Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Fabric ondersteunt beveiligde gegevenstoegang via privékoppelingen, die gebruikmaken van Azure Private Link en privé-eindpunten om verkeer via de backbone van het privénetwerk van Microsoft te routeren in plaats van via het openbare internet. U kunt privékoppelingen configureren op zowel tenant- als werkruimteniveau. In dit artikel wordt uitgelegd hoe u privékoppelingen instelt voor een Fabric-tenant.
Bekijk voordat u begint de informatie in privékoppelingen voor Fabric-tenants. Als u privé-eindpunten wilt configureren, moet u een Fabric-beheerder zijn en machtigingen hebben in Azure om resources zoals virtuele machines (VM's) en virtuele netwerken (VNets) te maken en te configureren.
Stap 1. Privé-eindpunten instellen voor Fabric
Meld u als beheerder aan bij Fabric .
Zoek en vouw de instelling Azure Private Link uit.
Stel de wisselknop in op Ingeschakeld.
Het duurt ongeveer 15 minuten om een privékoppeling voor uw tenant te configureren, inclusief het configureren van een afzonderlijke FQDN (Fully Qualified Domain Name) voor de tenant om privé te communiceren met Fabric-services.
Wanneer dit proces is voltooid, gaat u verder met de volgende stap.
Stap 2. Een Microsoft.Power BI Private Link-services voor Power BI-resource maken in Azure Portal
Deze stap wordt gebruikt ter ondersteuning van Azure Private Endpoint-koppeling met uw Fabric-resource.
Meld u aan bij het Azure-portaal.
Selecteer Een resource maken.
Selecteer Maken onder Sjabloonimplementatie.
Selecteer op de pagina Aangepaste implementatie uw eigen sjabloon maken in de editor.
Maak in de editor de volgende infrastructuurresource met behulp van de ARM-sjabloon, zoals wordt weergegeven, waarbij
-
<resource-name>is de naam die u kiest voor de Fabric-resource. -
<tenant-object-id>is uw Microsoft Entra-tenant-id. Zie Hoe u uw Microsoft Entra-tenant-id kunt vinden.
{ "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": {}, "resources": [ { "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI", "apiVersion": "2020-06-01", "name" : "<resource-name>", "location": "global", "properties" : { "tenantId": "<tenant-object-id>" } } ] }Als u een Azure Government-cloud voor Power BI gebruikt,
locationmoet dit de regionaam van de tenant zijn. Als de tenant zich bijvoorbeeld in US Gov Texas bevindt, moet u de ARM-sjabloon invoeren"location": "usgovtexas". De lijst met Power BI-regio's voor de Amerikaanse overheid vindt u in het artikel over Power BI voor de Amerikaanse overheid.Belangrijk
Microsoft.PowerBI/privateLinkServicesForPowerBIAls waarde gebruikentype, ook al wordt de resource gemaakt voor Fabric.-
Sla de sjabloon op. Voer vervolgens de volgende gegevens in.
Instelling Weergegeven als Projectdetails Abonnement Selecteer uw abonnement. Resourcegroep Selecteer **Nieuwe maken. Voer test-PL in als de naam. Selecteer OK. Exemplaardetails Selecteer de regio. Regio 
Selecteer In het controlescherm maken om de voorwaarden te accepteren.
Stap 3. Een virtueel netwerk maken
Met de volgende procedure maakt u een virtueel netwerk met een resourcesubnet, een Azure Bastion-subnet en een Azure Bastion-host.
Het aantal IP-adressen dat uw subnet nodig heeft, is het aantal capaciteiten dat u hebt gemaakt op uw tenant plus 15. Als u bijvoorbeeld een subnet voor een tenant met zeven capaciteiten maakt, hebt u 22 IP-adressen nodig.
Meld u aan bij het Azure-portaal.
Voer virtuele netwerken in het zoekvak in en selecteer deze in de zoekresultaten.
Selecteer + Maken op de pagina Virtuele netwerken.
Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:
Instelling Weergegeven als Subscription Selecteer uw abonnement. Resourcegroep Selecteer de resourcegroep die u eerder hebt gemaakt voor de Private Link-service, zoals test-PL. Naam Voer een naam in voor uw virtuele netwerk, zoals vnet-1. Regio Selecteer de regio waar u de verbinding met Fabric start. 
Selecteer Volgende om door te gaan naar het tabblad Beveiliging . U kunt de standaardinstellingen behouden of wijzigen volgens de vereisten van uw organisatie.
Selecteer Volgende om door te gaan naar het tabblad IP-adressen . U kunt de standaardinstellingen behouden of wijzigen volgens de vereisten van uw organisatie.
Selecteer Opslaan.
Selecteer Beoordelen en maken onderaan het scherm. Wanneer de validatie is geslaagd, selecteert u Maken.
Stap 4. Maak een virtuele machine
De volgende stap bestaat uit het maken van een virtuele machine.
Meld u aan bij het Azure-portaal.
Ga naar Een virtuele machine voor rekenresources >> maken.
