Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O tráfego de entrada é o tráfego que entra no Fabric a partir da Internet. Este artigo explica as diferenças entre as duas maneiras de proteger o tráfego de entrada no Microsoft Fabric, links privados e Acesso Condicional do Microsoft Entra. Use este artigo para decidir qual método é melhor para sua organização.
Links privados (Opção 1, VNet do cliente): o Fabric usa um endereço IP privado da sua rede virtual. O endpoint permite que os usuários em sua rede se comuniquem com o Fabric através do endereço IP particular usando conexões privadas.
Entra Conditional Access (Opção 2, Usuário) - Quando um usuário se autentica, o acesso é determinado com base em um conjunto de políticas que podem incluir endereço IP, localização e dispositivos gerenciados.
Depois que o tráfego entra no Fabric, ele é autenticado pelo Microsoft Entra ID, que é o mesmo método de autenticação usado pelo Microsoft 365, OneDrive e Dynamics 365. A autenticação do Microsoft Entra ID permite que os usuários se conectem com segurança a aplicativos de nuvem de qualquer dispositivo e rede, estejam eles em casa, remotamente ou em seu escritório corporativo.
A plataforma do backend Fabric é protegida por uma rede virtual e não é diretamente acessível a partir da Internet pública, exceto através de pontos de extremidade seguros. Para entender como o tráfego é protegido no Fabric, consulte o diagrama de arquitetura do Fabric.
Por padrão, o Fabric se comunica entre experiências usando a rede interna de backbone da Microsoft. Quando um relatório do Power BI carrega dados do OneLake, os dados passam pela rede interna da Microsoft. Essa configuração é diferente de ter que configurar vários serviços PaaS (plataforma como serviço) para se conectarem uns aos outros por meio de uma rede privada. A comunicação de entrada entre clientes, como seu navegador ou o SQL Server Management Studio (SSMS) e o Fabric, usa o protocolo TLS 1.2 e negocia com o TLS 1.3 quando possível.
As configurações de segurança padrão do Fabric incluem:
ID do Microsoft Entra, que é usada para autenticar todas as solicitações.
Após a autenticação bem-sucedida, as solicitações são roteadas para o serviço de back-end apropriado por meio de pontos de extremidade gerenciados seguros da Microsoft.
O tráfego interno entre as experiências no Fabric é roteado pelo backbone da Microsoft.
O tráfego entre clientes e o Fabric é criptografado usando pelo menos o protocolo TLS (Transport Layer Security) 1.2.
Acesso Condicional do Microsoft Entra
Cada interação com o Fabric é autenticada com o Microsoft Entra ID. O Microsoft Entra ID é baseado no modelo de segurança Confiança Zero , que pressupõe que você não tem proteção total no perímetro de rede da sua organização. Em vez de olhar para sua rede como um marco de delimitação de segurança, a Confiança Zero analisa a identidade como o perímetro principal para a segurança.
Para determinar o acesso no momento da autenticação, você pode definir e impor políticas de acesso condicional com base na identidade, no contexto do dispositivo, no local, na rede e na sensibilidade do aplicativo dos usuários. Por exemplo, você pode exigir autenticação multifator, conformidade de dispositivo ou aplicativos aprovados para acessar seus dados e recursos no Fabric. Você também pode bloquear ou limitar o acesso de locais, dispositivos ou redes arriscados.
As políticas de acesso condicional ajudam a proteger seus dados e aplicativos sem comprometer a produtividade e a experiência do usuário. Aqui estão alguns exemplos de restrições de acesso que você pode impor usando o acesso condicional.
Defina uma lista de IPs para conectividade de entrada com o Fabric.
Use a MFA (autenticação multifator).
Restrinja o tráfego com base em parâmetros como país/região de origem ou tipo de dispositivo.
O Fabric não oferece suporte a outros métodos de autenticação, como chaves de conta ou autenticação SQL, que dependem de nomes de usuário e senhas.
Configurar o acesso condicional
Para configurar o acesso condicional no Fabric, você precisa selecionar vários serviços do Azure relacionados ao Fabric, como o Power BI, o Azure Data Explorer, o Banco de Dados SQL do Azure e o Armazenamento do Azure.
Observação
O acesso condicional pode ser considerado muito amplo para alguns clientes, pois qualquer política é aplicada ao Fabric e aos serviços relacionados do Azure.
Licenciamento
O Acesso Condicional requer licenças do Microsoft Entra ID P1. Muitas vezes, essas licenças já estão disponíveis em sua organização porque são compartilhadas com outros produtos da Microsoft, como o Microsoft 365. Para encontrar a licença certa para seus requisitos, consulte Requisitos de licença.
Acesso confiável
O Fabric não precisa residir em sua rede privada, mesmo quando você tem seus dados armazenados dentro de uma. Com os serviços de PaaS, é comum colocar a computação na mesma rede privada que a conta de armazenamento. No entanto, com o Fabric não é necessário. Para habilitar o acesso confiável ao Fabric, você pode usar recursos como gateways de dados locais, acesso a espaço de trabalho confiável e pontos de extremidade privados gerenciados. Para obter mais informações, consulte Segurança no Microsoft Fabric.
Links privados
Com pontos de extremidade privados, o serviço recebe um endereço IP privado de sua rede virtual. O ponto de extremidade permite que outros recursos na rede se comuniquem com o serviço pelo endereço IP privado.
Usando links privados, um túnel do serviço para uma das suas sub-redes cria um canal privado. A comunicação de dispositivos externos viaja do endereço IP para um ponto de extremidade privado nessa sub-rede, pelo túnel e para o serviço.
Após a implementação de links privados, o Fabric não é mais acessado pela Internet pública. Para acessar o Fabric, todos os usuários precisam se conectar por meio da rede privada. A rede privada é necessária para todas as comunicações com o Fabric, incluindo a exibição de um relatório do Power BI no navegador e o uso do SQL Server Management Studio (SSMS) para se conectar a uma cadeia de conexão do SQL como <guid_unique_your_item>.datawarehouse.fabric.microsoft.com.
O Fabric dá suporte a dois níveis de Link Privado:
Links privados no nível do locatário, que fornecem política de rede para todo o locatário. Para obter mais informações sobre links privados no nível do locatário, consulte links privados para locatários do Fabric.
Links privados no nível do workspace, que fornecem controle mais granular, possibilitando restringir o acesso a determinados workspaces, permitindo que o restante dos workspaces permaneça aberto para acesso público. Para obter mais informações sobre links privados no nível do workspace, consulte Sobre links privados no nível do workspace.
Redes locais
Se você estiver usando redes locais, poderá estendê-las à Rede Virtual do Azure usando um circuito do ExpressRoute ou uma VPN site a site para acessar o Fabric usando conexões privadas.
Bandwidth
Com links privados, todo o tráfego para o Fabric passa pelo endpoint privado, causando potenciais problemas de largura de banda. Os usuários não podem mais carregar recursos globais distribuídos não relacionados a dados, como imagens .css e arquivos .html usados pelo Fabric, de sua região. Esses recursos são carregados do local do ponto de extremidade privado. Por exemplo, para usuários australianos com um endpoint privado nos EUA, o tráfego viaja para os EUA primeiro. Isso aumenta os tempos de carregamento e pode reduzir o desempenho.
Custo
O custo dos links privados e o aumento da largura de banda do ExpressRoute para permitir a conectividade privada de sua rede podem adicionar custos à sua organização.
Considerações e limitações
Com links privados, você está fechando o Fabric para a Internet pública. Como resultado, há muitas considerações e limitações que você precisa levar em conta.