Configurar e usar links privados no nível do locatário

O Microsoft Fabric dá suporte ao acesso seguro a dados por meio de links privados, que usam o Link Privado do Azure e pontos de extremidade privados para rotear o tráfego pelo backbone de rede privada da Microsoft em vez da Internet pública. Você pode configurar links privados no locatário e no nível do workspace. Este artigo explica como configurar links privados para um locatário do Fabric.

Para configurar pontos de extremidade privados, você precisa ser um administrador do Fabric e ter permissões no Azure para criar e configurar recursos como VMs (máquinas virtuais) e VNets (redes virtuais).

Etapa 1. Configure pontos de extremidade privados para o Fabric

Inicie sessão à Fabric como administrador.
Vá para as configurações do locatário.
Procure e expanda a configuração Link privado do Azure.
Defina a alternância como Habilitado.

Leva cerca de 15 minutos para configurar um link privado para seu locatário, incluindo a configuração de um FQDN separado (nome de domínio totalmente qualificado) para que o locatário se comunique de forma privada com os serviços do Fabric.

Depois que esse processo for concluído, você poderá avançar para a próxima etapa.

Etapa 2. Crie serviços de link privado do Microsoft.PowerBI para o recurso do Power Bi no portal do Azure

Esta etapa é usada para oferecer suporte à associação do ponto de extremidade privado do Azure com o recurso do Fabric.

Entre no portal do Azure.
Selecione Criar um recurso.
Em Implantação de modelo, selecione Criar.
Na página Implantação personalizada, selecione Criar seu modelo no editor.
No editor, crie o seguinte recurso do Fabric usando o modelo do ARM, conforme mostrado, em que
- <resource-name> é o nome escolhido para o recurso do Fabric.
- <tenant-object-id> é a sua ID de locatário do Microsoft Entra. Veja Instruções para procurar a ID de locatário do Microsoft Entra.
```
{
  "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {},
  "resources": [
      {
          "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
          "apiVersion": "2020-06-01",
          "name" : "<resource-name>",
          "location": "global",
          "properties" : 
          {
               "tenantId": "<tenant-object-id>"
          }
      }
  ]
}
```
Se você estiver usando uma nuvem do Azure Governamental para o Power BI, location deverá ser o nome da região do locatário. Por exemplo, se o locatário estiver no US Gov - Texas, você deverá colocar "location": "usgovtexas" no modelo do ARM. A lista de regiões do Governo dos EUA do Power BI pode ser encontrada no artigo Power BI para o governo dos EUA.

Importante

Use Microsoft.PowerBI/privateLinkServicesForPowerBI como type valor, mesmo que o recurso esteja sendo criado para o Fabric.

Salve o modelo. Em seguida, insira as informações a seguir.

Configuração	Valor
Detalhes do projeto
Subscription	Selecione sua assinatura.
Grupo de recursos	Escolha **Criar novo. Insira teste-PL como nome. Selecione OK.
Detalhes da instância	Selecione a região.
Region

Captura de tela da guia Noções Básicas de Implantação Personalizada.

Na tela de revisão, selecione Criar para aceitar os termos e as condições.

Etapa 3. Criar uma rede virtual

O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Azure Bastion.

O número de endereços IP que sua sub-rede precisa é o número de capacidades que você criou em seu locatário mais 15. Por exemplo, se você estiver criando uma sub-rede para um locatário com sete capacidades, precisará de 22 endereços IP.

Entre no portal do Azure.
Na caixa de pesquisa, insira redes virtuais e selecione-as nos resultados da pesquisa.
Na página Redes virtuais, selecione + Criar.

Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:

Configuração	Valor
Subscription	Selecione sua assinatura.
Grupo de recursos	Selecione o grupo de recursos que você criou anteriormente para o serviço de link privado, como test-PL.
Nome	Insira um nome para sua rede virtual, como vnet-1.
Região	Selecione a região onde você iniciará a conexão com o Fabric.

Captura de tela da guia “Básico” em “Criar uma rede virtual”.

Selecione Avançar para prosseguir para a guia Segurança . Você pode manter as configurações padrão ou modificá-las de acordo com os requisitos da sua organização.
Selecione Avançar para prosseguir para a guia Endereços IP . Você pode manter as configurações padrão ou modificá-las de acordo com os requisitos da sua organização.
Selecione Salvar.
Escolha Revisar + criar na parte inferior da tela. Quando a validação for aprovada na validação, selecione Criar.

Etapa 4. Criar uma máquina virtual

A próxima etapa é criar uma máquina virtual.

