Partager via

Configurer et utiliser des liaisons privées au niveau de l’espace de travail

Les liaisons privées améliorent la sécurité en acheminant le trafic via Azure Private Link et les points de terminaison privés, ce qui garantit que les données restent sur le réseau privé de Microsoft plutôt que sur l’Internet public. Microsoft Fabric offre des liaisons privées à deux étendues : au niveau du locataire et au niveau de l’espace de travail. Les liaisons privées au niveau du locataire sécurisent tous les espaces de travail au sein d’un locataire, tandis que les liaisons privées au niveau de l’espace de travail vous permettent de gérer l’accès réseau pour des espaces de travail spécifiques individuellement.

Cet article fournit des instructions pour configurer des liens privés au niveau de l’espace de travail dans Fabric.

Prerequisites

  • L’espace de travail doit être affecté à une capacité Fabric (SKU F). D’autres capacités, telles que la référence SKU Premium (P) et les capacités d’essai, ne sont pas prises en charge.
  • Un administrateur Fabric doit activer le paramètre client Configurer les règles de réseau entrant au niveau de l’espace de travail. Pour plus d’informations, consultez Activer la protection d’accès entrant de l’espace de travail pour votre locataire.
  • Vous avez besoin de l’ID de l’espace de travail. Recherchez-la dans l’URL après group.
  • Vous avez besoin de l’ID de locataire. Dans le portail Fabric, sélectionnez le point d’interrogation dans le coin supérieur droit, puis sélectionnez À propos de Power BI. L’ID de locataire est la partie ctid de l’URL du locataire.
  • Vous devez être administrateur d’espace de travail et disposer des autorisations Azure suffisantes pour configurer un service de liaison privée dans Azure.
  • Vous devez être administrateur d’espace de travail pour configurer la stratégie de communication de l’espace de travail.
  • Si c’est la première fois que vous configurez des liaisons privées au niveau de l’espace de travail dans votre locataire, réinscrivez le fournisseur de ressources Microsoft.Fabric dans Azure pour les abonnements contenant la ressource de liaison privée de l’espace de travail et le point de terminaison privé. Dans le portail Azure, accédez auxfournisseurs de ressources> des >, sélectionnez Microsoft.Fabric, puis réinscrire.

Étape 1. Créer un espace de travail dans Fabric

Créez un espace de travail dans Fabric. Vérifiez que l’espace de travail est affecté à une capacité Fabric. Vous pouvez vérifier l’affectation en accédant aux paramètres de l’espace de travail et en sélectionnant les informations de licence, comme décrit à l’étape 1 de réaffecter un espace de travail à une autre capacité.

Pour créer un service de liaison privée, déployez un modèle ARM dans Azure en procédant comme suit :

  1. Connectez-vous au portail Azure.

  2. Dans la barre de recherche du portail Azure, recherchez un modèle personnalisé , puis sélectionnez-le dans les options disponibles.

  3. Dans la page Déploiement personnalisé , sélectionnez Générer votre propre modèle dans l’éditeur.

  4. Dans l’éditeur, créez une ressource Fabric à l’aide du modèle ARM suivant, où :

    • <resource-name> est le nom que vous choisissez pour la ressource Fabric.
    • <tenant-object-id> est votre ID de locataire Microsoft Entra. Découvrez comment trouver votre ID de locataire Microsoft Entra.
    • <workspace-id> est l’ID d’espace de travail que vous avez noté dans le cadre des conditions préalables.
    {
      "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {},
      "resources": [
        {
          "type": "Microsoft.Fabric/privateLinkServicesForFabric",
          "apiVersion": "2024-06-01",
          "name": "<resource-name>",
          "location": "global",
          "properties": {
            "tenantId": "<tenant-id>",
            "workspaceId": "<workspace-id>"
          }
        }
      ]
    }

Vous trouverez des détails sur le service Private Link dans le fichier JSON.

Vous pouvez également trouver la ressource de service de liaison privée dans le groupe de ressources, mais vous devez sélectionner Afficher les ressources masquées.

Étape 3. Créer un réseau virtuel

La procédure suivante crée un réseau virtuel avec un sous-réseau de ressources, un sous-réseau Azure Bastion et un hôte Azure Bastion.

Nous vous recommandons de réserver au moins 10 adresses IP pour chaque point de terminaison privé au niveau de l’espace de travail pour une utilisation ultérieure. Actuellement, nous créons cinq adresses IP par liaison privée au niveau de l’espace de travail dans le sous-réseau.

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche, entrez réseaux virtuels et sélectionnez-le dans les résultats de la recherche.

