Microsoft Fabric のワークスペース レベルのプライベート リンクは、プライベート ネットワーク経由で特定のワークスペース リソースに安全に接続する方法を提供します。 この記事では、サポートされているシナリオと項目の種類について説明し、現在の制限事項を強調し、ワークスペース レベルのプライベート リンクを使用するためのベスト プラクティスとトラブルシューティングに関するガイダンスを提供します。
ワークスペース レベルのプライベート リンクでサポートされている項目の種類
ワークスペース レベルのプライベート リンクを使用して、Fabric で次の項目の種類に接続できます。
- Lakehouse、SQL エンドポイント、ショートカット
- OneLake エンドポイント経由の直接接続
- Notebook、Spark ジョブ定義、環境
- 機械学習実験,機械学習モデル
- パイプライン
- ジョブのコピー
- マウントされた Data Factory
- 倉庫
- データフロー Gen2 (CI/CD)
- 変数ライブラリ
- ミラー データベース
- Eventstream
- イベントハウス
サポートされていない項目の種類に関する注意事項
ワークスペース レベルのプライベート リンクが有効になっているワークスペースでは、次の項目の種類は現在サポートされていません。
- デプロイメントパイプライン
- 既定のセマンティック モデル
ワークスペースにサポートされていない項目の種類が含まれている場合、ワークスペース レベルのプライベート リンクが設定されている場合でも、ワークスペースの受信パブリック アクセスを制限することはできません。
同様に、受信パブリック アクセスを制限するようにワークスペースが既に構成されている場合、サポートされていない項目の種類をそのワークスペースに作成することはできません。
サポートされていない項目の種類を使用する場合は、次の考慮事項に注意してください。
デプロイ パイプライン: デプロイ パイプラインに割り当てられているワークスペースは、現在ワークスペース レベルのプライベート リンクをサポートしていないので、パブリック アクセスをブロックするように構成することはできません。
既定のセマンティック モデル: 既存のレイクハウス、ウェアハウス、ミラー化されたデータベースでは、ワークスペース レベルのプライベート リンクをサポートしない既定のセマンティック モデルが使用されるため、ワークスペースへのパブリック アクセスをブロックできなくなります。 この既定のセマンティック モデルの制限を回避するには、最初にパブリック アクセスをブロックするようにワークスペースを構成してから、Lakehouse、Warehouse、またはミラー化されたデータベースを作成します。
サポートされている項目の種類の管理オプション
このセクションでは、Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペースでサポートされている項目の種類を管理する方法について説明します。
Fabric Core のサポート
v1/workspaces/{workspaceId}を含むエンドポイントを含む API は、特定のワークスペースのコンテキスト内で動作するため、ワークスペース レベルのプライベート リンクをサポートします。 これに対し、管理者 API はエンドポイントで admin/workspaces/{workspaceId} を使用し、ワークスペース レベルのプライベート リンクではカバーされません。
パブリック アクセスをブロックするためのテナント レベルの設定によって管理されるため、管理者 API は制限されたワークスペースでもアクセス可能なままになります。
- 項目 - REST API (Core): 詳細については、個々の項目の種類も確認します。
- フォルダー - REST API (Core)
- Git - REST API (Core)
- マネージド プライベート エンドポイント - REST API (Core)
- ジョブ スケジューラ - REST API (Core)
- OneLake データ アクセス セキュリティ - データ アクセス ロールの作成または更新 - REST API (コア)
-
OneLake ショートカット - REST API (コア)
- 制限付きワークスペースから、外部ストレージなどの他のデータ ソースへのショートカットを作成したり、信頼できるアクセスを使用したりできます。
- 別の制限付きワークスペースへのショートカットを作成する場合は、マネージド プライベート エンドポイントを作成し、Azure のターゲット ワークスペースのプライベート リンク サービス所有者から承認を取得する必要があります。 詳細については、「 クロスワークスペース通信」を参照してください。
- ショートカット変換は、制限付きワークスペースでは現在サポートされていません。
- タグ - REST API (コア)
- ワークスペース - REST API (Core)
- 外部データ共有プロバイダー - REST API (Core): 受信者は、ワークスペースの完全修飾ドメイン名 (FQDN) を使用して共有 OneLake URL にアクセスする必要があります。
注
