หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
การป้องกันการเข้าถึงขาออกของพื้นที่ทํางานใน Microsoft Fabric ช่วยให้ผู้ดูแลระบบรักษาความปลอดภัยการเชื่อมต่อข้อมูลขาออกจากรายการในพื้นที่ทํางานไปยังทรัพยากรภายนอก ด้วยคุณสมบัตินี้ ผู้ดูแลระบบสามารถบล็อกการเชื่อมต่อขาออกทั้งหมด แล้วอนุญาตเฉพาะการเชื่อมต่อที่ได้รับอนุมัติไปยังทรัพยากรภายนอกผ่านการเชื่อมต่อที่ปลอดภัย คุณสามารถควบคุมความปลอดภัยของข้อมูลขององค์กรได้อย่างละเอียด เนื่องจากคุณสามารถจํากัดการเชื่อมต่อสําหรับพื้นที่ทํางานที่เฉพาะเจาะจงในขณะที่อนุญาตให้ผู้อื่นรักษาการเข้าถึงแบบเปิดได้
บทความนี้แสดงภาพรวมของการป้องกันการเข้าถึงขาออกของพื้นที่ทํางานและตัวเลือกการกําหนดค่า
Note
นอกเหนือจากการป้องกันการเข้าถึงขาออกแล้ว Microsoft Fabric ยังให้การรักษาความปลอดภัย ขาเข้า โดยการสนับสนุนลิงก์ส่วนตัว เรียนรู้เพิ่มเติมเกี่ยวกับการกําหนดค่าลิงก์ส่วนตัวที่ระดับผู้เช่าและระดับพื้นที่ทํางาน
มีการควบคุมการเข้าถึงขาออกในระดับพื้นที่ทํางานอย่างไร
เมื่อเปิดใช้งานการป้องกันการเข้าถึงขาออกสําหรับพื้นที่ทํางาน การเชื่อมต่อขาออกทั้งหมดจากพื้นที่ทํางานจะถูกบล็อกตามค่าเริ่มต้น ผู้ดูแลระบบพื้นที่ทํางานสามารถสร้างข้อยกเว้นเพื่ออนุญาตการเชื่อมต่อขาออกที่เฉพาะเจาะจงได้ ข้อยกเว้นเหล่านี้ถูกสร้างขึ้นโดยใช้ ปลายทางส่วนตัวที่มีการจัดการ ซึ่งเป็นการเชื่อมต่อเครือข่ายที่ช่วยให้คุณสามารถเชื่อมโยงรายการพื้นที่ทํางานกับแหล่งข้อมูลภายนอกที่รองรับผ่านเครือข่ายเสมือนส่วนตัวได้อย่างปลอดภัย คุณยังสามารถเชื่อมต่อกับพื้นที่ทํางานอื่นๆ ภายในผู้เช่าเดียวกันได้โดยใช้จุดสิ้นสุดส่วนตัวที่มีการจัดการร่วมกับบริการลิงก์ส่วนตัว
การใช้ปลายทางส่วนตัวที่มีการจัดการเพื่ออนุญาตการเข้าถึงขาออก
ผู้ดูแลระบบสามารถใช้ปลายทางส่วนตัวที่มีการจัดการเพื่อสร้างรายการที่อนุญาตของทรัพยากรภายนอกที่ได้รับอนุมัติซึ่งสามารถเข้าถึงได้จากพื้นที่ทํางาน โดยค่าเริ่มต้น การเชื่อมต่อขาออกทั้งหมดจะถูกบล็อกเมื่อเปิดใช้งานการป้องกันการเข้าถึงขาออก จากนั้นผู้ดูแลระบบสามารถกําหนดค่าปลายทางส่วนตัวที่มีการจัดการเพื่ออนุญาตการเชื่อมต่อกับทรัพยากรภายนอกพื้นที่ทํางานได้อย่างชัดเจน
ในแผนภาพนี้:
พื้นที่ทํางาน A และพื้นที่ทํางาน B มีการเปิดใช้งานการป้องกันการเข้าถึงขาออก พวกเขาสามารถเชื่อมต่อกับทรัพยากรทั้งหมดที่รองรับปลายทางส่วนตัวผ่านปลายทางส่วนตัวที่มีการจัดการจากพื้นที่ทํางานไปยังปลายทาง ตัวอย่างเช่น พื้นที่ทํางาน A สามารถเชื่อมต่อกับเซิร์ฟเวอร์ SQL ได้เนื่องจากมีจุดสิ้นสุดส่วนตัวที่มีการจัดการที่ตั้งค่าไปยังเซิร์ฟเวอร์ SQL
พื้นที่ทํางานที่เปิดใช้งานการป้องกันการเข้าถึงขาออกสามารถเชื่อมต่อกับพื้นที่ทํางานอื่นในผู้เช่าเดียวกันได้ ในสถานการณ์สมมตินี้ จุดสิ้นสุดส่วนตัวที่มีการจัดการจะถูกกําหนดค่าในพื้นที่ทํางานต้นทางที่ชี้ไปยังพื้นที่ทํางานเป้าหมาย และบริการลิงก์ส่วนตัวถูกเปิดใช้งานบนพื้นที่ทํางานเป้าหมาย ในไดอะแกรม พื้นที่ทํางาน B เชื่อมต่อกับพื้นที่ทํางาน C โดยใช้การตั้งค่านี้ ทําให้รายการในพื้นที่ทํางาน B สามารถเข้าถึงข้อมูลในพื้นที่ทํางาน C ได้