  3. Dans la page Réseaux virtuels , sélectionnez + Créer.

  4. Sous l’onglet Informations de base de créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

    Réglage Valeur
    Subscription Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez le groupe de ressources que vous avez créé précédemment pour le service de liaison privée, tel que test-PL.
    Nom Entrez un nom pour votre réseau virtuel, tel que vnet-1.
    Region Sélectionnez la région dans laquelle vous lancerez la connexion à Fabric.

    Capture d’écran de l’onglet Informations de base dans Créer un réseau virtuel.

  5. Sélectionnez Suivant pour passer à l’onglet Sécurité . Vous pouvez conserver les paramètres par défaut ou les modifier en fonction des exigences de votre organisation.

  6. Sélectionnez Suivant pour passer à l’onglet Adresses IP . Vous pouvez conserver les paramètres par défaut ou les modifier en fonction des exigences de votre organisation.

    Capture d’écran de l’onglet Adresses IP dans Créer un réseau virtuel.

  7. Cliquez sur Enregistrer.

  8. Sélectionnez Vérifier + créer en bas de l’écran. Lorsque la validation réussit, sélectionnez Créer.

Étape 4. Créer une machine virtuelle

  1. Connectez-vous au portail Azure.

  2. Accédez à Créer des machines virtuelles de calcul > de ressources>.

  3. Sous l’onglet Informations de base , entrez ou sélectionnez les informations suivantes :

    Réglage Valeur
    Subscription Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez le même groupe de ressources que celui que vous avez utilisé précédemment lors de la création du service de liaison privée.
    Nom de la machine virtuelle Entrez un nom pour la nouvelle machine virtuelle. Sélectionnez la bulle d’informations en regard du nom du champ pour afficher des informations importantes sur les noms de machines virtuelles.
    Region Sélectionnez la même région que celle utilisée précédemment lors de la création du réseau virtuel.
    Options de disponibilité Pour les tests, choisissez Aucune redondance d’infrastructure requise
    Type de sécurité Conservez la valeur par défaut.
    Image Sélectionnez l’image souhaitée. Par exemple, choisissez Windows Server 2022.
    Architecture de machine virtuelle Conservez la valeur par défaut de x64.
    Taille Sélectionnez une taille.
    Nom d’utilisateur Entrez un nom d’utilisateur de votre choix.
    Mot de passe Entrez un mot de passe de votre choix. Le mot de passe doit comporter au moins 12 caractères et répondre aux exigences de complexité définies.
    Confirmer le mot de passe Reenter le mot de passe.
    Ports entrants publics Choisissez Aucun.

    Capture d’écran de l’onglet Créer des bases de machine virtuelle.

  4. Sélectionnez Suivant : Disques.

  5. Sous l’onglet Disques , conservez les valeurs par défaut et sélectionnez Suivant : Mise en réseau.

  6. Sous l’onglet Mise en réseau , sélectionnez les informations suivantes :

    Réglage Valeur
    Réseau virtuel Sélectionnez le réseau virtuel que vous avez créé précédemment pour ce déploiement.
    Sous-réseau Sélectionnez le sous-réseau par défaut (par exemple, 10.0.0.0/24) que vous avez créé précédemment dans le cadre de la configuration du réseau virtuel.

    Pour le reste des champs, conservez les valeurs par défaut.

    Capture d’écran de l’onglet Créer un réseau de machines virtuelles.

  7. Sélectionnez Vérifier + créer. Vous accédez à la page Vérifier + créer où Azure valide votre configuration.

  8. Lorsque vous voyez le message de validation passé , sélectionnez Créer.

Étape 5. Créer un point de terminaison privé

Créez un point de terminaison privé dans le réseau virtuel que vous avez créé à l’étape 3 et pointez sur le service de liaison privée que vous avez créé à l’étape 2.

  1. Dans la zone de recherche située en haut du portail, entrez le point de terminaison privé. Sélectionnez points de terminaison privés.

  2. Sélectionnez + Créer dans des points de terminaison privés.

  3. Sous l’onglet Informations de base de Créer un point de terminaison privé, entrez ou sélectionnez les informations suivantes :

    Réglage Valeur
    Subscription Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez le groupe de ressources que vous avez créé précédemment lors de la création du service de liaison privée dans Azure.
    Nom Entrez un nom unique.
    Nom de l’interface réseau Entrez FabricPrivateEndpointNIC. Si ce nom est pris, créez un nom unique.
    Region Sélectionnez la région que vous avez créée précédemment pour votre réseau virtuel.

    Capture d’écran de l’onglet Informations de base dans Créer un point de terminaison privé.

