設定和使用租戶層級的專属連結

Microsoft Fabric 支援透過私人連結進行安全資料存取，這些連結會使用 Azure Private Link 和私人端點，透過 Microsoft 的私人網路骨幹，而不是公用因特網路由傳送流量。 您可以在租用戶和工作區層級設定私人連結。 本文說明如何設定 Fabric 租使用者的私人連結。

開始之前，請檢閱 Fabric 租用戶的私人連結中的資訊。 若要設定私人端點，您必須是 Fabric 系統管理員，且在 Azure 中具有建立和設定資源 (例如虛擬機器 (VM) 與虛擬網路 (VNet)) 的權限。

步驟 1： 設定 Fabric 的私人端點

1. 以管理員身分登入 Fabric。

2. 轉至租用戶設定。

3. 尋找並展開 Azure Private Link 設定。

4. 切換設定為 [啟用]。

   

設定租用戶的私人連結大約需要 15 分鐘，包括設定個別的 FQDN （完整網域名稱） ，讓租用戶與 Fabric 服務私下通訊。

完成此程序後，可以繼續進行下一個步驟。

步驟 2。 在 Azure 入口網站中建立 Power BI 資源的 Microsoft.PowerBI 私人連結服務

此步驟用於支援 Azure 私人端點與 Fabric 資源的關聯。

1. 登入 Azure 入口網站。

2. 選取 [建立資源]。

3. 在 [範本部署] 下，選取 [建立]。

   

4. 在 [自訂部署] 頁面上，選取 [在編輯器中建置您自己的範本]。

   

5. 在編輯器中，使用 ARM 範本建立下列 Fabric 資源，如下所示，其中

   • <resource-name> 是您為 Fabric 資源選擇的名稱。
   • <tenant-object-id> 是您的 Microsoft Entra 租用戶識別碼。 請參閱如何尋找您的 Microsoft Entra 租用戶識別碼。

   {
     "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {},
     "resources": [
         {
             "type":"Microsoft.PowerBI/privateLinkServicesForPowerBI",
             "apiVersion": "2020-06-01",
             "name" : "<resource-name>",
             "location": "global",
             "properties" : 
             {
                  "tenantId": "<tenant-object-id>"
             }
         }
     ]
   }
   

   如果針對 Power BI 使用 Azure Government 雲端，location 應該是租用戶的區域名稱。 例如，如果租用戶位於 US Gov 德克薩斯州，則您應該將在 ARM 範本中輸入 "location": "usgovtexas"。 如需 Power BI 美國政府區域的清單，請參閱適用於美國政府的 Power BI 一文。

   重要

   使用 Microsoft.PowerBI/privateLinkServicesForPowerBI 作為 type 值，即使正在為 Fabric 建立資源。

6. 儲存範本。 然後輸入下列資訊。

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [**新建]。 輸入 test-PL 作為名稱。 選取 [確定]。
   [執行個體詳細資料]	選取區域。
   區域

   

7. 在檢閱畫面上，選取 [建立] 以接受條款及條件。

   

步驟 3： 建立虛擬網路

下列程序會建立具有資源子網路、Azure Bastion 子網路和 Azure Bastion 主機的虛擬網路。

子網路所需的 IP 位址數目是您在租用戶上建立的容量數目加上 15。 例如，如果您要為具有七個容量的租用戶建立子網路，則需要 22 個 IP 位址。

1. 登入 Azure 入口網站。

2. 在搜尋方塊中，輸入 虛擬網路 ，然後在搜尋結果中選取它。

3. 在 [虛擬網路] 頁面上，選取 [+ 建立]。

4. 在 [建立虛擬網路] 的 [基本] 索引標籤中，輸入或選取下列資訊：

   設定	值
   Subscription	選取您的訂用帳戶。
   資源群組	選取您稍早為私人連結服務建立的資源群組，例如 test-PL。
   名稱	輸入虛擬網路的名稱，例如 vnet-1。
   區域	選取您要啟動 Fabric 連線的區域。

   

