beispielsweise Windows Server 2022 aus.
VM-Architektur	Übernehmen Sie den Standardwert x64.
Größe	Wählen Sie eine Größe aus.
Nutzername	Geben Sie einen Benutzernamen Ihrer Wahl ein.
Kennwort	Geben Sie das gewünschte Kennwort ein. Das Kennwort muss mindestens zwölf Zeichen lang sein und die definierten Anforderungen an die Komplexität erfüllen.
Kennwort bestätigen	Geben Sie das Kennwort erneut ein.
Öffentliche eingehende Ports	Wählen Sie die Option Keine aus.

Klicken Sie auf Weiter: Datenträger.
Übernehmen Sie auf der Registerkarte Datenträger die Standardeinstellungen, und wählen Sie Weiter: Netzwerk aus.

Wählen Sie auf der Registerkarte Netzwerk die folgenden Informationen aus:

Einstellung	Wert
Virtuelles Netzwerk	Wählen Sie das virtuelle Netzwerk aus, das Sie zuvor für diese Bereitstellung erstellt haben.
Subnet	Wählen Sie das Standardsubnetz (z. B. 10.0.0.0/24) aus, das Sie zuvor als Teil der Einrichtung des virtuellen Netzwerks erstellt haben.

Behalten Sie für die restlichen Felder die Standardwerte bei.

Klicken Sie auf Überprüfen + erstellen. Sie werden zur Seite Überprüfen und erstellen weitergeleitet, auf der Azure Ihre Konfiguration überprüft.
Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Schritt 5. Erstellen eines privaten Endpunkts

Der nächste Schritt besteht darin, einen privaten Endpunkt für Fabric zu erstellen.

Geben Sie im oberen Bereich des Portals den Suchbegriff Privater Endpunkt in das Suchfeld ein. Wählen Sie Private Endpunkte aus.
Wählen Sie +Erstellen in Private Endpunkte aus.

Geben Sie auf der Registerkarte Grundlagen der Seite Privaten Endpunkt erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

Einstellungen	Wert
Projektdetails
Subscription	Wählen Sie Ihr Azure-Abonnement aus.
Ressourcengruppe	Wählen Sie die Zuvor erstellte Ressourcengruppe aus, wenn Sie den privaten Linkdienst in Azure erstellen.
Instanzendetails
Name	Geben Sie FabricPrivateEndpoint ein. Wenn dieser Name vergeben ist, erstellen Sie einen eindeutigen Namen.
Region	Wählen Sie die Region aus, die Sie zuvor für Ihr virtuelles Netzwerk erstellt haben.

Die folgende Abbildung zeigt das Fenster Privaten Endpunkt erstellen – Grundlagen.

Screenshot: Registerkarte „Allgemeine Informationen“ unter „Privaten Endpunkt erstellen“.

Klicken Sie auf Weiter: Ressource aus. Geben Sie im Bereich Ressource die folgenden Informationen ein, oder wählen Sie sie aus:

Einstellungen	Wert
Verbindungsmethode	Wählen Sie das Herstellen einer Verbindung mit einer Azure-Ressource im eigenen Verzeichnis aus.
Subscription	Wählen Sie Ihr Abonnement aus.
Ressourcentyp	Wählen Sie Microsoft.PowerBI/privateLinkServicesForPowerBI aus.
Resource	Wählen Sie die Fabric-Ressource aus, die Sie zuvor beim Erstellen des privaten Linkdiensts in Azure erstellt haben.
Unterressource des Ziels	Tenant

Die folgende Abbildung zeigt das Fenster Privaten Endpunkt erstellen – Ressource.

Screenshot des „Ressourcen“-Fensters in „Privaten Endpunkt erstellen“.

Wählen Sie Weiter: Virtuelles Netzwerk aus. Geben Sie unter Virtuelles Netzwerk die folgenden Informationen ein, oder wählen Sie sie aus.

Einstellungen	Wert
NETZWERK
Virtuelles Netzwerk	Wählen Sie den namen des virtuellen Netzwerks aus, den Sie zuvor erstellt haben (z. B. vnet-1).
Subnet	Wählen Sie den zuvor erstellten Subnetznamen aus (z. B. Subnetz 1).
PRIVATE DNS-INTEGRATION
Integration in eine private DNS-Zone	Wählen Sie Ja aus.
Private DNS-Zone	Wählen Sie aus. (New)privatelink.analysis.windows.net (New)privatelink.pbidedicated.windows.net (New)privatelink.prod.powerquery.microsoft.com

Screenshot des DNS-Fensters beim Erstellen eines privaten Endpunkts.

Wählen Sie Weiter: Tags und dann Weiter: Überprüfen + erstellen aus.
Klicken Sie auf Erstellen.

Schritt 6. Herstellen einer Verbindung mit einem virtuellen Computer unter Verwendung von Azure Bastion

Azure Bastion schützt Ihre virtuellen Computer, indem es eine einfache, browserbasierte Konnektivität bereitstellt, ohne sie über öffentliche IP-Adressen verfügbar zu machen. Weitere Informationen finden Sie unter Was ist Azure Bastion?.

Verbinden Sie mit Ihrem virtuellen Computer über die folgenden Schritte:

Fügen Sie im zuvor erstellten virtuellen Netzwerk ein neues Subnetz mit dem Namen AzureBastionSubnet hinzu.
Geben Sie in der Suchleiste des Portals den Namen des zuvor erstellten virtuellen Computers ein, und wählen Sie ihn aus den Suchergebnissen aus.
Wählen Sie die Schaltfläche Verbinden und dann im Dropdownmenü Verbinden via Bastion aus.
Wählen Sie Deploy Bastion (Bastion bereitstellen) aus.
Geben Sie auf der Bastion-Seite die erforderlichen Authentifizierungsanmeldeinformationen ein, und wählen Sie dann "Verbinden" aus.