พื้นที่ทํางานหลายแห่งสามารถเชื่อมต่อกับแหล่งข้อมูลเดียวกันได้โดยการตั้งค่าจุดสิ้นสุดส่วนตัวที่มีการจัดการ ตัวอย่างเช่น ทั้งพื้นที่ทํางาน A และพื้นที่ทํางาน B สามารถเชื่อมต่อกับเซิร์ฟเวอร์ SQL ได้ เนื่องจากมีการตั้งค่าปลายทางส่วนตัวที่มีการจัดการสําหรับแต่ละจุดสําหรับเซิร์ฟเวอร์ SQL นี้
ประเภทรายการที่รองรับ
การป้องกันการเข้าถึงขาออกพื้นที่ทํางานทํางานร่วมกับรายการประเภทต่อไปนี้
- เลคเฮาส์
- Notebooks
- คําจํากัดความของ Spark Job
- Environments
- คลังสินค้า
ข้อควรพิจารณาและข้อจำกัด
ส่วนนี้สรุปข้อควรพิจารณาและข้อจํากัดที่สําคัญเมื่อใช้การป้องกันการเข้าถึงขาออกของพื้นที่ทํางาน
ภูมิภาค
- การป้องกันการเข้าถึงขาออกมีให้ใช้งานเฉพาะในภูมิภาคที่รองรับปริมาณงาน Fabric Data Engineering เท่านั้น สําหรับข้อมูลเพิ่มเติม โปรดดู ภาพรวมของจุดสิ้นสุดส่วนตัวที่มีการจัดการสําหรับ Microsoft Fabric
การให้สิทธิการใช้งานและความจุ
การป้องกันการเข้าถึงขาออกรองรับเฉพาะพื้นที่ทํางานที่โฮสต์บน Fabric SKU เท่านั้น ไม่รองรับชนิดความจุอื่นๆ และการทดลองใช้ F SKU
ตรวจสอบให้แน่ใจว่าคุณได้ลงทะเบียน
Microsoft.Networkคุณลักษณะใหม่ในการสมัครใช้งานของคุณในพอร์ทัล Azure
พื้นที่ทํางานที่มีสิ่งประดิษฐ์ที่ไม่รองรับ
ถ้าพื้นที่ทํางานมีสิ่งประดิษฐ์ที่ไม่รองรับ ผู้ดูแลระบบพื้นที่ทํางานจะไม่สามารถเปิดใช้งานการป้องกันการเข้าถึงขาออกได้จนกว่าสิ่งประดิษฐ์เหล่านั้นจะถูกลบออก
ถ้าเปิดใช้งานการป้องกันการเข้าถึงขาออกบนพื้นที่ทํางาน ผู้ดูแลระบบพื้นที่ทํางานจะไม่สามารถเพิ่มสิ่งประดิษฐ์ที่ไม่รองรับได้ ต้องปิดใช้งานการป้องกันการเข้าถึงขาออกก่อน จากนั้นผู้ดูแลระบบพื้นที่ทํางานสามารถเพิ่มสิ่งประดิษฐ์ที่ไม่รองรับได้
ถ้าพื้นที่ทํางานเป็นส่วนหนึ่งของไปป์ไลน์การปรับใช้ ผู้ดูแลระบบพื้นที่ทํางานจะไม่สามารถเปิดใช้งานการป้องกันการเข้าถึงขาออกได้ เนื่องจากไปป์ไลน์การปรับใช้ไม่ได้รับการสนับสนุน ในทํานองเดียวกัน หากเปิดใช้งานการป้องกันการเข้าถึงขาออก จะไม่สามารถเพิ่มพื้นที่ทํางานไปยังไปป์ไลน์การปรับใช้ได้
ข้อจำกัดทั่วไป
การป้องกันการเข้าถึงขาออกของพื้นที่ทํางานไม่ได้รับการสนับสนุนสําหรับพื้นที่ทํางานที่มีอยู่ซึ่งมีแบบจําลองความหมายในเลคเฮาส์อยู่แล้ว
ในพื้นที่ทํางานที่เปิดใช้งานการป้องกันการเข้าถึงขาออก จะไม่รองรับการคิวรีเส้นทางไฟล์คลังข้อมูลจากสมุดบันทึกโดยใช้
dboSchema เนื่องจากไม่รองรับการเข้าถึงเส้นทางตาม Schema เมื่อต้องการสอบถามคลังสินค้าจากสมุดบันทึก ให้ใช้ตัวเลือก T-SQL แทนขณะนี้ UI ของพอร์ทัล Fabric ไม่รองรับการเปิดใช้งานทั้งการป้องกันขาเข้า (ลิงก์ส่วนตัวระดับพื้นที่ทํางาน) และการป้องกันการเข้าถึงขาออกพร้อมกันสําหรับพื้นที่ทํางาน เมื่อต้องการกําหนดการตั้งค่าทั้งสองร่วมกัน ให้ใช้ พื้นที่ทํางาน - ตั้งค่านโยบายการสื่อสารเครือข่าย API ซึ่งช่วยให้สามารถจัดการนโยบายการป้องกันขาเข้าและขาออกได้อย่างสมบูรณ์