หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
การรับส่งข้อมูลขาเข้ากําลังเข้ามาใน Fabric จากอินเทอร์เน็ต บทความนี้อธิบายความแตกต่างระหว่างสองวิธีในการป้องกันการรับส่งข้อมูลขาเข้าใน Microsoft Fabric ลิงก์ส่วนตัว และการเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra ใช้บทความนี้เพื่อตัดสินใจว่าวิธีใดที่ดีที่สุดสําหรับองค์กรของคุณ
การเชื่อมโยง ส่วนตัว (ตัวเลือกที่ 1, Customer Vnet) - Fabric ใช้ที่อยู่ IP ส่วนตัวจากเครือข่ายเสมือนของคุณ จุดสิ้นสุดช่วยให้ผู้ใช้ในเครือข่ายของคุณสื่อสารกับ Fabric ผ่านที่อยู่ IP ส่วนตัวโดยใช้ลิงก์ส่วนตัว
การเข้าถึง แบบมีเงื่อนไข Entra - (ตัวเลือก 2, ผู้ใช้) - เมื่อผู้ใช้ตรวจสอบสิทธิ์การเข้าถึงโดยยึดตามชุดนโยบายที่อาจรวมถึงที่อยู่ IP ตําแหน่ง และอุปกรณ์ที่ได้รับการจัดการ
เมื่อปริมาณการใช้งานเข้า Fabric จะได้รับการรับรองโดย Microsoft Entra ID ซึ่งเป็นวิธีการรับรองความถูกต้องเดียวกับที่ใช้โดย Microsoft 365, OneDrive และ Dynamics 365 การรับรองความถูกต้องของ Microsoft Entra ID ช่วยให้ผู้ใช้สามารถเชื่อมต่อกับแอปพลิเคชันระบบคลาวด์ได้อย่างปลอดภัยจากอุปกรณ์ใด ๆ และเครือข่ายใด ๆ ไม่ว่าพวกเขาจะอยู่ที่บ้าน ระยะไกล หรือในสํานักงานขององค์กรของพวกเขา
แพลตฟอร์มแบ็กเอนด์ Fabric ได้รับการปกป้องโดยเครือข่ายเสมือนและไม่สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ตสาธารณะนอกเหนือจากผ่านจุดสิ้นสุดที่ปลอดภัย เพื่อให้เข้าใจว่าปริมาณการใช้งานได้รับการปกป้องใน Fabric อย่างไร ให้ทบทวนแผนภาพสถาปัตยกรรมของ Fabric
ตามค่าเริ่มต้น Fabric จะสื่อสารระหว่าง ประสบการณ์ การใช้งานโดยใช้เครือข่ายแกนกลางของ Microsoft ภายใน เมื่อรายงาน Power BI โหลดข้อมูลจาก OneLake ข้อมูลจะผ่านเครือข่าย Microsoft ภายใน การกําหนดค่านี้จะแตกต่างจากการตั้งค่าหลายแพลตฟอร์มเป็นบริการบริการ (PaaS) เพื่อเชื่อมต่อกันผ่านเครือข่ายส่วนตัว การสื่อสารขาเข้าระหว่างไคลเอ็นต์ เช่น เบราว์เซอร์ของคุณ หรือ SQL Server Management Studio (SSMS) และ Fabric ใช้โพรโทคอล TLS 1.2 และเจรจาต่อรองกับ TLS 1.3 เมื่อเป็นไปได้
การตั้งค่าการรักษาความปลอดภัยเริ่มต้นของ Fabric ประกอบด้วย:
Microsoft Entra ID ซึ่งใช้ในการรับรองความถูกต้องทุกคําขอ
เมื่อการรับรองความถูกต้องสําเร็จ คําขอจะถูกส่งไปยังบริการ Backend ที่เหมาะสมผ่านจุดสิ้นสุดที่จัดการโดย Microsoft ที่ปลอดภัย
ปริมาณการใช้งานภายในระหว่างประสบการณ์การใช้งานใน Fabric ถูกส่งผ่านแกนกลางของ Microsoft
การรับส่งข้อมูลระหว่างไคลเอ็นต์และ Fabric ถูกเข้ารหัสลับโดยใช้โพรโทคอล Transport Layer Security (TLS) 1.2 เป็นอย่างน้อย
การเข้าถึงแบบมีเงื่อนไขของ Microsoft Entra