- ネットワーク通信ポリシー API: ワークスペース レベルのネットワーク設定では、 ワークスペースネットワーク通信ポリシー API は制限されません。 この API は、ワークスペースへのパブリック アクセスがブロックされている場合でも、パブリック ネットワークから引き続きアクセスできます。 テナント レベルのネットワーク制限は引き続き適用されます。 表 1 も参照してください。テナントとプライベート リンクの設定に基づくワークスペース通信ポリシー API へのアクセス。
- デプロイ パイプライン: デプロイ パイプライン内のワークスペースがパブリック アクセスを拒否するように設定されている場合 (制限付き)、デプロイ パイプラインはそのワークスペースに接続できません。 パイプラインに割り当てられているワークスペースでは、受信制限の構成がブロックされます。
- アイテム共有: アイテムの共有はサポートされていません。 アイテムが既にユーザーと共有されている場合、それらのユーザーは共有リンクを使用してアイテムにアクセスできなくなります。
Lakehouse のサポート
Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペースで Lakehouse を作成および管理します。
倉庫のサポート
Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のウェアハウスを作成および管理します。
- 倉庫 を作成する
ワークスペース レベルのプライベート リンクでウェアハウス接続文字列を使用するには、通常のウェアハウス接続文字列に z{xy} を追加します。 例えば次が挙げられます。
https://{GUID}-{GUID}.z{xy}.datawarehouse.fabric.microsoft.com
ウェアハウス接続文字列を使用して、SQL Server Management Studio などのツールで SQL テーブル データ ストリーム (TDS) エンドポイントを介してウェアハウスにアクセスすることもできます。
SQL エンドポイントのサポート
Fabric ポータルまたは REST API を使用して、SQL エンドポイントのワークスペース プライベート リンク サービス接続文字列を検索します。
ノートブックのサポート
Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のノートブックを管理します。
Livy エンドポイントのサポート
プライベート リンクが有効になっているワークスペースの Fabric ポータルまたは API を使用して、ステートメントを作成して実行するか、Livy エンドポイントを使用してバッチ ジョブを実行します。
Livy セッション ジョブは、Livy API との対話期間中アクティブなままの Spark セッションを確立します。 Livy セッションは、対話型ワークロードに最適です。 セッションはジョブの送信時に開始され、明示的に終了するか、システムが非アクティブ状態の 20 分後に終了するまで使用できます。 同じセッション内で複数のジョブを実行し、状態とキャッシュされたデータを共有できます。
Livy バッチ ジョブでは、1 回の実行のために Spark アプリケーションを送信する必要があります。 Livy セッション ジョブとは異なり、バッチ ジョブは永続的な Spark セッションを維持しません。 各 Livy バッチ ジョブは、ジョブの完了時に終了する新しい Spark セッションを開始します。 このメソッドは、キャッシュされたデータに依存しないタスクや、ジョブ間で状態を維持する必要があるタスクに適しています。
Spark ジョブ定義のサポート
プライベート リンクが有効になっているワークスペース内の Fabric ポータルまたは API を使用して、Spark ジョブ定義項目の作成、読み取り、更新、削除を行います。
環境のサポート
Fabric ポータルを使用してプライベート リンクで有効になっているワークスペース内の環境を管理するか、環境 REST API を使用して環境項目の作成、読み取り、更新、削除を行います。
注
Spark の場合、フレンドリ名を使用するワークスペース レベルのプライベート リンクは機能しません。
機械学習実験のサポート
Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペースの機械学習実験を管理します。
機械学習モデルのサポート
Items - REST API (MLModel) を使用して、プライベート リンクで有効になっているワークスペースの機械学習モデルを管理します。
パイプライン、コピー ジョブ、およびマウントされたデータファクトリーのサポート
Fabric ポータルまたは次の REST API を使用して、プライベート リンクで有効になっているワークスペース内のパイプライン、コピー ジョブ、マウントされたデータ ファクトリを管理します。
次のシナリオはサポートされていません。
- ウェアハウスへのコピーはサポートされていません。
- Eventhouse へのコピーはサポートされていません。
- OneLake ステージングは現在サポートされていません。
Eventstream のサポート
Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のイベントストリームを管理し、イベントストリーム項目を作成し、そのトポロジを表示します。