5. 選取 [下一步 ] 以繼續 [ 安全性 ] 索引標籤。您可以保留預設設定，或根據組織的需求進行修改。

6. 選取 [下一步 ] 以繼續 [ IP 位址 ] 索引標籤。您可以保留預設設定，或根據組織的需求進行修改。

   

7. 選取儲存。

8. 選取畫面底部的 [檢閱 + 建立]。 通過驗證後，選取 [建立]。

步驟 4. 建立虛擬機器

建立虛擬機器的下一個步驟。

1. 登入 Azure 入口網站。

2. 移至 建立資源 >> 計算虛擬機器。

3. 在 [基本] 索引標籤上，輸入或選取下列資訊：

   設定	值
   Subscription	選取您的 Azure [訂用帳戶]。
   資源群組	選取您稍早建立私人連結服務時使用的相同資源群組。
   虛擬機器名稱	輸入新虛擬機器的名稱。 選取欄位名稱旁的資訊泡泡，以查看虛擬機器名稱的重要資訊。
   區域	選取您先前建立虛擬網路時使用的相同區域。
   可用性選項	對於測試，選擇 [不需要基礎結構備援]
   安全類型	保留預設值。
   像	選取您需要的影像。 例如，選擇 Windows Server 2022。
   VM 架構	保留預設值 [x64]。
   大小	選取大小。
   用戶名	輸入您選擇的使用者名稱。
   密碼	輸入您選擇的密碼。 密碼長度至少必須有 12 個字元，而且符合定義的複雜度需求。
   確認密碼	重新輸入密碼。
   公用入埠	選擇 [無]。

   

4. 完成時，選取 [下一步: 磁碟]。

5. 在 [磁碟] 索引標籤中，保留預設值，然後選取 [下一步：網路]。

6. 在 [網路] 索引標籤中，選取下列資訊：

   設定	值
   虛擬網路	選取您稍早為此部署建立的虛擬網路。
   Subnet	選取您稍早在虛擬網路設定中建立的預設子網路 （例如 10.0.0.0/24）。

   對於其餘欄位，請保留預設值。

   

7. 選取 [檢閱 + 建立]。 您會移至 [檢閱 + 建立] 頁面，其中 Azure 會驗證您的設定。

8. 當您看到 [驗證成功] 訊息時，請選取 [建立]。

步驟 5： 建立私人端點

下一個步驟是建立 Fabric 的私人端點。

1. 在入口網站頂端的搜尋方塊中，輸入私人端點。 選取 [私人端點]。

2. 在[私人端點] 中選取 [+ 建立]。

3. 在 [建立私人端點] 的 [基本] 索引標籤上，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的 Azure [訂用帳戶]。
   資源群組	選取您稍早在 Azure 中建立私人連結服務時建立的資源群組。
   [執行個體詳細資料]
   名稱	輸入 FabricPrivateEndpoint。 如果此名稱已被使用，請建立唯一名稱。
   區域	選取您稍早為虛擬網路建立的區域。

   下圖顯示 [建立私人端點 - 基本] 視窗。

   

4. 選取 [下一步：資源]。 在 [資源] 窗格中，輸入或選取下列資訊：

   設定	值
   連線方式	選取 [連線到我目錄中的 Azure 資源]。
   訂用帳戶	選取您的訂用帳戶。
   資源類型	選取 [Microsoft.PowerBI/privateLinkServicesForPowerBI]
   資源	選擇您稍早在 Azure 中建立私人連結服務時建立的 Fabric 資源。
   目標子資源	租用戶

   下圖顯示 [建立私人端點 - 資源] 視窗。

   

5. 選取 [下一步：虛擬網路]。 在 [建立虛擬網路] 中，輸入或選取下列資訊。

   設定	值
   網路
   虛擬網路	選取您稍早建立的虛擬網路名稱 （例如 vnet-1）。
   子網路	選取您稍早建立的子網路名稱 （例如 subnet-1）。
   私人 DNS 整合
   與私人 DNS 區域整合	選取 [是]。
   私人 DNS 區域	選取 (New)privatelink.analysis.windows.net (New)privatelink.pbidedicated.windows.net (New)privatelink.prod.powerquery.microsoft.com