Voer op het tabblad Basisbeginselen de volgende gegevens in of selecteer deze:
Instelling Weergegeven als Subscription Selecteer bij Abonnement uw Azure-abonnement. Resourcegroep Selecteer dezelfde resourcegroep die u eerder hebt gebruikt toen u de private link-service maakte. Naam van virtuele machine Voer een naam in voor de nieuwe virtuele machine. Selecteer de infoballon naast de veldnaam om belangrijke informatie over namen van virtuele machines weer te geven. Regio Selecteer dezelfde regio die u eerder hebt gebruikt bij het maken van het virtuele netwerk. Beschikbaarheidsopties Kies voor testen geen infrastructuurredundantie vereist Beveiligingstype Laat de standaardinstelling staan. Beeld Selecteer de gewenste afbeelding. Kies bijvoorbeeld Windows Server 2022. VM-architectuur Laat de standaardwaarde x64 staan. Grootte Selecteer een grootte. Gebruikersnaam Voer een gebruikersnaam naar keuze in. wachtwoord Voer een wachtwoord naar keuze in. Het wachtwoord moet minstens 12 tekens lang zijn en moet voldoen aan de gedefinieerde complexiteitsvereisten. Wachtwoord bevestigen Voer het wachtwoord opnieuw in. Openbare binnenkomende poorten Kies Geen. 
Selecteer Volgende: Schijven.
Laat op het tabblad Schijven de standaardwaarden staan en selecteer Volgende: Netwerken.
Selecteer op het tabblad Netwerken de volgende informatie:
Instelling Weergegeven als Virtueel netwerk Selecteer het virtuele netwerk dat u eerder hebt gemaakt voor deze implementatie. Subnet Selecteer het standaardsubnet (bijvoorbeeld 10.0.0.0/24) dat u eerder hebt gemaakt als onderdeel van de installatie van het virtuele netwerk. Laat voor de rest van de velden de standaardwaarden staan.
Selecteer Controleren + maken. De pagina Beoordelen en maken wordt weergegeven, waar uw configuratie wordt gevalideerd in Azure.
Als u het bericht Validatie geslaagd ziet, selecteert u Maken.
Stap 5. Een privé-eindpunt maken
De volgende stap bestaat uit het maken van een privé-eindpunt voor Fabric.
Voer in het zoekvak boven aan de portal privé-eindpunt in. Selecteer Privé-eindpunten.
Selecteer + Maken in privé-eindpunten.
Voer op het tabblad Basisbeginselen van Een privé-eindpunt maken de volgende gegevens in of selecteer deze:
Instellingen Weergegeven als Projectdetails Abonnement Selecteer bij Abonnement uw Azure-abonnement. Resourcegroep Selecteer de resourcegroep die u eerder hebt gemaakt bij het maken van de Private Link-service in Azure. Exemplaardetails Naam Voer FabricPrivateEndpoint in. Als deze naam al wordt gebruikt, maakt u een unieke naam. Regio Selecteer de regio die u eerder hebt gemaakt voor uw virtuele netwerk. In de volgende afbeelding ziet u het venster Een privé-eindpunt maken - Basisinformatie .
Selecteer Volgende: Resource. Voer in het deelvenster Resource de volgende gegevens in of selecteer deze:
Instellingen Weergegeven als Verbindingsmethode Selecteer Verbinding maken met een Azure-resource in mijn directory. Abonnement Selecteer uw abonnement. Brontype Selecteer Microsoft.PowerBI/privateLinkServicesForPowerBI Bron Kies de Fabric-resource die u eerder hebt gemaakt bij het maken van de Private Link-service in Azure. Subresource van doel Tenant In de volgende afbeelding ziet u het venster Een privé-eindpunt maken - Resource .
Selecteer Volgende: Virtueel netwerk. Voer in Virtual Network de volgende gegevens in of selecteer deze.
Instellingen Weergegeven als NETWERKEN Virtueel netwerk Selecteer de naam van het virtuele netwerk dat u eerder hebt gemaakt (bijvoorbeeld vnet-1). Subnet Selecteer de naam van het subnet dat u eerder hebt gemaakt (bijvoorbeeld subnet-1). INTEGRATIE VAN PRIVÉ-DNS Integreren met privé-DNS-zone Selecteer Ja. Privé-DNS-zone Selecteer
(Nieuw)privatelink.analysis.windows.net
(Nieuw)privatelink.pbidedicated.windows.net
(Nieuw)privatelink.prod.powerquery.microsoft.com
Selecteer Volgende: Tags en vervolgens Volgende: Beoordelen en maken.
Selecteer Maken.
Stap 6. Verbinding maken met een virtuele machine via Bastion
Azure Bastion beveiligt uw virtuele machines door eenvoudige, browserconnectiviteit te bieden zonder dat u ze beschikbaar hoeft te maken via openbare IP-adressen. Zie Wat is Azure Bastion? voor meer informatie.
Maak verbinding met uw virtuele machine met behulp van de volgende stappen:
Voeg in het virtuele netwerk dat u eerder hebt gemaakt een nieuw subnet toe met de naam AzureBastionSubnet.