  4. Sélectionnez Suivant : Ressource. Dans le volet Ressources , entrez ou sélectionnez les informations suivantes.

    Réglage Valeur
    Méthode de connexion Sélectionnez Se connecter à une ressource Azure dans mon annuaire.
    Subscription Sélectionnez votre abonnement.
    Type de ressource Sélectionnez Microsoft.Fabric/privateLinkServicesForFabric
    Resource Choisissez la ressource Fabric que vous avez créée précédemment lors de la création du service de liaison privée dans Azure.
    Sous-ressource cible workspace

    L’image suivante montre la fenêtre Créer un point de terminaison privé - Fenêtre Ressource .

    Capture d’écran de l’onglet Ressource dans Créer un point de terminaison privé.

  5. Sélectionnez Suivant : Réseau virtuel. Dans le réseau virtuel, entrez ou sélectionnez les informations suivantes.

    Réglage Valeur
    Réseau virtuel Sélectionnez le nom de réseau virtuel que vous avez créé précédemment (par exemple vnet-1).
    Sous-réseau Sélectionnez le nom de sous-réseau que vous avez créé précédemment (par exemple , sous-réseau-1).

  6. Sélectionnez Suivant : DNS. Sous Intégration DNS privée, entrez ou sélectionnez les informations suivantes.

    Réglage Valeur
    Intégrer à une zone DNS privée Sélectionnez Oui.
    Zone DNS privée Choisir
    (Nouveau)privatelink.fabric.microsoft.com

    Capture d’écran de l’onglet DNS dans Créer un point de terminaison privé.

  7. Sélectionnez Suivant : Balises, puis Suivant : Vérifier + créer.

  8. Cliquez sur Créer.

Étape 6. Se connecter à la machine virtuelle

Azure Bastion protège vos machines virtuelles en fournissant une connectivité légère basée sur un navigateur sans avoir à les exposer via des adresses IP publiques. Pour plus d’informations, consultez Qu’est-ce qu’Azure Bastion ?.

Connectez-vous à votre machine virtuelle en procédant comme suit :

  1. Dans le réseau virtuel que vous avez créé précédemment, ajoutez un nouveau sous-réseau nommé AzureBastionSubnet.

    Capture d’écran de la création d’AzureBastionSubnet.

  2. Dans la barre de recherche du portail, tapez le nom de la machine virtuelle que vous avez créée précédemment, puis sélectionnez-le dans les résultats de la recherche.

  3. Sélectionnez le bouton Se connecter , puis choisissez Se connecter via Bastion dans le menu déroulant.

    Capture d’écran de l’option Se connecter via Bastion.

  4. Sélectionnez Déployer Bastion.

  5. Dans la page Bastion , entrez les informations d’identification d’authentification requises, puis sélectionnez Se connecter.

Étape 7. Accéder à Fabric en privé à partir de la machine virtuelle

Ensuite, accédez à Fabric en privé à partir de la machine virtuelle que vous avez créée à l’étape précédente. Cette étape vérifie que le point de terminaison privé est correctement configuré et que vous pouvez résoudre le nom de domaine complet de l’espace de travail Fabric en adresse IP privée.

  1. Dans la machine virtuelle, ouvrez l’invite de commandes.

  2. Entrez la commande suivante :

    nslookup {workspaceid}.z{xy}.w.api.fabric.microsoft.com

    workspaceid est l’ID d’objet de l’espace de travail sans tirets, et xy représente les deux premiers caractères de l’ID d’objet de l’espace de travail.

  3. L’adresse IP privée est retournée.

Étape 8. Refuser l’accès public à l’espace de travail

Vous pouvez éventuellement refuser l’accès public à l’espace de travail. Lorsque l’espace de travail est défini pour refuser l’accès public, cela signifie que l’espace de travail est accessible uniquement via une liaison privée au niveau de l’espace de travail. Vous pouvez utiliser le portail Fabric ou l’API Microsoft Graph pour créer la règle d’accès pour refuser l’accès public.

Note

Le paramètre au niveau de l’espace de travail pour refuser l’accès public peut prendre jusqu’à 30 minutes.

  1. Dans le portail Fabric, sélectionnez l’espace de travail que vous souhaitez configurer.

  2. Sélectionnez Paramètres de l’espace de travail.

  3. Sélectionnez Mise en réseau entrante.

  4. Sous Paramètres de connexion de l’espace de travail, sélectionnez Autoriser les connexions uniquement à partir de liens privés au niveau de l’espace de travail.

    Capture d’écran montrant les paramètres de connexion de l’espace de travail avec le bouton radio sélectionné pour l’option Autoriser les connexions uniquement à partir de liaisons privées du niveau de l’espace de travail.

  5. Sélectionnez Appliquer.

  • Last updated on