ทุกการโต้ตอบกับ Fabric จะรับรองความถูกต้องกับ Microsoft Entra ID Microsoft Entra ID จะขึ้นอยู่กับ รูปแบบการรักษาความปลอดภัย Zero Trust ซึ่งสันนิษฐานว่าคุณไม่ได้รับการป้องกันอย่างสมบูรณ์ภายในขอบเขตเครือข่ายขององค์กรของคุณ แทนที่จะดูที่เครือข่ายของคุณเป็นขอบเขตความปลอดภัย Zero Trust จะดูข้อมูลประจําตัวเป็นขอบเขตหลักสําหรับการรักษาความปลอดภัย
ในการกําหนดการเข้าถึง ณ เวลาที่รับรองความถูกต้อง คุณสามารถกําหนดและบังคับใช้ นโยบายการเข้าถึงแบบมีเงื่อนไข ตามข้อมูลประจําตัว บริบทของอุปกรณ์ ตําแหน่งที่ตั้ง เครือข่าย และความไวของแอปพลิเคชันของผู้ใช้ ตัวอย่างเช่น คุณสามารถจําเป็นต้องมีการรับรองความถูกต้องแบบหลายปัจจัย การปฏิบัติตามข้อกําหนดของอุปกรณ์ หรือแอปที่ได้รับการอนุมัติสําหรับการเข้าถึงข้อมูลและทรัพยากรของคุณใน Fabric คุณยังสามารถบล็อกหรือจํากัดการเข้าถึงจากตําแหน่งที่ตั้ง อุปกรณ์ หรือเครือข่ายที่มีความเสี่ยงได้
นโยบายการเข้าถึงตามเงื่อนไขช่วยให้คุณปกป้องข้อมูลและแอปพลิเคชันของคุณโดยไม่ลดประสิทธิภาพและประสบการณ์ของผู้ใช้ นี่คือตัวอย่างบางส่วนของข้อจํากัดการเข้าถึงที่คุณสามารถบังคับใช้โดยใช้การเข้าถึงแบบมีเงื่อนไข
กําหนดรายการของ IP สําหรับการเชื่อมต่อขาเข้าไปยัง Fabric
ใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA)
จํากัดปริมาณการใช้งานตามพารามิเตอร์ เช่น ประเทศ/ภูมิภาค ของแหล่งที่มาหรือชนิดอุปกรณ์
Fabric ไม่รองรับวิธีการรับรองความถูกต้องอื่น ๆ เช่น คีย์บัญชีหรือการรับรองความถูกต้อง SQL ซึ่งขึ้นอยู่กับชื่อผู้ใช้และรหัสผ่าน
กําหนดค่าการเข้าถึงแบบมีเงื่อนไข
ใน การกําหนดค่าการเข้าถึงตามเงื่อนไขใน Fabric คุณจําเป็นต้องเลือกบริการ Azure ที่เกี่ยวข้องกับ Fabric หลายรายการ เช่น Power BI, Azure Data Explorer, ฐานข้อมูล Azure SQL และที่เก็บข้อมูล Azure
หมายเหตุ
การเข้าถึงแบบมีเงื่อนไขอาจถือว่ากว้างเกินไปสําหรับลูกค้าบางราย เนื่องจากนโยบายใดๆ ถูกนําไปใช้กับ Fabric และบริการ Azure ที่เกี่ยวข้อง
สิทธิ์การใช้งาน
การเข้าถึงแบบมีเงื่อนไขจําเป็นต้องมีสิทธิ์การใช้งาน Microsoft Entra ID P1 บ่อยครั้งที่สิทธิ์การใช้งานเหล่านี้พร้อมใช้งานแล้วในองค์กรของคุณเนื่องจากถูกแชร์กับผลิตภัณฑ์อื่น ๆ ของ Microsoft เช่น Microsoft 365 หากต้องการค้นหาสิทธิ์การใช้งานที่เหมาะสมสําหรับข้อกําหนดของคุณ โปรดดู ข้อกําหนดสิทธิ์การใช้งาน
การเข้าถึงที่เชื่อถือได้
Fabric ไม่จําเป็นต้องอยู่ในเครือข่ายส่วนตัวของคุณแม้ว่าคุณจะมีข้อมูลของคุณจัดเก็บไว้ภายใน ด้วยบริการ PaaS เป็นเรื่องปกติที่จะใส่การคํานวณในเครือข่ายส่วนตัวเดียวกันกับบัญชีเก็บข้อมูล อย่างไรก็ตาม สําหรับ Fabric ไม่จําเป็น เพื่อเปิดใช้งานการเข้าถึงที่เชื่อถือได้ลงใน Fabric คุณสามารถใช้คุณลักษณะต่าง ๆ เช่น เกตเวย์ข้อมูลภายในองค์กร การเข้าถึงพื้นที่ทํางานที่เชื่อถือได้ และจุดสิ้นสุดส่วนตัวที่มีการจัดการ สําหรับข้อมูลเพิ่มเติม ดูความปลอดภัยใน Microsoft Fabric