Eventstream API では、グラフのような構造を使用して Eventstream 項目を定義します。これは、ソース、宛先、演算子、ストリームの 4 つのコンポーネントで構成されます。
現在、Eventstream では、限られたソースと宛先のセットに対してのみワークスペース プライベート リンクがサポートされています。 Eventstream API ペイロードにサポートされていないコンポーネントを含めた場合、要求が失敗する可能性があります。
次のシナリオはサポートされていません。
- ソースとしてのカスタム エンドポイントはサポートされていません。
- 宛先としてのカスタム エンドポイントはサポートされていません。
- 宛先としての Eventhouse (直接インジェスト モード) はサポートされていません。
- ターゲットとしてのアクティベーターはサポートされていません。
Eventhouse のサポート
Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内のイベントハウスを管理します。
次のシナリオはサポートされていません。
- Eventstreams からのイベントの使用
- SQL Server TDS エンドポイント
データフロー Gen2 (CI/CD) のサポート
Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペースのデータフロー Gen2 を管理します。
出力先を含め、仮想ネットワーク データ ゲートウェイに基づく接続を使用する必要があります。 仮想ネットワーク データ ゲートウェイは、ワークスペースで使用されるワークスペース レベルのプライベート リンク エンドポイントと同じ仮想ネットワーク内に存在する必要があります。
Power Platform Dataflow Connector: ワークスペースのプライベート リンクが有効になっていて、そのワークスペース内の 2 つのデータフロー (データフロー A とデータフロー B) に対してパブリック アクセスが拒否されている場合、データフローはナビゲーターに表示されないため、Power Platform Dataflow Connector を使用して他のデータフローに接続することはできません。
変数ライブラリのサポート
Fabric ポータルまたは REST API を使用して、プライベート リンクで有効になっているワークスペース内の変数ライブラリを管理します。
ミラー化されたデータベースのサポート
プライベート リンクで有効になっているワークスペース内のミラー化されたデータベースは、Fabric ポータルまたは REST API を使用して管理できます。
注
- 現在、ワークスペース レベルのプライベート リンクは、 オープン ミラーリング、 Azure Cosmos DB ミラーリング、 Azure SQL Managed Instance ミラーリング 、 および SQL Server 2025 ミラーリングでサポートされています。 他の種類のデータベース ミラーリングでは、ワークスペースが受信パブリック アクセスを拒否するように構成されている場合、アクティブなミラー化されたデータベースは一時停止状態になり、ミラーリングを開始できません。
- オープン ミラーリングの場合、ワークスペースが受信パブリック アクセスを拒否するように構成されている場合は、パブリッシャーがワークスペース FQDN を持つプライベート リンクを介して OneLake ランディング ゾーンにデータを書き込みます。
サポートされている管理ツールとサポートされていない管理ツール
- Fabric ポータルまたは REST API を使用して、ワークスペースのプライベート リンクが有効になっているワークスペースで サポートされているすべての項目の種類 を管理できます。 ワークスペースでパブリック アクセスが許可されている場合、Fabric ポータルは引き続きパブリック接続を使用して機能します。 受信パブリック アクセスを拒否するようにワークスペースが構成されている場合は、要求がワークスペースの関連付けられているプライベート エンドポイントから送信された場合にのみ、ファブリック ポータルでアクセスできます。 パブリック接続または別のプライベート エンドポイントからアクセスを試みると、Fabric ポータルに "アクセスが制限されています" というメッセージが表示されます。
- ワークスペース レベルのプライベート リンクを使用している場合、監視ハブ レベル 2 (L2) ページへのディープリンクが正常に機能しない可能性があります。 L2 ページにアクセスするには、まず Fabric ポータルで監視ハブのレベル 1 (L1) ページに移動します。
- SQL Server Management Studio (SSMS) は、ワークスペース レベルのプライベート リンクを介してウェアハウスに接続するためにサポートされています。
- Storage Explorer は、ワークスペース レベルのプライベート リンクと共に使用できます。
- Azure Storage Explorer、PowerShell、AzCopy、およびその他の Azure Storage ツールは、プライベート リンクを介して OneLake に接続できます。
- OneLake エクスプローラーを使用するには、パブリック アクセスまたはテナント プライベート リンクを使用して、テナントにアクセスできる必要があります。
