既定では、 受信パブリック アクセスが制限されている ワークスペースでは、他のワークスペースからの接続が制限されます。 このシナリオでワークスペース間通信を有効にするには、マネージド プライベート エンドポイントまたはデータ ゲートウェイを使用する必要があります。
これらのオプションは、クライアントと一方または両方のワークスペースの間にプライベート エンドポイントが存在する場合でも必要です。 その理由は、(クライアントではなく) ソース ワークスペースが接続を開始することです。 ターゲット ワークスペースで受信パブリック アクセスが許可されている場合、他のワークスペースからの接続は追加の構成なしで許可されます。
マネージド プライベート エンドポイント
マネージド プライベート エンドポイントは、ソース ワークスペース (次の図のワークスペース 1) からターゲット ワークスペース (ワークスペース 2) への信頼関係を確立します。 信頼関係により、ソース ワークスペースからターゲット ワークスペースへの接続が許可されます。 Microsoft Fabric ポータルまたは API のワークスペース設定を使用して、マネージド プライベート エンドポイントを作成できます。
ターゲット ワークスペースへのマネージド プライベート エンドポイントを作成するには、ターゲット ワークスペースの Azure Private Link サービスのリソース ID が必要です。 このリソース ID は、ワークスペースのリソース JSON を表示することで Azure で確認できます。 JSON 内のワークスペース ID が目的のターゲット ワークスペースと一致していることを確認します。
ワークスペース 2 の Private Link サービス所有者は、Azure プライベート リンク センターのマネージド プライベート エンドポイントの要求を承認する必要があります>接続待ち。
マネージド プライベート エンドポイントを使用するワークスペース間接続は、現在、次のシナリオに制限されています。
- あるワークスペースから別のワークスペースへのショートカット アクセス。
- 別のワークスペース内のレイクハウスにアクセスする 1 つのワークスペース内のノートブック。 ノートブックがソース ワークスペース内にある場合、ターゲット ワークスペースに接続するには、ワークスペースの完全修飾ドメイン名 (FQDN) を使用する必要があります。
- 別のワークスペース内のノートブックにアクセスする 1 つのワークスペース内のパイプライン。
- 別のワークスペース内のレイクハウスにアクセスする 1 つのワークスペース内のイベントストリーム。
- インジェスト前にイベント処理を使用しているときに、あるワークスペース内のイベントストリームが別のワークスペースのイベントハウスにアクセスする。
マネージド プライベート エンドポイントを使用してワークスペース間通信を設定する方法の例については、次の記事を参照してください。
- 開いているワークスペース内のノートブックから受信制限付きワークスペース内のレイクハウスにアクセスする
- パイプラインを使用して、開いているワークスペースから受信制限付きワークスペース内のレイクハウスにアクセスする
データ ゲートウェイ
仮想ネットワーク データ ゲートウェイまたはオンプレミス データ ゲートウェイ (OPDG) を使用して、受信パブリック アクセスを制限するポリシーを持つワークスペースとのクロスワークスペース通信を確立できます。 どちらのオプションでも、データ ゲートウェイを保持するプライベート エンドポイントを仮想ネットワーク上に作成する必要があります。 このプライベート エンドポイントは、ターゲット ワークスペースの Private Link サービスを指している必要があります。
仮想ネットワーク データ ゲートウェイ
次の図は、仮想ネットワーク データ ゲートウェイを介して接続がどのように確立されるかを示しています。
例については、「 仮想ネットワーク ゲートウェイを使用して Power BI から受信制限付きレイクハウス データにアクセスする」を参照してください。
オンプレミス データ ゲートウェイ
次の図は、OPDG を介して接続がどのように確立されるかを示しています。
オンプレミス データ ゲートウェイを使用してワークスペース間通信を設定する方法の例については、「オンプレミス データ ゲートウェイを使用 して Power BI から受信制限付き Lakehouse データにアクセスする」を参照してください。