Schritt 7. Privates Zugreifen auf Fabric vom virtuellen Computer

Der nächste Schritt besteht darin, über den im vorherigen Schritt erstellten virtuellen Computer privat auf Fabric zuzugreifen, indem Sie die folgenden Schritte ausführen:

Öffnen Sie auf dem virtuellen Computer PowerShell.
Geben Sie nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net ein.
Sie erhalten eine Antwort ähnlich der folgenden Nachricht und können sehen, dass die private IP-Adresse zurückgegeben wird. Sie können sehen, dass der OneLake-Endpunkt und der Warehouse-Endpunkt auch private IPs zurückgeben.
Öffnen Sie den Browser, und navigieren Sie zu app.fabric.microsoft.com, um privat auf Fabric zuzugreifen.

Schritt 8: Deaktivieren des öffentlichen Zugriffs für Fabric

Schließlich können Sie ggf. den öffentlichen Zugriff für Fabric deaktivieren.

Wenn Sie den öffentlichen Zugriff für Fabric deaktivieren, werden bestimmte Einschränkungen für den Zugriff auf Fabric-Dienste wirksam, wie im nächsten Abschnitt beschrieben.

Wichtig

Wenn Sie " Internetzugriff blockieren" aktivieren, werden einige nicht unterstützte Fabric-Elemente deaktiviert. Erfahren Sie mehr über die vollständige Liste der Einschränkungen und Überlegungen in " Informationen zu privaten Links".

Um den öffentlichen Zugriff für Fabric zu deaktivieren, melden Sie sich beim Fabric-Dienst als Administrator an, und navigieren Sie zum Admin-Portal. Klicken Sie auf Mandanteneinstellungen, und scrollen Sie zum Abschnitt Advanced Networking (Erweitertes Netzwerk). Aktivieren Sie die Umschaltfläche in der Mandanteneinstellung Öffentlichen Internetzugriff blockieren.

Screenshot der aktivierten Mandanteneinstellung zur Blockierung des Zugriffs auf das öffentliche Internet.

Es dauert ungefähr 15 Minuten, bis das System den Zugriff Ihrer Organisation auf Fabric über das öffentliche Internet deaktiviert hat.

Abschluss der Konfiguration des privaten Endpunkts

Nachdem Sie die Schritte in den vorherigen Abschnitten abgeschlossen haben und der private Link erfolgreich konfiguriert wurde, implementiert Ihre Organisation private Links basierend auf den folgenden Konfigurationsauswahlen, unabhängig davon, ob die Auswahl bei der erstkonfiguration festgelegt oder später geändert wird.

Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierenaktiviert ist:

Fabric ist für Ihre Organisationen nur über private Endpunkte und nicht über das öffentliche Internet zugänglich.
Der Datenverkehr aus dem virtuellen Netz, der auf Endpunkte und Szenarien abzielt, die private Verbindungen unterstützen, wird über die private Verbindung transportiert.
Datenverkehr von Endpunkten und Szenarien, die private Links nicht unterstützen, werden vom Dienst blockiert.
Es kann Szenarien geben, die private Links nicht unterstützen und beim Dienst blockiert werden, wenn Block öffentlicher Internetzugriff aktiviert ist.

Wenn Azure Private Link ordnungsgemäß konfiguriert und Öffentlichen Internetzugriff blockierendeaktiviert ist:

Der Datenverkehr aus dem öffentlichen Internet ist von Fabric-Diensten zulässig.
Datenverkehr aus dem virtuellen Netzwerk, der Endpunkte und Szenarien unterstützt, die Private Links unterstützen, wird über den Private Link transportiert.
Datenverkehr von endpunkten und Szenarien, die private Links nicht unterstützen, werden über das öffentliche Internet transportiert und von Fabric-Diensten zugelassen.
Wenn das virtuelle Netzwerk zum Blockieren des öffentlichen Internetzugriffs konfiguriert ist, werden Szenarien, die private Links nicht unterstützen, vom virtuellen Netzwerk blockiert.

Im folgenden Video wird gezeigt, wie Sie mithilfe von privaten Endpunkten ein mobiles Gerät mit Fabric verbinden:

Hinweis

In diesem Video werden möglicherweise frühere Versionen von Power BI Desktop oder des Power BI-Diensts verwendet.

Weitere Fragen? Fragen Sie die Fabric-Community.

Deaktivieren der privaten Verbindung

Wenn Sie die Private Link-Einstellung deaktivieren möchten, müssen Sie alle von Ihnen erstellten privaten Endpunkte und die entsprechende private DNS-Zone löschen, bevor Sie die Einstellung deaktivieren. Wenn Ihr virtuelles Netzwerk private Endpunkte eingerichtet hat, der private Link jedoch deaktiviert ist, können Verbindungen aus diesem virtuellen Netzwerk fehlschlagen.

Wenn Sie die Einstellung "Privater Link" deaktivieren möchten, empfiehlt es sich, dies während nicht geschäftlicher Zeiten zu tun. Es kann bis zu 15 Minuten Ausfallzeit dauern, bis einige Szenarien die Änderung widerspiegeln.

Feedback

War diese Seite hilfreich?

Last updated on 2025-08-16