ลิงก์ส่วนตัว
ด้วยปลายทางส่วนตัว บริการของคุณจะถูกกําหนดที่อยู่ IP ส่วนตัวจากเครือข่ายเสมือนของคุณ จุดสิ้นสุดช่วยให้แหล่งข้อมูลอื่น ๆ ในเครือข่ายสื่อสารกับบริการผ่านที่อยู่ IP ส่วนตัว
การใช้ลิงก์ส่วนตัว จะเป็นช่องทางจากบริการลงในหนึ่งในเครือข่ายย่อยของคุณเพื่อสร้างช่องส่วนตัว การสื่อสารจากอุปกรณ์ภายนอกเดินทางจากที่อยู่ IP ของตนไปยังจุดสิ้นสุดส่วนตัวในเครือข่ายย่อยนั้นผ่านอุโมงค์และลงในบริการ
หลังจากใช้ลิงก์ส่วนตัวแล้ว Fabric จะไม่เข้าถึงผ่านอินเทอร์เน็ตสาธารณะอีกต่อไป หากต้องการเข้าถึง Fabric ผู้ใช้ทั้งหมดต้องเชื่อมต่อผ่านเครือข่ายส่วนตัว เครือข่ายส่วนตัวจําเป็นสําหรับการสื่อสารทั้งหมดกับ Fabric รวมถึงการดูรายงาน Power BI ในเบราว์เซอร์ และใช้ SQL Server Management Studio (SSMS) เพื่อเชื่อมต่อกับสตริงการเชื่อมต่อ SQL เช่น<guid_unique_your_item>.datawarehouse.fabric.microsoft.com
Fabric รองรับ Private Link สองระดับ:
ลิงก์ส่วนตัวระดับผู้เช่า ซึ่งให้นโยบายเครือข่ายแก่ผู้เช่าทั้งหมด สําหรับข้อมูลเพิ่มเติมเกี่ยวกับลิงก์ส่วนตัวระดับผู้เช่า โปรดดู ลิงก์ส่วนตัวสําหรับผู้เช่า Fabric
ลิงก์ส่วนตัวระดับพื้นที่ทํางาน ซึ่งให้การควบคุมที่ละเอียดยิ่งขึ้น ทําให้สามารถจํากัดการเข้าถึงพื้นที่ทํางานบางแห่งในขณะที่อนุญาตให้พื้นที่ทํางานที่เหลือยังคงเปิดอยู่สําหรับการเข้าถึงแบบสาธารณะ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับลิงก์ส่วนตัวระดับพื้นที่ทํางาน โปรดดู เกี่ยวกับลิงก์ส่วนตัวระดับพื้นที่ทํางาน
เครือข่ายภายในองค์กร
หากคุณกําลังใช้เครือข่ายภายในองค์กร คุณสามารถขยายไปยัง Azure Virtual Network โดยใช้วงจร ExpressRoute หรือ VPN แบบไซต์ต่อไซต์ เพื่อเข้าถึง Fabric โดยใช้การเชื่อมต่อส่วนตัว
แบนด์วิธ
ด้วยการเชื่อมโยงส่วนตัว การจราจรไปยัง Fabric ทั้งหมดจะเดินทางผ่านจุดสิ้นสุดส่วนตัวทําให้เกิดปัญหาแบนด์วิดท์ที่อาจเกิดขึ้น ผู้ใช้จะไม่สามารถโหลดทรัพยากรที่เกี่ยวข้องกับข้อมูลที่ไม่ใช่ข้อมูลแบบกระจายส่วนกลางเช่น รูปภาพ.css และไฟล์.html ที่ใช้โดย Fabric จากภูมิภาคของพวกเขา ทรัพยากรเหล่านี้ถูกโหลดจากตําแหน่งที่ตั้งของจุดสิ้นสุดส่วนตัว ตัวอย่างเช่น สําหรับผู้ใช้ออสเตรเลียที่มีจุดสิ้นสุดส่วนตัวของสหรัฐอเมริกา การจราจรไปยังสหรัฐอเมริกาก่อน ซึ่งเพิ่มเวลาในการโหลดและอาจลดประสิทธิภาพการทํางาน
ต้นทุน
ค่าใช้จ่ายของลิงก์ส่วนตัวและการเพิ่มขึ้นของแบนด์วิดท์ ExpressRoute เพื่ออนุญาตการเชื่อมต่อส่วนตัวจากเครือข่ายของคุณอาจเพิ่มค่าใช้จ่ายให้กับองค์กรของคุณ
ข้อควรพิจารณาและข้อจำกัด
ด้วยลิงก์ส่วนตัว คุณกําลังปิด Fabric กับอินเทอร์เน็ตสาธารณะ ด้วยเหตุนี้ จึงมีข้อควรพิจารณาและข้อจํากัดที่คุณต้องคํานึงถึงมากมาย