   

6. 選取 [下一步：標記]，然後選取 [下一步：檢閱 + 建立]。

7. 選取 建立。

步驟 6。 使用 Bastion 連線到 VM

Azure Bastion 透過提供輕量、瀏覽器型連線功能來保護虛擬機器，而不需要透過公用 IP 位址公開它們。 如需詳細資訊，請參閱什麼是 Azure Bastion？。

使用下列步驟連線至 VM：

1. 在您稍早建立的虛擬網路中，新增名為 AzureBastionSubnet 的新子網。

   

2. 在入口網站的搜尋列中，輸入您先前建立的虛擬機器名稱，然後從搜尋結果中選取該虛擬機器。

3. 選取 [連線] 按鈕，並從下拉式功能表選擇 [透過 Bastion 進行連線]。

   

4. 選取 [部署 Bastion]。

5. 在 [堡壘主機] 頁面上，輸入必要的驗證認證，然後選取 [連線]。

步驟 7。 從 VM 中私下存取 Fabric

接下來，透過下列步驟，使用在先前步驟中建立的虛擬機器私下存取 Fabric：

1. 在虛擬機器中開啟 PowerShell。

2. 輸入 nslookup <tenant-object-id-without-hyphens>-api.privatelink.analysis.windows.net。

3. 您會收到類似下列訊息的回應，並可以看到傳回私人 IP 位址。 您可以看到 OneLake 端點和倉儲端點也會傳回私人 IP。

   

4. 開啟瀏覽器，然後轉至 app.fabric.microsoft.com，私下存取 Fabric。

步驟 8。 停用 Fabric 的公用存取

最後，您可以選擇性停用 Fabric 的公用存取。

如果停用 Fabric 的公用存取，則會對 Fabric 服務的存取進行特定限制，如下一節所述。

若要停用 Fabric 的公用存取，請以系統管理員身分登入 Fabric，然後瀏覽至 [管理入口網站]。 選取 [租用戶設定]，並捲動至 [進階網路] 區段。 啟用 [封鎖公用網際網路存取] 租用戶設定中的切換按鈕。

系統需要大約 15 分鐘時間，才能停用組織從公用網際網路存取 Fabric。

完成私人端點設定

完成前幾節中的步驟並成功設定私人連結之後，您的組織會根據下列組態選項實作私人連結，無論選取項目是在初始組態時設定還是稍後變更。

如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已啟用]：

• 您的組織僅能透過私人端點存取 Fabric，無法透過公用網際網路存取。
• 來自虛擬網路目標端點的網路和支援私人連結的案例，將透過私人連結進行傳輸。
• 服務會封鎖來自以端點為目標的虛擬網路流量，以及 不 支援私人連結的案例。
• 可能有一些不支援私人連結的案例，當啟用 [封鎖公用因特網存取] 時，服務會封鎖這些連結。

如果已正確設定 Azure Private Link 且 [封鎖公用網際網路存取] 為 [已停用]：

• Fabric 服務允許來自公用因特網的流量。
• 來自以支援私人連結的端點和案例為目標的虛擬網路流量會透過私人連結傳輸。
• 來自以 不支援私人 連結之端點和案例為目標的虛擬網路流量會透過公用因特網傳輸，並由 Fabric 服務允許。
• 如果虛擬網路設定為封鎖公用因特網存取，則虛擬網路會封鎖不支援私人連結的案例。

下列影片示範如何使用私人端點將行動裝置連線至 Fabric：

更多問題嗎？ 詢問 Fabric 社群。

停用私人連結

如果您想要停用 Private Link 設定，請先確定您建立的所有私人端點和對應的私人 DNS 區域都會在停用設定之前刪除。 如果您的虛擬網路已設定私人端點，但已停用 Private Link，則來自此虛擬網路的連線可能會失敗。

如果您要停用 Private Link 設定，建議您在非上班時間執行此動作。 某些案例最多可能需要 15 分鐘的停機時間才能反映變更。

相關內容

• 關於租用戶層級私人連結
• 關於工作區層級私人連結