考慮事項と制限事項
- ワークスペース レベルのプライベート リンク機能は、ファブリック容量 (F SKU) でのみサポートされます。 Premium (P SKU) や試用版の容量など、その他の容量はサポートされていません。
- 既存のプライベート リンク サービスが設定されている場合、ワークスペースは削除できません。
- ワークスペースごとに作成できるプライベート リンク サービスは 1 つだけで、各ワークスペースに含めることができるプライベート リンク サービスは 1 つだけです。 ただし、1 つのプライベート リンク サービスに対して複数のプライベート エンドポイントを作成できます。
- ワークスペースのプライベート エンドポイントの制限は 100 です。 この制限を引き上げる必要がある場合は、サポート チケットを作成します。
- テナントごとに作成できるワークスペース PLS の制限: 500。 この制限を引き上げる必要がある場合は、サポート チケットを作成します。
- 1 分あたり最大 10 個のワークスペース プライベート リンク サービスを作成できます。
- 現在、ファブリック ポータル UI では、ワークスペースの受信保護 (ワークスペース レベルのプライベート リンク) と送信アクセス保護の両方を同時に有効にすることはできません。 両方の設定を一緒に構成するには、 ワークスペース - ネットワーク通信ポリシーの設定 API を使用します。これにより、受信と送信の保護ポリシーを完全に管理できます。
- データ エンジニアリング ワークロードの場合:
- ワークスペース レベルのプライベート リンクが有効になっているワークスペースの Lakehouse ファイルまたはテーブルに対してクエリを実行するには、ワークスペース間で管理されるプライベート エンドポイント接続を作成して、他のワークスペース内のリソースにアクセスする必要があります。
- 相対パスまたは完全パスを使用して、同じワークスペース内のファイルまたはテーブルに対してクエリを実行したり、クロスワークスペースマネージド プライベート エンドポイント接続を使用して別のワークスペースからアクセスしたりできます。 別のワークスペースにある Lakehouse 内のファイルを読み取る場合は、ワークスペース ID と lakehouse ID (表示名ではなく) を含む完全修飾パスを使用します。 この方法により、Spark セッションでパスを正しく解決でき、ソケット タイムアウト エラーが回避されます。 詳細については、こちらを参照してください。
- イベントハウスでの Private Link の現在の制限事項:
- Copilot の機能: 既知の回帰により、機械学習ワークロードで機能が制限される場合があります。
- Eventstream pull: Eventstream ワークロードは現在、完全なポーリング機能をサポートしていません。
- 現在、Fabric は Event Hub の統合をサポートしていません。
- OneLake 経由でのキューインジェストは現在利用できません。
- Private Link がアクティブ化されている場合、[ OneLake Catalog - Govern]\(OneLake カタログ - 管理 \) タブは使用できません。
- ワークスペースレベルのプライベート リンクがワークスペースに対して有効になっている場合、OneLake Security は現在サポートされていません。
- ワークスペースレベルのプライベート リンクがワークスペースに対して有効になっている場合、ワークスペースの監視は現在サポートされていません。
一般的なエラーとトラブルシューティング
受信ポリシーによって拒否された要求
パブリック アクセスを制限するように構成されたワークスペースにアクセスしようとすると、ユーザーは次のエラーが発生します。
"errorCode": "RequestDeniedByInboundPolicy",
"message": "Request is denied due to inbound communication policy"
原因: このエラーは、ワークスペースの通信ポリシーで許可されていないネットワークの場所から要求が行われた場合に発生します。
軽減策:
- 許可されているネットワークの場所に存在するかどうかを確認します。
- ワークスペース レベルのプライベート リンクを使用してワークスペースにアクセスする場合は、ワークスペースの FQDN を使用していることを確認します。
ワークスペース内のサポートされていない項目
パブリック アクセスを制限するようにワークスペースを設定しようとすると、ユーザーは次のエラーが発生します。
"errorCode": "InboundRestrictionNotEligible",
"message": "This workspace contains items that do not comply with requested policy"
原因: このエラーは、ワークスペースレベルのプライベート リンクと互換性のない 1 つ以上の項目がワークスペースに含まれているために発生します。 その結果、パブリック アクセスを制限するようにワークスペースを構成することはできません。
軽減策: このワークスペースでサポートされていない項目を削除するか、代わりに別のワークスペースを使用します。