Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como criar um espaço de trabalho com a proteção contra exfiltração de dados habilitada e como gerenciar os locatários aprovados do Microsoft Entra para esse espaço de trabalho.
Observação
Não é possível alterar a configuração do espaço de trabalho para a rede virtual gerenciada e a proteção contra exfiltração de dados após a criação do espaço de trabalho.
Pré-requisitos
- Permissões para criar um recurso de espaço de trabalho no Azure.
- Permissões de espaço de trabalho do Synapse para criar pontos de extremidade privados geridos.
- Subscrições registadas para o fornecedor de recursos de rede. Mais informações.
Siga as etapas listadas em Guia de início rápido: criar um espaço de trabalho Synapse para começar a criar seu espaço de trabalho. Antes de criar seu espaço de trabalho, use as informações abaixo para adicionar proteção contra exfiltração de dados ao seu espaço de trabalho.
Adicione proteção contra exfiltração de dados ao criar seu espaço de trabalho
- Na guia Rede, marque a caixa de seleção "Habilitar rede virtual gerenciada".
- Selecione "Sim" para a opção "Permitir tráfego de dados de saída apenas para destinos aprovados".
- Escolha os locatários aprovados do Microsoft Entra para este espaço de trabalho.
- Revise a configuração e crie o espaço de trabalho.
Gerenciar locatários aprovados do Microsoft Entra para o espaço de trabalho
- No portal do Azure do espaço de trabalho, navegue até "Locatários aprovados do Microsoft Entra". A lista de locatários aprovados do Microsoft Entra para o espaço de trabalho será listada aqui. O locatário do espaço de trabalho é incluído por padrão e não está listado.
- Use "+Adicionar" para incluir novos locatários na lista aprovada.
- Para remover um locatário do Microsoft Entra da lista aprovada, selecione o locatário e selecione "Excluir" e, em seguida, "Salvar".
Conectando-se a recursos do Azure em locatários aprovados do Microsoft Entra
Você pode criar pontos de extremidade privados gerenciados para se conectar aos recursos do Azure que residem em locatários do Microsoft Entra, que são aprovados para um espaço de trabalho. Siga as etapas listadas no guia para criar pontos de extremidade privados gerenciados.
Importante
Os recursos em locatários diferentes do locatário do espaço de trabalho não devem ter regras de firewall impeditivas em vigor, para que os pools de SQL possam conectar-se a eles. Os recursos dentro da rede virtual gerida da área de trabalho, como os clusters do Apache Spark, podem ligar-se através de ligações privadas geridas aos recursos protegidos pela firewall.
Limitações conhecidas
Os usuários podem fornecer um arquivo de configuração de ambiente para instalar pacotes Python de repositórios públicos como o PyPI. Em espaços de trabalho protegidos por exfiltração de dados, as conexões com repositórios de saída são bloqueadas. Como resultado, bibliotecas Python instaladas a partir de repositórios públicos como o PyPI não são suportadas.
Como alternativa, os usuários podem carregar pacotes de espaço de trabalho ou criar um canal privado em sua conta principal do Armazenamento do Azure Data Lake. Para obter mais informações, visite Gerenciamento de pacotes no Azure Synapse Analytics
A ingestão de dados de um Hub de Eventos em pools do Data Explorer não funcionará se o espaço de trabalho Synapse usar uma rede virtual gerida com a proteção contra exfiltração de dados ativada.
Próximos passos
- Saiba mais sobre a proteção contra exfiltração de dados em espaços de trabalho Synapse
- Saiba mais sobre a Rede Virtual do espaço de trabalho gerenciado
- Saiba mais sobre endpoints privados gerenciados
- Criar pontos de extremidade privados gerenciados para suas fontes de dados