Entre no portal do Azure.
Vá para Criar máquinas virtuais de computação > de recurso>.

Na guia Básico, insira ou selecione as informações a seguir:

Configuração	Valor
Subscription	Selecione sua Assinatura do Azure.
Grupo de recursos	Selecione o mesmo grupo de recursos que você usou anteriormente quando criou o serviço de link privado.
Nome da máquina virtual	Insira um nome para a nova máquina virtual. Escolha o balão de informações ao lado do nome de campo para ver informações importantes sobre nomes das máquinas virtuais.
Região	Selecione a mesma região usada anteriormente ao criar a rede virtual.
Opções de disponibilidade	Para teste, escolha Não requer redundância de infraestrutura
Tipo de segurança	Deixar o padrão.
Imagem	Escolha a imagem desejada. Por exemplo, escolha Windows Server 2022.
Arquitetura da VM	Mantenha o padrão x64.
Tamanho	Selecione um tamanho.
Nome de usuário	Insira um nome de usuário de sua escolha.
Senha	Insira uma senha de sua escolha. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.
Confirmar senha	Reinsira a senha.
Portas de entrada públicas	Escolha Nenhuma.

Selecione Avançar: Discos.
Na tab Disks, mantenha os padrões e escolha Avançar: Redes.

Na tab Rede, escolha as seguintes informações:

Configuração	Valor
Rede virtual	Selecione a rede virtual que você criou anteriormente para essa implantação.
Subnet	Selecione a sub-rede padrão (por exemplo, 10.0.0.0/24) que você criou anteriormente como parte da configuração da rede virtual.

Para o restante dos campos, deixe os padrões.

Selecione Examinar + criar. Você é levado até a página Examinar + criar, na qual o Azure valida sua configuração.
Quando vir a mensagem Validação aprovada, selecione Criar.

Etapa 5. Criar um ponto de extremidade privado

A próxima etapa é criar um ponto de extremidade privado para o Fabric.

Na caixa de pesquisa, na parte superior do portal, insira Ponto de extremidade privado. Selecionar pontos de extremidade privados.
Selecione + Criar em Pontos de extremidade privados.

Na guia Noções básicas de Criar um ponto de extremidade privado, insira ou selecione as informações a seguir:

Configurações	Valor
Detalhes do projeto
Subscription	Selecione sua Assinatura do Azure.
Grupo de recursos	Selecione o grupo de recursos que você criou anteriormente ao criar o serviço de link privado no Azure.
Detalhes da instância
Nome	Insira FabricPrivateEndpoint. Se esse nome já estiver sendo usado, crie um nome exclusivo.
Region	Selecione a região que você criou anteriormente para sua rede virtual.

A imagem a seguir mostra a janela Criar um ponto de extremidade privado – Informações Básicas.

Captura de tela da guia “Básico” em “Criar um ponto de extremidade privado”.

Selecione Avançar: Recurso. No painel Recurso, insira ou selecione as informações a seguir:

Configurações	Valor
Método de conexão	Selecione conectar-se a um recurso do Azure em meu diretório.
Subscription	Selecione sua assinatura.
Tipo de recurso	Selecione Microsoft.PowerBI/privateLinkServicesForPowerBI
Recurso	Escolha o recurso do Fabric que você criou anteriormente ao criar o serviço de link privado no Azure.
Sub-recurso de destino	Locatário

A imagem a seguir mostra a janela Criar um ponto de extremidade privado – Recurso.

Captura de tela da janela Criar um recurso de ponto de extremidade privado.

Selecione Próximo: Rede Virtual. Em Rede virtual, insira ou selecione as informações a seguir.

Configurações	Valor
REDE
Rede virtual	Selecione o nome da rede virtual que você criou anteriormente (por exemplo , vnet-1).
Sub-rede	Selecione o nome da sub-rede que você criou anteriormente (por exemplo , sub-rede-1).
INTEGRAÇÃO DE DNS PRIVADO
Integrar com a zona DNS privado	Selecione Sim na barra superior.
Zona DNS privado	Selecione (Novo)privatelink.analysis.windows.net (Novo)privatelink.pbidedicated.windows.net (New)privatelink.prod.powerquery.microsoft.com

Captura de tela da janela Criar DNS de ponto de extremidade privado.

Selecione Avançar: Tags, depois Avançar: Examinar + criar.
Selecione Criar.

Etapa 6. Conecte-se a uma VM usando o Azure Bastion

O Azure Bastion protege as máquinas virtuais fornecendo conectividade leve baseada em browser sem a necessidade de expô-las por meio de endereços IP públicos. Para obter mais informações, confira O que é o Azure Bastion?.