Typ in de zoekbalk van de portal de naam van de virtuele machine die u eerder hebt gemaakt en selecteer deze in de zoekresultaten.
Selecteer de knop Verbinding maken en kies Verbinding maken via Bastion in de vervolgkeuzelijst.
Selecteer Bastion implementeren.
Voer op de pagina Bastion de vereiste verificatiereferenties in en selecteer Vervolgens Verbinding maken.
Stap 7. Privétoegang tot Fabric krijgen vanaf de VIRTUELE machine
De volgende stap is om privé toegang te krijgen tot Fabric, vanaf de virtuele machine die u in de vorige stap hebt gemaakt, met behulp van de volgende stappen:
Open PowerShell op de virtuele machine.
Voer
nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.netin.U ontvangt een antwoord dat lijkt op het volgende bericht en u kunt zien dat het privé-IP-adres wordt geretourneerd. U kunt zien dat het OneLake-eindpunt en het warehouse-eindpunt ook privé-IP-adressen retourneren.
Open de browser en ga naar app.fabric.microsoft.com om privé toegang te krijgen tot Fabric.
Stap 8. Openbare toegang voor Fabric uitschakelen
Ten slotte kunt u optioneel openbare toegang uitschakelen voor Fabric.
Als u openbare toegang voor Fabric uitschakelt, worden bepaalde beperkingen voor toegang tot Fabric-services ingesteld, zoals beschreven in de volgende sectie.
Belangrijk
Wanneer u Internettoegang blokkeren inschakelt, worden sommige niet-ondersteunde Fabric-items uitgeschakeld. Meer informatie over de volledige lijst met beperkingen en overwegingen in Privékoppelingen.
Als u openbare toegang voor Fabric wilt uitschakelen, meldt u zich als beheerder aan bij Fabric en gaat u naar de beheerportal. Selecteer Tenantinstellingen en schuif naar de sectie Geavanceerd netwerken . Schakel de wisselknop in de tenantinstelling Openbare internettoegang blokkeren in.
Het duurt ongeveer 15 minuten voordat het systeem de toegang van uw organisatie tot Fabric vanaf het openbare internet uitschakelt.
Voltooiing van configuratie van privé-eindpunt
Zodra u de stappen in de vorige secties hebt voltooid en de privékoppeling is geconfigureerd, implementeert uw organisatie privékoppelingen op basis van de volgende configuratieselecties, ongeacht of de selectie is ingesteld bij de eerste configuratie of later wordt gewijzigd.
Als Azure Private Link juist is geconfigureerd en openbare internettoegang blokkeren is ingeschakeld:
- Infrastructuur is alleen toegankelijk voor uw organisatie vanuit privé-eindpunten en is niet toegankelijk vanaf het openbare internet.
- Verkeer van het virtuele netwerk gericht op eindpunten en scenario's die ondersteuning bieden voor privékoppelingen, worden via de privékoppeling vervoerd.
- Verkeer van het virtuele netwerk dat is gericht op eindpunten en scenario's die geen ondersteuning bieden voor privékoppelingen, worden geblokkeerd door de service.
- Er kunnen scenario's zijn die geen ondersteuning bieden voor privékoppelingen, die worden geblokkeerd bij de service wanneer openbare internettoegang blokkeren is ingeschakeld.
Als Azure Private Link juist is geconfigureerd en openbare internettoegang blokkeren is uitgeschakeld:
- Verkeer vanaf het openbare internet is toegestaan door Fabric-services.
- Verkeer van het virtuele netwerk dat gericht is op eindpunten en scenario's die ondersteuning bieden voor privékoppelingen, wordt via de privékoppeling vervoerd.
- Verkeer van het virtuele netwerk dat is gericht op eindpunten en scenario's die geen ondersteuning bieden voor privékoppelingen, wordt vervoerd via het openbare internet en is toegestaan door Fabric-services.
- Als het virtuele netwerk is geconfigureerd om openbare internettoegang te blokkeren, worden scenario's die geen ondersteuning bieden voor privékoppelingen geblokkeerd door het virtuele netwerk.
In de volgende video ziet u hoe u een mobiel apparaat verbindt met Fabric met behulp van privé-eindpunten:
Notitie
In deze video kunnen eerdere versies van Power BI Desktop of de Power BI-service worden gebruikt.
Meer vragen? Vraag het de Fabric Community.
Private Link uitschakelen
Als u de instelling Private Link wilt uitschakelen, moet u ervoor zorgen dat alle privé-eindpunten die u hebt gemaakt en de bijbehorende privé-DNS-zone worden verwijderd voordat u de instelling uitschakelt. Als uw virtuele netwerk privé-eindpunten heeft ingesteld, maar Private Link is uitgeschakeld, kunnen verbindingen van dit virtuele netwerk mislukken.
Als u de instelling Private Link wilt uitschakelen, is het raadzaam dit te doen tijdens niet-kantooruren. Het kan tot 15 minuten downtime duren voor sommige scenario's de wijziging weerspiegelen.