Conecte-se à VM usando as etapas a seguir:

Na rede virtual que você criou anteriormente, adicione uma nova sub-rede chamada AzureBastionSubnet.
Na barra de pesquisa do portal, digite o nome da máquina virtual que você criou anteriormente e selecione-o nos resultados da pesquisa.
Escolha o botão Connect e escolha Conexão via Bastion no menu suspenso.
Selecione Implementar Bastion.
Na página do Bastion , insira as credenciais de autenticação necessárias e selecione Conectar.

Etapa 7. Acesse o Fabric na VM em modo privado

A próxima etapa será acessar o Fabric em modo privado na máquina virtual criada na etapa anterior usando as seguintes etapas:

Na máquina virtual, abra o PowerShell.
Digite nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net.
Você recebe uma resposta semelhante à seguinte mensagem e pode ver que o endereço IP privado é retornado. Você pode ver que o ponto de extremidade OneLake e o ponto de extremidade Warehouse também devolvem IPs privados.
Abra o browser e vá para app.fabric.microsoft.com para acessar o Fabric de modo privado.

Etapa 8. Desabilite o acesso público ao Fabric

Por fim, opcionalmente, você pode desabilitar o acesso público para o Fabric.

Se você desabilitar o acesso público para o Fabric, determinadas restrições sobre o acesso aos serviços do Fabric serão implementadas, descritas na próxima seção.

Importante

Quando você ativa o Block Internet Access, alguns itens do Fabric sem suporte ficam desabilitados. Conheça a lista completa de limitações e considerações em Sobre links privados.

Para desabilitar o acesso público para o Fabric, inicie a sessão no Fabric como administrador e navegue até o portal Administração. Selecione Configurações de locatário e role a página até a seção Rede avançada. Habilite o botão de alternância na configuração do locatário Bloquear acesso público à internet.

Captura de tela que mostra a configuração do locatário Bloquear o Acesso Público à Internet habilitada.

São necessários aproximadamente 15 minutos para que o sistema desabilite o acesso da organização ao Fabric na internet pública.

Conclusão da configuração de ponto de extremidade privado

Depois de concluir as etapas nas seções anteriores e o link privado for configurado com êxito, sua organização implementará links privados com base nas seguintes seleções de configuração, se a seleção for definida na configuração inicial ou alterada posteriormente.

Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver habilitado:

O Fabric só poderá ser acessado pela organização a partir de pontos de extremidade privados e não poderá ser acessado pela internet pública.
O tráfego da rede virtual que direciona pontos de extremidade e cenários que dão suporte a links privados será transportado por meio do link privado.
O tráfego da rede virtual direcionado a pontos de extremidade e cenários que não dão suporte a links privados são bloqueados pelo serviço.
Pode haver cenários que não dão suporte a links privados, que são bloqueados no serviço quando o bloqueio do acesso à Internet público está habilitado.

Se Link Privado do Azure estiver configurado corretamente e Bloquear acesso público à Internet estiver desabilitado:

O tráfego da Internet pública é permitido pelos serviços do Fabric.
O tráfego da rede virtual direcionado a pontos de extremidade e cenários que dão suporte a links privados é transportado por meio do link privado.
O tráfego da rede virtual direcionada a pontos de extremidade e cenários que não dão suporte a links privados é transportado pela Internet pública e é permitido pelos serviços do Fabric.
Se a rede virtual estiver configurada para bloquear o acesso público à Internet, cenários que não dão suporte a links privados serão bloqueados pela rede virtual.

O seguinte vídeo mostra instruções para conectar um dispositivo móvel ao Fabric usando pontos de extremidade privados:

Observação

Este vídeo pode usar versões anteriores do Power BI Desktop ou do serviço do Power BI.

Mais perguntas? Pergunte à comunidade do Fabric.

Desabilitar Link Privado

Se você quiser desabilitar a configuração de Link Privado, verifique se todos os pontos de extremidade privados criados e a zona DNS privada correspondente serão excluídos antes de desabilitar a configuração. Se sua rede virtual tiver pontos de extremidade privados configurados, mas o Link Privado estiver desabilitado, as conexões dessa rede virtual poderão falhar.

Se você for desabilitar a configuração de Link Privado, é recomendável fazer isso durante o horário de não-negócios. Pode levar até 15 minutos de tempo de inatividade para alguns cenários refletirem a alteração.

Comentários

Esta página foi útil?

Last updated on 2025-08-16